ネットブックに代表されるモバイルPCが流行している。小さなパソコンを外へ持ち出して、どこでもネットに接続できるのは確かに便利である。だが、このことは同時に盗難や紛失による情報漏洩の危険も増えることを意味している。そうした危険の対策として役立つのが、ファイル暗号化機能だ。

 Windows 2000以降なら、企業向けのエディションにはNTFSを利用したファイル暗号化機能が搭載されている。Windows 7では、その暗号化の方式が変更され、よりセキュリティが向上している。今回は、Windows 7の「ファイル暗号化機能」に焦点を当ててみる。

Windowsと一体化したEFS暗号化

 Windowsでは、ファイルにアクセス権を指定してデータを保護できる。にも関わらず、なぜ盗難や紛失に備えてファイルを改めて暗号化しなければならないのだろうか。それは、アカウントによるアクセス権の制限というのは、基本的にそのマシンでしか有効でないからだ。もしハードディスク本体を取り外して、別のマシンへ接続してしまえば、設定されているアクセス権に関係なくデータを物理的に読み出すことが可能になってしまう。

 そこで、Windows 2000の企業向けエディションには、NTFSフォーマットによる「EFS(Encrypting File System)」と呼ぶ暗号化機能が導入された。「EFS」で暗号化しておけば、仮に物理的なアクセスが可能となっても、中のデータが暗号化されているので解読するための暗号化キーがなければ「復号」できない。このEFSによる機能は、Windows XP ProfessionalやWindows Server 2003に受け継がれ、さらにはWindows VistaのBusiness、Ultimate、Enterpriseといった各エディションでもサポートされた。Windows 7でも当然、Professional、Ultimate、Enterpriseのエディションで「EFS」を使うことができる。しかもWindows 7の「EFS」は、従来の素因数分解を応用した「RSA暗号」だけでなく、「楕円曲線暗号化(ECC)」という暗号化方式を採用して、さらなるセキュリティ強化が図られている(Microsoft TechNet「EFSの変更点」)。

 ちまたには数多くの暗号化ソフトがある。これらを使えば、「EFS」でなくてもファイルを暗号化できる。ただ「EFS」は、Windowsのユーザー認証やNTFSファイル・システムと完全に融合しているのが最大の特徴である。たとえばフォルダを暗号化して「暗号化フォルダ」を作っておけば、そのフォルダにファイルを保存するだけで自動的に暗号化される。暗号化フォルダからファイルを取り出す際にも、通常のファイルのように取り出すだけで勝手に復号化された状態となって取り出せる。つまり、ユーザーにとっては暗号化していることをまったく意識せずに、あたかも通常のファイルと同じように安全な「暗号化ファイル」を扱える点が、他の暗号化ソフトにはなかなか真似のできないところなのだ。もちろんファイルの中身は暗号化しているので、ハードディスクを本体から取り出されて中のファイルを見ようとしても暗号化されていてデータは読み出せない。