Comments
Transcript
HP ProtectTools セキュリティソフトウェア Version 5.0
HP ProtectTools セキュリティソフトウェア Version 5.0 目次 概要 ........................................................................................................................................................2 セキュリティの懸案事項..................................................................................................................... 2 HP ProtectTools Security Manager .................................................................................................. 4 HP ProtectToolsのセキュリティソフトウェアモジュール.........................................................................5 [Credential Manager]セクション ...................................................................................................... 6 パスワードマネージャー................................................................................................................. 7 資格情報 ........................................................................................................................................ 8 [マイ データ]セクション....................................................................................................................... 9 File Sanitizer .................................................................................................................................. 9 暗号化の状態 ................................................................................................................................ 9 [マイコンピューター]セクション......................................................................................................... 10 Device Access Manager ............................................................................................................ 10 [マイ 通信]セクション ....................................................................................................................... 11 Privacy Manager......................................................................................................................... 11 その他のアプリケーション................................................................................................................ 12 Theft Recovry(LoJack Pro).......................................................................................................... 12 Embedded Security ..................................................................................................................... 13 HP ProtectTools管理者コンソール .................................................................................................. 14 よくある質問(FAQ) ............................................................................................................................. 15 1 概要 ほとんどの企業では、PCの盗難やセキュリティ侵害の増加を考慮して、セキュリティを優先事項とし て挙げています。データセキュリティに対する脅威により、重要なビジネス情報や顧客情報を損失し たり、コンプライアンスが危うくなったりすると、企業活動そのものに直接影響することがあります。 HPには企業のセキュリティ分野における豊富な実績があり、こうしたセキュリティ問題の解決に注 力してきました。HPは、PC自体がITインフラストラクチャ全体を脅かすために悪用される可能性のあ る脆弱点とならないように、多数の分野のテクノロジーを集約してパソコンを確実に保護することを 目的に、HP ProtectTools Security Managerを設計しました。HP ProtectTools Security Managerは、 拡張可能で使用が簡単なプログラムで、Microsoft Windowsオペレーティングシステムを稼働する HP のPCプラットフォームで機能するように設計されています。 セキュリティの懸案事項 パーソナルコンピューティングデバイスに関するセキュリティポリシーを導入しようとしている企業に は多数の選択肢がありますが、中には常に良好に連携するとは限らないものや、設定や使用が難 しいものも含まれています。使い勝手が悪い場合、大半のユーザーはその使用を避けるようになり、 パーソナルコンピューティングデバイスの安全性を確保する作業がより複雑になってしまいます。パ ーソナルコンピューティング向けのセキュリティ機能は標準化が進み、他のITセキュリティとより円滑 に統合されるようになってきましたが、設定や使用を徹底するためには、満たさなければならない 要件がまだ残っています。このような要件には次のようなものがあります。 • 使いやすさ – セキュリティ機能は、その使用とカスタマイズが簡単である必要があります。 • 管理性 – 特に大規模な場合、管理が簡単にできる必要があります。 • 相互運用性 –複数のテクノロジーにまたがる機能やサービスが既存のツールとどのように 連携して動作するかを理解しておく必要があります。 • 拡張性 –セキュリティニーズの変化や新たなテクノロジーおよび機能の出現に応じて、適宜 対応する必要があります。 HP ProtectToolsセキュリティソフトウェアは、個々のソフトウェアモジュールを使用してこれらの課題 を解消します。会社が成長しセキュリティニーズが変化するのに応じて、新しいソフトウェアモジュー ルをインストールすることで、新たなセキュリティ機能を簡単に追加できます。HP ProtectTools Security Managerを使用すると、ユーザーは、単一の使いやすいソフトウェアインターフェイスから すべてのHP ProtectTools機能にアクセスできます。HP ProtectToolsには、Microsoft Windowsのタ スクバー、[スタート]メニュー、および[Ctrl]+[Alt]+[H]キーを使用して簡単にアクセスできます。各プ ラグインモジュールでは、その利用目的の概要が表示されます。ヘルプファイルにはより詳細な補 足情報が掲載されています。HP ProtectToolsは、各種の標準化されたテクノロジーに基づく多数の 機能を備えています。 2 • スマートカードを使用するように構成できます。(現在ノートブック PC で利用可能です) • Trusted Platform Module(TPM、内蔵セキュリティチップ)は Trusted Computing Group (TCG)標準に従ってセキュリティを強化する目的で設計されたハードウェアデバイスです。 TPM 内蔵セキュリティチップは、所定のプラットフォーム(デスクトップ PC、ノートブック PC など)における信頼の根幹となります。このチップがコンピューターに内蔵されている場合、 システムの完全性をチェックするとともに、プライマリユーザーによるコントロールのもと、ユ ーザーを認証でき、プライバシーや機密性が確保できます。TPM 内蔵セキュリティチップを ベースとしたプラットフォームでは、世界標準の公開キー基盤(PKI)の利用が可能です。こ れにより、企業環境の多数のアプリケーションのセキュリティを確保することが可能となりま す。 TCGの活動とその成果であるセキュリティ標準は、今日のセキュリティテクノロジーの要件を具体的 に示しています。TPM内蔵セキュリティチップは、検証済みのセキュリティテクノロジーに基づく最高 の可用性を備えたセキュリティ標準と、よりシンプルなシステム統合の両方を提供する目的で設計 されています。TPM内蔵セキュリティチップは、可能な限り最高のパフォーマンスを得るためのRSA およびハッシュアルゴリズム(SHA-1とMD-5)の暗号化実装と真性乱数生成回路(TRNG)を備えて います。TPM内蔵セキュリティチップは、単純電力解析(SPA)および差分電力解析(DPA)に対して 実現可能な最高のセキュリティレベルを備えたシールドデバイスです。 従来、コンピューターユーザーは、使用しているコンピューターのハードドライブにプライベートキーと 証明書の両方をを格納していたため、その情報は攻撃者やそのマシンに物理的にアクセスできる 人々に対し露呈されていました。これに対し、TPM内蔵セキュリティチップは、情報を安全に保管する ための改ざん防止機能付きのストレージ媒体を提供します。 3 HP ProtectTools Security Manager 図 1 – HP ProtectTools Security Manager 企業は、不正なPCアクセスを阻止し、さらにローカルに格納された機密データやネットワーク経由で アクセスされる機密データの保護を強化する必要があります。そのためのセキュリティ戦略の中核 となるのが、HP ProtectTools Security Managerです。これは、HPビジネスデスクトップPCおよびビ ジネスノートブックPCのセキュリティ機能を共通のアーキテクチャーと単一のユーザーインターフェ イスの下に統合したコンソールアプリケーションです。TCG標準に準拠して設計された内蔵セキュリ ティチップやスマートカードなどの基本的なハードウェア セキュリティ の構成要素を基に作成された モジュールによって、広範な機能が提供されています。 一貫したユーザーインターフェイスによって、ビジネス活動の中断を最小限に抑えながら、セキュリ ティモジュールを追加または削除できます。変更が加えられるごとにユーザーやIT担当者を最初か らトレーニングし直す必要なく、ニーズに合わせてカスタマイズできます。 HP ProtectTools Security Managerは、セキュリティを強化するためにパーソナルコンピューターに 装備された複数のハードウェアと連携動作します。たとえば、TCG標準の内蔵セキュリティチップと スマートカードはMicrosoft Windowsのパスワードより強力な認証を可能にしつつ、利便性を高め ます。 HP ProtectTools Security Managerは、独立したプラグインソフトウェアモジュールを 通じて機能を サポートする基幹プラットフォームです。以降のセクションでは、現在使用可能な個々のモジュール について説明します。これらのモジュールは次のことに重点が置かれています。 4 • ユーザーの利便性に留意しながら、会社のコンピューティングリソースの不正使用に対して 強力な保護を提供する • コンピューターの電源が切断されている状態(ユーザー不在時)には、より高度なセキュリ ティを実現する • 内蔵セキュリティチップなどのテクノロジーを通じて、オペレーティングシステムが起動する 前に装置やソフトウェアに保護を適用できるようにする HP ProtectToolsのセキュリティソフトウェアモジュール 図 2 – 使用可能なモジュール(画面左に表示されます) このセクションでは、HP ProtectTools Security Managerで使用可能な特定のアドオンセキュリティ ソフトウェアについて詳しく説明します。このHP ProtectTools Security Managerのアーキテクチャー によって、利用サイト毎の要件やハードウェア機能の変化に応じて選択的にモジュールをインスト ールすることができます。各モジュールは、それぞれに個別の機能を提供する自己完結型のアプリ ケーションでありながら、互いに連携し補完できるように設計されています。各アプリケーションは、 その保護機能に基づいて各カテゴリに分類されます。アプリケーションは、ユーザーのID、データ、 または一般のコンピューターリソースを保護できます。 5 • • • [Credential Manager]セクション [パスワードマネージャー] [資格情報] [マイ データ]セクション [File Sanitizer] [暗号化の状態] [マイコンピューター]セクション • [マイ 通信]セクション • • [Device Access Manager] [Privacy Manager] その他のアプリケーション [Embedded Security] [Theft Recovery(Lojack Pro)] HP ProtectTools 管理者コンソール [Credential Manager]セクション 図 3 – Credential Manager 6 HP ProtectTools Security Managerのこのセクションには、ユーザーのIDの安全性を担保するアプ リケーションとして[パスワード マネージャー]と[資格情報]の2つが存在しています。[パスワード マ ネージャー]と[資格情報]によって提供される機能としては、さまざまな手段によるMicrosoft Windowsのコンピューターログイン情報の安全性確保、ユーザー認証、アプリケーションとWebサ イトに対するログインの安全性確保が含まれます。 • パスワードを作成するときは、最初にプログラムによって規定されている要件に従うことは 言うまでもありませんが、パスワードが侵害される可能性をより低減するためには、7 文字 以上、できれば 9 文字以上のパスワードを設定することをお奨めします。またパスワード全 体を通じて大文字小文字を混在させてください。 • 可能な場合は常に英数字を混在させ、特殊文字や句読点を含めてください。 • キーワードの文字の代わりに特殊文字または数字で置き換えてください。たとえば、文字 l または L の代わりに数字の 1 を使用します。 • 2 つ以上の言語の単語を組み合わせます。 • 単語やフレーズの中間に数字や特殊文字を挿入するようにしてください。たとえば、 「Mary2-2Cat45」のようにします。 • 辞書に掲載されている単語をパスワードとして使用しないでください。 • パスワードとして自分の名前や誕生日、ペットの名前、母親の旧姓などの個人情報は、一 切使用しないでください。文字を逆さまにするのも同様です。 • パスワードは定期的に変更してください。2、3 文字加えて変更するだけでも構いません。 • パスワード書き留める場合は、それをコンピューターの近くの一般に見えやすい場所には 保管しないでください。 • パスワードは、コンピューターにあるファイル(電子メールなど)には保存しないでください。 • アカウントを共有したり、パスワードを他の人に教えたりしないでください。 パスワード マネージャー HP ProtectToolsの[パスワード マネージャー]は、頻繁に使用されるアプリケーションとWebサイトに 対して、強力なパスワードを作成するようにユーザーに要求します。ユーザーがアプリケーションや サイトに必要な情報を入力すると、パスワード マネージャーがその情報を保護して記憶します。ユ ーザーが適切なパスワードを作成できているかどうか確認できるように、作成したパスワードの強 度を示す[パスワード強度]タブがあります。ユーザーは[パスワード マネージャー]内でカテゴリを作 成し、これらのログオン情報を保存して簡単に確認できます。利便性とセキュリティが組み合わされ た[パスワード マネージャー]の機能の1つに、アプリケーションとWebサイトのログオン情報の管理 があります。ユーザーは1つのセキュリティパスワードを提供するだけで、登録されたサイトに必要 なユーザーIDとパスワードの情報が[パスワード マネージャー]によってソフトウェアに提供されます。 ユーザーはWebアドレスや個々のパスワードを覚える必要がなくなります。 7 [設定]パネルで、ユーザーはパスワード保護の使用に対してオン/オフを切り替えることができます。 [パスワード マネージャー]セッションを開始するためのキーの組み合わせも、このパネルで設定し ます。 資格情報 HP ProtectToolsの[資格情報]は、認証方式を制御します。HP ProtectToolsで保護されたマシンのユ ーザーは、Microsoft Windowsのパスワードまたはスマートカード、指紋認証、顔認証などを通じて 認証できます。これらのユーザー認証デバイスは、このセクションで設定または変更します。このよ うなツールは、ユーザーの使いやすさを維持しながら、コンピューターシステムへの不正な入力を 阻止します。[ホーム]アイコンをクリックすると、ユーザーがこれらのデバイスのステータスを確認で きる項目が表示されます。 HP ProtectToolsでは、ユーザーの自由な判断で、各デバイスを単独で使用したり、デバイスを組み 合わせて使用したりできます。ハードウェアが必要なデバイスは、そのハードウェアが内蔵されてい るか、または外部接続されている場合に機能します。 [資格情報]では、次のサービスを提供します。 • HP ProtectTools Security Manager との完全な統合 • ユーザーを識別するための証明情報として、パスワード以外にもスマートカード、指紋認証、 顔認証などをサポート • ログオンパスワードの管理により、Web サイト、アプリケーション、およびネットワークリソー スのパスワードを保護 8 [マイ データ]セクション 図 4 – マイ データ HP ProtectToolsの[マイ データ]セクションのアプリケーションは、データを安全に保持させておくた めの機能を実行します。情報盗用者による精巧な手口に対し、複数の方式を使用してデータセキュ リティを確保します。 File Sanitizer [File Sanitizer]は、削除済みファイルの不正な復元を防ぎます。通常、Microsoft Windowsにおい てファイルを削除する場合、コンピューター内のファイルアドレッシング領域にあるファイルへの参 照情報だけが削除され、情報自体は引き続きハードドライブ上に存在し、専用のソフトウェアなどを 使用し不正に復元される可能性があります。これに対し[File Sanitizer]はシュレッディングと呼ばれ る機能を実行します。米国国防総省5220.22-M準拠方式により、Microsoft Windowsや一般に入 手可能なその他のソフトウェアでは復元できないように、ファイルの内容をランダムに上書きします。 また、[File Sanitizer]は、ハードドライブの未使用セクションを読み取りできないようにするブリーチ 処理も実行できます。このプロセスで、Microsoft Windowsまたは他の安全でない手段で削除され たファイルの内容を安全に消去できます。 暗号化の状態 [暗号化の状態] のセクションで実行されるドライブの暗号化は、McAfee 社のFull Volume Encryption(ハードディスク全体の暗号化)テクノロジーに基づいています。McAfee社は、標準ベー スのシステムとシームレスに連携動作する暗号化ソフトウェアおよび強力なアクセス制御ソフトウェ 9 アのリーディングプロバイダーです。このソフトウェアを有効化すると、データの暗号化解除および データへのアクセスを行うためにはOS起動前認証が必要となります。特殊なアルゴリズムにより暗 号化されたデータは、万が一パスワードなどを忘れてしまった場合のためにUSBデバイスなどにバ ックアップされた暗号キーを使用しなければ誰も情報を読み取ることができなくなります。PC内蔵の ドライブと外部接続されたドライブはすべて、[暗号化の状態]の機能を使用して暗号化または復号 化することができます。パーソナルコンピューター上でのデータ暗号化は、他のソフトウェアの操作 または速度に大きな影響を及ぼすことはありません。ただし、初期暗号化には多少時間がかかる ため、ユーザーがその間も継続して作業できるように、[暗号化の状態]で実行される暗号化はバッ クグラウンドで実行するように設計されています。暗号化は、その情報を使用して作業するように指 定されている人以外の人物が情報を読み取れないようにデータを保護します。 [マイ コンピューター]セクション 図 6 – マイ コンピューター Device Access Manager [Device Access Manager]は、パーソナルコンピューターに格納されたデータへの不正なアクセス につながる可能性のあるさまざまなデバイスの使用を制限します。これらのデバイスには、USBポ ート、シリアルまたはパラレルポート、モデムデバイス、すべての取り外し可能なメディアなどが該当 します。[Device Access Manager]には、無効にするデバイスを選択するための便利な方法が複数 あります。[簡易構成]メニューでは、ユーザーまたは管理者は、チェックリストからコンピューター上 に存在するデバイスを選択できます。[デバイスクラス構成]メニューでは、管理者はユーザーまた はグループごとに利用可能なデバイスを設定できます。最後に、[ユーザアクセス設定]メニューで 10 は、[簡易構成]メニューおよび[デバイスクラス構成]メニューの現在の設定状況の閲覧アクセス権 や設定変更のアクセス権をユーザーまたはグループごとに設定することができます。 [マイ 通信]セクション 図 7 – マイ 通信 HP ProtectToolsの[マイ 通信]セクションのアプリケーションにより、外部と通信している間もデータ の安全性を確保できます。 Privacy Manager [Privacy Manager]は、ドキュメント、電子メール、インスタントメッセージングの安全性確保を担当し ます。このアプリケーションは、デジタル証明書発行と信頼済み連絡先の管理をします。[Privacy Manager]は、通信を確立する前にデータ交換の関係者を認証します。 11 その他のアプリケーション Theft Recovery(LoJack Pro) 図 8 – Theft Recovery(LoJack Pro) HP のPCプラットフォームには、パソコンが盗まれた場合に追跡するための基盤を提供する Computraceエージェントが、BIOS内に組み込まれています。実際の追跡サービスは別途購入が 必要となり、ComputraceとLoJack Pro for HP ProtectToolsを開発したAbsolute Software社が運用 しています。[LoJack Pro]は、HP ProtectToolsの新しいモジュールであり、Absolute Softwareのカス タマーサービスセンターへのリンクを提供します。このサービスが適用されているマシンは盗難時 の回収を目的に追跡できます。Computraceエージェントは、ハードドライブが取り外されたりコピー し直されたりしてもコンピューター内部に存続するため、マシンが盗用または悪用された場合に回 収することができます。会社がコンピューターにより多くの機密データを格納するようになるにつれ、 この機能はますます重要となっています。マシン自体の喪失も大きな出費になりますが、情報の喪 失はより深刻な結果を招くことになります。 12 Embedded Security 図 9 – Embedded Security HP のPCプラットフォームには、専用ソフトウェアと連携し高度なデータ保護を提供するTPM (Trusted Platform Module)チップが内蔵されています。セキュリティ専用パッケージであるこの部 分は、ファイルとフォルダーの暗号化、重要なファイルのセキュリティ保護されたバックアップコピー を含むフォルダー、セキュリティ保護された電子メールストレージ、システムバックアップ(手動およ び自動の両方)、保護されたデータ移行を提供します。TPMとその機能はInfineon社によって提供さ れ、Infineon Security Platform設定ツールを使用して構成されます。このツールには、システムトレ イにあるHP Protect Toolsアイコンを使用してアクセスできます。 [Embedded Security]は、セキュリティ保護された環境で作業中のファイルやフォルダーのコピーを 保持する場所を提供します。この領域は、Personal Secure Drive(PSD)と呼ばれています。この PSD内のドキュメントを表示したり変更したりするにはパスワードが必要です。この領域には個別の ドライブ文字(通常はP:)が割り当てられます。 暗号化されたファイルやフォルダーも作成できます。このファイルやフォルダーは、ドキュメントが他 のユーザーによって読み取られないように暗号化されます。これらの項目は、[File Sanitizer]による 消去またはシュレッディングからも保護されます。 13 HP ProtectTools管理者コンソール 図 10 – 管理者コンソール HP ProtectToolsコンソールを使用して、管理者は、ユーザー認証、暗号化、個々のドライブへのア クセスに必要なパラメーターを設定できます。これらの機能は、データのセキュリティを保持するた めに不可欠であり、コンプライアンスのための会社全体のポリシーサポートする上で役立ちます。 業務ごとに、これらの設定をどのように使用するかが決定されます。 このプログラムセット内で下された決定は、通常、ユーザーが覆すことはできません。ユーザーは、 管理者によって規定された設定を表示できますが、それらを変更することはできません。状況によ っては、HP ProtectTools Security Managerの[マイ データ]セクションが関連する場合もあれば、[マ イ コンピューター]セクションに影響する場合もあります。 14 よくある質問(FAQ) Q. HP ProtectToolsでは、どの認証テクノロジーがサポートされていますか。 A. HP ProtectTools Security Managerは、ユーザーのニーズに応じて容易に拡張できるように設 計されたセキュリティプラットフォームです。現在、次の認証テクノロジーがサポートされていま すが、その他のテクノロジーも使用可能になった時点で簡単にサポートできます。 • スマートカード認証(HP ProtectTools Java カード) • 指紋認証 • 顔認証 • パスワード認証 Q. HP ProtectToolsに関するコストについて教えてください。 A. HP ProtectToolsは、HP Compaq Eliteデスクトップではセキュリティ機能として標準装備されて おり、HP Compaq Proビジネスデスクトップでは別売となっています。 Q. HP ProtectToolsはどのHP製品に対応していますか。 A. HP ProtectToolsは、すべてのHPビジネスノートブックPCと、HPビジネスデスクトップPCのHP Compac 8000 Elite シリーズならびに8100 Elite シリーズに標準で搭載されています。 Q. HP ProtectTools Security Managerは、単一のクライアントPC上で複数のユーザーをサポートし ますか。 A. はい。HP ProtectTools Security Managerは「ID」の概念に基づいて動作します。ユーザーは、 IDを作成するだけで、コンピューターにログオンできるようになります。 Q. ユーザーが複数のMicrosoft Windowsアカウントを持っている場合はどうなりますか。 A. 単一のクライアントPC上で複数ユーザーをサポートするのと同等です。ユーザーは、アカウント ごとに異なるIDを作成する必要があります。 Q. 同じユーザーが複数のパソコンを使用している場合、そのユーザーは自分のIDを異なるマシン 上で使用できますか。 A. いいえ。ただし、ユーザーの証明情報をコピーして別のパソコンで使用することは可能です。 15 Q.HP ProtectToolsセキュリティソフトウェアは、Microsoft Windows以外の環境で使用できますか。 A. 現在、HP ProtectToolsは、Microsoft Windows XP、Microsoft Windows Vista、および Microsoft Windows 7でサポートされています。 Q. HP ProtectToolsには、どのタイプのスマートカードが必要ですか。 A. Credentials for HP ProtectToolsは、PKCS#11コンポーネントが組み込まれているすべてのス マートカードをサポートしています。大半のスマートカードにはこのコンポーネントが組み込まれ ていますが、スマートカードを選択する前に、必ず確認してください。また、CredentialsはHPの ビジネスノートブックオプションとして販売しているスマートカードリーダーに付属のProtectTools Javaカードをネイティブでサポートしています。 Q. HP ProtectToolsをアンインストールするプロセスについて教えてください。 A. HP ProtectToolsをアンインストールする前に、ユーザーはハードドライブ上のすべての保護され たデータの暗号化されていないコピーをバックアップし、HP ProtectTools Security Managerの バックアップを実行してパスワードと設定を保護する必要があります。その後のプロセスは、そ の他のWindowsアプリケーションをアンインストールする場合と同じです。 © 2009 Hewlett-Packard Development Company, L.P. 本書の内容は、予告なしに変更さ れることがあります。HP 製品およびサービスに対する保証は、当該製品およびサービスに 付属の保証規定に明示的に記載されているものに限られます。本書のいかなる内容も当該 保証に新たに保証を追加するものではありません。本書の技術的あるいは校正上の誤り、 省略に対して責任を負いかねますのでご了承ください。Itanium は、Intel Corporation また はその子会社の米国およびその他の国における商標または登録商標です。 585924-001 2009 年 7 月 16