ショップ構築ガイド

情報の流出経路

情報漏洩対策

レンタルガイド

目次～サーバガイド

サーバ構築ガイド

目次～ Linux サーバ

リムーバブルデバイスを安全に～ EFS の活用例

ここでは、小規模オフィスや SOHO 、個人を対象に、Windows ドメインに参加していないスタンドアローン環境での EFS 活用例を紹介します。EFS 対応 Windows 、基本的な利用方法は以下を参照して下さい。

参照 => 暗号化による情報漏洩対策～ EFS の活用（スタンドアローン）

暗号化ファイルの持ち運びについて

秘密鍵を含む証明書を移動先のパソコンにインポートする事で、暗号化された書類を編集出来るようになります。

ここでは、SOHO や小規模ビジネス用途に多いと思われる Windows Server を導入してい、つまり、スタンドアロンで Windows 2000 Professional / XP Professional / Vista Business を利用し、システム権限を持たない一般ユーザを対象にしています。

USBメモリを利用して安全にデータを持ち運ぶには

USB メモリを利用して安全にデータを持ち運ぶ手順を簡単に説明します。移動元、移動先、何れも Administrator 権限は必要ありません。ここでの活用例は、Administator 権限を持たない一般ユーザ同士でのデータのやり取りを例に説明します。

Windows XP Home Edition ならびに家庭向けの Windows VISTA は EFS に対応していないため、利用する事は出来ません。

移動元　Windows 2000 sp4 → 移動先　Windows XP Professional sp2 を例にしていますが、適宜読み替えてください。

Windows VISTA から XP Professional への EFS 暗号化データの移動については、以下を参照して下さい。

参照 => Windows XP を実行するコンピュータへの移行 Tech Net

１．移動元～ USBメモリのフォーマット

EFS によるファイル、フォルダの暗号化を利用するには、USBメモリが NTFS でフォーマットされている必要があります。

USBメモりは初期出荷状態でFAT でフォーマットされている事が多いと思います。

現在のファイルシステムを調べるには、マイコンピュータにマウントされているリムーバブルアイコンを右クリックし、プロパティを表示するとファイルシステムが記載されています。

NTFS にフォーマットし直すには、マウントされた USB メモリのアイコンを右クリックしてフォーマットを実行します。

２．移動元～暗号化ファイルの作成・コピー

ここで説明している基本的な手順で暗号化を行います。暗号化されたフォルダをコピーしても、移動先のファイルシステムが NTFS であれば、暗号化は継承されコピーされます。"マイドキュメント" を暗号化して作業をされている方は、そのままファイルをコピーしても結構です。

念のため、コピーしたファイルのプロパティを確認し、暗号化にチェックが入っているか確認してみてください。

暗号化されたファイルを圧縮ソフトで圧縮ファイル、又は解凍したファイルは暗号化の対象とはならないので注意が必要です。圧縮ファイルを暗号化する場合は、再度、暗号化の手順を踏む必要があります。

３．移動先～証明書（鍵）のインポート.

移動先で EFS 暗号化されたファイルを開くには、複合化に必要な鍵が必要となります。こちらの手順でバックアップした証明書を、以下の手順で移動先のパソコンにインポートするとファイルを開けるようになります。

EFS 証明書のインポートは、証明書をダブルクリックするだけです。パスワードが要求されるまで次へを押します。

移動元で証明書を出力した時に設定した秘密鍵のパスワードを入力します。

秘密鍵にエクスポート可能なフラグを付ける

にチェックを入れた場合、取り込み先でも秘密鍵を含む、つまりEFS 複合可能な証明書を出力できるようになります。

セキュリティ上、秘密鍵を含む EFS 証明書の管理は一箇所で行う事が望ましいため、

秘密鍵にエクスポート可能なフラグを付ける

にはチェックは入れないようにします。つまり、秘密鍵を含む証明書は、移動先では出力できないようにし、複合化可能な鍵の拡散を防止します。

この作業で個人の証明書リスト（コントロールパネル → 【インターネットオプション】を開き、【証明書】）に自動的に配置され、EFS 暗号化ファイルを開けるようになります。

相互に移動したい場合

EFS 証明書は、それぞれのユーザーで作成され暗号化に使用されます。ですので相互にデータの移動を行いたいのであれば、互いに秘密鍵を含む EFS 証明書をインポートしておく必要があります。

リムーバブルメディアを利用してデータを持運ぶ際の注意点

USBメモリや MO などのリムーバブルメディアを利用して EFS 暗号化ファイルを持運ぶ場合に注意したいポイントです。

NTFS フォーマットが必要

USB メモリの初期状態は FAT ファイルシステムでフォーマットされている事が多いと思います。EFS は暗号化ファイルシステムとしてユーザーに意識しない配慮がされています。

FAT / FAT32 でフォーマットされたUSBメモリに、EFS 暗号化されたフォルダやファイルをコピーすると、その段階で複合化されてしまいます。（メッセージもでない）暗号化しているつもりがされてなかったという事も十分に考えられますのでご注意ください。

圧縮ファイル・フォルダの扱い

EFS 暗号化されたフォルダやファイルを圧縮した場合、EFS 暗号化は自動的に複合化されます。また、解凍しても暗号化されていません。ファイル・フォルダ圧縮後に EFS 暗号化を行う必要があります。

開けない場合の警告

複合化に必要な秘密鍵を含む EFS 証明書がない場合、データは開くことはできません。その際、権限がない旨の警告がでますが、これは所有権に対してのメッセージではありません。

EFS を利用する場合、秘密鍵を含む EFS 証明書を何らかの理由で消失した場合、二度とファイルは開けなくなります。 EFS に限らず暗号化によるセキュリティ対策は、複合化に必要な鍵（証明書）の管理が重要になります。証明書のバックアップ、管理が必要になる事を忘れないようにして下さい。

ここでは、SOHO など小規模ビジネスユーザーを対象にしたスタンドアローン（自己署名）を対象としています。システム管理者に相談するようにして下さい。

EFS 未対応 Windows と利用できないメディア

Windows XP Professioanl などビジネス向け Windows を利用している方は、EFS は手軽に利用できる暗号化による情報漏洩対策を行う事が可能ですが、家庭向け OS である Windows XP Home Edition / Windows VISTA は EFS 暗号化に対応していません。

つまり、これらの OS へ EFS暗号化を利用したデータの移動は行う事が出来ない制約があります。