SafeGuard Easy ユーザーヘルプ

by user

on 28 марта 2017

Category: Documents

>> Downloads: 6

views

Report

Comments

Description

Download SafeGuard Easy ユーザーヘルプ

Transcript

SafeGuard Easy ユーザーヘルプ

SafeGuard Easy
ユーザーヘルプ
製品バージョン: 6.1
ドキュメント作成日: 2014年 1月
目次
1 Sophos SafeGuard 6.10 について.......................................................................................3
2 Windows エンドポイント上の Sophos SafeGuard..........................................................5
3 セキュリティのベストプラクティス ............................................................................7
4 復旧のための鍵バックアップ.........................................................................................9
5 SafeGuard Power-on Authentication.................................................................................10
6 Windows へのログオン....................................................................................................20
7 非暗号化スマートカードやトークンを使用したログオン.....................................21
8 Lenovo 指紋認証リーダーを使用したログオン.........................................................25
9 ディスク暗号化................................................................................................................34
10 SafeGuard Data Exchange................................................................................................40
11 SafeGuard Cloud Storage.................................................................................................55
12 Sophos SafeGuard と Opal 準拠の自己暗号化ハードドライブ...............................58
13 システムトレイアイコンとツールチップ...............................................................59
14 エクスプローラのショートカットメニューから暗号化機能にアクセス.........63
15 復旧オプション..............................................................................................................67
16 Local Self Help による復旧.............................................................................................68
17 チャレンジ/レスポンスによる復旧............................................................................78
18 Sophos SafeGuard および Lenovo Rescue and Recovery...............................................84
19 テクニカルサポート......................................................................................................90
20 ご利用条件.......................................................................................................................91
2
ユーザーヘルプ
1 Sophos SafeGuard 6.10 について
このバージョンの Sophos SafeGuard (SafeGuard Easy) は、BIOS または UEFI 搭載の
Windows 7 および Windows 8 環境のエンドポイントに対応しています。
■
BIOS の場合、管理者は、Sophos SafeGuard フルディスク暗号化、または SafeGuard
によって管理される BitLocker 暗号化のいずれかを選択できます。BIOS 版には、
BitLocker のネイティブ復旧機能があります。
注: このガイドにある SafeGuard Power-on Authentication や SafeGuard フル
ディスク暗号化の説明は、Windows 7 BIOS エンドポイントのみを対象に
しています。
■
UEFI の場合、ディスク暗号化は Sophos SafeGuard (SafeGuard Easy) で管理
される BitLocker を使用して実行できます。このようなエンドポイントで
は、Sophos SafeGuard のチャレンジ/レスポンス機能を使用できます。対応
している UEFI のバージョンや、SafeGuard BitLocker チャレンジ/レスポン
ス対応の制限事項は、次のサイトにあるリリースノートを参照してくださ
い。http://downloads.sophos.com/readmes/readsgn_61_jpn.html
注: 説明内容が UEFI のみを対象にしている場合、そのように明記していま
す。
使用できるコンポーネントは次の表を参照してください。
Windows 7 BIOS
SafeGuard フルディ
スク暗号化と
SafeGuard Power-on
Authentication (POA)
SafeGuard によって
管理される
BitLocker プリブート
認証 (PBA)
はい
はい
BitLocker プリブート
認証 (PBA) 用の
SafeGuard C/R 復旧
Windows 7 UEFI
はい
はい
Windows 8 UEFI
はい
はい
Windows 8 BIOS
はい
Windows 8.1 UEFI
はい
Windows 8.1 BIOS
はい
はい
注: BitLocker プリブート認証 (PBA) 用の SafeGuard C/R 復旧は、64ビット版のみで
使用できます。
3
SafeGuard Easy
SafeGuard フルディスク暗号化と SafeGuard Power-on Authentication (POA)は、エン
ドポイントのボリュームを暗号化するためのソフォスのモジュールです。SafeGuard
Power-on Authentication (POA) と呼ばれる、ソフォスのプリブート認証機能を備え
ており、スマートカードや指紋を使用したログオン方法や、チャレンジ/レスポンス
を使用した復旧機能があります。
SafeGuard によって管理される BitLocker プリブート認証 (PBA) は、BitLocker 暗号化
エンジンと BitLocker プリブート認証を有効化・管理するコンポーネントです。
BIOS 版と UEFI 版があります。
4
■
UEFI 版では、さらに BitLocker 復旧用の SafeGuard チャレンジ/レスポンス機能が
あります (ユーザーが PIN を忘れた場合に使用します)。UEFI 版は、一定のシス
テム要件が満たされている場合に使用できます。たとえば、UEFI のバージョン
は 2.3.1 である必要があります。詳細は、リリースノートを参照してください。
■
BIOS 版に、SafeGuard チャレンジ/レスポンス機能を使用した復旧の強化機能は
ありません。BIOS 版は、UEFI のバージョン要件が満たされなかった場合の代替
としても使用できます。ソフォスのインストーラは、システム条件が満たされて
いるかを確認し、満たされていない場合は、チャレンジ/レスポンス機能のない
BitLocker を自動的にインストールします。
ユーザーヘルプ
2 Windows エンドポイント上の Sophos SafeGuard
Sophos SafeGuard は、ポリシーベースの暗号化機能を使って、エンドポイントに保
存されている情報を保護します。主な機能は、データ暗号化と不正アクセスに対す
る保護です。エンドユーザーにとって、Sophos SafeGuard はとても使いやすく直感
的に操作できる製品です。Sophos SafeGuard の認証システムである SafeGuard Power-on
Authentication (POA) は強力なアクセス保護を実現し、使いやすいインターフェース
は、ログオン情報を復旧する際にも使用できます。
管理タスクは SafeGuard Policy Editor で行います。これを使って、セキュリティポリ
シーを作成・管理したり、復旧機能を提供したりできます。Sophos SafeGuard の保
護対象コンピュータは、SafeGuard Policy Editor で作成した構成パッケージからポリ
シーを受け取ります。構成パッケージは、社内のソフトウェア配布ツールを使用し
て配布したり、手動でコンピュータに配布したりできます。
Sophos SafeGuard の保護対象コンピュータでは以下のモジュールを利用できます。
注: 一部のライセンスには含まれていないモジュールや機能もあります。ライセン
スで使用が許諾されているモジュールや機能の詳細は、製品の販売元にお問い合わ
せください。
■
SafeGuard フルディスク暗号化
SafeGuard Power-on Authentication
コンピュータの電源を入れた直後に、ユーザーのログオンが実行されます。
SafeGuard Power-on Authentication でのログオンが正常に完了すると、ユーザーは
OS に自動的にログオンします。SafeGuard Power-on Authentication は無効にする
こともできます。この場合、ユーザー認証は OS によって実行されます。
ボリュームベースの暗号化
ユーザーが通常の操作手順を変更したり、セキュリティを特に考慮したりしなく
ても、ボリューム上のすべてのデータ (起動ファイル、スワップファイル、アイ
ドルファイル/ハイバネーションファイル、一時ファイル、ディレクトリ情報な
どを含む) が透過的に暗号化されます。
■
Sophos SafeGuard によって管理される BitLocker プリブート認証
Microsoft BitLocker 暗号化エンジンは Sophos SafeGuard によって管理されます。
UEFI 版では、BitLocker プリブート認証で SafeGuard チャレンジ/レスポンス機能
を使用できます。一方、BIOS 版では、SafeGuard Policy Editor から復旧鍵を取得
できます。
■
SafeGuard Data Exchange
■
SafeGuard Data Exchange は、再暗号化なしで、すべての OS 上のリムーバブル
メディアと容易にデータを交換することを可能にします。
5
SafeGuard Easy
■
■
ファイルベースの暗号化。
■
外部ハードディスクや USB メモリを含む、書き込み可能なモバイルメディア
はすべて透過的に暗号化されます。
SafeGuard Cloud Storage
SafeGuard Cloud Storage は、クラウド上に保存されるデータをファイルベースで
暗号化する機能です。クラウド上のデータをローカルにコピーすると、透過的に
暗号化が行われます。また、そのデータをクラウド上に保存しても暗号化が解除
されません。
注: このユーザーヘルプで説明している一部の機能は、ご使用のコンピュー
タで使用できないことがあります。使用可能な機能は、セキュリティ担当者
が設定するポリシーに依存します。
6
ユーザーヘルプ
3 セキュリティのベストプラクティス
ここで説明する簡単な手順に従うことによって、コンピュータ上のデータを常に安
全に保護することができます。
コンピュータを使用していない場合は、完全にシャットダウンするか、休止状
態にしてください。
Sophos SafeGuard で保護されているコンピュータであっても、スリープモードによっ
ては OS が完全にシャットダウンされず、バックグラウンドのプロセスが完全に終
了しないことがあるので、攻撃者が暗号化鍵にアクセスできる場合があります。OS
を常に正しくシャットダウンまたは休止状態にするようにすれば、保護は強化され
ます。
コンピュータを使用していない場合やアイドル状態のときは、次の点に注意してく
ださい。
■
スリープ (スタンバイ/一時停止) モードの他、ハイブリッドスリープモードの使
用も避ける。ハイブリッドスリープモードは、休止状態とスリープを組み合わ
せたモードです。
■
完全にシャットダウンまたは休止状態にしない場合は、単にデスクトップコン
ピュータをロックしてモニターの電源を切ったり、モバイル PC のカバーを閉じ
たりしない。作業を再開後、パスワードの入力が必要となるように設定しても、
十分な保護は提供されません。
■
常にコンピュータをシャットダウンまたは休止状態にする。
注: 休止状態ファイルは、暗号化されたボリュームに保存する必要があります。
通常、保存先は C:\ ドライブです。
特に、空港など公共の場所でモバイル PC を使用する場合は、このような手順を実
行するようにしてください。
コンピュータを休止状態または正しくシャットダウンすると、次に使用する際、
SafeGuard Power-on Authentication が有効化され、より高レベルの保護を提供するこ
とができます。
強力なパスワードを選択する
データ保護にあたり、強力なパスワードを指定することは重要です。特に、コン
ピュータのログオンには、強力なパスワードを指定してください。
強力なパスワードとは、次の条件を満たすものを指します。
■
十分な長さがある。最低 10文字指定することを推奨します。
■
半角英字 (大文字、小文字)、半角数字、および記号が組み合わされている。
■
一般的な単語や名称を含んでいない。
7
SafeGuard Easy
■
他人に推測されるのは難しいが、自分にとって覚えやすく、正確に入力しやす
い。
パスワードは、定期的に変更するようにしてください。また、他人と共有したり、
書き留めたりしないでください。
すべてのドライブにドライブ文字が割り当てられているようにする
暗号化の対象になるのは、ドライブ文字が割り当てられているドライブのみです。
割り当てられていない場合、そのドライブから機密データが平文で漏えいする恐れ
があります。
防止対策は次のとおりです。
8
■
ドライブ文字の割り当てを変更しない。
■
ドライブ文字が割り当てられていないドライブがある場合は、システム管理者に
連絡する。
ユーザーヘルプ
4 復旧のための鍵バックアップ
復旧時に情報を暗号化して交換できるよう、Sophos SafeGuard には「チャレンジ/レ
スポンス」(チャレンジ/レスポンスによる復旧 (p.78) を参照) が用意されています。
チャレンジ/レスポンスによる復旧を実行するには、必要なデータをヘルプデスク担
当者が使用できるようにする必要があります。復旧に必要なデータは、特定の鍵復
旧ファイル (.XML ファイル) に保存されます。
Sophos SafeGuard の設定がコンピュータに適用される際、セキュリティ担当者が指
定した場所に、鍵復旧ファイルが自動的に作成されます。セキュリティ担当者が
ファイルの場所を指定していない場合は、ファイルを手動で保存することを求めら
れます。
セキュリティ担当者は、構成パッケージを作成するときに、これらのファイルの場
所を指定できます。通常、ファイルの場所は共有パスです。鍵復旧ファイルは、そ
こに自動的に作成されます。
ファイルを作成するときに指定の場所にアクセスできない場合は、バルーンヒント
が表示されるとともに、システムイベントログにメッセージが記録され、後でファ
イルの保存が再試行されます。セキュリティ担当者がファイルの場所を指定してい
ない場合は、ダイアログが表示され、ファイルを手動で保存することを求められま
す。
セキュリティ担当者が鍵復旧ファイルの保存場所としてネットワーク共有を指定し
ているのに、ローカルユーザーアカウントで Windows にログオンしている場合 (コ
ンピュータがドメインメンバーでない場合など) は、ネットワーク共有ログオンを
求められます。必要なユーザー名とパスワードをセキュリティ担当者から提供して
もらう必要があります。
注: プロンプト指示に従ってファイルを保存し、ヘルプデスク担当者がアク
セスできるようにしてください。ファイルは暗号化されているので、任意の
外部メディアに保存してヘルプデスクに提供できます。また、メールでも
ファイルを送信できます。ファイルを保存しない場合、保存を求めるメッ
セージが、コンピュータを再起動するたびに表示されます。
鍵復旧ファイルのバックアップは、Sophos SafeGuard システムトレイアイコンを使
用すればいつでも新しく作成できます。バックアップファイルは、既存の鍵復旧
ファイルが破損したり、ヘルプディスク担当者が利用できなくなったりした場合に
必要となります。
9
SafeGuard Easy
5 SafeGuard Power-on Authentication
SafeGuard Power-on Authentication (POA) では、コンピュータの OS が起動する前に
ユーザーを認証する必要があります。認証後Windows が起動し、ユーザーは自動的
にログオンされます。この処理は、コンピュータがハイバネーション (休止状態) か
ら復帰する場合も同じです。
SafeGuard POA の表示内容
SafeGuard POA の表示内容は、会社の要件に応じてカスタマイズすることができま
す。セキュリティ担当者は、SafeGuard Policy Editor のポリシー設定でこの操作を実
行します。
カスタマイズできる内容は次のとおりです。
■
ログオン画像
SafeGuard POA で表示されるデフォルトのログオン画像は、SafeGuard のデザイン
です。この画面はポリシー設定でカスタマイズ可能で、たとえば会社のロゴなど
を表示することができます。
■
ダイアログテキスト
SafeGuard POA のすべてのテキストは、Windows の「地域と言語のオプション」
で設定済みの既定の言語で表示されます。既定の言語を変更することで、POA
の表示言語を変更することができます。ダイアログの表示言語は、セキュリティ
担当者がポリシーで指定することもできます。
5.1 Sophos SafeGuard インストール後の初回のログオン
SafeGuard Power-on Authentication を使用するように Sophos SafeGuard をインストー
ルした場合、インストール後の初回システム起動で異なる起動処理が行われます。
Sophos SafeGuard が起動手順に組み込まれたため、新しい起動メッセージ (自動ログ
オン画面など) がいくつか表示されます。その後、Windows OS が起動します。
インストール後の初回のログオンでは、通常どおりに自分のログオン情報を使用し
て、まず、Windows に正常にログオンする必要があります。その後、Sophos SafeGuard
ユーザーとして登録されます。この登録処理によって、次回のシステム起動時に自
分のログオン情報が POA で認識されるようになります。
登録に成功すると、このことを知らせるツールチップがコンピュータに表示されま
す。
コンピュータを再起動すると、SafeGuard POA がアクティブになります。これ以降、
ユーザーは自分の Windows ログオン情報を SafeGuard POA で入力します。続いて
ユーザーは、パスワードを入力しなくても Windows に自動的にログオンします
(Windows への自動ログオンが有効になっている場合)。
10
ユーザーヘルプ
SafeGuard POA では、ユーザー名とパスワードを使用してログオンできます。
注: Sophos SafeGuard がインストール済みのコンピュータの設定は、セキュリ
ティ担当者によって SafeGuard Policy Editor で定義され、ポリシーファイル
としてエンドポイントに配布されます。
5.1.1 初回のログオンの手順
ここでは、Sophos SafeGuard のインストール後に初めてコンピュータにログオンす
るときの手順について説明します。必要な手順は、コンピュータに SafeGuard POA
がインストールされ有効になっている場合のみ、ここで説明する手順と一致しま
す。
1. コンピュータが起動し、Sophos SafeGuard 自動ログオンダイアログが表示
されます。
自動ログオンが設定済みのユーザーがログオンされます。
2. Windows のログオンダイアログが表示されます。
Sophos SafeGuard 認証方法、または Windows Vista/Windows 7 認証方法を使用でき
ます。
3. いずれの認証方法を使用した場合でも、Windows では、次の 2つのアイコ
ンが表示されます。
■
■
「他のユーザー」という表記のあるアイコン: ログオン情報を入力する
ダイアログを開くには、これをクリックします。
アイコンの下にユーザー名が表示されているアイコン: 前回システムに
ログオンしたユーザーのユーザー情報を含むダイアログを開くには、
これをクリックします。パスワードを入力するだけでログオンできま
す。
Sophos SafeGuard アイコンの下に自分のユーザー名が表示されている場合は、そ
れをクリックします。表示されていない場合は、「他のユーザー」という表記の
あるアイコンをクリックします。
4. Windows ユーザーログオン情報を通常どおりに入力します。
次回のシステム起動時には、SafeGuard POA で自分の Windows ユーザーログオ
ン情報 (ユーザー名とパスワード) を入力するだけで、自動的にログオンできま
す。
SafeGuard Power-on Authentication の機能をすべて有効にするには、コンピュータを
再起動する必要があります。再起動後、コンピュータは SafeGuard POA によって不
正アクセスから保護されます。
11
SafeGuard Easy
5.2 SafeGuard Power-on Authentication でログオンする
SafeGuard Power-on Authentication が有効になった後 (初回の同期および再起動の実
行)、SafeGuard Power-on Authentication のログオンダイアログに Windows ユーザー
ログオン情報を入力してログオンします。Windows には自動的にログオンします。
注: Windows への自動ログオンは、ログオンダイアログの「オプション >>」
ボタンを押し、「Windows へのパススルーログオン」チェックボックスを
選択から外すことで無効にできます。自動ログオンの無効化は、そのコン
ピュータで他のユーザーが SafeGuard Power-on Authentication を使用できるよ
うにする場合などに必要です (他の Sophos SafeGuard ユーザーを登録する (p.
13) を参照してください)。セキュリティ担当者は、Windows へのログオン
パススルーを有効/無効に設定するか、およびユーザーがこの設定をログオ
ンダイアログで変更することを許可するかを該当するポリシーで定義しま
す。
ログオン失敗時のログオン待機時間
パスワードが間違っていたなどの理由で SafeGuard Power-on Authentication でのログ
オンに失敗した場合は、エラーメッセージが表示され、次回のログオンに遅延が設
定されます。ログオンに失敗するたびに、遅延時間は長くなります。ログオンの失
敗はログに記録されます。
マシンのロック
一定の回数以上連続してログオンに失敗すると、コンピュータがロックされます。
コンピュータのロックを解除するには、チャレンジ/レスポンスを起動してください
(チャレンジ/レスポンスによる復旧 (p. 78) を参照してください)。
5.2.1 ログオン復旧
Sophos SafeGuard には、パスワードを忘れた場合など、さまざまな復旧シナリオに
合わせていくつかのオプションが用意されています。各コンピュータで使用できる
復旧方法は、セキュリティ担当者が指定した設定によって異なります。詳細は、復
旧オプション (p. 67) を参照してください。
12
ユーザーヘルプ
5.3 他の Sophos SafeGuard ユーザーを登録する
ご使用のコンピュータに他の Windows ユーザーが SafeGuard Power-on Authentication
でログオンすることを許可する方法は次のとおりです。
1. コンピュータの電源を入れます。
SafeGuard POA のログオンダイアログが表示されます。他の Windows ユーザー
は、必要な鍵および証明書を持っていないため、SafeGuard POA にログオンでき
ません。
2. SafeGuard POA のログオン情報を入力します。
3. SafeGuard POA のログオンダイアログで、「オプション」をクリックし、
「Windows へのパススルーログオン」チェックボックスを選択から外し
ます。コンピュータの所有者のログオン情報でログオンします。
Windows ログオンダイアログが表示され、2人目のユーザーはログオンを
求められます。
4. 2人目のユーザーは、自分の Windows ログオン情報を入力します。
5. 2人目のユーザー用のエントリが Sophos SafeGuard システムコア内に作成
されます。
次回のコンピュータ起動時から、このユーザーは SafeGuard Power-on Authentication
でログオンできます。
5.4 SafeGuard POA の一時的なパスワード
Sophos SafeGuard では、SafeGuard POA でパスワードを一時的に変更することができ
ます。入力したパスワードを他人に見られた疑いがある場合などは、パスワードを
一時的に変更することを推奨します。
例:空港などの公共の場所でノート PC を起動したことを想定します。SafeGuard POA
で入力したパスワードを他人に見られた可能性があるとします。Active Directory に
接続していないため、Windows パスワードを変更することはできません。
解決策:SafeGuard POA パスワードを一時的に変更し、認証されたユーザー以外はパ
スワードがわからないようにします。Active Directory に再接続すると直後に、一時
的なパスワードの変更を求めるメッセージが自動的に表示されます。
1. SafeGuard POA ログオンダイアログで、既存のパスワードを入力します。
2. 「F8」キーを押します。
注: 「F8」キーを押す前に既存のパスワードを入力しないと、ログオンに
失敗したとシステムが解釈し、エラーメッセージが表示されます。
13
SafeGuard Easy
3. ダイアログで、新しいパスワードを入力し、確認入力します。
ここで行うパスワードの変更は一時的なものであることが表示されます。
4. 「OK」をクリックします。
注: このダイアログをキャンセルすると、古いパスワードを使用してログ
オンされます。
Windows のログオンダイアログが表示されます。
注: ここでのログオンは、システムで構成されている場合でも、Windows
にパススルーされません。Windows のログオンでは、「古いパスワード」
を入力してください。一時的なパスワードは、SafeGuard POA でのログオ
ンのみで有効です。
5. 「OK」をクリックします。
ユーザーは Windows にログオンします。
以後、SafeGuard POA でログオンするには、一時的なパスワードしか使用できませ
ん。この一時的なパスワードは、Windows ログオンでパスワードが変更されるまで
有効です。その変更を行って初めて、ログオンを SafeGuard POA から Windows に再
度パススルーすることができます。
一時的なパスワードの変更
SafeGuard POA で一時的に変更したパスワードは、後で変更して、再度 Windows と
同じパスワードにする必要があります。
Windows にログオンすると、Active Directory に再接続したらすぐにパスワードを変
更するよう、Sophos SafeGuard によってプロンプト表示されます。
パスワードの変更を求めるダイアログは、実際にパスワードを変更せずに閉じるこ
とができます。この場合、パスワードを変更するまで、ログオンするたびにこのダ
イアログが表示されます。
注: SafeGuard POA のパスワードは、Active Directory に接続している状態でも、一時
的に変更することができます。この場合、SafeGuard POA でパスワードを一時的に
変更した直後に、パスワードの変更を求めるダイアログが表示されます。何も変更
せずにこのダイアログを閉じて、「古いパスワード」を使用してログオンできま
す。パスワードは後で変更することができます。
5.5 仮想キーボード
SafeGuard POA では、画面の仮想キーボードを表示/非表示にしたり、画面上のキー
をクリックしてログオン情報などを入力したりできます。
前提条件:セキュリティ担当者は、仮想キーボードの表示をポリシーで有効にしてお
く必要があります。
14
ユーザーヘルプ
SafeGuard POA で仮想キーボードを表示するには、SafeGuard POA ログオンダイア
ログで「オプション >>」をクリックし、「仮想キーボード」チェックボックスを
選択します。
仮想キーボードは各種レイアウトに対応しています。また、SafeGuard POA のキー
ボードレイアウトを変更するのと同じオプションを使用してレイアウトを変更でき
ます (詳細は、キーボードのレイアウト (p. 15) を参照してください)。
5.6 キーボードのレイアウト
通常、国ごとに独自のキーボードのレイアウトがあり、キーの割り当てが異なって
います。SafeGuard POA では、ユーザー名、パスワード、およびレスポンスコード
を入力する際に、適切なキーボードのレイアウトが設定されていることが非常に重
要になります。
Sophos SafeGuard では、インストール時に Windows デフォルトユーザーの「地域と
言語のオプション」で設定されていたキーボードのレイアウトが POA のデフォル
トとして使用されます。Windows でキーボードのレイアウトとして「ドイツ語」が
設定されている場合、ドイツ語のキーボードのレイアウトが SafeGuard POA で使用
されます。
使用されているキーボードのレイアウトの言語は、SafeGuard POA に表示されます
(例: 英語の場合は、「EN」)。デフォルトのキーボードのレイアウトとは別に、US
キーボードのレイアウト (英語) も使用できます。
5.6.1 キーボードのレイアウトを変更する
SafeGuard Power-on Authentication のキーボードレイアウト (仮想キーボードのレイ
アウトを含む) は変更できます。
1. 「スタート > コントロールパネル > 地域と言語のオプション > 詳細設定」
を選択します。
2. 「地域オプション」タブで、必要な言語を選択します。
3. 「詳細設定」タブで、「既定のユーザーアカウントの設定」の「すべて
の設定を現在のユーザーアカウントと既定のユーザープロファイルに適
用する」を選択します。
4. 「OK」をクリックします。
SafeGuard POA は、前回正常にログオンしたときに使用したキーボードのレイアウ
トを記憶し、次回ログオンするときにそのレイアウトを自動的に有効にします。こ
れには、再起動が2回必要になります。前回のキーボードレイアウトが「地域と言
語のオプション」で選択から外されていても、ユーザーが別のレイアウトを選択し
ない限りそのレイアウトが保持されます。
15
SafeGuard Easy
注: Unicode 対応でないプログラムのキーボードレイアウトの言語も変更する必要
があります。
目的の言語がシステムで使用できない場合は、その言語をインストールすることを
求めるメッセージが表示されることがあります。その後、コンピュータを 2度再起
動する必要があります。最初の再起動は、新しいキーボードのレイアウトを SafeGuard
POA で読み取るためで、2番目の再起動は、POA が新しいレイアウトを設定するた
めです。
SafeGuard POA で使用するキーボードのレイアウトは、マウスやキーボード (Alt+Shift
キー) を使用して変更できます。
システムにインストール済みで使用可能な言語を確認するには、「スタート > ファ
イル名を指定して実行 > regedit」を選択し、 HKEY_USERS\.DEFAULT\Keyboard
Layout\Preload の値を参照してください。
5.7 SafeGuard Power-on Authentication で使用できるホット
キー/ファンクションキー
コンピュータを起動するときにハードウェアの機能や設定が原因で問題が発生し、
システムが応答しなくなることがあります。SafeGuard Power-on Authentication で
は、これらのハードウェア設定を変更したり機能を無効にしたりするため、数種類
のホットキーを利用できます。さらに、問題を引き起こすとわかっているハード
ウェア設定や機能を記載したグレーリストが、コンピュータにインストールされた
.msi ファイルに組み込まれています。
Sophos SafeGuard を大規模に展開する前に、Sophos SafeGuard POA 構成ファイルの最
新版をインストールすることを推奨します。このファイルは毎月更新されます。ダ
ウンロード先は次のとおりです。
http://www.sophos.com/ja-jp/support/knowledgebase/65700.aspx
このファイルは、特定の環境のハードウェアを反映するようにカスタマイズできま
す。
注: カスタマイズしたファイルを定義すると、.msi ファイルに組み込まれて
いるものではなく、このファイルが使用されます。SafeGuard POA 構成ファ
イルが定義されていないときや見つからないときにだけ、デフォルトのファ
イルが使用されます。
SafeGuard POA 構成ファイルをインストールするには、次のコマンドを入力します。
MSIEXEC /i <クライアント MSI パッケージ> POACFG=<SafeGuard POA 構
成ファイルへのパス>
SafeGuard Power-on Authentication では、数種類のファンクションキーも利用できま
す。
16
ユーザーヘルプ
5.7.1 ホットキー
Shift+F3 = USB レガシー対応 (ON/OFF)
Shift+F4 = VESA グラフィックモード (OFF/ON)
Shift+F5 = USB 1.x および 2.0 対応 (OFF/ON)
Shift+F6 = ATA コントローラ (OFF/ON)
Shift+F7 = USB 2.0 対応のみ (OFF/ON)。USB 1.x への対応は、Shift+F5 キーでの設定
が維持されます。
Shift+F9 = ACPI/APIC (OFF/ON)
ホットキーの依存性一覧表
Shift - F3
Shift - F3
Shift - F7
レガシー
USB 1.x
USB 2.0
注釈
OFF
OFF
OFF
ON
ON
ON
3.
ON
OFF
OFF
OFF
ON
ON
デフォル
ト
OFF
ON
OFF
ON
OFF
OFF
1.、2.
ON
ON
OFF
ON
OFF
OFF
1.、2.
OFF
OFF
ON
ON
ON
OFF
3.
ON
OFF
ON
OFF
ON
OFF
OFF
ON
ON
ON
OFF
OFF
ON
ON
ON
ON
OFF
OFF
2.
1. 「Shift - F5」キーは、USB 1.x と USB 2.0 の両方を無効にします。
注: 起動中に「Shift - F5」キーを押すと、SafeGuard POA の起動時間がかな
り短縮されます。ただし、コンピュータで USB キーボードまたは USB マ
ウスを使用している場合、「Shift - F5」キーを押すと、無効になることが
あります。
SafeGuard POA では、BIOS システムマネージメントモード (SMM) 経由で USB
キーボードを使用することができます。USB トークンには対応していません。
2. USB 対応が有効になっていない場合、SafeGuard POA は USB コントローラ
のバックアップと復旧を行う代わりに、BIOS システムマネージメント
モード (SMM) の使用を試みます。このシナリオでは、レガシーモードが
動作することがあります。
17
SafeGuard Easy
3. レガシー対応が有効で、USB も有効です。SafeGuard POA は、USB コント
ローラのバックアップと復旧を試みます。使用している BIOS のバージョ
ンによっては、システムがハングすることがあります。
注: ホットキーを使って実行できる変更は、Sophos SafeGuard Client インス
トール時に .mst ファイルを使用してすでに指定されている場合があります。
SafeGuard POA でホットキーを使用してハードウェアの設定を変更すると、変更し
た設定を保存するようダイアログが表示されます。このダイアログには、保存され
る設定の概要が表示されます。変更内容を保存するには、「はい」をクリックしま
す。コンピュータを再起動すると、新しい設定が有効になります。「いいえ」をク
リックすると、変更内容は保存されず、コンピュータの再起動後も古い設定が有効
のままになります。
いずれかの SafeGuard POA ダイアログで「F5」キーを押すと、SafeGuard POA の起
動に使用されるホットキーの設定を示すダイアログを開くことができます。起動中
にホットキーが変更されると、関連するキーの状態が青で表示されます。青は、
SafeGuard POA を起動するためにキーがこの状態で使用されたが、まだ保存されて
いないことを意味します。変更されていない値は黒で表示されます。ダイアログを
閉じるには、「F5」キーをもう一度押すか、「Return」キーを押します。
詳細は、http://www.sophos.com/ja-jp/support/knowledgebase/107785.aspx を参照してく
ださい。
5.7.2 ログオンダイアログのファンクションキー
注: ファンクションキーはホットキーではありません。
F2 = 自動ログオンを中止します。
F5 = SafeGuard POA の起動に使用されるホットキーの設定を示すダイアログを表示
します。
F8 = SafeGuard POA でパスワードを変更します。「Enter」キーの代わりに使用する
と、ログオン後 SafeGuard POA でパスワードを変更できます。
Alt + Shift (左側の「Alt」キーと左側の「Shift」キー) = キーボードの配列を日本語
と英語で切り替えます。
SafeGuard POA をキャンセルし、シャットダウンの準備をする
Ctrl+ Alt + Del = 認証に失敗したが、コンピュータを安全にシャットダウンする場合
に使用します。このキーの組み合わせは、「シャットダウン」ボタンと同じ動作を
します。
注: 指紋を使用したログオンが有効になっている場合、「Ctrl + Alt + Del」
キーを押して、ユーザー名とパスワードによる SafeGuard POA ログオンダイ
アログに切り替えることができます。指紋を使用したログオンの詳細は、
Lenovo 指紋認証リーダーを使用したログオン (p. 25) を参照してください。
18
ユーザーヘルプ
5.8 パスワードの同期
Sophos SafeGuard では、Windows パスワードが変更された場合、保存されているパ
スワードに一致しなくなったことが自動的に検出されます。これは、VPN 経由で、
別のコンピュータ上で、または Active Directory で Windows パスワードが変更された
場合に発生する可能性があります。
Sophos SafeGuard でこの状況が検出されると、古いパスワードを入力するようメッ
セージが表示されます。その後、Sophos SafeGuard に保存されていたパスワードが、
新しい Windows パスワードに更新されます。
パスワードの同期は次の 2種類の状況で実行されます。
■
ログオン処理中。
■
Windows のロック/ロック解除処理中。
19
SafeGuard Easy
6 Windows へのログオン
Sophos SafeGuard には、Windows 環境のもう 1つの認証方法があります。
SafeGuard Power-on Authentication のログオンダイアログで、「Windows へのパスス
ルーログオン」を選択から外すと、「Windows ログオン」ダイアログが表示されま
す。このダイアログで、別の認証方法を選択することもできます。
注: 別の認証方法を使用しても、コンピュータで Sophos SafeGuard が非アク
ティブになるというわけではありません。この場合、Windows ログオン時で
はなく、Windows ログオン後に Sophos SafeGuard にログオンします。
6.1 Sophos SafeGuard 認証方法を使ってログオンする
通常、SafeGuard Power-on Authentication (POA) で自分のパスワードを入力すると、
自動的に Windows にログオンします。「SafeGuard POA ログオン」ダイアログで、
「Windows へのパススルーログオン」チェックボックスを選択から外して、Sophos
SafeGuard 認証方法を使った場合は、Sophos SafeGuard のすべての機能は、Windows
へログオンした後、使用可能になります。
必要な鍵が使用可能になり、定義されているポリシーに従ってすべてのデータが暗
号化および復号化されます。
6.2 Windows 認証方法を使ってログオンする
「Windows ログオン」ダイアログで、Windows へログオンするために、Sophos
SafeGuard 認証方法ではなく、別の認証方法を選択することができます。
Windows 認証方法を使用した場合、OS にログオンした後で Sophos SafeGuard へのロ
グオンが実行されます。
Windows にログオン後、必要に応じて Sophos SafeGuard 認証アプリケーションが自
動的に起動されます。これによって、Sophos SafeGuard Enterprise の機能すべてが利
用できるようになります。
一元管理で指定されているログオン設定に応じて、ユーザーのログオン情報を入力
するためのダイアログ、または PIN を入力するためのダイアログが表示されます。
1. ログオン情報または PIN を入力し、「OK」をクリックします。
これで Sophos SafeGuard の機能が使用可能になり、必要な鍵を持っていれば、暗
号化されたデータへのアクセスなどができます。
20
ユーザーヘルプ
7 非暗号化スマートカードやトークンを使用したログ
オン
非暗号化スマートカードやトークンを使用してログオンする方法には、次の 2種類
があります。
■
スマートカードまたはトークンを使用したログオンのみが許可される。
■
ユーザー名とパスワードを使用したログオンと、スマートカードやトーク
ンを使用したログオンの両方が許可される。
セキュリティ担当者は、許可するログオン方法をポリシーで定義します。
注: Sophos SafeGuard では、スマートカードとトークンを同じように扱ってい
ます。そのため、製品およびマニュアルにおいて、「トークン」および「ス
マートカード」という用語は、同じものとして理解することができます。こ
の後のセクションでは、「トークン」という用語を使用します。
7.1 インストール後のトークンを使用した最初のログオン
トークンを使用した最初のログオンの手順は、トークンを使用しないログオンの手
順と同じです。
自分のログオン情報を含むトークンがある場合、そのトークンの PIN を入力して
Windows にログオンすることができます。
注: コンピュータを再起動する前に、Windows ユーザーログオン情報を使用
してトークンを設定することを推奨します (トークンに Windows ユーザー情
報を保存する (p.21) を参照してください)。ユーザーに適用されているセキュ
リティポリシーによっては、SafeGuard POA でトークンを使用することが必
須になります。トークンに自分のログオン情報が含まれていない場合、
SafeGuard Power-on Authentication でログオンすることはできません。
7.2 トークンに Windows ユーザーログオン情報を保存する
トークンに自分のWindows ユーザーログオン情報が含まれていない場合、ユーザー
自身がトークンに保存できます。
注: トークンの設定は、最初のログオン時に行うことを推奨します。ユーザーに適
用されているセキュリティポリシーによっては、SafeGuard POA でトークンを使用
21
SafeGuard Easy
することが必須になります。トークンにユーザー情報が含まれていない場合、
SafeGuard Power-on Authentication でログオンすることはできません。
1. インストール後の最初のログオン時に、Windows ログオンダイアログが
表示されたらシステムにトークンを接続します。
空のトークンが検出されると、「トークンの発行」ダイアログが自動的に表示さ
れます。
2. Windows ユーザー名とパスワードを入力します。
3. 確認のためにパスワードを再度入力します。
4. ドメインを選択または入力し、「OK」をクリックします。
入力されたデータを使用して、Windows へのユーザーのログオンが試行されま
す。ログオンが正常に完了したら、データがトークンに書き込まれます。
ユーザーは Windows にログオンします。
ユーザー (すでに一度、ユーザー名とパスワードを使用して SafeGuard POA でログ
オンしたことがある場合) に対してトークンログオンは任意と定義されている場合
にも、後でトークンを発行できます。
これを行うには、SafeGuard POA のログオンダイアログで「オプション」をクリッ
クし、「Windows へのパススルーログオン」チェックボックスを選択から外しま
す。Windows ログオンダイアログが表示され、ユーザーは前述の手順でログオン情
報をトークンに保存できます。
7.3 トークンを使用した SafeGuard POA ログオン
前提条件:BIOS で USB 対応が設定されていることを確認します。トークンの対応が
設定されており、トークンがユーザーに発行されている必要があります。
1. トークンを接続します。
2. コンピュータの電源を入れます。
トークンを使ってログオンするためのダイアログが表示されます。
注: ユーザーログオン情報を使用したログオンがポリシーで許可されてい
る場合にトークンを取り外すと、ログオンのためのユーザーログオン情
報を入力するように求められます。ユーザー ID とパスワードを使用して
ログオンするためのダイアログが表示されない場合は、トークンを使用す
る方法のみで SafeGuard Power-on Authentication でログオンできます。
22
ユーザーヘルプ
3. トークン PIN を入力します。
SafeGuard Power-on Authentication および Windows にログオンします (ログオンダ
イアログで「Windows へのパススルーログオン」チェックボックスを選択した
場合)。
7.4 PIN を変更する
Windows ログオンダイアログで、トークンの PIN を変更することができます。
SafeGuard POA (Power-on Authentication) で「Windows へのパススルーログオン」が
選択されている場合、通常、Windows ログオンダイアログは表示されません。
Windows ログオンダイアログを表示するには、SafeGuard POA ログオン時にこのオ
プションを選択から外す必要があります。
注: セキュリティ担当者が (たとえば特定の一定期間ごとに) PIN の変更を要求する
ようにルールを定義した場合は、PIN の変更を求めるプロンプトが自動的に表示さ
れます。
1. Windows ログオンのための「PIN」ダイアログで、「PIN を変更する」
チェックボックスを選択します。
2. トークン PIN を入力し、「OK」をクリックします。
「PIN の変更」ダイアログが表示されます。
3. 新しい PIN を入力し、確認入力します。
4. 「OK」をクリックします。
トークン PIN が変更され、Windows ログオンが続行されます。
7.5 トークンログオンの復旧
PIN を忘れた場合、次のいずれか 1つの復旧方法を使用して、コンピュータに再度
アクセスできるようになります。
■
Local Self Help による復旧: Local Self Help による復旧 (p. 68) を参照してください。
■
チャレンジ/レスポンスによる復旧: チャレンジ/レスポンスによる復旧 (p. 78) を
参照してください。
各コンピュータで使用できる復旧方法は、セキュリティ担当者が指定した設定に
よって異なります。
復旧を開始するには、トークンログオンのダイアログで「復旧」ボタンをクリック
します。
23
SafeGuard Easy
7.6 トークンのブロックを解除する
間違った PIN を数回入力すると、トークンがブロックされます。セキュリティ担当
者は、このような場合に「トークンのブロック解除」ダイアログが表示されるよ
う、Sophos SafeGuard を構成することができます。
ユーザーは自分のトークンに対して定義されている管理者 PIN を、セキュリティ担
当者から入手する必要があります。
1. 「トークンのブロック解除」ダイアログで、管理者 PIN を入力します。
2. 新しい PIN を入力し、確認入力します。
PIN に関して定義されているルールに従って PIN を入力してください。たとえ
ば、特定の文字の組み合わせが必要な場合や、すでに使用した PIN の再使用が
禁止されている場合があります。
3. 「OK」をクリックします。
トークンのブロックが解除され、ログオンが続行されます。
注: この機能をコンピュータで使用できない場合、チャレンジ/レスポンスを使用し
てコンピュータに再びアクセスすることができます。ただし、チャレンジ/レスポン
スを使用して PIN やユーザーログイン情報を変更することはできません。
7.7 リモートデスクトップ接続
Windows XP では、ユーザーがトークンを使用してローカルでログオンしている場
合、コンピュータへのリモートデスクトップ接続を確立できません。
24
ユーザーヘルプ
8 Lenovo 指紋認証リーダーを使用したログオン
注: Lenovo 指紋認証リーダーを使用したログオンは、Windows 7 (BIOS) エン
ドポイントのみで使用できます。
ユーザーは、コンピュータ、アプリケーション、およびネットワークにアクセスす
るために、多くの異なるパスワードと PIN を覚えておく必要があります。指紋認証
リーダーを使用すれば、パスワードを使用しなくても、リーダーに指を通すだけで
ログオンできるようになります。
また、指紋情報を紛失したり忘れたりすることもありません。未認証の他人がこの
情報を推測することもできません。このように指紋認証リーダーを使用すること
で、ログオン操作が簡略化され、セキュリティが向上します。
Sophos SafeGuard では SafeGuard Power-on Authentication と Windows ログオンで指紋
ログオンに対応しています。たとえば、Lenovo ノート PC にログオンする場合は、
ノート PC に付属の指紋認証リーダーに指を通すだけでログオンできます。残りの
ログオン手順は自動的に実行されます。また、指紋認証リーダーに指を通すだけで
Windows デスクトップのロックおよびロック解除を行うこともできます。
指紋認証リーダーは一部の Lenovo ノート PC に組み込まれています。ただし、外付
け USB キーボードを使用して指紋ログオンを行うこともできます。
注:
■
1台のコンピュータに一度に接続できる指紋認証リーダーは 1つだけです。
■
同じコンピュータ上でトークンと指紋ログオン手順を組み合わせて使用す
ることはできません。
■
リモートの指紋ログオンには対応していません。
8.1 要件
指紋ログオンを使用するには、次の要件を満たしている必要があります。
一般的な要件
■
Lenovo ハードウェア
■
ノート PC の Lenovo 指紋認証リーダー、または指紋認証リーダー付き USB キー
ボード
■
最新の BIOS (推奨)
■
Sophos SafeGuard
25
SafeGuard Easy
■
推奨されている次のベンダ固有のソフトウェアを、Sophos SafeGuard をインス
トールする前にインストールする必要があります。
■
AuthenTec 用 ThinkVantage Fingerprint
または
■
■
UPEK 用 ThinkVantage Fingerprint。
セキュリティ担当者は、ポリシーで指紋ログオンをアクティブに設定しておく必
要があります。
システム要件
■
Windows XP、32 ビット版
■
Windows Vista、32 ビット版、64 ビット版
■
Windows 7、32 ビット版、64 ビット版
対応ハードウェア
対応している指紋ログオンのハードウェアの詳細は、
http://www.sophos.com/ja-jp/support/knowledgebase/108789.aspxを参照してください。
対応ソフトウェア
対応している指紋ログオンのソフトウェアの詳細は、
http://www.sophos.com/ja-jp/support/knowledgebase/111626.aspxを参照してください。
8.2 指紋を登録する
指紋を使用してノート PC やデスクトップ PC にログオンするには、推奨されてい
るベンダ固有のソフトウェアを使用して、1つまたは複数の指紋を事前に登録する
必要があります。この登録プロセスで、登録する指紋とログオン情報 (ユーザー名
とパスワード) が関連付けられます。
前提条件:以下の説明では、推奨されているベンダ固有のソフトウェアと Sophos
SafeGuard の両方がインストール済みであることを前提としています。
1. SafeGuard Power-on Authentication (POA) で、ユーザー名とパスワードを入
力してログオンします。
26
ユーザーヘルプ
2. インストール済みのベンダ固有のソフトウェアを使用して、1つまたは複
数の指紋を登録します。この登録により、指紋が Windows ログオン情報
に関連付けられます。
a) 指紋の登録方法の説明については、ThinkVantage Fingerprint ソフトウェ
アのドキュメントを参照してください。
b) 「BIOS の POA パスワード」オプションを有効にします (UPEK のみ。
AuthenTec の場合、この手順は必要ありません)。
c) SafeGuard POA で指紋ログオンを使用するには、はじめに、指紋を使用
して Windows にログオンして、ログオン情報を指紋認証リーダーに転
送する必要があります。UPEK の場合は、登録した指紋を指紋認証リー
ダーに通すだけです。AuthenTec の場合は、初回ログオン時に Windows
パスワードも入力する必要があります。
3. PC/ノート PC を再起動します。
4. 登録した指紋をテストするには、コンピュータを再起動した後で指紋認証
リーダーに指を通します。
指紋が登録されているものと一致すれば、自動的にWindows にログオンします。
8.3 指紋を使用して SafeGuard Power-on Authentication にロ
グオンする
前提条件:
■
セキュリティ担当者は、該当する「認証」ポリシーで、指紋オプションを設定し
ておく必要があります。
■
1つまたは複数の指紋を登録しておく必要があります。
1. コンピュータを再起動します。
指紋でログオンするための SafeGuard POA ダイアログが表示されます。
2. 登録してある指の 1つをリーダーに通します。
指紋の認識に成功すると、SafeGuard Power-on Authentication によってログオン情
報が読み込まれ、Windows に送信されます。
ログオン手順では、要求、通知、または警告として、短いテキストメッ
セージ付きのアイコンが表示されます (ログオンプロセスで使用されるア
イコン (p. 28) を参照してください)。
ユーザーはWindows に自動的にログオンします。さらに認証情報が要求されること
はありません。
27
SafeGuard Easy
注:
■
Windows での登録プロセスが正常に完了していなかった場合 (たとえば、指紋登
録後に Windows をログオフして再度ログオンしていない場合)、登録した指紋と
一致していることは SafeGuard POA で検出されます。
ただし、関連付けされたログオン情報は見つかりません。この場合、ユーザー名
とパスワードを使用してログオンするようエラーメッセージが表示されます。
入力後、Windows へのパススルーは行われず、ログオン情報は指紋認証リーダー
に転送されます。
■
Windows へのパススルーを有効または無効にするかどうか、およびユーザー名
とパスワードでログオンする POA の画面でユーザーがその設定を変更できるか
どうかは、ユーザーごとに適用されるポリシーでセキュリティ担当者が指定しま
す (ユーザー名とパスワードを使用してログオンする (p. 31) を参照してくださ
い)。
8.3.1 ログオンプロセスで使用されるアイコン
SafeGuard Power-on Authentication で指紋を使用してログオンする際、要求、通知、
および警告を表すアイコンが表示されます。これらのアイコンは、ログインプロセ
ス中に短いテキストメッセージと一緒に表示されます。
指紋認証リーダーに指を通して今すぐ使
用できることを示しています。
指紋ログオンが現在有効になっていない
ことを示しています。指紋ログオンモ
28
ユーザーヘルプ
ジュールがまだ初期化されていない場合
などに表示されます。
指紋認証リーダーが正常に動作していて
使用中であることを示しています。
指紋の読み込みに成功して、一致する指
紋が検出されたことを示しています。
指紋の読み込みに成功したが、一致する
指紋が検出されなかったことを示してい
ます。
指紋が読み取れなかったことを示してい
ます。指紋認証リーダーに再度、指を通
してください。
指を置く場所が左 (または右) にずれて
いることを示しています。指を指紋認証
リーダーの中央に移動してください。
指を通す角度が横にずれて斜めであった
ことを示しています。指紋認証リーダー
に再度、指を通してください。
29
SafeGuard Easy
指の動きが速すぎたことを示していま
す。指紋認証リーダーに再度、指を通し
てください。
指を通す時間が短すぎたことを示してい
ます。指紋認証リーダーに再度、指を通
してください。
8.3.2 ログオンの失敗
指を 5回通しても指紋の読み取りができなかった場合は、ログオンの失敗と見なさ
れ、イベントログが記録されます。この場合、次にログオンできるまで待機時間が
発生します。
指紋の読み取りにエラーなしで成功した後、登録済みの指紋との照合を 5回試みて
も一致するものが検出されなかった場合も、ログオンの失敗と見なされ、イベント
ログが記録されます。この場合も、次にログオンできるまでの待機時間が発生しま
す。
待機時間はログオンに失敗するたびに長くなります。
30
ユーザーヘルプ
8.3.3 ユーザー名とパスワードを使用してログオンする
指紋を使用したログオンが有効になっている場合でも、ユーザー名とパスワードを
使用して SafeGuard Power-on Authentication にログオンできます。これは、指紋認証
リーダーが破損している場合などに便利です。
1. 指紋でログオンするための SafeGuard POA ダイアログで、「Esc」キーま
たは「Ctrl+Alt+Del」キーを押します。
ユーザー名とパスワードでログオンするための SafeGuard POA ダイアログが表示
されます。
注: ユーザー名とパスワードでログオンするための SafeGuard POA ダイア
ログで「Ctrl+Alt+Del」キーを押すと、コンピュータはシャットダウンし
ます。この場合、「Ctrl+Alt+Del」キーは「シャットダウン」ボタンに相
当します。
ユーザー名とパスワードでログオンするための SafeGuard POA ダイアログは、指
紋認証リーダーを使用できない場合や、指紋認証リーダー上のユーザーデータ
をシステムが検出できない場合にも自動的に表示されます。
注: ユーザー名とパスワードによるログオンは、ローカルキャッシュが破
損している場合にも自動的に有効になります。この問題が発生した場合
は、コンピュータがロックされるため、チャレンジ/レスポンスを使用し
てログオンする必要があります。
2. 「Esc」キーをもう一度押せば、指紋でログオンするための SafeGuard POA
ダイアログに戻ることができます。
「Esc」キーを押してユーザー名とパスワードでログオンするための
SafeGuard POA ダイアログに切り替えた後でも、指紋認証リーダーに指を
通せばログオンできます。指紋でログオンするための SafeGuard POA ダイ
アログに戻る必要はありません。
8.4 パスワードを変更する
1. 指紋を使用したログオンが SafeGuard Power-On Authentication で有効になっ
ている場合は、「Ctrl+Alt+Del」キーを押して Windows パスワードを変更
できます。
パスワードを変更すると、指紋認証リーダーに指を通して新しいパスワードを指
紋認証リーダーに転送することを求められます。
注: パスワードを変更するたびに、登録済みのすべての指紋に変更が適用
されます。
31
SafeGuard Easy
8.4.1 パスワードの同期をとる
Windows パスワードが指紋認証リーダーに保存されているパスワードと一致しなく
なった場合 (パスワードを変更したけれども、新しいパスワードが指紋認証リーダー
に転送されていない、など) は、パスワードを同期できます。
1. コンピュータを再起動します。
2. 指紋でログオンするための SafeGuard POA ダイアログで、「Esc」キーま
たは「Ctrl+Alt+Del」キーを押します。
ユーザー名とパスワードでログオンするための SafeGuard POA ダイアログ
が表示されます。
3. 「オプション」をクリックし、「Windows へのパススルーログオン」
チェックボックスを選択から外します。
注: Windows へのパススルーを有効または無効にするかどうか、および
ユーザー名とパスワードでログオンする SafeGuard POA の画面でユーザー
がその設定を変更できるかどうかは、ユーザーごとに適用されるポリシー
でセキュリティ担当者が指定します。
4. パスワードを使用してログオンします。
5. Windows のログオンダイアログが表示されます。登録してある指の 1つを
指紋認証リーダーに通します。
6. 指紋は認識されますが、指紋に関連付けられたパスワードが Windows に
よって拒否されます。ログオンに失敗したことが表示されますが、次にロ
グオンできるまでの待機時間は発生しません。
パスワードが変更されたことを示すメッセージが表示され、現在の Windows パ
スワードを入力することを求められます。
7. 正しい Windows パスワードを入力してください。
注: ここで間違った Windows パスワードを入力すると、ログオンの失敗が
記録され、ログオンの待機時間が発生します。何も入力しないでパスワー
ド入力画面を閉じた場合も、ログオンの失敗として記録され、ログオンの
待機時間が発生します。
パスワードの転送に成功すると、パスワード同期プロセスが完了し、ログオンで
パスワードが使用できるようになります。
32
ユーザーヘルプ
8.5 指紋ログオンの復旧
指紋ログオンに失敗し、ログオンに必要なパスワードを忘れた場合、Sophos SafeGuard
では次の復旧方法を使用することができます。
■
Local Self Help による復旧 (p. 68) 。
■
チャレンジ/レスポンスによる復旧 (p. 78) 。
各コンピュータで使用できる復旧方法は、セキュリティ担当者が指定した設定に
よって異なります。
復旧を開始するには、指紋ログオンのダイアログで「復旧」ボタンをクリックしま
す。
注: 選択した復旧方法によっては、パスワードを忘れた場合など、コンピュー
タの起動時にパスワードの変更が必要になることがあります。この場合、指
紋ログイン情報を更新する手段も用意されています。
33
SafeGuard Easy
9 ディスク暗号化
Sophos SafeGuard のディスク暗号化機能は、エンドポイントの OS 環境に依存しま
す。
■
■
Windows 7 エンドポイント:
■
SafeGuard フルディスク暗号化と SafeGuard Power-on Authentication。詳
細は、SafeGuard フルディスク暗号化 (p. 34) を参照してください。
■
BitLocker Drive Encryption と Windows ログオン。詳細は、BitLocker Drive
Encryption (p. 36) を参照してください。
Windows 8 エンドポイント:BitLocker Drive Encryption と Windows ログオ
ン。詳細は、BitLocker Drive Encryption (p. 36) を参照してください。
9.1 SafeGuard フルディスク暗号化
Sophos SafeGuard は、ボリュームベースで、透過的にディスク全体を暗号化します。
セキュリティ担当者は、セキュリティポリシーで、暗号化するボリューム (ドライ
ブ) を定義します。
9.1.1 透過的な暗号化
暗号化されたドライブ上のファイルは、透過的に暗号化されます。ファイルを開く
とき、編集するとき、または保存するときに、暗号化や復号化の指示は表示されま
せん。ファイルを開くときにファイルは復号化され、編集できるようになります。
ファイルを閉じるときや保存するときに、ファイルは再び暗号化されます。
暗号化されたドライブからコンピュータ上の暗号化されていない場所にファイルを
コピーまたは移動すると (「名前を付けて保存」も含む)、ファイルは復号化されま
す。ファイルは新たな場所に平文で保存されます。
9.1.2 初期暗号化
コンピュータに暗号化ポリシーが初めて適用された後、そのポリシーに基づいて初
期暗号化が実行されます。暗号化ポリシーの設定内容に応じて、初期暗号化は自動
的に開始されるか、ユーザーが手動で開始する必要があります。
注: システムパーティション (ファイル hiberfil.sys が保存されているパーティ
ション) の初期暗号化処理中は、コンピュータを休止状態にしないでくださ
い。システムパーティションの初期暗号化が完了したら、コンピュータを再
34
ユーザーヘルプ
起動して初期暗号化後も問題なく休止状態にできることを確認してくださ
い。
9.1.3 ボリュームベースのフルディスク暗号化
Sophos SafeGuard で保護されたコンピュータのボリュームベースのデータの暗号化
には、自動的に生成されるコンピュータ鍵が使用されます。
このタイプの暗号化を設定するポリシーがユーザーのコンピュータに適用される
と、データは自動的に暗号化されます。ボリュームには、これ以上鍵を追加できま
せん。
暗号化の処理中、暗号化対象のボリュームの暗号化の進行状況が Encryption Viewer
に表示されます。また、該当する場合、暗号化された既存のボリュームも表示され
ます。Encryption Viewer は、最小化されたアイコンで Windows タスクバーに表示さ
れます。アイコンをクリックすると開くことができます。Encryption Viewer を最小
化する場合でも、「閉じる前に通知を表示する」を選択して、暗号化が完了したこ
とを知らせる通知を受けることができます。暗号化が完了すると、ビューアは自動
的に閉じます。コンピュータ上の暗号化されたボリュームは、暗号化されていない
通常のボリュームと同様に使用することができます。
注:
■
ボリュームベースの暗号化/復号化は、ドライブレターが割り当てられていない
ドライブで利用することはできません。
■
Windows 7 Professional/Enterprise/Ultimate 環境では、ドライブ文字の割り当てな
しに、エンドポイントでシステムパーティションが作成されます。このシステ
ムパーティションは、Sophos SafeGuard で暗号化できません。
■
ボリュームまたはボリュームの種類に対する暗号化ポリシーが存在する場合で、
ボリュームの暗号化に失敗したとき、ユーザーはそのボリュームにアクセスでき
ません。
■
暗号化/復号化の処理中にエンドポイントがシャットダウンし、再起動する可能
性があります。
■
アンインストール後に復号化を行う場合は、復号化処理中にエンドポイントをス
リープ状態や休止状態にしないことを推奨します。
■
ボリュームの暗号化後、復号化を許可する新しいポリシーがエンドポイントに適
用されたら、次の操作を行ってださい。ボリュームベースの暗号化が完了した後
は、復号化を行う前に、必ずエンドポイントを最低 1回再起動してください。
9.1.4 ボリュームへのアクセス制限
Sophos SafeGuard では、次の場合にボリュームへのアクセスが拒否されます。
35
SafeGuard Easy
暗号化に失敗したボリューム
ボリュームやボリュームの種類の暗号化を定義するポリシーが存在し、暗号化に失
敗した場合、そのボリュームへのアクセスは拒否されます。
ボリュームにアクセスしようとすると、メッセージが表示されます。
不明なファイルシステムオブジェクト
不明なファイルシステムオブジェクトとは、暗号化されているかされていないか
を、Sophos SafeGuard によって明確に判断できないボリュームのことです。
この種類のボリュームの暗号化を定義するポリシーが存在する場合、このボリュー
ムへのアクセスは拒否されます。ボリュームにアクセスしようとすると、メッセー
ジが表示されます。
不明なファイルシステムオブジェクトに関する暗号化ポリシーがない場合は、そ
のボリュームにアクセスできます。
9.2 BitLocker Drive Encryption
BitLocker Drive Encryption は、起動前認証を使用したディスク全体の暗号化機能で、
Windows OS に含まれています。ブートドライブおよびデータドライブを暗号化す
ることでデータを保護するようになっています。
9.2.1 BitLocker の暗号化ポリシー
セキュリティ担当者は、SafeGuard Policy Editor で (初期) 暗号化のポリシーを作成
し、BitLocker を使用するエンドポイントに適用してポリシーを実行できます。この
場合、指定されたボリュームに対して BitLocker 暗号化が実行されます。
9.2.2 BitLocker で保護されているコンピュータでの暗号化
暗号化が開始する前に、BitLocker によって暗号化鍵および復号化鍵が生成されま
す。使用しているシステム、およびインストール済みの Sophos SafeGuard の Bitlocker
機能に応じて、動作は多少異なります。
TPM のあるエンドポイント
BitLocker は、Trusted Platform Module (TPM) というハードウェアデバイスに、独自
の暗号化鍵および復号化鍵を保存します。鍵は、コンピュータのハードディスクに
は保存されません。TPM は、起動時に BIOS がアクセスできる必要があります。コ
ンピュータを起動すると、BitLocker は、TPM からこれらの鍵を自動的に取得しま
す。
セキュリティ担当者は、BitLocker のログオンモードとして、TPM、TPM + PIN、ま
たは TPM + USB メモリを指定できます。Sophos SafeGuard で BitLocker をアクティブ
にすると、BitLocker スタートアップキーは、TPM に保存されます。
36
ユーザーヘルプ
注: Sophos SafeGuard で BitLocker 暗号化を管理するには、まず、TPM をアクティブ
にし、所有権を取得する必要があります。
TPM のないエンドポイント
コンピュータに TPM が搭載されていない場合、USB メモリを使用して BitLocker ス
タートアップキーを作成し、暗号化鍵と復号化鍵を保存することができます。コン
ピュータを起動するたびに、この USB メモリを挿入する必要があります。
Sophos SafeGuard で BitLocker をアクティブにすると、BitLocker のスタートアップ
キーを保存するよう表示されます。スタートアップキーの保存先として、有効な対
象ドライブが表示されます。
注: ブートボリュームを暗号化する場合、エンドポイントの起動時に、スタート
アップキーが使用可能である必要があります。したがって、スタートアップキー
は、リムーバブルメディアのみに保存できることになります。
データボリュームを暗号化する場合、すでに暗号化されているブートボリューム
に、BitLocker スタートアップキーを保存できます。暗号化されているボリューム
は、「有効な対象ドライブ」に表示され、選択可能です。
BitLocker の復旧鍵
BitLocker の復旧では、Sophos SafeGuard のチャレンジ/レスポンスを使用して、情報
を暗号化して交換できます。または、ヘルプデスク担当者から BitLocker の復旧鍵
を取得できる場合もあります。詳細は、BitLocker ユーザーのチャレンジ/レスポン
ス (p. 81) およびBitLocker の復旧鍵 (p. 82) を参照してください。
チャレンジ/レスポンスを使用した復旧では、必要なデータにヘルプデスク担当者が
アクセスできる必要があります。復旧に必要なデータは、特定の鍵復旧ファイルに
保存されます。
Sophos SafeGuard の設定がコンピュータに適用される際、セキュリティ担当者が指
定した場所に、鍵復旧ファイルが自動的に作成されます。通常、ファイルの場所は
共有パスです。鍵復旧ファイルは、そこに自動的に作成されます。セキュリティ担
当者がファイルの場所を指定していない場合は、ファイルを手動で保存することを
求められます。暗号化する各ボリュームに対して、それぞれ復旧ファイルを保存す
る必要があります。
ファイルを作成するときに指定の場所にアクセスできない場合は、バルーンヒント
が表示されるとともに、システムイベントログにメッセージが記録され、後でファ
イルの保存が再試行されます。ファイルを保存するまで、保存することを求めるダ
イアログが表示されます。
鍵復旧ファイルは手動で保存できます。または Sophos SafeGuard システムトレイア
イコンを使用して、鍵復旧ファイルのバックアップをいつでも新しく作成できま
す。バックアップファイルは、既存の鍵復旧ファイルが破損したり、ヘルプディス
ク担当者が利用できなくなったりした場合に必要となります。
37
SafeGuard Easy
注: コンピュータの BitLocker で暗号化されたハードディスクが、BitLocker で暗号
化された新しいハードディスクに交換され、新しいハードディスクに以前のハー
ドディスクと同じドライブ文字が割り当てられた場合、Sophos SafeGuard は新しい
ハードディスクの復旧鍵のみを保存します。
Sophos SafeGuard の BitLocker 対応機能をインストールする前に、ボリュームがすで
に BitLocker で暗号化されている場合は、Microsoft 提供のバックアップ方法を使用
して、以前に暗号化されたボリュームの鍵をバックアップする必要があります。
すでに BitLocker で暗号化されているドライブを管理する
すでに BitLocker で暗号化されたドライブのあるコンピュータに Sophos SafeGuard を
インストールした場合、このようなドライブの管理は Sophos SafeGuard によって引
き継がれます。
暗号化済みブートドライブ
■
Sophos SafeGuard の BitLocker 対応機能によっては、コンピュータの再起動が必要
になる場合があります。コンピュータは、なるべく早く再起動するようにしてく
ださい。
■
Sophos SafeGuard 暗号化ポリシーを暗号化ドライブに適用できる場合:
■
■
Sophos SafeGuard BitLocker チャレンジ/レスポンスをインストールした場合:管
理は引き継がれ、Sophos SafeGuard チャレンジ/レスポンスを使用できます。
■
Sophos SafeGuard BitLocker をインストールした場合:管理は引き継がれ、Sophos
SafeGuard 復旧を使用できます。
Sophos SafeGuard 暗号化ポリシーを暗号化ドライブに適用できない場合:
■
Sophos SafeGuard BitLocker チャレンジ/レスポンスをインストールした場合:管
理は引き継がれず、Sophos SafeGuard チャレンジ/レスポンスは使用できませ
ん。
■
Sophos SafeGuard BitLocker をインストールした場合:Sophos SafeGuard 復旧を
使用できます。
暗号化済みデータドライブ
■
Sophos SafeGuard 暗号化ポリシーを暗号化ドライブに適用できる場合:
管理は引き継がれ、SafeGuard Policy Editor を使用した Sophos SafeGuard 復旧を使
用できます。
■
Sophos SafeGuard 暗号化ポリシーを暗号化ドライブに適用できない場合:
SafeGuard Policy Editor を使用した Sophos SafeGuard 復旧を使用できます。
注: すでに暗号化されているドライブの管理を Sophos SafeGuard で引き継ぐことが
できない場合があります。このような Bitlocker ドライブで、Sophos SafeGuard 復旧
38
ユーザーヘルプ
を使用することはできません。この場合は、セキュリティ担当者までお問い合わせ
ください。
9.2.3 BitLocker を使用した復号化
BitLocker を使用して暗号化されたコンピュータを自動的に復号化することはできま
せん。復号化には、Microsoft の「Manage-bde」ツールを使用する必要があります。
9.2.4 BitLocker を使用した認証
BitLocker には、さまざまな認証オプションがあります。BitLocker ユーザーは、Trusted
Platform Module (TPM) または USB メモリ、あるいはこの両方の組み合わせのいず
れかで認証できます。
セキュリティ担当者は、SafeGuard のポリシーで、各種のログオンモードを設定し、
BitLocker エンドポイントに適用することができます。
Sophos SafeGuard の BitLocker ユーザー用に、次のログオンモードがあります。
■
TPM のみ
■
TPM および PIN
■
TPM および USB メモリ
■
USB メモリのみ (TPM なし)
Trusted Platform Module (TPM)
TPM は、暗号化やデジタル署名を行うスマートカードに似たモジュールで、マザー
ボード上に実装されています。ユーザー鍵を作成、格納、および管理することがで
きます。TPM は各種の攻撃から保護されています。
USB メモリ
外部鍵は、保護されていない USB メモリに格納できます。
BitLocker コンピュータでの認証
BitLocker コンピュータのプリブート中、認証のために TPM PIN を入力するか、USB
メモリを挿入するよう求められます。
39
SafeGuard Easy
10 SafeGuard Data Exchange
SafeGuard Data Exchange を使用して、コンピュータに接続しているリムーバブルメ
ディアに保存されているデータを暗号化し、他のユーザーと交換することができま
す。暗号化と復号化の処理はすべて透過的に実行され、ユーザー介入は最小限で済
みます。
対応する鍵を持っているユーザーだけが、暗号化されたデータの内容を読み取るこ
とができます。その後の暗号化処理はすべて透過的に実行されます。透過的な暗号
化とは、暗号化され保存されたデータが、再びアクセスされたとき、アプリケー
ションによって自動的に復号化されることを意味します。
そのファイルを保存するときには、再び自動的に暗号化されます。日常の作業で
ユーザーは、データが暗号化されていることを意識しません。しかし、リムーバブ
ルメディアを取り外すと、データは暗号化された状態を維持するため、不正なアク
セスから保護されます。権限のないユーザーは、ファイルに物理的にアクセスする
ことはできても、SafeGuard Data Exchange および適切な鍵がないとファイルを読み
取ることはできません。
注: ユーザーのコンピュータ上の SafeGuard Data Exchange の動作は、セキュ
リティ担当者によってポリシーで定義されます。
セキュリティ担当者は、リムーバブルメディア上のデータ処理方法を定義します。
たとえば、任意のリムーバブルメディアに保存されるファイルに対して、暗号化を
必須と設定することができます。この場合、デバイスに存在する暗号化されていな
いファイルすべての初期暗号化が行われます。さらに、リムーバブルメディアに新
たに保存されるファイルもすべて暗号化されます。既存のファイルを暗号化しない
場合は、セキュリティ担当者は、暗号化されていない既存のファイルへのアクセス
を許可するよう定義できます。この場合、暗号化されていない既存のファイルは
SafeGuard Data Exchange で暗号化されません。ただし、新しいファイルは暗号化さ
れます。したがって、ユーザーは暗号化されていない既存のファイルを読み取った
り編集したりすることはできますが、ファイルの名前を変更するとファイルは直ち
に暗号化されます。また、セキュリティ担当者が、暗号化されていないファイルへ
のアクセスを禁止すると、ファイルは暗号化されていないままになります。
リムーバブルメディアに保存されている暗号化されたファイルの交換方法には次の
2とおりがあります。
40
■
Sophos SafeGuard が受け取り側のコンピュータにインストールされている
場合:両者が使用可能な鍵を使用するか、新しい鍵を作成することができ
ます。新しい鍵を生成する場合は、データの受け取り側に鍵のパスフレー
ズを通知する必要があります。
■
Sophos SafeGuard が受け取り側のコンピュータにインストールされていな
い場合:Sophos SafeGuard では、SafeGuard Portable を使用することができま
ユーザーヘルプ
す。このユーティリティは、暗号化されたファイルと一緒に自動的にリ
ムーバブルメディアにコピーできます。受け取り側は、SafeGuard Portable
と適切なパスフレーズを使用すれば、SafeGuard Data Exchange がコンピュー
タにインストールされていなくても、暗号化されたファイルを復号化し、
再度それを暗号化できます。
10.1 リムーバブルメディアの処理方法
コンピュータに SafeGuard Data Exchange がインストールされている場合、リムーバ
ブルメディアは、セキュリティ担当者によって事前に定義された方法で処理されま
す。セキュリティ担当者は、次の SafeGuard Data Exchange の設定を定義できます (複
数の設定の組み合わせも可能)。
■
すべてのファイルの初期暗号化:リムーバブルメディアがコンピュータに
接続されると、リムーバブルメディア上のデータすべての暗号化がただ
ちに開始されます。この設定により、リムーバブルメディアには暗号化
されたデータのみが含まれるようになります。暗号化が開始されると、鍵
の選択を求められるか、事前に定義された鍵が使用されます。
■
ユーザーは初期暗号化をキャンセルできる:初期暗号化が開始されると、
初期暗号化をキャンセルできるダイアログが表示されます。
■
ユーザーは暗号化されていないファイルにアクセスすることを許可されて
いる:いいえ:SafeGuard Data Exchange は、リムーバブルメディア上の暗号
化されたデータしか受け入れません。リムーバブルメディア上に暗号化
されていないデータが存在する場合、ユーザーはアクセスすることができ
ません。ファイルを暗号化してからでないと、そのデータにアクセスでき
ません。
■
ユーザーはファイルを復号化できる:ユーザーはリムーバブルメディア上
のファイルを手動で復号化できます。手動で復号化されたファイルは、他
人に渡した場合も含め、リムーバブルストレージメディア上で暗号化さ
れていないファイルとして残ります。
■
ユーザーはデバイスに対してメディアパスフレーズを定義できる:ユーザー
は、初めてリムーバブルメディアを接続したとき、メディアパスフレー
ズを入力するよう求められます。
■
非暗号化フォルダ:セキュリティ担当者は、すべてのリムーバブルメディ
ア上に作成される非暗号化フォルダを定義できます。このフォルダ内の
ファイルは、SafeGuard Data Exchange によって暗号化されません。
■
ユーザーは暗号化を実行するか決定できる:リムーバブルメディアをコンピュー
タに接続すると、メディア上のファイルを暗号化するかどうかを確認するメッ
セージが表示されます。また、セキュリティ担当者によって許可されている場合
41
SafeGuard Easy
は、ここでの選択を保存するか確認メッセージが表示されます。「この設定を保
存し、次回からこのダイアログを表示しない」を選択すると、該当するメディア
に対して確認メッセージが再度表示されません。また、Windows エクスプロー
ラで、対象のデバイスを右クリックすると、新しいオプション「暗号化の再有効
化」が表示されるようになります。暗号化の設定を元に戻す場合は、このメニュー
を選択します。デイバイスへの十分な権限がないなどの理由で選択できない場合
は、エラーメッセージが表示されます。設定を元に戻すと、当該のデバイスに対
する設定を確認するメッセージが再び表示されます。
10.2 コンピュータに接続されている全リムーバブルデバイス
用のシングルメディアパスフレーズ
SafeGuard Data Exchange では、コンピュータに接続されているすべてのリムーバブ
ルデバイスへのアクセスを許可する、シングルメディアパスフレーズを定義でき
ます。これは、個々のファイルを暗号化するために使用した鍵とは関係ありませ
ん。
指定すると、1つのメディアパスフレーズを入力するだけで、暗号化されたファイ
ルへのアクセスが許可されます。メディアパスフレーズはコンピュータに関連付け
られます。
メディアパスフレーズは、次のシナリオの場合に役に立ちます。
■
Sophos SafeGuard がインストールされていないコンピュータにおいても、
リムーバブルメディア上の暗号化されたデータを使用する場合 (SafeGuard
Data Exchange を SafeGuard Portable と併用)
■
データを外部ユーザーと交換する場合: 外部ユーザーにメディアパスフ
レーズを提供することにより、個々のファイルの暗号化にどの鍵が使用さ
れたかに関係なく、1つのシングルパスフレーズを使用して、リムーバブ
ルメディア上のすべてのファイルへのアクセスを外部ユーザーに許可で
きます。
また、特定の鍵のパスフレーズだけを外部ユーザーに提供して、すべてのファイ
ルへのアクセスを制限することもできます。この場合、外部ユーザーは、この鍵
で暗号化されたファイルのみにアクセスできます。他のファイルを読み取ること
はできません。
対応メディア
SafeGuard Data Exchange では、次のリムーバブルメディアがサポートされていま
す。
42
■
USB メモリ
■
USB や FireWire を使用して接続される外付けハードディスク
ユーザーヘルプ
■
CD RW ドライブ (UDF)
■
DVD RW ドライブ (UDF)
■
FireWire
■
USB カードリーダーに挿入されたメモリカード
10.3 リムーバブルメディアを暗号化する
10.3.1 初期暗号化
リムーバブルメディアにある暗号化されていないデータの暗号化は、メディアをシ
ステムに取り付けるとすぐに自動的に開始されます。開始されない場合は、手動で
処理を開始する必要があります。リムーバブルメディア上のファイルを暗号化する
かを決定する権限がユーザーにある場合、コンピュータにリムーバブルメディアを
取り付けると、暗号化の実行に関するプロンプト指示が表示されます。
暗号化処理を手動で開始する方法は次のとおりです。
1. Windows エクスプローラのショートカットメニューで、「ファイル暗号化 > 暗
号化の開始」を選択します。特定の鍵が定義されていない場合は、鍵を選択する
ためのダイアログが表示されます。
2. 鍵を選択します。
鍵を選択するダイアログに鍵が含まれていない場合は、ダイアログを閉じてか
ら、1つまたは複数の鍵を作成してください。システムトレイアイコンを右ク
リックし、「新しい鍵の作成」を選択します。
3. 「OK」をクリックします。
リムーバブルメディアに含まれているすべてのデータが暗号化されます。
他の鍵をデフォルトとして設定しない限り、デフォルトの鍵が使用されます。デ
フォルトの鍵を変更した場合は、変更後にコンピュータに接続するリムーバブル
デバイスの初期暗号化に対して新しい鍵が使用されます。
「平文ファイルを暗号化し、暗号化されたファイルを更新する」が選択されている
場合、既存の鍵で暗号化されているファイルは復号化され、新しい鍵を使用して再
度暗号化されます。
初期暗号化をキャンセルする
初期暗号化が自動的に開始するように設定されている場合は、初期暗号化をキャン
セルする権限が与えられていることがあります。この場合、「キャンセル」ボタン
が有効になっており、「開始」ボタンが表示され、暗号化処理の開始が 30秒間遅延
されます。この時間内に「キャンセル」ボタンをクリックしなければ、30秒後に初
期暗号化が自動的に開始されます。「開始」ボタンをクリックすると、初期暗号化
がすぐに開始されます。
43
SafeGuard Easy
メディアパスフレーズを使用した初期暗号化
メディアパスフレーズの使用がポリシーで指定されている場合は、初期暗号化を行
う前にメディアパスフレーズを入力するように求められます。メディアパスフレー
ズは、ユーザーの使用するリムーバブルメディアすべてに対して有効で、ユーザー
のコンピュータやログオン権限のあるコンピュータすべてに結び付けられます。
メディアパスフレーズの入力が完了しないと、初期暗号化は開始されません。完了
すると、初期暗号化が自動的に開始されます。
メディアパスフレーズを一度入力した後は、コンピュータに別のデバイスを接続す
ると、初期暗号化が自動的に開始されます。
注: メディアパスフレーズが設定されていないコンピュータでは、初期暗号化は開
始されません。
10.3.2 透過的な暗号化
リムーバブルメディア上のファイルが暗号化されるよう、ユーザーのコンピュータ
に対して規定されている場合、暗号化と復号化の処理はすべて透過的に実行されま
す。
ファイルは、リムーバブルメディアに書き込まれるときに暗号化され、リムーバブ
ルメディアから別の場所にコピーまたは移動されるときに復号化されます。
注: データは、他の暗号化ポリシーが適用されていない場所にコピーまたは
移動される場合のみに復号化されます。このような場合、データはその場所
で平文として利用できるようになります。新しい場所に別の暗号化ポリシー
が適用されている場合は、それに従ってデータが暗号化されます。
メディアパスフレーズ
ポリシーによって指定されている場合、SafeGuard Data Exchange の初回インストー
ル後にリムーバブルデバイスを接続すると、メディアパスフレーズを入力するよ
うに求められます。
ダイアログが表示されたら、メディアパスフレーズを入力してください。このシン
グルメディアパスフレーズを使用して、ファイルの暗号化に使用された鍵に関係
なく、リムーバブルメディア上の暗号化されたファイルすべてにアクセスできま
す。
このメディアパスフレーズは、そのコンピュータに接続するデバイスすべてに対し
て有効です。メディアパスフレーズは、SafeGuard Portable でも使用でき、ファイル
の暗号化に使用された鍵に関係なく、すべてのファイルへのアクセスを許可しま
す。
44
ユーザーヘルプ
メディアパスフレーズを変更/リセットする
システムトレイアイコンのメニューから「メディアパスフレーズの変更」を使用
して、いつでもメディアパスフレーズを変更できます。ダイアログが表示され、こ
こで古いメディアパスフレーズと新しいメディアパスフレーズを入力し、新しい
メディアパスフレーズを確認のために再度入力します。
メディアパスフレーズを忘れた場合は、それをリセットするためのオプションがこ
のダイアログに表示されます。「メディアパスフレーズをリセットする」オプショ
ンを有効にして「OK」をクリックすると、次回ログオン時にメディアパスフレー
ズがリセットされることが通知されます。
今すぐログオフし、再度ログオンしてください。コンピュータ上にメディアパスフ
レーズがないことが表示され、新しいメディアパスフレーズを入力するように求め
られます。
メディアパスフレーズの同期
デバイスにあるメディアパスフレーズと、コンピュータにあるメディアパスフレー
ズは、自動的に同期されます。コンピュータ上のメディアパスフレーズを変更し、
まだ古いバージョンのメディアパスフレーズを使用しているデバイスを接続した場
合は、メディアパスフレーズが同期されたことが表示されます。これは、ユーザー
がログオン権限のあるコンピュータすべてに共通しています。
注: メディアパスフレーズの変更後は、すべてのリムーバブルメディアをコンピュー
タに接続するようにしてください。これにより、新しいメディアパスフレーズが、
すべてのデバイスですぐに使用されること (パスフレーズの同期) が保証されます。
デフォルトの鍵を設定する
デフォルトの鍵を設定することにより、通常の暗号化処理で使用する鍵を指定しま
す。
デフォルトの鍵は、リムーバブルメディア上のファイルのショートカットメニュー
か、リムーバブルメディアのショートカットメニューを使用して指定できます。
また、「鍵の作成」ダイアログで新しいローカル鍵を作成するときに、ただちにそ
の鍵をデフォルトに指定することもできます。
鍵を選択するためのダイアログを開くには、「ファイル暗号化」-「デフォルトの
鍵を設定する」を選択します。
このダイアログで選択した鍵は、以後このリムーバブルストレージメディア上で
行われる暗号化処理すべてに使用されます。別の鍵を使用する場合は、いつでもデ
フォルトの鍵を新たに設定できます。
暗号化に使用するデフォルトの鍵は、ポリシーで指定できます。ポリシーで指定さ
れていない場合は、最初のデフォルトの鍵を指定するように求められます。
45
SafeGuard Easy
10.4 SafeGuard Data Exchange を使用してデータを交換する
SafeGuard Data Exchange を使用して安全なデータ交換を行う一般的な例は次のとお
りです。
■
自分と同じ鍵を持っていない Sophos SafeGuard ユーザーとデータを交換す
る場合。
この場合は、ローカル鍵を作成し、この鍵を使用してデータを暗号化します。
ローカルで作成された鍵は、パスフレーズによって保護され、Sophos SafeGuard
でインポートすることができます。データの受け取り側にパスフレーズを提供し
ます。受け取り側は、パスフレーズを使用して鍵をインポートし、データにアク
セスすることができます。
■
Sophos SafeGuard を使用していないユーザーとデータを交換する場合。
マシンに Sophos SafeGuard をインストール済みでないユーザーに対しては、
SafeGuard Portable を使用できます。SafeGuard Portable を使用してデータを交換
するには、ローカル鍵をパスフレーズと組み合わせて使用する必要があります。
さらに、SafeGuard Portable をリムーバブルストレージメディアにコピーする必
要があります。また、暗号化されたデータの受け取り側に、適切なパスフレーズ
を通知する必要もあります。受け取り側は、パスフレーズと SafeGuard Portable
を使用して、暗号化されたファイルを復号化し、編集などを行ってから、再び暗
号化してリムーバブルストレージメディアに保存することができます。SafeGuard
Portable はスタンドアロン型アプリケーションなので、暗号化されたデータにア
クセスするために、他のソフトウェアをコンピュータにインストールする必要は
ありません。
注: セキュリティ担当者は、SafeGuard Portable をリムーバブルメディアにコ
ピーするかどうかを、ユーザーのコンピュータに適用するポリシーで指定し
ます。
10.4.1 ファイルから鍵をインポートする
暗号化されたデータを含むリムーバブルメディアを受け取った場合や、ユーザー定
義のローカル鍵を使用して暗号化された共有フォルダ内のクラウドストレージデー
タにアクセスする場合、復号化に必要な鍵を自分の秘密鍵リングにインポートでき
ます。
鍵をインポートするには、適切なパスフレーズが必要です。データを暗号化した人
から、パスフレーズを入手してください。
リムーバブルデバイス上の該当するファイルを選択し、「ファイル暗号化 > ファイ
ルから鍵をインポートする」をクリックします。
46
ユーザーヘルプ
表示されるダイアログで、パスフレーズを入力します。鍵がインポートされ、ファ
イルにアクセスできるようになりました。
10.4.2 ローカル鍵を作成する
ユーザー定義のローカル鍵を作成する方法は次のとおりです。
1. Windows タスクバーの Sophos SafeGuard システムトレイアイコンを右ク
リックします。
2. 「新しい鍵の作成」をクリックします。
3. 「鍵の作成」ダイアログで、鍵の「名前」と「パスフレーズ」を入力しま
す。
鍵の内部名が下のフィールドに表示されます。
4. パスフレーズを確認入力します。
安全でないパスフレーズを入力すると、警告メッセージが表示されます。セキュ
リティレベルを高めるには、複雑なパスフレーズを使用することを推奨します。
警告メッセージを無視して、入力したパスフレーズを使用することもできます。
パスフレーズは、社内ポリシーにも準拠している必要があります。そうでない場
合は、警告メッセージが表示されます。
5. 「ドライブの新しいデフォルトの鍵として使用する」オプションを選択す
ると、この新しい鍵を、表示されているドライブのデフォルトの鍵として
すぐに設定できます。
ここで指定するデフォルトの鍵は、通常の暗号化処理に使用されます。別の鍵を
設定しない限り、この鍵が使用されます。
6. 「OK」をクリックします。
この鍵をデフォルトの鍵として定義した場合、これ以降リムーバブルストレー
ジメディアにコピーされるデータはすべて、この鍵を使用して暗号化されます。
ローカル鍵はバックアップされないため、復旧に使用できません。
受け取り側がリムーバブルストレージメディア上のデータすべてを復号化できる
ようにするには、ローカルで作成した鍵を使用してリムーバブルストレージメディ
ア上のデータを再度暗号化する必要があります。これを行うには、Windows エクス
プローラでそのデバイスのショートカットメニューから「ファイル暗号化 > 暗号化
の開始」を選択します。必要なローカル鍵を選択し、データを暗号化します。メ
ディアパスフレーズを使用する場合、この操作は必要ありません。
47
SafeGuard Easy
10.5 Windows の CD 書き込みウィザードを使用して CD にファ
イルを書き込む
SafeGuard Data Exchange では、Windows の CD 書き込みウィザードを使って、暗号
化されたファイルを CD に書き込むことができます。
それには、CD ドライブに対して暗号化ルールを指定する必要があります。SafeGuard
Data Exchange は、CD 書き込みウィザードにダイアログを 1つ追加します。このダ
イアログで、CD へのファイルの書き込み方法 (暗号化または平文) を指定できます。
注: CD ドライブに対して暗号化ルールが指定されていない場合、ファイル
は常に平文で CD に書き込まれます。CD に書き込まれるファイルの暗号化
の状態を指定できる SafeGuard Data Exchange ダイアログは表示されません。
CD の名前を入力した後、「SafeGuard Removable Disk Burning Extension」が表示され
ます。
「統計」の下に、次の情報が表示されます。
■
CD に書き込むように選択されたファイルの数
■
選択されたファイルのうち暗号化されているファイルの数
■
選択されたファイルのうち平文ファイルの数
「状態」の下に、すでに暗号化されたファイルを暗号化するために使用した鍵が表
示されます。
CD に書き込むファイルの暗号化には、CD ドライブの暗号化ルールで指定されてい
る鍵が常に使用されます。
CD ドライブの暗号化ルールが変更された場合は、CD に書き込むファイルが、異な
る鍵で暗号化されることがあります。ファイルの追加時に暗号化規則が無効になっ
ていた場合、関連する平文ファイルは CD にコピーされるファイルのフォルダ内に
あります。
CD にあるファイルを暗号化する
CD にファイルを書き込むとき暗号化する場合は、「すべてのファイルの (再) 暗号
化」をクリックします。
必要に応じて、すでに暗号化されたファイルは再暗号化され、平文ファイルは暗号
化されます。CD 上で、ファイルは CD ドライブの暗号化ルールで指定された鍵を
使用して暗号化されます。
平文として CD にファイルを書き込む
「すべてのファイルの復号化」を選択した場合、ファイルは復号化されてから CD
に書き込まれます。
48
ユーザーヘルプ
SafeGuard Portable を光学メディアにコピーする
このオプションを選択すると、SafeGuard Portable も CD にコピーされます。これに
より、SafeGuard Data Exchange がインストールされていなくても、SafeGuard Data
Exchange で暗号化されたファイルを読み取り、編集することができるようになりま
す。
10.5.1 Windows Vista および Windows 7 環境で CD/DVD に書き込む
Windows Vista および Windows 7 環境には、CD/DVD 用の CD 書き込みウィザードが
あります。
CD 書き込みウィザード用の SafeGuard Disc Burning Extension は、マスタ形式で
CD/DVD に書き込む場合のみに使用できます。このウィザードは、ファイルをマス
タ形式で CD/DVD に書き込む場合のみ表示されます。
ライブファイルシステム形式の場合、書き込みウィザードは必要ありません。こ
の場合、記録ドライブは他のリムーバブルメディアと同じように使用されます。記
録ドライブに対して暗号化ルールが設定されている場合、ファイルは CD/DVD にコ
ピーされるときに自動的に暗号化されます。
10.6 SafeGuard Portable
SafeGuard Portable を使用すると、受け取り側のマシンに SafeGuard Data Exchange が
インストールされていない場合でも、リムーバブルメディア上の暗号化されたデー
タを交換することができます。SafeGuard Data Exchange で暗号化されたデータは、
SafeGuard Portable を使用して暗号化/復号化できます。SGPortable.exe というプログ
ラムが、リムーバブルメディアに自動的にコピーされます。
注: SafeGuard Portable では、AES 256 で暗号化されたファイルのみを暗号化/
復号化します。
SafeGuard Portable と関連するメディアパスフレーズを併用することで、どのローカ
ル鍵が暗号化に使用されたかに関係なく、暗号化されたファイルすべてにアクセス
できます。ローカル鍵のパスフレーズの場合、その鍵を使用して暗号化されたファ
イルだけにアクセスできます。受け取り側は、暗号化されたデータを復号化し、再
び暗号化できます。
注: メディアパスフレーズやローカル鍵のパスフレーズは、事前に受け取り
側に伝えておく必要があります。
受け取り側は、SafeGuard Data Exchange で作成された既存の暗号化鍵を使用するか、
SafeGuard Portable で新しい鍵を作成することができます (新規ファイルの場合など)。
SafeGuard Portable は、受け取り側のマシンにインストールしたりコピーしたりする
必要はありません。リムーバブルメディアにある状態で使用できます。
49
SafeGuard Easy
注: Sophos SafeGuard ユーザーの場合、通常 SafeGuard Portable は必要ありま
せん。以下の説明は、ユーザーのコンピュータに Sophos SafeGuard がインス
トールされていないため、暗号化されたデータを SafeGuard Portable を使って
編集する必要がある場合を想定しています。
10.6.1 SafeGuard Portable を使用してファイルを編集する
SafeGuard Data Exchange を使用して暗号化されたファイルと、SGPortable という
フォルダを含むリムーバブルメディアを受け取りました。このフォルダには
SGPortable.exe ファイルが含まれています。
1. SGPortable.exe をダブルクリックして、SafeGuard Portable を起動しま
す。
SafeGuard Portable を使用して、リムーバブルメディア上の暗号化されたデータ
を復号化し、再び暗号化することができます。SafeGuard Portable では、Windows
エクスプローラに似た GUI が表示されます。
SafeGuard Portable には、Windows エクスプローラでも表示されるファイルの詳
細情報 (名前、サイズなど) の他に、「鍵」列が表示されます。この列には、デー
タが暗号化されているかが表示されます。ファイルが暗号化されている場合は、
使用された鍵の名前も表示されます。
注: 使用された鍵に関連したパスフレーズを知っている場合のみ、ファイ
ルを復号化できます。
50
ユーザーヘルプ
2. リムーバブルメディア上のファイルを編集するには、ファイルを左クリッ
クして選択し、ショートカットメニュー (右クリックで表示されます) や
「ファイル」メニューから、適切なコマンドを選択します。
ショートカットメニューには、次のコマンドがあります。
暗号化鍵の設定
「鍵の入力」ダイアログを開きます。
このダイアログで、SafeGuard Portable
を使用して暗号化鍵を生成できます。
暗号化
リムーバブルメディア上でアクティブ
になったファイルを暗号化します。暗
号化には、前回使用された鍵が使用さ
れます。
復号化
「パスフレーズの入力」ダイアログを
開きます。このダイアログで、選択し
たファイルを復号化するためのパスフ
レーズを入力します。
暗号化の状態
ダイアログを開き、ファイルの暗号化
の状態を表示します。
コピー先
選択ファイルを指定した任意のフォル
ダにコピーし、復号化します。
削除
アクティブになっているファイルをリ
ムーバブルメディアから削除します。
ツールバーに表示されるアイコンを使用して、「開く」、「削除」、「暗号
化」、「復号化」、および「コピー」の各コマンドを選択することもできます。
10.6.1.1 暗号化鍵を設定する
リムーバルメディア上のファイルを暗号化するための暗号化鍵を作成する方法は次
のとおりです。
1. ショートカットメニューまたは「ファイル」メニューから、「暗号化鍵
の設定」を選択します。
「鍵の入力」ダイアログが表示されます。
2. 鍵の「名前」および「パスフレーズ」を入力します。パスフレーズを「確
認」し、「OK」をクリックします。
パスフレーズは、会社のポリシーに準拠している必要があります。そうでない場
合は、警告メッセージが表示されます。
51
SafeGuard Easy
鍵が作成され、これ以降の暗号化に使用されます。
10.6.1.2 リムーバブルメディアにあるファイルを暗号化する
1. SafeGuard Portable Explorer でファイルを選択し、ショートカットメニュー
から「暗号化」を選択します。
ファイルは、前回 SafeGuard Portable によって使用された鍵で暗号化されます。
SafeGuard Portable Explorer でドラッグアンドドロップを使用してリムーバブル
メディア上に新しいファイルを保存する際、ファイルを暗号化するかを確認する
メッセージが表示されます。
暗号化する場合で、これまで SafeGuard Portable で暗号化を行ったことがないと
きは、鍵を設定するためのダイアログが開きます。このダイアログで、鍵の名前
とパスフレーズを入力し、確認のためにパスフレーズを再度入力します。「OK」
をクリックします。
2. ここで設定した鍵を使って暗号化するファイルを選択し、ショートカット
メニューまたは「ファイル」メニューから、「暗号化」を選択します。
ファイルが暗号化され、完了時にメッセージが表示されます。
注: 新しい鍵を設定しないかぎり、前回 SafeGuard Portable によって使用・
設定された鍵が、以後、SafeGuard Portable を使用して行う暗号化すべてに
使用されます。
10.6.1.3 リムーバブルメディアにあるファイルを復号化する
1. SafeGuard Portable Explorer でファイルを選択し、ショートカットメニュー
から「復号化」を選択します。
メディアパスフレーズまたはローカル鍵のパスフレーズを入力するためのダイ
アログが表示されます。
2. 送り側から取得した適切なパスフレーズを入力し、「OK」をクリックし
ます。
ファイルが復号化されます。
メディアパスフレーズは、ファイルの暗号化にどのローカル鍵が使用されたかに関
わらず、リムーバブルメディア上の暗号化されたファイルすべてへのアクセスを許
可します。ローカル鍵のパスフレーズだけを持っている場合は、この鍵を使って暗
号化されたファイルだけにアクセスできます。
SafeGuard Portable で生成した鍵を使用してファイルが暗号化されている場合、この
ファイルは自動的に復号化されます。
52
ユーザーヘルプ
リムーバブルメディア上のファイルを復号化し、鍵のパスフレーズを入力したら、
次回、同じ鍵を使用して暗号化されたファイルを暗号化/復号化する際、再度パスフ
レーズを入力する必要はありません。
SafeGuard Portable が実行されている間は、パスフレーズを保存します。前回 SafeGuard
Portable によって使用された鍵が、暗号化に使用されます。
ファイルを復号化すると、リムーバブルメディア上で平文として使用可能になりま
す。復号化されたファイルは、SafeGuard Portable を閉じるときに再度暗号化されま
す。
10.6.1.4 SafeGuard Portable を使用して新規ファイルを暗号化する
SafeGuard Portable を使用して、新規ファイルを暗号化された形式でリムーバブルメ
ディアにコピーすることもできます。
1. ドラッグアンドドロップを使用して、目的のファイルを SafeGuard Portable
Explorer に移動します。
ファイルを暗号化するかどうかを確認するメッセージが表示されます。
2. ファイルを暗号化することを確認します。前回使用された鍵でファイルが
暗号化され、リムーバブルメディアにコピーされます。
10.6.1.5 暗号化の状態
ファイルの暗号化状態を確認する方法は次のとおりです。
1. ファイルを選択し、ショートカットメニューまたは「ファイル」メニュー
から「暗号化の状態」を選択します。
暗号化の状態は、SafeGuard Portable Explorer のファイル名の横にある「鍵」列に
も表示されます。
10.6.2 SafeGuard Portable を使用したその他の操作
次の操作を行うこともできます。
■
開く:このメニューコマンドは、SafeGuard Portable の「ファイル」メニュー
だけから使用できます。
このメニューコマンドを使用して暗号化されたファイルを開くと、パスフレー
ズの入力を求められます。パスフレーズを入力し、「OK」をクリックします。
ファイルが復号化されて開きます。
■
■
削除:選択したファイルを削除します。
コピー先:このメニューコマンドは、SafeGuard Portable Explorer で右クリッ
クで表示されるショートカットメニューだけから使用できます。
53
SafeGuard Easy
このコマンドを使用すると、リムーバブルメディアからコンピュータ上の別の
ドライブにファイルをコピーできます。
■
終了:このメニューコマンドは、SafeGuard Portable の「ファイル」メニュー
だけから使用できます。
「終了」を選択すると、SafeGuard Portable が閉じます。
54
ユーザーヘルプ
11 SafeGuard Cloud Storage
「Cloud Storage」モジュールは、クラウド上に保存されるデータをファイルベース
で暗号化する機能です。
クラウド上のデータは従来どおりの方法で利用できます。Cloud Storage では、クラ
ウド上のデータをローカルにコピーすると、透過的に暗号化が行われます。また、
そのデータをクラウド上に保存した際も暗号化が解除されません。
注: Dropbox フォルダにファイルを追加する際、Windows デスクトップの Dropbox
アイコンにファイルをドロップしないでください。ファイルは平文で Dropbox フォ
ルダに保存されます。ファイルを透過的に暗号化するには、直接 Dropbox フォルダ
にコピーするようにしてください。
11.1 Cloud Storage の自動検出
SafeGuard Cloud Storage は、使用しているクラウドストレージのプロバイダを自動
的に検出します。また、同期するフォルダに暗号化ポリシーを自動で設定します。
11.2 Cloud Storage の初期暗号化
SafeGuard Cloud Storage では、データの初期暗号化は実行されません。SafeGuard
Cloud Storage をインストールする前や、ポリシーで有効化する前に保存されたファ
イルは、暗号化されず、平文のまま残ります。
これらのファイルは、Cloud Storage のポリシーが適用されているフォルダにコピー
すると暗号化できます。
11.3 デフォルトの鍵を設定する
SafeGuard Cloud Storage では、クラウドストレージ内の暗号化データに対してデフォ
ルトの鍵を設定できます。フォルダ別にデフォルトの鍵を設定することで、クラウ
ドストレージ内の各サブフォルダを個別の鍵で暗号化できます。デフォルトの鍵
は、SafeGuard のエクスプローラのショートカットメニュー「ファイル暗号化 > デ
フォルトの鍵を設定する...」から設定できます。詳細は、デフォルトの鍵を定義す
る (p. 64) を参照してください。
注: セキュリティ担当者によって Cloud Storage のデフォルトの鍵の使用が許
可されている場合のみ、デフォルトの鍵を設定することができます。許可さ
れている場合、あらかじめ定義されている鍵のリストからデフォルトの鍵を
選択して、クラウドストレージ内のフォルダを暗号化する際に使用できま
す。
55
SafeGuard Easy
注: 暗号化されたファイルを、Sophos Mobile Encryption がインストール済み
の Android デバイスや iOS デバイスで読む場合は、暗号化の際、ローカル鍵
を使用する必要があります。Sophos Mobile Encryption の詳細は、Sophos Mobile
Encryption ヘルプを参照してください。
たとえば、「Dropbox」を使用して複数の取引先と安全にデータを共有する場合、
各取引先ごとに Dropbox 内の個別のサブフォルダにアクセスを許可する必要があり
ます。このような場合、フォルダごとに異なるデフォルトの鍵を設定することでア
クセス許可を設定できます。デフォルトの鍵を設定すると、Sophos SafeGuard によっ
て各サブフォルダに SafeGuard Portable が自動的に追加されるため、取引先は
SafeGuard Cloud Storage なしでサブフォルダ内の暗号化データにアクセスできます。
取引先には鍵を使用するためのパスフレーズを通知します。SafeGuard Portable とパ
スフレーズを使用すると、サブフォルダ内に用意されているデータを復号化できま
す。ただし、サブフォルダごとに異なる鍵で暗号化されているため、他のサブフォ
ルダのデータにはアクセスできません。
11.4 Cloud Storage での SafeGuard Portable の使用
クラウドストレージの共有フォルダを使用して、自宅からクラウドストレージにア
クセスしたり、クラウド上の暗号化データを交換したりする場合に便利です。
SafeGuard Portable を使用すると、SafeGuard Cloud Storage をインストールすること
なく、クラウド上に保存されている暗号化済みデータにアクセスできます。
SafeGuard Cloud Storage で暗号化されたデータは、SafeGuard Portable を使用して暗
号化/復号化できます。SafeGuard Portable の起動には SGPortable.exe が必要ですが、
このファイルは同期フォルダに自動的にコピーされます。
ローカル鍵のパスフレーズの場合、その鍵を使用して暗号化されたファイルだけに
アクセスできます。受け取り側は、暗号化されたデータを復号化し、再び暗号化で
きます。
注: ローカル鍵のパスフレーズは、事前に受け取り側に伝えておく必要があ
ります。
受け取り側は、既存の暗号化鍵を使用するか、SafeGuard Portable で新しい鍵を作成
することができます (新規ファイルの場合など)。
SafeGuard Portable は、受け取り側のマシンにインストールしたりコピーしたりする
必要はありません。クラウドストレージ上に残ります。
SafeGuard Portable の使用方法について、詳細は、SafeGuard Portable を使用してファ
イルを編集する (p. 50) を参照してください。
注: クラウドストレージの同期フォルダにある復号化ファイルは、自動でクラウド
と同期されるため、ファイルをダブルクリックしたり、「開く」メニューを選択し
ても、ファイルが直ちに復号化されることはありません。このような操作を実行す
ると、ファイルの安全な保存場所を選択するダイアログが表示されます。復号化さ
56
ユーザーヘルプ
れたファイルは、SafeGuard Portable の終了時に自動的にワイプされません。SafeGuard
Portable を使用して復号化した Cloud Storage のファイルに変更を加えた場合、変更
内容は元の暗号化ファイルに反映されません。
注: クラウドストレージの同期フォルダは、リムーバブルメディアやネットワーク
に保存しないでください。そのようにした場合、SafeGuard Portable で復号化した
ファイルが同期フォルダに保存されます。このような場合は SafeGuard Portable を使
用せず、同期フォルダを固定ハードディスクに移動するようにしてください。
57
SafeGuard Easy
12 Sophos SafeGuard と Opal 準拠の自己暗号化ハード
ドライブ
自己暗号化ハードドライブは、データがハードディスクに書き込まれると同時に
ハードウェアベースで暗号化します。Opal は Trusted Computing Group (TCG) によっ
て策定・公開されている、特定のベンダに依存しない暗号化標準仕様です。さまざ
まなベンダ製のハードドライブが Opal 仕様に準拠しています。Sophos SafeGuard で
は Opal 準拠のハードドライブを使用できます。詳細は、
http://www.sophos.com/ja-jp/support/knowledgebase/113366.aspx を参照してください。
12.1 Opal 準拠のハードドライブを暗号化する
Opal 準拠のハードドライブは、自己暗号化機能を備えています。データはハード
ディスクに書き込まれるときに自動的に暗号化されます。
Opal 準拠のハードドライブは、Opal パスワードとして使用される AES 128/256 鍵を
使ってロックされます。このパスワードは、暗号化ポリシーを使って Sophos SafeGuard
によって管理されます。セキュリティ担当者は、SafeGuard Policy Editor でこの暗号
化ポリシーを定義し、ユーザーのコンピュータに展開します。
12.2 Opal 準拠のハードドライブのあるエンドポイントのシス
テムトレイアイコンとエクスプローラのショートカット
メニュー
Sophos SafeGuard がユーザーのコンピュータにインストールされると、タスクバー
のシステムトレイに Sophos SafeGuard の製品アイコンが表示されます。これを使っ
て、コンピュータ上の、Sophos SafeGuard で提供される重要な機能のすべてにアク
セスすることができます。使用可能な機能は、セキュリティ担当者が指定した設定
に依存します。
セキュリティ担当者がポリシーを使って、Opal 準拠のハードドライブの復号化を
ユーザーに対して有効に設定した場合、Windows エクスプローラのショートカット
メニューに Sophos SafeGuard の「復号化」コマンドが表示されます。
58
ユーザーヘルプ
13 システムトレイアイコンとツールチップ
以下の機能は、システムトレイアイコンから利用できます。
■
表示:
■
鍵リング:
使用可能なすべての鍵を表示します。
注: Sophos SafeGuard Client では、ドライブのボリュームベースの暗号
化およびファイルベースの暗号化のために、定義済みのコンピュータ
鍵が使用されます。この鍵はダイアログに表示されません。コンピュー
タでローカルに作成された鍵のみ表示されます。鍵を作成しなかった
場合、このダイアログには何も表示されません。
■
■
ユーザー証明書:証明書に関する情報を表示します。
■
企業証明書:使用している企業証明書の情報を表示します。
新しい鍵の作成:
新しい鍵を作成するためのダイアログが開きます。この鍵は、リムーバブルメ
ディアを使用してデータを交換するときに使用されます。
■
鍵バックアップ:
鍵ファイルのバックアップを作成できます。この鍵ファイルは、チャレンジ/レ
スポンスによるログオン復旧に必要です。
■
Local Self Help:
該当するポリシーを使用して、コンピュータで Local Self Help をアクティブにし
た場合、システムトレイアイコンのショートカットメニューに「Local Self Help」
コマンドが表示されます。このコマンドを使用すると、Local Self Help ウィザー
ドを起動できます。Local Self Help は、ヘルプデスク担当者の支援を必要としな
いログオン復旧手段です。
■
User Machine Assignments:
SafeGuard Power-on Authentication で Sophos SafeGuard ユーザー (ユーザータイプ:
SGN ユーザー) としてログオンできるユーザー、および Windows で Sophos
SafeGuard Windows ユーザー (ユーザータイプ: SGN Windows ユーザー) としてロ
グオンできるユーザーの一覧を表示します。Sophos SafeGuard Windows ユーザー
は、SafeGuard POA には追加されませんが、Sophos SafeGuard ユーザーと同様に、
暗号化されたファイルにアクセスするための鍵リングを使用できます。該当する
ポリシーがコンピュータに適用されている場合、表示されるダイアログで、両方
59
SafeGuard Easy
のユーザータイプを削除できます。「User Machine Assignments」ダイアログで、
Sophos SafeGuard Windows ユーザーは、「SGN Windows ユーザー」チェックボッ
クスにチェックマークが付いています。
■
状態:Sophos SafeGuard で保護対象のコンピュータの現在の状態を示すダイアログ
を表示します。
フィールド
情報
前回ポリシーを受信した日時
前回コンピュータが新しいポリシーを受信し
た日時を表示します。
前回鍵を受信した日時
前回コンピュータが新しい鍵を受信した日時
を表示します。
前回証明書を受信した日時
前回コンピュータが新しい証明書を受信した
日時を表示します。
SGN ユーザーの状態
コンピュータにログオンしているユーザー
(Windows ログオン) の状態を表示します。
■ 保留中:
ユーザーが Sophos SafeGuard ユーザーとし
て Sophos SafeGuard に割り当てられている
最中に表示されます。ユーザーのデータが
処理されるまで待ちます。完了後、ユー
ザーの状態が自動的に SGN ユーザー
(Sophos SafeGuard ユーザー) に変わります。
■ SGN ユーザー:
ユーザーが Sophos SafeGuard ユーザーとし
て Sophos SafeGuard に割り当て済みの場合
に表示されます。
■ SGN ゲスト:
Windows にログオンしているユーザーが
Sophos SafeGuard ゲストユーザーの場合に
表示されます。ユーザーは Sophos SafeGuard
で保護されているこのコンピュータに
Sophos SafeGuard ユーザーとして割り当て
られていませんが、Windows へのログオン
は許可されています。
■ SGN ゲスト (サービスアカウント):
Windows にログオンしているユーザーは、
管理タスク用のサービスアカウントを使
用してログオンした Sophos SafeGuard ゲス
トユーザーです。
60
ユーザーヘルプ
フィールド
情報
■ SGN Windows ユーザー
Windows にログオンしているユーザーは、
Sophos SafeGuard Windows ユーザーです。
Sophos SafeGuard Windows ユーザーは、
SafeGuard POA には追加されませんが、
Sophos SafeGuard ユーザーと同様に、暗号
化されたファイルにアクセスするための鍵
リングを使用できます。ユーザーは、
Windows にログオンすると、だたちに User
Machine Assignment に追加されます。
■ 不明:
ユーザーの状態が判断できなかったことを
示します。
Local Self Help (LSH) の状態
有効
アクティブ
■
ポリシーで Local Self Help が有効になっている
か、また、ローカルコンピュータでアクティ
ブ化されているかを示します。
ヘルプ
Sophos SafeGuard のオンラインヘルプを起動します。
■
Sophos SafeGuard のバージョン情報
Sophos SafeGuard のバージョン情報を表示します。
システムトレイアイコンのツールチップから、コンピュータが Sophos SafeGuard
Client (スタンドアロン型) であることがわかります。
注:
ツールチップは、初期同期が正常に完了したことを示します。
初期同期が正常に完了したら、コンピュータを再起動してください。コンピュータ
の再起動後に、はじめて Sophos SafeGuard のすべての機能が利用可能になります。
13.1 User Machine Assignment からユーザーを削除する
すべての SGN ユーザーおよび SGN Windows ユーザーは、「User Machine Assignment」
というリストで管理されます。SGN ユーザーや、サービスアカウントを使用してロ
グオンした SGN ゲストは、他の SGN ユーザーや SGN Windows ユーザーを削除する
ことができます。サービスアカウントを使用してログインした SGN ゲストは、イ
ンストール後、SafeGuard Power-on Authentication が有効になる前に管理タスクを実
61
SafeGuard Easy
行できます。SGN Windows ユーザーは、他の SGN Windows ユーザーを削除するこ
とができます。
削除された SGN ユーザーは、以後、SafeGuard Power-on Authentication でログオンで
きず、削除された SGN Windows ユーザーは、以後、Windows でログオンできませ
ん。
注: SGN Windows ユーザーとしてログオンした場合、 SGN ユーザーを削除すること
はできません。
注: 現在ログオンしているユーザー、およびリスト内の最後のユーザーを削除する
ことはできません。
SGN ユーザーを削除する方法は次のとおりです。
1. システムトレイアイコンを右クリックします。
2. システムトレイアイコンのショートカットメニューで、「User Machine
Assignments」を選択します。「User Machine Assignments」ダイアログに、
Sophos SafeGuard ユーザー (SGN ユーザー) および Sophos SafeGuard Windows
ユーザー (SGN Windows ユーザー) の一覧が表示されます。
3. ユーザーを選択して、「選択したユーザーの削除」をクリックします。す
べての Sophos SafeGuard Windows ユーザーを一覧から削除するには、「SGN
Windows ユーザーすべてを削除する」をクリックします。削除されたユー
ザーは、以後、SafeGuard Power-on Authentication や Windows でログオン
することはできません。
4. 「OK」をクリックします。
これでユーザーは、SafeGuard Power-on Authentication や Windows でログオンするこ
とはできなくなりました。
62
ユーザーヘルプ
14 エクスプローラのショートカットメニューから暗
号化機能にアクセス
Windows エクスプローラのショートカットメニューから、暗号化関連の機能にアク
セスすることができます。
注: 表示される機能は、ポリシーで定義された設定によって異なります。ま
た、選択したエクスプローラの項目で、その機能を使用できるかどうかに
よっても異なります。さらに、選択したボリューム/フォルダ/ファイルに対
して、ファイルベースの暗号化とボリュームベースの暗号化のどちらが使
用されたかによっても異なります。
14.1 エクスプローラのショートカットメニュー: ファイルベー
スの暗号化用
ファイルベースの暗号化の各機能 (Data Exchange、Cloud Storage) は、Windows エク
スプローラのショートカットメニューからアクセスすることができます。次のアイ
テムのショートカットメニューからアクセスできます。
■
ボリューム
■
リムーバブルメディア
■
フォルダ
■
ファイル
メニューに表示される機能は、コンピュータにインストールされているコンポーネ
ントにより異なります。
「ファイル暗号化」というエントリがショートカットメニューに追加されます。こ
のメニューから、個々の機能にアクセスできます。
ファイルベースの暗号化ポリシーが選択したボリュームに適用されていない場合、
ショートカットメニューでは、暗号化の状態を確認し、新しい鍵を生成するダイア
ログを表示することしかできません。
ファイルベースの暗号化ポリシーが選択したボリューム、リムーバブルメディア、
ディレクトリまたはファイルに適用されている場合、暗号化関連のエントリがショー
トカットメニューに追加されます。
注: 表示される機能は、ポリシーで定義された設定によって異なります。ま
た、選択したボリュームで、その機能を使用できるかどうかによっても異な
ります。さらに、選択したボリュームに対して、ファイルベースの暗号化と
ボリュームベースの暗号化のどちらが使用されたかによっても異なります。
63
SafeGuard Easy
アクセスできる機能は次のとおりです。
■
暗号化の開始:ボリュームのショートカットメニューでこのオプションを
選択すると、すべてのファイルを暗号化するか、再暗号化することができ
ます。
■
暗号化の状態の表示:ボリューム、リムーバブルメディアまたはファイル
が暗号化されているかどうか、どの鍵が使用されているか、鍵が鍵リング
に含まれているかどうか、およびファイルへのアクセス権限があるかどう
かを示します。
■
復号化:選択したボリュームまたはファイルを復号化します。
■
デフォルトの鍵:ボリュームに (保存、コピーまたは移動により) 追加され
る新規ファイルに対して、現在使用している鍵を示します。デフォルトの
鍵は、ボリュームやリムーバブルメディアごとに個別に設定できます。
■
デフォルトの鍵を設定する:別のデフォルトの鍵を設定するためのダイア
ログを開きます。
■
新しい鍵の作成:ユーザー定義のローカル鍵を作成するためのダイアログ
を開きます。
■
暗号化の再有効化:セキュリティ担当者によって許可されている場合は、
コンピュータに接続しているリムーバブルメディア上のファイルを暗号化
するかどうかをユーザーが選択できます。リムーバブルメディアをコン
ピュータに接続すると、メディア上のファイルを暗号化するかどうかを確
認するメッセージが表示されます。また、セキュリティ担当者によって許
可されている場合は、ここでの選択を保存するか確認メッセージが表示さ
れます。「この設定を保存し、次回からこのダイアログを表示しない」を
選択すると、該当するメディアに対して確認メッセージが再度表示されま
せん。また、Windows エクスプローラで、対象のデバイスを右クリックす
ると、新しいオプション「暗号化の再有効化」が表示されるようになりま
す。暗号化の設定を元に戻す場合は、このメニューを選択します。デイバ
イスへの十分な権限がないなどの理由で選択できない場合は、エラーメッ
セージが表示されます。設定を元に戻すと、当該のデバイスに対する設定
を確認するメッセージが再び表示されます。
14.1.1 デフォルトの鍵を定義する
デフォルトの鍵を定義すると、SafeGuard Data Exchange や SafeGuard Cloud Storage の
暗号化処理で使用する既定の鍵が指定されます。
次の項目のショートカットメニューからデフォルトの鍵を定義できます。
■
64
リムーバブルメディア上のファイル
ユーザーヘルプ
■
リムーバブルメディア
■
Cloud Storage の同期フォルダまたはサブフォルダ
■
Cloud Storage の同期フォルダまたはサブフォルダに保存されているファイル
■
また、「鍵の作成」ダイアログで新しいローカル鍵を作成するときに、ただちに
その鍵をデフォルトに指定することもできます。
デフォルトの鍵を定義する方法は次のとおりです。
鍵を選択するためのダイアログを開くには、「ファイル暗号化 > デフォルトの鍵を
設定する」を選択します。
このダイアログで選択した鍵は、以後、このリムーバブルストレージメディア上、
または Cloud Storage の同期フォルダ内で行われる暗号化処理すべてに使用されま
す。別の鍵を使用する場合は、いつでもデフォルトの鍵を新たに設定できます。
注: Cloud Storage の暗号化にローカル鍵を選択した場合は、SafeGuard Portable
が Cloud Storage の同期フォルダにコピーされます。
暗号化に使用するデフォルトの鍵は、ポリシーで指定できます。デフォルトの鍵が
ポリシーで指定されていない場合で、その設定が許可されているときは、最初のデ
フォルトの鍵を指定するように求められます。
14.1.2 ファイルから鍵をインポートする
暗号化されたデータを含むリムーバブルメディアを受け取った場合や、ユーザー定
義のローカル鍵を使用して暗号化された共有フォルダ内のクラウドストレージデー
タにアクセスする場合、復号化に必要な鍵を自分の秘密鍵リングにインポートでき
ます。
鍵をインポートするには、適切なパスフレーズが必要です。データを暗号化した人
から、パスフレーズを入手してください。
リムーバブルデバイス上の該当するファイルを選択し、「ファイル暗号化 > ファイ
ルから鍵をインポートする」をクリックします。
表示されるダイアログで、パスフレーズを入力します。鍵がインポートされ、ファ
イルにアクセスできるようになりました。
14.2 エクスプローラのショートカットメニュー: ボリューム
ベースの暗号化用
「暗号化」というエントリが Windows エクスプローラのショートカットメニュー
に追加されます。
ボリュームが暗号化されている場合、メニューのエントリの横に鍵の記号が表示さ
れます。
65
SafeGuard Easy
注: 「ファイル暗号化 > 暗号化の状態の表示」オプションは、選択したボ
リューム上のファイルの、ファイルベースの暗号化の状態を表示します。な
お、暗号化されたボリューム上のファイルを、ファイルベースの暗号化方式
で暗号化することもできます。この場合は、その状態がダイアログに表示さ
れます。
66
ユーザーヘルプ
15 復旧オプション
Sophos SafeGuard には、パスワードを忘れた場合など、さまざまな復旧シナリオに
合わせていくつかのオプションが用意されています。
■
Local Self Help によるログオン復旧
パスワードを忘れた場合は、Local Self Help を使用することで、ヘルプデスクの
支援を受けずにコンピュータにログオンできます。電話もネットワーク接続も利
用できない状況 (飛行機に乗っている場合など) でも、コンピュータにアクセス
できるようになります。ログオンするために必要なことは、SafeGuard Power-on
Authentication で事前に定義されたいくつかの質問に答えるだけです。
詳細は、Local Self Help による復旧 (p. 68) を参照してください。
■
チャレンジ/レスポンスによる復旧
チャレンジ/レスポンスは、コンピュータにログオンできない場合や暗号化され
たデータにアクセスできない場合にユーザーを支援するための、安全性および効
率性の高い復旧システムです。チャレンジ/レスポンスでは、コンピュータで生
成されたチャレンジコードをヘルプデスク担当者に渡すと、ヘルプデスク担当
者はそのコンピュータでの特定の処理の実行を認証するレスポンスコードを生
成してくれます。
詳細は、チャレンジ/レスポンスによる復旧 (p. 78) を参照してください。
どちらの復旧オプションも、セキュリティ担当者がポリシーで定義することにより
使用が許可されます。
67
SafeGuard Easy
16 Local Self Help による復旧
パスワードを忘れた場合は、Local Self Help を使用することで、ヘルプデスクの支援
を受けずにコンピュータにログオンできます。
Local Self Help を使用すると、電話もネットワーク接続も利用できないためにチャレ
ンジ/レスポンスを使用できない場合 (飛行機に乗っている場合など) に再度アクセ
スできます。コンピュータにログオンするには、SafeGuard Power-on Authentication
で事前に定義された質問に指定の数だけ回答します。
セキュリティ担当者は、回答の必要な質問を定義し、それをエンドポイントに配布
できます。また、ユーザー独自の質問を定義することもできます (関連するポリシー
でユーザーにその権限が与えられている場合)。Local Self Help ウィザードの指示に
従って、最初の回答を入力したり、質問を編集したりできます。Local Self Help ウィ
ザードを開くには、Windows タスクバーの Sophos SafeGuard システムトレイアイ
コンをクリックします。
Local Self Help による復旧は、SafeGuard Power-on Authentication での次のログオン方
法で使用できます。
■
ユーザー名とパスワードを使ったログオン
■
指紋を使ったログオン
■
非暗号化トークンを使ったログオン。ユーザー ID とパスワードを使ったログオ
ンモードも、ポリシーで有効になっている場合。
前提条件
ログオン復旧に Local Self Help を使用する場合は、次の前提条件が満たされている
必要があります。
■
セキュリティ担当者が、ポリシーで Local Self Help を有効にし、この機能の詳細
(ユーザー独自の質問を定義する権限など) を設定してある。
■
ユーザーが自分のコンピュータで Local Self Help をアクティブにしてある (Local
Self Help をアクティブにする (p. 68) を参照してください)。
16.1 Local Self Help の有効化
Local Self Help を使用する権限をユーザーに与えるポリシーが有効になった後、ユー
ザーは、受信した事前に定義された質問に回答するか、ユーザー独自の質問を定義
し、それに回答して、この機能をアクティブにする必要があります。
Local Self Help は、事前に定義された数の質問にユーザーが回答し、それを保存して
はじめてユーザーのコンピュータでアクティブになります。セキュリティ担当者
は、ユーザーが回答する必要のある質問数を指定します。Local Self Help ウィザード
68
ユーザーヘルプ
に従って操作を行います。ウィザードに、回答が必要な質問の数が表示されます。
ポリシーの設定に応じて、次のシナリオが考えられます。
■
ユーザーは事前に定義された質問を受信しているが、ユーザー独自の質問を定義
する権限を与えられていない。
受信した事前に定義された質問のうち、事前に定義された数の質問に回答して、
それを保存します。Local Self Help ウィザードに、回答が必要な質問の数が表示
されます。
■
ユーザーは事前に定義された質問を受信しており、ユーザー独自の質問を定義す
る権限を与えられている。
事前に定義された質問、あるいはユーザー自身が定義した質問、またはその両方
の質問のうち、必要な数の質問に回答して、それを保存します。
■
ユーザーは事前に定義された質問を受信していないが、ユーザー独自の質問を定
義する権限を与えられている。
必要な数の質問を定義、回答し、それを保存します。
注: Local Self Help を使用して SafeGuard Power-on Authentication でログオンするに
は、Local Self Help にて回答した質問の中から、ランダムに選択された質問に回答す
る必要があります。セキュリティ担当者は、ユーザーが SafeGuard POA で回答する
必要のある質問数を指定します。
前提条件:ポリシーの受信後、未回答の Local Self Help の質問があることがツールチッ
プに表示されます。コンピュータを再起動して、Windows タスクバーのシステム
トレイアイコンのショートカットメニューに、「Local Self Help」コマンドを追加
します。
Local Self Help を有効にする方法は次のとおりです。
1. Windows タスクバーの Sophos SafeGuard システムトレイアイコンを右ク
リックします。
2. 「Local Self Help」を選択します。
「Local Self Help ウィザードへようこそ」ダイアログが表示されます。
セキュリティ上の理由から、パスワードを入力するように求められます。
3. パスワードを入力し、「次へ」をクリックします。
「状態の概要」ダイアログが表示されます。
このダイアログには、Local Self Help をアクティブにする方法が表示されます。
さらに、ステータス情報 (ユーザー定義の質問の回答数や、事前定義済みの質問
の回答数など) も表示されます。
69
SafeGuard Easy
4. 「次へ」をクリックします。
有効なポリシーを使って事前に定義された質問を受信した場合は、「事前に定義
された質問」ダイアログが表示されます。
■
異なる質問のテーマを複数受信した場合は、「テーマ」フィールドの
ドロップダウンリストに表示される質問のテーマの中から選択できま
す。
■
すべてのテーマを連続リストに表示するには、ドロップダウンリスト
の「すべてのテーマ」(デフォルト) オプションを選択します。
■
質問に回答するには、対象となる質問をクリックし、「回答」列に回
答を入力します。
■
回答を入力し終わると、入力したテキストが非表示になります。テキ
ストを表示するには、「回答を表示する」を選択します。
5. 事前に定義された質問への回答が終わったら、「次へ」をクリックしま
す。
6. ユーザー独自の質問を定義する権限が与えられている場合は、「ユーザー
定義の質問と回答」ダイアログが表示されます。
a) 新しい質問を追加するには、「新しい質問」をクリックします。
新しい行が質問のリストに追加されます。
b) 「質問」列に質問を入力し、「回答」列にその回答を入力します。
回答を入力し終わると、入力したテキストが非表示になります。
c) テキストを表示するには、「回答を表示する」を選択します。
注: SafeGuard Power-on Authentication での復旧プロセス中に質問に回答す
るときは、Local Self Help ウィザードで入力したとおりに正確に回答を入
力する必要があります。たとえば、Local Self Help での回答は大文字と小
文字が区別されます。
全角文字には対応していないので、回答を入力するときは必ず半角文字を使用し
てください。そうしないと、SafeGuard POA で質問に回答するときに回答が一致
しなくなります。
7. ユーザー独自の質問の定義と回答が終わったら、「次へ」をクリックしま
す。
Local Self Help ウィザードの最後のダイアログには、質問に回答した後の新しい
状態情報が表示されます。メッセージに、Local Self Help をアクティブにするた
めの前提条件が満たされたかどうかが表示されます。
70
ユーザーヘルプ
8. 「完了」をクリックします。
質問と回答が保存されます。Local Self Help が正常にアクティブになったことを
示すメッセージが表示されます。
9. 「OK」をクリックします。
これで、Local Self Help がご使用のコンピュータでアクティブになりました。Local
Self Help は、SafeGuard Power-on Authentication でのログオン復旧に使用できます。
16.2 質問を編集する
コンピュータで Local Self Help をアクティブにした後は、いつでも質問を編集でき
ます。
■
事前に定義された質問の場合は、最初に質問に回答するときに入力した回答を変
更できます。ただし、事前に定義された質問を削除することはできません。
■
ユーザー定義の質問の場合は、最初に質問に回答するときに入力した回答の変
更、新しい質問の追加、または質問の削除を行うことができます。
1. Windows タスクバーの Sophos SafeGuard システムトレイアイコンを右ク
リックします。
2. 「Local Self Help」を選択します。
「Local Self Help ウィザードへようこそ」ダイアログが表示されます。
セキュリティ上の理由から、パスワードを入力するように求められます。
3. パスワードを入力し、「次へ」をクリックします。
「状態の概要」ダイアログが表示されます。
このダイアログには、Local Self Help をアクティブにする方法が表示されます。
さらに、ステータス情報 (ユーザー定義の質問の回答数や、事前定義済みの質問
の回答数など) も表示されます。
4. 「次へ」をクリックします。
a) 事前に定義された質問を受信して回答した場合は、回答された質問を
含む「事前に定義された質問」ダイアログが表示されます。
b) 異なる質問のテーマを複数受信した場合は、「テーマ」フィールドの
ドロップダウンリストに表示される質問のテーマの中から選択できま
す。
c) すべてのテーマを連続リストに表示するには、ドロップダウンリスト
の「すべてのテーマ」(デフォルト) オプションを選択します。
71
SafeGuard Easy
デフォルトでは、入力された回答は表示されません。
d) 入力されたテキストを表示するには、「回答を表示する」チェックボッ
クスを選択します。
e) 回答を変更するには、対象となる質問をクリックし、「回答」列に新
しい回答を入力します。
5. 「次へ」をクリックします。ユーザー独自の質問を定義する権限が与えら
れている場合は、「ユーザー定義の質問と回答」ダイアログが表示されま
す。デフォルトでは、入力された回答は表示されません。
a) 入力されたテキストを表示するには、「回答を表示する」チェックボッ
クスを選択します。
b) 既存の回答を変更するには、対象となる質問をクリックし、「回答」
列に新しい回答を入力します。
c) 新しい質問を追加するには、「新しい質問」をクリックします。
新しい行が質問のリストに追加されます。「質問」列に質問を入力し、
「回答」列にその回答を入力します。
d) 質問を削除するには、対象となる質問をクリックし、「質問の削除」
をクリックします。
質問を削除してもよいか確認を求めるメッセージが表示されます。「は
い」をクリックします。
6. 「次へ」をクリックします。
Local Self Help ウィザードの最後のダイアログには、質問を編集した後の新しい
状態情報が表示されます。Local Self Help を引き続きアクティブにしておくため
に必要な前提条件が満たされたかどうかを示すメッセージが表示されます。
7. 「完了」をクリックします。
質問と回答が保存されます。編集手順が正常に完了し、Local Self Help が引き続
きアクティブになっていることを示すメッセージが表示されます。
8. 「OK」をクリックします。
変更が有効になります。
次回 SafeGuard Power-on Authentication で Local Self Help を起動すると、変更された
質問または新しい質問がランダムに選択されて表示されます。変更された回答また
は新しい回答が適用されます。
72
ユーザーヘルプ
注: 変更を行ったために、回答済みの質問の数が必要な最小数を下回ってしまう場
合は、Local Self Help ウィザードの最後のダイアログに、ウィザードを閉じた後に
Local Self Help がアクティブにならないことを示す警告メッセージが表示されます。
Local Self Help を非アクティブにしたくない場合は、「戻る」ボタンをクリックし
て、「ユーザー定義の質問と回答」や「事前に定義された質問」に戻ることができ
ます。そして、新しい質問を追加したり、新たな質問に回答したりできます。回答
済みの質問の数が必要な最小数を下回っているにもかかわらず「完了」をクリック
した場合は、コンピュータで Local Self Help がアクティブに設定されなかったこと
を示す警告メッセージが表示されます。ただし、この場合、いつでも Local Self Help
を再度アクティブにできます (Local Self Help をアクティブにする (p. 68) を参照して
ください)。
16.3 質問に関する条件の変更
セキュリティ担当者が、Local Self Help での質問に関して定義できる条件は次のとお
りです。
■
コンピュータで Local Self Help をアクティブにするために、ユーザーが Local Self
Help ウィザードで回答する必要のある質問数。Local Self Help をアクティブな状
態に保つには、指定されている数の質問に対する回答を用意する必要がありま
す。
■
Local Self Help を使用してログオンするために、ユーザーが SafeGuard POA で回
答する必要のある質問数。SafeGuard POA で表示される質問は、Local Self Help
ウィザードでユーザーが回答した質問の中からランダムに選択されます。
コンピュータに新しいポリシーが適用され、この 2つの条件が変更されると、次の
状況が発生することがあります。
状況
LSH の処理
必要なユーザー操作
Local Self Help ウィザード
で回答しなければならな
い質問の数が変更された
が、Local Self Help のアク
ティブ化に必要な数の回
答がローカルコンピュー
タで作成済みである。
Local Self Help はローカル
コンピュータでアクティ
ブな状態に保たれます。
なし
Local Self Help ウィザード
で回答しなければならな
い質問の数が変更され、
Local Self Help のアクティ
ブ化に必要な数の回答が
Local Self Help の設定が変
更されたことを示すメッ
セージが表示されます。
ローカルコンピュータに
ある質問は無効になりま
す。Local Self Help はロー
Local Self Help を再度アク
ティブにするには、Local
Self Help ウィザードを開
き、ウィザードの指示に
従ってください。
73
SafeGuard Easy
状況
LSH の処理
ローカルコンピュータで
作成されていない。
カルコンピュータで非ア
クティブになります。
SafeGuard POA で Local Self
Help を使ってログオンす
るために回答しなければ
ならない質問数が変更さ
れた。
Local Self Help の設定が変
更されたことを示すメッ
セージが表示されます。
ローカルコンピュータに
ある質問は有効のまま残
ります。使用できる質問
と有効な回答の比率が変
更されました。
必要なユーザー操作
Local Self Help ウィザード
を開き、ウィザードの指
示に従ってください。
16.4 Local Self Help の状態や条件が編集中に変更される
Local Self Help での質問に関する条件は、ユーザーが Local Self Help ウィザードで質
問を定義・編集している途中で変更されることがあります。たとえば、Local Self
Help の新しい設定を含む新規ポリシーや Local Self Help の新しい質問が、会社固有
の配布方法でユーザーのコンピュータに転送された場合などです。
編集中にこのような変更が発生すると、定義した質問や回答が以降無効になり、
Local Self Help をユーザーのコンピュータでアクティブにしたり、その状態を継続し
たりするために必要な質問が不足する可能性があります。
したがって、Local Self Help ウィザードでの質問の定義・編集が終わるたびに、以下
の条件が当てはまるかどうかがチェックされ、該当する処理が実行されます。
74
状況
LSH ウィザードの処理
結果
新しいポリシーで Local
Self Help がグローバルに
無効化された。
Local Self Help がグローバルに無
効になったことを示すメッセージ
が表示され、ウィザードが閉じま
す。
Local Self Help はこ
れ以降使用できな
くなります。
新しいポリシーにより、
Local Self Help での質問に
関する条件 (回答の最小
長、ユーザー独自の質問
を定義する権限、回答す
る必要のある質問数) が変
更された。ただし、Local
Self Help は無効化されて
いない。
Local Self Help での質問に関する
条件が変更されたことを示すメッ
セージが表示され、ユーザーの変
更が保存され、ウィザードが閉じ
ます。
Local Self Help はコ
ンピュータでアク
ティブなままなの
で、ログオンの復
旧に使用できま
す。ただし、使用
できる質問と有効
ユーザーヘルプ
状況
LSH ウィザードの処理
ローカルコンピュータで
定義した質問と回答は引
き続き有効であるため、
Local Self Help はアクティ
ブな状態を保っている。
新しいポリシーにより、
Local Self Help での質問に
関する条件 (回答の最小
長、ユーザー独自の質問
を定義する権限、回答す
る必要のある質問数) が変
更された。Local Self Help
は無効化されていない。
ただし、ユーザーが定義
した質問と回答が無効に
なったため、Local Self
Help のアクティブ化に必
要な数の回答がローカル
コンピュータで作成され
ていない。
結果
な回答の比率が変
わる可能性があり
ます。元の比率に
戻すには、質問や
回答の追加/削除が
必要です。
Local Self Help での質問に関する
条件が変更されたことを示すメッ
セージが表示されます。Local Self
Help はコンピュータで非アクティ
ブになります。ユーザーはウィ
ザードを再実行することが推奨さ
れます。ウィザードが閉じます。
Local Self Help をア
クティブにするに
は、Local Self Help
ウィザードを再実
行し、質問と回答
をもう一度定義し
てください。その
後、ログオン復旧
のために Local Self
Help を使用できる
ようになります。
75
SafeGuard Easy
16.5 Local Self Help を使って SafeGuard POA でログオンする
1. 「SafeGuard POA ログオン」ダイアログで、「復旧」ボタンをクリックし
ます。
■
ログオン復旧のために Local Self Help だけが有効になっている場合は、
Local Self Help が開始します。
■
ログオン復旧のために Local Self Help とチャレンジ/レスポンスの両方が
使用可能になっている場合は、いずれかの復旧方法を選択するための
ダイアログが表示されます。「Local Self Help」をクリックします。
注: 通常、トークンやスマートカードを使って SafeGuard Power-on
Authentication でログオンしている場合は、まず、コンピュータからトー
クン/スマートカードを取り出してください。その後、ユーザー名とパス
ワードでログオンするための SafeGuard POA ダイアログが表示されます。
ユーザー情報を入力して、「復旧」ボタンをクリックしてください。
「Local Self Help へようこそ」ダイアログが表示されます。
このダイアログには、実行する手順についての簡単な説明が表示されます。
2. 「次へ」をクリックして、質問への回答を開始します。
最初の質問が表示されます。
3. 回答を入力します。
デフォルトでは、セキュリティ上の理由から入力されたテキストは入力フィール
ドに表示されません。回答を表示するには、「回答を非表示にする」チェック
ボックスを選択から外します。
4. 質問に回答した後で、「次へ」をクリックします。
回答を入力してからでないと、「次へ」をクリックして次の質問に進むことはで
きません。
5. 残りの質問に回答します。最後の質問に回答した後で、「OK」をクリッ
クします。
次に表示されるダイアログで、現在のパスワードを表示できます。
76
ユーザーヘルプ
6. パスワードを表示するには、「Enter」キーまたは「スペース」キーを押
すか、青いボックスをクリックします。
注:
「OK」はクリックしないよう注意してください。「OK」をクリックすると、パ
スワードを表示せずに起動処理が続行されます。
パスワードは最大 5秒間表示されます。その後、スタートアップ処理が自動的に
続行されます。
注: 権限のないユーザーに、偶然または故意に画面の内容を見られないよ
う十分注意してください。パスワードは、「スペース」キーや「Enter」
キーを押すか、青い表示ボックスをクリックして、すぐに非表示にするこ
とができます。
7. 読み取ったパスワードは、SafeGuard Power-on Authentication さらに Windows
へのログオンを再度実行する際に使用します。
8. パスワードを読み取った後で、「OK」をクリックします。クリックしな
い場合、パスワードを表示してから 5秒後に起動処理が自動的に続行され
ます。
これで、SafeGuard Power-on Authentication さらに Windows にログオンできました。
16.6 ログオンの失敗
1つまたは複数の質問に対して間違った回答を入力すると、ログオンに失敗します。
この場合は、ログオンに失敗したことを示すメッセージが表示されます。セキュリ
ティ上の理由から、Local Self Help ではどの回答が間違っていたか表示されません。
Local Self Help の復旧操作の失敗もログオンの失敗と見なされ、イベントとしてログ
に記録されます。この場合、次にログオンできるまで待機時間が発生します。待機
時間はログオンに失敗するたびに長くなります。
ログオンに失敗した後にコンピュータを再起動し、Local Self Help によるログオン復
旧を再度選択した場合は、質問が再びランダムに選択されます。
77
SafeGuard Easy
17 チャレンジ/レスポンスによる復旧
復旧時に情報を暗号化して交換できるよう、Sophos SafeGuard には「チャレンジ/レ
スポンス」が用意されています。
注:
パスワードを忘れた場合、Local Self Help を使用して復旧することを推奨します。
ユーザーは Local Self Help で既存のパスワードを表示でき、そのパスワードを引き
続き使用できます。したがって、パスワードの再設定を行ったり、ヘルプデスク担
当者に依頼したりする必要がなくなります。
チャレンジ/レスポンスでの接続中に、ユーザーはチャレンジコード (ASCII 文字列)
を生成し、それをヘルプデスク担当者に提供します。提供されたチャレンジコード
に基づき、ヘルプデスク担当者は、コンピュータでの特定の処理の実行を認証する
レスポンスコードを生成します。
Local Self Help による復旧は、SafeGuard Power-on Authentication での次のログオン方
法で使用できます。
■
ユーザー名とパスワードを使ったログオン
■
指紋を使ったログオン
17.1 前提条件
チャレンジ/レスポンスを使用してログオン復旧を行うには、ヘルプデスク担当者が
鍵復旧ファイルにアクセスできることが前提になります。これらのファイルは、共
有パスやメール、またはその他のメディアなどで、ヘルプデスク担当者に渡す必要
があります。
ユーザーがパスワードを忘れた場合、パスワードをリセットするためには、そのコ
ンピュータで別のアカウントを利用できる必要があります。または、パスワードリ
セットディスクを使用することもできます。
チャレンジ/レスポンスを使用すると、ユーザーは SafeGuard Power-on Authentication
でログオンできます。また、Windows パスワードのリセットが必要とされる場合で
も、Windows にログオンすることができます。
17.2 間違ったパスワードを何度も入力した場合
間違ったパスワードを何度も入力して、コンピュータが SafeGuard POA レベルでロッ
クされた場合は、チャレンジ/レスポンスによってコンピュータを SafeGuard Power-on
Authentication で起動できます。その後、Windows ログオンダイアログが表示され
ます。このダイアログで Windows のパスワードを入力してログオンできます。
78
ユーザーヘルプ
パスワード入力の最大試行回数のカウンタがリセットされます。
17.3 パスワードを忘れた場合
忘れたパスワードをチャレンジ/レスポンスで復旧するときは、パスワードのリセッ
トが必要となります。
注: ユーザーは Local Self Help で既存のパスワードを表示でき、そのパスワードを引
き続き使用できます。したがって、パスワードの再設定を行ったり、ヘルプデスク
担当者に依頼したりする必要がなくなります。詳細は、Local Self Help による復旧
(p. 68) を参照してください。
1. チャレンジ/レスポンスを開始し、ヘルプデスク担当者の指示に従ってく
ださい。コンピュータを SafeGuard Power-on Authentication で起動できる
ようになります。
2. 「Windows ログオン」ダイアログで、正しいパスワードを忘れてしまった
場合を想定します。Windows でパスワードを変更する必要があります。変
更するには、Sophos SafeGuard 以外に、Windows 標準の方法による復旧処
理が必要になります。
Windows でパスワードをリセットするには、次の 2つの方法があります。
■
コンピュータで利用可能で、必要な Windows 権限を持つサービスアカ
ウントや管理者アカウントを使用する。
■
Windows パスワードリセットディスクを使用する。
ヘルプデスク担当者は、どちらの手順を使用したらよいかをユーザーに伝えて、
追加の Windows ログオン情報や必要なディスクを提供します。
3. ヘルプデスク担当者から提供された新しいパスワードを Windows で入力
し、それをすぐに自分だけが知っている値に変更します。
4. Sophos SafeGuard 用の新しいユーザー証明書は、新しく設定されたWindows
パスワードに基づいて自動的に作成されます。この結果、ユーザーは再度
コンピュータにログオンできるようになり、新しいパスワードを使って
SafeGuard Power-on Authentication にログオンできます。
5. 新しいパスワードを使用して、SafeGuard POA にログオンします。
SafeGuard Data Exchange の鍵:Windows パスワードを忘れたためにパスワードをリ
セットした場合は、対応するパスフレーズがないと、SafeGuard Data Exchange 用に
作成済みの鍵を使用することはできません。SafeGuard Data Exchange の生成済みの
ユーザー鍵を引き続き使用するには、これらの鍵を再度有効にするために必要な
SafeGuard Data Exchange のパスフレーズを知っている必要があります。
79
SafeGuard Easy
17.4 コンピュータにアクセスできなくなった場合
コンピュータにアクセスできなくなった場合は、SafeGuard Power-on Authentication
が破損している可能性があります。こうした深刻な状況でも、ヘルプデスク担当者
の支援を得ながら Sophos SafeGuard のチャレンジ/レスポンスを利用することで、暗
号化されたドライブにアクセスできるようになります。この場合、チャレンジ/レス
ポンスはWinPE 環境で実行されます。このように深刻な状況になった場合は、Sophos
SafeGuard ヘルプデスク担当者に問い合わせることを推奨します。ヘルプデスク担
当者は、必要なファイルを提供した上で、コンピュータへのアクセスを復旧するた
めに必要な手順を指示してくれます。
17.5 チャレンジ/レスポンス
チャレンジ/レスポンスは、次のような場合に開始する必要があります。
■
間違ったパスワードを何度も入力した場合。
■
パスワードを忘れた場合。
■
破損したローカルキャッシュを修復する場合。
注: デフォルトでは、ローカルキャッシュが破損するとログオン復旧は無効に設定
されます。つまり、ローカルキャッシュはバックアップから自動的に復元されま
す。この場合、ローカルキャッシュの修復に、チャレンジ/レスポンスは必要あり
ません。ただし、ローカルキャッシュをチャレンジ/レスポンスを使用して修復す
る場合は、ポリシーを使用してログオン復旧をアクティブにできます。この際、
ローカルキャッシュが破損している場合、チャレンジ/レスポンスを開始するよう
自動的に表示されます。
注: チャレンジ/レスポンスでは、チャレンジを生成してから 30分以内に、ヘルプデ
スク担当者によって生成されたレスポンスを入力する必要があります。30分経過す
ると、レスポンスコードは無効になり、使用できなくなります。
1. 「SafeGuard POA ログオン」ダイアログで、「復旧」をクリックします。
■
ログオン復旧に対してチャレンジ/レスポンスだけが有効になっている
場合は、チャレンジ/レスポンスが開始されます。
■
ログオン復旧に対してチャレンジ/レスポンスと Local Self Help の両方が
使用可能になっている場合は、いずれかの復旧方法を選択するための
ダイアログが表示されます。「チャレンジ/レスポンス」ボタンをクリッ
クして、チャレンジ/レスポンスを開始します。
チャレンジ/レスポンスで必要なファイルの名前を示すダイアログが表示されま
す。
80
ユーザーヘルプ
2. ヘルプデスク担当者に連絡します。ヘルプデスク担当者にファイル名を通
知します。
3. 「次へ」をクリックします。
ユーザーデータとランダムなチャレンジコードが表示されます。コードは、読
みやすいように 5文字ずつのブロックに分割されています。ヘルプデスク担当者
にチャレンジコードを通知します。(チャレンジコードを伝えやすくするため
に、「スペル支援」ボタンをクリックして、読む際に利用することもできます)。
4. 「次へ」をクリックします。
「チャレンジ/レスポンス - ステップ 3/3」ダイアログが表示されます。
ヘルプデスク担当者が、電話または SMS でユーザーにレスポンスコードを通知
します。
5. 「チャレンジ/レスポンス - ステップ 3/3」ダイアログの入力フィールドに
レスポンスコードを入力します。
レスポンスコードを間違って入力すると、間違った文字ブロックが赤色でマー
クされます。
6. 「OK」をクリックします。
これで、SafeGuard Power-on Authentication でログオンされました。
17.6 BitLocker ユーザーのチャレンジ/レスポンス
注: ここで説明する機能を使用するための前提条件は次のとおりです。
■
UEFI バージョン 2.3.1 以降を搭載の PC。追加の OS 要件はリリースノート
を参照してください。
■
OS:Windows 8
マウスやキーボードの使用に関する一般的なヒント
■
各コントロールは、マウスやキーボードを使用して選択できます。1つのコント
ロールから別のコントロールに移動するには、「Tab」キーを押します。1つ前
のコントロールに戻るには、「Shift+Tab」キーを押します。
■
選択を確定するには、「Enter」キーを押します。
チャレンジ/レスポンス
BitLocker の復旧鍵を取得することが必要な場合は、次の手順を実行します。
1. PC を再起動します。再起動後、黄色のメッセージが表示されます。3秒以内に、
いずれかのキーを押します。
2. ソフォスのチャレンジ/レスポンス画面が表示されます。
81
SafeGuard Easy
3. ステップ 2 に、ヘルプデスク担当者の連絡先が表示されます。
4. ヘルプデスク担当者に次の情報を提供します。
コンピュータ: Sophos\<コンピュータ名> など
チャレンジコード: ABC12-3DEF4-56GHO-892UT-Z654K-LM321 など。スペル支援
を表示するには、文字の上にマウスを移動します。または、「F1」キーを数回押
しても表示できます。チャレンジコードは 30分で期限切れになり、PC は自動的
にシャットダウンします。
5. そして、ヘルプデスク担当者から入手した「レスポンスコード」を入力します
(ブロックが 6つあり、各ブロックにテキストフィールドが 2つあります。各フィー
ルドには 5文字ずつ入力します)。
■
1つのテキストフィールドに 5文字入力したら、フォーカスが次のテキスト
フィールドに移ります。
■
ブロックに誤って不正な文字を入力した場合、そのブロックは赤でハイライ
ト表示されます。「削除」キーや「Backspace」キーを使用して修正してくだ
さい。
6. レスポンスコードの入力に成功したら、「続行」をクリックするか、「Enter」
キーを押して、チャレンジ/レスポンス操作を完了します。
注:
システムをシャットダウンまたは再起動するには、「シャットダウン」ボタンをマ
ウスでクリックするか、「シャットダウン」ボタンがハイライト表示されるまで、
繰り返して「Tab」キーを押します。
17.7 BitLocker の復旧鍵
SafeGuard のチャレンジ/レスポンス機能に未対応のシステム環境で、ユーザーは、
BitLocker の復旧鍵をヘルプデスク担当者にリクエストできます。
マウスやキーボードの使用に関する一般的なヒント
■
各コントロールは、マウスやキーボードを使用して選択できます。1つのコント
ロールから別のコントロールに移動するには、「Tab」キーを押します。1つ前
のコントロールに戻るには、「Shift+Tab」キーを押します。
■
選択を確定するには、「Enter」キーを押します。
復旧鍵のリクエスト
BitLocker の復旧鍵をヘルプデスク担当者から取得することが必要な場合は、次の手
順を実行します。
1. PC を再起動します。再起動後、黄色のメッセージが表示されます。3秒以内に、
いずれかのキーを押します。
82
ユーザーヘルプ
2. 暗号化鍵を入力するための Windows 「BitLocker ドライブ暗号化」画面が表示さ
れます。
3. ステップ 2 に、ヘルプデスク担当者の連絡先が表示されます。
例:<コンピュータ名> C:9/25/2013
4. ヘルプデスク担当者に「コンピュータ名」を提供します。
5. そして、ヘルプデスク担当者から入手した「BitLocker の復旧鍵」を入力します
(ブロックが 8個あり、各フィールドに 6文字ずつ入力します)。
6. レスポンスコードの入力に成功したら、「続行」をクリックするか、「Enter」
キーを押して、復旧操作を完了します。
注:
システムをシャットダウンまたは再起動するには、「シャットダウン」ボタンをマ
ウスでクリックするか、「シャットダウン」ボタンがハイライト表示されるまで、
繰り返して「Tab」キーを押します。
83
SafeGuard Easy
18 Sophos SafeGuard および Lenovo Rescue and
Recovery
注: Lenovo Rescue and Recovery は、Windows 7 エンドポイントのみで利用で
きます。
先にハードディスクを復号化することなく、OS の完全なバックアップを暗号化さ
れたパーティションに復元できます。これにより、障害復旧の時間が短縮されま
す。Sophos SafeGuard は、この機能に関して Lenovo から正式に認定されています。
Lenovo Rescue and Recovery の主な機能は、キーを押すだけでデータを復旧すること
です。プライマリ OS が破損して起動できない状態でも、Rescue and Recovery は緊急
用の環境 (WinPE) を通じてデータを復旧します。この復旧ツールには、Microsoft
Windows デスクトップから、または Lenovo システムに組み込まれた青い
「ThinkVantage」キーを押してアクセスできます。
Lenovo Rescue and Recovery は、管理サポートを受けることができないモバイルユー
ザーに特に有用です。たとえば、出張中でも、Lenovo Rescue and Recovery を使用し
てコンピュータを復旧することができます。
Sophos SafeGuard で対応している Lenovo Rescue and Recovery (RnR) のバージョンに
ついては、http://www.sophos.com/ja-jp/support/knowledgebase/108383.aspx を参照して
ください。
18.1 概要
Sophos SafeGuard は、Rescue and Recovery と統合されており、Lenovo ノート PC の
キーボードにある青い「ThinkVantage」ボタンや、Lenovo デスクトップ PC のキー
ボードにある青い「Enter」ボタンなどの Lenovo 機能に対応しています。
こうした機能の統合により、効率的なバックアップ/復旧方式を Sophos SafeGuard で
暗号化された OS のパーティションに対して使用することができます。暗号化され
た Sophos SafeGuard システムのバックアップは、RnR によって使用されるすべての
ディスクドライブに保存できます。したがって、緊急時には、仮想パーティション
やサービスパーティションから、または CD/DVD や USB ハードディスクなどのリ
ムーバブルデバイスからバックアップをロードすることでシステムを復旧できま
す。
Sophos SafeGuard はシステムの復元の影響を受けず、暗号化の設定がすべてそのま
ま維持されるため、ソフトウェアの再インストールなどは必要ありません。暗号化
をやり直す必要もありません。
Sophos SafeGuard 環境で、Rescue and Recovery は WinPE 回復をベースに動作します。
WinPE は次の環境から起動できます。
■
84
仮想パーティションまたはサービスパーティション。
ユーザーヘルプ
■
CD/DVD や USB ハードディスクなどのリムーバブルデバイス。
18.2 要件
■
デスクトップ/ノート PC の最新の BIOS。
■
Rescue and Recovery のバージョンと Sophos SafeGuard のバージョンの互換
性については、http://www.sophos.com/ja-jp/support/knowledgebase/108383.aspx
を参照してください。
■
Lenovo Rescue and Recovery を使用して、Sophos SafeGuard の暗号化された
ボリュームを復旧できます。SGNClient.msi インストールパッケージを
インストールする必要があります。
■
Rescue and Recovery を使用するには、定義済みのマシン鍵でボリュームを
暗号化する必要があります。Rescue and Recovery は、他の鍵で暗号化した
ボリュームには対応していません。
18.3 インストール
Rescue and Recovery をサービスパーティションのないハードディスクにインストー
ルすると次の事柄が実行されます。
コンピュータのハードディスクの C: というパーティション (マスタハードディス
クのプライマリパーティション) 上の仮想パーティションに Rescue and Recovery 環
境がインストールされます。
以下のセクションでは、Rescue and Recovery と Sophos SafeGuard のインストール順
序に応じて説明しています。Lenovo Rescue and Recovery を先にインストールした
後、Sophos SafeGuard をインストールすることを推奨します。
18.3.1 Rescue and Recovery と Sophos SafeGuard の両方をインストールす
る場合
次の順序でインストールすることを推奨します。
1. Rescue and Recovery の最新バージョンをインストールします。
2. Sophos SafeGuard Device Encryption モジュール (SGNClient.msi) の最新
バージョンをインストールします。
Sophos SafeGuard によって、Rescue and Recovery がインストール済みかが確認さ
れ、Sophos SafeGuard のファイルや構成が Lenovo の復旧環境に追加されます。
85
SafeGuard Easy
3. SafeGuard Power-on Authentication が有効になっていることを確認し、権限
のないユーザーが作成したバックアップが復元されないようにします。
SafeGuard Power-on Authentication は、Sophos SafeGuard のインストール時に有効
にします。
18.3.2 Rescue and Recovery がすでにインストールされている場合
RnR WinPE が、サービスパーティションまたは仮想パーティションの第 1ハード
ディスクにあります。
この場合、必要なすべてのドライバとファイルは、対応する RnR WinPE の場所にコ
ピーされ、必要なレジストリエントリは WinPE のレジストリファイルに追加され
ています。
Sophos SafeGuard Device Encryption モジュール (SGNClient.msi) の最新バージョン
をインストールします。
Sophos SafeGuard によって、Rescue and Recovery がインストール済みかが確認され、
Sophos SafeGuard のファイルや構成が Lenovo の復旧環境 (WinPE) に追加されます。
18.4 アップグレード
アップグレードとは、Sophos SafeGuard および Rescue and Recovery がインストール
済みで、いずれかまたは両方を新しいバージョンにアップグレードすることを意味
します。
Sophos SafeGuard をアップグレードする
Sophos Safeguard をアップグレードすると、システム全体が更新されるため、その他
の構成の設定は一切不要です。
18.5 アンインストール
ソフトウェアのアンインストールにあたっては、次の点を考慮してください。
86
■
Sophos Safeguard を先にアンインストールした後、Rescue and Recovery をア
ンインストールすることを推奨します。Rescue and Recovery がインストー
ルされている状態で Sophos SafeGuard をアンインストールすると、追加さ
れたドライブ、ファイル、レジストリエントリなど、Sophos SafeGuard に
固有の変更はすべて RnR WinPE から削除されます。
■
システムを復元した直後に、Sophos SafeGuard をアンインストールしない
でください。システムを復元した後は、コンピュータを一度起動してから
Sophos SafeGuard をアンインストールしてください。
ユーザーヘルプ
■
Sophos SafeGuard がインストールされている状態で Rescue and Recovery を
アンインストールすると、MBR ブートセクタに対して行われた RnR の変
更が削除され、元の MBR ブートセクタに戻ってしまいます。
18.6 起動環境と復旧オプション
Sophos SafeGuard では、SafeGuard Power-on Authentication (POA) で正常にログオン
後、Rescue and Recovery 環境で起動することができます。
ローカルハードディスクからの起動
■
ローカルハードディスクの仮想パーティションまたはローカルなサービ
スパーティション。
■
ボリュームは、定義済みのマシン鍵を使用して Sophos SafeGuard で暗号化
されている必要があります。必要なドライバすべてが RnR WinPE に追加
されている必要があります。その場合は、定義済みのマシン鍵を RnR
WinPE 環境で使用でき、ボリュームに再びアクセスできます。
注: 直接 BIOS から起動した場合は、Sophos SafeGuard を使用して Rescue and
Recovery 環境で起動することはできません。
ブート可能な CD/DVD またはブート可能なリムーバブルメディアからの起動
■
この場合、SafeGuard POA での認証は実行されず、鍵を使用できないの
で、暗号化されたボリュームにはアクセスできません。Rescue and Recovery
を直接 BIOS から起動すると、OS は復旧されます。Sophos Safeguard は、
復元プロセス中に削除されます。システムを再度保護するには、Sophos
SafeGuard を再インストールする必要があります。
18.7 バックアップを作成する
バックアップを作成するには、Windows で Rescue and Recovery を使用します。Rescue
and Recovery がすでにインストールされたコンピュータに後から Sophos SafeGuard
をインストールした場合は、システムの新しいバックアップを作成するようメッ
セージが表示されます。
Rescue and Recovery を使用してシステムのバックアップを作成する前に、Lenovo の
マニュアルを参照してください。
Sophos SafeGuard は、次の場所へのバックアップの保存のみに対応しています。
■
ローカルハードディスク
■
セカンダリハードディスク
■
USB ハードディスク
87
SafeGuard Easy
■
ネットワーク
■
USB メモリ
■
CD/DVD
デフォルトでバックアップは、C:\RRUbackups フォルダに保存されます。この
フォルダは、プライマリハードディスクドライブのローカルパーティションに保
存すると Rescue and Recovery によって保護されます。その場合、このフォルダを削
除することはできません。
18.8 ファイルのバックアップを復元する
Sophos SafeGuard がインストールされたシステムで、Rescue and Recovery を使用して
バックアップからファイルやフォルダを復元できます。Windows を起動し、Rescue
and Recovery を起動して、選択したファイルを復元します。復元完了後にマシンを
再起動する必要はなく、ファイルはすぐに使用できます。
18.9 Sophos SafeGuard システムを復元する
バックアップから、Sophos SafeGuard も含めてシステムを復元するには、Rescue and
Recovery 環境で起動します。起動プロセス中に、次のいずれか 1つのキーを押すと、
すぐに RnR 環境が表示されます。
■
「Thinkvantage」キー (Lenovo ノート PC の場合)
■
青い「Enter」キー (Lenovo デスクトップ PC の場合)
■
「F11」キー (その他のキーボードの場合)
1. Lenovo コンピュータを使用している場合の手順は次のとおりです。
a) Lenovo ノート PC のキーボードにある青い「ThinkVantage」ボタン、ま
たは Lenovo デスクトップ PC のキーボードにある青い「Enter」ボタン
を押して、ローカルハードディスクから Rescue and Recovery 環境を起
動します。
SafeGuard Power-on Authentication が表示されます。
b) Sophos SafeGuard のログオン情報を入力します。
2. Lenovo コンピュータを使用していない場合の手順は次のとおりです。
a) Sophos SafeGuard ログオン情報を使用して SafeGuard POA にログオンし
ます。
b) コンピュータの起動中に「F11」キーを押して Rescue and Recovery 環境
を起動します。
88
ユーザーヘルプ
Rescue and Recovery の GUI が表示されます。ようこそ画面が表示されます。
3. 「次へ」をクリックします。
4. 左側のメニューで、「バックアップの復元」を選択します。
表示されるダイアログで、バックアップを選択できます。
5. バックアップを選択し、復元します。
18.10 サービスパーティションと工場出荷時復旧パーティショ
ン
Lenovo の新しいコンピュータには、次のような特別なパーティションがプリインス
トールされています。
■
Lenovo サービスパーティション: Rescue and Recovery の起動環境が含まれ
ます。
■
工場出荷時復旧パーティション: コンピュータの工場出荷時設定、および
工場出荷時復旧機能に関するすべての情報が含まれます。
これらのパーティションは、Windows でそれぞれ個別のドライブ名で表示されま
す。
注: コンピュータにあるこのようなパーティションは、たとえば、すべての
ボリュームの暗号化を指定する暗号化ポリシーが定義されていても暗号化さ
れません。
コンピュータにこのようなパーティションがなく、作成する場合は、Sophos SafeGuard
をインストールする前に作成してください。詳細は、Lenovo のドキュメントを参照
してください。
18.11 無効になっている SafeGuard POA と Lenovo Rescue and
Recovery
SafeGuard Power-on Authentication がユーザーのコンピュータで無効になっている場
合は、Rescue and Recovery 認証を有効にしてください。暗号化されたファイルに
Rescue and Recovery 環境からアクセスできないよう保護することができます。
Rescue and Recovery 認証を有効にする方法の詳細は、Lenovo Rescue and Recovery の
ドキュメントを参照してください。
89
SafeGuard Easy
19 テクニカルサポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しております。
90
■
「SophosTalk」ユーザーフォーラム (英語) (http://community.sophos.com/)
のご利用。さまざまな問題に関する情報を検索できます。
■
ソフォスサポートデータベースのご利用。
http://www.sophos.com/ja-jp/support.aspx
■
製品ドキュメントのダウンロード。
http://www.sophos.com/ja-jp/support/documentation/
■
メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および
適用しているパッチの種類、エラーメッセージの内容などを、
[email protected] までお送りください。
ユーザーヘルプ
20 ご利用条件
Copyright © 1996 - 2013 Sophos Group.All rights reserved.SafeGuard は Sophos Group の
登録商標です。
この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他
いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製す
ることを許可されている、もしくは著作権所有者からの事前の書面による許可があ
る場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じ
ます。
Sophos、Sophos Anti-Virus および SafeGuard は、Sophos Limited、Sophos Group およ
び Utimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、
各社の登録商標または商標です。
サードパーティコンポーネントの著作権に関する情報は、製品ディレクトリ内の
「Disclaimer and Copyright for 3rd Party Software」(英語) というドキュメントをご覧
ください。
91