Windows 10、8.1、8、7 にはすべて BitLocker ドライブ暗号化が含まれていますが、提供される暗号化ソリューションはそれだけではありません。 Windows には、「暗号化ファイル システム」または EFS と呼ばれる暗号化方式も含まれています。 BitLocker との違いは次のとおりです。
これは 、Windows の Professional エディションと Enterprise エディション でのみ使用できます。 Home エディションでは、デバイス暗号化が有効になった状態で出荷された最新の PC の場合に限り、より制限された 「デバイス暗号化」機能 のみを使用できます。
BitLocker はフルディスク暗号化です
BitLocker は、ボリューム全体を暗号化するフルディスク暗号化ソリューションです 。 BitLocker をセットアップすると、Windows システム パーティション、内部ドライブの別のパーティション、さらには USB フラッシュ ドライブやその他の外部メディアのパーティションなど、パーティション全体が暗号化されます。
暗号化されたコンテナ ファイルを作成する ことにより、BitLocker で少数のファイルのみを暗号化することができます。ただし、このコンテナ ファイルは本質的には仮想ディスク イメージであり、BitLocker はそれをドライブとして扱い、全体を暗号化することで機能します。
ハード ドライブを暗号化して機密データが悪者の手に渡らないようにする場合、特にラップトップが盗まれた場合には、BitLocker が最適です。ドライブ全体が暗号化されるので、どのファイルが暗号化されているか、どのファイルが暗号化されていないかを考える必要はありません。システム全体が暗号化されます。
これはユーザーアカウントには依存しません。管理者が BitLocker を有効にすると、PC 上のすべてのユーザー アカウントのファイルが暗号化されます。 BitLocker は、コンピューターの信頼されたプラットフォーム モジュール (TPM) ハードウェアを使用します。
「ドライブ暗号化」は Windows 10 および 8.1 ではさらに制限されていますが、利用可能な PC では同様に機能します。ドライブ上の個々のファイルではなく、ドライブ全体を暗号化します。
EFS は個々のファイルを暗号化します
EFS (「暗号化ファイル システム」 ) の動作は異なります。ドライブ全体を暗号化するのではなく、EFS を使用して個々のファイルとディレクトリを 1 つずつ暗号化します。 BitLocker が「設定したら後は忘れる」システムであるのに対し、EFS では暗号化するファイルを手動で選択し、この設定を変更する必要があります。
これは、ファイル エクスプローラー ウィンドウから行います。フォルダーまたは個々のファイルを選択し、[プロパティ] ウィンドウを開き、[属性] の下の [詳細] ボタンをクリックして、[コンテンツを暗号化してデータを保護する] オプションを有効にします。
この暗号化はユーザーごとに行われます。暗号化されたファイルには、そのファイルを暗号化した特定のユーザー アカウントのみがアクセスできます。暗号化は透過的です。ファイルを暗号化したユーザー アカウントがログインしている場合、追加の認証なしでファイルにアクセスできます。別のユーザー アカウントがログインしている場合、ファイルにはアクセスできません。
暗号化キーはコンピューターの TPM ハードウェアを使用するのではなく、オペレーティング システム自体に保存されるため、攻撃者が暗号キーを抽出する可能性があります。 BitLocker も有効にしない限り、これらの特定のシステム ファイルを保護するフルドライブ暗号化はありません。
暗号化されたファイルが暗号化されていない領域に「漏洩」する可能性もあります。たとえば、機密の財務情報を含む EFS 暗号化文書を開いた後にプログラムが一時キャッシュ ファイルを作成した場合、そのキャッシュ ファイルとその機密データは暗号化されずに別のフォルダーに保存されます。
BitLocker は本質的にドライブ全体を暗号化できる Windows の機能ですが、EFS は NTFS ファイル システム 自体の機能を利用します。
EFS ではなく BitLocker を使用する必要がある理由
実際には、BitLocker と EFS は暗号化の異なる層であるため、両方を同時に使用することが可能です。ドライブ全体を暗号化することもできますが、暗号化した後でも、Windows ユーザーはファイルやフォルダーの「暗号化」属性をアクティブにすることができます。ただし、実際にはそうする理由はあまりありません。
暗号化が必要な場合は、BitLocker の形式でフルディスク暗号化を使用するのが最善です。これは、一度有効にすれば忘れることができる「設定したら後は忘れる」ソリューションであるだけでなく、より安全でもあります。
Windows での暗号化について書くとき、私たちは EFS を無視する傾向があり、Windows での暗号化のための Microsoft のソリューションとして BitLocker についてのみ言及することがよくありました。これには理由があります。 BitLocker のフルディスク暗号化は EFS より優れているため、暗号化が必要な場合は BitLocker を使用する必要があります。
では、なぜ EFS が存在するのでしょうか?理由の 1 つは、これが Windows の古い機能であることです。 BitLocker は Windows Vista とともに導入されました。 EFS は Windows 2000 に導入されました。
ある時点で、BitLocker はオペレーティング システム全体のパフォーマンスを低下させた可能性がありますが、EFS はもう少し軽量であったでしょう。しかし、かなり最新のハードウェアでは、このようなことはまったくありません。
Windows が EFS を提供していることさえ忘れて、BitLocker を使用するだけです。実際に使用するのはそれほど面倒ではなく、より安全です。
