【Windows 11】自分でできる情報漏えい対策:フォルダの暗号化:Tech TIPS
顧客情報などの大事なデータを普通にPCのフォルダに保存しておくと、第三者がフォルダをコピーしてデータを盗まれてしまうなどの危険がある。こうしたデータは、保存先のフォルダごと暗号化して、万一に備えておくとよい。そこで、本Tech TIPSではWindows 11でフォルダを暗号化する方法を紹介するとともに、暗号化する際に注意点などについても取り上げる。
対象:Windows 11
Windows 11でフォルダを暗号化して情報漏えいのリスクを低減する顧客情報などの大事なデータを普通にPCのフォルダに保存しておくと、第三者がフォルダをコピーしてデータを盗まれてしまうなどの危険がある。こうした事態を防ぐには、大事なデータを保存するフォルダを暗号化しておくとよい。その方法を紹介しよう。
顧客や開発中の製品など、情報が流出すると顧客や会社に大きな被害を与えるデータを扱うこともあるだろう。このようなデータを普通にPCのフォルダに保存しておくと、第三者がフォルダをコピーしてデータを盗まれてしまうなどの危険がある。
こうした大事なデータは、保存先のフォルダごと暗号化して、万一に備えておくとよい。そこで、本Tech TIPSではWindows 11でフォルダを暗号化する方法を紹介するとともに、暗号化する際に注意点などについても取り上げる。
なお、ここではActive Directoryドメインに所属していないワークグループ構成のWindows 11を想定している。ドメイン所属の場合は、挙動や証明書(後述)の取り扱いが異なるので注意していただきたい。
フォルダを暗号化する
Windows 11 Homeを除くエディションでは、標準で「EFS(Encrypting File System:暗号化ファイルシステム)」と呼ばれるファイルやフォルダの暗号化機能が実装されている。既に圧縮属性が指定されているファイルや一部のシステムファイルなどを除き、簡単に暗号化できる。
EFSでは、ファイル単体を暗号化することも可能だ。ただし、アプリケーションでファイルを書き換えると、暗号化が解除されてしまう。一方、フォルダごと暗号化しておけば、暗号化された状態を維持できるので安全だ。そこで以下では、フォルダを暗号化する方法に絞って手順を解説する。
フォルダを暗号化した場合、そのフォルダ内に作成されたファイルや、別の場所からそのフォルダにコピーされたファイルなどは、自動的に暗号化が実行されるため、大事なデータは暗号化したフォルダに保存するだけでよい。
Windows 11でフォルダを暗号化するには、エクスプローラーで暗号化したいフォルダの右クリックメニューで[プロパティ]を選択する。[<フォルダ名>のプロパティ]ダイアログが開くので、[全般]タブの[詳細設定]ボタンをクリックする。
[属性の詳細]ダイアログが開いたら、「圧縮属性または暗号化属性」欄の「内容を暗号化してデータをセキュリティで保護する」にチェックを入れ、[OK]ボタンをクリックする。Windows 11 Homeの場合、この項目はグレーアウトされていてチェックできないので注意してほしい。
[<フォルダ名>のプロパティ]ダイアログに戻ったら、[OK]ボタンまたは[適用]ボタンをクリックすると、[属性変更の確認]ダイアログが開くので、「変更をこのフォルダー、サブフォルダーおよびファイルに適用する」が選択されていることを確認して、[OK]ボタンをクリックする。
フォルダを暗号化する(4)[<フォルダ名>のプロパティ]ダイアログに戻ったら、[OK]ボタンまたは[適用]ボタンをクリックすると、[属性変更の確認]ダイアログが開くので、「変更をこのフォルダー、サブフォルダーおよびファイルに適用する」が選択されていることを確認して、[OK]ボタンをクリックする。なお、このダイアログは暗号化するフォルダが空の場合には表示されない。
フォルダが暗号化されると、エクスプローラー上でフォルダ名が緑色に変わる。なお、エクスプローラーの[フォルダーオプション]ダイアログの[表示]タブにある「詳細設定」欄で「暗号化や圧縮されたNTFSファイルをカラーで表示する」にチェックが入っていないと色が変わらないので注意してほしい。フォルダを暗号化する場合は、色で判別できるように、ここにはチェックを入れておいた方がよいだろう。
暗号化したフォルダの色を変更する(1)エクスプローラーの[フォルダーオプション]ダイアログの[表示]タブにある「詳細設定」欄で「暗号化や圧縮されたNTFSファイルをカラーで表示する」にチェックを入れる。
暗号化したフォルダに別のアカウントでサインインして開こうとすると、「このファイルを開くためのアクセス許可がありません」というダイアログが表示されてファイルは開けない。ただ、以下の画面のようにファイル名やフォルダ名は見えてしまう点に注意してほしい。
別のアカウントで暗号化したフォルダを開く(1)暗号化したのと異なるアカウントで暗号化したフォルダを開くと、フォルダ内のファイル名が表示される(フォルダを開く際に、フォルダを作成したアカウントのPINなどの入力が求められることもある)。ファイル名に秘密情報を含めないように気を付ける必要がある。
証明書をバックアップする
フォルダを暗号化すると、通知領域の上に「ファイル暗号化キーのバックアップ」という通知が表示される。何らかの理由から暗号化したフォルダやファイルにアクセスできなくなった場合に利用する証明書などを、バックアップすることを勧める通知だ。
この通知が表示されたら、通知をクリックすると、[証明書のエクスポート]ウィザードが起動し、証明書などのバックアップが可能になる。
証明書をバックアップする(6)証明書のバックアップ先フォルダとファイル名を指定する。証明書をなくすと、万一の際にフォルダが開けなくなるので、USBメモリなどに保存し、鍵のかかった引き出しなどにしまっておくとよい。
証明書をなくすと、万一の際にフォルダが開けなくなるので、USBメモリなどに保存し、鍵のかかった引き出しなどにしまっておくとよい。また証明書を保存したときに設定したパスワードもなくさないように注意すること。
手動で証明書をバックアップする
証明書のバックアップを促す通知の表示を見逃してしまったような場合は、「証明書マネージャーツール」を使えば、証明書のバックアップが可能だ。
[Windows]+[R]キーを押して[ファイル名を指定して実行]ダイアログを開き、入力ボックスに「certmgr.msc」と入力する。[Enter]キーを押すと、「証明書マネージャーツール」が起動できる。
「証明書マネージャーツール」が起動したら、左ペインのツリーで[個人]−[証明書]を選択する。右ペインに証明書の一覧が表示されるので、「目的」欄が「暗号化ファイルシステム」となっている発行先(通常はユーザー名)を右クリックして、開いたメニューで[すべてのタスク]−[エクスポート]を選択する。
[証明書のエクスポート]ウィザードが起動するので、指示に従ってウィザードを進めていけばよい。このウィザードは、前述した「ファイル暗号化キーのバックアップ」通知をクリックした際に起動するものと同じだ。
手動で証明書をバックアップする(1)[Windows]+[R]キーを押して[ファイル名を指定して実行]ダイアログを開き、入力ボックスに「certmgr.msc」と入力して[Enter]キーを押すと、「証明書マネージャーツール」が起動する。左ペインのツリーで[個人]−[証明書]を選択する。右ペインに証明書の一覧が表示されるので、「目的」欄が「暗号化ファイルシステム」となっている証明書を右クリックして、開いたメニューで[すべてのタスク]−[エクスポート]を選択する。
手動で証明書をバックアップする(3)「秘密キーのエクスポート」画面では、「はい、秘密キーをエクスポートします」を選択して、[次へ]ボタンをクリックする。以降の画面は、前述した「ファイル暗号化キーのバックアップ」通知をクリックした場合と同じ手順になる。
証明書を使って暗号化したフォルダを開く
暗号化したフォルダをUSBメモリなどにコピーして、別のPCで開きたい場合は、バックアップした証明書(PFXファイル)をそのPCにインストールすればよい。フォルダを利用したいアカウントでPCにサインインしてから、PFXファイルをPCにコピーし、エクスプローラーで右クリックして、メニューの[PFXのインストール]を選択する。
[証明書のインポート]ウィザードが起動するので、証明書をそのPCにインポートすればよい。証明書がインポートできると、暗号化したフォルダを作成したPCと同様にフォルダへのアクセスが可能になる。
証明書を使って暗号化したフォルダを開く(2)[証明書のインポート]ウィザードが起動するので、指示に従って証明書をインポートすればよい。「証明書のインポートウィザードの開始」画面で[現在のユーザー]を選択した場合は、インポートウィザードを実行しているユーザーのみが利用できる領域に証明書が保存される。「ローカルコンピューター」を選択すると、このWindows 11の全てのユーザーがフォルダにアクセスできるようになる。セキュリティの点から「ローカルコンピューター」ではなく、「現在のユーザー」を選択してウィザードを進めるとよい。
フォルダの暗号化を解除する
フォルダの暗号化を解除したい場合は、暗号化されたフォルダの[<フォルダ名>のプロパティ]ダイアログを開き、[全般]タブの[詳細設定]ボタンをクリックする。[属性の詳細]ダイアログが開いたら、「圧縮属性または暗号化属性」欄の「内容を暗号化してデータをセキュリティで保護する」にチェックを外し、[OK]ボタンをクリックすればよい。これで暗号化が解除され、エクスプローラーのフォルダの色も緑色から黒に変わるはずだ。
フォルダの暗号化を解除する暗号化されたフォルダの[<フォルダ名>のプロパティ]ダイアログを開き、[全般]タブの[詳細設定]ボタンをクリックする。[属性の詳細]ダイアログが開いたら、「圧縮属性または暗号化属性」欄の「内容を暗号化してデータをセキュリティで保護する」にチェックを外し、[OK]ボタンをクリックする。
フォルダを暗号化する際の注意
前述の通り、フォルダを暗号化しても、ファイル名やフォルダ名は見えてしまう。ファイル名やフォルダ名から情報が漏れることがあるので注意したい。
また、暗号化を実行したユーザーがサインインしている場合、暗号化したフォルダでもシームレスにアクセス可能だ。そのため、間違って暗号化されていないフォルダにファイルを移動してしまうと、暗号化が解除された状態となる点にも気を付けたい。
逆に暗号化したフォルダをUSBメモリにコピーすると、暗号化された状態が維持され、別のユーザーや別のPCでは開けないということも覚えておきたい。
また、OneDriveのフォルダは、ローカルのOneDriveフォルダ上では暗号化されるが、ネットワークドライブに同期した段階で暗号化が解除されてしまう。同期先の別のPCではフォルダは暗号化されずにアクセスできるので注意したい。OneDriveで同期しているフォルダを暗号化したい場合は、後述の7-Zipなどを使うとよい。
7-Zipを使ってフォルダを暗号化する
EFSに対応していないWindows 11 HomeやOneDriveなどのネットワークドライブ上のフォルダを暗号化したい場合は、7-Zipなどのアーカイバー(圧縮ツール)を使うとよい。
こうしたアーカーバーは、ファイルを1つにまとめて圧縮するだけでなく、パスワードを付けて内容を保護する暗号化機能もサポートしている。7-Zipを使ってフォルダを暗号化する方法は、Tech TIPS「ZIPファイルにパスワードを付ける」で詳しく解説しているので、こちらを参照してほしい。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。