Comments
Description
Transcript
Sophos SafeGuard
Sophos SafeGuard Disk Encryption 5.50 Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ドキュメント更新日 W=OMNM=年=U=月 目次 1 Sophos SafeGuard について ...................................................... 2 2 復旧のための鍵バックアップ ................................................... 5 3 Power-on Authentication...................................................................................................................... 6 4 Windows Vista での Power-on Authentication ................................................................................ 18 5 Windows Vista へのログオン ................................................... 22 6 Lenovo 指紋認証リーダーを使用したログオン ................................... 24 7 復旧オプション .............................................................. 33 8 Local Self Help による復旧 ..................................................... 34 9 チャレンジ / レスポンスによる復旧 ............................................ 44 10 システム トレイ アイコンとバルーンヒント .................................... 48 11 SafeGuard Explorer の拡張機能.................................................. 51 12 データの暗号化 .............................................................. 53 13 SafeGuard Data Exchange ................................................................................................................... 56 14 Sophos SafeGuard と Lenovo Rescue and Recovery ......................................................................... 71 15 テクニカルサポート .......................................................... 78 16 著作権 ...................................................................... 79 1 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 1 Sophos SafeGuard について Sophos SafeGuard は信頼性の高いデータ セキュリティ ソリューションであり、 ポリシー ベースの暗号化戦略を用いて高い信頼性でエンドポイント コンピュータの情報を保護 します。データ暗号化と不正アクセスからの保護は、Sophos SafeGuard の主要なセキュ リティ機能です。エンド ユーザにとって、Sophos SafeGuard はとても使いやすく直感的 に 操作 で きる 製 品で す。Sophos SafeGuard の 認証 シ ステ ム であ る Power-On Authentication (POA) は強力なアクセス保護を実現し、ログオン情報を復旧する場合に ユーザフレンドリなサポートを提供します。 管理は SafeGuard Policy Editor で行います。これを使って、セキュリティ ポリシーを作 成および管理したり、復元機能を提供したりします。Sophos SafeGuard で保護されたコ ンピュータは、SafeGuard Policy Editor で作成した構成パッケージに基づいてポリシーを 受け取ります。構成パッケージを企業のソフトウェア メカニズムによって配布したり、 構成パッケージを手動でコンピュータにインストールすることができます。 ヒ ン ト : Sophos SafeGuard は、SGE (SafeGuard Easy) および ESDP (Endpoint Security and Data Protection) 製品バンドルに含まれています。バージョン 5.50 SGE からは、製品名 が Sophos SafeGuard Standalone になりました。バンドルごとに、モジュールと機能が異 なります。ESDP で使用できないモジュールと機能については、このマニュアルでその ことが明記されています。 Sophos SafeGuard で保護されたコンピュータでは以下のモジュールを利用できます。 SafeGuard Device Encryption Power-on Authentication コ ン ピ ュ ー タ の 起 動 直 後 に、ユ ー ザ の ロ グ オ ン が 実 行 さ れ ま す。Power-on Authentication が正常に完了すると、ユーザはオペレーティング システムに自動的に ログオンします。Power-on Authentication を無効にすることもできます。この場合、 ユーザ認証はオペレーティング システムによって実行されます。 ボリューム ベースの暗号化 ユーザが通常の操作手順を変更したり、セキュリティを考慮したりしなくても、ボ リューム上のすべてのデータが透過的に暗号化されます ( 起動ファイル、スワップ ファイル、アイドル ファイル / ハイバネーション ファイル、一時ファイル、ディレ クトリ情報などを含む)。 SafeGuard Data Exchange ヒ ン ト : SafeGuard Data Exchange と SafeGuard Portable は、ESDP ではサポートされてい ません。 2 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ すべてのプラットフォーム上で、再暗号化せずに、リムーバブル メディアを使用し てデータを容易に交換できます。 ファイル ベースの暗号化 外付けハード ディスクや USB メモリを含む書き込み可能なモバイル メディアはす べて、透過的に暗号化されます。 ヒ ン ト : コンピュータで使用可能な機能は、SafeGuard Policy Editor で定義されている 設定によって異なることに注意してください。セキュリティ担当者は、ポリシーを通 じて SafeGuard Policy Editor でこれらの設定を指定し、それをエンドポイント コン ピュータに配布します。したがって、このマニュアルで説明されている一部の機能は、 ご使用のコンピュータで使用できないことがあります。 1.1 Sophos SafeGuard の機能 Sophos SafeGuard には、次のような便利な機能が用意されています。 Power-on Authentication での復旧オプション 復旧のために (パスワードを忘れた場合など)、Sophos SafeGuard には次のオプション が用意されています。 パスワードを忘れた場合は、Local Self Help を使用することで、ヘルプデスクの支 援を受けずにコンピュータに再度アクセスできます。コンピュータにログオンす るために必要なことは、Power-on Authentication で事前に定義されたいくつかの 質問に回答するだけです。Local Self Help を使用すると、電話もネットワーク接続 も利用できない場合 (飛行機に乗っている場合など) などに、ユーザのラップトッ プに再度アクセスできます。Local Self Help の詳細については、34 ページの「Local Self Help による復旧」を参照してください。 Sophos SafeGuard では、一般的な復旧シナリオの場合に、チャレンジ/レスポンス を使用してヘルプデスクの支援に基づく復旧メカニズムを利用することもでき ます。チャレンジ/レスポンスは、コンピュータにログオンできない場合や暗号化 されたデータにアクセスできない場合にユーザを支援するための、安全性および 効率性の高い復旧システムです。チャレンジ / レスポンスの詳細については、44 ページの「チャレンジ/レスポンスによる復旧」を参照してください。 Sophos SafeGuard システム トレイ アイコン Sophos SafeGuard システム トレイ アイコンから Sophos SafeGuard で提供されるすべ ての重要な機能にアクセスできます。システム トレイ アイコンは Windows タスク バー上にあります。システム トレイ アイコンの詳細については、48 ページの「シ ステム トレイ アイコンとバルーンヒント」を参照してください。 Sophos SafeGuard Explorer の拡張機能 Windows エクスプローラのコンテキスト メニューの対応するエントリを介して、暗 号化関連の機能にアクセスすることができます。51 ページの「SafeGuard Explorer の 拡張機能」を参照してください。 3 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ヒ ン ト : コンピュータで使用可能な機能は、SafeGuard Policy Editor で定義されている 設定によって異なることに注意してください。セキュリティ担当者は、ポリシーを通 じて SafeGuard Policy Editor でこれらの設定を指定し、それをエンドポイント コン ピュータに配布します。したがって、このマニュアルで説明されている一部の機能は、 ご使用のコンピュータで使用できないことがあります。 4 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 2 復旧のための鍵バックアップ ログオン復旧時に情報を暗号化して交換できるように、Sophos SafeGuard には「チャレ ンジ / レスポンス」(44 ページの「チャレンジ / レスポンスによる復旧」を参照してく ださい ) が用意されています。チャレンジ / レスポンスは、安全性と効率性に優れた方 式です。 チャレンジ / レスポンスによる復旧を有効にするには、ヘルプデスクが必要なデータを 使用できるようにする必要があります。復旧に必要なデータは、特定の鍵復旧ファイ ル (.XML ファイル ) に保存されます。 Sophos SafeGuard 構成パッケージのインストールによってコンピュータを構成すると きに、セキュリティ担当者が指定した場所に鍵復旧ファイルが自動的に作成されます。 セキュリティ担当者がファイルの場所を指定しなかった場合は、ファイルを手動で保 存することを求められます。 セキュリティ担当者は、構成パッケージを作成するときにこれらのファイルの場所を 指定できます。通常、そのファイルの場所は共有パスです。鍵復旧ファイルは、この 場所に自動的に作成されます。 ファイルを作成するときに指定の場所にアクセスできない場合は、バルーンヒントが 表示されてシステム イベント ログにメッセージが記録されてから、後で再度ファイル の保存が試みられます。セキュリティ担当者がファイルの場所を指定しなかった場合 は、ダイアログが表示され、ファイルを手動で保存することを求められます。 セキュリティ担当者が鍵復旧ファイル用のネットワーク共有を指定しているのに、 ローカル ユーザ アカウントで Windows にログオンしている場合は ( 例えば、コン ピュータがドメイン メンバーでない場合 )、ネットワーク共有ログオンを求められま す。必要なユーザ名とパスワードをセキュリティ担当者から提供してもらう必要があ ります。 ヒ ン ト : ファイルを保存して、ヘルプデスクがアクセスできるようにしてください。 ファイルは暗号化され、任意の外部メディアに保存してヘルプデスクに提供できます。 また、電子メールでもファイルを送信できます。バックアップ ファイルを保存しない 場合、ファイルを保存するまで、コンピュータを再起動するたびに保存を求めるメッ セージが表示されます。 Sophos SafeGuard システム トレイ アイコンを使用すると、いつでも鍵のバックアップ を新しく作成できます。鍵復旧ファイルの新規作成は、例えば、既存の鍵ファイルが 壊れたり、ヘルプディスクで利用できなくなった場合に必要です。 5 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3 Power-on Authentication Power-on Authentication (POA) では、ユーザは起動前フェーズ中 ( コンピュータのオペ レーティング システムが起動する前 ) に認証される必要があります。ユーザが POA で 正しく認証された場合のみ、実際のオペレーティング システム (Windows) が起動し、 ユーザは Windows に自動的にログオンします。この処理は、コンピュータがハイバネー ション ( 休止状態 ) から復帰する場合も同じです。 3.1 POA の外観 POA の外観を、会社の要件に応じてカスタマイズすることができます。関連する調整 は、Sophos SafeGuard のセキュリティ担当者が Sophos SafeGuard Policy Editor でポリシー 設定を介して実行します。 以下の調整が可能です。 ログオン イメージ POA に表示されるデフォルトのログオン イメージは、SafeGuard のデザインです。こ の画面はポリシーを介してカスタマイズできるため、企業のロゴなどのグラフィッ クを表示できます。 ダイアログ テキスト POA のすべてのテキストは、Sophos SafeGuard のインストール時にエンドポイント コンピュータで Windows の [ 地域と言語のオプション ] で設定されている既定の言 語で表示されます。 既定の言語を設定するには、[スタート] > [設定] > [コントロール パネル] を選択し ます。例えば、この既定の設定が "ドイツ語" の場合、POA 内のすべてのダイアログ テキストがドイツ語で表示されます。 6 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3.2 Sophos SafeGuard のインストール後の初回ログオン Sophos SafeGuard とともに Power-on Authentication (POA) をコンピュータにインストー ルした場合、インストール後の最初のシステム起動では、起動手順が異なります。 Sophos SafeGuard が起動手順に組み込まれたため、新しい起動メッセージ ( 自動ログオ ン画面など ) がいくつか表示されます。その後、Windows オペレーティング システム が起動します。 インストール後の最初のログオンでは、ユーザはまず通常どおりに Windows に正常に ログオンする必要があります。その後、ユーザは Sophos SafeGuard ユーザとして登録さ れます。この登録処理が必要なのは、次回のシステム起動時にユーザのログオン情報 が POA で認識されるようにするためです。 ヒ ン ト : 正常に登録が行われると、このことを知らせるバルーン ヒントがコンピュー タに表示されます。 コンピュータを再起動すると、POA が有効になります。これ以降、ユーザは自分の Windows ログオン情報を POA で入力します。Windows への自動ログオンが有効になっ ている場合、ユーザはパスワードを再度入力しなくても Windows に自動的にログオン します。 Windows のユーザ名とパスワードを使用して、Power-on Authentication でログオンでき ます。 ヒ ン ト : Sophos SafeGuard がインストールされているエンドポイント コンピュータの 設定は、セキュリティ担当者によって Sophos SafeGuard Policy Editor で定義され、ポリ シー ファイルに基づいてユーザに配布されます。 3.3 Power-on Authentication でのログオン Power-on Authentication が有効になった後は、ユーザは Power-on Authentication のログ オン ダイアログに Windows ユーザ ログオン情報を入力してログオンできます。ユーザ は Windows に自動的にログオンします。 ヒ ン ト : ログオン ダイアログの [オプション >>] ボタンを押し、[Windows へのパス ス ルー ログオン] をオフにすることで、Windows への自動ログオンを無効にできます。 ヒ ン ト : 自動ログオンの無効化は、例えば、該当するコンピュータで他のユーザが Power-on Authentication を使用できるようにする場合などに必要です (4 ページの「その 他のユーザのインポート」を参照)。 7 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3.3.1 ログオン失敗時のログオン遅延 パスワードが間違っていたなどの理由で Power-on Authentication でのログオンが失敗 した場合は、エラー メッセージが表示され、次回のログオンに遅延が設定されます。 ログオン失敗のたびに、遅延時間は長くなります。ログオン失敗はログに記録されます。 3.3.2 マシンのロック ポリシー設定によっては、失敗したログオンの回数が一定数を超えるとコンピュータ がロックされることがあります。コンピュータのロックを解除するには、チャレンジ / レスポンスを開始します (44 ページの「チャレンジ / レスポンスによる復旧」を参照し てください )。 3.3.3 最初の POA ユーザ ログオンの例 初回ログオンの手順は、コンピュータに POA がインストールされ有効になっている場 合のみ、ここで説明する手順と一致します。 システム構成によっては、Ctrl+Alt+Del キーを押すように求められることがあります。 その操作の後、ログオン手順が続行されます。 1. ユーザ 1 (Alice) が XP エンドポイント コンピュータの電源を入れます。 [POA 自動ログオン] ダイアログが表示されます。 2. Windows ログオン ダイアログが表示されます。Alice が Windows にログオンします。 これで、Alice は "所有者" になりました。各 PC に所有者は 1 人です。デフォルトでは、 最初にログオンしたユーザが所有者です。 3. ユーザ ポリシー、証明書、および鍵がすべてエンドポイント コンピュータ上に存在 する場合、Sophos SafeGuard システム コア内に Alice のエントリが作成されます。 4. コンピュータが再起動すると、Alice は POA にログオンできます。 8 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ヒ ン ト : デフォルトの設定が適用される場合、Windows にログオンする最初のユーザ が、このコンピュータの "所有者" として自動的に登録されます。ポリシーによっては、 コンピュータの所有者だけが、他のユーザに Power-on Authentication でのログオンを許 可することができます。この例では、Alice だけが Power-on Authentication でログオン できます。 ヒ ン ト : 他のユーザが POA にログオンする予定がある場合は、コンピュータの所有者 が許可する必要があります (9 ページの「その他のユーザのインポート」を参照してく ださい)。 ヒ ン ト : Windows へのログオン パススルーを有効または無効にするかどうか、および ユーザがこの設定をログオン ダイアログで変更できるかどうかは、セキュリティ担当 者が関連するポリシーで定義します。 3.4 その他のユーザのインポート Alice のほかに、別の Windows ユーザ (Bob) がエンドポイント コンピュータにログオン しようとしています。 1. Bob がコンピュータの電源を入れると、POA が表示されます。 Bob は、必要な鍵および証明書を持っていないため、POA にログオンできません。 2. Bob が POA にログオンするには、コンピュータの所有者 (Alice) が許可する必要があ ります。 デフォルト設定には、インストール後最初にログオンするユーザがコンピュータの所 有者として登録されるように指定されています。 ヒ ン ト : セキュリティ担当者は、ポリシー設定を通じてコンピュータの所有者を定義 することもできます。 9 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3. Alice は POA にログオンする前に、[Windows へのパススルー ログオン] をオフにし ます。 Windows ログオン ダイアログが表示され、Bob はログオンを求められます。 4. Bob は自分の Windows ログオン情報を入力します。 5. Bob のエントリが Sophos SafeGuard システム コア内に作成されます。 次回のコンピュータ起動時からは、Bob は Power-on Authentication にログオンできます。 3.5 POA の一時パスワード Sophos SafeGuard では、POA でパスワードを一時的に変更することができます。パス ワードを入力しているところを第三者が見ていた疑いがある場合、POA でパスワード を一時的に変更することを推奨します。 例 : 空港などの公共の場所でノート PC を起動します。POA でパスワードを入力してい るところを第三者に見られた可能性があります。Active Directory (AD) に接続されてい ないため、Windows パスワードを変更することはできません。 解決策 : POA パスワードを一時的に変更します。こうすることで、パスワードを知って いる、権限のない人物がいないようにします。AD に再度接続するとすぐに、一時パス ワードの変更を求めるメッセージが自動的に表示されます。 POA でパスワードを一時的に変更するには、次の手順を実行します。 1. POA ログオン ダイアログで、既存のパスワードを入力します。 2. F8 キーを押します。 10 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ F8 キーを押す前に既存のパスワードを入力しないと、システムがこれを失敗したログ オンと解釈し、エラー メッセージを表示します。 3. ダイアログで、新しいパスワードを入力して確認します。 システムにより、パスワードの変更が単に一時的なものであることが通知されます。 4. [OK] をクリックします。 このダイアログをキャンセルすると、古いパスワードを使用してログオンすることに なります。 Windows のログオン ダイアログが表示されます。 ヒ ン ト : この方法でシステムが構成されている場合でも、ログオンは Windows にパス スルーされません。ここでは、" 古いパスワード " を入力します。一時パスワードは、 POA でのログオンでのみ有効です。 5. [OK] をクリックします。 ユーザは Windows にログオンします。 これで、POA でログオンするには、一時的に定義されたパスワードしか使用できなく なりました。一時パスワードは、Windows ログオンでパスワードが変更されるまで有 効です。この変更を行って初めて、再度ログオンを POA から Windows にパス スルー することができます。 一時パスワードの変更 POA で一時的に変更されたパスワードは、後で変更し、再度パスワードを同期させる 必要があります。 ユーザが Windows にログオンするときに、Sophos SafeGuard は Active Directory に再接続 するとすぐにパスワードを変更するように求めるプロンプトを自動的に表示します。 パスワードの変更を求めるダイアログは、実際にパスワードを変更せずにキャンセル することができます。この場合、パスワードを変更するまで、ログオンするたびにダ イアログが表示されます。 ヒ ン ト : Active Directory に接続している間に、POA のパスワードを一時的に変更する こともできます。この場合、POA でパスワードを一時的に変更した直後に、パスワー ドを変更するためのダイアログが表示されます。ただし、パスワードの変更をキャン セルし、" 古いパスワード " を使用してログオンすることができます。パスワードは後 で変更できます。 11 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3.6 仮想キーボード POA では、画面の仮想キーボードを表示 / 非表示にしたり、画面上のキーをクリック してログオン情報などを入力したりできます。 前提条件 : セキュリティ担当者は、 [ 特定のマシンの設定 ] タイプのポリシーで仮想キー ボードの表示を有効にしておきます。 POA で仮想キーボードを表示するには、POA ログオン ダイアログで [ オプション >>] をクリックし、[ 仮想キーボード ] チェック ボックスをオンにします。 仮想キーボードは各種レイアウトをサポートし、POA のキーボード レイアウトを変更 するのと同じオプションを使用してレイアウトを変更できます (13 ページの「キーボー ドのレイアウトの変更」を参照してください )。 3.7 キーボードのレイアウト ほぼすべての国に独自のキーボードのレイアウトがあり、キーの割り当てが異なって います。POA では、ユーザ名、パスワード、およびレスポンス コードを入力するとき に、キーボードのレイアウトが重要になります。 Sophos SafeGuard では、インストール時に Windows デフォルトユーザーの [ 地域と言語 のオプション ] で設定されていたキーボードのレイアウトが POA のデフォルトとして 使用されます。Windows でキーボードのレイアウトとして [ ドイツ語 ] が設定されてい る場合、ドイツ語のキーボードのレイアウトが POA で使用されます。 12 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 使用されているキーボードのレイアウトの言語は、POA に表示されます ( 英語の場合 は、"EN")。デフォルトのキーボードのレイアウトとは別に、US キーボードのレイアウ ト ( 英語 ) も使用できます。 3.7.1 キーボードのレイアウトの変更 仮想キーボードのレイアウトを含む Power-on Authentication のキーボード レイアウト は変更できます。 キーボード レイアウトの言語を変更するには、次の手順を実行します。 1. [スタート] > [コントロール パネル] > [地域と言語のオプション] > [詳細設定] を選 択します。 2. [地域オプション] タブで、必要な言語を選択します。 3. [詳細設定] タブで [既定のユーザ アカウントの設定] の [すべての設定を現在のユー ザ アカウントと既定のユーザ プロファイルに適用する] をオンにします。 4. [OK] をクリックします。 次回ログオンするときには、最後に正常にログオンしたときに使用したキーボード レ イアウトが選択されて自動的に有効になります。これには、エンドポイント コンピュー タの再起動が 2 回必要になります。最後のキーボード レイアウトが [ 地域と言語のオ プション ] で無効になっていても、ユーザが別のレイアウトを選択しない限りそのレイ アウトが保持されます。 ヒ ン ト : Unicode 以外のプログラムの場合には、キーボード レイアウトの言語を変更 する必要があります。 目的の言語がシステムで使用できない場合は、Windows からその言語をインストール するように求められます。その後に、コンピュータを 2 度再起動する必要があります。 最初の再起動は、新しいキーボードのレイアウトを POA で読み取るためであり、2 番 目の再起動は、POA が新しいレイアウトを設定するためです。 POA で使用するキーボードのレイアウトは、マウスを使用して変更することも、キー ボード (Alt+Shift キー ) を使用して変更することもできます。 [ スタート ] > [ ファイル名を指定して実行 ] をクリックし、 「regedit」と入力して、 HKEY_USERS\.DEFAULT\Keyboard Layout\Preload を調べることで、システム にインストールされていて使用できる言語を確認できます。 13 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3.8 Power-on Authentication でサポートされるホットキー / ファン クション キー エンドポイント コンピュータを起動するときにハードウェアの機能や設定が原因で問 題が発生し、システムがハングすることがあります。Power-on Authentication では、こ うしたハードウェア設定を変更したり機能を無効にしたりするためのホットキーがい くつか用意されています。さらに、こうした問題の原因になることが知られているい くつかのハードウェア設定や機能のグレー リストが、コンピュータにインストールさ れている .msi ファイルに統合されています。 重要な Sophos SafeGuard の展開の前に、最新版の POA 構成ファイルをインストールす る こ と を お 勧 め し ま す。こ の フ ァ イ ル は 毎 月 更 新 さ れ、ftp:// POACFG:[email protected] からダウンロード可能です。 このファイルは、特定の環境のハードウェアを反映するようにカスタマイズできます。 ヒ ン ト : カスタマイズしたファイルを定義すると、.msi ファイルに統合されているも のではなく、このファイルだけが使用されることになります。POA 構成ファイルが定 義されていないときや見つからないときにだけ、デフォルト ファイルが適用されます。 POA 構成ファイルをインストールするには、次のコマンドを入力します。 MSIEXEC /i < クライアント MSI パッケージ > POACFG=<POA 構成ファイルへのパス > 詳細については、ナレッジ ベース http://www.sophos.com/support/knowledgebase/article/ 65700.html を参照してください。 Power-on Authentication には、いくつかのファンクション キーも用意されています。 14 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3.8.1 ホットキー Shift+F3 = USB レガシー サポート ( オン / オフ ) Shift+F4 = VESA グラフィック モード ( オフ / オン ) Shift+F5 = USB 1.x および 2.0 のサポート ( オフ / オン ) Shift+F6 = ATA コントローラ ( オフ / オン ) Shift+F7 = USB 2.0 のサポートのみ ( オフ / オン )。USB 1.x のサポートは、Shift+F5 キー で設定されたままになります。 Shift+F9 = ACPI/APIC ( オフ / オン ) ホットキーの依存性評価表 Shift+F3 Shift+F5 Shift+F7 レガシー USB 1.x USB 2.0 注釈 オフ オフ オフ オン オン オン 3. オン オフ オフ オフ オン オン デフォルト オフ オン オフ オン オフ オフ 1., 2. オン オン オフ オン オフ オフ 1., 2. オフ オフ オン オン オン オフ 3. オン オフ オン オフ オン オフ オフ オン オン オン オフ オフ オン オン オン オン オフ オフ 2. 1. Shift+F5 キーにより、USB 1.x と USB2.0 の両方が無効になります。 ヒ ン ト : 起動中に Shift+F5 キーを押すと、POA の起動時間がかなり短縮されます。た だし、コンピュータで USB キーボードまたは USB マウスを使用している場合は、 Shift+F5 キーを押すと、それらが無効になることがあります。 ヒ ン ト : POA では、BIOS SMM 経由で USB キーボードを使用する場合があります。USB トークンはサポートされません。 2. USB サポートが有効になっていない場合、POA は USB コントローラのバックアップ と復元の代わりに、BIOS SMM の使用を試みます。このシナリオでは、レガシー モー ドが動作することがあります。 3. レガシー サポートが有効で、USB も有効です。POA は、USB コントローラのバック アップと復元を試みます。使用している BIOS のバージョンによっては、システムが ハングすることがあります。 15 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ヒ ン ト : ホットキーを使って実行できる変更は、.mst ファイルを使用して Sophos SafeGuard クライアントをインストールするときにすでに指定されている場合があります。 POA でホットキーを使用してハードウェアの設定を変更した後、変更した設定を保存 するように求めるダイアログが表示されます。このダイアログには、保存される設定 の概要が表示されます。変更内容を保存するには [ はい ] をクリックします。コンピュー タを再起動すると、新しい設定が有効になります。[ いいえ ] をクリックすると、変更 内容は保存されず、コンピュータの再起動後も古い設定が有効になったままになります。 POA ダイアログで F5 キーを押すと、POA の起動に使用されるホットキーの設定を示す ダイアログを開くことができます。起動プロセス中にホットキーが変更されると、関 連するキーの状態が青で表示されます。青色は POA を起動するためにキーがこの状態 で使用されたことを意味しますが、まだ保存されていません。変更されていない値は 黒で表示されます。ダイアログを閉じるには、F5 キーをもう一度押すか、Return キー を押します。 3.8.2 ログオン ダイアログのファンクション キー ヒ ン ト : ファンクション キーはホットキーではありません。 F2 = 自動ログオンを中止します。 F5 = POA の起動に使用されるホットキーの設定を示すダイアログを表示します。 F8 = POA でパスワードを変更します。Enter キーの代わりに使用すると、ログオン後に POA でパスワードを変更できます。 Alt + Shift (Alt と Shift キー ) = キーボードの配列を日本語と英語で切り替えます。 キャンセルし、POA をシャットダウンする準備をする Ctrl+ Alt + Del = PC を安全にシャット ダウンします。このキーの組み合わせは、[ シャッ トダウン ] ボタンと同じ機能です。 ヒ ン ト : 指紋を使用したログオンが有効になっている場合、指紋を使用してログオン するための POA ダイアログで Ctrl + Alt + Del キーを押すと、ユーザ名とパスワードに よるログオンをサポートする POA ダイアログに切り替えることができます。指紋を使 用したログオンの詳細については、24 ページの「Lenovo 指紋認証リーダーを使用した ログオン」を参照してください 16 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 3.9 パスワードの同期 Sophos SafeGuard では、Windows パスワードが変更されて、Sophos SafeGuard データベー スに格納されているパスワードに対応しなくなった場合に自動的に検出されます。こ の状況は、Windows パスワードが VPN 経由で、別のコンピュータ上で、または Active Directory で変更された場合に発生する可能性があります。 Sophos SafeGuard でこの状況が検出されると、ユーザは古いパスワードを入力するよう に求められます。その後、Sophos SafeGuard によって保存されたパスワードが新しい Windows パスワードに更新されます。 パスワードの同期は、次の 2 つの場合に行われます。 17 ログオン中 Windows のロック/ロック解除処理中 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 4 Windows Vista での Power-on Authentication Windows Vista での Power-on Authentication の外観および動作は、Windows XP での外観 および動作と同じです。(6 ページの「Power-on Authentication」を参照してください )。 相違点は、オペレーティング・システム自体にログオンするときだけです。Windows Vista には、並行するユーザ ログオンのために複数の認証方法が用意されています。 ヒ ン ト : ここでは、Windows Vista に関する相違点だけを説明します。相違点が明示的 に指摘されていない場合は、前述の「Power-on Authentication」セクションで説明して いる手順やプロセスが Vista にも適用されます。 4.1 Windows Vista での Sophos SafeGuard インストール後の初回ロ グオン Sophos SafeGuard とともに Power-on Authentication をコンピュータにインストールした 場合、インストール後の最初のシステム起動では、起動手順が異なります。Sophos SafeGuard が起動手順に組み込まれたため、新しい起動メッセージ ( 自動ログオン画面 など ) がいくつか表示されます。その後、Windows オペレーティング システムが起動 します。 ヒ ン ト : Windows Vista では、自動ログオンおよびログオンを開始するために、最初に Ctrl+Alt+Del キーを押す必要があります。管理者は [Windows の設定]>[セキュリティの 設定 ]>[ ローカル ポリシー ]>[ セキュリティ オプションの無効化 ] ( 対話式ログオン : Ctrl+Alt+Del キー は不要) の順に選択して、グループ ポリシー オブジェクト エディタ の MMC コンソールで、この設定を無効にできます。 したがって、インストール後の最初のログオンでは、ユーザは通常どおりに自分のロ グオン情報を使用して Windows に正常にログオンする必要があります。その後、ユー ザは Sophos SafeGuard ユーザとして登録されます。この登録処理が必要なのは、次回の システム起動時にユーザのログオン情報が POA で認識されるようにするためです。 正常に登録が行われると、このことを知らせるバルーン ヒントがコンピュータに表示 されます。 コンピュータを再起動すると、POA が有効になります。これ以降、ユーザは自分の Windows ログオン情報を POA で入力します。Windows への自動ログオンが有効になっ ている場合、ユーザはパスワードを再度入力しなくても Windows に自動的にログオン します。 ユーザ名とパスワードを使用して、POA でログオンできます。 ヒ ン ト : Sophos SafeGuard がインストールされているエンドポイント コンピュータの 設定は、セキュリティ担当者によって Sophos SafeGuard Policy Editor で一元的に定義さ れ、ポリシー ファイルに基づいてエンドポイント コンピュータに配布されます。 18 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 4.1.1 初回ログオンの手順 ここでは、Sophos SafeGuard のインストール後に初めてコンピュータにログオンすると きの手順について説明します。初回ログオンの手順は、コンピュータに POA がインス トールされ有効になっている場合のみ、ここで説明する手順と一致します。 1. エンドポイント コンピュータが起動し、Sophos SafeGuard 自動ログオン ダイアログ が表示されます。 autouser がログオンします。 2. Windows Vista のログオン ダイアログが表示されます。 Windows Vista 上の Sophos SafeGuard では、もう 1 つ認証方法が提供されます。この 例は、Sophos SafeGuard 認証方法と Vista 認証方法のアイコンを示しています。 3. Windows Vista では、認証方法ごとに 2 つのアイコンが表示されます。 19 [ 他のユーザ ] をクリックして、ログオン情報を入力するためのダイアログを開 く。 2 つ目のアイコン (アイコンの下にユーザ名がすでに表示されている) をクリック Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ して、システムにログオンした最後のユーザのユーザ情報を含むダイアログを開く。 パスワードを入力するだけでログインできます。 Sophos SafeGuard アイコンの下に自分のユーザ名が表示されている場合は、そのアイ コンをクリックします。これに当てはまらない場合は、Sophos SafeGuard アイコンの [他のユーザ] を選択します。 4. Windows ユーザ ログオン情報を通常どおりに入力します。 次回のシステム起動時には、ユーザは POA で自分の Windows ユーザ ログオン情報 (ユーザ名とパスワード) を入力するだけで、自動的にログオンできます。 Power-on Authentication の機能をすべて有効にするには、システムを再起動する必要が あります。再起動後、コンピュータは POA によって不正アクセスから保護されます。 20 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 4.2 Windows Vista における Power-on Authentication でのログオン Power-on Authentication が有効で初期同期と再起動が正常に終了した後、ユーザは Power-on Authentication のログオン ダイアログに Windows ユーザ ログオン情報を入力 してログオンします。ユーザは Windows に自動的にログオンします。 ヒ ン ト : ログオン ダイアログの [オプション >>] ボタンを押し、[Windows へのパス ス ルー ログオン] をオフにすることで、Windows への自動ログオンを無効にできます。自 動ログオンの無効化は、例えば、該当するコンピュータで他のユーザが Power-on Authentication を使用できるようにする場合などに必要です。Windows へのログオン パ ススルーを有効または無効にするかどうか、およびユーザがこの設定をログオン ダイ アログで変更できるかどうかは、セキュリティ担当者が関連するポリシーで定義します。 4.2.1 ログオン失敗時のログオン遅延 パスワードが間違っていたなどの理由で Power-on Authentication でのログオンが失敗 した場合は、エラー メッセージが表示され、次回のログオンに遅延が設定されます。 ログオン失敗のたびに、遅延時間は長くなります。ログオン失敗はログに記録されます。 4.2.2 マシンのロック ポリシー設定によっては、失敗したログオンの回数が一定数を超えるとコンピュータ がロックされることがあります。コンピュータのロックを解除するには、チャレンジ / レスポンスを開始します (44 ページの「チャレンジ / レスポンスによる復旧」を参照し てください )。 21 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 5 Windows Vista へのログオン Windows Vista 上の Sophos SafeGuard では、もう 1 つ認証方法が提供されます。 Power-on Authentication のログオン ダイアログで [Windows へのパススルー ログオン ] をオフにした場合、Windows Vista ログオン ダイアログが表示されます。このダイアロ グで、別の認証方法を選択することもできます。 ヒ ン ト : 別の認証方法を使用しても、コンピュータで Sophos SafeGuard が無効という わけではありません。この場合、Sophos SafeGuard でのログオンは、Windows ログオン 時にではなく Windows Vista ログオンの後で実行されます。 5.1 Sophos SafeGuard によるログオン 通常、ユーザは Power-on Authentication (POA) でパスワードを入力した後、Windows に 自動的にログオンします。POA ログオン ダイアログで [Windows へのパススルー ログ オン ] をオフにし、Sophos SafeGuard を使用して Windows にログオンすると、Windows Vista へのログオン後 Sophos SafeGuard のすべての機能が使用可能になります。 必要な鍵が使用可能になり、定義されているポリシーに従ってすべてのデータが暗号 化および復号化されます。 5.2 代替認証方法によるログオン Windows ログオン ダイアログでは、Windows へのログオンに Sophos SafeGuard 認証方 法ではなく代替認証方法を選択することもできます。 オペレーティング システムへのログオンに代替認証方法を使用する場合は、オペレー ティング システムへのログオンの後で Sophos SafeGuard へのログオンが実行されます。 Windows Vista へのログオン後、Sophos SafeGuard 認証アプリケーションが自動的に起 動されます。 一元管理で指定されているログオン設定に応じて、ユーザのログオン情報を入力する ためにダイアログまたは PIN を入力するためのダイアログが表示されます。 1. ログオン情報または PIN を入力し、[OK] をクリックします。 これで Sophos SafeGuard の機能が使用可能になり、必要な鍵を持っていればユーザは暗 号化されたデータへのアクセスなどが可能です。 22 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 5.3 Windows Vista でのパスワードの同期 Sophos SafeGuard では、Windows パスワードが変更されて、格納されているパスワード に対応しなくなった場合に自動的に検出されます。この状況は、Windows パスワード が VPN 経由で、別のコンピュータ上で、または Active Directory で変更された場合に発 生する可能性があります。 Sophos SafeGuard でこの状況が検出されると、ユーザはそのことが通知され、古いパス ワードを入力するように求められます。その後、Sophos SafeGuard によって保存された パスワードが新しい Windows パスワードに更新されます。 パスワードの同期は、次の 2 つの場合に行われます。 23 ログオン中 Windows のロック/ロック解除処理中 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 6 Lenovo 指紋認証リーダーを使用したログオン この機能は、ESDP (Endpoint Security and Data Protection) ではサポートされていません。 ユーザは、コンピュータ、アプリケーション、およびネットワークにアクセスするた めに、多くの異なるパスワードと PIN を覚えておく必要があります。指紋認証リーダー を使用すれば、パスワードを使用しなくても、リーダーに指を通すだけでログオンで きるようになります。 また、ユーザがログオン情報を紛失したり忘れたりすることがなくなり、承認されて いない人物がこの情報を推測することもできなくなります。このように指紋認証リー ダーを使用することで、ログオン プロセスが簡略化され、且つセキュリティが向上し ます。 Sophos SafeGuard では Power-on Authentication と Windows ログオンで指紋ログオンがサ ポートされます。例えば、Lenovo ノート PC にログオンする場合は、ノート PC に付属 の指紋認証リーダーに指を通すと、残りのログオン手順は自動的に実行されます。ま た、指紋認証リーダーに指を通すだけで Windows デスクトップのロックおよびロック 解除を行うこともできます。 指紋認証リーダーは一部の Lenovo ノート PC に組み込まれています。ただし、外付け USB キーボードを使用して指紋ログオンを行うこともできます。 1 台のコンピュータに一度に接続できる指紋認証リーダーは 1 つだけです。 リモートの指紋ログオンはサポートされていません。 6.1 要件 指紋ログオンを使用するには、次の要件を満たしている必要があります。 6.1.1 一般的な要件 Lenovo ハードウェア ノート PC の Lenovo 指紋認証リーダーまたは指紋認証リーダー付き USB キーボード 最新の BIOS を推奨します。 Sophos SafeGuard バージョン 5.35 以上 推奨されているベンダ固有のソフトウェア バージョンは、Sophos SafeGuard の前に インストールする必要があります。 AuthenTec 用 ThinkVantage Fingerprint または UPEK 用 ThinkVantage Fingerprint 24 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ セキュリティ担当者は、関連する [認証]ポリシーに指紋オプションを設定してお く必要があります。 6.1.2 システム要件 32 ビット版の Windows XP 32 ビット版、64 ビット版の Windows Vista 32 ビット版、64 ビット版の Windows 7 6.1.3 サポートされているハードウェア AuthenTec AES2810 UPEK TCS3C/TCD42A 6.1.4 サポートされているソフトウェア AuthenTec 用 Lenovo Fingerprint バージョン 3.2.0.166 UPEK 用 ThinkVantage Fingerprint バージョン 6.2 指紋の登録 指紋を使用してノート PC やデスクトップ PC にログオンするには、推奨されているベ ンダ固有のソフトウェアを使用して 1 つまたは複数の指紋を事前に登録する必要があ ります。この登録プロセスでは、登録する指紋とログオン情報 ( ユーザ名とパスワード ) が関連付けられます。 前 提条 件 : 以下 の 手順 で は推 奨 され て いる ベ ン ダ固 有 のソ フ トウ ェ アと Sophos SafeGuard の両方がインストールされていることを前提としています。 指紋を登録するには次の手順を実行します。 1. Power-on Authentication (POA) でユーザ名とパスワードを入力してログオンします。 2. インストールされているベンダ固有のソフトウェアを使用して 1 つまたは複数の指 紋を登録します。この登録により、指紋が Windows ログオン情報に関連付けられま す。 a) 指紋の登録方法の説明については、ThinkVantage Fingerprint ソフトウェアのド キュメントを参照してください。 b) [BIOS の POA パスワード] オプションを有効にします (UPEK のみ。AuthenTec の 場合、この手順は必要ありません)。 25 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ c) POA で指紋ログオンを使用するには、一度指紋を使用して Windows にログオン してログオン情報を指紋認証リーダーに転送する必要があります。UPEK の場合 は、登録した指紋を指紋認証リーダーに通すだけです。AuthenTec の場合は、初 回ログオン時に Windows パスワードも入力する必要があります。 3. PC/ノート PC を再起動します。 4. 登録した指紋をテストするには、コンピュータを再起動した後で指紋認証リーダー に指を通します。 ユーザの指紋が登録されているものと一致すれば、自動的に Windows にログオンします。 6.3 指紋を使用した Power-on Authentication へのログオン 前提条件 : セキュリティ担当者は、関連する [認証]ポリシーに指紋オプションを設定してお く必要があります。 1 つまたは複数の指紋を登録しておく必要があります。 1. PC/ノート PC を再起動します。 指紋でログオンするための POA ダイアログが表示されます。 2. 登録してある指の 1 つをリーダーに通します。 26 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 指紋の認識に成功すると、ログオン情報が読み込まれ、Windows に送信されます。 ヒ ン ト : ログオン手順では、要求、通知、および警告として短いテキスト メッセージ 付きのアイコンが使用されます (27 ページの「ログオン プロセスで使用されるアイコ ン」を参照してください)。 ユーザは Windows に自動的にログオンします。さらに認証情報を要求されることはあ りません。 Windows での登録プロセスが正常に完了していなかった場合 ( 例えば、指紋登録後 に Windows をログオフして再度ログオンしていない場合 )、登録した指紋と一致し ていることは POA で検出されます。 ただしログオン情報はありません。この場合は Windows へのパス スルーが行われ ず、ユーザ名とパスワードを使用してログオンするように求めるエラー メッセージ が表示されます。ログオン情報が指紋認証リーダーに転送されます。 Windows へのログオン パススルーが有効または無効になっているかどうか、および ユーザ名とパスワードでログオンするための POA ダイアログでユーザがこれらの 設定を変更できるかどうかは、セキュリティ担当者がユーザに適用されるポリシー に指定します (29 ページの「ユーザ名とパスワードを使用したログオン」を参照し てください)。 6.3.1 ログオン プロセスで使用されるアイコン Power-on Authentication で指紋を使用してログオンするときに、要求、通知、および警 告としてアイコンが使用されます。これらのアイコンは、ログイン プロセス中に短い テキスト メッセージと一緒に表示されます。 指紋認証リーダーに指を通してください。 指紋ログオンが現在有効になっていないことを示し ています。指紋ログオン モジュールがまだ初期化さ れていない場合などに表示されます。 27 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 指紋認証リーダーが正常に動作していて使用中であ ることを示しています。 指紋の読み込みに成功して一致する指紋が検出され たことを示しています。 指紋の読み込みは成功したけれども一致する指紋が 検出されなかったことを示しています。 指紋が読み取れなかったことを示しています。指紋認 証リーダーに再度、指を通してください。 指を置く場所が左にずれている (または右にずれてい る) ことを示しています。指を指紋認証リーダーの中 央に移動してください。 指を通す角度が斜めであったことを示しています。 指紋認証リーダーに再度、指を通してください。 28 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 指の動きが速すぎたことを示しています。指紋認証 リーダーに再度、指を通してください。 指を通す時間が短すぎたことを示しています。指紋認 証リーダーに再度、指を通してください。 6.3.2 ログオンの失敗 指を 5 回通したのに指紋の読み取りができていない場合は、ログオンの失敗と見なさ れ、イベント ログが記録されます。この場合は、次にログオンできる状態になるまで 時間がかかります。 指紋の読み取りにエラーなしで成功した後に、登録済みの指紋との照合を 5 回試みて 一致するものが検出されなかった場合、ログオンの失敗と見なされてイベント ログが 記録されます。この場合も、次にログオンできる状態になるまで時間がかかります。 ログオンに失敗するたびに、ログオンできる状態になるまでの待ち時間が長くなります。 6.3.3 ユーザ名とパスワードを使用したログオン 指紋を使用したログオンが有効になっている場合でも、ユーザ名とパスワードを使用 して Power-on Authentication にログオンできます。例えば、指紋認証リーダーが破損し たために指紋でログオンできない場合に利用できます。 ユーザ ログオン データの入力によって認証されるには、次の手順を実行します。 1. 指紋でログオンするための POA ダイアログで Esc キーまたは Ctrl+Alt+Del キーを押 します。 ユーザ名とパスワードでログオンするための POA ダイアログが表示されます。 29 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ヒ ン ト : ユーザ名とパスワードでログオンするための POA ダイアログで Ctrl+Alt+Del キ ー を 押 す と、コ ン ピ ュ ー タ は シ ャ ッ ト ダ ウ ン し ま す。こ の ダ イ ア ロ グ で は、 Ctrl+Alt+Del キーは [シャットダウン] ボタンに相当します。 ユーザ名とパスワードでログオンするための POA ダイアログは、指紋認証リーダーが 使用できない場合やシステムが指紋認証リーダー上のユーザ データを検出できない場 合にも自動的に表示されます。 ヒ ン ト : ユーザ名とパスワードによるログオンは、ローカル キャッシュが破損した場 合にも自動的に有効になります。この問題が発生した場合は、コンピュータがロック されるため、チャレンジ/レスポンスを使用してログオンする必要があります (31 ページの「指紋ログオン時のチャレンジ/レスポンスの開始」を参照してください)。 2. 必要に応じて、Esc キーをもう一度押すと、指紋でログオンするための POA ダイア ログに戻ります。 Esc キーを押してユーザ名とパスワードでログオンするための POA ダイアログに切 り替えた場合でも、指紋認証リーダーに指を通せばログオンできます。最初に指紋 でログオンするための POA ダイアログに戻る必要はありません。 6.4 パスワードの変更 1. 指紋を使用したログオンが Power-on Authentication で有効になっている場合は、 Ctrl+Alt+Del キーを使用して Windows パスワードを変更できます。 パスワードを変更すると、指紋認証リーダーに指を通して新しいパスワードを指紋 認証リーダーに転送することを求められます。 ヒ ン ト : パスワードを変更すると、登録済みのすべての指紋に変更が適用されます。 30 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 6.4.1 パスワードの同期 Windows パスワードが指紋認証リーダーに保存されているパスワードと一致しなく なった場合 ( パスワードを変更したけれども、新しいパスワードが指紋認証リーダーに 転送されていない、など ) は、以下の手順でパスワードを同期できます。 1. コンピュータを再起動します。 2. 指紋でログオンするための POA ダイアログで Esc キーまたは Ctrl+Alt+Del キーを押 して、ユーザ名とパスワードでログオンするための POA ダイアログに切り替えます。 3. [オプション] をクリックし、[Windows へのパス スルー ] を無効にします。 Windows へのパス スルーが有効になっているか、およびユーザ名とパスワードでロ グオンするための POA ダイアログでユーザがこれらの設定を変更できるかは、セ キュリティ担当者がユーザに適用されるポリシーで指定します。 4. パスワードを使用してログオンします。 5. Windows のログオン ダイアログが表示されます。登録してある指の 1 つを指紋認証 リーダーに通します。 6. 指紋は認識されますが、指紋に関連付けられたパスワードが Windows によって拒否 されます。ログオンに失敗したことが表示されますが、ログオンできる状態になる までの遅延は発生しません。 7. 代わりに、パスワードが変更されたことを示すメッセージが表示され、現在の Windows パスワードを入力することを求められます。正しい Windows パスワードを 入力してください。 ここで間違った Windows パスワードを入力すると、ログオンに失敗したログが記録 されるので、ログオンの遅延が発生します。何も入力しないでパスワード入力画面 を閉じた場合も、ログオンに失敗したログが記録され、ログオンの遅延が発生します。 パスワードの転送に成功すると、パスワード同期プロセスが完了し、ログオンでパス ワードが使用できるようになります。 6.5 指紋ログオン時のチャレンジ/レスポンスの開始 ログオン復旧のために、チャレンジ / レスポンスを実行できます。例えば、指紋ログオ ンが機能しない場合や、ログオンに必要なパスワードを忘れてしまった場合などに必 要となります。Sophos SafeGuard チャレンジ / レスポンスは、情報を暗号化して交換で きる、安全性および効率性の高い方式です。 指紋ログオンが有効になっているときにチャレンジ / レスポンスを開始するには、次の 手順を実行します。 1. 指紋でログオンするためのダイアログで Esc キーを押します。 31 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ユーザ名とパスワードでログオンするためのダイアログが表示されます。 2. [復旧] をクリックして、チャレンジ/レスポンスを開始します。 チャレンジ / レスポンスには、コンピュータを起動するときにパスワードを変更する手 段が用意されています。例えば、パスワードを忘れた場合にログオンを復旧すること ができます。この場合、指紋ログイン情報を更新する手段も用意されています。 チャレンジ / レスポンスの詳細については、44 ページの「チャレンジ / レスポンスによ る復旧」を参照してください。 32 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 7 復旧オプション パスワードを忘れた場合などの復旧のために、Sophos SafeGuard にはさまざまな復旧シ ナリオに合わせていくつかのオプションが用意されています。 Local Self Help によるログオン復旧 パスワードを忘れた場合は、Local Self Help を使用することで、ヘルプデスクの支援 を受けずにコンピュータにログオンできます。電話もネットワーク接続も利用でき ない状況 (飛行機に乗っている場合など) でも、コンピュータにアクセスできるよう になります。ログオンするために必要なことは、Power-on Authentication で事前に定 義されたいくつかの質問に答えるだけです。 詳細については、34 ページの「Local Self Help による復旧」を参照してください。 チャレンジ/レスポンスによる復旧 チャレンジ/レスポンス メカニズムは、コンピュータにログオンできない場合や暗号 化されたデータにアクセスできない場合にユーザを支援するための、安全性および 効率性の高い復旧システムです。チャレンジ/レスポンスでは、コンピュータで生成 されたチャレンジ コードをヘルプテスク担当者に渡すと、ヘルプテスク担当者はそ のコンピュータでの特定の処理の実行を承認するレスポンス コードを生成してく れます。 詳細については、44 ページの「チャレンジ/レスポンスによる復旧」を参照してくだ さい。 どちらの復旧オプションも、セキュリティ担当者がポリシーで定義するコンピュータ で、使用することが許可されます。 33 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 8 Local Self Help による復旧 パスワードを忘れたときにヘルプデスクの支援を受けられない場合、Sophos SafeGuard には Local Self Help が用意されています。 Local Self Help を使用すると、電話もネットワーク接続も利用できないためにチャレン ジ / レスポンスを使用できない場合 ( 飛行機に乗っている場合など ) に、ユーザのラッ プトップに再度アクセスできます。コンピュータにログオンするには、Power-on Authentication で事前に定義された質問に指定の数だけ回答します。 セキュリティ担当者は、回答される質問を定義し、それをエンドポイント コンピュー タに配布できます。また、ユーザ独自の質問を定義することもできます ( 関連するポリ シーでユーザにその権限が与えられている場合 )。最初の回答を入力したり、質問を編 集したりできるように、Sophos SafeGuard には Local Self Help ウィザードが用意されて います。Local Self Help ウィザードを開くには、Windows タスク バーの Sophos SafeGuard システム トレイ アイコンをクリックします。 8.1 前提条件 ログオン復旧に Local Self Help を使用する場合は、次の前提条件が満たされている必要 があります。 セキュリティ担当者は、適用されている [全般設定] タイプの有効なポリシーで Local Self Help を有効にし、この機能の設定 (ユーザ独自の質問を定義するための権限など) を定義しておきます。 ユーザ コンピュータで Local Self Help を有効にしておきます (34 ページの「Local Self Help の有効化」を参照してください)。 8.2 Local Self Help の有効化 Local Self Help を使用する権限をユーザに与えるポリシーが有効になった後、受信した 事前に定義された質問に回答するか、ユーザ独自の質問を定義してそれに回答するこ とによって、この機能を有効にする必要があります。 ユーザが 10 個以上の質問に回答し、それを保存してからでないと、Local Self Help は ユーザ コンピュータで有効になりません。ポリシーの設定に応じて、次のシナリオが 考えられます。 ユーザは事前に定義された質問を受信しており、ユーザ独自の質問を定義する権限 を与えられていない。 受信した事前に定義された質問のうち、10 個以上に回答して、それを保存します。 ユーザは事前に定義された質問を受信しており、ユーザ独自の質問を定義する権限 を与えられている。 34 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 事前に定義された質問のうち、10 個以上に回答してそれを保存するか、ユーザ自身 が定義した質問に回答するか、その両方を行います。 ユーザは事前に定義された質問を受信しておらず、ユーザ独自の質問を定義する権 限を与えられている。 10 個以上の質問を定義、回答、および保存します。 ヒ ン ト : Local Self Help から Power-on Authentication にログオンするには、定義された 10 個の質問からランダムに選択された 5 つの質問に回答する必要があります。 前提条件 : ポリシーの受信後、ツール ヒントによって、Local Self Help の回答されてい ない質問があることが通知されます。コンピュータを再起動して、Windows タスク バー のシステム トレイ アイコンのショートカット メニューに [Local Self Help] コマンドを 追加します。 Local Self Help を有効にするには、次の手順を実行します。 1. Windows タスク バーの Sophos SafeGuard システム トレイ アイコンを右クリックし ます。 2. [Local Self Help] を選択します。 Local Self Help ウィザードの開始ダイアログが表示されます。 セキュリティ上の理由から、ユーザのパスワードを入力するように求められます。 3. パスワードを入力し、[次へ] をクリックします。 [状態の概要] ダイアログが表示されます。 このダイアログには、Local Self Help を有効にする方法についての簡単な説明が表示さ れます。さらに、状態情報 (回答されたユーザ定義の質問の数、回答された事前に定義 された質問の数など) も表示されます。 4. [次へ] をクリックします。 有効なポリシーを使って事前に定義された質問を受信した場合は、[事前に定義された 質問] ダイアログが表示されます。 35 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ いくつかの異なる質問のテーマを受信した場合は、[テーマ] フィールドのドロッ プダウン リストに表示される質問のテーマの中から選択できます。 すべてのテーマを連続リストに表示するには、ドロップダウン リストの [すべて のテーマ] (デフォルト) オプションを選択します。 質問に回答するには、対象となる質問をクリックし、[回答] 列に回答を入力しま す。 回答を入力し終わると、入力したテキストが非表示になります。テキストを表示 するには、[回答を表示] を選択します。 ヒ ン ト : Power-on Authentication での復旧プロセス中に質問に回答するときは、Local Self Help ウィザードで入力したとおりに正確に回答を入力する必要があります。例え ば、Local Self Help での回答は大文字と小文字が区別されます。 ヒ ン ト : 日本語で回答を入力するときは、ローマ字入力を使用する必要があります。 5. 事前に定義された質問への回答が終わったら、[次へ] をクリックします。 6. ユーザ独自の質問を定義する権限が与えられている場合は、[ユーザ定義の質問と回 答] ダイアログが表示されます。 36 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ a) 新しい質問を追加するには、[新しい質問] をクリックします。 新しい行が質問のリストに追加されます。 b) [質問] 列に質問を入力し、[回答] 列に回答を入力します。 回答を入力し終わると、入力したテキストが非表示になります。 c) テキストを表示するには、[回答を表示] を選択します。 Power-on Authentication での復旧プロセス中に質問に回答するときは、Local Self Help ウィザードで入力したとおりに正確に回答を入力する必要があります。例えば、 Local Self Help での回答は大文字と小文字が区別されます。 日本語で回答を入力するときは、ローマ字入力字を使用する必要があります。 7. ユーザ独自の質問の定義と回答が終わったら、[次へ] をクリックします。 Local Self Help ウィザードの最後のダイアログには、質問に回答した後の新しい状態情 報が表示されます。メッセージは、Local Self Help を有効にするための前提条件が満た されているかどうかを示しています。 8. [完了] をクリックします。 37 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 質問と回答が保存されます。Local Self Help が正常に有効化されたことを示すメッセー ジが表示されます。 9. [OK] をクリックします。 Local Self Help がユーザのコンピュータで有効になっています。Power-on Authentication でのログオン復旧に Locals Self Help を使用できます。 ヒ ン ト : Local Self Help がユーザのコンピュータで有効になっている場合に、チャレン ジ/レスポンスを使用してパスワードをリセットすると、Local Self Help 用に保存された 回答は無効になります。Local Self Help はユーザのコンピュータで無効になります。 Local Self Help を再び有効にするには、もう一度質問に回答します。 8.3 質問の編集 コンピュータで Local Self Help を有効にした後は、いつでも質問を編集できます。 事前に定義された質問の場合は、最初に質問に回答するときに入力した回答を変更 できます。ただし、事前に定義された質問を削除することはできません。 ユーザ定義の質問の場合は、最初に質問に回答するときに入力した回答の変更、新 しい質問の追加、または質問の削除を行うことができます。 Local Self Help ウィザードで質問を編集するには、次の手順を実行します。 1. Windows タスク バーの Sophos SafeGuard システム トレイ アイコンを右クリックし ます。 2. [Local Self Help] を選択します。 [Local Self Help ウィザードの開始] ダイアログが表示されます。 セキュリティ上の理由から、ユーザのパスワードを入力するように求められます。 3. パスワードを入力し、[次へ] をクリックします。 [状態の概要] ダイアログが表示されます。 このダイアログには、Local Self Help を有効にする方法についての簡単な説明が表示さ れます。さらに、状態情報 (回答されたユーザ定義の質問の数、回答された事前に定義 された質問の数など) も表示されます。 4. [次へ] をクリックします。 a) 事前に定義された質問を受信して回答した場合は、回答された質問を含む [ 事前 に定義された質問] ダイアログが表示されます。 b) いくつかの異なる質問のテーマを受信した場合は、[テーマ] フィールドのドロッ プダウン リストに表示される質問のテーマの中から選択できます。 38 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ c) すべてのテーマを連続リストに表示するには、ドロップダウン リストの [すべて のテーマ] (デフォルト) オプションを選択します。 デフォルトでは、入力された回答はテキストとして表示されません。 d) 入力されたテキストを表示するには、[回答を表示] チェック ボックスをオンにし ます。 e) 回答を変更するには、対象となる質問をクリックし、[回答] 列に新しい回答を入 力します。 5. 変更が完了したら、[次へ] をクリックします。 ユーザ独自の質問を定義する権限が与えられている場合は、[ ユーザ定義の質問と回答 ] ダイアログが表示されます。デフォルトでは、入力された回答はテキストとして表示 されません。 6. 入力されたテキストを表示するには、[回答を表示] チェック ボックスをオンにします。 a) 既存の回答を変更するには、対象となる質問をクリックし、[回答] 列に新しい回 答を入力します。 b) 新しい質問を追加するには、[新しい質問] をクリックします。 新しい行が質問のリストに追加されます。[質問] 列に質問を入力し、[回答] 列に回答 を入力します。 c) 質問を削除するには、対象となる質問をクリックし、[質問を削除] をクリックし ます。 質問を削除してもよいかどうかの確認を求めるメッセージが表示されます。[ はい ] を クリックします。 7. 変更が完了したら、[次へ] をクリックします。 Local Self Help ウィザードの最後のダイアログには、質問を編集した後の新しい状態情 報が表示されます。メッセージは、Local Self Help を有効にしておくために必要な前提 条件が満たされているかどうかを示しています。 8. [完了] をクリックします。 質問と回答が保存されます。編集手順が正常に完了し、Local Self Help が引き続き有効 になっていることを示すメッセージが表示されます。 9. [OK] をクリックします。 変更が有効になります。 次回 Power-on Authentication で Local Self Help を起動すると、変更された質問と新しい 質問がランダムに選択されて表示されます。変更された回答と新しい回答が適用され ます。 39 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ヒ ン ト : 変更を行ったために回答された質問の数が必要な最小数を下回ってしまう場 合は、Local Self Help ウィザードの最後のダイアログに、ウィザードを閉じた後に Local Self Help が無効になることを示す警告メッセージが表示されます。 ヒ ン ト : Local Self Help を無効にしたくない場合は、[戻る] ボタンをクリックして、 [ユーザ定義の質問] および [事前に定義された質問] に戻ることができます。その後、新 しい質問を追加したり、質問に回答したりできます。[完了] をクリックしたけれども、 回答された質問の数が必要な最小数を下回っている場合は、ユーザのコンピュータで Local Self Help が無効になることを示す警告メッセージがもう一度表示されます。ただ し、この場合はいつでも Local Self Help を再開できます (34 ページの「Local Self Help の 有効化」を参照してください)。 8.4 プロセスの編集中に Local Self Help のパラメータが変わる Local Self Help ウィザードで質問を定義または編集しているときに、Local Self Help パラ メータが変わることがあります。例えば、新しい Local Self Help 設定を含まれる新しい ポリシーや新しい Local Self Help 質問が、会社固有の配布メカニズムでコンピュータに 転送されることがあります。 編集プロセス中にこのような変更が発生すると、定義した質問や回答がそれ以降無効 になり、Local Self Help がコンピュータ上で有効になり、その状態を継続するために必 要な質問が不足する可能性があります。 40 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ その結果、Local Self Help ウィザードでの質問の定義または編集が終わるたびに、以下 の状態が当てはまるかどうかがチェックされ、関連する処理が開始されます。 LSH ウィザードの処理 状態 結果 新 し い ポ リ シ ー に よ っ て Local Self Help が無効になったこ Local Self Help がそれ以降使 Local Self Help が無効になりま とを伝えるメッセージが表示さ 用できなくなります。 れ、ウィザードが閉じます。 した。 新しいポリシーによって Local Self Help パラメータが変 更されました (回答の最小長、 独自の質問を定義する権限な ど)。ただし、Local Self Help は。 定義した質問と回答は引き続 き有効なので、Local Self Help をコンピュータ上で有効にす ることはできます。 Local Self Help パラメータが変更 されたことを伝えるメッセージ が表示され、変更が保存されて ウィザードが閉じます。 Local Self Help はコンピュー タ上で有効なままなので、 ログオン復旧のために使用 できます。ただし、使用で きる質問と有効な回答の比 率が変わっている可能性が あります。元の比率に戻す には、質問または回答、あ るいはその両方の追加、削 除が必要です。 新しいポリシーによって Local Self Help パラメータが変 更されました (回答の最小長、 独自の質問を定義する権限な ど)。Local Self Help は引き続き 有効です。ただし、定義した 質問と回答が無効になってい る の で 質 問 が 不 足 し、Local Self Help をコンピュータ上で 有効にできません。 Local Self Help パラメータが変更 されたことを伝えるメッセージ が表示されます。Local Self Help はコンピュータ上で無効になり ます。ウィザードを再実行するこ とを推奨されます。ウィザードが 閉じます。 Local Self Help を有効にする に は、Local Self Help ウ ィ ザードを再実行し、質問と 回答をもう一度定義してく ださい。それにより、ログ オン復旧のために Local Self Help を使用できるようにな ります。 8.5 Local Self Help による POA でのログオン Local Self Help を使用して Power-on Authentication でログオンするには、定義された 10 個の質問からランダムに選択された 5 つの質問に正しく回答する必要があります。 Power-on Authentication で Local Self Help を使用してコンピュータにログオンする方法 は次のとおりです。 1. POA ログオン ダイアログで、ユーザ名を入力します。 [復旧] ボタンが有効になります。 41 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 2. [復旧] をクリックします。 ログオン復旧のために Local Self Help だけが有効になっている場合は、Local Self Help が開始します。 ログオン復旧に対して Local Self Help とチャレンジ/レスポンスが使用可能になっ ている場合は、選択できるように両方の復旧方法を含むダイアログが表示されま す。[Local Self Help] をクリックします。 [Local Self Help の開始] ダイアログが表示されます。 このダイアログには、次の手順についての簡単な説明が表示されます。 3. [次へ] をクリックして、質問への回答を開始します。 最初の質問が [Local Self Help - 質問 1/5] ダイアログに表示されます。 4. 回答を入力します。 デフォルトでは、セキュリティ上の理由から入力されたテキストは入力フィールド に表示されません。回答を表示するには、[回答を非表示] チェック ボックスをオフ にします。 5. 質問に回答した後で、[次へ] をクリックします。 回答を入力してからでないと、[次へ] をクリックして次の質問に進むことはできま せん。 6. 残りの 4 つの質問への回答を続行します。最後の質問に回答した後で、[OK] をク リックします。 次のダイアログで、現在のパスワードを表示できます。 7. パスワードを表示するには、Enter キーまたはスペース キーを押すか、青いボック スをクリックします。 42 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ [OK] をクリックしないでください。[OK] をクリックすると、パスワードを表示せ ずに、起動処理が続行されます。 パスワードは最大 5 秒間表示されます。その後、起動処理が自動的に続行されます。 偶然にも故意にも、権限のない人物に画面の内容を見られないように十分注意してく ださい。スペース キーまたは Enter キーを押すか、青い表示ボックスをクリックして、 すぐにパスワードを非表示にすることができます。 8. Power-on Authentication でのログオンや Windows へのログオンを再度実行する際に そのパスワードを使用します。 9. パスワードを読み取った後で、[OK] をクリックします。そうでない場合は、パス ワードを表示してから 5 秒後に起動処理が自動的に続行されます。 Power-on Authentication および Windows にログオンします。 8.6 ログオンの失敗 1 つ以上の質問に対して間違った回答を入力すると、ログオンに失敗します。この場合 は、ログオンに失敗したことを示すメッセージが表示されます。セキュリティ上の理 由から、Local Self Help ではどの回答が間違っていたかは示されません。 Local Self Help の復旧手順の失敗は、ログオンの失敗と見なされ、イベントとして記録 されます。この場合は、次にログオンできる状態になるまで時間がかかります。ログ オンに失敗するたびに、ログオンできる状態になるまでの待ち時間が長くなります。 ログオンに失敗した後にコンピュータを再起動し、Local Self Help によるログオン復旧 を再度選択した場合は、再び 5 つの質問がランダムに選択されます。 43 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 9 チャレンジ/レスポンスによる復旧 復旧時に情報を暗号化して交換できるように、Sophos SafeGuard には 「チャレンジ / レ スポンス」が用意されています。チャレンジ / レスポンスは、安全性と効率性に優れた 方式です。 チャレンジ / レスポンスでの接続中に、チャレンジ コード (ASCII 文字列 ) を生成し、 このコードをヘルプデスク担当者に提供します。提供されたチャレンジ コードに基づ き、ヘルプデスク担当者は、コンピュータでの特定の処理の実行を承認するレスポン ス コードを生成します。 9.1 前提条件 チャレンジ / レスポンスを使用してログオン復旧を行うには、ヘルプデスクが鍵復旧 ファイルにアクセスできることが前提になります。これらのファイルは、共有パスや 電子メールなどの方法で、事前にヘルプデスクへ提供しておく必要があります。 ユーザがパスワードを忘れた場合、パスワードをリセットするためにそのコンピュー タの別のアカウントが利用できる必要があります。または、パスワード リセット ディ スクを利用することもできます。 チャレンジ / レスポンスを使用すると、ユーザは Power-on Authentication でログオンで きるようになります。Windows パスワードのリセットが必要とされる場合でも、 Windows にログオンすることができます。 9.2 間違ったパスワードを何度も入力した場合 間違ったパスワードを何度も入力して、コンピュータが POA レベルでロックされた場 合は、チャレンジ / レスポンスによってコンピュータを Power-on Authentication で起動 できます。すると、Windows ログオン ダイアログが表示されます。このダイアログで Windows のパスワードを入力してログオンできます。 パスワード入力の最大試行回数のカウンタがリセットされます。 9.3 パスワードを忘れた場合 チャレンジ / レスポンスのパスワードを復旧する場合は、パスワードをリセットする必 要があります。 ヒ ン ト : そのため、忘れてしまったパスワードを復旧するときは、まず Local Self Help を使用することをお勧めします。Local Self Help を使って復旧することで、現在のパス ワードを表示できるので、そのパスワードを引き続き使用できます。パスワードをリ セットする必要がなく、ヘルプデスクに支援を依頼する必要もありません。詳細につ いては、 「34 ページの「Local Self Help による復旧」を参照してください」を参照して ください。 44 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 1. チャレンジ / レスポンスを開始し、ヘルプデスクの指示に従ってください。コン ピュータを Power-on Authentication で起動できるようになります。 2. Windows ログオン ダイアログでも、正しいパスワードがわからないため、Windows レベルでパスワードを変更する必要があります。変更するには、Sophos SafeGuard 以 外に、Windows 標準の方法による復旧処理が必要になります。 Windows レベルでパスワードをリセットする場合、2 つの可能な方法があります。 コンピュータ上で使用できるサービスまたは管理者アカウントのうち、必要な Windows 権限を持つアカウントを使用する Windows パスワード リセット ディスクを使用する ヘルプデスク担当者は、どちらの手順を使用したらよいかをユーザに伝えて、追加 の Windows ログオン情報または必要なディスクを提供します。 3. ヘルプデスクから伝えられた新しいパスワードを Windows レベルで入力し、それを すぐに自分だけが知っている値に変更してください。 新しいパスワードを選択すると、Sophos SafeGuard によって、現在の Sophos SafeGuard パスワードに一致していないことが検出されます。古いパスワードを入力するように 求められます。 4. Windows パスワードを変更した後も古いパスワードを覚えている場合は、ここで古 いパスワードを入力して、Sophos SafeGuard のパスワード変更を実行することもでき ます。そうでない場合は、[キャンセル] をクリックします。 Sophos SafeGuard では、古いパスワードを入力しないで新しいパスワードを定義するに は新しい証明書が必要です。この手続きは、自分で確定する必要があります。新しい ユーザ証明書は、新しく選択された Windows パスワードに基づいて作成されます。こ れにより、ユーザはコンピュータに再度ログオンし、新しいパスワードを使って Poweron Authentication でログオンできます。 5. 新しいパスワードを使用して、POA にログオンします。 ヒ ン ト : SafeGuard Data Exchange の鍵 ヒ ン ト : Windows パスワードを忘れたためにパスワードをリセットした場合は、対応 するパスフレーズがないと、SafeGuard Data Exchange の作成済みの鍵を使用することは できません。SafeGuard Data Exchange の生成済みのユーザ鍵を引き続き使用するには、 これらの鍵を再度有効にするために必要な SafeGuard Data Exchange のパスフレーズを 思い出す必要があります。 ヒ ン ト : SafeGuard Data Exchange は、ESDP (Endpoint Security and Data Protection) ではサ ポートされていません。 45 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 9.4 コンピュータにアクセスできなくなったとき コンピュータにアクセスできなくなった場合は、Power-on Authentication が破損してい る可能性があります。こうした深刻な状況でも、ヘルプデスクの支援を得ながら Sophos SafeGuard のチャレンジ / レスポンスを利用することで、暗号化されたドライブにアク セスできるようになります。この場合、チャレンジ / レスポンスは WinPE 環境で実行 されます。このように深刻な状況になった場合は、Sophos SafeGuard ヘルプデスクに問 い合わせることをお勧めします。ヘルプデスク担当者は、必要なファイルを提供した うえで、コンピュータへのアクセスを回復するために必要な手順を指示してくれます。 9.5 チャレンジ/レスポンス チャレンジ / レスポンスは、次のような場合に開始する必要があります。 間違ったパスワードを何度も入力した場合 パスワードを忘れた場合 破損したキャッシュを修復する場合。 ヒ ン ト : デフォルトでは、ローカル キャッシュが破損するとログオン復旧は無効に なっています。つまり、ローカル キャッシュはバックアップから自動的に復元されます。 この場合、ローカル キャッシュの修復に、チャレンジ / レスポンスは必要ありません。 ただし、ローカル キャッシュをチャレンジ/レスポンスを使って明示的に修復する場合 は、ポリシーに基づいてログオン復旧が有効になります。このとき、ローカル キャッ シュが破損している場合は、チャレンジ/レスポンスを開始することを自動的に求めら れます。 ヒ ン ト : チャレンジ/レスポンスでは、チャレンジを生成してから 30 分以内に、ヘルプ デスクによって生成されたレスポンスを正しく入力する必要があります。30 分経過す ると、レスポンス コードは無効になり、使用できなくなります。 1. POA ログオン ダイアログで [復旧] をクリックします。 ログオン復旧に対してチャレンジ / レスポンスだけが有効になっている場合は、 チャレンジ/レスポンスが開始されます。 ログオン復旧に対してチャレンジ/レスポンスと Local Self Help が使用可能になっ ている場合は、両方の復旧方法を含むダイアログが表示されます。[チャレンジ レ スポンス] ボタンをクリックして、チャレンジ/レスポンスを開始します。 チャレンジ/レスポンスで必要なファイルの名前を示すダイアログが表示されます。 46 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 2. ヘルプデスクに連絡します。ヘルプデスク担当者にファイル名を通知します。 3. [次へ] をクリックします。 ユーザ データとランダムなチャレンジ コードが表示されます。コードは、読みやすい ように 5 文字ずつのブロックに分割されています。(チャレンジ コードを伝えやすくす るために、[スペル支援] ボタンをクリックしてもかまいません)。 4. [次へ] をクリックします。 [チャレンジ/レスポンス - ステップ 3/3] ダイアログが表示されます。 ヘルプデスク担当者が、電話または SMS でユーザにレスポンス コードを通知します。 5. [チャレンジ/レスポンス - ステップ 3/3] ダイアログの入力フィールドにレスポンス コードを入力します。 レスポンス コードを間違って入力すると、間違った文字ブロックが赤色でマークさ れます。 6. [OK] をクリックします。 Power-on Authentication でログオンされました。 47 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 10 システム トレイ アイコンとバルーンヒント 以下の機能は、システム トレイ アイコンから利用できます。 [表示] [鍵リング] 使用可能なすべての鍵を表示します。 ヒ ン ト : Sophos SafeGuard クライアントでは、ドライブのボリューム ベースの暗号化 およびファイル ベースの暗号化のために、定義済みのマシン鍵が使用されます。この 鍵はダイアログに表示されません。コンピュータでローカルに作成された鍵のみ表示 されます。鍵を作成していなかった場合、このダイアログには何も表示されません。 ファイル ベースの暗号化は、ESDP (Endpoint Security and Data Protection) ではサポート されていません。 [証明書] 証明書に関する情報を表示します。 [新しい鍵を作成する] 新しい鍵を作成するためのダイアログが開きます。この鍵は、リムーバブル メディ アを介してデータを交換するときに使用されます。 ヒ ン ト : ESDP では、この機能はサポートされていません。 [鍵バックアップ] 鍵ファイルのバックアップを作成できます。この鍵ファイルは、チャレンジ/レスポ ンスによるログオン復旧に必要です。 [Local Self Help] 関連するポリシーを使用してコンピュータの [Local Self Help] を有効にしている場合 は、システム トレイ アイコンのコンテキスト メニューに [Local Self Help] コマンド が表示されます。このコマンドを使用すると、Local Self Help ウィザードを起動でき ます。Local Self Help は、ヘルプデスクの支援を必要としないログオン復旧手段です。 Local Self Help の詳細については、1 ページの「Local Self Help ?????」を参照してくだ さい)。 [状態]: Sophos SafeGuard で保護されたコンピュータの現在の状態を示すダイアログ ボックスを表示します。 48 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ フィールド 情報 受信した最後のポリシー コンピュータが新しいポリシーを最後に受信した 日時が表示されます。 受信した最後の鍵 コンピュータが新しい鍵を受信した日時が表示さ れます。 受信した最後の証明書 コンピュータが新しい証明書を受信した日時が表 示されます。 SGN ユーザの状態 コンピュータにログオンしているユーザ (Windows ログオン) の状態が表示されます。 保留中 ユーザは、インストール済み Sophos SafeGuard で Sophos SafeGuard ユーザとして割り当てられてい ます。ユーザ データが処理されるまで待ってくだ さい。その後に、ユーザの状態は自動的に SGN ユーザ (Sophos SafeGuard ユーザ) に設定されます。 SGN ユーザ ユーザは、インストール済み Sophos SafeGuard で Sophos SafeGuard ユーザとして割り当てられてい ます。 SGN ゲスト Windows に ロ グオ ン して い るユ ー ザは Sophos SafeGuard ゲ スト ユ ーザ で す。こ の Sophos SafeGuard で 保護 さ れた コ ンピ ュ ータ に Sophos SafeGuard ユーザとして割り当てられていません が、Windows にログオンすることが許可されてい ます。 SGN ゲスト ( サービス アカウント ) Windows にログオンしているユーザは、管理タス ク用のサービス アカウントを使用してログオン した Sophos SafeGuard ゲスト ユーザです。 不明 ユーザの状態が判断できなかったことを示してい ます。 49 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ フィールド 情報 ローカル キャッシュの状態 転送できるデータ パケット Sophos SafeGuard Server に送信されるパッケージ があるかどうかが表示されます。 Local Self Help (LSH) の状態 Local Self Help がポリシーで有効になっているかど うか、およびこのコンピュータ上のユーザが有効 になっているかを示します。 有効 アクティブ ヘルプ Sophos SafeGuard のオンライン ヘルプを起動します。 Sophos SafeGuard のバージョン情報 Sophos SafeGuard のバージョン情報を表示します。 システム トレイ アイコンのバルーン ヒントから、コンピュータが Sophos SafeGuard ク ライアント ( スタンドアロン ) であることがわかります。 ヒ ン ト : バルーンヒントは、初期同期が正常に完了したことを表示します。 ヒ ン ト : 初期同期が正常に完了したら、コンピュータを再起動してください。コン ピュータの再起動後に Sophos SafeGuard のすべての機能が利用可能になります。 50 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 11 SafeGuard Explorer の拡張機能 Windows エクスプローラのショートカット メニューの対応するエントリを介して、暗 号化関連の機能にアクセスすることができます。 11.1 ファイルベースの暗号化のエクスプローラの拡張機能 ヒ ン ト : ファイル ベースの暗号化は、ESDP (Endpoint Security and Data Protection) では サポートされていません。 Windows エクスプローラのコンテキスト メニューの対応するエントリを介して、ファ イル ベースの暗号化の機能 (54 ページの「ファイル ベースの暗号化」を参照してくだ さい ) にアクセスすることができます。これらの機能は、次の項目のコンテキスト メ ニューで使用します。 ボリューム リムーバブル メディア ディレクトリ ファイル [ ファイル暗号化 ] エントリがコンテキスト メニューに追加されます。このメニューか ら、個々の機能にアクセスできます。 ファイルベースの暗号化ポリシーが選択したボリュームに適用されていない場合は、 コンテキスト メニューでは暗号化の状態を確認し、新しい鍵を生成するダイアログを 表示することしかできません。 ファイルベースの暗号化ポリシーが選択したボリューム、リムーバブル メディア、ディ レクトリまたはファイルに適用されている場合、以下のエントリがコンテキスト メ ニューに追加されます。 51 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ヒ ン ト : 表示される機能は、ポリシーで定義された設定によって異なります。また、関 連する機能が選択したボリュームに対して使用できるかどうかによって異なります。 機能の範囲は、ファイルベースまたはボリュームベースの暗号化が関連するボリュー ムに対して使用されたかどうかによって異なります。 次の機能があります。 [ 暗号化を開始する ]: ボリュームのコンテキスト メニューでこのオプションを選択 すると、すべてのファイルを暗号化するか、新しく暗号化することができます。 [暗号化の状態を表示する]: ボリューム、リムーバブル メディアまたはファイルが暗 号化されているかどうか、どの鍵が使用されているか、鍵が鍵リンクに含まれてい るかどうか、このファイルへのアクセス権限があるかどうかを示します。 [復号化]: 選択したボリュームまたはファイルを復号化します。 [デフォルトの鍵]: ボリュームに追加された (保存、コピーまたは移動により) 新しい ファイルで現在使用されている鍵を表示します。標準鍵は、ボリュームまたはリムー バブル メディアごとに個別に定義できます。 [ デフォルトの鍵を設定する ]: 別のデフォルトの鍵を選択するためのダイアログを 開きます。 [ 鍵の管理 ]: [ 新しい鍵を作成する ]: ユーザ定義のローカル鍵を作成するためのダイ アログを開きます。 11.2 ボリューム ベースの暗号化のエクスプローラの拡張機能 [ 暗号化 ] というエントリが Windows エクスプローラのコンテキスト メニューに追加 されます。 ボリュームが暗号化されている場合は、メニュー エントリの横に鍵の記号が表示され ます。 ヒ ン ト : [ファイル暗号化]>[暗号化の状態を表示する] を選択すると、ボリューム上の ファイルの暗号化の状態が、ファイル ベースの暗号化の視点から表示されます。暗号 化されたボリューム上のファイルは、ファイル ベースの暗号化方式でも暗号化されます。 この場合は、それに応じてダイアログが表示されます。 ボリューム ベースの暗号化の詳細については、53 ページの「ボリューム ベースの暗号 化」を参照してください。 52 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 12 データの暗号化 Sophos SafeGuard は、ボリューム ベースまたはファイル ベース方式のいずれかでコン ピュータ上のデータを暗号化します。セキュリティ担当者は、セキュリティ ポリシー で、暗号化されるボリューム ( ドライブ ) を定義します。 12.1 透過的な暗号化 暗号化されたドライブ上のファイルは、透過的に暗号化されます。ファイルを開くと き、編集するとき、および保存するときに、暗号化や復号化の指示は表示されません。 ファイルを開くときにファイルは復号化され、編集できるようになります。ファイル を閉じるときまたは保存するときに、ファイルは再び暗号化されます。 暗号化されたドライブからコンピュータ上の暗号化されていない場所にファイルをコ ピーまたは移動すると ([ 名前を付けて保存 ] も含む )、それらは復号化されます。ファ イルは新しい場所にプレーン テキストで保存されます。 12.2 ボリューム ベースの暗号化 Sophos SafeGuard で保護されたコンピュータのボリュームベースのデータの暗号化に は、自動的に生成されたマシン鍵が使用されます。 このタイプの暗号化を定義するポリシーがユーザのコンピュータに適用されると、 データは自動的に暗号化されます。ボリュームには、これ以上鍵を追加できません。 暗号化処理の間、暗号化の進行状況が Encryption Viewer に表示されます。Encryption Viewer は、最小化されたアイコンで Windows タスク バーに表示されます。アイコンを クリックすると、Encryption Viewer を開くことができます。Encryption Viewer を最小化 したい場合は、[ 閉じる前に通知を表示する ] を有効にして、暗号化が完了したことを 知らせる通知を要求することができます。暗号化が完了すると、ビューアは自動的に 閉じます。暗号化されたボリュームは、コンピュータ上で暗号化されていない任意の ボリュームと同様に使用できます。 ヒ ン ト : Windows 7 Professional、Enterprise、および Ultimate の場合は、システム パー ティションはドライブ文字が割り当てられていないエンドポイント コンピュータ上に 作成されます。このシステム パーティションを Sophos SafeGuard で暗号化することは できません。 53 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 12.3 ファイル ベースの暗号化 ヒ ン ト : ファイル ベースの暗号化は、ESDP (Endpoint Security and Data Protection) では サポートされていません。 ファイルの暗号化を規定するポリシーがコンピュータ上の特定の場所に適用されてい る場合は、Windows エクスプローラで該当するファイルの横に黄色の鍵の記号が表示 されます。 黄色の鍵の記号が表示されているだけでは、そのドライブ上のすべてのファイルがす でに暗号化されているとは限りません。最初に、初期暗号化を実行する必要があります。 ファイル ベースの暗号化では、ユーザがローカルに作成した鍵が使用されます。 ボリュームの暗号化は、自動的に開始されるか、またはユーザがその処理を開始する 必要があります。 1. 暗号化が自動的に開始されない場合は、Sophos SafeGuard Explorer の拡張機能を使用 して [ファイル暗号化]>[暗号化を開始する] を選択します。 2. 暗号化を開始すると、ローカル鍵の選択を求めるダイアログが表示されます。 3. 鍵の選択を求めるダイアログに鍵が 1 つも含まれていない場合は、ダイアログを閉 じてから、最初に 1 つまたは複数の鍵を作成してください ([システム トレイ アイコ ン]>[新しい鍵を作成する])。 4. 再度コンピュータにログオンします。 暗号化が再度開始され、初期暗号化用のダイアログに鍵が表示されます。 5. 鍵を選択し、[OK] をクリックします。 関連するボリューム上のすべてのデータが暗号化されます。 12.3.1 デフォルトの鍵の定義 デフォルトの鍵を定義することにより、処理中に暗号化に使用する鍵を指定します。 1. デフォルトの鍵は、ボリューム上のファイルのショートカット メニューか、リムー バブル メディア自体のショートカット メニューを使用して定義できます。 2. [ファイル暗号化] > [デフォルトの鍵を設定する] を選択して、鍵を選択するための ダイアログを表示します。 選択した鍵は、その後ボリューム上で行われるすべての暗号化処理に使用されます。 3. 別の鍵を使用するには、デフォルトの鍵を新たに定義します。 54 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 12.3.2 暗号化の状態 ファイル ベース方式で暗号化されたボリュームでは、個々のファイルが異なる色の鍵 の記号によってマークされます。鍵の色は暗号化の状態を示します。 緑色の鍵: ファイルは暗号化されており、アクセスすることができます。 灰色の鍵: ファイルに暗号化ポリシーが適用されています。ただし、まだ暗号化され ていません。 赤色の鍵: ファイルが鍵リングに含まれていない鍵を使用して暗号化されています。 ユーザはこのファイルにアクセスできません。 ファイルの暗号化の状態は、ファイルのショートカット メニューから表示することも できます。[ ファイル暗号化 ] > [ 暗号化の状態を表示する ] を選択して、暗号化の状態 を表示するペインを開くことができます。 ボリューム自体のショートカット メニューから [ ファイル暗号化 ] > [ 暗号化の状態 ] を選択すると、すべてのファイルとそれらの暗号化の状態を示すダイアログが表示さ れます。 12.4 ボリュームへのアクセス制限 Sophos SafeGuard は、次の場合にボリュームへのアクセスを拒否します。 12.4.1 暗号化に失敗しているボリューム ボリュームまたはボリュームの種類の暗号化を定義しているポリシーが存在し、暗号 化処理の特定の手順が失敗している場合、そのボリュームへのアクセスは拒否されま す。 そのボリュームにアクセスしようとすると、該当するメッセージが表示されます。 12.4.2 不明なファイル システム オブジェクト 不明なファイル システム オブジェクトとは、プレーンなのか暗号化済みなのかを Sophos SafeGuard が明確に特定できないボリュームのことです。 この種類のボリュームを暗号化することを定義しているポリシーが存在する場合、こ のボリュームへのアクセスは拒否されます。そのボリュームにアクセスしようとする と、該当するメッセージが表示されます。 不明なファイル システム オブジェクトに関する暗号化ポリシーがない場合は、そのボ リュームにアクセスできます。 55 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 13 SafeGuard Data Exchange ヒ ン ト : SafeGuard Data Exchange と SafeGuard Portable は、ESDP (Endpoint Security and Data Protection) ではサポートされていません。 SafeGuard Data Exchange を使用すると、コンピュータに接続されているリムーバブル メ ディアに保存されているデータを暗号化し、他のユーザと交換することができます。暗 号化と復号化の処理はすべて透過的に実行され、ユーザ インタラクションは最小限で 済みます。 " 適切な使用可能な鍵を持つ " ユーザだけが、暗号化されたデータの内容を読み取るこ とができます。その後の暗号化処理はすべて透過的に実行されます。透過的な暗号化 とは、暗号化されて保存されているデータが、アプリケーションによって再びアクセ スされたときに自動的に復号化されることを意味します。 そのファイルを保存するときには、再び自動的に暗号化されます。日常の作業では、 ユーザはデータが暗号化されていることを意識しません。ただし、リムーバブル メディ アを取り外すと、データは暗号化された状態を維持するため、不正なアクセスから保 護されます。権限のないユーザは、ファイルに物理的にアクセスすることはできても、 SafeGuard Data Exchange および適切な鍵がないとファイルを読み取ることはできません。 ヒ ン ト : ユーザのコンピュータ上の SafeGuard Data Exchange の動作は、セキュリティ 担当者によってポリシーに基づいて定義されます。 リムーバブル メディア上のデータ処理方法は、セキュリティ担当者が定義します。例 えば、セキュリティ担当者は、任意のリムーバブル メディアに保存されるファイルに 対して、暗号化を必須として定義することができます。この場合、デバイスに存在す る暗号化されていないすべてのファイルの初期暗号化が行われます。さらに、リムー バブル メディアに保存される新しいファイルがすべて暗号化されます。既存のファイ ルが暗号化されてない場合、セキュリティ担当者は、暗号化されていない既存のファ イルに対するアクセスを許可するように選択できます。この場合、暗号化されていな い既存のファイルは SafeGuard Data Exchange で暗号化されません。ただし、新しいファ イルは暗号化されます。したがって、ユーザは暗号化されていない既存のファイルを 読み取ったり編集したりすることはできますが、ファイルの名前を変更するとすぐに それらのファイルは暗号化されます。あるいは、暗号化されていないファイルへのア クセスが禁止されると、これらのファイルは暗号化されていないままになります。 リムーバブル メディアに保存されている暗号化されたファイルの交換方法として、次 の 2 つが考えられます。 Sophos SafeGuard が受け取り側のコンピュータにインストールされている: 両方が使 用可能な鍵を使用するか、新しい鍵を作成することができます。新しい鍵を生成す る場合は、データの受け取り側に鍵のパスフレーズを通知する必要があります。 Sophos SafeGuard が受け取り側のコンピュータにインストールされていない: Sophos SafeGuard では SafeGuard が提供されています。このユーティリティは、暗号化され たファイルと一緒にリムーバブル メディアにコピーできます。受け取り側は、 SafeGuard Portable と関連するパスフレーズを使用すれば、 SafeGuard Data Exchange が 56 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ コンピュータにインストールされていなくても暗号化されたファイルを復号化して 再度それらを暗号化できます。 13.1 コンピュータに接続されているすべてのリムーバブル ス用の単一メディア パスフレーズ デバイ SafeGuard Data Exchange では、コンピュータに接続されているすべてのリムーバブル デ バイスへのアクセスを許可する単一メディア パスフレーズを定義できます。これは、 個々のファイルを暗号化するために使用された鍵とは関係ありません。 これを指定すると、1 つのメディア パスフレーズを入力するだけで、暗号化されたファ イルへのアクセスが許可されます。メディア パスフレーズはコンピュータに関連付け られます。 メディア パスフレーズは、次のシナリオの場合に役に立ちます。 Sophos SafeGuard がインストールされていないコンピュータでもリムーバブル メ ディア上の暗号化されたデータを使用する (SafeGuard Data Exchange を SafeGuard Portable と併用) データを外部ユーザと交換する:外部ユーザにメディア パスフレーズを提供するこ とにより、個々のファイルの暗号化にどの鍵が使用されたかに関係なく、1 つの単 一パスフレーズを使用してリムーバブル メディア上のすべてのファイルへのアク セスを外部ユーザに許可できます。 また、特定の鍵のパスフレーズだけを外部ユーザに提供して、すべてのファイルへ のアクセスを制限することもできます。この場合、外部ユーザはこの鍵で暗号化さ れるファイルにしかアクセスできません。他のファイルを読み取ることはできません。 コンピュータに SafeGuard Data Exchange がインストールされている場合、リムーバブル メディアは、セキュリティ担当者によって事前に定義された方法で処理されます。 セキュリティ担当者は、次に示す SafeGuard Data Exchange の動作設定を定義できます ( 複数の設定の組み合わせも可能 )。 57 すべてのファイルの初期暗号化 : リムーバブル メディアがコンピュータに接続され ると、直ちに、リムーバブル メディアに含まれているすべてのデータの暗号化が開 始されます。この設定により、リムーバブル メディアに暗号化されたデータのみが 含まれるようになります。暗号化が開始されるとき、鍵の選択を求められます。 ユーザは初期暗号化をキャンセルできる: 初期暗号化の開始時に、初期暗号化をキャ ンセルできるダイアログが表示されます。 ユーザは暗号化されていないデータにアクセスできない : この場合、SafeGuard Data Exchange は、リムーバブル メディア上の暗号化されたデータしか受け入れません。 リムーバブル メディア上に暗号化されていないデータが存在する場合、ユーザによ るそれらのデータへのアクセスを許可しません。ファイルを暗号化してからでない と、そのデータにアクセスできません。 ユーザはファイルを復号化できる : この場合、ユーザはリムーバブル メディア上の Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ファイルを明示的に復号化できます。第三者に渡す場合などには、明示的に復号化 されたファイルはリムーバブル メディア上でプレーン テキストとして残ります。 ユーザはリムーバブル メディアのメディア パスフレーズを定義できる : ユーザは、 最初にリムーバブル メディアを接続したときにメディア パスフレーズを入力する ように求められます。 リムーバブル メディア上のプレーン テキスト フォルダ: セキュリティ担当者は、す べてのリムーバブル メディア上に作成されるプレーン テキスト フォルダを定義で きます。このフォルダ内のファイルは、SafeGuard Data Exchange によって暗号化さ れません。 13.1.1 サポートされるメディア SafeGuard Data Exchange では、次のリムーバブル メディアがサポートされています。 USB メモリ USB または FireWire を介して接続される外付けハード ディスク CD RW ドライブ (UDF) DVD RW ドライブ (UDF) FireWire USB カード リーダーに挿入されたメモリ カード (ZIP、JAZ を含む) 13.2 リムーバブル メディアの暗号化 13.2.1 初期暗号化 リムーバブル メディアに含まれている暗号化されていないデータの暗号化は、メディ アをシステムに接続するとすぐに、自動的に開始されます。暗号化が始まらない場合 は、手動で処理を開始する必要があります。 58 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 1. 暗号化処理を開始するには、Windows エクスプローラのコンテキスト メニューから [ファイル暗号化]>[暗号化を開始する] を選択します。特定の鍵が定義されていない 場合は、鍵を選択するためのダイアログが表示されます。 2. 鍵を選択します。 3. 鍵の選択を求めるダイアログに鍵が 1 つも含まれていない場合は、ダイアログを閉 じてから、最初に 1 つまたは複数の鍵を作成してください ([システム トレイ アイコ ン]>[新しい鍵を作成する])。 4. [OK] をクリックします。 5. リムーバブル メディアに含まれているすべてのデータが暗号化されます。 6. 他の鍵をデフォルトとして設定しない限り、デフォルトの鍵が使用されます。デフォ ルトの鍵を変更した場合は、変更後にコンピュータに接続されるリムーバブル デバ イスの初期暗号化に対して新しい鍵が使用されます。 [ ファイルが別の鍵ですでに暗号化されている場合は、再暗号化します。] がオンになっ ている場合、既存の鍵で暗号化されているファイルは復号化され、新しい鍵を使用し て再度暗号化されます。 59 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 初期暗号化のタイムアウト 初期暗号化が自動的に開始するように設定されている場合は、初期暗号化をキャンセ ルする権限が与えられていることがあります。この場合は、[ キャンセル ] ボタンが有 効になり、[ 開始 ] ボタンが表示され、暗号化処理の開始が 30 秒間遅延されます。この 時間内に [ キャンセル ] ボタンをクリックしなければ、30 秒後に初期暗号化が自動的に 開始されます。[ 開始 ] ボタンをクリックすると、初期暗号化がすぐに開始されます。 13.2.1.1 メディア パスフレーズを使用した場合の初期暗号化 メディア パスフレーズの使用がポリシーで定義されている場合は、初期暗号化の前に メディア パスフレーズを入力するように求められます。 メディア パスフレーズは、ユー ザのすべてのリムーバブル メディアに有効で、ユーザのコンピュータまたはユーザが ログオン権限を持つすべてのコンピュータに結び付けられます。 メディア パスフレーズの入力が完了しないと、初期暗号化は開始されません。メディ ア パスフレーズの入力が完了すると、初期暗号化が自動的に開始されます。 メディア パスフレーズを一度入力した後は、コンピュータに別のデバイスを接続する と、初期暗号化が自動的に開始されます。 ヒ ン ト : メディア パスフレーズが設定されていないコンピュータでは、初期暗号化は 開始されません。 13.2.2 透過的な暗号化 コンピュータの設定で、リムーバブル メディア上のファイルが暗号化されるように規 定されている場合、暗号化と復号化の処理はすべて透過的に実行されます。 ファイルは、リムーバブル メディアに書き込まれるときに暗号化され、リムーバブル メディアから別の場所にコピーまたは移動されるときに復号化されます。 ヒ ン ト : データが復号化されるのは、他の暗号化ポリシーが適用されていない場所に コピーまたは移動される場合だけです。そのような場合は、データはその場所でプレー ン テキストとして利用できるようになります。ファイルの新しい場所に別の暗号化ポ リシーが設定されている場合は、それに従ってデータが暗号化されます。 13.2.2.1 メディア パスフレーズ メディア パスフレーズがポリシーで指定されている場合は、SafeGuard Data Exchange の インストール後にリムーバブル デバイスを初めて接続すると、メディア パスフレーズ を入力するように求められます。 ダイアログが表示されたら、情報をよく読み、メディア パスフレーズを指定してくだ さい。ファイルの暗号化に使用された鍵に関係なく、この単一メディア パスフレーズ を使用してリムーバブル メディア上の暗号化されたすべてのファイルにアクセスでき ます。 60 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ メディア パスフレーズは、そのコンピュータに接続するすべてのデバイスで効力があ ります。メディア パスフレーズは、SafeGuard Portable でも使用でき、ファイルの暗号 化に使用された鍵に関係なく、すべてのファイルへのアクセスを許可します。 13.2.2.2 メディア パスフレーズの変更/リセット システム トレイ アイコンのメニューから [ メディア パスフレーズの変更 ] を使用する と、いつでもメディア パスフレーズを変更できます。ダイアログが表示され、ここで 古いメディア パスフレーズと新しいメディア パスフレーズを入力し、新しいメディア パスフレーズを確認のために再度入力します。 メディア パスフレーズを忘れた場合は、それをリセットするためのオプションがこの ダイアログに表示されます。 [メディア パスフレーズのリセット]オプションをオンに して [OK]をクリックすると、次回ログオン時にメディア パスフレーズがリセットさ れることが通知されます。 すぐにログオフしてから、再度ログオンしてください。次に、トレイ アイコンのメ ニューから [ メディア パスフレーズの変更 ] を選択します。コンピュータ上にメディ ア パスフレーズが存在しないことが通知され、新しいメディア パスフレーズを入力す るように求められます。 13.2.2.3 メディア パスフレーズの同期 デバイスおよびコンピュータ上のメディア パスフレーズは、自動的に同期されます。 コンピュータ上のメディア パスフレーズを変更し、古いバージョンのメディア パスフ レーズがまだ使用されているデバイスを接続した場合は、メディア パスフレーズが同 期されたことが通知されます。これは、ログオン権限を付与されているすべてのコン ピュータに当てはまります。 ヒ ン ト : メディア パスフレーズの変更後は、すべてのリムーバブル メディアをコン ピュータに接続するようにしてください。これにより、新しいメディア パスフレーズ がすべてのデバイスですぐに使用されること (パスフレーズの同期) が保証されます。 13.2.2.4 デフォルトの鍵の定義 デフォルトの鍵を定義することにより、通常の処理中に暗号化に使用する鍵を指定し ます。 デフォルトの鍵は、 リムーバブル メディア上のファイルのショートカット メニューか、 リムーバブル メディアのショートカット メニューを使用して定義できます。また、 [ 鍵の作成 ] ダイアログで新しいローカル鍵を作成するときに、ただちに鍵をデフォル トとして設定することもできます。 鍵を選択するためのダイアログを開くには、[ ファイル暗号化 ] > [ デフォルトの鍵を設 定する ] を選択します。 このダイアログで選択した鍵は、その後リムーバブル メディア上で行われるすべての 暗号化処理に使用されます。別の鍵を使用する場合は、いつでもデフォルトの鍵を新 たに定義できます。 61 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 暗号化に使用するデフォルトの鍵は、ポリシーを使用して指定できます。ポリシーで 定義していない場合は、最初のデフォルトの鍵を指定するように求められます。 13.3 SafeGuard を使用したデータ交換 SafeGuard Data Exchange を使用して安全なデータ交換を行う一般的な例を次に示します。 自分と同じ鍵を持っていない Sophos SafeGuard ユーザとデータを交換する場合 この場合は、ローカル鍵を作成し、この鍵を使用してデータを暗号化します。ロー カルで作成された鍵は、パスフレーズによって保護され、Sophos SafeGuard でイン ポートすることができます。データの受け取り側にパスフレーズを提供します。受 け取り側は、パスフレーズを使用して鍵をインポートし、データにアクセスするこ とができます。 Sophos SafeGuard を使用していないユーザとデータを交換する場合 マシンに Sophos SafeGuard をインストールしていないユーザに対しては、SafeGuard Portable を使用します。SafeGuard Portable を使用してデータを交換するには、ロー カル鍵をパスフレーズと組み合わせて使用する必要があります。 また、SafeGuard Portable をリムーバブル メディアにコピーする必要があります。暗 号化されたデータの受け取り側に、関連するパスフレーズを通知する必要もありま す。ユーザはパスフレーズと SafeGuard Portable を使用して、暗号化されたファイル を復号化し、編集などを行ってから、再び暗号化してリムーバブル メディアに保存 することができます。SafeGuard Portable は自己完結型アプリケーションで、暗号化 されたデータにアクセスするために、他のソフトウェアをホスト システムにインス トールする必要はありません。 ヒ ン ト : SafeGuard Portable をリムーバブル メディアにコピーするかどうかは、セキュ リティ担当者が、ユーザに適用するセキュリティ ポリシーによって決定します。 13.3.1 ファイルからの鍵のインポート ユーザ定義のローカル鍵を使用して暗号化されたデータを含むリムーバブル メディア を受け取った場合は、復号化に必要な鍵を秘密鍵リングにインポートできます。 鍵をインポートするには、関連するパスフレーズが必要です。データを暗号化した人 物から、パスフレーズを入手する必要があります。 リムーバブル デバイス上の該当するファイルを選択し、[ 鍵のインポート ] > [ 鍵の管理 ] > [ 鍵のインポート ] をクリックします。 62 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 表示されるダイアログで、パスフレーズを入力します。鍵がインポートされ、ファイ ルにアクセスできるようになります。 13.3.2 ローカル鍵の作成 ユーザ定義のローカル鍵を作成するには、次の手順を実行します。 1. Windows タスク バーの Sophos SafeGuard システム トレイ アイコンを右クリックし ます。 2. [新しい鍵を作成する] をクリックします。 3. [鍵の作成] ダイアログで、鍵の [名前] と [パスフレーズ] を入力します。 鍵の内部名が下のフィールドに表示されます。 4. 確認のためにパスフレーズを再度入力します。 安全でないパスフレーズを入力すると、警告メッセージが表示されます。セキュリ ティのレベルを高めるには、複雑なパスフレーズを使用することを推奨します。警 告メッセージを無視してそのパスフレーズを使用することもできます。パスフレー 63 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ズは、会社が定義するポリシーにも準拠している必要があります。そうでない場合 は、警告メッセージが表示されます。 5. [ドライブの新しいデフォルト鍵として使用] オプションを選択すると、この新しい 鍵を表示されているドライブのデフォルト鍵としてすぐに設定できます。 ここで指定するデフォルトの鍵は、通常の処理中に暗号化に使用されます。別の鍵 を設定しない限り、この鍵が使用されます。 6. [OK] をクリックします。 この鍵をデフォルトの鍵として定義した場合、これ以降リムーバブル メディアにコ ピーされるデータはすべて、この鍵を使用して暗号化されます。 受け取り側がリムーバブル メディア上のすべてのデータを復号化できるようにするに は、ローカルで作成した鍵を使用してリムーバブル メディア上のデータを再暗号化す る必要があります。これを行うには、Windows エクスプローラでそのデバイスのコン テキスト メニューから [ ファイル暗号化 ]>[ 暗号化を開始する ] を選択します。必要な ローカル鍵を選択し、データを暗号化します。メディア パスフレーズを使用する場合 は、この操作は必要ありません。 13.4 Windows の CD 書き込みウィザードを使用した CD/DVD への ファイルの書き込み ヒ ン ト : Windows XP の CD 書き込みウィザードでは、ファイルを CD に書き込むこと しかできません。Windows XP では、CD 書き込みウィザードを使ってファイルを DVD に書き込むことはできません。 SafeGuard Data Exchange では、Windows の CD 書き込みウィザードを使用して、暗号化 されたファイルを CD に書き込むことができます。 そのためには、CD 記録ドライブに対して暗号化規則を指定する必要があります。 SafeGuard Data Exchange は、CD 書き込みウィザードにダイアログを 1 つ追加します。 このダイアログで、CD へのファイルの書き込み方法 ( 暗号化またはプレーン ) を指定 できます。 ヒ ン ト : CD 記録ドライブに対して暗号化規則が指定されていない場合、ファイルは常 にプレーン テキストで CD に書き込まれます。CD に書き込まれるファイルの暗号化の 状態を指定できる SafeGuard Data Exchange ダイアログは表示されません。 CD の名前を入力した後、[SafeGuard リムーバブル ディスク書き込み拡張 ] が表示され ます。 [ 統計 ] の下に、次の情報が表示されます。 CD に書き込むように選択されたファイルの数 その中の暗号化されているファイルの数 64 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ その中のプレーン ファイルの数 [ 状態 ] の下に、すでに暗号化されたファイルを暗号化するために使用する鍵が表示さ れます。 CD に書き込まれるファイルの暗号化には、CD 記録ドライブの暗号化規則で指定され ている鍵が常に使用されます。 CD 記録ドライブの暗号化規則が変更されている場合は、CD に書き込まれるファイル が異なる鍵で暗号化されることがあります。ファイルの追加時に暗号化規則が無効に なっていた場合、関連するプレーン ファイルは CD にコピーされるファイルのフォル ダ内にあります。 13.4.1 CD でのファイルの暗号化 ファイルを暗号化して CD に書き込む場合は、[ すべてのファイルの ( 再 ) 暗号化 ] を クリックします。 必要に応じて、すでに暗号化されたファイルは再暗号化され、プレーン ファイルは暗 号化されます。CD 上で、ファイルは CD 記録ドライブの暗号化規則で指定された鍵を 使用して暗号化されます。 13.4.2 プレーンでの CD へのファイルの書き込み [ すべてのファイルの復号化 ] を選択した場合、ファイルは復号化されてから CD に書 き込まれます。 13.4.3 光学メディアへの SafeGuard Portable のコピー このオプションを選択した場合は、SafeGuard Portable も CD にコピーされます。これに よ り、SafeGuard Data Exchange が イン ス トー ル され て いな く ても、SafeGuard Data Exchange で暗号化されたファイルを読み取り、編集することができます。 13.4.4 Windows Vista での CD/DVD への書き込み Windows Vista には、CD/DVD 用の CD 書き込みウィザードもあります。 CD 書き込みウィザードの [SafeGuard ディスク書き込み拡張 ] は、マスタ形式で CD/ DVD に書き込む場合にのみ使用できます。このウィザードが表示されるのは、ファイ ルがマスタ形式で CD/DVD に書き込まれる場合に限られます。 ライブ ファイル システムの場合は、ディスクの書き込みウィザードは必要ありません。 この場合、記録ドライブはその他のリムーバブル メディアと同じように使用されます。 記録ドライブの暗号化規則が設定されている場合、ファイルは CD/DVD にコピーされ るときに自動的に暗号化されます。 65 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 13.5 SafeGuard Portable ヒ ン ト : SafeGuard Portable は、ESDP (Endpoint Security and Data Protection) ではサポー トされていません。 SafeGuard Portable を使用すると、受け取り側のマシンに SafeGuard Data Exchange がイン ストールされていない場合でも、暗号化されたデータをリムーバブル メディアを介し て 交換 す るこ と がで き ます。SafeGuard Data Exchange で 暗号 化 され た デー タ は、 SafeGuard Portable を使用して暗号化および復号化することができます。これは、プロ グラム (SGPortable.exe) がリムーバブル メディアに自動的にコピーされることによって 可能になります。 ヒ ン ト : SafeGuard Portable では、AES 256 によるファイルの暗号化または復号化のみが 行われます。 SafeGuard Portable および関連するメディア パスフレーズを組み合わせることで、暗号 化に使用された鍵に関係なく、暗号化されたすべてのファイルにアクセスできます。 ローカル鍵のパスフレーズの場合は、この鍵を使用して暗号化されたファイルだけに アクセスできます。受け取り側は、暗号化されたデータを復号化し、再び暗号化でき ます。 ヒ ン ト : メディア パスフレーズまたはローカル鍵のパスフレーズは、事前に受け取り 側に伝えておく必要があります。 受け取り側は、SafeGuard Data Exchange で作成された既存の暗号化鍵を使用するか、 SafeGuard Portable で新しい鍵を作成することができます ( 新規ファイルの場合など )。 受け取り側のマシンに SafeGuard Portable のインストールやコピーは必要はありませ ん。SafeGuard Portable は、リムーバブル メディアに保存されます。 ヒ ン ト : 通常、Sophos SafeGuard ユーザには SafeGuard Portable は必要ありません。以 下の説明は、ユーザのコンピュータに Sophos SafeGuard がインストールされていないエ ンドポイント上で SafeGuard Portable を使用し、暗号化されたデータを編集する必要が ある状況を前提にしています。 13.5.1 SafeGuard Portable を使用したファイルの編集 SafeGuard Data Exchange を使用して暗号化されたファイルと、SGPortable という名前 のフォ ルダを含むリム ーバブル メディア を受け取りまし た。この フォルダには SGPortable.exe ファイルが入っています。 1. SGPortable.exe をダブルクリックして、SafeGuard Portable を起動します。 SafeGuard Portable を使用して、リムーバブル メディア上の暗号化されたデータを復 号化し、再び暗号化することができます。SafeGuard Portable は Windows エクスプ ローラに類似した機能を提供します。 66 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ SafeGuard Portable には、Windows エクスプローラに認識されているファイルの詳細 情報 (名前、サイズなど) のほかに、[鍵] 列が表示されます。この列には、そのデー タが暗号化されているかが示されます。ファイルが暗号化されている場合は、使用 された鍵の名前が表示されます。 ヒ ン ト : 使用された鍵に関連するパスフレーズを知っている場合のみ、ファイルを復 号化できます。 2. リムーバブル メディア上のファイルを編集するには、ファイルを左クリックして選 択し、ショートカット メニュー (右クリックで表示される) または [ファイル] メニューから関連するコマンドを選択します。 ショートカット メニューには、次のメニュー コマンドがあります。 暗号化鍵の設定 [鍵の入力] ダイアログを開きます。このダイアログ では、SafeGuard Portable を使用して暗号化鍵を生成 できます。 暗号化 リムーバブル メディア上でアクティブになってい るファイルを暗号化します。暗号化には、最後に使 用された鍵が使用されます。 復号化 [ パスフレーズの入力 ] ダイアログ ボックスを開き ます。このダイアログでは、選択したファイルを復 号化するためのパスフレーズを入力します。 暗号化の状態 ダイアログを表示し、ファイルの暗号化の状態を表 示します。 67 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ コピー先 選択したフォルダにファイルをコピーし、復号化し ます。 削除 アクティブになっているファイルをリムーバブル メディアから削除します。 ツール バーに表示されるアイコンを使用して、[開く]、[削除]、[暗号化]、[復号化]、 および [コピー ] の各コマンドを選択することもできます。 13.5.1.1 暗号化鍵の設定 リムーバル メディア上のファイルを暗号化するための暗号化鍵を作成するには、次の 手順を実行します。 1. ショートカット メニューまたは [ファイル] メニューから [暗号化鍵の設定] を選択 します。 [鍵の入力] ダイアログが表示されます。 2. 鍵の [名前] および [パスフレーズ] を入力します。パスフレーズを [確認] し、[OK] をクリックします。 パスフレーズは、会社が定義するポリシーに準拠している必要があります。そうで ない場合は、警告メッセージが表示されます。 鍵が作成され、これ以降の暗号化に使用されます。 13.5.1.2 暗号化 リムーバブル メディア上のファイルを暗号化するには、次の手順を実行します。 1. SafeGuard Portable Explorer でファイルを選択し、ショートカット メニューから [暗号 化] を選択します。 ファイルは、SafeGuard Portable によって最後に使用された鍵で暗号化されます。 SafeGuard Portable Explorer でドラッグ アンド ドロップを使用してリムーバブル メ ディア上に新しいファイルを保存するときは、ファイルを暗号化するかどうかを確 認するメッセージが表示されます。 暗号化する場合で、以前に SafeGuard Portable で暗号化を行ったことがないときは、 鍵を設定するためのダイアログが開きます。このダイアログで鍵の名前とパスフ レーズを入力し、確認のためにパスフレーズを再度入力します。[OK] をクリックし ます。 2. 設定した鍵で暗号化するファイルを選択し、ショートカット メニューまたは [ ファ イル] メニューから [暗号化] を選択します。 68 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ファイルが暗号化され、完了時にメッセージが表示されます。 ヒ ン ト : 新しい鍵を設定しないかぎり、SafeGuard Portable によって最後に使用され設 定されている鍵が、SafeGuard Portable を使用して行うその後のすべての暗号化処理に 使用されます。 13.5.1.3 復号化 リムーバブル メディア上のファイルを復号化するには、次の手順を実行します。 1. SafeGuard Portable Explorer でファイルを選択し、ショートカット メニューから [復号 化] を選択します。 メディア パスフレーズまたはローカル鍵のパスフレーズを入力するためのダイアログ が表示されます。 2. 関連するパスフレーズを入力し ( このパスフレーズは送り元から入手する必要があ ります)、[OK] をクリックします。 ファイルが復号化されます。 メディア パスフレーズは、ファイルの暗号化にどの鍵が使用されたかに関係なく、リ ムーバブル メディア上の暗号化されたすべてのファイルへのアクセスを許可します。 ローカル鍵のパスフレーズだけを持っている場合は、この鍵を使って暗号化される ファイルだけにアクセスできます。 SafeGuard Portable で生成した鍵を使用してファイルが暗号化されている場合 、この ファイルは自動的に復号化されます。 リムーバブル メディア上のファイルを復号化し、鍵のパスフレーズを入力したら、次 回、同じ鍵を使用して暗号化されたファイルを暗号化または復号化するときには、再 度パスフレーズを入力する必要はありません。 SafeGuard Portable は、アプリケーションが実行されている間は、パスフレーズを保存 しています。前回、SafeGuard Portable によって使用された鍵が暗号化に使用されます。 ファイルを復号化すると、これらのファイルはリムーバブル メディア上でプレーン テ キストとして使用可能になります。復号化されたファイルは、SafeGuard Portable を閉 じるときに自動的に暗号化されます。 13.5.1.4 SafeGuard Portable を使用した新規ファイルの暗号化 SafeGuard Portable を使用すると、新規のファイルを暗号化された形式でリムーバブル メディアにコピーすることもできます。 そのためには、次の手順を実行します。 1. ドラッグ アンド ドロップを使用して、目的のファイルを SafeGuard Portable Explorer に移動します。 69 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ ファイルを暗号化するかどうかをたずねるメッセージが表示されます。 2. 確認すると、最後に使用された鍵でファイルが暗号化され、リムーバブル メディア にコピーされます。 13.5.1.5 暗号化の状態 ファイルの暗号化状態を確認するには、次の手順を実行します。 1. ファイルを選択し、ショートカット メニューまたは [ファイル] メニューから [暗号 化の状態] を選択します。 暗号化の状態は、SafeGuard Portable Explorer のファイル名の横にある [鍵] 列にも表 示されます。 13.5.2 SafeGuard Portable を使用したその他の操作 次の操作を行うこともできます。 [開く]: このメニュー コマンドは、SafeGuard Portable の [ファイル] メニューだけに 用意されています。 このメニュー コマンドを使用して暗号化されたファイルを開くと、パスフレーズの 入力を求められます。パスフレーズを入力し、[OK] をクリックします。ファイルが 復号化されて開きます。 [削除]: 選択したファイルを削除します。 [コピー先]: このメニュー コマンドは、SafeGuard Portable Explorer で右クリックで開 くことができるショートカット メニューだけに用意されています。 このコマンドを使用して、リムーバブル メディアからコンピュータ上の別のドライ ブにファイルをコピーできます。 [終了]: このメニュー コマンドは、SafeGuard Portable の [ファイル] メニューだけに 用意されています。 [終了] によって SafeGuard Portable が閉じます。 70 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 14 Sophos SafeGuard と Lenovo Rescue and Recovery Lenovo Rescue and Recovery は、ESDP (Endpoint Security and Data Protection) ではサポー トされていません。 Sophos SafeGuard でサポートされている Lenovo Rescue and Recovery (RnR) のバージョン については、ナレッジ ベースを参照してください: http://www.sophos.com/support/ knowledgebase/article/108383.html オペレーティング システムの完全なバックアップを、暗号化されたパーティションに 復元できます。先にハード ディスクを復号化する必要はありません。これにより、障 害復旧の時間が大幅に短縮されます。Sophos SafeGuard は、この機能に関して Lenovo から正式に認定されています。 Lenovo Rescue and Recovery の主な機能は、キーが押されたときにデータを復元すること です。Rescue and Recovery は、プライマリ オペレーティング システムが破損して起動 できなくなっても、緊急用の環境 (WinPE) を通じてデータを保存します。復旧ツール には、Microsoft Windows デスクトップからアクセスできるほか、Lenovo システムにあ る青色の [ThinkVantage] キーを押してアクセスすることもできます。 Lenovo Rescue and Recovery は、管理サポートを受けることができないモバイル ユーザ に特に有用です。例えば、出張中に Lenovo Rescue and Recovery を使用してコンピュー タを復元できます。 14.1 概要 Sophos SafeGuard は、Rescue and Recovery 機能と統合されており、Lenovo ノート PC の キーボードにある青い [ThinkVantage] ボタン、または Lenovo デスクトップ PC のキー ボードにある青い [Enter] ボタンなどの Lenovo 機能をサポートします。 こうした機能の統合を利用して、効率的なバックアップ / 復旧方式と Sophos SafeGuard で暗号化されたオペレーティング・システム パーティションを組み合わせることがで きます。暗号化された Sophos SafeGuard システムのバックアップは、RnR によって使用 されるすべてのディスク ドライブに保存できます。したがって、緊急時には、仮想パー ティションやサービス パーティションから、または CD/DVD や USB ハード ディスク などのリムーバブル デバイスからバックアップをロードすることで、システムを復元 できます。 Sophos SafeGuard はシステムの復元の影響を受けず、すべての暗号化の設定がそのまま 維持されるため、ソフトウェアを再インストールする必要がありません。暗号化をや り直す必要はありません。 Sophos SafeGuard 環境では、Rescue and Recovery は WinPE の復旧をベースにして動作し ます。WinPE は、次のような異なる環境から起動できます。 71 仮想パーティションまたはサービス パーティション CD/DVD または USB ハード ディスクなどのリムーバブル デバイス Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 14.2 要件 デスクトップ PC やノート PC の最新の BIOS Rescue and Recovery のバージョンと Sophos SafeGuard のバージョンの互換性について は、ナレッジベースを参照してください:http://www.sophos.com/support/ knowledgebase/article/108383.html Lenovo の Rescue and Recovery を使用して、Sophos SafeGuard の暗号化されたボリュー ムを復旧できます。そのためには、SGNClient.msi インストール パッケージをイ ンストールする必要があります。 Rescue and Recovery を使用するには、定義済みのマシン鍵でボリュームを暗号化す る必要があります。他の鍵で暗号化したボリュームは、Rescue and Recovery ではサ ポートされません。 14.3 インストール Rescue and Recovery ソフトウェアをサービス パーティションのないハード ディスクに インストールすると、次のようになります。 Rescue and Recovery 環境は、コンピュータのハード ディスクの "C:" パーティション ( マスタ ハード ディスクのプライマリ パーティション ) の仮想パーティションにイン ストールされます。 この後のセクションでは、Rescue and Recovery と Sophos SafeGuard のインストール順序 に 注意 し てく だ さい。Lenovo Rescue and Recovery を 先 にイ ン スト ー ルし、Sophos SafeGuard を後でインストールすることを推奨します。 14.3.1 Rescue and Recovery と Sophos SafeGuard の両方をインストールする場合 次のインストール順序を推奨します。 1. Rescue and Recovery の最新バージョンをインストールします。 2. Sophos SafeGuard Device Encryption モジュール (SGNClient.msi) の最新バージョン をインストールします。 Sophos SafeGuard によって、Rescue and Recovery がインストールされているかどうか がチェックされ、Sophos SafeGuard のファイルや構成が Lenovo の復旧環境に追加さ れます。 3. Power-on Authentication が有効になっていることを確認し、権限のないユーザがバッ クアップを復元できないようにします。 Sophos SafeGuard のインストール時に Power-on Authentication を有効にします。 72 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 14.3.2 Sophos SafeGuard Device Encryption がすでにインストールされている場 合 Rescue and Recovery の必要なインストール手順は、RnR WinPE がある場所によって異な ります。 RnR WinPE が最初のハード ディスクのサービス パーティションまたは仮想パー ティションにある場合 この場合、Sophos SafeGuard の自動設定は、RnR WinPE 環境に対しては実行されま せん。ユーザは、SetupWinPE.exe という名前の Sophos SafeGuard ツールを起動し て、Sophos SafeGuard で使用するように RnR WinPE をセットアップする必要があり ます。このツールによって、WinPE 環境に必要なすべての変更が実行されます。 ヒ ン ト : SetupWinPE.exe は、現在インストールされている RnR を新しいバージョンに アッ プ グレ ー ドす る 場合 に も使 用 しま す。RnR をア ッ プグ レ ード す る場 合 は、 SetupWinPE.exe を再度実行し、すべての必要な WinPE の変更が行われていることを確 認することをお勧めします。 ヒ ン ト : このツールは、ローカル ハード ディスクに存在する RnR WinPE に対しての み使用できることに注意してください。 a) Rescue and Recovery をローカル ハード ディスクにインストールします。 b) 次のツールを実行します。 SetupWinPE.exe -r c) Windows オペレーティング システムを再起動します。 RnR WinPE が CD-ROM または外部のハード ディスクに存在する場合 RnR の機能 "Rescue and Recovery メディアの作成" で WinPE を作成した場合は、RnR WinPE 環境に対して必要なすべての変更はすでに行われています。 a) Rescue and Recovery をインストールします。 b) Windows オペレーティング システムを再起動します。 14.3.3 Rescue and Recovery がすでにインストールされている場合 RnR WinPE が最初のハード ディスクのサービス パーティションまたは仮想パーティ ションにある場合 この場合は、すべての必要なドライバとファイルは RnR WinPE の対応する場所にコ ピーされ、必要なレジストリ エントリは WinPE のレジストリ ファイルに追加されてい ます。 Sophos SafeGuard Device Encryption モジュール (SGNClient.msi) の最新バージョンを インストールします。 73 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ Sophos SafeGuard によって、Rescue and Recovery がインストールされているかどうかが チェックされ、Sophos SafeGuard のファイルや構成が Lenovo の復旧環境 (WinPE) に追 加されます。 14.4 アップグレード アップグレードとは、Sophos SafeGuard および Rescue and Recovery がインストール済み であり、いずれかまたは両方を新しいバージョンにアップグレードすることを意味し ます。 14.4.1 Sophos SafeGuard のアップグレード Sophos SafeGuard をアップグレードする場合は、システム全体が更新されるため、その 他の構成の設定は不要です。 14.4.2 Rescue and Recovery のアップグレード Rescue and Recovery を アッ プ グレ ー ドす る 場合 は、更新 の 後、再 起 動の 前 に、 SetupWinPE.exe を実行します。 14.5 アンインストール ソフトウェア製品をアンインストールするときは、次の点を考慮してください。 Sophos SafeGuard を先にアンインストールしてから、Rescue and Recovery をアンイン ストールすることを推奨します。Rescue and Recovery がまだインストールされてい る間に Sophos SafeGuard をアンインストールすると、追加されたドライブ、ファイ ル、レジストリ エントリなどの、Sophos SafeGuard に固有の変更はすべて、RnR WinPE から削除されます。 システムを復元した直後に、Sophos SafeGuard をアンインストールしないでください。 システムを復元した後は、コンピュータを一度起動してから Sophos SafeGuard をア ンインストールしてください。 Sophos SafeGuard がまだインストールされている間に Rescue and Recovery を削除する と、MBR ブート セクタでの RnR の変更が削除され、元の MBR ブート セクタに戻り ます。 74 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 14.6 起動環境と復旧オプション Sophos SafeGuard では、次の方法で Power-on Authentication (POA) で正常にログオン後、 Rescue and Recovery 環境を起動できます。 ローカル ハード ディスクから ローカル ハード ディスクの仮想パーティションまたはローカルなサービス パー ティション ボリュームは、定義済みのマシン鍵を使用して Sophos SafeGuard で暗号化されてい る必要があります。すべての必要なドライバが RnR WinPE に追加されている必要が あります。その場合は、定義済みのマシン鍵を RnR WinPE 環境で使用でき、ボリュー ムに再びアクセスできます。 ヒ ン ト : 次の場所の BIOS から直接起動した場合は、Sophos SafeGuard を使用して Rescue and Recovery 環境を起動することはできません。 ブート可能な CD/DVD またはブート可能なリムーバブル メディア この場合は、POA での認証は実行されず、鍵を使用できないので、暗号化されたボ リュームにはアクセスできません。BIOS から Rescue and Recovery を直接起動すると、 オペレーティング システムが復旧されます。復元プロセスの間に、Sophos SafeGuard は削除されます。セキュリティで保護されたシステムに戻すには、Sophos SafeGuard を再インストールする必要があります。 14.7 バックアップの作成 バックアップを作成するには、Windows で Rescue and Recovery を使用します。Rescue and Recovery がすでにインストールされたコンピュータに後から Sophos SafeGuard をイ ンストールした場合は、メッセージが表示されてシステムの新しいバックアップの作 成を求められます。 Rescue and Recovery を使用してシステムのバックアップを作成する前に、Lenovo のマ ニュアルをお読みください。 Sophos SafeGuard がサポートするバックアップの保存先は、次の場所だけです。 75 ローカル ハード ディスク セカンダリ ハード ディスク USB ハード ディスク ネットワーク USB メモリ スティック CD/DVD Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ デフォルトでは、バックアップは C:\RRUbackups フォルダに保存されます。このフォ ルダをプライマリ ハード ディスク ドライブのローカル パーティションに保存すると、 Rescue and Recovery によって保護されます。その場合、このフォルダを削除することは できません。 14.8 ファイルのバックアップの復元 Sophos SafeGuard がインストールされたシステムで、Rescue and Recovery を使用して バックアップからファイルやフォルダを復元できます。Windows を起動し、Rescue and Recovery を起動して、選択したファイルを復元します。復元完了後にマシンを再起動す る必要はなく、ファイルをすぐに使用できます。 14.9 Sophos SafeGuard システムの復元 バックアップから、Sophos SafeGuard も含めてシステム全体を復元するには、Rescue and Recovery 環境を起動する必要があります。起動プロセスの間に次のキーを押すとすぐ に、RnR 環境が表示されます。 Thinkvantage (Lenovo ノート PC) 青い Enter キー (Lenovo デスクトップ PC) 他のキーボードの F11 キー 1. Lenovo コンピュータを使用している場合: a) Lenovo ノート PC のキーボードにある青い [ThinkVantage] ボタン、または Lenovo デスクトップ PC のキーボードにある青い [Enter] ボタンを押して、ローカル ハー ド ディスクから Rescue and Recovery 環境を起動します。 Power-on Authentication が表示されます。 b) Sophos SafeGuard ログオン情報を入力します。 2. Lenovo コンピュータを使用していない場合: a) Sophos SafeGuard ログオン情報を使用して POA にログオンします。 b) コンピュータの起動中に、F11 キーを押して Rescue and Recovery 環境を起動しま す。 Rescue and Recovery のユーザ インターフェイスが表示されます。ようこそ画面が表示さ れます。 3. [次へ] をクリックします。 4. 左側のメニューで、[バックアップ復元] を選択します。 76 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ バックアップを選択できるダイアログが表示されます。 5. バックアップを選択し、復元します。 14.10 サービス パーティションと工場出荷時復元パーティション Lenovo の新しいコンピュータには、特別なパーティションがプリインストールされて います。 Lenovo サービス パーティション: Rescue and Recovery の起動環境が含まれます。 工場出荷時復元パーティション : コンピュータの工場出荷時設定および工場出荷時 復元機能に関するすべての情報が含まれます。 これらのパーティションは、Windows では別のドライブ名で表示されます。 ヒ ン ト : これらのパーティションがコンピュータにある場合、暗号化ポリシー (すべて のボリュームの暗号化など) が定義されていても、これらは暗号化されません。 コンピュータにこれらのパーティションがなく、作成する場合は、Sophos SafeGuard を インストールする前に作成してください。詳細については、Lenovo のドキュメントを 参照してください。 14.11 無効になっている POA と Lenovo Rescue and Recovery Power-on Authentication がユーザのコンピュータで無効になっている場合は、暗号化さ れ たフ ァ イル が Rescue and Recovery 環境 か らア ク セス さ れな い よう に Rescue and Recovery 認証を有効にするようにしてください。 Rescue and Recovery 認証 を 有効 に する 方 法の 詳 細に つ いて は、Lenovo Rescue and Recovery のドキュメントを参照してください。 77 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 15 テクニカルサポート ソフォス製品のテクニカルサポートは、次のような形でご提供しております。 「SophosTalk」ユーザーフォーラム ( 英語 ) (http://community.sophos.com/) のご利用。 さまざまな問題に関する情報を検索できます。 ソフォス サポートデータベースのご利用。http://www.sophos.co.jp/support/ 製品ドキュメントのダウンロード。http://www.sophos.co.jp/support/docs/ メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および適用してい るパッチの種類、エラーメッセージの内容などを、[email protected] までお送り ください。 78 Sophos SafeGuard Disk Encryption 5.50, Sophos SafeGuard Easy 5.50 ユーザ ヘルプ 16 著作権 Copyright © 1996 - 2010 Sophos Group and Utimaco Safeware AG. All rights reserved. この出版物の一部または全部を、電子的、機械的、写真複写、録音、その他いかなる 形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許 可されている、もしくは著作権所有者からの書面による事前の許可を与えられている 有効なライセンシーである場合を除き、無断で複製、検索システムに保存、または送 信することを禁じます。 ソフォスは、Sophos Plc およびソフォス グループの登録商標です。SafeGuard は、ソフォ ス グループのメンバーであるウティマコ セーフウェア AG の登録商標です。その他記 載されている製品名、会社名は、各社の商標または登録商標です。 すべての SafeGuard 製品の著作権は、ソフォス グループのメンバーであるウティマコ セーフウェア AG、または適宜そのライセンサーに帰属します。その他のすべてのソ フォス製品の著作権は、Sophos Plc、または適宜そのライセンサーに帰属します。 サード パーティ サプライヤの著作権情報については、 製品ディレクトリ内の Disclaimer and Copyright for 3rd Party Software.rtf ファイルを参照してください。 79