EFS を使用したハード ドライブの暗号化でデータを保護する
最終更新日: 2005年3月17日
トピック
はじめに
多くの企業では、デスクトップ コンピュータは複数ユーザーによって共有されています。ポータブル コンピュータを携帯し、取引先の施設、空港、ホテル、または自宅などで、業務上の機密に対する物理的な保護なしに使用するユーザーも少なくありません。これは、重要なデータが業務の管理範囲外に置かれることがしばしばあることを意味しています。許可されていないユーザーによって、デスクトップ コンピュータに格納されたデータが読み取られる可能性があります。また、ポータブル コンピュータは盗難の危険性があります。こうしたあらゆる状況では、企業の機密データに悪意のある人間がアクセスできてしまいます。
データの盗難の可能性を減らすソリューションの 1 つは、暗号化ファイル システム (EFS) を使用して機密ファイルを暗号化し、データのセキュリティを強化することです。暗号化とは数学的なアルゴリズムを応用し、必要なキーを所有するユーザーだけがデータを読めるようにすることです。EFS は、コンピュータ上のデータを暗号化し、そのデータを暗号化解除、または回復できるユーザーを制御する、Microsoft のテクノロジです。ファイルが暗号化されている場合、アッタカーは、コンピュータのデータ記憶域に物理的にアクセスできたとしても、ユーザーのデータを読むことができません。EFS を使用するユーザーはすべて、暗号化ファイル システム証明書を所有する必要があります。この証明書はデジタル文書であり、その所有者に EFS を使用したデータ暗号化および暗号化解除を許可するものです。EFS のユーザーは、ファイルを変更するための NTFS アクセス許可も保持する必要があります。
EFS には、次の 2 つの種類の証明書があります。
| • | 暗号化ファイルシステム証明書: この証明書は EFS 証明書とも呼ばれ、この証明書の所有者は、EFS を使用したデータの暗号化と暗号化解除を行うことができます。通常の EFS ユーザーは、この証明書を取得します。この証明書に対する [拡張キー使用法] フィールド (Microsoft 管理コンソールの証明書スナップイン内) の値は、"暗号化ファイル システム (1.3.6.1.4.1.311.10.3.4)" です。 |
| • | ファイル回復証明書: この証明書の所有者は、だれが暗号化したかに関係なく、ドメインやその他のスコープ内にある暗号化されたファイルやフォルダをすべて復元できます。この証明書は、Domain Admins、またはデータ回復エージェントと呼ばれる非常に信頼された指定ユーザーだけが取得するのが適切です。この証明書に対する [拡張キー使用法] フィールド (Microsoft 管理コンソールの証明書スナップイン内) の値は、"ファイルの回復 (1.3.6.1.4.1.311.10.3.4.1)" です。この証明書は、EFS DRA 証明書とも呼ばれます。 |
暗号化を行った本人以外の許可されたユーザーが暗号化されたデータを読み取れるようにするには、そのユーザーに、暗号化を行ったユーザーの秘密キーを与えるか、そのユーザーをデータ回復エージェントに指定します。データ回復エージェントは、そのエージェントのスコープ内にあるドメインまたは組織単位内の EFS を使用して、暗号化されたファイルをすべて暗号化解除できます。このドキュメントでは、小中規模の企業における EFS 関連の主要な作業を、手順を追って説明します。また、EFS の最適な使用方法について、重要なものをいくつか説明します。
このドキュメントでは、次の作業についての手順を説明します。
| • | 回復キーを作成および保護する。これにより、データの暗号化を行ったユーザーがそのデータを回復できなくなった場合でも、確実に回復できるようにします。 |
| • | 回復エージェントを作成する。回復エージェントは、ファイルの暗号化を行ったユーザーがそのファイルを回復できなくなった場合でも、回復できます |
| • | 使用する環境用に EFS をセットアップする。 |
| • | EFS を容易に使用できるように、エクスプローラを構成する。 |
| • | EFS と連携するようにファイル共有を構成する。 |
| • | データ回復キーをエクスポートおよびインポートして、暗号化されたファイルおよびフォルダのセーフ リカバリを可能にする。 |
| • | データの暗号化を行ったユーザーがデータを回復できなくなった場合に、そのデータを回復する。 |
このドキュメントに記載されている手順を実行することで、次に示すシステム規模の変更を行います。
| • | バックアップ データ回復キーを作成する。 |
| • | 回復エージェントを作成する。 |
| • | コンピュータのハード ドライブ上のデータを暗号化するために EFS を使用可能にする。 |
| • | EFS オプションを含むようにエクスプローラを構成する。 |
また、これらの手順を実行することで、次に示す変更や事前策も実装できます。
| • | 選択した暗号化済みデータに対する共有アクセスを提供する。 |
| • | 暗号化されたデータを回復する際に使用できるように、データ回復キーを管理する。 |
| • | 必要な場合に、暗号化されたデータを回復する。 |
開始する前に
このドキュメントに記載されている手順は、EFS を使用するようにコンピュータを構成し、EFS を使用して職場のコンピュータのハード ドライブ上のデータを保護する方法を説明しています。これらの手順の実行を開始する前に法律顧問に相談して、計画している暗号化のポリシーや手順が、関連する法や規制に違反していないことを確認してください。特に米国外に事務所がある場合は、暗号化ソフトウェアに関連する輸出規制法について知っておく必要があります。また、次に示す、EFS を使用するためのいくつかの基本的な要件や条件についても理解しておいてください。
| • | NTFS ファイル システム ボリューム上のファイルおよびフォルダだけを暗号化できます。つまり、EFS を使用して、FAT または FAT32 ファイル システムを使用するハード ドライブ上のデータを保護することはできません。FAT ファイル システムを使用し続ける特別な理由がない限り、これらのボリュームを NTFS を使用するように変更することをお勧めします。Windows 95、Windows 98、および Windows Millennium Edition オペレーティング システムでは、NTFS および EFS はサポートされません。Windows XP Home Edition では NTFS はサポートされますが、EFS はサポートされません。 |
| • | 圧縮されたファイルまたはフォルダは暗号化できません。圧縮されているファイルまたはフォルダを暗号化すると、それらの圧縮は解除されます。 |
| • | System 属性の付いたファイル、および systemroot フォルダ内のファイルは暗号化できません。 |
| • | 最初にファイルまたはフォルダを暗号化するときにポップアップ ダイアログ ボックスで選択したオプションが、以降の暗号化の動作を決定します。 | • | ある 1 つのファイルを暗号化するときに、親のフォルダを暗号化すると選択した場合、それ以降そのフォルダに追加されるファイルやサブフォルダは、すべてその追加時に暗号化されます。 | | • | あるフォルダを暗号化するときにファイルやサブフォルダをすべて暗号化すると選択した場合、その時点でそのフォルダ内に存在するすべてのファイルとサブフォルダに加え、それ以降そのフォルダに追加されるファイルとサブフォルダはすべて暗号化されます。 | | • | フォルダの暗号化を明示的に行うときにだけフォルダを暗号化すると選択した場合、その時点でそのフォルダ内にあるファイルとサブフォルダは暗号化されません。ただし、それ以降そのフォルダに追加されるファイルとサブフォルダは、その追加時に、すべて暗号化されます。 |
|
このドキュメントに記載されている手順では、特に指定されない限り、サーバー コンピュータでは Windows Server 2003 オペレーティング システムが稼動し、クライアント コンピュータでは Windows XP Professional が稼動するものとします。
Active Directory 環境では、ユーザーは移動ユーザー プロファイルを持つものとします。
このドキュメント中のスクリーンショットはテスト環境を反映したものであり、そこに含まれる情報はお使いのコンピュータ上で表示されるものと異なる場合があることに注意してください。
このドキュメントに記載されているすべてのステップ バイ ステップの手順は、オペレーション システムをインストールしたときの既定の設定で表示される [スタート] メニューを使用することを前提に設計されています。したがって、[スタート] メニューの設定を変更している場合には、この手順と異なる可能性があります。
回復キーを生成してバックアップする
回復キーのバックアップがない場合、暗号化されたデータの取り返しのできない喪失が起きる可能性があります。回復キーをバックアップしておくことは、EFS 暗号化証明書を所有するユーザーがデータの暗号化を解除できなくなった場合に暗号化されたデータを確実に回復するのに役立ちます。
要件
| • | ユーザー資格: この操作は、プライベート ストア内にファイル回復証明書と秘密キーを持つ回復エージェント アカウントを使用して実行される必要があります。ドメイン管理者は、既定の回復エージェントです。自宅または非ドメイン環境では、既定の回復エージェントは存在しませんが、コンピュータ上のすべてのアカウントに対してローカル回復エージェントを作成できます。自宅用の設定では、各 EFS 証明書所有者が各自の秘密キーをバックアップするのが一般的です。 |
| • | ツール: Microsoft 管理コンソール (MMC) への証明書スナップイン。 |
警告: 既定の回復ポリシーに何らかの変更を加える前に、既定の回復キーを必ずバックアップしてください。ドメイン内の既定の回復キーは、そのドメインの最初のドメイン コントローラに格納されています。
| • | 既定の回復キーをフロッピー ディスクにバックアップするには 1. | [スタート] メニューの [ファイル名を指定して実行] をクリックし、[名前] ボックスに「mmc」と入力して [OK] をクリックします。Microsoft 管理コンソールが開きます。 
| 2. | [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。 | 3. | [スタンドアロン スナップインの追加] の下で [証明書] をクリックして、[追加] をクリックします。 | 4. | [ユーザー アカウント] をクリックして、[完了] をクリックします。 | 5. | [閉じる] をクリックし、次に [OK] をクリックします。 | 6. | [証明書 - 現在のユーザー] をダブルクリックして、[個人] をダブルクリックします。次に [証明書] をダブルクリックします。 | 7. | [目的] 列に [ファイルの回復] と表示されている証明書をクリックします。 | 8. | その証明書を右クリックして、[すべてのタスク] をポイントし、[エクスポート] をクリックします。 | 9. | 証明書のエクスポート ウィザードの指示に従って、証明書および関連する秘密キーを .pfx ファイル形式にエクスポートします。 |
|
ドメインベースの回復エージェントを作成する
あるアカウントに、EFS を使用して暗号化されているデータの読み取りと回復を許可するには、そのアカウントを回復エージェントにする必要があります。ドメイン環境では、ドメイン アカウントをその目的で使用することをお勧めします。Active Directory® ディレクトリ サービス フォレスト内の任意のサイト、ドメイン、または組織単位に対して回復エージェントを作成できます。既定では、ドメインの Administrator ビルトイン アカウントは回復エージェントです。この場合、回復エージェントを作成する必要はありません。
要件
| • | ユーザー資格: ドメインの Administrator |
| • | ツール: MMC への Active Directory ユーザーとコンピュータ スナップイン |
| • | ドメインベースの回復エージェントを作成するには 1. | [スタート] メニューの [コントロール パネル] をクリックし、[管理ツール] をダブルクリックして、[Active Directory ユーザーとコンピュータ] をダブルクリックします。 
| 2. | 回復ポリシーを変更するドメインを右クリックし、[プロパティ] をクリックします。 | 3. | [グループ ポリシー] タブをクリックします。 
| 4. | 変更する回復ポリシーを右クリックし、[編集] をクリックします。 | 5. | コンソール ツリー (左側) で、[ファイル システムの暗号化] をクリックします。場所は、コンピュータの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\ファイル システムの暗号化です。 
| 6. | 詳細ペイン (右側) で右クリックし、次に [データ回復エージェントの作成] をクリックします。
注: 回復エージェントの追加ウィザードでは、ユーザーをファイル または Active Directory から回復エージェントとして追加するように要求されます。回復エージェントをファイルから追加する場合、ユーザーは USER_UNKNOWN として識別されます。これは、ユーザー名がファイルに格納されていないためです。 Active Directory から回復エージェントを追加するには、EFS 回復エージェント証明書 (ファイル回復証明書) が Active Directory に公開されている必要があります。ただし、既定のファイル回復証明書テンプレートではこれらの証明書は公開されないため、公開を行うテンプレートを作成する必要があります。そのためには、証明書テンプレート スナップインで既定の EFS ファイル回復証明書テンプレートをコピーして新しいテンプレートを作成し、その新しいテンプレートを右クリックして [プロパティ] をクリックし、コピーされた証明書に対する [プロパティ] ダイアログ ボックスの [全般] タブで [Active Directory の証明書を発行する] チェックボックスをオンにします。 | 7. | 回復エージェントの追加ウィザードの指示に従って、ドメインベースの回復エージェントの作成を完了します。 |
|
ローカル回復エージェントを作成する
スタンドアロン コンピュータやワークグループ内などの非ドメイン環境では、ローカル回復エージェントを作成できます。コンピュータを複数のユーザーで共有する場合に、ローカル回復エージェントを作成しておくと、役に立つ場合があります。単一ユーザーのコンピュータでは、ユーザーが単純に回復キーをリムーバル メディアにバックアップすることが簡単です。
要件
| • | ユーザー資格: ローカル コンピュータの Administrator |
| • | ツール: グループ ポリシー オブジェクト エディタ |
| • | ローカル回復エージェントを作成するには 1. | [スタート] メニューの [ファイル名を指定して実行] をクリックし、[名前] ボックスに「mmc」と入力して [OK] をクリックします。 | 2. | [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。 | 3. | [スタンドアロン スナップインの追加] の下で [グループ ポリシー オブジェクト エディタ] をクリックして、[追加] をクリックします。 | 4. | [グループ ポリシー オブジェクト] の下に [ローカル コンピュータ] が表示されていることを確認して、[完了] をクリックします。 | 5. | [閉じる] をクリックして、次に [OK] をクリックします。 | 6. | [ローカル コンピュータ ポリシー] で、ローカル コンピュータ ポリシー\コンピュータの構成\Windows の設定\セキュリティの設定\公開キーのポリシー フォルダに位置付けます。 
| 7. | 詳細ペインで、[ファイル システムの暗号化] を右クリックし、次に [データ回復エージェントの追加] または [データ回復エージェントの作成] をクリックします。
注: ウィザードでは、回復エージェントのユーザー名を入力するように要求されます。ウィザードでは、ファイル回復証明書が公開されているユーザーの名前を指定するか、追加する回復エージェントについての情報を含むファイル回復証明書 (.cer ファイル) を参照できます。ファイル回復証明書は証明機関 (CA) から入手できます。ファイル回復証明書を識別するには、証明書スナップイン内の詳細ペインの [拡張キー使用法] フィールドで、"ファイルの回復 (1.3.6.1.4.1.311.10.3.4.1)" を探します。ファイル回復証明書は、ローカル コンピュータのファイル システム内、または Active Directory 内に .cer ファイルとして格納されます。 ファイルから回復エージェントを追加する場合は、ユーザー名がファイルに格納されていないため、ユーザーは USER_UNKNOWN として識別されます。 | 8. | ウィザードの指示に従って、処理を完了します。 |
|
EFS を使用する
回復エージェントを作成し、回復キーのバックアップを生成した後は、許可されないアクセスからファイルまたはフォルダを保護するために、EFS の使用を開始できます。このセクションでは、EFS を有効にする手順について説明します。
要件
| • | ユーザー資格: EFS 証明書およびファイルまたはフォルダを変更できる NTFS アクセス許可を持つユーザー |
| • | ツール: エクスプローラ |
| • | EFS を使用してファイルまたはフォルダを暗号化するには 1. | エクスプローラを開きます。 
| 2. | 暗号化するファイルまたはフォルダを右クリックして、[プロパティ] をクリックします。 | 3. | [全般] タブで [詳細設定] をクリックします。 
| 4. | [内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオンにして [OK] をクリックします。 
| 5. | [プロパティ] ダイアログ ボックスで [OK] をクリックし、次のどれかを実行します。 | • | ファイルとその親フォルダを暗号化するには、[暗号化に関する警告] ダイアログ ボックスで [ファイルとその親フォルダを暗号化] をクリックします。 | | • | ファイルだけを暗号化するには、[暗号化に関する警告] ダイアログ ボックスで [ファイルだけを暗号化] をクリックします。 | | • | フォルダだけを暗号化するには、[属性変更の確認] ダイアログ ボックスで [このフォルダにのみ変更を適用する] をクリックします。 | | • | フォルダおよびそのサブフォルダとファイルを暗号化するには、[属性変更の確認] ダイアログ ボックスで [このフォルダ、およびサブ フォルダとファイルに変更を適用する] をクリックします。 |
| 6. | [OK] をクリックして、暗号化についての選択を受け入れ、適用します。 |
|
エクスプローラのメニューで [暗号化] および [暗号化解除] オプションを使用可能にする
EFS をより簡単に使用できるようにするため、ユーザーがファイルを右クリックしたときにショートカット メニュー上に [暗号化] および [暗号化解除] が表示されるようにエクスプローラを構成できます。そのためには、Windows のレジストリを編集して、既定では存在しない新しいレジストリ値を作成する必要があります。
警告: レジストリを不適切に編集すると、システムに重大な問題が生じる可能性があります。レジストリを変更する前に、コンピュータ上の重要なデータをバックアップしておいてください。
要件
| • | ユーザー資格: レジストリ編集の経験およびその危険性を認識している管理者 |
| • | ツール: レジストリ エディタ |
| • | エクスプローラのメニューで [暗号化] および [暗号化解除] オプションを使用可能にするには 1. | レジストリ エディタを開き、次のレジストリ パスに位置付けます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ 
| 2. | 詳細ペイン (右側) で右クリックし、[新規] をクリックして、次に [DWORD 値] をクリックします。
| 3. | DWORD 値の名前として「EncryptionContextMenu」を入力し Enter キーを押します。 | 4. | 作成した DWORD 値を右クリックして、[変更] をクリックします。 | 5. | [DWORD 値の編集] ダイアログ ボックスで、[値のデータ] テキスト ボックスに値「1」を入力して [OK] をクリックします。 | 6. | [ファイル] メニューの [レジストリ エディタの終了] をクリックして、レジストリ エディタを閉じます。 |
|
注: Windows Server 2003 では、エクスプローラ メニューに [暗号化の詳細] ボタンも追加できます。それには、レジストリ バッチ ファイル (*.reg) を作成し、それに次の内容を含めて、各ユーザーに対してそのレジストリ バッチ ファイルを実行します。
[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]
@="rundll32 efsadu.dll,AddUserToObject %1"
EFS ファイル共有を可能にする
通常職場では、機密データを保護するために暗号化を使用することが望まれますが、一方、そのデータに複数のユーザーがアクセスできることが必要です。EFS では、1 ユーザーによって暗号化されたファイルに対し、他の複数ユーザーにアクセスを許すことができます。暗号化されたファイルへのアクセスを複数ユーザーに許すためには、そのファイルを暗号化したユーザーがファイルを共有指定し、暗号化されたファイルに各追加ユーザーの EFS 暗号化証明書を追加します。これにより、共有アクセスを可能にします。このようにして、職場では、データの可用性を損なうことなくセキュリティを強化できます。
次に示す、暗号化されたファイルの共有に関連する要件および制限事項について認識しておいてください。
| • | ユーザーのグループは暗号化されたファイルに追加できません。また、ユーザーを暗号化されたフォルダに追加できません。 |
| • | 暗号化されたファイルに追加されるユーザーはすべて、そのファイルが存在するコンピュータ上で EFS 暗号化証明書を保持しなければなりません。通常、Verisign のような証明機関が証明書を発行します。ユーザーがコンピュータにログオンし、任意のファイルを暗号化した場合、そのユーザーはそのコンピュータ上に EFS 暗号化証明書を所有することになります。
|
| • | ファイルの暗号化を解除できるすべてのユーザーは、そのファイルへの読み取りアクセスが可能でなければなりません。このアクセスを可能にするために、NTFS アクセス許可が適切に設定される必要があります。必要な NTFS アクセス許可を持たないためにアクセスが拒否されたユーザーは、暗号化されたファイルを読むことができず、データの暗号化も解除できません。ファイルへのアクセス許可の設定については、Microsoft TechNet Web サイト http://go.microsoft.com/fwlink/?LinkId=22847 の 「To set, view, change, or remove permissions on files and folders」(英語)を参照してください。 |
要件
| • | ユーザー資格: EFS 証明書とファイルの所有権が必要 |
| • | ツール: エクスプローラ |
ファイルに追加されるすべてのユーザーは、コンピュータ上に証明書を持つ必要があります。
| • | ユーザーにファイルの暗号化と暗号化解除を許可するには 1. | エクスプローラを開きます。 | 2. | 変更対象の暗号化されたファイルを右クリックして、[プロパティ] をクリックします。 | 3. | [全般] タブで [詳細設定] をクリックします。 | 4. | [属性の詳細] ダイアログ ボックスで [詳細] ボタンをクリックします。 | 5. | このファイルにユーザーを追加するには、[追加] をクリックして、次のどれかを実行します。 | • | EFS 暗号化証明書がこのコンピュータ上に存在するユーザーを追加するには、証明書をクリックして、次に [OK] をクリックします。 | | • | 証明書をファイルに追加する前にこのコンピュータ上にある証明書を表示するには、証明書をクリックして、次に [証明書の表示] をクリックします。 | | • | Active Directory からユーザーを追加するには、[ユーザーの検索]をクリックし、次にリスト内のユーザーに位置付けて [OK] をクリックします。 | | • | このファイルからユーザーを削除するには、ユーザー名をクリックして、次に [削除] をクリックします。 |
|
|
注: ユーザーがファイルに追加され、ユーザーの EFS 暗号化証明書がインポートされると、証明書の正当性について、信頼されたルート証明機関 (CA) への照会が行われます。その後、証明書はそのユーザーの "その他のユーザー" 証明書ストアに格納されます。
データ回復キーをエクスポートおよびインポートする
暗号化されたデータの通常の回復が不可能な場合に、データ回復エージェントがそれを回復できるように、データ回復キー (DRA キー) はデータ回復エージェントから使用可能である必要があります。したがって、回復キーを保護することが重要です。回復キーを喪失から保護するのに有効な方法は、データ回復エージェントのデータ回復証明書と秘密キーをセキュリティ保護可能なリムーバル メディアに .pfx 形式でエクスポートすることです。これらをインポートすることで、喪失データを回復できます。
次の手順で、DRA キーをエクスポートおよびインポートする過程の概要を説明します。
要件
| • | ユーザー資格: ドメイン内の最初のドメイン コントローラの Administrator アカウントでのログオン |
| • | ツール: MMC 証明書スナップイン |
データ回復キーをエクスポートする
| • | ドメインの既定データ回復エージェントの証明書と秘密キーをエクスポートするには 1. | ドメイン内の最初のドメイン コントローラの Administrator アカウントで、ドメインにログオンします。 | 2. | [スタート] をクリックして [ファイル名を指定して実行] をクリックします。 | 3. | 「mmc.exe」と入力して、Enter キーを押します。 
| 4. | [ファイル] メニューの [スナップインの追加と削除] をクリックします。 | 5. | [追加] をクリックします。現在のコンピュータに登録されているスナップインがすべて表示されます。 | 6. | [証明書] スナップインをダブルクリックし、[ユーザー アカウント] をクリックして、次に [完了] をクリックします。 
| 7. | [スタンドアロン スナップインの追加] ダイアログ ボックスで、[閉じる] をクリックし、次に [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。この時点で MMC には、Administrator アカウント用の個人証明書が表示されています。 | 8. | 証明書、現在のユーザー、個人、証明書フォルダに位置付けます。詳細ペイン (右側) に、Administrator アカウントの証明書がすべて表示されます。既定では、通常 2 つの証明書が表示されます。既定のドメイン DRA 証明書に位置付けます。 | 9. | 既定のドメイン DRA 証明書を右クリックし、[すべてのタスク] をクリックして、次に [エクスポート] をクリックして証明書のエクスポート ウィザードを開始します。
重要: エクスポートの際に正しくキーを選択することは重要です。エクスポートが完了すると、元の秘密キー、および対応する証明書はコンピュータから削除されるためです。キーをコンピュータ上に復元できない場合、その DRA 証明書を使用したファイルの回復は不可能になります。 | 10. | [はい、秘密キーをエクスポートします] をクリックして、[次へ] をクリックします。これにより、エクスポートが完了したときに秘密キーは削除されます。 
| 11. | [エクスポート ファイルの形式] ページで [Personal Information Exchange - PKCS #12 (.PFX)] をクリックし、[強力な保護を有効にする] チェック ボックスと [正しくエクスポートされたときは秘密キーを削除する] チェック ボックスをオンにして、[次へ] をクリックします。
エクスポートが正常に完了したときに秘密キーを削除し、また、秘密キーのセキュリティ レベルをさらに強化するために、強力な保護を有効にするのが最良な方法です。
秘密キーのエクスポートには、.pfx 形式が使用されます。.pfx ファイル形式は PKCS #12 標準に基づいています。PKCS #12 標準は、秘密キー、証明書、その他の機密を含むユーザー情報を格納または移送するための軽量な形式です。.pfx ファイル形式 (PKCS #12) では、ファイルに格納された秘密キーをパスワードで保護することも可能です。 
| 12. | [パスワード] ページで、[パスワード] テキスト ボックスと [パスワードの確認入力] テキスト ボックスに強力なパスワードを入力して、[次へ] をクリックします。 
手順の最後は .pfx ファイルの保存です。証明書と秘密キーは、ネットワーク ドライブやフロッピー ディスクを含む、任意の書き込み可能デバイスにエクスポートできます。 | 13. | [エクスポートするファイル] ページで、ファイル名とパスを入力または参照して [次へ] をクリックします。 
エクスポートが成功したかどうかを示すメッセージが表示されます。 
このファイルおよび関連する秘密キーを紛失すると、その DRA 証明書をデータ回復エージェントとして使用しているすべての既存ファイルの暗号化を解除できなくなります。.pfx ファイルと秘密キーをエクスポートした後は、各職場のセキュリティについてのガイドラインと実践方法に従って、ファイルを安定したリムーバル メディア上に格納し、セキュリティ保護された場所に保管してください。たとえば、1 つ以上の CD-ROM に .pfx ファイルを保存し、それを物理的に厳しくアクセスの制限される貸し金庫や貴重品保管庫に保管します。
|
|
データ回復キーをインポートする
エクスポートされたデータ回復キーを使用して、暗号化されているデータを回復する必要が生じた場合、最初にそのキーをインポートする必要があります。キーのインポートは、エクスポートに比べて簡単です。PKCS #12 形式のファイル (.pfx ファイル) として保存されているキーをインポートするには、そのファイルをダブルクリックして証明書のインポート ウィザードを開くか、次の手順でウィザードを開始して、キーをインポートします。
要件
| • | ユーザー資格: コンピュータ上の Domain Admin アカウント |
| • | ツール: MMC 証明書スナップイン |
| • | データ回復キーをインポートするには 1. | 有効なアカウントでコンピュータにログオンします。 | 2. | [スタート] メニューの [ファイル名を指定して実行] をクリックします。 
| 3. | 「mmc.exe」と入力して、Enter キーを押します。 | 4. | MMC で、[ファイル] メニューの [スナップインの追加と削除] をクリックします。 | 5. | [追加] をクリックします。現在のコンピュータに登録されているスナップインがすべて表示されます。 | 6. | [証明書] スナップインをダブルクリックし、[ユーザー アカウント] をクリックして、次に [完了] をクリックします。 | 7. | [スタンドアロン スナップインの追加] ダイアログ ボックスで、[閉じる] をクリックし、次に [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。この時点で MMC には、Administrator アカウント用の個人証明書ストアが表示されています。 
| 8. | 証明書、現在のユーザー、個人、証明書フォルダに位置付けて、フォルダを右クリックして [すべてのタスク] をクリックし、次に [インポート] をクリックして、証明書のインポート ウィザードを開始します。 
| 9. | [次へ] をクリックし、インポートするファイルのファイル名とパスを入力して、[次へ] をクリックします。 
| 10. | インポートするファイルが PKCS #12 ファイルの場合は、[パスワード] ページで、インポートするファイルのパスワードを [パスワード] ボックスに入力します。
秘密キーを強力なパスワードで保護した状態で格納することをお勧めします。 | 11. | そのキーを現在のコンピュータから後で再度エクスポートする場合は、[このキーをエクスポート可能にする] チェック ボックスをオンにすることを忘れないでください。 Click [次へ] をクリックします。 
| 12. | ウィザードから、証明書と秘密キーをインポートする先のストアの名前を要求される場合があります。秘密キーが個人用のストアにインポートされるのを確実にするために、[証明書の種類に基づいて、自動的に証明書ストアを選択する] ではなく [証明書をすべて次のストアに配置する] をクリックして、[次へ] をクリックします。 
| 13. | [個人] ストアを強調表示させ、[OK] をクリックします。 
| 14. | [次へ] をクリックし、次に [完了] をクリックしてインポートを完了します。インポートが成功したかどうかを示すメッセージが表示されます。 
|
|
重要: データ回復エージェントにはドメインベースのアカウントを常に使用することをお勧めします。ローカル アカウントは物理的なオフラインの攻撃に対して脆弱なためです。
データを回復する
たとえば、暗号化したユーザーが退職している場合など、暗号化されたファイルを、それを暗号化したユーザーによって回復できない事態が発生した場合に、そのデータを回復して職場でアクセスできるようにする方法が必要です。このセクションでは、暗号化されたファイルまたはフォルダを回復する方法について説明します。そのためには、バックアップまたはその他のバックアップ ツールを使用して、暗号化されたユーザーのファイルまたはフォルダを、データ回復エージェントのファイル回復証明書と回復キーが存在するコンピュータ上に復元します。
この手順を実行するには、指定された回復エージェントである必要があります。つまり、回復するファイルまたはフォルダ上に示されている DRA の秘密キーと証明書を所有する必要があります。
要件
| • | ユーザー資格: データ回復エージェント |
| • | ツール: エクスプローラ |
| • | 暗号化されたファイルまたはフォルダを復元するには 1. | エクスプローラを開きます。 
| 2. | 回復対象の暗号化されたファイルまたはフォルダを右クリックして、[プロパティ] をクリックします。 | 3. | [全般] タブで [詳細設定] をクリックします。 
| 4. | [内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオフにします。 
| 5. | 暗号化解除されたファイルまたはフォルダのバックアップ バージョンを作成し、そのバックアップ バージョンをユーザーに返します。 注:
暗号化解除されたファイルのバックアップ バージョンは、電子メールの添付ファイルとして送信するか、ディスク上またはネットワーク ファイル共有上に保存してユーザーに返すことができます。
データを回復する別の方法として、回復エージェントの秘密キーと証明書を暗号化されたファイルが存在するコンピュータ上に物理的な方法で移送し、その秘密キーと証明書をインポートしてファイルまたはフォルダの暗号化を解除し、インポートした秘密キーと証明書を削除するという方法があります。この方法では上記の方法以上に秘密キーが公開されますが、バックアップや復元の処理またはファイルの転送が必要ありません。 |
|
最適な方法
暗号化されたファイルおよびフォルダを効率的に使用して管理するのに最適な方法を次に示します。
| • | 回復エージェントが自身の回復証明書をセキュリティ保護された場所にバックアップします。
Microsoft 管理コンソール (MMC) の証明書スナップインの [エクスポート] コマンドを使用して、ファイル回復証明書と秘密キーをフロッピー ディスクにエクスポートします。そのフロッピー ディスクをセキュリティ保護された場所に保管します。コンピュータ上のファイル回復証明書または秘密キーを破損または削除してしまった場合、MMC の証明書スナップインの [インポート] コマンドを使用して、破損または削除した証明書および秘密キーをフロッピー ディスク上にバックアップしたもので置き換えることができます。 |
| • | 既定のドメイン構成を使用します。
Windows 2000 または Windows Server 2003 のドメインでは、ドメインの Administrator が既定の DRA です。ドメインの Administrator が自分で署名した証明書が作成されるアカウントで最初にログインすると、秘密キーがコンピュータに保存され、既定のドメインのグループ ポリシーに、その証明書の公開キーがドメインの既定の DRA として格納されます。 |
| • | 喪失または失効した DRA の秘密キーは、直ちに更新します。
DRA 証明書の失効は重要な事象ではありませんが、DRA に関連する秘密キーの喪失または破損は、業務上大きな問題となる可能性があります。
失効した DRA 証明書 (秘密キー) は、以前に暗号化されたファイルの暗号化解除には使用できますが、ファイルの新たな暗号化や暗号化されたファイルの更新には、失効した証明書 (公開キー) を使用できません。DRA の秘密キーを喪失したか、DRA の証明書が失効した場合、新しい DRA 証明書を 1 つ以上、直ちに生成して、新しい DRA を反映するようにグループ ポリシーを更新することをお勧めします。ユーザーが新しいファイルを暗号化するときや、既存の暗号化されたファイルを更新するとき、ファイルは、新しい DRA 公開キーで自動的に更新されます。場合によっては、既存のファイルをすべて更新して新しい DRA を反映させるようにユーザーに通知する必要があります。
Windows XP では、コマンドライン ユーティリティ cipher.exe は更新されていて、/U パラメータを使用してローカル ドライブ上にあるすべてのファイルのファイル暗号化キー、または回復エージェント キーを更新できます。次の例では、Cipher.exe が実行されるローカル ドライブ上の 2 つの暗号化されたファイルが更新されます。
Cipher.exe /U
C:\Temp\test.txt: Encryption updated.
C:\My Documents\wordpad.doc: Encryption updated.
注: 証明機関の関係しない、ドメイン内の既定の自己署名された証明書を使用する場合、その証明書の有効期間は 99 年です。 |
モバイル ユーザーのデータを盗難または紛失から保護するのに最適な方法を次に示します。
| • | コンピュータの物理的な保護は最も重要です。コンピュータを盗難や物理的な危険から守る、考えられるすべての予防策を実行してください。これに勝る技術的な手段はありません。 |
| • | モバイル コンピュータは常に、Active Directory ドメインの一部として使用してください。 |
| • | ユーザーの秘密キーはモバイル コンピュータとは別の場所に格納して、必要な場合はインポートするようにしてください。 |
| • | マイ ドキュメントのような一般的なフォルダや一時使用のフォルダは暗号化して、新しいファイルや一時ファイルがすべて、作成されたときに暗号化されるようにします。 |
| • | データの機密性が著しく高い場合、新しいファイルの作成先、および既存のプレーンテキスト ファイルのコピー先は暗号化されたフォルダにします。これにより、コンピュータ上にプレーンテキスト形式のファイルは存在しなくなり、巧妙なディスク分析攻撃によって一時的なデータ ファイルが復元されることがなくなります。 |
| • | グループ ポリシー、ログオン スクリプト、およびセキュリティ テンプレートの組み合わせを使用して、ドメイン内のフォルダの暗号化を強要し、マイ ドキュメントのような標準的なフォルダが暗号化されるようにします。 |
| • | Windows XP オペレーティング システムは、オフライン ファイルのデータの暗号化をサポートします。クライアント側のキャッシング ポリシーを使用するときに、ローカルにキャッシュされるオフラインのファイルおよびフォルダが暗号化されるようにします。 |
| • | モバイル コンピュータ上で、システム キー ユーティリティ SYSKEY をモード 2 またはモード 3 (ブート フロッピーまたはブート パスワード) で使用して、不特定のユーザーによってシステムがブートされるのを防ぎます。システム キー ユーティリティおよびそのオプションについては、Windows のオンライン ヘルプを参照してください。 |
| • | 委任に対して信頼されている、暗号化されたファイルを格納するためのサーバーのグループ ポリシーで、サーバー メッセージ ブロック (SMB) 署名を有効にします。この設定が存在するグループ ポリシー内の場所は、=グループ ポリシー オブジェクト名?\コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク サーバー : 常に通信にデジタル署名を行うです。 |
| • | ファイルを暗号化した後、およびその後定期的に、暗号化されていないデータがハード ドライブから削除されていることを確認してください。 |
関連情報
EFS の詳細については、次を参照してください。