【Windows】「ファイルの暗号化属性(EFS)」を使い特定のフォルダのみを保護する手順

機密性の高い業務ファイルを保護したい場合があるでしょう。

WindowsのEFSファイル暗号化機能を使えば、特定フォルダのデータを安全に保てます。

この記事では、EFSを使ったファイルの暗号化と解除、複数人での共有方法を解説します。

ファイル暗号化属性 EFSとは

EFS Enchanting File System は、Windowsに組み込まれたファイル単位の暗号化機能です。

NTFSファイルシステム上で動作し、ユーザーの資格情報と紐付けてデータを保護します。

ファイルやフォルダを暗号化すると、そのファイルは暗号化したユーザー以外からはアクセスできなくなります。

ディスク全体を暗号化するBitLockerとは異なり、特定ファイルやフォルダに限定して利用できる点が特徴です。

EFSはWindows 11およびWindows 10のPro、Enterprise、Educationエディションで利用できます。

特定のフォルダをEFSで暗号化する手順

ここでは、特定のフォルダやファイルをEFSで暗号化する具体的な手順を解説します。

一度暗号化すると、そのファイルを別のユーザーが開くことはできません。

EFSでファイルやフォルダを暗号化する手順

1. 対象フォルダのプロパティを開く
   暗号化したいフォルダを右クリックし、表示されるメニューから「プロパティ」を選択します。
2. 詳細属性ダイアログを開く
   「プロパティ」ウィンドウの「全般」タブ内にある「詳細設定」ボタンをクリックします。
3. 暗号化属性を設定する
   「属性の詳細」ダイアログで「内容を暗号化してデータをセキュリティで保護する」のチェックボックスにチェックを入れます。
4. 設定を適用する
   「OK」ボタンをクリックし、「プロパティ」ウィンドウも「OK」ボタンをクリックして閉じます。
5. 暗号化の適用範囲を選択する
   「属性の変更の確認」ダイアログが表示されます。「このフォルダー、サブフォルダーとファイルに適用する」を選択し、「OK」ボタンをクリックします。
6. 暗号化証明書をバックアップする
   暗号化処理が完了すると、通知領域に「ファイルの暗号化証明書をバックアップしてください」というメッセージが表示される場合があります。この通知をクリックし、指示に従って暗号化証明書をバックアップします。この証明書は、システム障害時などにファイルを復元するために非常に重要です。

EFSで暗号化されたファイルを解除する手順

暗号化したファイルの保護が不要になった場合は、以下の手順で暗号化を解除できます。

1. 対象フォルダのプロパティを開く
   暗号化を解除したいフォルダを右クリックし、表示されるメニューから「プロパティ」を選択します。
2. 詳細属性ダイアログを開く
   「プロパティ」ウィンドウの「全般」タブ内にある「詳細設定」ボタンをクリックします。
3. 暗号化属性のチェックを外す
   「属性の詳細」ダイアログで「内容を暗号化してデータをセキュリティで保護する」のチェックボックスのチェックを外します。
4. 設定を適用する
   「OK」ボタンをクリックし、「プロパティ」ウィンドウも「OK」ボタンをクリックして閉じます。
5. 暗号化解除の適用範囲を選択する
   「属性の変更の確認」ダイアログが表示されます。「このフォルダー、サブフォルダーとファイルに適用する」を選択し、「OK」ボタンをクリックします。

複数ユーザーで暗号化ファイルを共有する手順

EFSで暗号化したファイルを他のユーザーと共有するには、暗号化証明書をエクスポートし、共有したいユーザーのコンピューターにインポートする必要があります。

1. 暗号化証明書をエクスポートする

1. 暗号化ファイルの詳細属性を開く
   暗号化されたファイルを右クリックし「プロパティ」を選択します。「全般」タブの「詳細設定」ボタンをクリックします。
2. ユーザーまたはグループウィンドウを開く
   「詳細属性」ダイアログで「詳細」ボタンをクリックします。
3. 証明書のバックアップを開始する
   「ユーザーまたはグループ」ウィンドウで、暗号化に使用したユーザー名を選択し「追加」ボタンの右にある「証明書のバックアップ」ボタンをクリックします。
4. エクスポートウィザードを開始する
   「暗号化ファイルシステム証明書のエクスポートウィザード」が起動します。「次へ」ボタンをクリックします。
5. 秘密キーのエクスポートを選択する
   「秘密キーのエクスポート」画面で「はい、秘密キーをエクスポートします」を選択し、「次へ」ボタンをクリックします。
6. エクスポートファイル形式を選択する
   「エクスポートファイル形式」画面で「Personal Information Exchange PKCS #12 (.PFX)」を選択し、「次へ」ボタンをクリックします。
7. パスワードを設定する
   「セキュリティ」画面で、エクスポートする証明書にパスワードを設定します。このパスワードはインポート時に必要です。「次へ」ボタンをクリックします。
8. エクスポート先のファイル名を指定する
   「エクスポートするファイル」画面で、証明書を保存する場所とファイル名(例: mycert.pfx)を指定し、「次へ」ボタンをクリックします。
9. エクスポートを完了する
   「完了」ボタンをクリックして、証明書のエクスポートを完了します。

2. 証明書をインポートする

1. 証明書をダブルクリックしてウィザードを開始する
   共有したいユーザーのコンピューターで、エクスポートした.pfxファイルをダブルクリックします。「証明書のインポートウィザード」が起動します。「次へ」ボタンをクリックします。
2. インポートするファイルを確認する
   「インポートするファイル」画面で、ファイル名が正しいことを確認し、「次へ」ボタンをクリックします。
3. パスワードを入力する
   「秘密キーの保護」画面で、エクスポート時に設定したパスワードを入力し、「次へ」ボタンをクリックします。
4. 証明書ストアを選択する
   「証明書ストア」画面で「すべての証明書を次のストアに配置する」を選択し、「個人」を選び、「次へ」ボタンをクリックします。
5. インポートを完了する
   「完了」ボタンをクリックして、証明書のインポートを完了します。
6. ファイル共有を試す
   インポートが完了したら、共有したいファイルをそのユーザーに渡します。これで、共有されたユーザーも暗号化されたファイルを開けるようになります。

EFS利用時の注意点とトラブル対処

EFSは便利な機能ですが、利用する際にはいくつかの注意点があります。

誤った操作はデータの損失につながる可能性もあるため、以下のポイントを理解しておきましょう。

暗号化証明書のバックアップは必ず行う

EFSでファイルを暗号化すると、暗号化証明書が自動的に作成されます。

この証明書がないと、Windowsを再インストールしたり、別のコンピューターにファイルを移動したりした場合にファイルが開けなくなります。

暗号化処理時に表示される通知から、必ず証明書をバックアップしてください。

バックアップした証明書は、安全な場所に保管することが重要です。

暗号化ファイルを移動・コピーする際の挙動

EFSで暗号化されたファイルを同じNTFSボリューム内で移動すると、暗号化状態は維持されます。

別のNTFSボリュームにコピーすると、コピー先のボリュームがEFSに対応していれば暗号化状態が維持されます。

FAT32などEFS非対応のファイルシステムに移動・コピーすると、暗号化は解除されます。

ネットワーク共有フォルダにコピーする場合は、共有フォルダの設定やサーバーのEFS対応状況に依存します。

暗号化解除ができない場合の対処

ファイルやフォルダのプロパティから「内容を暗号化してデータをセキュリティで保護する」のチェックを外せない場合があります。

これは、ファイルが使用中であるか、アクセス権が不足していることが原因です。

すべてのアプリケーションを閉じ、管理者権限を持つアカウントで操作を試してください。

コマンドプロンプトを管理者として実行し、「cipher /d /s:"フォルダパス"」コマンドで解除を試すこともできます。

EFSとBitLockerの比較

WindowsにはEFSの他にBitLockerという暗号化機能もあります。

それぞれの機能の違いを理解し、適切な場面で活用しましょう。

項目	EFS	BitLocker
対象範囲	ファイル単位、フォルダ単位	ドライブ全体
暗号化の単位	ファイル	ボリューム
利用条件	NTFSファイルシステムのみ	Windows Pro/Enterprise/Educationエディション、TPMチップ推奨
アクセス制御	暗号化したユーザーのみ、または共有設定したユーザー	ドライブのロック解除キーを持つユーザー
運用目的	特定ファイルやフォルダの機密性確保	紛失・盗難時のデータ保護、OSドライブの保護

まとめ

この記事では、WindowsのEFS機能を使って特定フォルダを暗号化する手順を解説しました。

重要な業務ファイルを安全に保護し、必要に応じて暗号化を解除したり、複数ユーザーで共有したりできます。

EFS証明書のバックアップを忘れずに行い、機密情報の管理に役立ててください。