Semplice - 暗号化ファイルシステム（Encrypting File System）

EFS（Encrypting File System）とは何だ？

　Windows2000/XPには暗号化ファイルシステム（EFS：Encrypting File System）なる機能が備わってる。NTFSでフォーマットされてるボリュームの指定したファイルを暗号化して保護するものなのだ*1。
　前々から疑問を感じてたのだが、これを自宅パソコン（当然ドメイン構成なんかじゃない）で使っても、どれだけ効果があるんだろうか。
　例えばXPから何かのファイルをEFSで暗号化したとする、フォルダごとだ。
　（フォルダを丸ごと暗号化してしまえば、そのフォルダの中に新規作成されるファイルは自動的にEFSで保護される）

　この場では個別のファイル単位ではなく、フォルダごと設定してみるよう推奨する。やり方は簡単で、フォルダのプロパティを開き、全般タブから詳細設定を開き、「内容を暗号化してデータをセキュリティで保護する」を選択するだけだ。

家庭内でEFSを使うのは、限界がありそうだ

　さて、一応は暗号化されたのだが。
　他のユーザーアカウントからログオンして、EFSで丸ごと暗号化している「はず」のフォルダを開いてみよう。
　個別のファイルは開けないものの、そのファイルの一覧は閲覧可能なのだ。もしも危険な名称のファイルが満載ならば（そのファイルを開けなかったとしても！）家族からの疑心の目からは逃れられないだろう。

まずい画像とサムネール表示、これはEFSのアクセス制限を十分に回避できない

最も危険なのは、XPのホームユーザーがよく利用する、縮小版表示である。これはサムネールを一覧表示し、実際に画像を開かずともどのような画像がフォルダ中に存在するのか一覧できる便利な機能なのだが。
　もし万が一、家族に見られたくないような画像を放り込んでいたフォルダがあったらばだけど。その画像ファイルを開けなかったとしても、どのような画像なのかはフォルダを開けばサムネール表示で簡単にわかってしまうのだ*2。

ACL (Access Control List)の方がまだ安全か

　EFS（Encrypting File System）、意味無いじゃん・・・・・。
　ACL (Access Control List)でアクセス権をかけて、フォルダごと保護した方が利口だ。　だがACLも結局は管理者権限があるユーザーからは解除できるので、ホームユーザーでは危険やもしれない。家族とパソコンを共有するならば、自分以外のユーザーアカウントは全て制限ユーザーにするべきやもしれず。

*1：EFSはWindowsXP Home Editionでは利用できない
*2：EFSって、フォルダそのものを開けないよう設定できないんだろうか？

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-01-22 暗号化ファイルシステム（EFS）を家庭で使う（http://d.hatena.ne.jp/LucaLuca/20050122）を修正・加筆し移転したものです。