Windows クライアントでのファイル システム暗号化について調べる
EFS は、Windows ベースのシステム用の組み込みファイル暗号化ツールです。 EFS は NTFS ファイル システムのコンポーネントであり、高度で標準的な暗号化アルゴリズムを使用して、透過的なファイルの暗号化と暗号化解除を可能にします。 Windows の Windows 情報保護機能を通して、FAT32 ファイル システムを使用するボリューム上でも EFS 機能がシミュレートされます。 適切な暗号化キーを保持する証明書ストアにアクセスできない個人またはアプリは、暗号化されたデータを読み取ることができません。 ファイルが保存されているコンピューターが物理的に誰かの手に渡ったとしても、暗号化されたファイルを保護できます。 コンピューターとそのファイル システムへのアクセスを認可されたユーザーであっても、暗号化されたデータを表示することはできません。
暗号化は、あらゆる防御計画に対する強力な追加機能です。 ただし、暗号化はすべての脅威に対して正しい対策であるとは限らないため、追加の防御戦略を採用する必要があります。 さらに、防御のための武器はすべて、使い方を間違えるとデータに損害を与える可能性があります。 EFS を実装する場合、最も重要なタスクは、ユーザーの EFS 証明書を適切に管理することです。 EFS によって実行される暗号化は、ユーザー証明書とその公開キーおよび秘密キーに基づいています。 適切な証明書管理を行わないと、暗号化されたデータにアクセスできないという状況に簡単に陥る可能性があります。
EFS 証明書を管理する
EFS での暗号化には公開キー暗号が使用されます。 EFS により、ユーザーの EFS 証明書からキーが取得されます。それには秘密キー情報が含まれている場合もあります。 そのため、それらを正しく管理する必要があります。
ユーザーは、データを暗号化するために非対称キー ペアを必要とし、次のようにキーを取得できます。
- 証明機関 (CA) から。 内部またはサードパーティの CA が、EFS 証明書を発行できます。 この方法はキーの中央管理とバックアップを提供します。 ユーザー証明書が失われた場合は復元できるため、EFS 証明書を発行して管理するには、この方法をお勧めします。
- それらを生成することによって。 CA が利用できない場合、Windows によってキー ペアが生成されます。 これらのキーの有効期間は 100 年です。 この方法は、中央管理がなく、ユーザーが自分のキーを管理する責任を負うため、CA を使用するよりも難しくなります。 さらに、回復の管理がより困難になります。 ただし、セットアップが不要なため、依然として一般的な方法です。
ユーザーは、暗号化されたファイルを他のユーザーの EFS 証明書からアクセス可能にすることができます。 別のユーザーの EFS 証明書に対してアクセスを許可すると、そのユーザーは、それらのファイルをさらに別のユーザーの EFS 証明書に対して利用可能にすることができます。
DRA の証明書を発行する
組織で EFS の使用を開始する前に、データ回復エージェント (DRA) 用の証明書を発行することが非常に重要です。 この証明書は、ファイルを暗号化したユーザーが暗号化を解除できない、または暗号化を解除することを望まないシナリオで使用されます。 DRA 証明書を持つユーザーは、組織内の暗号化されたファイルを暗号化解除できます。 これは、DRA 証明書の発行後に暗号化されたすべてのファイルに適用されます。
EFS 証明書は、個々のユーザーに対してのみ発行できます。 EFS 証明書をグループに対して発行することはできません。
CA は CA が発行した EFS 証明書をアーカイブおよび回復できる
CA を使用して EFS 証明書を発行する場合は、ユーザーの秘密キーのアーカイブ処理を構成できます。 ユーザーの EFS 証明書の発行を開始する前に、これを構成する必要があります。 この機能を使用しない場合、ユーザーは自分で生成した EFS 証明書と秘密キーを手動でバックアップする必要があります。 これを行うには、Personal Exchange File (.pfx) に証明書と秘密キーをエクスポートできます。これはエクスポート プロセス中にパスワードで保護されます。 ユーザーの証明書ストアに証明書をインポートするには、このパスワードが必要です。 Windows では、組み込みのツールを使用して、EFS に使用されるユーザー証明書の管理とバックアップを行うこともできます。 EFS を使用する各ユーザーは、このツールを使用して、自分の証明書を秘密キーと共に外部の保護された場所にバックアップすることをお勧めします。
秘密キーを含めずにクライアント EFS 証明書をエクスポートする
公開キーのみを配布する必要がある場合は、秘密キーを含まないクライアント EFS 証明書を Canonical Encoding Rules (.cer) ファイルにエクスポートできます。 ユーザーの秘密キーは、RSA フォルダー内のユーザーのプロファイルに格納されます。それにアクセスするには、[AppData]>[Roaming]>[Microsoft]>[Crypto] を展開します。 ただし、キーのインスタンスは 1 つだけであるため、ハード ディスクの障害やデータの破損に対して脆弱であることに注意してください。
MMC 証明書スナップインを使用して証明書をエクスポートする
Microsoft 管理コンソール (MMC) 証明書スナップインを使用すると、証明書と秘密キーがエクスポートされます。 個人証明書ストアには、EFS 証明書が含まれています。 ユーザーがリモート共有フォルダー内のファイルを暗号化すると、そのユーザーのキーがファイル サーバーに格納されます。
EFS のしくみ
基本的な EFS 暗号化機能のしくみは次のとおりです。
- ファイルが開くのは、必要なキーを持つユーザーがファイルを開いた場合です。 ユーザーがキーを持っていない場合、ユーザーはアクセス拒否メッセージを受け取ります。
- ファイル暗号化に対称キーを使用します。これはユーザーの公開キーを使用して暗号化され、ファイル ヘッダーに格納されます。 さらに、ユーザーのプロファイルに、ユーザーの公開キーと秘密キー (非対称キー) を含む証明書を格納します。 ユーザーの秘密キーは、ファイルの暗号化解除に使用できる必要があります。
- 秘密キーが破損した場合や紛失した場合、ファイルの暗号化を解除できません。 データ回復エージェントが存在する場合、ファイルは回復可能です。 キーのアーカイブ処理を実装すると、キーを回復してファイルの暗号化を解除できます。 そうしない場合、ファイルが失われる可能性があります。 暗号化の基盤となる証明書システムは、公開キー基盤 (PKI) と呼ばれます。
- 公開キーと秘密キーを含むユーザーの証明書をアーカイブできます。 たとえば、USB フラッシュ ドライブにエクスポートし、キーの破損または紛失時に回復できるように、USB フラッシュ ドライブを安全な場所に保管できます。
- ユーザーのパスワードによって公開キーと秘密キーを保護します。 ユーザー ID とパスワードを取得できるすべてのユーザーは、そのユーザーとしてサインインし、そのユーザーのファイルの暗号化を解除できます。 そのため、組織のセキュリティ プラクティスには、EFS で暗号化されたファイルを保護するための強力なパスワード ポリシーとユーザー教育が含まれている必要があります。
- EFS で暗号化されたファイルは、共有フォルダー上のファイルを操作するときなど、ネットワークを通過するときは暗号化された状態を維持しません。 ファイルは、暗号化が解除され、暗号化されていない状態でネットワークを通過します。 それを暗号化の対象として構成されているローカル ドライブ上のフォルダーに保存すると、EFS によってローカルに暗号化されます。 EFS で暗号化されたファイルは、World Wide Web 分散オーサリングとバージョン管理 (WebDAV) プロトコルを使用して Web フォルダーに保存すると、ネットワーク通過中も暗号化されたままになります。 インターネット プロトコル セキュリティ (IPSec) を使用して暗号化されるようにネットワーク トラフィックを構成した場合も、暗号化された状態を維持できます。
- Advanced Encryption Standard (AES) を含む業界標準の暗号化アルゴリズムが EFS でサポートされています。 AES は 256 ビットの対称暗号化キーを使用しており、既定の EFS アルゴリズムです。
Windows 10 の EFS 機能
さらに、Windows で EFS を実装する場合は、次の機能に注意してください。
- スマート カードに秘密キーを格納するためのサポート。 Windows には、スマート カードにユーザーの秘密キーを格納するための完全なサポートが含まれています。 ユーザーがスマート カードを使用して Windows にサインインした場合、EFS でもスマート カードをファイル暗号化に使用できます。 管理者は、ドメインの回復キーをスマート カードに格納できます。 そうすると、ファイルの回復が簡単になり、影響を受けたマシンにローカルにまたはリモート デスクトップを使用してサインインし、回復スマート カードを使用してファイルにアクセスできます。
- 暗号化ファイル システムのキー更新ウィザード。 暗号化ファイル システムのキー更新ウィザードを使用すると、ユーザーは EFS 証明書を選択し、新しく選択したその EFS 証明書を使用する既存のファイルを選択して、移行できます。 管理者は、ウィザードを使用して、既存のインストールのユーザーをソフトウェア証明書からスマート カードに移行できます。 このウィザードは、ファイルを暗号化解除して再び暗号化するよりも効率的であるため、回復の状況でも役立ちます。
- EFS のグループ ポリシー設定。 グループ ポリシーを使用して、エンタープライズ全体の EFS 保護ポリシーを一元的に制御および構成できます。 たとえば、Windows でローカル セキュリティ ポリシーまたはグループ ポリシーを使用して、ページ ファイルの暗号化を許可します。
- オフライン ファイルのユーザーごとの暗号化。 EFS を使用して、リモート サーバーにあるファイルのオフライン コピーを暗号化できます。 このオプションを有効にすると、オフライン キャッシュ内の各ファイルは、ファイルをキャッシュしたユーザーの公開キーを使用して暗号化されます。 したがって、そのユーザーのみがファイルにアクセスでき、ローカル管理者であっても、ユーザーの秘密キーにアクセスできなければファイルを読み取ることができません。
- 選択的ワイプ。 企業環境における Windows の機能の 1 つが選択的ワイプです。 デバイスが紛失または盗難にあった場合、管理者は、デバイス上のファイルを保護するために、使用されている EFS キーを取り消すことができます。 キーを取り消すと、ユーザーのデバイスに格納されているデータ ファイルへのすべてのアクセスが阻止されます。