Microsoft OneDriveの個人用Vaultでエンドツーエンド(end2end)暗号化オンラインストレージを実現したレビュー 有料プラン(Office365)を契約

オンラインストレージを使うとき、ファイルが暗号化されているかどうかは重要な問題です。

GoogleDriveであっても通信は暗号化されていますが、Googleのサーバでは平文のまま(暗号化されてないファイルのまま)保存されています。

これは他社ストレージでも同様です。

逆に、手元のパソコンで暗号化してしまいサーバ上でも暗号化されたままの場合は「end2end暗号化されている」と呼び、たとえサーバ管理者であっても複合できないようになっています。

これを実現するためにはSpiderOakが第一候補です。

第二候補が今回紹介するOneDriveの個人用Vaultです。

両方とも、Windowsのエクスプローラの特定フォルダを指定する方式なので、フォルダに保存したファイルを自動的に同期してくれるようになります。

仮想ドライブのBitLocker化はvhdxファイルが大型化するのが欠点

私は本サイトで紹介している通り、ファイルの暗号化をvhdx仮想ストレージで実現していました。

vhdx仮想ストレージを作成後、そのvhdxを特定のドライブ文字でマウントして、そのドライブを丸ごとBitLockerで暗号化するという方式です。

そしてvhdxファイルそのものをOneDriveでアップロード同期します。

この仮想ドライブに保存したファイルはOneDrive側のサーバ管理者には解読できません。

しかしこの方法には欠点があり、あらかじめvhdx仮想ドライブのサイズを固定で決定しておくか、可変にしなければならないことです。

固定にした場合、その固定サイズを超えてしまうともうそれ以上ファイルを保存できません。また新たに、より大きな固定サイズでvhdxファイルを作り直すことになります。また、あらかじめ大型の固定サイズのvhdxファイルを作成しておく手もありますが、固定サイズだと中身が空でも大型のvhdxファイルになるので、OneDriveで同期するのに不向きになります。

また可変サイズの場合、中に保存するデータサイズが同一であっても、固定サイズのvhdxよりも可変vhdxの方がファイルサイズ大型になります。

また根本的な問題として、大型vhdxの中身が少しでも変更されるとvhdxを丸ごと一つのファイルとしてOneDriveにアップロード同期し始めるため、何度も何度も大型ファイルの同期が発生することになります。

これはダウンロード側としても望ましくありません。たった1バイトだけ変更されたファイルがvhdx仮想ドライブの中にあるだけなのに、大型のvhdxファイルを丸ごとダウンロードすることになるとSSDの耐久性を食いつぶすことになります。

そこで今回、個別のファイル単位で暗号化し、個別のファイル単位で同期できるような方法を採用しました。

CyberduckはWindowsエクスプローラにマウントできない

無料でオンラインストレージのend2end暗号化を実現する方法として、Cyberduckを利用したものがあります。これは私は採用しませんでした。

なぜなら、Cyberduckは暗号化したいファイルをCyberduckアプリケーションに対し、Windowsエクスプローラからドラッグアンドドロップしなければならないからです。

同様に、複合した場合はCyberduckアプリケーションからWindowsエクスプローラにドラッグアンドドロップします。

このような使い方は不便です。

私が想定しているのは、Windowsエクスプローラの特定のフォルダを暗号化フォルダとし、そのフォルダに保存したファイルは自動的にend2end暗号化してオンラインストレージに自動アップロードする仕組みです。

そのような理由で、Cyberduckは採用しませんでした。あるアプリケーションがフォルダのファイルを操作するような状況で、そのファイルを自動的に暗号化したい場合はCyberduck+何らかのオンラインストレージは不向きです。

OneDrive個人用Vaultの欠点:4時間で勝手に施錠されてしまう

結局今回私はOneDriveの個人用Vaultを使うことにしたわけですが、事前に調査している段階で欠点を発見しました。

それは最長でも4時間で個人用Vaultフォルダが勝手に施錠されてしまうことです。

これは安全のためにMicrosoft側が設定している仕様なわけですが、余計な仕様だなという印象です。

これでも長くなった方らしく、以前は20分経過したら自動的に施錠されていたようです。それが設定で変更可能になり最長で4時間まで解錠したままにできるようですが、それでも短いです。明示的に施錠したりPCを再起動しない限りは解錠されたままにするオプションを用意して欲しいところです。

個人用Vaultの無料プランの段階で以下の実験をしました。自動施錠時間を20分に設定し、Excelファイルを個人用Vaultに保存し、そのExcelファイルを開きっぱなしで20分間放置した場合どうなるか実験しました。

結果は、例えExcelファイルを開きっぱなしにしてても個人用Vaultは自動で施錠されました。その状態でExcelを上書き保存しようとするとエラーになります。そこで個人用Vaultを解錠してから再度上書き保存しようとしたところ、再度エラーになりました。

つまり、個人用VaultにExcel等を置いてそれをそのまま開いて作業する、といった用途には個人用Vaultは現状不向きです。自動施錠をしないオプションが設定され、パソコンを再起動したり明示的に施錠しない限りは、ずっと解錠されたままにできる改善がされれば、個人用Vaultに保存したExcelファイルを開きっぱなしで作業もできると思います。

また、私の個人用Vault用途としては確定申告でetaxソフトというものを使っています。これはいわゆる大多数の人がイメージするWebのetaxの完全上位版で、WindowsPCにインストールするタイプのソフトウェアです。

このetaxソフトでは起動時に個人用プロファイルを読み込むのですがこのプロファイル自体をバックアップしたいという要求がまず出てきます。

そうなるとetaxソフトの個人用プロファイルを個人用Vaultフォルダに保存しておき、etaxソフトを使用する前に個人用Vaultを解錠することになります。

とはいっても、Windowsを起動したらすぐに個人用Vaultを解錠するのが私の使い方です。もしetaxソフトを開く段階で個人用Vaultが自動施錠されてしまっていたら、それを解錠してからetaxソフトを起動することになり、そのetaxソフトは4時間以内に再び閉じなければいけなくなります。

結論として、ファイルをずっと開きっぱなしにする用途では個人用Vaultは現状向いていません。

個人用Vaultを解錠したら4時間以内に閉じる(etax等のアプリケーションを終了する)ようにするのなら向いています。

OneDriveの個人用Vaultフォルダに既に何か入っている場合、念の為通常フォルダにバックアップする

以下の作業で一旦OneDriveアプリケーションの接続を切ることを実施します。接続を切ると、WindowsのエクスプローラからOneDriveのVaultフォルダにアクセスできなくなります。Vaultフォルダにアクセスできるのは、OneDriveアプリケーションでMicrosoftサーバと接続している時だけです。ファイル自体はローカルにあるのだから、パスワードさえ入力すればVaultの中身を閲覧できるようにして欲しいものですが、OneDriveの仕様上、VaultフォルダにアクセスするためにはOneDriveサーバとWindowsのOneDriveアプリケーションが接続状態になければなりません。

そのため、Vaultフォルダに既にファイルを置いている場合、それを適当な他の場所のフォルダ(デスクトップ等に作った適当な名前のフォルダ)に全て移動してしまい、Vaultフォルダを空にしておきましょう。

Windows10でOneDriveアプリの接続を切る

ここでは既にOneDriveを使っていて、その中にファイルが既に含まれていることを前提で対処方法を記載します。

まずはWindowsのOneDriveアプリケーションを操作して、OneDriveとの接続を切ります。

これはMicrosoftのサーバのOneDriveと、手元のパソコンのストレージ(例:Cドライブ)との接続を切ることを意味します。

この先の手順で、一旦MicrosoftサーバのOneDriveファイルを全て削除します。その際にパソコン内部のファイルも削除されないよう念の為に接続を切ります。接続を切ってしまえば、MicrosoftサーバのOneDriveからファイルを消そうが、手元のパソコンのファイルは維持されたままです。

無事接続を切ることができると以下のような表示が出るはずです。

ここまで来たら、次にウェブブラウザでOneDriveにログインします。

ウェブブラウザからOneDriveにログイン

ここでは既にMicrosoftアカウントを所有していることを前提に記載します。

普段からOneDriveを使っていると、Microsoftサーバ側にファイルが保存されているはずです。

今回はVaultを使って暗号化するわけなので、まずは既存のファイルを削除することから開始します。

Firefoxを前提として解説します。

以下のページに移動します。”onedrive”でググって一番上に出てくるページでもOKです。

Microsoft OneDrive | 無料のクラウド ストレージ | ファイル共有
OneDrive に無料でサインアップして、安全なクラウド ストレージを使用すれば、写真をオンラインで保存し、デバイス間での編集やファイル共有ができます。オフライン アクセスにも対応しています。

「サインイン」を押します。

Microsoft Authenticatorを使ったログイン方法

ここから紹介するサインイン手続きは今後何度も発生します。よって、iPhone等にMicrosoft Authenticatorアプリをインストールし、FaceIDまたはTouchIDのみでログインできるようにしておくと比較的スムーズです。

Microsoftアカウントのメールアドレスを入力します。ここは一度だけ入力すればブラウザのクッキーが削除されない限りは再度入力する必要ありません。

「次へ」を押すと以下のような画面になりますが、「通知の送信」を押さずに「サインインするための他の方法」を押します。

以下のような画面になるので、「Microsoft Authenticator アプリで要求を承認する」を押します。

以下の画面が表示されたら、スマホのアプリで同じ番号(以下の例では78)を押して認証します。その際、指紋認証や顔認証等が要求されます。

「サインインしたままにする」にチェックを入れておくと、ブラウザのクッキーが削除されない限りは再度二段階認証を要求されません。私の場合は、Firefoxを終了すると自動的に全てのクッキーが削除されるように設定しているので、ブラウザを再起動すると再び二段階認証を要求されます。

ここでログイン作業は完了です。

OneDriveにログイン後、全てのファイルを削除する

OneDriveにログイン成功すると以下の画面になります。

OneDriveとWindowsPCを同期していた人は、「個人用 Vault」フォルダにもファイルが入っているはずです。既にバックアップを取っているのなら、念の為Vaultフォルダの中身も削除すべきです。ちなみに私はVaultフォルダに8MBのファイル1つを残した上で作業しましたが、本来はこれも消しておくべきものです。

そしてVaultフォルダ以外の通常ファイルも全て削除します。

手順としては、「ごみ箱」に全て移した後に、ゴミ箱を空にします。

成功すると以下のようになります。

「最近使ったアイテム」を開いて同様に何も表示されなければ成功です。

ここまで来たらようやく個人用Vaultの有料プラン契約手続きに入ります。

無料プランのままだとVaultは3ファイルまでしか同期できません。

厳密に言うと、無料プランのままでもファイル自体は「個人用Vaultフォルダ」にいくらでも保存できます。

しかし3ファイルを超えた部分、4ファイル目からは同期されずOneDriveのサーバにアップロードされなくなります。

単なる暗号化ローカルストレージとしてVaultを使うのなら有料プランを契約する必要はないでしょう。

個人用Vaultの有料プランを契約する

ここから有料プランの契約手続きに入っていきます。

ブラウザで開いたOneDrive画面の左下に以下のような部分があります。

「プレミアムに移行」を押すと契約画面に移ります。

また先程記載した通り、プレミアムでない場合はVaultフォルダは3ファイルまでの同期です。4ファイル以上同期したい場合はプレミアムに移行する必要があります。

「プレミアムに移行」を押すと以下のような画面になります。

左側の「Office 365」と右側の「OneDriveのみ」がありますが、個人用Vaultを使うためには左側のプランしか意味がありません。

右側のプランは安いので魅力的に見えますが、単に容量が100GBまで増えるだけで、Vaultのアップロード制限はそのままです。

左側のOffice 365を契約するとVaultの制限が消えます。

このような条件を設けることによって、Microsoftは何が何でもOffice 365を契約させて手堅いsubscription収益を主軸に据えようとしています。

はっきり言って私は個人用Vaultが欲しいだけでOffice機能は要らないので今までOffice 365を契約したことがなかったのですが、今回はVault目当てでOffice 365を契約することになりました。

クレジットカードの登録と変更

「プレミアムに移行」を押すとクレジットカード決済画面になります。

このクレジットカードで問題なかったらこのまま「申し込む」を押せば完了なのですが、今回はクレジットカードを変更しました。

このJCBカードはプライベート用と決めていて、今回のOffice 365料金は経費計上するため経費計上用のクレジットカードに変更したかったためです。

そこで以下、少しだけクレジットカード変更の画面が続きます。

上の画像で「JCB」の右側にある「変更」を押します。

「クレジットカードまたはデビットカード」を選びます。

ダイナースカードを使おうと思ったらMicrosoftアカウントでは対応してなかったので、ダイナースプレミアムとワンセットで発行されているworld eliteカードを入力しました。

「保存」を押します。

クレジットカードが変更できたので、このまま「申し込む」を押します。

「続行」を押すと以下のブラウザ画面になります。

この時、Office 365は年間12,984円だったことがわかります。

この中で「OneDrive.comを開く」を押すと以下の画面になります。

容量が1TBに増えてることがわかりますし、「OneDriveのプレミアム機能」に表示が変わっています(購入前は「プレミアムに移行」)。

Windows10のOneDriveアプリケーションを設定する

これで個人用Vaultが制限なしで使えるようになりました。次は先程接続解除していたWindows10のOneDriveアプリケーションを再設定し直します。

もし保存先フォルダを変更したい場合はここで”必ず”フォルダを変更しておきましょう。OneDriveでは簡単にフォルダ変更ができません。OneDriveフォルダの場所を変更したい場合は、また一旦接続を解除した後にフォルダを手動で移動し、その後再びOneDriveの接続設定をしなければなりません。

私の経験上、同一PCを複数人数で使うのなら、Usersフォルダの下にインストールしておいたほうがいいです。そうすればUsersフォルダ以下は管理者権限がないと閲覧できないので問題ありません。

一人でPCを独占するのならCドライブ直下にOneDriveフォルダを置いてしまう方法もあります。

次のステップでは、OneDriveフォルダ以外に同期するフォルダを選択することになりますが、全てチェックを外すのをおすすめします。

デフォルトでは「デスクトップ、ドキュメント、写真」全ての同期を取るように設定されてしまっていますが、全てチェックを外せば右下のボタンが「スキップ」になります。

この後は単なる解説なので、「次へ」を連打するだけです。

以上で全ての設定が完了します。