情報を漏らさない PCの盗難・紛失対策：個人情報保護時代の情報セキュリティ（2/4 ページ）

[桜井勇亮，ITmedia]

PC内のデータを暗号化する

　権限を持たない人間がPC内の情報にアクセスすることを防ぐ最も初歩的なセキュリティ対策として、WindowsログインID／パスワードやBIOSで設定する起動パスワードがある。しかし、これらの対策だけでは、HDDを物理的に取り外し、ほかのOSで起動したPCに接続すれば、元のPCのパスワードが分からなくても、中のファイルを見ることが可能だ。そのため、情報漏えい対策としてはほとんど無意味だと言える。

　「では、PCのパスワードなど設定する必要はないのか？」という疑問の声が上がりそうだが、、パスワードの管理は後述する暗号化の機能にも絡んでおり、非常に重要である。またこの問題は、現在のOSとハードウェアの関係が持つ根本的な脆弱性に起因しているため、後ほど改めて触れることとする。

ファイル（フォルダ）単位の暗号化

　Windows 2000／XP Professional／2003 Serverは、EFS（Encrypting File System）というNTFSでフォーマットされたディスク内のファイルやフォルダを暗号化する機能を標準搭載している。これらのOSを利用していて、安価に暗号化対策を実施したい場合にはEFSは非常に有用なツールとなる。

　EFSを利用してファイルやフォルダを暗号化するには、以下の手順で行う。

（1）エクスプローラ上で暗号化したいファイル（フォルダ）を右クリックして「プロパティ」を選択する

（2）プロパティ設定画面の属性欄の「詳細設定」ボタンをクリックする

（3）「内容を暗号化してデータをセキュリティで保護する」のチェックボックスをオンにする

（4）「OK」ボタンを押して、属性の詳細画面を閉じる

（5）「OK」ボタンを押して、プロパティ画面を閉じる

（6）再度（1）（2）の手順を行うと、「詳細」ボタン（画面）が有効になり、復号できるユーザーを追加できる

EFSの設定

　暗号化されたファイルは、ファイル名のフォントが青色（Windows 2000）か緑色(Windows XP／2003 Server）で表示される。こうしておくと、ほかのアカウントでログインした場合でもファイルを開けなくなる。もちろんHDDを抜かれて情報を見られる可能性も少ない（注：ファイル名は暗号化されないので、顧客名などを含めない方がよい）。

　ただ、ここで注意しなければならないのは、EFSによる暗号化はアカウントごとに作成された公開鍵で行われており、復号はこれと対になる秘密鍵によって行われるという点だ。この秘密鍵が盗まれると暗号が解読できてしまう。ローカルコンピュータでEFSを利用する場合、秘密鍵もローカルディスクに保存される（Windowsドメイン環境下では、ドメインコントローラに保存されるため、ローカルには残らない）。つまり、パスワードの推測などによって、アカウントが乗っ取られると、暗号化ファイルも解読されてしまうのである。EFSを利用する場合は、パスワード強度に十分十分留意することが重要だ。

　なお、EFSは安価に使える非常に優れたツールだが、Windowsの設定によっては脆弱性があることも報告されている。利用する際には鍵の安全な保管を意識すべきである。また、システムクラッシュなどで鍵を紛失してしまう可能性に備えて、秘密鍵をエクスポートして別メディアで保管するか、全暗号化データを復号する権限のある回復エージェントを追加しておくことも忘れてはいけない。