Menu

Windowsの暗号化機能である『EFS』でファイルやフォルダを暗号化する方法を解説。

 

以前、Windowsの暗号化機能として『Bitlocker』の使い方を記事にしました。

Bitlockerだけでもかなり長い記事になったので、別記事として書くことにしました。

今回はWindowsに搭載されているBitlocker以外での暗号化機能『EFS』と『ATAパスワードロック』について解説します。

EFSでフォルダやファイルを暗号化する

Windows2000から用意されているWindows機能にEFSと言うものがあります。

EFSとはEncrypting File Systemの略で、暗号化ファイルシステムのことです。

BitLockerがドライブおよびパーティション単位で暗号化するのに対し、EFSはフォルダやファイル単位で暗号化できます。

EFSのメリット

EFSを使うメリットを見てみましょう。

  • 「重要なファイルだけを暗号化する」と言った融通が利く
  • 暗号化アルゴリズムはWindows Server 2003、Windows Vista以降でAES 256ビットが採用されている
  • 証明書をインストールすることで他のパソコンでも暗号化したファイルを扱える

主な用途としては、重要なファイルだけを暗号化して保護する目的で使われます。

EFSのデメリットと注意点

EFSにはメリットもある反面、いくつかのデメリットや注意点があります。

  • システムファイルなど暗号化できないファイルがある
  • EFSの復号化キーが同じOS内に保存される
  • ファイルに読み書きする都度、暗号化と復号化のプロセスが実行されるので速度が遅くなる
  • クリーンインストール時にはキー値が変わるのでパスワードを忘れるとファイルにアクセスできなくなる
  • 管理者権限でログインされたらパスワードなしでファイルを開ける
  • フォルダやファイル単位なので暗号化したかどうかを把握しておく必要がある

EFSで暗号化する前に、管理者はサインインオプションを生体認証にするなどの見直しを検討することをおすすめします。

また、パソコンのアップグレードやクリーンインストールの際には、一旦EFSを無効化して実行するようにします。そうすれば、ドライブを移動した時にも証明書をインストールしてパスワードを入力してと言った面倒なプロセスでファイルにアクセスする必要がなくなります。

では、EFSの使い方を見ていきましょう。

EFSを有効にする

ファイルやフォルダを選択して右クリックメニューから「プロパティ」をクリックして「詳細設定」をクリックします。

「内容を暗号化してデータをセキュリティで保護する」にチェックを入れます。

前の画面に戻るので「OK」をクリックします。

「変更をこのフォルダー、サブフォルダーおよびファイルに適用する」を選択して「OK」をクリックします。

証明書のバッアップをとる

続いて証明書のバックアップをとり、暗号化されたファイルを更新します。

「コントロールパネル」→「ユーザーアカウント」→「ユーザーアカウント」と進み、左メニューにある「ファイル暗号化証明書の管理」をクリックします。

「次へ」をクリック。

「今すぐ証明書とキーをバックアップする」の項目にバッアップの保存先を選択してパスワードを設定して「次へ」をクリックします。

暗号化したファイルの更新画面では、必ず暗号化したフォルダにチェックを入れて「次へ」をクリックします。

証明書の有効期限とバックアップ先を確認します。

EFSで暗号化したフォルダやファイルは、証明書を持つパソコン以外では開くことができなくなります。

EFSで暗号化したファイルをサブPCなどで開きたい場合は、バックアップした証明書をインストールすることで開けるようになります。ただし、インストールするには証明書を作成した時に設定したパスワードが必要になります。

他のパソコンに証明書をインストールする場合はパスワードが必要になる

ATAパスワードロックを有効にする

ATAパスワードロックはハードディスクパスワードとも呼ばれ、ハードウェアレべルでハードディスク自体にパスワードを設定できます。

パソコンは起動時に接続されているハードウェアが正常に動作するのを認識してからログイン画面へと移行します。

つまりATAパスワードを設定すると、ログイン画面が表示される前にパスワードを求められるようになります。

BitLockerやEFSはデータを暗号化している為、セキュリティ保護的には強い部類に入りますが、アクセス速度が遅くなると言うデメリットもあります。

ATAパスワードロックはハードディスクを暗号化するわけではないので、パスワードを設定しても通常の速度でアクセスが可能です。

また、ATAパスワードロックを設定するとハードディスクを盗難されて他のパソコンに接続しても正しいパスワードを入力しない限りアクセスできません。

ただし、パスワードを忘れると起動すらしないのでWindowsにログインできなくなります。万が一パスワードを忘れた場合はそのハードディスクの中身は諦めるしかありません。パスワードは絶対に忘れないよう厳重に保管しないといけません。

ATAパスワードは一見強力に見えますが、悪意のある第三者に盗難された場合、専用のパスワード解除ツールで解除される可能性もゼロではありませんので、過信は禁物です。

ATAパスワードロックの有効化

まず、BIOSを起動します。※BIOSはパソコンのハードウェアを制御するシステムなので、操作方法などをよく調べて設定しないと最悪パソコンが起動しなくなることもあります。面倒臭かったり分からない場合は無理に設定するのはやめておいた方がいいです。

パソコンの電源を入れてメーカーロゴが表示されている画面でキーボードのF2F12Deleteを何回か押していると表示されます。BIOSの起動方法はメーカーにより異なりますので、詳細はメーカーのHPで調べてください。

BIOSのメイン画面の「セキュリティ」に「ハードディスク保護」と言う項目が表示されていれば設定できます。

ATAパスワードが設定できないパソコンの場合

自作PCなどでATAパスワードロック機能がない場合は、ハードディスクにパスワードを設定できるHDDケースが販売されています。

下のような商品で、HDDケース自体にタッチパッドが搭載されていてパスワードを設定できます。価格はそれなりにしますが、ほぼ物理的にパスワードを設定できますのでこう言った商品を活用するのもアリかと思います。

StarTech.com パスワードロック機能搭載SATA 3.0対応2.5インチHDD/SSDケース USB 3.0接続 256ビットAES暗号化アルゴリズム S2510BU33PW
created by Rinker
スターテック(STARTECH.COM)

あとがき

今回はWindows機能でできるハードディスクセキュリティ対策をご紹介しましたが、いずれも回復キーやパスワードの管理が大事になってきます。

重要なファイルにアクセスできなくなったのでは元も子もありません。

その辺りはご自身の裁量で支障がでない程度に設定してみてください。

参考元リンク

関連記事

  • このエントリーをはてなブックマークに追加
  • Pocket