暗号化ファイル システム (EFS)

暗号化ファイル システム (EFS) は、暗号化したファイルを NTFS ファイル システムのボリュームに保存するために使用される、ファイル暗号化のコア テクノロジです。暗号化されたファイルは、情報の暗号化を解除するのに必要なキーにユーザーがアクセスできる場合以外は使用できません。

暗号化されたファイルを使用する前に、手動で暗号化を解除する必要はありません。通常のようにファイルを開いて変更できます。ファイルやフォルダーを暗号化したら、その他のファイルやフォルダーを操作する場合とまったく同様に、暗号化されたファイルやフォルダーを操作します。

EFS を使用することは、ファイルおよびフォルダーに対してアクセス許可を使用することと似ています。どちらの方法も、データへのアクセスを制限するために使われます。ただし、暗号化されたファイルまたはフォルダーに対し、承認なく侵入者が物理的なアクセスに成功しても、ファイルやフォルダーを読み取ることはできません。侵入者が暗号化されたファイルやフォルダーを開こうとしたり、コピーしようとしたりすると、アクセス拒否のメッセージが表示されます。ファイルやフォルダーでアクセス許可を使用した場合は、承認されていない物理的な攻撃から保護されません。

読み取り専用ファイル、圧縮ファイル、隠しファイルなどの他の属性を設定する場合と同様に、フォルダーとファイルの暗号化プロパティを設定して、暗号化または暗号化の解除を行います。フォルダーを暗号化すると、その暗号化フォルダーに作成されたすべてのファイルとサブフォルダーが自動的に暗号化されます。フォルダー レベルで暗号化を行うことをお勧めします。

Cipher コマンドを使用して、ファイルやフォルダーの暗号化または暗号化の解除を行うこともできます。

暗号化されたファイルやフォルダーを扱うときには、次の点に注意してください。

• NTFS ボリューム上のファイルとフォルダーのみ暗号化できます。ただし、NTFS でも動作する WebDAV (Web Distributed Authoring and Versioning) を使用して、暗号化された状態でファイルを転送できます。
  
  
• 圧縮されたファイルやフォルダーを暗号化することはできません。ユーザーがファイルやフォルダーを暗号化するようマークすると、圧縮は解除されます。
  
  
• NTFS ボリュームではないボリュームに暗号化されたファイルをコピーまたは移動すると、暗号化が解除されます。
  
  
• 暗号化されていないファイルを暗号化されたフォルダーに移動すると、それらのファイルは新しいフォルダー内で自動的に暗号化されます。ただし逆の操作では、ファイルの暗号化は自動的には解除されません。ファイルの暗号化は明示的に解除する必要があります。
  
  
• システム属性でマークされているファイルは暗号化できません。システムのルート ディレクトリ構造内にあるファイルも同様です。
  
  
• フォルダーやファイルを暗号化しても、ファイルやディレクトリの削除または一覧表示を防ぐことはできません。適切なアクセス許可を持つユーザーはすべて、暗号化されたフォルダーやファイルの削除や一覧表示を行えます。このため、NTFS アクセス許可と組み合わせて EFS を使用することをお勧めします。
  
  
• リモート暗号化が有効になっているリモート コンピューターにあるファイルやフォルダーについては、暗号化や暗号化の解除を行うことは可能ですが、この処理によってネットワークを介して転送されるデータは暗号化されません。ネットワークを介してデータが転送される間は、Secure Sockets Layer/Transport Layer Security (SSL/TLS) やインターネット プロトコル セキュリティ (IPsec) などの他のプロトコルを使用してデータを暗号化する必要があります。(最初の箇条書きで説明したように、WebDAV を使用して、暗号化された状態でファイルを転送することもできます。)
  
  

EFS のポリシー設定