「Encrypting File System」の意味や使い方わかりやすく解説 Weblio辞書 (original) (raw)

Encrypting File System（暗号化ファイルシステム、EFS）とはMicrosoft WindowsにおいてNTFSバージョン3.0で追加された機能で[1]、ファイルシステムレベルでの暗号化を提供する。この技術はコンピューターに物理的にアクセスする攻撃者から機密データを保護するために、ファイルの透過的暗号化を実現する。

EFSはWindows 2000以降の全てのビジネス向けエディションのWindowsで利用できる[2]。既定では暗号化されたファイルは存在しないが、ユーザーの選択でファイルごと、ディレクトリーごと、あるいはドライブごとに暗号化を有効にすることができる。いくつかのEFS設定はWindowsドメイン環境のグループポリシーで強制させることもできる。[3]

暗号ファイルシステム実装は他のオペレーティングシステムでも利用可能であるが、Microsoft EFSはそれらとの互換性はない。

動作原理

EFSはファイル暗号化キー (File Encryption Key ; FEK) という大量の対称鍵によってファイルを暗号化する。対称暗号化アルゴリズムを使用する理由は、非対称鍵暗号を用いるよりも暗号化および復号に掛かる時間が短くなるためである。使用される対称暗号化アルゴリズムはオペレーティングシステムのバージョンや設定によって異なる。FEK（ファイルの暗号化に用いられる対称鍵）はファイルの暗号化を行うユーザーと関連付けられた公開鍵によって暗号化され、この暗号化されたFEKは暗号化ファイルの$EFS代替データストリームに格納される[4]。ファイルを復号する手順としては、EFSコンポーネントドライバーはファイルの暗号化に使われたEFSデジタル証明書に合致する秘密鍵を使い、$EFSストリームに格納されている対称鍵を復号する。そしてその対称鍵を使ってファイルを復号する。暗号化および復号処理はNTFSファイルシステム下のレイヤーで行われるため、ユーザーや全てのユーザーアプリケーションから見ると透過している。

コンテンツを含むフォルダーはファイルシステムによって暗号化属性でマークされた上で暗号化される。EFSコンポーネントドライバーはこの暗号化属性をNTFSにおけるアクセス許可（パーミッション）の継承と同様に扱い、フォルダーが暗号化としてマークされると、既定ではそのフォルダー下に作成される全てのファイルやサブフォルダーも暗号化される。暗号化ファイルをNTFSボリューム間で移動しても、ファイルは暗号化されたままである。

ファイルおよびフォルダーはFAT32のような他のファイルシステムでフォーマットされたボリュームにコピーされる場合に復号される。暗号化ファイルをSMB/CIFSプロトコル（Windowsのファイル共有サービスで使われるプロトコル）を使ってネットワーク越しにコピーしたとき、ファイルはネットワークに送信される前に復号される。

バックアップアプリケーションにも使われている、復号コピーを防止する最もよく使われる手法は "Raw" APIが知られる[5]。バックアックアプリケーションはこれらのRaw APIを実装していて、暗号化ファイルストリームと$EFS代替データストリームを単一のファイルとして単純にコピーする。言い換えると、ファイルは暗号化状態でコピーされ、バックアップ中に復号されない。

Windows Vistaより、ユーザーの秘密鍵はスマートカードに格納できるようになった。データ回復エージェント (Data Recovery Agent ; DRA)もまたスマートカードに格納できる。[6]

サポートされるオペレーティングシステム

Windows

Windows 2000 Professional, Server, Advanced Server, Datacenter
Windows XP Professional, Tablet PC Edition, Media Center Edition, x64 Edition
Windows Server 2003, Windows Server 2003 R2
Windows Vista Business, Enterprise, Ultimate[7]
Windows 7 Professional, Enterprise, Ultimate
Windows Server 2008, Windows Server 2008 R2
Windows 8, 8.1 Pro, Enterprise
Windows Server 2012, Windows Server 2012 R2
Windows 10 Pro, Enterprise, Education
Windows Server 2016
Windows Server 2019

他のオペレーティングシステム

他のオペレーティングシステムまたはファイルシステムでEFSをネイティブにサポートするものは存在しない。

Windowsバージョン別の新機能

Windows XP

クライアントサイドでの暗号化（オフラインファイルデータベース）
ドメイン公開鍵を使ったDPAPIマスターキーのバックアップの保護
暗号化済みファイルへのファイル単位の複数ユーザー共有アクセスと、暗号化ファイルを共有するときにその証明書の失効をチェック
暗号化ファイルを異なる色で表示（既定では緑）
強制回復エージェントが不要
暗号化がサポートされていないファイルシステムにファイルを移動したときに、復号されることを警告
パスワードリセットディスク
WebDAV越しのEFSとActive Directoryで委譲されたサーバーのリモート暗号化

Windows XP SP1

既定で全てのEFS暗号化ファイルについてAES-256対称暗号化アルゴリズムの使用およびサポート

Windows XP SP2 + KB912761[8]

自己署名EFS証明書の適用をブロックする設定を追加

Windows Server 2003

デジタルID管理サービス
自己署名EFS証明書を適用する場合に最小鍵長の設定を強制するためのRSA鍵長設定

Windows VistaおよびWindows Server 2008[9][10][11]

クライアントサイド（オフラインファイル）のユーザー単位の暗号化
PC/SCスマートカード上のRSA秘密鍵の格納をサポート
EFSキー更新ウィザード
EFSキーバックアップメッセージ
PC/SCスマートカードからのDPAPIマスターキーの取得
BitLockerを使ったEFS関係の秘匿情報の保護[12][13]
統括管理のためのグループポリシー制御
- ドキュメントフォルダーの暗号化
- オフラインファイル暗号化
- 暗号化ファイルのインデックス
- EFS用のスマートカードの必要性
- スマートカードからユーザーキーを生成
- ユーザーキーが生成または変更されたときにキーバックアップ通知を表示
- 強制的に自動で使われるEFS認証の認証テンプレートの指定

Windows Server 2008[11]

Windows Server 2008サーバー上のEFS自己署名証明書で2048ビットRSA鍵長が既定に
全てのEFSテンプレート（ユーザーおよびデータ回復エージェント証明書）で2048ビットRSA鍵長が既定に

Windows 7およびWindows Server 2008 R2[14]

Windows 7でECC（楕円曲線暗号）およびRSAアルゴリズムの混合モードを後方互換性のためにサポート
ECC使用時にEFS自己署名証明書で256ビット鍵を既定に
EFSで自己署名RSA証明書使用時に1k/2k/4k/8k/16kビット鍵、あるいはECC証明書使用時に256/384/521ビット鍵の使用が設定可能に。
下位エディションでも一部のEFS操作が可能に。[15]

Windows 10 バージョン 1607 および Windows Server 2016

FAT および exFAT での EFS サポート[16]

Windowsバージョン別の使用アルゴリズム

Windows EFSはいくつかの対称暗号化アルゴリズムをサポートし、ファイルの暗号化に用いられるアルゴリズムはWindowsのバージョンによって異なる。

オペレーティングシステム	既定のアルゴリズム	他のアルゴリズム
Windows 2000	DES-X	（なし）
Windows XP RTM	DES-X	トリプルDES
Windows XP SP1	AES	トリプルDES、DES-X
Windows Server 2003	AES	トリプルDES、DES-X[17]
Windows Vista	AES	トリプルDES、DES-X
Windows Server 2008	AES	トリプルDES、DES-X (?)
Windows 7 Windows Server 2008 R2	混合 (AES, SHA, ECC)	トリプルDES、DES-X

脚注

^ “File Encryption (Windows)”. Microsoft. 2010年1月11日閲覧。
^ EFSはWindows XP Home Edition、Windows Vista、Windows 7のStarter、Basic、Home Premiumではサポートされていない。また、Windows 9x系ではNTFSがサポートされていないためEFSも利用できない。
^ “Encrypting File System”. Microsoft (2008年5月1日). 2011年8月24日閲覧。
^ “Encrypting File System”. AnVir Software. 2016年7月5日閲覧。
^ “Backup and Restore of Encrypted Files (Windows) - MSDN”. Microsoft. 2016年7月5日閲覧。
^ Chris Corio (2006年5月). “First Look: New Security Features in Windows Vista”. TechNet Magazine. Microsoft. 2006年11月6日閲覧。
^ Windows Vista: Features Explained: Encrypting File System - ウェイバックマシン（2007年2月3日アーカイブ分）
^ “Windows XP ベースのコンピューターで EFS ファイルを暗号化しようとすると暗号化ファイルシステム (EFS) とは、自己署名入りの証明書に生成します。”. Microsoft (2015年12月9日). 2016年7月5日閲覧。
^ Kim Mikkelsen (2006年9月5日). “Windows Vista Session 31: Rights Management Services and Encrypting File System (PDF)”. presentation. Microsoft. 2007年10月2日閲覧。[_リンク切れ_]
^ “Encrypting File System”. documentation. Microsoft (2007年4月30日). 2007年11月6日閲覧。
^ a b “Changes in Functionality from Windows Server 2003 with SP1 to Windows Server 2008: Encrypting File System”. documentation. Microsoft (2007年9月1日). 2007年11月6日閲覧。
^ Scott Field (2006年6月). “Microsoft Windows Vista Security Enhancements (Microsoft Wordの.doc)”. whitepaper. Microsoft. 2007年6月14日閲覧。
^ Microsoft Corporation (2006年11月30日). “Data Communication Protocol”. patent. Microsoft. 2007年6月14日閲覧。
^ “Changes in EFS”. Microsoft TechNet. 2009年5月2日閲覧。
^ “暗号化ファイルシステム (EFS) とは - Windows ヘルプ”. Microsoft. 2016年6月18日時点のオリジナルよりアーカイブ。2017年10月2日閲覧。
^ “[MS-FSCC]: Appendix B: Product Behavior”. Microsoft (2017年9月15日). 2017年10月2日閲覧。 “Support for FAT and EXFAT was added in Windows 10 v1607 operating system and Windows Server 2016 and subsequent.”
^ Muller, Randy (2006年5月). “How IT Works: Encrypting File System”. TechNet Magazine. Microsoft. 2009年5月22日閲覧。

参考文献

“Implementing the Encrypting File System in Windows 2000”. Windows 2000 Evaluated Configuration Administrators Guide. Microsoft. 2014年12月20日閲覧。
“The Encrypting File System - Technet Library”. TechNet. Microsoft. 2016年7月5日閲覧。
“Encrypting File System (Windows Server 2008, Windows Vista)”. TechNet. Microsoft (2009年2月25日). 2016年7月5日閲覧。
“Encrypting File System in Windows XP and Windows Server 2003”. TechNet. Microsoft (2003年4月11日). 2016年7月5日閲覧。
“How to Use the Encrypting File System (Windows Server 2003, Windows XP Professional)”. MSDN. Microsoft. 2016年7月5日閲覧。
“Using Encrypting File System”. Windows XP Resource Kit. Microsoft (2005年11月3日). 2016年7月5日閲覧。
“Encrypting File System”. Windows 2000 Resource Kit. Microsoft. 2016年7月5日閲覧。
“How EFS Works”. Windows 2000 Resource Kit. Microsoft. 2016年7月5日閲覧。

表話編歴 Windows コンポーネント
コア	.NET Framework Aero ClearType COM（OLE - OLE オートメーション（英語版） - DCOM - ActiveX - 構造化ストレージ - MTS） DirectX DWM GDI Windows Imaging Component Windows Imaging Format Windows Script Host（VBScript - JScript） Windows サーチ印刷 (XPS) エクスプローラー音声シェル（シェル名前空間（英語版）（スタートメニュー - タスクバー - 特殊フォルダ - 関連付け）次世代 TCP/IP スタック
アプリとツール	Cmd.exe Cortana FAX とスキャン Mobility Center PowerShell Snipping Tool Sysprep Windows Journal Windows Media Player Windows Mobile デバイスセンター Windows Subsystem for Linux Windows Update Windows インストーラー Windows 画像と FAX ビューア Microsoft Edge Microsoftストア WinSAT イベントビューアー音声認識外字エディタ拡大鏡カレンダー管理コンソール切り取り & スケッチコントロールパネル（アプレット）サウンドレコーダーシステム構成システムファイルチェッカーシステムの復元スキャンディスク (CHKDSK) タスクマネージャーディスククリーンアップデバイスマネージャーデフラグ電卓ナレーターフィードバック Hub ペイントペイント 3D メモ帳文字コード表問題の報告と解決リモートアシスタンスワードパッド
カーネル	DLL EXE HAL I/O Ntoskrnl.exe Svchost.exe Win32コンソール Winlogon WinPE WinRE WOW/WOW64 Windows サービス NTLDR/ブートマネージャーサービスコントロールマネージャーアイドルプロセスカーネルパッチ保護回復コンソールレジストリ
サービス	CLFS BITS Windows エラー報告 Wireless Zero Configuration シャドウコピー自動再生タスクスケジューラマルチメディアクラススケジューラ
ファイルシステム	CDFS DFS exFAT FAT12 FAT16 FAT32 IFS NTFS（ジャンクション - マウントポイント - リパースポイント - シンボリックリンク - TxF - EFS） ReFS UDF
サーバー	Active Directory DFS レプリケーション DNS IIS MSDTC NAP RMS SharePoint Services Windows Media Services WSUS 移動ユーザープロファイルグループポリシードメインリモートデスクトップサービス (Remote Desktop Protocol)
アーキテクチャ	CSRSS IRP KTM LSASS NT系のアーキテクチャ SMSS Windows リソース保護オブジェクトマネージャースタートアッププロセス (Vista) セキュリティアカウントマネージャー（SAM）（英語版）論理ディスクマネージャー
セキュリティ機能	ウィルス対策ファイアウォール悪意のあるソフトウェアの削除ツール Safety Scanner DEP MIC UAC UIPI KPP セキュリティとメンテナンス BitLocker
デジタル著作権管理	Protected Media Path（英語版） PlayReady
開発終了	ゲームリバーシピンボールインクボール Chess Titans Mahjong Titans Purble Place スパイダソリティアソリティアハーツフリーセルマインスイーパアプリ Anytime Upgrade CardSpace Contacts DVD メーカー Internet Explorer Mail Media Center Messenger Mobile Device Center NetMeeting Outlook Express WinHelp デスクトップガジェットハイパーターミナルバックアップと復元センターフォトギャラリープログラムマネージャミーティングスペースムービーメーカーリソースメーターその他 UNIX サブシステム Interix Video for Windows
カテゴリ

表話編歴ファイルシステム（カテゴリ）
ディスク	Advanced Disc Filing System（英語版） AdvFS（英語版） APFS Be File System（英語版） Btrfs CrossDOS（英語版） Disc Filing System（英語版） Episode（英語版） EFS HPFS ext ext2 ext3 ext3cow ext4 FAT FAT12 FAT16 FAT32 exFAT Files-11 HAMMER HFS HFS Plus IBM General Parallel File System JFS Macintosh File System（英語版） MINIX NetWare File System（英語版） NILFS Novell Storage Service NTFS QFS QNX4FS ReFS ReiserFS Reiser4 SpadFS（英語版） UBIFS UFS VERITAS File System Write Anywhere File Layout（英語版） XFS Xsan ZFS 光ディスク / 磁気テープ HSF ISO 9660 ISO 13490 UDF LTFS Flashメモリ / SSD APFS FAT exFAT CHFS TFAT EROFS FFS2 F2FS JFFS JFFS2 LogFS（英語版） NILFS NVFS YAFFS UBIFS 分散ファイルシステム Coda CXFS（英語版） GFS2 GlusterFS Google File System OCFS2 QFS Xsan
ネットワーク型	AFS OpenAFS AFP DFS GPFS GlusterFS Google File System Lustre NCP NFS POHMELFS Hadoop Plan 9 FS SMB (CIFS) SSHFS
特殊用途	cramfs Dokan EROFS FUSE SquashFS UMSDOS UnionFS aufs initrd 疑似・仮想 configfs devfs procfs specfs sysfs tmpfs WinFS 暗号化 EncFS EFS ZFS UFS2
その他	ファイルシステムの比較（英語版）

表話編歴暗号ソフトウェア（英語版）
OpenPGP・S/MIME	メールサーバーの比較（英語版）電子メールクライアントの比較（英語版） GnuPG (Gpg4win・GPGTools) PGP Enigmail Thunderbird Outlook Apple Mail Claws Mail Autocrypt（英語版） Kontact pretty Easy privacy（英語版） Sylpheed
セキュア通信	OTR（英語版） Adium BitlBee（英語版） Centericq（英語版） ChatSecure climm（英語版） Jitsi Kopete MCabber（英語版） Profanity（英語版） SSH SSHクライアントの比較（英語版） Dropbear (ソフトウェア)（英語版） lsh（英語版） OpenSSH PuTTY SecureCRT（英語版） WinSCP wolfSSH（英語版） RLogin Poderosa Tera Term TLS/SSL TLS実装の比較 Bouncy Castle（英語版） BoringSSL Botan cryptlib GnuTLS JSSE（英語版） LibreSSL MatrixSSL（英語版） NSS OpenSSL mbed TLS（英語版） RSA BSAFE（英語版） SChannel SSLeay stunnel wolfSSL VPN Check Point VPN-1 Hamachi Openswan OpenVPN SoftEther VPN strongSwan Tinc（英語版） WireGuard ZRTP（英語版） CSipSimple（英語版） Jitsi Linphone（英語版） Jami (ソフトウェア)（英語版） Zfone（英語版） P2P Bitmessage RetroShare（英語版） Tox ZeroNet D R A（英語版） Matrix OMEMO（英語版） Conversations (ソフトウェア)（英語版） Cryptocat（英語版） ChatSecure（英語版） Proteus Signalプロトコル Signal WhatsApp TextSecure（英語版）
匿名化	GNUnet Java Anon Proxy（英語版） I2P Tor Vidalia (ソフトウェア)（英語版） RetroShare（英語版） Ricochet (ソフトウェア)（英語版） Wickr（英語版）
ディスク暗号化（英語版）	ディスク暗号化ソフトウェアの比較（英語版） BitLocker FreeOTFE（英語版） TrueCrypt BestCrypt（英語版） CipherShed CrossCrypt（英語版） Cryptoloop（英語版） DiskCryptor（英語版） dm-crypt（英語版） LUKS DriveSentry（英語版） E4M（英語版） eCryptfs（英語版） FileVault GBDE（英語版） geli（英語版） PGPDisk（英語版） Private Disk（英語版） Scramdisk（英語版） Sentry 2020（英語版） VeraCrypt
ファイルシステム	ファイルシステムの一覧（英語版） EncFS EFS eCryptfs（英語版） LUKS PEFS（英語版） Rubberhose（英語版） StegFS（英語版） Tahoe-LAFS（英語版）
セキュアOS	Tails Whonix Qubes OS Alpine Linux Anonym.OS（英語版） Genode Fiasco.OC seL4
Service providers	Freenet Tresorit（英語版） Wuala
教育	CrypTool
暗号通貨	Bitcoin Monacoin Ripple Dash (X11) イーサリアム Monero NEM
Related topics	Outline of cryptography（英語版） Timeline of cryptography（英語版）ハッシュ関数暗号学的ハッシュ関数 List of hash functions（英語版） S/MIME
関連人物	エドワード・スノーデンローラ・ポイトラス（英語版）（ドキュメンタリー作家）グレン・グリーンウォルド（弁護士、当時ガーディアンに寄稿していたジャーナリスト）バートン・ゲルマン（英語版）（ジャーナリスト）
カテゴリコモンズ

「Encrypting File System」の意味や使い方 わかりやすく解説 Weblio辞書 (original) (raw)