PowerShellで暗号化されたストレージを構築する方法と活用事例

デジタル情報のセキュリティは、個人から企業まで重要な課題です。

機密データが不正アクセスされないよう、データの暗号化は欠かせない技術の一つです。

本記事では、PowerShellを使って暗号化ストレージを構築する方法について解説します。

特に、ファイルやテキストの暗号化・復号化の方法、セキュアなデータ管理のポイントを詳しく紹介します。

さらに、学んだ知識を確認するための演習問題も用意しました。

PowerShellでの暗号化の基本
暗号化されたストレージを作るための準備
ファイルの暗号化と復号化の具体例
1. ファイルの暗号化
2. ファイルの復号化
SecureStringを使ったパスワード保護
1. SecureStringの作成
2. SecureStringから平文への変換
暗号化ストレージのユースケース
SecretManagementモジュールとは
1. 特徴
SecretManagementの導入とセットアップ
1. インストール手順
シークレットの保存・取得・削除の方法
シークレットストレージの暗号化と保護メカニズム
1. 暗号化の仕組み
2. 保護のためのパスワード
演習問題と解答例
1. 演習問題
  1. 問題1：SecureStringの利用
  2. 問題2：ファイルの暗号化と復号化
2. 解答例
  1. 解答1：SecureStringの利用
  2. 解答2：ファイルの暗号化と復号化
おわりに

PowerShellでの暗号化の基本

PowerShellには、Windowsのセキュリティ機能を活用するための多くの機能が用意されています。特に、以下の3つが重要です。

SecureString：暗号化された文字列を作るためのクラス
ConvertTo-SecureString：平文を暗号化するコマンド
System.Security.Cryptography：ファイルの暗号化など高度な処理を行うための.NETクラス

これらの機能を組み合わせることで、機密データの保管や、ファイルの安全な暗号化が可能になります。

暗号化されたストレージを作るための準備

PowerShellを使った暗号化には、いくつかの事前準備が必要です。以下は、準備すべきポイントです。

管理者権限でPowerShellを実行
暗号化・復号化は一部の操作で管理者権限が必要なため、PowerShellを管理者モードで実行しましょう。
PowerShellのバージョン確認
一部の暗号化機能はPowerShell 5.0以降で使えるため、バージョンが古い場合は更新してください。以下のコマンドでバージョンを確認できます。

$PSVersionTable.PSVersion

ファイルの暗号化と復号化の具体例

ここでは、PowerShellを使ってテキストファイルを暗号化・復号化する方法を紹介します。

ファイルの暗号化

暗号化対象のファイル（例：data.txt）を用意します。
以下のスクリプトを実行して、暗号化されたファイル（例：data_encrypted.txt）を作成します。

# 暗号化に使う鍵を生成
$key = New-Object Byte[] 32
[Security.Cryptography.RandomNumberGenerator]::Create().GetBytes($key)

# ファイルをバイナリ形式で読み込み
$data = [IO.File]::ReadAllBytes("C:\path\to\data.txt")

# 暗号化処理
$encryptedData = [Security.Cryptography.ProtectedData]::Protect($data, $null, "LocalMachine")

# 暗号化ファイルを保存
[IO.File]::WriteAllBytes("C:\path\to\data_encrypted.txt", $encryptedData)

ファイルの復号化

次に、暗号化したファイルを復号化する方法を見てみましょう。

# 暗号化ファイルを読み込み
$encryptedData = [IO.File]::ReadAllBytes("C:\path\to\data_encrypted.txt")

# 復号化処理
$data = [Security.Cryptography.ProtectedData]::Unprotect($encryptedData, $null, "LocalMachine")

# 復号化したデータをファイルとして保存
[IO.File]::WriteAllBytes("C:\path\to\data_decrypted.txt", $data)

SecureStringを使ったパスワード保護

SecureStringは、パスワードや機密情報を安全に管理するために使われるPowerShellのデータ型です。

SecureStringの作成

次の例では、平文のパスワードをSecureStringに変換します。

# パスワードをSecureStringに変換
$securePassword = ConvertTo-SecureString "yourPassword123" -AsPlainText -Force

SecureStringから平文への変換

特定の操作でSecureStringから平文のパスワードに戻す場合、以下のようにします。

# SecureStringから平文に復号化
$plainPassword = [Runtime.InteropServices.Marshal]::PtrToStringAuto(
    [Runtime.InteropServices.Marshal]::SecureStringToBSTR($securePassword)
)
Write-Output $plainPassword

暗号化ストレージのユースケース

PowerShellでの暗号化ストレージの活用方法は以下の通りです。

バックアップファイルの保護
定期的に取得するバックアップデータを暗号化し、安全な状態で保存できます。
パスワード管理
セキュアなパスワードをSecureStringで保存し、必要なときだけ復号化する仕組みを構築可能です。
環境設定ファイルの暗号化
APIキーやデータベースの接続情報をPowerShellで暗号化して保存し、不正アクセスを防ぎます。

SecretManagementモジュールとは

SecretManagementは、PowerShell 7.1以降で使用できるモジュールで、APIキーやパスワードなどのシークレット情報を、暗号化されたストレージやサードパーティのシークレット管理システムに安全に保存するためのインターフェースを提供します。

特徴

プラグイン式の拡張：ローカルストレージだけでなく、AWS Secrets ManagerやAzure Key Vaultなど外部サービスと連携が可能。
安全な暗号化：WindowsのData Protection API（DPAPI）などを活用し、シークレットを暗号化。
一貫したインターフェース：どのストレージを使う場合でも、同じコマンドで操作が可能。

SecretManagementの導入とセットアップ

SecretManagementモジュールを使用するためには、以下の手順でインストールとセットアップを行います。

インストール手順

PowerShell 7.1以上をインストールします。以下のコマンドでインストール可能か確認してください。

$PSVersionTable.PSVersion

SecretManagementモジュールとSecretStoreモジュールをインストールします。

Install-Module -Name Microsoft.PowerShell.SecretManagement -Repository PSGallery
Install-Module -Name Microsoft.PowerShell.SecretStore -Repository PSGallery

インストール済みのモジュールを確認します。

Get-Module -ListAvailable Microsoft.PowerShell.SecretManagement, Microsoft.PowerShell.SecretStore

シークレットの保存・取得・削除の方法

それでは、具体的にシークレット（パスワードやAPIキーなど）を保存・取得・削除する手順を見ていきましょう。

ストアの初期化

SecretStoreモジュールを使用するには、最初にストレージを初期化する必要があります。

Initialize-SecretStore -Scope CurrentUser

パスワードを求められるため、ストレージにアクセスする際の暗号化パスワードを設定します。

シークレットの保存

以下のコマンドでシークレット（例：APIキー）を保存します。

Set-Secret -Name "ApiKey" -Secret "12345-abcde-67890"

シークレットの取得

保存したシークレットは、次のコマンドで取得できます。

$apiKey = Get-Secret -Name "ApiKey"
Write-Output $apiKey

シークレットの削除

不要になったシークレットは削除可能です。

Remove-Secret -Name "ApiKey"

シークレットストレージの暗号化と保護メカニズム

暗号化の仕組み

SecretManagementモジュールでは、Windowsの場合DPAPI（Data Protection API）を使用してシークレットを暗号化しています。

DPAPIにより、シークレットはユーザーごとに保護され、他のユーザーからアクセスできません。

保護のためのパスワード

SecretStoreの暗号化ストレージにアクセスするには、初期化時に設定したパスワードが必要です。

このパスワードにより、シークレットへの不正アクセスを防止します。

演習問題と解答例

演習問題

問題1：SecureStringの利用

平文のパスワード”SuperSecret123!”をSecureStringに変換してください。
そのSecureStringを平文に戻して表示してください。

問題2：ファイルの暗号化と復号化

自分でテキストファイル（例：test.txt）を作成し、その内容を暗号化してください。
暗号化したファイルを別のファイル名で復号化し、元の内容と同じか確認してください。

解答例

解答1：SecureStringの利用

# 1. SecureStringに変換
$securePassword = ConvertTo-SecureString "SuperSecret123!" -AsPlainText -Force

# 2. 平文に戻して表示
$plainPassword = [Runtime.InteropServices.Marshal]::PtrToStringAuto(
    [Runtime.InteropServices.Marshal]::SecureStringToBSTR($securePassword)
)
Write-Output $plainPassword

解答2：ファイルの暗号化と復号化

# ファイルの暗号化
$key = New-Object Byte[] 32
[Security.Cryptography.RandomNumberGenerator]::Create().GetBytes($key)

$data = [IO.File]::ReadAllBytes("C:\path\to\test.txt")
$encryptedData = [Security.Cryptography.ProtectedData]::Protect($data, $null, "LocalMachine")
[IO.File]::WriteAllBytes("C:\path\to\test_encrypted.txt", $encryptedData)

# ファイルの復号化
$encryptedData = [IO.File]::ReadAllBytes("C:\path\to\test_encrypted.txt")
$data = [Security.Cryptography.ProtectedData]::Unprotect($encryptedData, $null, "LocalMachine")
[IO.File]::WriteAllBytes("C:\path\to\test_decrypted.txt", $data)

おわりに

本記事では、PowerShellを使った暗号化ストレージの構築方法について学びました。

暗号化と復号化の基本から、SecureStringの使い方、実用的なユースケースまで幅広く解説しました。

PowerShellの強力な機能を活用することで、機密情報を安全に管理する環境を整えましょう。

これらの技術を活かし、日常業務やプロジェクトで安全なデータ管理を実践してみてください。