あなたはWindows XP ProfessionalをインストールしたノートPCを持ち歩いている。このPCには高い機密レベルの情報が保存されている。あなたはPCの盗難リスクに対処するため,暗号化ファイル・システム(EFS)を導入したい。ただし,暗号化されたファイルには,あなたとあなたのアシスタントの両方がアクセスできなければならない。さらに,一部の機密ファイルには,アシスタントもアクセスできないようにしたい。どのようにすればよいか。なお,あなたとあなたのアシスタントは異なるユーザー・アカウントを使う。

1:EFS回復エージェントとしてアシスタントを追加し,その後,あなたがファイルを暗号化する。
2:あなたがファイルを暗号化し,その後,EFS回復エージェントとしてアシスタントを追加する。
3:あなたが暗号化したファイルに対して,アクセス可能なユーザーとしてアシスタントを追加する。
4:EFSを複数人で使用することはできない。

正解:3

 暗号化ファイル・システム(EFS)はNTFSの機能であり,ディスク上に保存されるファイルの内容を暗号化する。暗号化されたファイルは,復号キーがないと読めないため,ハードディスクの盗難対策として利用できる。復号キーはユーザー・プロファイルに保存され,ファイルは自動的に復号化される。


図1●暗号化したファイルにアクセスできるユーザーを追加する
[画像のクリックで拡大表示]

 EFSはWindows 2000で導入されたが,その時点ではEFSの暗号化ユーザーを1人しか設定できなかったため,複数のユーザーで暗号化ファイルを共有できなかった。Windows XP Professionalからこの制限が撤廃され,暗号化ファイルにアクセスできるユーザーを追加できるようになった(図1[拡大表示])。ただし,追加できるのは個人ユーザーだけであり,グループは追加できない。マネージャが秘書に対して暗号ファイルの利用権限を与えるような場面を想定しているからだ。

 アクセスを許可する前提条件として,ユーザーは暗号化のためのデジタル証明書を持ち,かつデジタル証明書がファイルの暗号化を実施するコンピュータに存在する必要がある。図1のアクセス権設定画面でも,ユーザー・アカウントではなく,当該ユーザーのデジタル証明書を指定している。証明書を作成する最も簡単な方法は,証明書を作成したいユーザーとしてコンピュータにログオンし,そこで暗号化ファイルを作成することだ。

 「回復エージェント」は,すべての暗号化ファイルに自由にアクセスできる特別なユーザーである。回復エージェントを設定する場合は,ファイルを暗号化する前に指定しておく必要がある。ファイルを暗号化した後に回復エージェントを変更しても,暗号化済みのファイルの属性には反映されない。

 設問では,(1)あなたとあなたのアシスタントにだけファイルのアクセスを許可したい,(2)アシスタントにもアクセスされたくないファイルが存在する——という要件により,あなたが暗号化したファイルに対して,アシスタントにアクセスを許可する手順が最も適切である。

 回復エージェントとしてアシスタントを追加し,その後にあなたがファイルを暗号化した場合,アシスタントはすべての暗号化ファイルにアクセスできてしまう。これでは(2)の要件を満たせない。

 逆に,あなたがファイルを暗号化し,その後に回復エージェントとしてアシスタントを追加した場合,アシスタントは既存の暗号化ファイルに一切アクセスできない。これにより(1)の要件を満たせなくなる。