目次 1. はじめに本資料の目的導入の流れ暗号化導入の種類暗号化を設定するには暗号化を実施するグループの作成暗号化コンポーネントのインストール

Kaspersky Security Center 10 Kaspersky Endpoint Security 10 暗号化機能インストール設定ガイド 2016/09/23 株式会社カスペルスキーコーポレートビジネス本部セールスエンジニアリング部 Ver. 1.0 1

目次 1. はじめに... 3 1.1. 本資料の目的... 3 1.2. 導入の流れ... 4 1.2.1. 暗号化導入の種類... 4 1.3. 暗号化を設定するには... 6 1.4. 暗号化を実施するグループの作成... 8 1.5. 暗号化コンポーネントのインストール...10 1.5.1. KES を新規インストールする場合... 10 1.5.2. KES がインストールされている環境に暗号化コンポーネントを追加する場合... 19 1.5.3. インストール状況を確認するには... 35 1.6. グループポリシーの作成...37 2. 目的別設定方法...45 2.1. フルディスク暗号化 (FDE)...45 2.1.1. FDE で使用されるキーの種類... 46 2.1.2. ディスク全体を暗号化するには... 47 2.1.3. 暗号化の状態を確認するには... 55 2.1.4. 複数のユーザーで使用するコンピューターの場合... 59 2.1.5. 認証エージェントのアカウントを追加するには... 60 2.1.6. ディスク全体の暗号化を解除 ( 復号化 ) するには... 66 2.2. リムーバブルメディアの暗号化...68 2.2.1. リムーバブルドライブ全体の暗号化... 69 2.2.2. リムーバブルメディアのファイル単位の暗号化... 75 2.2.3. ポータブルモード... 81 2.2.4. リムーバブルメディアの暗号化の解除... 87 2.3. 付録...89 2.3.1. 外部の相手と暗号化されたファイルをやり取りするには... 89 2.3.2. 特定のリムーバブルメディアのみ暗号化 / 復号化するには... 93 2.3.3. 暗号化されたディスクやファイルが使用できなかった場合 ( 要求ファイルによる認証 )... 96 2.3.4. 認証エージェントで認証できなかった場合 ( チャレンジ / レスポンスによる認証 )... 102 2.3.5. ドライブにアクセスできなくなった場合 ( 暗号化されたデバイスの復元 )... 109 2.3.6. リムーバブルメディアのデータの復元... 117 2.3.7. OS をアップグレードするには... 119 2

1. はじめに 1.1. 本資料の目的暗号化は不正アクセスからデータを保護するのに有効な手段であり特にネットワーク通信において必須の機能と言えるでしょうしかし暗号化が必要なのは通信だけではありませんコンピューターが使用するデータを暗号によって守ることでセキュリティをより一層強化できます Kaspersky Endpoint Security for Business Advanced のデータ暗号化機能はこのセキュアな保存を提供しデバイスの紛失や盗難データ搾取を行うマルウェアによる不正アクセスからデータを保護します < セキュアな保存 > 暗号化ドライバーアプリケーションオペレーティングシステム保存中のデータ Kaspersky Endpoint Security for Business Advanced では Kaspersky Security Center の管理サーバーによる管理のもとディスク全体を対象としたフルディスク暗号化 (FDE: Full Disk Encryption) とファイルやフォルダーレベルの暗号化 (FLE: File Level Encryption) を行います本資料では Kaspersky Endpoint Security( 以下 KES) への暗号化コンポーネントのインストールと Kaspersky Security Center( 以下 KSC) における暗号化の設定方法について説明します 3

1.2. 導入の流れ暗号化はグループのポリシーで設定します設定に先立ち暗号化を実施するクライアントに暗号化コンポーネントをインストールします続いて必要に応じグループやグループポリシーを作成しますなおシステムディスク全体を暗号化する際には導入時にクライアント側での設定も必要となるため先に小規模なグループのコンピューターで試験導入することをお勧めしますテスト用のグループを作成 ( 必要に応じ ) 暗号化用のグループを作成暗号化コンポーネントのインストール暗号化コンポーネントのインストールグループポリシーの作成グループポリシーの作成暗号化ポリシーの設定暗号化ポリシーの設定 1.2.1. 暗号化導入の種類暗号化はハードディスクやリムーバブルメディアごとに設定しますハードディスクを暗号化する方法はディスク全体の暗号化とファイルレベルの暗号化がありますハードディスク全体の暗号化指定したディスクの全体を暗号化します認証されたユーザー以外からはディスクがマウントできなくなり内部へのアクセスが完全にできなくなりますコンピューターそのものの盗難に備える必要のあるモバイルコンピューターで特に有効ですファイルレベルでの暗号化フォルダー単位あるいはファイルの種類 ( 拡張子 ) の単位で暗号化します他のコンピューターから暗号化されたディスクを直接参照した場合フォルダーやファイルの所在はわかりますが内 4

容は暗号化された状態となりますファイルレベルでの暗号化についてはここでは取扱いません USB メモリなどのリムーバブルメディアの暗号化もディスク全体の暗号化とファイルレベルの暗号化が選択できますファイルレベルの暗号化の場合暗号化コンポーネントを導入していないコンピューターや KSC に接続することのない外部のコンピューターでも利用するためのポータブルモードがありますリムーバブルドライブ全体の暗号化リムーバブルメディア全体を暗号化しますドライブ全体の暗号化を行っている場合認証されていないコンピューターからはリムーバブルメディア内にどのようなファイルやファイルが存在しているか保存されているファイルのサイズはどのくらいかといった情報が読み取れなくなりますなおリムーバブルドライブ全体が暗号化されている場合企業内のコンピューター (KSC に接続できるコンピューター ) ではメディアを使用できますが外部のコンピューター (KSC 管理下にないコンピューター ) では新規ファイルの追加も含めた一切のファイル操作ができなくなるため外部のコンピューターとメディアを共有することはできませんリムーバブルメディア内のファイルレベルでの暗号化リムーバブルメディアに保存されているすべてのファイルを個別に暗号化します外部のコンピューター (KSC 管理下にないコンピューター ) からアクセスするとフォルダーやファイルの所在はわかるのでファイルのコピー等は行えますがファイルの内容は暗号化されているので判読できない状態となりますポータブルモード外部のコンピューター (KSC 管理下にないコンピューター ) でも暗号化したリムーバブルメディアを使用できるようにしますポータブルモードの場合リムーバブルメディア内はファイル単位で暗号化しさらに暗号化されたファイルにアクセスするためのモジュールを格納しますリムーバブルメディア内のファイルへのアクセスはそのモジュールを経由して行いますドライブ全体を暗号化した場合ディスクからファイルを読み込んだ時点で復号化されるため暗号化されていないリムーバブルメディアやネットワークドライブなどにファイルをコピーした場合ファイルは復号化された状態で保存されますファイル単位で暗号化した場合は暗号化されたままでコピーされますなおメールなどアプリケーションを経由して転送する場合は暗号化の方法を問わずファイルは常に復号化されます暗号化した状態でファイルをやりとりしたい場合は上記のポータブルモードまたは暗号化パッケージを使う方法があります ( 付録 P.89 参照 ) 5

1.3. 暗号化を設定するには暗号化の設定を行うには管理サーバーの設定でデータ暗号化と保護機能の表示を有効にする必要があります以下の手順で設定します暗号化を使用するには Advanced のライセンスが必要です 1 管理コンソールを起動し左側のコンソールツリーで管理サーバーを選択して監視タブを開き管理サーバーグループにあるユーザーインターフェイスに表示する機能の設定をクリックします 2 インターフェイスの設定画面が開くのでデータ暗号化と保護機能の表示およびセキュリティ設定タブの表示を有効にして OK をクリックします 3 確認メッセージが表示されるので OK をクリックします 6

表示の設定は管理コンソールを再起動すると有効になります < 設定前 > < 設定後 ( 管理サーバーの詳細にデータ暗号化と保護機能が表示される )> < 設定前 > < 設定後 (KES のポリシーに暗号化が表示される )> 7

1.4. 暗号化を実施するグループの作成暗号化はグループのポリシーで設定しますまず小規模のグループで試験的に運用することをおすすめしますグループは以下の手順で作成しますなおグループおよびグループポリシーについて詳しくはポリシータスク設定ガイドをご参照ください 1 左側のコンソールツリーで親グループ ( ここでは管理対象コンピューター ) を選択し右側の詳細ウィンドウでコンピュータータブにある新規グループをクリックします 2 グループ名を入力して OK をクリックしますここでは暗号化グループとしています 8

3 グループが作成されたことを確認します続いてグループに端末を追加します 4 移動元の端末のコンピュータータブを開き暗号化を実施したい端末を一覧から移動先のグループへドラッグしますここでは管理対象コンピューターのコンピュータータブから暗号化グループへドラッグしています 5 移動先グループのコンピュータータブで端末が移動されていることを確認します 9

1.5. 暗号化コンポーネントのインストールデータの暗号化にはフルバージョンの KES とネットワークエージェントのほか以下の2つが必要です KES 暗号化コンポーネント ( ドライブの暗号化ファイルとフォルダーの暗号化 ) AES 暗号化モジュール (256 ビット ) これらは KES の基本構成には含まれていないのでコンポーネントを追加する必要があります追加に際しては KES をこれからインストールする場合と KES を既にインストールしている環境に追加する場合で方法が異なります KES をまだインストールしていない端末に新規でインストールする場合 P.10 KES をインストールしてある環境に暗号化コンポーネントを追加する場合 P.19 1.5.1. KES を新規インストールする場合 KES のインストールパッケージをカスタマイズして暗号化コンポーネント ( ドライブの暗号化ファイルとフォルダーの暗号化 ) を有効にしたインストールパッケージを作成してインストールします AES 暗号化モジュールも同時にインストールされますまずカスタマイズの元となるパッケージの場所を確認します 1 管理サーバーの詳細リモートインストールにあるインストールパッケージを開き KES のパッケージをダブルクリックしてプロパティ画面を開きます 10

2 全般セクションでアプリケーションのパスを確認しますメモ帳などにコピーしておくとよいでしょう確認したら OK をクリックしてプロパティ画面を閉じます続いてパッケージを作成します 3 先ほどと同じリモートインストールの画面でインストールパッケージの作成をクリックします 11

4 新規パッケージウィザードが開くのでインストールパッケージの種別の選択でカスペルスキー製品のインストールパッケージを作成するを選択します 5 インストールパッケージ名の定義で新しく作るパッケージの名前を入力しますここでは KES10_ 暗号化機能入りパッケージとしています 12

6 インストールする配信パッケージの選択が開くので参照をクリックします 7ファイルを選択する画面が開くので 2で確認したインストールパッケージのパスを開いて Kes10win.kpd を選択し開くをクリックします 13

8 インストールする配信パッケージの選択画面に戻り製品のバージョンなどが表示されるので次へをクリックします 9 使用許諾契約書の画面が開くので内容を確認の上使用許諾所に同意するにチェックマークを入れて次へをクリックします 14

( 次へをクリックするとインストールパッケージのコピーが始まります ) 10 リモートアプリケーションインストール設定が開いたらこの段階では標準インストールを選択したまま次へをクリックします 15

11 完了をクリックします 12 インストールパッケージの一覧に今回作成したパッケージが追加されるのでダブルクリックでプロパティ画面を開きます 16

13 プロパティセクションでドライブの暗号化とファイルフォルダーの暗号化にチェックを付けます設定したら OK をクリックしてプロパティ画面を閉じますコンポーネントを有効化すると暗号化モジュール使用に際しての使用許諾契約書が表示されるので内容を確認の上同意するをクリックしてください 17

暗号化コンポーネント入りのインストールパッケージが作成できたらクライアントにインストールしますクライアントの一般的なインストール方法としてはまずネットワークエージェントをインストールしリモートインストールのタスクを使って KES を一括インストールしますその際上で作成した暗号化コンポーネント入りのパッケージを選択します ⅰ) インストールガイドの Step2. ネットワークエージェントのインストールに従いネットワークエージェントをインストールしますまた Step3 に従い他社製アンチウイルス製品の有無を確認します ⅱ) 必要に応じ暗号化モジュールをインストールするグループを作成します ( インストールガイド Step4. Kaspersky Endpoint Security10 のインストール b. グループ別インストールパターン手順 1~4) ⅲ) グループを選択してタスクタブのタスクの作成でパッケージをリモートインストールするタスクを作成しますタスク種別はアプリケーションのリモートインストールを選択します( 同手順 5 6) ⅳ) インストールパッケージの選択で先の手順で作成した暗号化コンポーネント入りインストールパッケージを選択します ⅴ) リモートインストールするタスクが作成できたらタスクを選択して開始をクリックしてインストールします ( インストールガイド b. グループ別インストールパターン手順 12) 18

1.5.2. KES がインストールされている環境に暗号化コンポーネントを追加する場合暗号化を実施するクライアントのグループで KES 暗号化コンポーネントをインストールするタスクを作成実施し AES 暗号化モジュールをインストールするタスクを作成実施します暗号化実施用のグループがない場合インストールガイドの Step4. Kaspersky Endpoint Security 10 のインストールの 2.2. グループ別インストールパターン手順 1~4を参考に暗号化を実施するグループを作成してください全クライアントにインストールする場合は管理対象コンピューターグループで各タスクを作成実施します KES 暗号化コンポーネントのインストール P.19 AES 暗号化モジュールのインストール P.24 KES 暗号化コンポーネントのインストール 1 暗号化を実施するグループ ( ここでは暗号化グループ ) を選択しタスクタブを開いてタスクの作成をクリックします 19

2 新規タスクウィザードが開くのでタスク種別の選択で KES のコンポーネントの変更を選択して次へをクリックします 3 コンポーネント構成変更タスクの設定が開くので標準インストールのまま次へをクリックします 20

4 タスクスケジュールの設定が開くので次へをクリックします 5 タスクの名前を付けて次へをクリックします例 ) 暗号化コンポーネントの追加 21

6 完了をクリックします 7 作成したタスクが一覧に追加されるのでダブルクリックでプロパティを開きます 22

8 プロパティセクションでインストールするコンポーネントのドライブの暗号化およびファイルとフォルダーの暗号化を有効にします設定したら OK をクリックします 9 OK でプロパティ画面を閉じるとグループタスクの画面に戻ります 10タスクを選択して開始をクリックするとインストールが始まります 23

AES 暗号化モジュールのインストール続いて AES 暗号化モジュールのリモートインストールパッケージを作成して導入します先にインストールする AES パッケージの保存場所を確認し続いてインストールパッケージの作成を実施します 1 管理サーバーの詳細リモートインストールにあるインストールパッケージを開き KES のパッケージをダブルクリックします 2 プロパティ画面が開くので全般セクションでパスを確認しますメモ帳などにコピーをしておくとよいでしょう確認したら OK をクリックしてプロパティ画面を閉じます 24

3 続いて同じインストールパッケージの画面でインストールパッケージの作成をクリックします 4 新規パッケージウィザードが開始されるのでインストールパッケージの種別の選択で指定した実行ファイルのインストールパッケージを作成するをクリックします 25

5 インストールパッケージ名の定義が表示されるので名前をつけて次へをクリックします例 ) AES リモートインストールパッケージ 6 インストールする配信パッケージの選択が表示されるので参照をクリックします 26

72 で確認した KES パッケージのパスを開きその中の exec フォルダーを選択します 8 aes_encryption_module を選択して開くをクリックします 9 インストールする配信パッケージの選択画面に戻るので実行ファイルのコマンドラインに以下を入力します /qn EULA= 1 入力したら次へをクリックします 27

10 管理サーバーにインストールパッケージをアップロード中というメッセージが表示されます 11 アップロードが終わるとメッセージが表示されるので完了をクリックします 12 インストールパッケージ画面に戻るのでパッケージが作成されているのを確認します 28

続いてインストールタスクを作成します 1 暗号化を実施するグループを選択しタスクタブを開いてタスクの作成をクリックします 29

2 新規タスクウィザードが開くのでタスク種別の選択で KSC のアプリケーションのリモートインストールを選択して次へをクリックします 3 インストールパッケージの選択画面が開くので 12で作成した AES 暗号化モジュールのインストールパッケージを選択します 30

4 設定画面が表示されるので次へをクリックします 5 オペレーティングシステム再起動方法の選択が表示されるので再起動の選択をしますここではコンピューターを再起動しないを選択して次へをクリックします 31

6 タスクを実行するアカウントの選択が表示されるのでアカウントが不要のまま次へをクリックします 7 タスクスケジュールの設定が表示されるので次へをクリックします 32

8 タスクに名前を付けて次へをクリックします例 )AES モジュールのリモートインストール 9 完了をクリックします 33

10 作成したタスクが一覧に追加されます 11タスクを選択して開始をクリックするとインストールが始まります 34

1.5.3. インストール状況を確認するにはクライアントに暗号化コンポーネントがインストールされているかは以下の 2 か所で確認します (1) コントロールパネルのプログラムと機能に AES 暗号化モジュールが追加されているかを確認します (2) 続いてタスクトレイのアイコンをクリックして KES の画面を開きます KES の画面ではファイルとデバイスへのアクセスステータスが使用できるようになりますまたレポートの画面に暗号化セクションが追加されていますレポート画面は右上のレポートで確認できます < 暗号化なし> < 暗号化あり > 35

レポート画面は右上のレポートで確認できます暗号化コンポーネントがインストールされていると暗号化セクションが表示されます < 暗号化なし> < 暗号化コンポーネントあり> 36

1.6. グループポリシーの作成グループのコンピューターに暗号化コンポーネントを導入できたらポリシーを作成します通常は親グループのポリシーは親グループに属するサブグループ ( 子グループ ) へ継承されますしたがって暗号化用のグループのみで暗号化を実施するにはグループ用のポリシーを作成し親グループのポリシーを継承しないように設定する必要があります 1 ポリシーの作成をクリックします 37

2 新規ポリシーウィザードが開くのでポリシーの名前をつけて次へをクリックします例 ) KES10 ポリシー ( 暗号化あり ) 3 グループポリシー作成対象のアプリケーションを選択で Kaspersky Endpoint Security を選択して次へをクリックします 38

4 設定のインポートが表示されるので次へをクリックします 5 コントロールの設定が表示されるので次へをクリックしますこの画面は管理サーバーのインターフェイスの設定でエンドポイントコントロールの設定の表示が有効になっている場合に表示されます 39

6 暗号化の設定が表示されるのでこの段階では設定を変更せず次へをクリックしますこの画面は管理サーバーのインターフェイスの設定でデータ暗号化と保護機能の表示が有効な場合に表示されますここで暗号化の設定が表示されていなくても作成後にポリシーのプロパティ画面で設定できます 7 プロテクションの設定が表示されるので次へをクリックします 40

8 信頼リストが表示されるので次へをクリックします 9KSN 声明が表示されるので内容を確認し参加条件に同意するを選択して次へをクリックします 41

10 インターフェイスが表示されるので次へをクリックします 11 パスワードによる保護が表示されるので次へをクリックします 42

12 完了をクリックします 13 ポリシーが作成されるのでダブルクリックでプロパティを開きます 43

14ポリシーのプロパティが開くので全般セクションで親ポリシーから設定を継承するをオフにして OK をクリックしますこの画面で設定項目がグレー表示で変更できない状態になっていた場合は親グループのポリシーで設定を子ポリシーへ強制的に継承させるをオフにします OK でプロパティ画面をいったん閉じてあらためてプロパティ画面を開くと設定が変更できるようになります < 設定前 ( 継承しているので設定を変更できない )> < 設定後 ( 設定できるようになった )> 44

2. 目的別設定方法 2.1. フルディスク暗号化 (FDE;Full Disk Encryption) フルディスク暗号化 (FDE) ではブートセクター以外のすべてのデータを暗号化しますファイル内のデータだけでなくシステムのオペレーティングシステムの種別ディレクトリの構造ファイルの場所に関するメタ情報まで秘匿されます FDE では OS に統合されている特別なドライバーによって内部で自動的に復号化および暗号化されますしたがってユーザーはシステムを起動した後は暗号化されていることを意識することなく普段通りに端末を利用できますまた保存されたデータは常に暗号化された状態であるため予期しないシステムシャットダウンが発生した場合でもデータを保護できます暗号化ドライバー (AES 256) アプリケーションオペレーティングシステムここですべてを暗号化 / 複合化ディスク暗号化を意識することなく利用できる暗号化 / 複合化に際してサーバーに接続する必要がないのも FDE のメリットですサーバーへの接続は最初に FDE を適用するときと後でパスワードを復元することが必要になったときのみ必要になります普段は企業ネットワークの境界外で使用し管理サーバーに長時間接続しないことがあるモバイルコンピューターで特に便利です注意 : 複数の OS がインストールされているハードディスクでは FDE を使用しないでくださいシステムドライブの暗号化ではマスターブートレコードが変更されますこのため複数の OS がインストールされているコンピューターでハードディスクの暗号化を使用すると KES がインストールされている OS 以外のシステムは起動できなくなります 45

2.1.1. FDE で使用されるキーの種類 FDE を有効にすると物理ドライブごとに個別のマスターキーが作成されます暗号化されているディスクではこのマスターキーを使用してデータを複合化 / 暗号化されることになりますマスターキーは KSC に保存されていますが暗号化された状態でクライアント端末側にも保存されますしたがって KSC に接続できないモバイル環境でも暗号化されたディスクを問題なく使用できますマスターキーの暗号化にもキーが使用されますこの時のキー ( 中間キー ) は暗号化の対象がシステムドライブかそれ以外かで保存方法が異なります FDE では特別なドライバーを経由してディスクを読み書きすることになりますがシステムドライブの場合 OS の起動に必要なファイルも暗号化されるため OS が起動する前にマスターキーが使える状態になっている必要がありますこのため認証エージェントを使用します認証エージェントはシステムの起動領域にインストールされ認証エージェントに対してユーザー名とパスワードを入力し認証に成功すると中間キーが複合化されてマスターキーが使用できる状態となり OS が起動します認証エージェントの役割はここまでで OS が起動した後は複合化 / 暗号化を行う特別なドライバーを経由してのアクセスとなりますシステムドライブ以外の場合は OS が起動する前にアクセスが必要ということがないので認証エージェントは使用しません管理サーバーが提供するマスターキーか管理サーバーに接続できないときはクライアント端末側に保存されているマスターキーのコピーを使用しますマスターキーのコピーを複合化するのに使われる中間キーは OS へのログオン時に入力した認証データを元に生成されますこのためユーザーが OS のパスワードを変更すると次に管理サーバーに接続するまでは端末に保存されているマスターキーが使用できなくなりますパスワードの変更は管理サーバーに接続できるときに行うようにしてくださいハードディスクの ID とこの ID 用に作られたマスターキーが管理サーバーに転送されると暗号化がはじまります暗号化と複合化を処理するドライバーが OS に転送されインストールされるとハードディスクのデータはブロック単位で徐々に暗号化されたデータに置き換えられていきますこの作業はバックグラウンドで実行されるのでユーザーは普段の作業をそのまま続けることができます注意事項 OS を再インストールやアップグレードする際にはシステムディスクを復号化する必要がありますこれは OS のローダーが暗号化ドライブを読み取ることができないためです FDE が有効になっているコンピューターで OS のインストーラーを起動するだけで認証エージェントのローダーが自動的に置き換えられてコンピューターが使用できなくなりますかならず先にドライブを復号化してください 46

2.1.2. ディスク全体を暗号化するには FDE の設定は KES のポリシーで行います設定項目は大きく分けて以下の 3 つですシステムディスクを暗号化する場合クライアント側では認証エージェントのパスワードを設定します認証エージェントのパスワード設定 P.53 認証エージェントの設定認証エージェントの設定 ( システムディスクを暗号化する場合 ) P.47 暗号化しないハードディスクの登録 P.50 暗号化の開始 P.52 システムディスクを暗号化する場合クライアント側では認証エージェントのパスワードを設定します認証エージェントのパスワード設定 P.53 認証エージェントの設定認証エージェントはシステムディスクを暗号化する際にクライアント端末にインストールされ OS の起動に先立ちユーザーを認証しマスターキーを復元するのに使われます 1 暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 47

2プロパティ画面が開くので暗号化の共通設定セクションでパスワードの設定の設定をクリックします 3 暗号化パスワードの設定が開きますここではパスワードの設定方法と設定時の強度を設定しますデフォルト ( 推奨設定 ) ではシングルサインオン (SSO) 技術を使用とアクティブなユーザーにパスワードを要求するが有効になっています設定内容は以下の通りですシングルサインオン (SSO) の技術を使用するシステムを起動する前に認証エージェントによって 1 回だけ認証すればすむようにしますオフにした場合認証エージェントと Windows とで別々に認証を行いますパスワードの強度パラメーターユーザーがパスワードを設定する際に単純すぎるパスワードを設定させないようにします SSO を使用する設定になっている場合は Windows 側の設定が適用されるためここでの設定は無視されますアクティブなユーザーにパスワードを要求する端末を利用しているユーザーにメッセージを表示して認証エージェントのパスワードを設定するよう促しますオンのまま使用してくださいなおそのほかのユーザーについては Windows のパスワードで自動生成されます 48

続いて自動生成する認証エージェントアカウントを設定します認証エージェントのアカウントには Windows アカウントが使用されます 4 ドライブの暗号化セクションを開き認証エージェントの自動作成が有効になっていることを確認し設定をクリックします 5 認証エージェントの自動生成設定画面が開きますデフォルトではコンピューター上のすべてのアカウントが有効になっており過去 30 日間にサインインしたすべてのローカルアカウントが認証エージェントのアカウントに自動で追加されます Active Directory を使っている場合はコンピューター上のすべてのドメインアカウントもオンにしてください詳しくはヘルプを参照してください続いて暗号化しないハードディスクの登録 ( 信頼リスト ) へ進みますすべてのディスクを暗号化する場合は P.52 暗号化の開始へ進んでください 49

暗号化しないハードディスクの登録 ( 信頼リスト ) 暗号化実施に先立ち複数の OS をインストールしているなどで FDE を使用できないハードディスクやディスク全体を暗号化する必要のないディスクを登録しますすべてのハードディスクを暗号化する場合はここでの設定は不要なので P.52 暗号化の開始へ進んでください KES ポリシーのプロパティ画面が開いていない場合は暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックしてプロパティ画面を開きます 6 ドライブの暗号化セクションの次のハードディスクを暗号化しないで追加をクリックします 7 デバイスの追加画面が開くので更新をクリックします 50

8ディスクが一覧表示されるので FDE で暗号化しないハードディスクにチェックマークを入れて OK をクリックしますコンピューター名を指定して更新を押すことによりハードディスクを検索しやすくなります 9ディスクが追加されていることを確認します続いて暗号化の開始へ進みます 51

暗号化の開始ここまでの設定が完了したら暗号化を有効にします KES ポリシーのプロパティ画面が開いていない場合は暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックしてプロパティ画面を開きます 10 ドライブの暗号化セクションで既定の暗号化ルールを暗号化するに変更し OK をクリックします暗号化ルールは現在使用しているハードディスクに加え今後追加されるディスクにも影響します変更しない暗号化されたディスクは暗号化されたまま暗号化されていないディスクはそのままとなりますポリシーのデフォルト設定ですすべてのハードディスクを暗号化する現在使用しているディスクおよび今後追加されるディスクもすべて暗号化しますただし次のハードディスクを暗号化しないに登録したディスクは除きますシステムディスク ( 起動が可能なディスク ) の場合ディスクの起動領域が認証エージェントに置き換わりますすべてのハードディスクを復号化暗号化されているハードディスクが復号化されますシステムディスクの場合は認証エージェントも削除されます暗号化が不要になった際や OS の再インストールやアップグレードを行う際に使用します 11 OK をクリックすると複数の OS がインストールされているディスク場合についての警告メッセージが表示されます該当しない場合ははいをクリックします 52

12 ドライブの暗号化セクションの画面に戻るので OK をクリックします 13KSC の設定のバックアップを取るよう促すメッセージが表示されるので内容を確認して OK をクリックしますメニューからバックアップを取得し他のマシン媒体に保管して下さいシステムディスクを暗号化する場合暗号化を有効にするとまず認証エージェントがインストールされます認証エージェントによって最初にユーザー認証が行われて OS が起動した時点で暗号化処理が開始されますシステムディスク以外の場合端末が起動していればただちに暗号化が開始されますバックグラウンドで処理されるため利用者には影響ありません認証エージェントのパスワード設定 ( ユーザー側 ) 1 アクティブなユーザーにパスワードを要求するが有効になっている場合端末でシステムディスクの暗号化が有効になって最初に OS が起動すると最初にサインインしたユーザーにパスワードを入力するよう促す画面が表示されます SSO を有効にしている場合は Windows アカウントで使用しているパスワードを入力して OK をクリックしますこの画面を入力せず閉じてしまった場合付録 2.3.8 をご覧ください 53

2 認証エージェントのパスワードを元に暗号化の際のマスターキーが作成されますマスターキーが KSC に保存されるとバックグラウンドで暗号化がスタートします 3 確認メッセージが表示されるので OK をクリックしますこれで認証エージェントの設定が完了しました次回の起動からはシステムの起動時に Authentication agent 画面が表示されるようになり認証エージェントによる認証が行われるようになります Active Directory を使用している場合はドメイン名とユーザー名とパスワードを入力使用していない場合はドメインとしてコンピューター名を入力しユーザー名とパスワードを入力して CONTINUE をクリックします認証に成功すると Windows が起動します SSO( シングルサインオン ) が有効になっている場合認証エージェントの画面で入力したユーザー名とパスワードで Windows にサインイン ( ログイン ) します 54

2.1.3. 暗号化の状態を確認するには暗号化の状態はコンピュータータブのデータ暗号化ステータスで確認できますデフォルトでは後ろの方に表示されているため右へスクロールする必要がありますが以下の手順でデータ暗号化ステータスの表示位置を変更することができますなお表示位置の設定は管理対象コンピューター全体で共通となります 1いずれかのグループのコンピュータータブで列の追加と削除をクリックします 2 暗号化ステータスを選択し矢印キーで移動して OK をクリックします 55

暗号化ステータス欄の表示位置が変わります暗号化が完了するとポリシーに適合に変わりますハードディスクの暗号化を設定していない場合は暗号化ポリシーが指定されていませんになります暗号化が終わっていない場合のステータスを警告にするには暗号化がエラーなどによって中断されているとステータスが警告になりますが再起動していないので暗号化が開始されていなかったり暗号化の最中であるなどという場合は警告にはなりません適用が終わっていないものも警告にしたい場合は以下の手順で設定します 56

1 管理コンソールを起動し左側のコンソールツリーで暗号化ステータスを確認したいグループ ( ここでは暗号化グループ ) を右クリックしてプロパティを選択します 2 コンピューターのステータスセクションを開きコンピューターのステータスを警告にする条件の継承をオフにしてデータ暗号化の指定ステータスをダブルクリックします 57

3 条件の編集画面が開くのでポリシーの適用中 - 再起動が必要ですおよびポリシーの適用中にチェックを入れて OK をクリックします OK をクリックして設定が反映されると暗号化ポリシーの適用中はステータスが警告になりますクリックすると詳細が表示されます ( 暗号化ステータスの表示位置を変更している場合 ) 58

2.1.4. 複数のユーザーで使用するコンピューターの場合複数のユーザーが登録されているコンピューターの場合暗号化開始時に暗号化されたシステムハードディスクにアクセスするためのパスワード画面でパスワードを設定したユーザー以外についても認証エージェントのアカウントが自動で生成されます認証エージェントアカウントが自動で生成されるのはデフォルトではディスクの暗号化開始時点から 30 日以内のアカウントです追加方法は KES ポリシーのドライブの暗号化セクションで設定できます暗号化開始後に追加したユーザーについては P.60 認証エージェントのアカウントを追加するにはの方法で追加します SSO( シングルサインオン ) の場合認証エージェントの画面で別のユーザー名とパスワードを入力して CONTINUE をクリックするとそのまま Windows にサインインできます < 入力例 > 59

2.1.5. 認証エージェントのアカウントを追加するにはアカウントの管理タスクで認証エージェントのアカウントを追加できます 1 アカウントを追加したい PC のプロパティを開きますタスクから暗号化 ( アカウント管理 ) のプロパティを開きます 2 さらにプロパティを開きます 60

3 処理からアカウントの追加を選択します 4 ユーザーアカウントの追加画面が開くのでアカウントを入力し初期パスワードを設定しますこのパスワードは Windows サインインのパスワードと一致しなくても構いません SSO の場合後で一致させます 61

5 コマンドが設定できたら OK をクリックします 6タスクを選択して水色のアイコンをクリックし開始します完了するとアカウントが追加されます 62

7クライアント側で追加したアカウントでサインインします先に設定した初期パスワードを入力し CONTINUE をクリックします 8 初回認証時にパスワードを変更しますの設定になっているためパスワード変更を求められます CONTINUE をクリックします 63

9 新しくパスワードを登録しますここでもまだ Windows サインインのパスワードではありません強度設定は認証エージェントの強度設定です要件を満たさない場合警告が出ます 64

10パスワードが登録出来たらそのまま続行します SSO の場合 Windows サインインパスワードと同期します 65

2.1.6. ディスク全体の暗号化を解除 ( 復号化 ) するにはディスク全体の暗号化を解除するには既定の暗号化ルールですべてのハードディスクを復号化するに変更するか復号化したいディスクを次のハードディスクを暗号化しないに追加します 1 暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 2プロパティ画面が開くのでドライブの暗号化セクションの既定の暗号化ルールすべてのハードディスクを復号化するを選択します特定のディスクだけを復号化したい場合は追加で暗号化しないハードディスクを登録してください 66

3 OK をクリックして設定を反映させます復号化の状態を確認するには復号化が開始されるとコンピューターの暗号化ステータスがポリシーの適用中になり復号化が完了するとポリシーに適合すべてのハードディスクが復号化されると暗号化ポリシーが指定されていませんに変わります暗号化ステータスの表示については P.55 暗号化の状態を確認するにはを参照してくださいなお起動ディスクを復号化した場合は認証エージェントもアンインストールされます復号化が完了すると認証エージェントは起動せず Windows のサインイン ( ログイン ) 画面となります 67

2.2. リムーバブルメディアの暗号化リムーバブルメディアの暗号化にはリムーバブルドライブ全体の暗号化とファイル単位の暗号化がありファイル単位の暗号化はさらにすべてのファイルを暗号化する方法と新しいファイルだけを暗号化する方法また KSC に接続しない外部のコンピューターや暗号化コンポーネントを導入していないコンピューターでも暗号化ファイルを利用できるようにするためのポータブルモードがありますこれらはリムーバブルメディアによって使い分けることができますリムーバブルメディアの暗号化はグループポリシーのリムーバブルドライブの暗号化セクションで設定します設定には既定のルールとカスタムルールの 2 種類があります既定のルールとカスタムルールは組み合わせて使用できます両方設定されている場合はカスタムルールの方が優先されますたとえば原則としてすべてのリムーバブルドライブはリムーバブルドライブ全体を暗号化するが一部外部のユーザーと共有するメディアだけはポータブルモードを利用するためファイル単位で暗号化するという場合は以下のようにします既定のルールをリムーバブルドライブ全体の暗号化にするカスタムルールで共有したいリムーバブルメディアを追加しすべてのファイルの暗号化とポータブルモードを設定する特定のリムーバブルメディアのみ暗号化を設定したい場合は以下のようにします既定のルールを変更しないにするカスタムルールに暗号化したいリムーバブルメディアを追加しルールを設定する 68

2.2.1. リムーバブルドライブ全体の暗号化リムーバブルドライブ全体を暗号化するとドライブごとに個別のマスターキーが作成され次の 3 か所に保存されます 1. 管理サーバー 2. ユーザーのコンピューター ( ユーザーのプライベートキーを使って暗号化されます ) 3. リムーバブルドライブ上のデータファイルのヘッダー ( 管理サーバーの公開キーを使って暗号化されます ) 鍵の抽出は内部で自動的に行われるため使用時に鍵の保存場所を意識する必要はありませんただし管理サーバーに接続できない環境の場合既に使用したことのあるコンピューターからのみ使用可能となります認証されているコンピューターでデータの読み書きを行う際には特別なドライバーによってリムーバブルドライブが即座に復号化暗号化されるのでユーザーは暗号化を意識することなく利用できます管理サーバーに接続できないコンピューターではドライブ全体が暗号化されたリムーバブルメディアを使って作業することはできないため外部ユーザーとのデータ交換に使用することはできません外部のユーザーや暗号化コンポーネントを導入していないコンピューターとリムーバブルメディアを共有する場合はファイル単位の暗号化を行いポータブルモード(P. 80) を使用してくださいなお FDE の場合元のコンテンツはセクター別に暗号化され認証されていないコンピューターではマウントもできなくなりますがリムーバブルドライブの場合特別なヘッダーを持つ暗号化されたファイルに置き換えられますリムーバブルドライブ全体が暗号化されているメディアは認証されていないコンピューターではマウントはできますが FDE_PR.BIN というファイルだけが存在する空き領域 0 のメディアとして認識されるのでメディアに保存されているファイルの名前や容量は読み取れなくなります <ドライブ全体が暗号化されたリムーバブルメディア ( 参考 )> どのようなファイルが保存されているかは一切わからなくなります空き領域 0 の状態なのでファイルの追加などはできません 69

リムーバブルドライブ全体を暗号化する ( 管理サーバー側 ) リムーバブルドライブ全体を暗号化するには KES ポリシーのリムーバブルドライブの暗号化セクションでリムーバブルドライブ全体の暗号化を設定します 1 暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 2 プロパティ画面が開くのでリムーバブルドライブの暗号化セクションを選択します 70

3リムーバブルメディア全般を暗号化したい場合は既定のルールでリムーバブルドライブ全体の暗号化を選択しますメディアごとに設定したい場合は変更しないのままにしてカスタムルールで設定します 4メディアごとに設定したい場合あるいは暗号化の対象外としたいリムーバブルメディアがある場合はカスタムルールの追加で追加します追加方法には次の 2 つがあります 71

(A) 信頼するデバイスのリストから追加する方法追加 - このポリシーの信頼するデバイスから指定するを選択しますエンドポイントコントロールのデバイスコントロールで信頼するデバイスとして登録されているデバイス ( 接続を許可されたデバイス ) が一覧表示されるのですべて選択をクリックまたは暗号化したくないメディアを個別に選択して OK をクリックします (B)KSC の管理下にあるすべてのメディアから追加する方法追加 - KSC のデバイスリストから指定するを選択します更新をクリックすると KSC 管理下で使用されたことのあるデバイスがリストアップされるのですべて選択をクリックまたは暗号化したくないメディアを個別に選択して OK をクリックします 72

追加したメディアに対しルールを設定しますここではリムーバブルメディア全般でリムーバブル全体の暗号化を実施し例外として暗号化しない ( 変更しない ) メディアを追加しています 5 OK をクリックして設定を反映させます 6KSC の設定のバックアップを取るよう促すメッセージが表示されるので内容を確認して OK をクリックしますメニューからバックアップを取得し他のマシン媒体に保管して下さい 73

リムーバブルドライブの暗号化の開始 ( ユーザー側 ) ポリシーが適用されたコンピューターにまだ暗号化されていないリムーバブルメディアを接続するとリムーバブルドライブの暗号化というメッセージが表示されますまだ暗号化したくない場合はリムーバブルドライブを暗号化しないを選択しますこの場合メディアは読み取りのみとなりますリムーバブルドライブを暗号化するを選択した場合ただちに暗号化が開始されます暗号化が完了するとリムーバブルメディアが使用できるようになりますこの後の暗号化 / 復号化は自動で行われるため特別な操作は不要です 74

2.2.2. リムーバブルメディアのファイル単位の暗号化ファイルレベルの暗号化では以下の 4 種類のキーが使用されます管理サーバーの公開キーマスターキーを暗号化するのに使用されるユーザーのプライベートキーマスターキーを取り出すのに使用されるマスターキーファイルのキーを取り出すのに使用される ( デバイスごとに作成される ) ファイルを暗号化するためのキー ( ファイルごとに生成される ) リムーバブルメディアのマスターキーはファイルの暗号化が開始される前に生成されリムーバブルメディア内アクティブなユーザーのコンピューター内および管理サーバーの 3 か所に保存されますユーザーがリムーバブルメディア内の暗号化されたファイルを使用する場合特別なドライバーによって内部で即座に復号化 / 暗号化されますがユーザーのコンピューターにマスターキーがない場合は管理サーバーからマスターキーを取得します管理サーバーにアクセスできない場合は FLE 同様チャレンジ / レスポンス手段でキーを取得します取得したマスターキーはユーザーのコンピューター内に自動的に保存され次からはこのマスターキーが使用されますなおリムーバブルメディアをファイル単位で暗号化している場合他のコンピューターで暗号化したファイルつまり別のマスターキーで暗号化したファイルがそのリムーバブルメディアにコピーされていることがありますこの場合別途マスターキーを取得する必要がありますが KSC に接続されている場合は自動的に処理されます 75

リムーバブルメディアをファイル単位で暗号化する ( 管理サーバー側 ) リムーバブルドライブ全体を暗号化するには KES ポリシーのリムーバブルドライブの暗号化セクションで既定のルールをすべてのファイルの暗号化または新しいファイルのみ暗号化に設定しますすべてのファイルの暗号化の場合例外なしにドライブのすべてのファイルが暗号化されます新しいファイルのみ暗号化の場合ドライブの新しいファイルまたは変更のあったファイルのみ暗号化されますファイル単位の暗号化は以下の手順で設定します 1 暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 2 プロパティ画面が開くのでリムーバブルドライブの暗号化セクションを選択します 76

3リムーバブルメディア全般を暗号化したい場合は既定のルールですべてのファイルの暗号化または新しいファイルのみ暗号化を選択しますメディアごとに設定したい場合は変更しないのままにしてカスタムルールで設定します 4メディアごとに設定したい場合あるいは暗号化の対象外としたいリムーバブルメディアがある場合はカスタムルールの追加で追加します追加方法には次の 2 つがあります 77

追加したメディアに対しルールを設定しますここではリムーバブルメディア全般でリムーバブル全体の暗号化を実施し例外として暗号化しない ( 変更しない ) メディアを追加しています外部のコンピューターや暗号化コンポーネントを導入していない端末でも暗号化されたファイルを使用したい場合はポータブルモード (P.81) にチェックマークを入れます 5 OK をクリックして設定を反映させます 6KSC の設定のバックアップを取るよう促すメッセージが表示されるので内容を確認して OK をクリックしますメニューからバックアップを取得し他のマシン媒体に保管して下さい 79

リムーバブルドライブの暗号化の開始 ( ユーザー側 ) リムーバブルドライブでファイル単位の暗号化を有効にしている場合コンピューターにメディアを接続すると接続ごとに暗号化をするかどうかの確認メッセージが表示されますすべてのファイルの暗号化の場合新しいファイルのみ暗号化の場合ファイルを暗号化しないをクリックした場合リムーバブルメディアは読み取り専用モードとなりますファイルを暗号化するをクリックすると暗号化の準備がはじまりますすべてのファイルの暗号化の場合ファイルを暗号化するをクリックすると即座に暗号化が開始されますこのときメディア内のファイルがすべてチェックされ暗号化されていないファイルはすべて暗号化されますしたがってメディアに保存されているファイルの量によっては時間がかかることがあります既に暗号化されているファイルはそのままなので 2 回目以降は高速化されますなお暗号化の途中もメディアへのアクセスは可能ですが接続は切断しないようにしてくださいすべてのファイルの暗号化が終わるとメッセージが表示されます新しいファイルのみ暗号化の場合この時点では処理はなにも行われません新しいファイルを保存する際にファイルが自動的に暗号化されますなおメディアに保存されている既存のファイルについては参照した段階では何も行われず更新するとその時点で自動的にファイルが暗号化した状態で保存されます 80

2.2.3. ポータブルモードすべてのファイルを暗号化あるいは新しいファイルのみ暗号化でリムーバブルメディアをファイル単位で暗号化する場合ポータブルモードを使用することができますなおファイル単位の暗号化を行っている場合は後でポータブルモードに変更することも可能ですファイル単位の暗号化およびすべてのファイルを暗号化あるいは新しいファイルのみ暗号化の違いについて詳しくは P.75 2.2.2 リムーバブルメディアのファイル単位の暗号化をご参照くださいポータブルモードが有効になっている場合ポータブルマネージャー (pmv.exe) がリムーバブルメディアにコピーされます外部のコンピューターなど KSC に接続できないコンピューターや暗号化コンポーネントが導入されていないコンピューターでもこのポータブルマネージャーを経由してファイルにアクセスすることで暗号化 / 復号化を行うことができますポータブルモードを有効にする ( 管理サーバー側 ) 1 暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 81

2 プロパティ画面が開くのでリムーバブルドライブの暗号化セクションを選択しますリムーバブルメディア全般でポータブルモードを使用する場合は既定のルールですべてのファイルを暗号化あるいは新しいファイルのみ暗号化を選択してポータブルモードにチェックマークを入れて有効にしますメディアごとに設定する場合はカスタムルールでポータブルモードにチェックマークを入れます 82

ポータブルモードではポータブルモード専用の暗号化パスワードを設して使用しますパスワードの最小文字数などは暗号化の共通設定で設定しますデフォルト ( 推奨設定 ) は大文字数字記号を含む最低 8 文字で 30 日ごとに変更するように設定されています 3 暗号化の共通設定セクションでパスワードの設定の設定をクリックします 4 暗号化パスワードの設定が開くのでポータブルファイルマネージャータブをクリックしてパスワードのパラメーターを設定します 5 OK をクリックして設定を反映させます 83

ポータブルモードによる暗号化の開始 ( ユーザー側 ) コンピューターにメディアを接続すると接続ごとに暗号化をするかどうかの確認メッセージが表示されますすべてのファイルの暗号化の場合新しいファイルのみ暗号化の場合ファイルを暗号化しないをクリックした場合リムーバブルメディアは読み取り専用モードとなりますファイルを暗号化するをクリックすると暗号化の準備がはじまります ( すべてのファイルの暗号化選択時のみ ) 最初の暗号化の際ポータブルモードのパスワードを入力する画面が表示されます確認のためパスワードを 2 回入力して OK をクリックしますすべてのファイルの暗号化を選択している場合ポータブルモード用のパスワードを設定すると暗号化が開始されますポータブルモードの準備ができるとメッセージが表示されますポータブルマネージャーは pmv.exe という名前でリムーバブルメディアにコピーされますすべてのファイルの暗号化が設定されている場合もこの pmv.exe と自動再生用の設定ファイル (autorun.inf) は暗号化されません 84

ポータブルモードでリムーバブルメディアにアクセスするには 1 リムーバブルメディアを接続しリムーバブルメディアに保存されているポータブルマネージャー (pmv.exe) を実行します接続したコンピューターで自動再生が有効になっている場合はポータブルマネージャーが自動起動します 2 リムーバブルドライブにアクセスするためのパスワードの要求画面が表示されるのでポータブルモード用のパスワードを入力し OK をクリックします 3 ポータブルファイルマネージャーが起動します 85

暗号化されているファイルには黄色いアイコンが表示されますこれらのファイルはポータブルファイルマネージャーを経由することで表示更新できるようになります暗号化されたファイルをダブルクリックして関連付けられたアプリケーションを起動すると自動で復号化されて表示されアプリケーションで保存した場合は自動で暗号化されますまたファイルを選択して暗号化 / 復号化することも可能です暗号化されているファイルをハードディスクなどにコピーする場合に復号化するかどうかは右上のコピー時にファイルを復号化するで設定します ( オフの状態 ) ( オンの状態 ) なお暗号化されていないファイルの表示更新や新しいファイルを保存する場合はポータブルマネージャーを経由する必要はありませんまたポータブルマネージャーを経由せずファイルを保存した場合ファイルは暗号化されません 86

2.2.4. リムーバブルメディアの暗号化の解除リムーバブルメディアの暗号化を解除するにはポリシーでリムーバブルドライブ全体の復号化を行います設定はドライブ全体ファイル単位共通です 1 暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 2 リムーバブルドライブの暗号化セクションで既定のルールでリムーバブルドライブ全体の復号化に変更またはカスタムルールで個々のメディアを選択しリムーバブルドライブ全体の復号化に変更し OK をクリックして設定を反映させます 87

<ユーザー側 > リムーバブルドライブ全体を暗号化している場合暗号化されたリムーバブルメディアを接続すると自動的に復号化がはじまります復号化が完了するとリムーバブルメディアが使用可能になり外部のコンピューターからもメディア内を参照できるようになりますファイル単位で暗号化している場合ファイル単位で暗号化している場合も暗号化されたリムーバブルメディアを接続すると自動的に復号化がはじまります復号化中もリムーバブルメディアの読み書きは可能です復号化が完了すると外部のコンピューターからもすべてのファイルが読み書きできるようになりますなおポータブルモードの場合ポータブルマネージャーも削除されます 88

2.3. 付録 2.3.1. 外部の相手と暗号化されたファイルをやり取りするにはファイル単位で暗号化している場合メールソフトなどアプリケーションを経由してファイルを送る場合ファイルは自動的に復号化されますが暗号化されたファイルをネットワークドライブやリムーバブルメディアにコピーした場合ファイルは暗号化されたままとなります別のコンピューターでこのファイルを使用するには管理サーバーに接続してキーを取得する必要があります KSC に接続しているクライアントの場合この処理は自動で行われますフルディスク暗号化やリムーバブルドライブ全体を暗号化している場合ファイルを暗号化していない場所にコピーすると自動で復号化されますファイルを暗号化した状態で KSC に接続しない外部のユーザーや暗号化コンポーネントを導入していない企業内ユーザーとフファイルを交換したい場合はリムーバブルメディアのポータブルモード (P.81) または暗号化されたパッケージを使用します暗号化されたパッケージは自己解凍形式のファイルですファイルを暗号化した状態で外部のコンピューターに渡すことができます KES の暗号化コンポーネントが導入されたコンピューターではファイルまたはフォルダーの右クリックメニューで暗号化されたパッケージへの追加が選択できるようになります暗号化されたパッケージへの追加メニューを選択してパスワードを入力すると自己解凍形式のファイルが作成されます暗号化されたパッケージのパスワードポリシー暗号化されたパッケージへの追加のパスワードはポリシーで設定したパスワードのポリシーに従っている必要がありますパスワードのポリシーは以下で設定します 1 暗号化されたパッケージを作成するグループ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 89

2プロパティ画面が開くので暗号化の共通設定セクションでパスワードの設定の設定をクリックします 3 暗号化パスワードの設定画面が開くので暗号化されたパッケージタブでパスワードのポリシーを設定し OK で設定を反映させます 90

暗号化されたパッケージを作成するには暗号化されたパッケージは以下の手順で作成します 1 ファイルまたはフォルダーで右クリックして暗号化されたパッケージに追加を選択します 2 保存先とファイル名を入力し保存をクリックします既存のファイルを選択すると上書きとなります 3パスワードを確認のため 2 回入力し新規作成をクリックします 91

4 パッケージが作成できました暗号化されたパッケージからファイルを取り出すには暗号化されたパッケージは自己解凍形式の実行ファイルですダブルクリックで実行します 1 パスワードの入力が表示されるのでパッケージのパスワードを入力して OK をクリックします 2 フォルダーの参照画面が開くのでファイルの保存先を選択して OK をクリックします 3 指定したフォルダーにパッケージに格納されているすべてのファイルが展開されます 92

2.3.2. 特定のリムーバブルメディアのみ暗号化 / 復号化するには特定のリムーバブルメディアのみ暗号化 / 復号化したい場合は KES ポリシーのリムーバブルドライブの暗号化セクションでカスタムルールを設定します 1 暗号化を実施するグループ ( ここでは暗号化グループ ) のポリシータブで KES10 のポリシーをダブルクリックします 2プロパティ画面が開くのでリムーバブルドライブの暗号化セクションの既定のルールを変更しないにします 93

3 カスタムルールの追加をクリックして設定したいメディアを追加します追加 - このポリシーの信頼するデバイスから指定するの場合エンドポイントコントロールのデバイスコントロールで信頼するデバイスとして登録されているデバイス ( 接続を許可されたデバイス ) が一覧表示されますすべて選択をクリックまたは必要なメディアを選択して OK をクリックします 94

追加 - KES のデバイスリストから指定するの場合更新をクリックすると KES 管理下で使用されたことのあるデバイスがリストアップされるのですべて選択をクリックまたは必要なメディアを選択して OK をクリックします 4 カスタムルールでそれぞれのメディアのルールを選択し OK をクリックして設定を反映させます 95

2.3.3. 暗号化されたディスクやファイルが使用できなかった場合 ( 要求ファイルによる認証 ) 暗号化されたディスクやファイルにアクセスしようとした際に通常であれば KSC から自動でキーを取得して復号化します KSC に接続できないなど何らかの理由でアクセスできなかった場合はファイルへのアクセスがブロックされましたというメッセージが表示されるのでこの画面で要求ファイルを作成し管理者へ送ります要求ファイルの作成 ( ユーザー側 ) 1 ファイルへのアクセスがブロックされましたというメッセージが表示されたら保存をクリックします 2 要求ファイルの保存画面が開くのでわかりやすい場所を選んで保存をクリックします保存したファイルをメールやリムーバブルメディア等で管理サーバーに送ってくださいなお要求ファイルは KES の画面からも保存できます 96

この場合は KES を開いて画面下部のアクティブな要求がありますをクリックしてファイルとデバイスへのアクセスステータス画面を開きドライブ等を選択してファイルに保存をクリックします後の手順は共通ですアクティブな要求をクリックしますファイルとデバイスへのアクセスステータスでドライブを選んでファイルに保存をクリックします要求ファイルの保存画面が開くのでわかりやすい場所を選んで保存をクリックし保存したファイルを管理サーバーへ送ります 97

アクセスキーファイルの作成 ( 管理サーバー側 ) 3 管理コンソールを起動し左側のコンソールツリーでパスワードをリセットしたい端末のグループを選択します 4 コンピュータータブでリセットしたい端末を右クリックしてオフラインモードでのデバイスおよびデータへのアクセスを許可するを選択します 5 オフラインモードでのデバイスおよびデータへのアクセスを許可する画面が表示されるので暗号化タブで参照をクリックします 98

6 要求ファイルの選択画面が開くのでクライアントから受け取ったファイルを選択して開くをクリックします 7 オフラインモードでのデバイスおよびデータへのアクセスを許可する画面に戻り要求の内容が表示されるので保存をクリックします 8 アクセスキーファイルの保存画面が開くのでファイルを保存します保存したファイルをメールなどでクライアントに送ります 99

アクセスキーファイルの読み込み ( ユーザー側 ) タスクトレイで KES のアイコンをクリックして KES を開きます 9 画面下部のアクティブな要求がありますをクリックします 10 ファイルとデバイスへのアクセスステータス画面が開くので参照をクリックします 100

11 アクセスキーファイルの選択画面が開くので管理者から受け取ったアクセスキーファイル ( 拡張子.kesdr) を選択して開くをクリックします暗号化されたドライブにアクセスできるようになりましたデスクトップにドライブの暗号化というメッセージ画面が表示されるのでエクスプローラー等を開いていたらすべて閉じてからすべてのウィンドウを閉じて直接アクセスを可能にするを選択しますこれで暗号化されたディスクにアクセスできるようになりました 101

2.3.4. 認証エージェントで認証できなかった場合 ( チャレンジ / レスポンスによる認証 ) 認証エージェントで入力したユーザー名やパスワードが違っていた場合 Authentication error 画面が表示されます CONTINUE で再度入力できますが 5 回間違えると Password Reset 画面が表示されますパスワードのリセットは以下の手順で行いますチャレンジキーの作成 ( ユーザー側 ) 1 Password Reset 画面で CONTINUE をクリックします 102

2 Entropy メッセージが表示されている間画面上でマウスを動かします 3 Challenge が表示されたら 5 つの文字列を管理者に伝えます 103

一時アクセスコードの作成 ( 管理サーバー側 ) 4 管理コンソールを起動し左側のコンソールツリーでパスワードをリセットしたい端末のグループを選択します 5 コンピュータータブでリセットしたい端末を右クリックしてオフラインモードでのデバイスおよびデータへのアクセスを許可するを選択します 6 オフラインモードでのデバイスおよびデータへのアクセスを許可する画面が表示されるので認証エージェントタブのユーザーの要求に先の Challenge の文字列を入力し一時アクセスコードの作成をクリックします 104

7 一時アクセスコードが作成されるので 7 つの文字列をクライアントに伝えます一時アクセスコードの入力とパスワードの再設定 ( ユーザー側 ) 8 Challenge 画面で CONTINUE をクリックします 105

9 Response 画面が表示されるので管理者から通知された 7 の一時コードを入力します 10 入力できると CONTINUE ボタンが表示されるのでクリックします 106

11 Enter new password 画面が表示されるので新しくパスワードを入力して CONTINUE をクリックしますここでの強度設定は認証エージェントの強度設定です要件を満たさない場合警告が表示されます SSO の場合後でパスワード同期がされますので Windows サインインと一致しなくても構いません 107

12 あらためて認証画面が表示されるのでドメイン名 \ ユーザー名またはマシン名 \ ユーザー名とパスワードを入力して CONTINUE をクリックします 108

2.3.5. ドライブにアクセスできなくなった場合 ( 暗号化されたデバイスの復元 ) フルディスク暗号化 (FDE) で暗号化されたディスクが接続されていたコンピューターが何らかの理由で起動できなくなった場合ドライブからデータを取り出せなくなってしまいますデータの破損していない部分を復元するには KES がインストールされている別のコンピューターにドライブを接続し以下の手順でデータを復元しますなお二重に暗号化してしまうことのないように復元したいディスクを接続するコンピューターではあらかじめディスク暗号化を無効にしておいてください具体的にはポリシーのドライブの暗号化セクションで既定の暗号化ルールを変更しないに設定します (A) 要求ファイルによる認証を行う場合暗号化されたドライブを接続してファイルへのアクセスがブロックされましたという画面が表示された場合はこの画面で要求ファイルを保存し認証を行います P.96 暗号化されたディスクやファイルが使用できなかった場合 ( 要求ファイルによる認証 ) の手順に従ってください (B) 暗号化されたデバイスの復元を使用する場合ファイルへのアクセスがブロックされましたというメッセージが表示されず要求ファイルが作成できなかった場合は暗号化されたデバイスの復元ユーティリティーで復元を試みますフォーマットする必要がありますというメッセージが表示されてもキャンセルで回避してください暗号化されたデバイスの復元ユーティリティーによる復元は以下の手順で行います 109

暗号化されたデバイスの復元の起動と要求ファイルの作成( ユーザー側 ) 1タスクトレイから KES を起動し左下のサポートをクリックします 2 サポート画面が開くので暗号化されたデバイスの復元をクリックします暗号化されたデバイスの復元メニューは暗号化コンポーネントが導入されていない KES では表示されません暗号化コンポーネントが導入されているコンピューターで復元するか暗号化コンポーネントが導入されているコンピューターでスタンドアロン用の復元ツールの作成 ( 次画面参照 ) で作成したツールを使って復元してください 110

3 暗号化されたデバイスの復元ツール画面が開きます暗号化モジュールあるいは KES そのものがないない環境で復号化を行う場合はスタンドアロン用の復元ツールの作成でツールを作成しますツール (fdert.exe) を起動するとこの画面が開くので同じように操作してください 4 デバイスの選択で復元したいディスクを選択してスキャンをクリックしますスキャンが完了すると右下のロック解除ボタンが有効になるのでロック解除をクリックします 5 デバイスのロック解除設定が開くのでデバイスのアクセスキーを手動で指定するを選択しアクセスキーの取得をクリックします 111

6 デバイスアクセスキーの取得画面が開くので保存をクリックします 7 名前を付けて保存画面が開くのでわかりやすい名前をつけて保存をクリックします拡張子は自動で.fdertc となります 8 保存をクリックすると暗号化されたデバイスの復号ツールから保存したアクセスキーを管理者に送り管理者からアクセスキーファイルを取得するまでは画面を閉じないでおく必要がある旨のメッセージが表示されるので確認して OK をクリックします 9 保存したファイルをメール等で管理者に送りますデバイスアクセスキーの取得画面は開いたままにしておいてください閉じてしまった場合はアクセスキーの取得でファイルを作り直してから管理者に送信してください 112

アクセスキーファイルの作成 ( 管理サーバー側 ) 10KSC を起動し詳細のデータ暗号化と保護機能下にある暗号化されたデバイス画面を開き復号化したいドライブを右クリックして指定の暗号化されたデバイスのアクセスキーの取得を選択します 11 デバイスへのアクセスを許可画面が開くので参照をクリックします 113

12 要求ファイルの選択画面が開くのでクライアントから受け取ったファイルを選択して開くをクリックします 13 デバイスへのアクセスを許可画面に戻りコンピューターやディスクの詳細情報が表示されます保存をクリックしてアクセスキーを保存します 114

14 アクセスキーファイルの保存画面が開くので保存場所を選択して保存をクリックします拡張子は.fdertr となります保存したファイルを復号化したいディスクを接続しているコンピューターに送りますアクセスキーファイルの読み込み ( ユーザー側 ) 15 開いたままにしておいたデバイスアクセスキーの取得画面で読み込みをクリックします 16 ファイルを開く画面が開くので管理者から受け取ったアクセスキーファイル ( 拡張子は.fdertr) を選択して開くをクリックします 115

17 メッセージが表示されるので OK をクリックします 18 デバイスのロック解除設定画面に戻るので OK をクリックします 19 暗号化されたデバイスの復元ツール画面に戻りロックが解除されますロックが解除されると中のファイルにアクセスできるようになるので必要なファイルを別のディスクにコピーしてください 116

2.3.6. リムーバブルメディアのデータの復元 KSC に接続できない環境でドライブ全体が暗号化されたリムーバブルメディアを使用したい場合やファイル単位で暗号化されているがポータブルモードが設定されていないリムーバブルメディアを使用したいという場合管理サーバーへ要求ファイルを送りアクセスキーを取得します暗号化されているリムーバブルメディア接続するとファイルへのアクセスがブロックされましたというメッセージが表示されるのでこの画面で要求キーを保存し管理サーバーに送りますこの後は P.96 暗号化されたディスクやファイルが使用できなかった場合( 要求ファイルによる認証 ) の手順に従ってください要求ファイルが作成できない場合はチャレンジ / レスポンス手順でキーを取得しますデータの破損があるなどで上記 2 つの方法がとれなかった場合は暗号化されたデバイスの復元ユーティリティーからの復元を試みますタスクトレイから KES を起動し左下のサポートをクリックします 117

サポート画面が開くので暗号化されたデバイスの復元をクリックします暗号化されたデバイスの復元メニューは暗号化コンポーネントが導入されていない KES では表示されません暗号化コンポーネントが導入されているコンピューターで復元するか暗号化コンポーネントが導入されているコンピューターで暗号化されたデバイスの復元画面を開きスタンドアロン用の復元ツールの作成で作成したツールを使って復元してくださいこの後は P.109 ドライブにアクセスできなくなった場合( 暗号化されたデバイスの復元の手順に従ってください 118

2.3.7. OS をアップグレードするには OS をアップグレードや再インストールする際にはディスクの復号化を先に行う必要があります以下の手順で実施してください 1グループを作成する OS をアップグレードするためにディスクの復号化を実施するグループを作成し対象としたいコンピューターを移動します 2 復号化を設定するグループポリシーのドライブの暗号化セクションで既定の暗号化ルールをすべてのハードディスクを復号化するに変更します 3 復号化が完了していることを確認する復号化が開始されるとコンピューターの暗号化ステータスがポリシーの適用中になりフルディスク暗号化で暗号化されているハードディスクがなくなると暗号化ポリシーが指定されていませんに変わりますなお暗号化ステータスの表示については P.55 暗号化の状態を確認するにはを参照してください ( 復号化が開始した状態 ) 119

( 復号化が完了した状態 ) クライアント側では KES のレポート画面の暗号化で復号化の開始と終了を確認できますまたクライアント側で復号化が完了すると認証エージェントもアンインストールされます起動時に認証エージェントが起動せず直接 Windows のサインイン ( ログイン ) 画面となることを確認してください 120

2.3.8. 認証エージェントのパスワード設定をスキップしてしまった場合起動時に認証エージェントがパスワードを求めてきます管理者は初期パスワードを表示しユーザーに伝える必要があります該当 PC のプロパティを開きますタスクから暗号化 ( アカウント管理 ) のプロパティを開きますパスワード種別が初期のものはパスワードを表示することができます該当のアカウントをダブルクリックします 121

元のパスワードの表示にチェックを入れますまたはアカウントの編集から初期パスワードを設定し直しタスクを実行させて変更することもできます 122

株式会社カスペルスキー 101-0021 東京都千代田区外神田 3-12-8 住友不動産秋葉原ビル 7F www.kaspersky.co.jp 2016 Kaspersky Labs Japan. Kaspersky Anti-Virus および Kaspersky Security は Kaspersky Lab ZAO の登録商標ですその他記載された会社名または製品名などは各社の登録商標または商標ですなお本文中では TM マークは明記していません記載内容は 2016 年 9 月現在のものです記載された内容は改良の為に予告なく変更されることがあります 123

目次 1. はじめに 本資料の目的 導入の流れ 暗号化導入の種類 暗号化を設定するには 暗号化を実施するグループの作成 暗号化コンポーネントのインストール

目次 1. はじめに本資料の目的導入の流れ暗号化導入の種類暗号化を設定するには暗号化を実施するグループの作成暗号化コンポーネントのインストール