プチアド:佐野さん、EFSによる暗号化を行なった場合、暗号化されたデータは暗号化した本人しか復号化できないのですよね? 例えば、マシントラブルなどでOSを再インストールしたり、ユーザーがデータの暗号化を解除しないまま退職してしまう可能性もあるわけじゃないですか。このような場合、「証明書がないからデータを復号化できない」というのは、不便ではないでしょうか。ま、「二度と見ることができない」のだから、安全といえば安全だけど、中には重要なデータもあるわけで……。
アドバイザー佐野:そういうケースに対応するために、①証明書のバックアップを取得しておくこと、②回復エージェントを設定しておくこと、が必要になります。
プチアド:証明書のバックアップと回復エージェント……。
アドバイザー佐野:はい。まず、証明書を他のメディアへバックアップ(エクスポート)しておけば、いざというときにその証明書をインポートすることで、再度データを復号化できます。
プチアド:ふむふむ、なるほど、エクスポートとインポートか。では、もう1つの方法、回復エージェントとはどのようなものなのですか?
アドバイザー佐野:EFSによる暗号化では、原則として、データを暗号化した人だけが復号化できると説明しましたよね。「原則として」ということは、例外もある、ということです。
プチアド:それが回復エージェントなのですね。
アドバイザー佐野:はい。回復エージェントは、ユーザーがデータを暗号化する際、ユーザーと同じように、暗号化キーの暗号化を実施し、ファイルにその情報を追加します。そのため、暗号化を実施したユーザーが証明書をなくした、あるいはユーザーが退職して証明書が利用できないといった場合でも、回復エージェントならデータを復号化できるというわけです。Active Directory の場合、回復エージェントにはAdministratorがデフォルトで指定されています(図1)。もちろん、必要に応じて他のユーザーを指定することも可能です。
 |
|---|
| 図1●Administratorという名称の回復エージェントが指定されている。 |
 |  |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】