個人データや企業機密の保護において重要な手段のひとつが「暗号化」です。Windowsでは、NTFSボリュームに保存されるファイルやフォルダーに対して透過的な暗号化を行う「Encrypting File System(EFS)」という仕組みが標準搭載されています。
この記事では、EFSの仕組みや用途、設定方法、注意点などをわかりやすく解説します。
目次
サービスの基本情報
- サービス名:Encrypting File System (EFS)
- 内部名:EFS
- 実行ファイル:
lsass.exe - スタートアップの種類:手動
- 対応OS:Windows 10 / 11(Pro以上)
サービスの概要
EFSは、NTFSファイルシステム上のファイルやフォルダーを暗号化し、認証されたユーザーのみがアクセスできるようにするWindowsのセキュリティ機能です。BitLockerがドライブ全体の暗号化を行うのに対し、EFSは個別ファイル単位での暗号化を実現します。
EFSはバックグラウンドで動作するサービスにより、暗号化・復号の処理を透過的に管理します。
主な用途と機能
- 個別ファイル/フォルダーの暗号化
選択したファイル単位で暗号化を実行し、他ユーザーや外部アクセスを遮断 - ユーザー認証とキー管理
ユーザーの証明書と連携し、復号を行うためのセキュリティキーを管理 - NTFSと連動した透過的な動作
ユーザーが通常通り操作する中で暗号化が自動的に適用される
サービスの設定方法
- ファイルやフォルダーを右クリックし「プロパティ」を開く
- 「全般」タブ →「詳細設定」ボタンをクリック
- 「内容を暗号化してデータをセキュリティで保護する」にチェックを入れる
- OK → 適用で暗号化が有効になります(EFSサービスが必要に応じて起動)
有効化/無効化の手順
※サービス自体の無効化は通常不要で、使用しない限りは起動されません。
- 「スタート」→「サービス」と検索し「Encrypting File System」を開く
- 「プロパティ」から「スタートアップの種類」を「手動」に設定(既定)
- 状態を「停止」にしても問題ありません(使用時に起動されます)
推奨設定とその理由
- 推奨設定:手動
- 理由:
- 暗号化を使用するユーザーのみ必要となるサービス
- 起動時に自動的に開始される設計になっているため、常時有効にする必要なし
- セキュリティ機能として必要時に安全に動作する構成が推奨されます
よくあるトラブルと対処法
トラブル事例
- 暗号化ファイルにアクセスできない(証明書エラー)
- 他ユーザーからはファイルが開けない
- システム移行後に暗号化ファイルが読み取れなくなる
解決手順
- 証明書のバックアップと復元
EFSで使用される証明書を「certmgr.msc」からエクスポートし、安全な場所に保管 - EFSサービスの確認
サービスが無効または停止していないかを確認 - BitLockerとの混同に注意
ドライブ全体の暗号化はBitLocker、ファイル単位はEFSと用途を明確に区別する
関連サービスや補足情報
| サービス名 | 役割 | 推奨設定 |
|---|---|---|
| Certificate Services | 証明書の発行・管理 | 手動 |
| Credential Manager | 資格情報の管理 | 自動 |
| BitLocker Drive Encryption Service | ドライブ全体の暗号化 | 自動(Pro以上) |
FAQセクション
Q1:EFSを使うには特別な設定が必要?
A1: ファイルやフォルダーのプロパティから簡単に有効化できますが、復旧用の証明書バックアップは必須です。
Q2:EFSとBitLockerの違いは?
A2: EFSはファイル単位、BitLockerはドライブ全体の暗号化。用途やセキュリティポリシーに応じて使い分けましょう。
関連リンク
まとめ
Encrypting File System (EFS)は、NTFSベースのファイル暗号化を実現するWindowsのセキュリティ機能です。ファイルごとの暗号化により、柔軟かつ堅牢な情報保護が可能になります。ただし、証明書の管理が必要であるため、使用時にはバックアップと復号の手順をしっかり把握しておくことが重要です。
Tamaglo最後までお読みいただきありがとうございます。
コメント