Comments
Description
Transcript
Sophos SafeGuard
Sophos SafeGuard Disk Encryption 5.50 Sophos SafeGuard Easy 5.50 管理者ヘルプ ドキュメント更新日 : 2010 年 11 月 目次 1 Sophos SafeGuard について ...................................................... 3 2 SafeGuard Policy Editor ........................................................................................................................ 5 3 エンドポイント コンピュータ上の Sophos SafeGuard.................................................................. 7 4 データの暗号化 ............................................................... 8 5 はじめに .................................................................... 12 6 インストール ................................................................ 18 7 複数の OS を使用するコンピュータへの Sophos SafeGuard クライアントの インストール...................................................................................................................................... 38 8 Sophos SafeGuard Policy Editor にログオンします。................................. 41 9 ポリシーの操作 .............................................................. 42 10 設定パッケージの操作 ........................................................ 47 11 企業およびマスタ セキュリティ担当者 (MSO) の証明書のエクスポート ............. 49 12 破損した Sophos SafeGuard Policy Editor インストールの復元 ....................... 51 13 破損したデータベース設定の復元 .............................................. 52 14 エンドポイント コンピュータ用の管理アクセス オプション ....................... 53 15 デフォルト ポリシー ......................................................... 66 16 ポリシー設定 ................................................................ 77 17 SafeGuard Data Exchange ................................................................................................................. 113 18 Power-on Authentication (POA)...................................................................................................... 116 1 19 復旧オプション ............................................................. 125 20 Local Self Help による復旧 .................................................... 126 21 チャレンジ / レスポンスによる復旧 ........................................... 132 22 システム復旧 ............................................................... 148 23 エンドポイント コンピュータからのアンインストールの防止 .................... 151 24 Sophos SafeGuard のアップデート .............................................. 152 25 Sophos SafeGuard 5.5x の SafeGuard Enterprise へのアップグレード .................. 156 26 SafeGuard Easy 4.x/ Sophos SafeGuard Disk Encryption 4.x から Sophos SafeGuard 5.5x への アップグレード ............................................................................................................................... 159 27 テクニカルサポート ......................................................... 168 28 著作権 ..................................................................... 169 2 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 1 Sophos SafeGuard について Sophos SafeGuard は最新技術を結集したデータ セキュリティ ソリューションであり、 ポ リシーベースの暗号化戦略を用いてエンドポイント コンピュータの情報を強力に保護 します。 管理は Sophos SafeGuard Policy Editor で行います。これを使って、セキュリティ ポリ シーを作成および管理したり、復元機能を提供したりします。ポリシーは、設定パッ ケージとしてエンドポイント コンピュータに展開されます。一般ユーザに対しての データ暗号化と不正アクセスからの保護は、Sophos SafeGuard の主要なセキュリティ機 能です。Sophos SafeGuard はユーザの通常の環境にシームレスに統合でき、そのため使 いやすく、直感的に分かりやすくなっています。Sophos SafeGuard の認証システムであ る Power-On Authentication (POA) は強力なアクセス保護を実現し、ログオン情報を復旧 する場合にユーザフレンドリなサポートを提供します。 1.1 製品バンドル Sophos SafeGuard は、SGE (SafeGuard Easy) お よ び ESDP (Endpoint Security and Data Protection) 製品バンドルに含まれています。バージョン 5.50 SGE からは、製品名が SafeGuard Enterprise Standalone になりました。バンドルごとに、モジュールと機能が異 なります。ESDP で使用できないモジュールと機能については、このマニュアルでその ことが明記されています。 3 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 1.2 Sophos SafeGuard コンポーネント Sophos SafeGuard は、以下のコンポーネントで構成されています。 コンポーネント 説明 Sophos SafeGuard Policy Editor 暗号化および認証ポリシーを作成するために使用される Sophos SafeGuard 管理ツール。 初期設定時に、一連のデフォルト ポリシーとデフォルト のエンドポイント コンピュータ用設定パッケージを作成 することができます。 Sophos SafeGuard Policy Editor には、ユーザがパスワードを 忘れた場合などのために、エンドポイント コンピュータ に再びアクセスできるようにする復旧機能も用意されて います。 Sophos SafeGuard データベース Sophos SafeGuard データベースは、エンドポイント コン ピュータのポリシー設定に関するすべての関連データを 保持します。 エンドポイント コンピュータ上の エンドポイント コンピュータ上の暗号化ソフトウェア Sophos SafeGuard ソフトウェア 4 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 2 SafeGuard Policy Editor Sophos SafeGuard Policy Editor は、ローカルで管理する Sophos SafeGuard で保護されたコ ンピュータ用の管理ツールです。 Sophos SafeGuard Policy Editor は、管理タスクの実行に使用するコンピュータにインス トールします。セキュリティ担当者は、Sophos SafeGuard Policy Editor を使用して、Sophos SafeGuard ポリシーを管理し、エンドポイント コンピュータ用の構成設定を作成しま す。ポリシーと設定は、設定パッケージにエクスポートされてエンドポイント コン ピュータに展開されます。複数の設定パッケージを作成し、サード パーティのメカニ ズムを使用して配布できます。パッケージは、Sophos SafeGuard 暗号化ソフトウェアを インストールするときに配布できます。後でエンドポイント コンピュータ上の設定を 変更するために、別の設定パッケージを展開できます。 Sophos SafeGuard Policy Editor には、ユーザがパスワードを忘れた場合などのために、エ ンドポイント コンピュータに再びアクセスできるようにする復旧機能も用意されてい ます。 2.1 機能 便宜のため、および管理を容易にするために、Sophos SafeGuard Policy Editor には、次 の機能があります。 5 デフォルト設定: Sophos SafeGuard Policy Editor の初期設定中に、エンドポイント コ ンピュータに推奨される事前設定ポリシーが含まれる設定パッケージをデフォルト で作成できます。デフォルト ポリシーで対応できない要件がある場合は、Sophos SafeGuard Policy Editor で独自のポリシーを定義できます。 管理アクセス オプション: エンドポイント コンピュータ上でインストール後の管理 タスク用アクセス要件に対応するために、Sophos SafeGuard には管理アクセス オプ ション サービス アカウントと POA アクセス アカウントが用意されています。 暗号化鍵: SafeGuard Device Encryption (ボリューム ベースの暗号化) には、自動的に 生成されるマシン鍵が使用されます。SafeGuard Data Exchange (ファイル ベースの暗 号化 ) には、エンドポイント コンピュータ上でローカルに生成される鍵が使用され ます。SafeGuard Data Exchange は、ESDP (Endpoint Security and Data Protection) では サポートされていません。 Local Self Help: パスワードを忘れた場合の復旧のために、Sophos SafeGuard には便利 な復旧オプション Local Self Help が用意されています。ユーザは Local Self Help を使 用することで、ヘルプデスクの支援を受けなくてもパスワードを復旧できます。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヘルプデスク支援付きのチャレンジ/レスポンス: パスワードを忘れたり間違ったパスワードを何度も入力したりしたユーザは、ヘル プデスク支援付きのチャレンジ/レスポンスを要求できます。この方法は、POA が破 損した場合にデータを復旧する場合にも利用できます。チャレンジ / レスポンスは、 Sophos SafeGuard エンドポイント コンピュータが展開されるときに自動的に生成さ れる鍵復旧ファイルに基づいて行われます。 2.2 データベース Sophos SafeGuard ポリシーは、管理者のコンピュータ上の SQL データベースに格納され ます。既存の SQL Server インスタンスが使用できない場合は、Sophos SafeGuard Policy Editor のインストール中に Microsoft SQL Server 2005 Express をインストールすることを 求められます。このために、Microsoft SQL 2005 Express が製品に収められています。 2.3 アップグレード 一元管理の SafeGuard Enterprise スイートに容易にアップグレードして、SafeGuard Enterprise のすべての機能を利用することができます。 2.4 ロギング Sophos SafeGuard で保護されたコンピュータに対するイベントは、Windows イベント ビューアに記録されます。 2.5 SafeGuard Management Center との違い 中央管理サーバがあるため、SafeGuard Management Center には、次のような拡張された 管理機能が備わっています。 Active Directory のインポート。ユーザとドメインを管理できます。 一元的にログを記録できます。 管理の役割を定義できます。 SafeGuard Management Center は、SafeGuard Enterprise で使用できます。 ヒ ン ト : SafeGuard Management Center で、SafeGuard Enterprise Server に接続されていな い Sophos SafeGuard コンピュータの設定を定義したり、設定パッケージを作成したりす ることもできます。 6 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3 エンドポイント コンピュータ上の Sophos SafeGuard データ暗号化と不正アクセスからの保護は、Sophos SafeGuard の主要なセキュリティ機 能です。Sophos SafeGuard はユーザの通常の環境にシームレスに統合でき、そのため使 いやすく、直感的に分かりやすくなっています。Sophos SafeGuard の認証システムであ る Power-On Authentication (POA) は必要なアクセス保護を実現し、ログオン情報を復旧 する場合にユーザフレンドリなサポートを提供します。 3.1 サポートされるモジュール エンドポイント コンピュータには以下のモジュールが提供されます。 SafeGuard Device Encryption ボリューム ベースの暗号化 : ユーザが通常の操作手順を変更したり、セキュリ ティを考慮したりしなくても、指定したボリューム (ブート ボリューム、ハード ディスク、パーティションなど ) 上のすべてのデータが透過的に暗号化されます (起動ファイル、スワップファイル、アイドル ファイル/ハイバネーション ファイ ル、一時ファイル、ディレクトリ情報などを含む)。 Power-on Authentication: コンピュータの起動直後に、ユーザのログオンが実行さ れます。Power-on Authentication が正常に完了すると、ユーザはオペレーティン グ システムに自動的にログオンします。 SafeGuard Data Exchange すべてのプラットフォーム上で、再暗号化せずに、リムーバブル メディアを使用し てデータを容易に交換できます。 ファイル ベースの暗号化 : 外付けハード ディスクや USB メモリを含む書き込み 可能なモバイル メディアはすべて、透過的に暗号化されます。 ヒ ン ト : このモジュールは、ESDP (Endpoint Security and Data Protection) ではサポート されていません。 7 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 4 データの暗号化 Sophos SafeGuard の中核は、異なるデータ記憶デバイス上のデータの暗号化です。暗号 化は、さまざまな鍵およびアルゴリズムを使用して、ボリュームベースまたはファイ ルベースで実行することができます。 ヒ ン ト : ファイルベースの暗号化は、ESDP (Endpoint Security and Data Protection) では サポートされていません。 ファイルは透過的に暗号化されます。ユーザがファイルを開くとき、編集するとき、お よび保存するときに、暗号化や復号化についての確認は表示されません。 SafeGuard Policy Editor を初めて設定するときに、暗号化の設定が事前に定義されたデ フォルト ポリシーが自動的に作成されます。66 ページの「デフォルト ポリシー」を参 照してください。 [ デバイス保護 ] タイプのセキュリティ ポリシーで暗号化の設定を指定できます。詳細 については、42 ページの「ポリシーの操作」を参照してください。また、96 ページの 「デバイス保護」を参照してください。 4.1 ボリュームベースの暗号化 ボリュームベースの暗号化を使用すると、ボリューム上のすべてのデータ ( ブート ファ イル、ページファイル、ハイバネーション ファイル、一時ファイル、ディレクトリ情 報など ) が暗号化されます。ユーザは通常の操作手順を変更したり、セキュリティを考 慮したりする必要はありません。 ヒ ン ト : ボリュームまたはボリュームの種類に対する暗号化ポリシーが存在する場合 にボリュームの暗号化に失敗すると、ユーザはそのボリュームにアクセスできません。 4.1.1 高速初期暗号化 高速初期暗号化は、ボリュームベースの暗号化の特殊なモードです。このモードを使 用すると、実際に使用中のディスク領域のみにアクセスするために、エンドポイント コンピュータのボリュームの初期暗号化 ( または最終の復号化 ) にかかる時間が短縮さ れます。 高速初期暗号化には、次に示す前提条件が適用されます。 高速初期暗号化は、NTFS 形式のボリュームでのみ機能します。 クラスタ サイズが 64 KB の NTFS 形式のボリュームは、高速初期暗号化モードでは 暗号化できません。 8 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヒ ン ト : ディスクを現在の使用方法以外で以前に使用していた場合、このモードを選択 すると安全性が低下します。未使用のセクタにまだデータが含まれている場合があるた めです。したがって、高速初期暗号化モードはデフォルトでは無効になっています。 高速初期暗号化を有効にするには、[ デバイス保護 ] タイプのポリシーでボリューム ベースの設定 [ 高速初期暗号化 ] を選択します。 ヒ ン ト : ボリュームの復号化では、ポリシー設定の指定に関係なく、必ず高速初期暗 号化モードが使用されます。復号化には、上に示した前提条件が同様に適用されます。 4.1.2 ボリュームベースの暗号化および Windows 7 システム パーティション Windows 7 Professional、Enterprise、および Ultimate の場合は、システム パーティショ ンはドライブ文字が割り当てられていないエンドポイント コンピュータ上に作成され ます。このシステム パーティションは、Sophos SafeGuard で暗号化できません。 4.1.3 ボリュームベースの暗号化および不明なファイル システム オブジェクト 不明なファイル システム オブジェクトとは、暗号化されていないのか、デバイスレベ ルで暗号化されているのかを SafeGuard Enterprise が明確に特定できないボリュームの ことです。不明なファイル システム オブジェクト用の暗号化ポリシーがある場合は、 このボリュームへのアクセスは拒否されます。暗号化ポリシーがない場合、ユーザは このボリュームにアクセスできます。 ヒ ン ト : 不明なファイル システム オブジェクト ボリューム用の暗号化ポリシーが あって、その [暗号化に使用される鍵] が鍵を選択できるオプション (例えば、[ユーザ 鍵リング内の任意の鍵 ]) に設定されている場合は、鍵を選択するダイアログが表示さ れてからアクセスが拒否されるまでに少し時間がかかります。この間はボリュームに アクセスできてしまいます。つまり、ダイアログで鍵の選択が確定されるまでは、ボ リュームにアクセスできます。この状態を回避するには、暗号化用に事前に選択する 鍵を指定します。関連するポリシーの設定については、96 ページの「デバイス保護」 を参照してください。不明なファイル システム オブジェクト ボリュームがエンドポイ ント コンピュータに接続されていて、暗号化ポリシーが有効になるときにユーザがそ のボリューム上のファイルをすでに開いている場合にも、この現象は発生します。こ の場合は、データが失われる可能性があるため、このボリュームへのアクセスが拒否 されることは保証されません。 9 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 4.1.4 Autorun 機能が有効になっているボリュームの暗号化 Autorun が有効になっているボリュームに暗号化ポリシーを適用する場合は、次の問題 が発生することがあります。 ボリュームが暗号化されない。 ボリュームが、不明なファイル システム オブジェクトでも (9 ページの「ボリュー ムベースの暗号化および不明なファイル システム オブジェクト」を参照してくださ い)、アクセスが拒否されない。 4.2 ファイルベースの暗号化 ヒ ン ト : ファイルベースの暗号化は、ESDP (Endpoint Security and Data Protection) では サポートされていません。 ファイルベースの暗号化によって、起動メディアおよびディレクトリ情報以外のすべ てのデータが暗号化されます。ファイルベースの暗号化を使用すると、CD/DVD など の光学式メディアも暗号化できます。また、ポリシーで許可されていれば、SafeGuard Enterprise がインストールされていない外部コンピュータとデータを交換することもで きます。 ヒ ン ト : 「ファイルベースの暗号化」で暗号化されたデータは圧縮できません。また、 圧縮されたデータをファイルベースで暗号化することもできません。 ヒ ン ト : ブート ボリュームをファイルベースで暗号化することはできません。ブート ボリュームは、対応するポリシーが定義されている場合でも、ファイルベースの暗号 化から自動的に除外されます。 ファイルベースの暗号化をエンドポイント コンピュータに適用するには、[ デバイス保 護 ] タイプのポリシーを作成して、[ メディアの暗号化モード ] を [ ファイルベース ] に 設定します。詳細については、96 ページの「デバイス保護」を参照してください。 4.2.1 暗号化からのアプリケーションの除外 Sophos SafeGuard のフィルタ ドライバで無視して、透過的な暗号化 / 復号化から除外す るアプリケーションを定義できます。 1 つの例として、バックアップ プログラムが挙げられます。バックアップの作成時に データが復号化されないようにするために、このアプリケーションを暗号化 / 復号化か ら除外することをお勧めいたします。データは暗号化された形式でバックアップされ ます。 10 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 代表的な使用例を挙げると、バックアップ プログラムを除外として定義して、常に暗 号化されたデータの読み取りおよびバックアップを行えるようにできます。 Sophos SafeGuard と共に使用した場合に機能中断の原因となる可能性があるアプリ ケーション、暗号化を必要としないアプリケーションは、暗号化から除外できます。 対象が [ ローカル記憶デバイス ] の [ デバイス保護 ] タイプのポリシーで、復号化か ら除外するアプリケーションを定義できます。[ 未処理のアプリケーション ] を指定 するには、実行可能ファイルの完全な名前を使用します ( 必要に応じてパス情報を含 めます )。 詳細については、96 ページの「デバイス保護」を参照してください。 11 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 5 はじめに この章では、Sophos SafeGuard のインストールを正しく準備する方法について説明し ます。 5.1 展開戦略 エンドポイント コンピュータに Sophos SafeGuard を展開する前に、特定の要件や利用 できるオプションを考慮した展開戦略を明確にすることを推奨します。 Sophos SafeGuard の展開戦略を規定するときは、以下のオプションを考慮してください。 5.1.1 ポリシー Sophos SafeGuard には以下のポリシー オプションを利用できます。 デフォルト ポリシー Sophos SafeGuard には、ポリシーの展開をすばやく簡単に行うために、事前に定義さ れたデフォルト ポリシーが用意されています。Sophos SafeGuard Policy Editor の初期 設定中に、暗号化と認証の設定が事前に定義されたポリシー グループがデフォルト で作成されます。エンドポイント コンピュータを設定する場合は、これらのデフォ ルト ポリシーが含まれた設定パッケージが自動的に作成されます。 デフォルト ポリシーとそこで定義される設定の詳細については、66 ページの「デ フォルト ポリシー」を参照してください。 独自のポリシーの定義 デフォルト ポリシーで対応できない要件がある場合は、Sophos SafeGuard Policy Editor で独自のポリシーを定義できます。 ポリシーの作成の詳細については、42 ページの「ポリシーの操作」を参照してくだ さい. エンドポイント コンピュータでのポリシーの展開の詳細については、47 ペー ジの「設定パッケージの操作」を参照してください。 使用可能なすべてのポリシーと設定の詳細については、、77 ページの「ポリシー設 定」を参照してください。 5.1.2 管理アクセス オプション エンドポイント コンピュータに Sophos SafeGuard をインストールした後の管理タスク のアクセス要件に対応するために、Sophos SafeGuard には次の 2 種類のシナリオのため の管理アクセス オプションが用意されています。 12 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ Windows ログオン用のサービス アカウント 展開オペレータや IT チームのメンバーなどのユーザは、サービス アカウントを使 用することで、Sophos SafeGuard をインストールした後にエンドポイント コン ピュータにログオン (Windows ログオン) できます。Power-on Authentication を有効 にしたり、これらのユーザを POA ユーザとしてコンピュータに追加したりする必要 はありません。 サービス アカウントのリストは、ポリシーに基づいてエンドポイント コンピュータ に割り当てられます。サービス アカウントのリストは、エンドポイント コンピュー タを設定するために作成する最初の Sophos SafeGuard 設定パッケージ内で割り当て ることを推奨します。サービス アカウントのリストは、新しい設定パッケージを作 成してエンドポイント コンピュータに展開することによって更新できます。 サービス アカウントのリストの詳細については、53 ページの「Windows ログオン用 のサービス アカウントのリスト」を参照してください。 POA ログオン用の POA アクセス アカウント POA アクセス アカウントは、POA が有効になった後にユーザ (IT チームのメンバー など ) がエンドポイント コンピュータにログオンして管理タスクを実行するため の、事前に定義されたローカル アカウントです。POA ログオンはできますが、 Windows への自動ログオンはできません。 Sophos SafeGuard Policy Editor で POA アクセス アカウントを作成し、それらを POA アクセス アカウント グループに登録してから、Sophos SafeGuard 設定パッケージに 基づいてグループをエンドポイント コンピュータに割り当てることができます。 POA アクセス アカウントの詳細については、59 ページの「POA ログオン用の POA アクセス アカウント」を参照してください。 5.1.3 復旧オプション 復旧が必要な状況 ( 例えば、パスワードを忘れた場合 ) のために、Sophos SafeGuard に は次の 2 つの復旧オプションが用意されています。 Local Self Help によるログオン復旧 Local Self Help を使用すると、パスワードを忘れたユーザが、ヘルプデスクの支援を 受けなくても自分のコンピュータにログオンできます。Power-on Authentication で事 前に定義された数の質問に答えるだけで、自分のコンピュータに再びアクセスでき るようになります。 デフォルト ポリシーでは、Local Self Help が有効になっていてデフォルトで設定され ます。デフォルト設定を使用しない場合は、ポリシーに基づいて Local Self Help を有 効にし、エンド ユーザに回答してもらう質問を定義する必要があります。 詳細については、128 ページの「Local Self Help による復旧」を参照してください。 13 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ チャレンジ/レスポンスによる復旧 チャレンジ/レスポンス復旧メカニズムは、自分のコンピュータにログオンしたり暗 号化されたデータにアクセスしたりできないユーザを支援するための、安全で効率 的なログオン復旧システムです。チャレンジ/レスポンスの場合は、ヘルプデスクの 支援が必要です。 デフォルト ポリシーでは、チャレンジ/レスポンスがデフォルトで有効になっていま す。デフォルト設定を使用しない場合は、ポリシーに基づいてチャレンジ/レスポン スを有効にする必要があります。チャレンジ/レスポンスを使ってデータを復旧する 場合は、Sophos SafeGuard Policy Editor で事前に仮想クライアントと呼ばれるファイ ルを作成する必要があります。 詳細については、134 ページの「チャレンジ/レスポンスによる復旧」を参照してく ださい および 141 ページの「仮想クライアントの作成」を参照してください。 5.2 システム要件 インストール時と効率的に操作するために必要になるハードウェアとソフトウェア、 サービス パックとディスク容量についてのシステム要件の詳細については、スタート アップ ガイドを参照してください。 5.2.1 エンドポイント コンピュータ固有のシステム要件 コンピュータで Intel AHCI (Advanced Host Controller Interface) を使用する場合は、起 動ハード ディスクがスロット 0 またはスロット 1 に搭載されている必要がありま す。最大で 32 個のハード ディスクを搭載できますが、Sophos SafeGuard は最初の 2 つのスロット番号でのみ動作します。 ダイナミック ディスクと GPT (GUID Partition Table) ディスクはサポートされませ ん。その場合、インストールは中止されます。インストール後に、コンピュータで そのようなディスクが見つかった場合でも、サポートされません。 Sophos SafeGuard Device Encryption モジュールでは、SCSI バス経由で接続されたハー ド ディスクが搭載されたシステムはサポートされません。 5.3 インストールの準備 Sophos SafeGuard を展開する前に、以下の準備を行うことを推奨します。 14 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 5.3.1 一般的な準備 ソフトウェアをインストールして Sophos SafeGuard Policy Editor を操作するには、 Windows 管理者権限が必要です。 開いているすべてのアプリケーションを閉じます。 ハード ディスクに十分な空き容量があることを確認してください。この情報につい ては、スタートアップ ガイドを参照してください。 リリース ノートを注意してお読みください。 5.3.2 暗号化の準備 ユーザ アカウントが設定されていて、エンドポイント コンピュータでアクティブに なっている必要があります。 エンドポイント コンピュータ上でデータの完全バックアップを作成します。 POA とコンピュータ ハードウェア間で競合する可能性を最小限にするために、 Sophos にはハードウェア構成リストが用意されています。このリストは暗号化ソフ トウェア インストール パッケージに付属しています。 重要な Sophos SafeGuard の展開の前に、ハードウェア構成ファイルの最新版をイン ス ト ー ル す る こ と を 推 奨 し ま す。こ の フ ァ イ ル は 毎 月 更 新 さ れ、ftp:// POACFG:[email protected] からダウンロード可能です。 詳細については、管理者用ヘルプの124 ページの「Power-on Authentication でサポー トされるホットキー」を参照してください。ナレッジベースの記事も参照してくだ さい: http://www.sophos.com/support/knowledgebase/article/65700.html。 次のコマンドを実行してハード ディスクにエラーがないかチェックします。 chkdsk %drive% /F /V /L /X コンピュータを再起動して再度 chkdsk を実行することを求められる場合がありま す。このテーマの詳細については、ナレッジ ベース http://www.sophos.de/support/ knowledgebase/article/107081.html を参照してください。 Windows に付属のデフラグ ツールを使用して、ローカル ボリューム上で断片化され ているブート ファイル、データ ファイル、およびフォルダを検出してまとめてくだ さい。このテーマの詳細については、ナレッジ ベース http://www.sophos.com/support/ knowledgebase/article/109226.html を参照してください。 「PROnetworks Boot Pro」や「Boot-US」などのサード パーティ製のブート マネージャ をアンインストールします。 15 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ イメージング/クローン ツールを使用した場合は、MBR を「書き換える」ことを推 奨します。Sophos SafeGuard をインストールするには、「OS 標準」のマスター ブー ト レコードが必要です。イメージング / クローン プログラムを使用したことで、こ のレコードの状態に影響を与えている可能性があります。 Windows CD から起動し、Windows 回復コンソール内で FIXMBR コマンドを使用す ることによって、マスター ブート レコードをクリーンにできます。詳細について は、ナレッジ ベース http://www.sophos.com/support/knowledgebase/article/108088.html を参照してください。 ブート パーティションを FAT から NTFS に変換した後でシステムが再起動されてい ない場合は、Sophos SafeGuard をインストールしないでください。アクティブ化され たときのファイル システムは NTFS でしたがインストール時のファイル システムは FAT であったため、インストールが完了しない場合があります。このような場合は、 Sophos SafeGuard をインストールする前にコンピュータを再起動してください。 5.4 言語設定 エンドポイント コンピュータ上のセットアップ ウィザード、Sophos SafeGuard Policy Editor と Sophos SafeGuard の言語は、次のように設定します。 5.4.1 セットアップ ウィザードの言語 インストールおよび構成ウィザードでは、オペレーティング システムの言語設定が使 用されます。英語、ドイツ語、フランス語、および日本語がサポートされます。セッ トアップ ウィザードでオペレーティング システム言語を使用できない場合は、デフォ ルトで英語が使用されます。 5.4.2 Sophos SafeGuard Policy Editor の言語 Sophos SafeGuard Policy Editor の言語は Sophos SafeGuard Policy Editor 内で設定できます。 [ツール] > [オプション] > [全般] メニューを開きます。[ユーザ定義の言語を使用す る] を有効にし、使用可能な言語を選択します。英語、ドイツ語、フランス語、およ び日本語がサポートされます。 再起動すると、Sophos SafeGuard Policy Editor が選択された言語で表示されるように なります。 5.4.3 エンドポイント コンピュータ上の Sophos SafeGuard の言語 エンドポイント コンピュータ上の Sophos SafeGuard の言語の設定は、Sophos SafeGuard Policy Editor の [ 全般 ] タイプのポリシーで、[ カスタマイズ ] > [ クライアントで使用 される言語 ] を設定することで行います。 16 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ オペレーティング システムの言語が選択されている場合、Sophos SafeGuard ではオ ペレーティング システムの言語設定が使用されます。Sophos SafeGuard でオペレー ティング システム言語を使用できない場合は、Sophos SafeGuard の言語はデフォル トで英語になります。 使用可能な言語から 1 つ選択されると、エンドポイント コンピュータ上の Sophos SafeGuard の各製品は選択された言語で表示されます。 5.5 他の SafeGuard 製品との相互作用 以下の相互作用に注意してください。 5.5.1 SafeGuard LAN Crypt との相互作用 次の点に注意してください。 SafeGuard LAN Crypt 3.7x と Sophos SafeGuard 5.50 は、同じコンピュータに共存でき、 完全に互換性があります。 3.7x より下のバージョンの SafeGuard LAN Crypt と Sophos SafeGuard 5.5x は、1 つの コンピュータに共存できません。 バージョン 3.6x 以下の SafeGuard LAN Crypt がすでにインストールされているコン ピュータに Sophos SafeGuard 5.50 をインストールしようとすると、セットアップが キャンセルされ、対応するエラー メッセージが表示されます。 5.5.2 SafeGuard PrivateCrypto と SafeGuard PrivateDisk の相互作用 Sophos SafeGuard 5.5x とバージョン 2.30 以上の SafeGuard PrivateCrypto およびバージョ ン 2.30 以上の SafeGuard PrivateDisk のスタンド アロン製品は、同じコンピュータに共 存できます。 5.5.3 SafeGuard Removable Media との相互作用 SafeGuard Data Exchange モジュールと SafeGuard Removable Media は、同じコンピュータ 上には共存できません。エンドポイント コンピュータに SafeGuard Data Exchange モ ジュールをインストールする前に、SafeGuard RemovableMedia がすでにインストールさ れているかどうかを確認してください。インストールされている場合は、エンドポイ ント コンピュータに SafeGuard Data Exchange をインス トールする前に、SafeGuard RemovableMedia をアンインストールする必要があります。 ヒ ン ト : ESDP では、SafeGuard DataExchange はサポートされていません。 17 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6 インストール Sophos SafeGuard を設定するには、次の手順を実行します。 作業 インストール パッケージ/ツール ESDP 1 SGE Sophos SafeGuard の管理に使用するコンピュータを設定します。 Sophos SafeGuard Policy Editor を イ ンス SDEPolicyEditor.msi トールします。 SGNPolicyEditor.msi Sophos SafeGuard Policy Editor で 初 期構 Sophos SafeGuard Policy Editor 構成ウィザード 成を実行して、暗号化ソフトウェアのデ フォルト設定を作成します。 2 Sophos SafeGuard 暗号化ソフトウェアを調整します (オプション)。 ユーザ定義のポリシーを使って別の構 Sophos SafeGuard Policy Editor の [ポリシー ] ペイ 成設定 (サービス アカウントのリストな ン ど) を作成します。 ユーザ定義のポリシーを含む別の設定 Sophos SafeGuard Policy Editor 設定 パ ッケ ー ジ パッケージ (MSI) を生成します。 ツール 3 エンドポイント コンピュータで Sophos SafeGuard 暗号化ソフトウェアを設定します。 Sophos SafeGuard 暗号化ソフトウェアを SGxClientPreinstall.msi 正常にインストールするために必要な ものをエンドポイント コンピュータに インストールします。 SGxClientPreinstall.msi Sophos SafeGuard Device Encryption ( ボ SDEClient.msi または リューム ベースの暗号化) を適用すると きは、これをインストールします。 SGNClient.msi ヒ ン ト : このパッケージ内で Sophos SafeGuard Data Exchange ( ファ イ ル ベースの暗号化 ) を手 動で有効にすることも できます。 Sophos SafeGuard Data Exchange ( ファイ ESDP ではサポートさ SGNClient_withoutDE. msi ル ベースの暗号化) のみを適用するとき れない は、これをインストールします。 設定パッケージをエンドポイント コン 生成済みの <Configpackage>.msi ピュータに展開します。 18 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヒ ン ト : エンドポイント コンピュータのオペレーティング システムが Windows 7 64 ビッ トまたは Windows Vista 64 ビットのときは、パッケージ (<パッケージ名>_x64.msi) が用意 されている場合に、64 ビットのバリアントのクライアントをインストールできます。 6.1 Sophos SafeGuard Policy Editor のインストール 前提条件 : 以下の前提条件を満たす必要があります。 Windows 管理者権限が必要です。 すでにインストール済みの Microsoft SQL Database Server を使用する場合は、必要な SQL アクセス権限とアカウント情報が必要です。 .NET Framework 3.0 Service Pack 1 が、管理者のコンピュータにインストールされてい る必要があります。これらは http://www.microsoft.com/downloads から無料でダウン ロードできます。 エンドポイント コンピュータに暗号化ソフトウェアを展開するには、最初に管理者の コンピュータに Sophos SafeGuard Policy Editor をインストールします。Sophos SafeGuard Policy Editor をまず Windows サーバにインストールする方法もあります。後で、サーバ 上の一元化された Sophos SafeGuard データベースに接続されている複数の管理者用コ ンピュータにそれをインストールできます。各 Sophos SafeGuard Policy Editor インスタ ンスにアクセスするときにも、同じアカウントが使用されます。 19 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 1. ESDP ユーザは SDEPolicyEditor.msi をダブルクリックします。SGE ユーザは SGNPolicyEditor.msi をダブルクリックします。ウィザードの指示に従って必要な手 順を実行します。 2. [ようこそ] ペインで [次へ] をクリックします。 3. 使用許諾契約書に同意します。 4. インストール パスを確定します。 SQL データベース インスタンスは、Sophos SafeGuard ポリシー設定を保存するため に使用されます。既存の SQL データベース インスタンスが使用できない場合は、 Sophos SafeGuard Policy Editor のインストール中に Microsoft SQL Server 2005 Express を インストールすることを求められます。この場合は、Windows ログオン情報が SQL ユーザ アカウントとして使用されます。 5. [完了] をクリックして、インストールを完了します。 Sophos SafeGuard Policy Editor が管理者のコンピュータにインストールされます。次に、 Sophos SafeGuard Policy Editor で初期構成を実行します。 6.2 Sophos SafeGuard Policy Editor 構成ウィザードでの初期構成の 実行 Windows 管理者権限が必要です。 1. インストール後に、Sophos SafeGuard Policy Editor を起動します。構成ウィザードが 起動され、画面の指示に従って必要な手順を実行します。 2. [次へ] をクリックして [ようこそ] ページを確定します。 6.2.1 データベースの設定 データベースは、Sophos SafeGuard 暗号化のすべてのポリシーと設定を格納するために 使用されます。ワークフローは、初めてのインストールで新しいデータベースを作成 するか、または既存のデータベースを使用するかによって異なります。既存のデータ ベースを使用することで、Sophos SafeGuard Policy Editor のインスタンスを追加すると きに便利なことがあります ( 例えば、ヘルプデスク担当者によるチャレンジ / レスポン ス手続きを有効にするとき )。 1. [データベース] ページで、以下のいずれかを実行します。 初めてインストールするときは、[新しいデータベースを作成する] をアクティブ 化します。 20 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ インストールを追加する場合や以前に作成したデータベースを再利用するとき は、[既存のデータベースを使用する] をアクティブ化します。[データベース名] で、リストからデータベースの名前を選択します。 2. [データベース設定] で、以下のいずれかを実行します。 インストール済み Microsoft SQL Express だけを利用できる場合は、[SQL Server イ ンスタンス] にインスタンスがすでに表示されています。Windows ログオン情報 が SQL アクセス アカウントとして使用されます。[次へ] をクリックします。 既存のデータベースを使用する場合、または複数の SQL Server インスタンスがイ ンストールされている場合は、[変更] をクリックして使用するインスタンスを選 択します。表示されるダイアログで、選択しているサーバへの接続を設定する必 要があります。完了すると、選択した設定がここで表示されます。[ 次へ ] をク リックします。 データベース サーバへの接続が確立されました。 6.2.1.1 データベース接続の追加構成の実行 次の手順を実行します。 1. [データベース接続] の [データベース サーバ] で、リストから必要な SQL データベー ス サーバを選択します。コンピュータまたはネットワーク上で使用できるすべての データベース サーバが表示されます (このリストは 12 分ごとに更新されます)。[SSL を使用する] をアクティブ化して、このデータベース サーバへの接続を SSL で保護し ます。 2. [認証] で、データベースへのアクセスに使用する認証の種類を選択します。 Windows ログオン情報を使用するときは、[Windows NT 認証を使用する] をアク ティブ化します。 ヒ ン ト : コンピュータがドメインに参加しているときは、この種類を使用します。た だし、ユーザがデータベースに接続することを承認するときは、追加設定が必要にな ることがあります。 21 SQL ログオン情報を使用してデータベースにアクセスするときは、[SQL Server 認 証の使用] をアクティブ化します。情報を入力して確定することを求められます。 必要な場合、この情報はユーザの SQL 管理者から取得できます。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヒ ン ト : コンピュータがドメインに参加していないときは、この種類を使用します。 データベース サーバとの接続をセキュリティで保護するときは、必ず [SSL を使用する ] をアクティブ化してください。ただし、SSL 暗号化を使用するには、選択した SQL デー タベースが配置されているコンピュータで、事前に SSL 環境を設定して稼働させてお くことが必要です。詳細については、http://www.sophos.de/support/knowledgebase/article/ 108339.html を参照してください。SQL 認証では、SafeGuard Management Center を後で アップグレードすることも簡単にできます。 3. [ 接続のチェック ] をクリックします。SQL データベースへの接続が確立されると、 対応する成功メッセージが表示されます。 4. [OK] を 2 回クリックして確定します。 6.2.2 セキュリティ担当者証明書の作成 (新規データベース) 初めてインストールするときと新しいデータベースを作成するときは、認証用のセ キュリティ担当者証明書が作成されます。インストールごとに 1 つのアカウントのみ が作成されます。セキュリティ担当者は、Sophos SafeGuard Policy Editor にアクセスし て Sophos SafeGuard ポリシーを作成したり、暗号化ソフトウェアをエンド ユーザ用に 設定したりします。破損したデータベース設定の復旧については、52 ページの「破損 したデータベース設定の復元」を参照してください。 1. [セキュリティ担当者] ページには、セキュリティ担当者の名前が表示されています。 ESDP でインストールする場合は、セキュリティ担当者の名前は常に Administrator です。その他のすべてのインストールの場合は、現在のユーザ名が表示されます。 2. Sophos SafeGuard Policy Editor にアクセスするために必要なパスワードを入力して確 定します。 このパスワードは安全な場所に保管してください。このパスワードを失うと、Sophos SafeGuard Policy Editor にそれ以降アクセスできなくなります。IT ヘルプデスクが復 旧作業を実行するには、アカウントへのアクセス権が必要です。 3. [次へ] をクリックしてデフォルト値を確定します。 新しく作成されたセキュリティ担当者証明書が証明書ストアに格納されます。次に、企 業の証明書が作成されます。 22 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6.2.3 セキュリティ担当者証明書のインポート (既存のデータベースを使用す るとき) 既存のデータベースを使用するときは、セキュリティ担当者証明書をインポートする 必要があります。Sophos SafeGuard Policy Editor で生成された証明書のみをインポート できます。PKI (Verisign など ) で作成された証明書は許可されません。 1. [セキュリティ担当者] ページで、[インポート] をクリックしてセキュリティ担当者 証明書をインポートします。 2. 必要な証明書を参照し、[開く] をクリックして確定します。 3. Sophos SafeGuard Policy Editor で認証されるために選択した鍵ファイルのパスワード を入力します。 4. 証明書が表示されたら、[はい] をクリックして確定します。 5. Sophos SafeGuard Policy Editor で認証用パスワードを入力して確定します。 6. [次へ] をクリックし、さらに [完了] をクリックして、Sophos SafeGuard Policy Editor の初期構成を完了します。 Sophos SafeGuard Policy Editor での初期構成が完了しました。 6.2.4 企業の証明書の作成 企業の証明書は、データベース内や Sophos SafeGuard で保護されたコンピュータ上のポ リシー設定をセキュリティで保護するために使用されます。破損したデータベース設 定の復旧については、52 ページの「破損したデータベース設定の復元」を参照してく ださい。 1. [企業] ページで、[企業名] を入力します。[証明書を自動的に作成します] がアク ティブ化されていることを確認します。 初めてインストールするときと新しいデータベースを作成するときは、あらかじめ [証明書を自動的に作成します] がアクティブ化されています。名前は 64 文字に制限 されます。 2. [次へ] をクリックします。 新しく作成された企業の証明書がデータベースに格納されます。 23 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6.2.5 証明書のバックアップ 作成したセキュリティ担当者証明書と企業証明書は、復旧のために安全な場所にバッ クアップする必要があります。 1. [証明書のバックアップ] ページで、 証明書のバックアップの保存場所を指定します。 2. [次へ] をクリックして保存場所を確定します。 指定した場所に証明書がバックアップされます。 ヒ ン ト : 初期構成後すぐに、証明書を復旧が必要なときにアクセスできる場所 (メモリ スティックなど ) にエクスポートしてください。証明書はインストールに失敗したり、 データベースが破損したりしたときに必要です。 ヒ ン ト : 49 ページの「企業およびマスタ セキュリティ担当者 (MSO) の証明書のエク スポート」を参照してください。 6.2.6 デフォルト ポリシーの作成 管理の負荷を最小限に抑えるために、一連の推奨設定が含まれるデフォルト ポリシー が用意されています。これらのデフォルト ポリシーを含む設定パッケージ (MSI) は、初 期構成の中で作成されます。デフォルト ポリシーの詳細については、66 ページの「デ フォルト ポリシー」を参照してください。 ヒ ン ト : デフォルト ポリシーは、Sophos SafeGuard Policy Editor 構成ウィザードの初期 構成時にのみ作成できます。デフォルト ポリシーを後で変更したり、必要に応じてユー ザ定義のポリシーを新規作成したりすることもできます。 1. [デフォルト ポリシー ] ページで、[デフォルト ポリシーを作成する] がアクティブ 化されていることを確認します。 2. デフォルト ポリシーが含まれる設定パッケージ (MSI) の作成場所を入力するか、ま たはデフォルトで表示されるものを確定します。 3. [次へ] をクリックして確定します。 Sophos SafeGuard Policy Editor の [ ポリシー ] ナビゲーション ペインにポリシー グルー プが表示されます。これらのポリシーが含まれる設定パッケージは、Sophos SafeGuard Policy Editor の [ 設定パッケージ ツール ] に表示されます。設定パッケージは、暗号化 ソフトウェアをインストールするときにエンドポイント コンピュータに展開してくだ さい。デフォルト構成が要件を満たしていない場合は、追加のポリシーを作成して設 定パッケージに公開し、それらをエンドポイント コンピュータに展開することもでき ます。 24 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6.2.7 復旧鍵ストアの作成 ユーザがパスワードを忘れたときなどに、Sophos SafeGuard で保護されたコンピュータ でチャレンジ / レスポンスによる復旧を行うには、専用の鍵復旧ファイルが必要になり ます。各エンドポイント コンピュータでは、このような鍵復旧ファイルは Sophos SafeGuard の展開中に生成されます。 チャレンジ / レスポンスを完了するには、ヘルプデスクからアクセスできるようにこれ らのファイルをネットワーク共有上に格納し、この共有への必要なアクセス権限をヘ ルプデスクに付与する必要があります。この鍵復旧ファイルは、企業の証明書によっ て暗号化されています。したがって、ネットワークまたは外付けメディアに安全に保 存できます。 1. [復旧鍵] ページで、デフォルトの [ネットワーク共有設定] を受け入れます。 これにより、ネットワーク共有 SafeGuardRecoveryKeys$ と復旧鍵が自動的に保存される ディレクトリが、ローカル コンピュータ上に作成されます。共有は新しいファイルを 共有の場所に書き込むことのみを許可するときに設定します。このローカル パスは、 必要に応じて変更できます。ネットワーク共有は、NTFS でフォーマットされたドライ ブ上にある必要があります。NTFS では、必要に応じてアクセス権限を設定できます。 [ネットワーク共有設定] が無効な場合は、暗号化が完了した後に、エンド ユーザは復 旧鍵ファイルを保存する場所を求められます。 ヒ ン ト : Sophos SafeGuard ソフトウェアは、ネットワーク共有への接続を 4 分間試みま す。接続に失敗すると、コンピュータ上にバルーン メッセージが表示され、エラー ロ グが記録されます。Windows ログオンが完了するたびに、接続が確立されるか、また は復旧鍵ファイルの手動バックアップが実行されるまで、さらにネットワーク共有へ の接続が試みられます。 2. [復旧鍵] ページで、復旧鍵の共有に必要なアクセス権をヘルプデスクに付与します。 デフォルトの権限を受け入れるには、[次へ] をクリックして確定します。復旧鍵の 共有へのアクセスは、「SafeGuardRecoveryKeyAccess」という新しい Windows グルー プで管理されます。デフォルトでは、このグループにローカル管理者グループのメ ンバー全員が追加されます。注: ドメイン環境では、ローカル管理者グループのメン バーであるドメイン管理者グループも含まれます。[アクセス権限] をクリックする ことで、グループ メンバーを表示したり変更したりできます。 注: Sophos SafeGuard Policy Editor では、複数のポリシー設定パッケージ ( 例えば、ドメ イン環境内のコンピュータ用に 1 つのパッケージと、スタンドアロン コンピュータ 用にもう 1 つのパッケージ) を作成できます。 25 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. [次へ] をクリックします。 ネットワーク共有へのアクセス権限が設定されます。アクセス権限の詳細については、 26 ページの「ネットワーク共有のアクセス権限の設定」を参照してください。 6.2.8 ネットワーク共有のアクセス権限の設定 1. [ネットワーク共有のアクセス権限] で、以下のいずれかを実行します。 復旧処理用の管理権限を持つグローバル メンバーを追加するには、[ローカル メ ンバーの追加] をクリックします。 復旧処理用の管理権限を持つグローバル メンバーを追加するには、[グローバル メンバーの追加] をクリックします。 2. [OK] をクリックします。 [ ネットワーク共有のアクセス権限 ] に表示されるすべてのメンバーを含むグループ 「SafeGuardRecoveryKeyAccess」がコンピュータ上に作成されます。 指定したローカル ディレクトリ上に、次の NTFS アクセス権限が自動的に設定されま す。 全員 : ファイルの作成 - ログイン ユーザのコンテキストで動作している Sophos SafeGuard コンピュータは、ファイルの追加は許可されますが、ディレクトリの参 照、ファイルの削除、ファイルの読み取りは許可されません。ファイルを作成する 権限は、ディレクトリの [セキュリティの詳細設定] に表示されます。 SafeGuardRecoveryKeyAccess: 変更 - [ アクセス権限 ] ダイアログに表示されるすべて のユーザは、ファイルの読み取り、削除、追加を許可されます。 管理者: フル コントロール Sophos SafeGuard では、上記のアクセス権限が誤って上書きされることがないよう、 ディレクトリのアクセス権限の継承は無効化されます。 ネットワーク共有 SafeGuardRecoveryKeys$ は、次のアクセス権限で作成されます。 全員: フル コントロール ヒ ン ト : このアクセス権限は、NTFS アクセス権限と共有アクセス権限の積です。NTFS アクセス権限のほうが厳しいため、それらが適用されます。 ネットワーク共有を手動で設定する場合でも、上で説明したアクセス権限設定を使用 することをお勧めします。その場合、ディレクトリのアクセス権限の継承を必ず手動 で無効にしてください。 26 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6.2.9 初期構成の完了 1. [完了] をクリックして初期構成を完了します。構成ウィザードを閉じると、Sophos SafeGuard Policy Editor が起動します。 Sophos SafeGuard Policy Editor で の初 期 構成 が 完了 し まし た。Networkshare.xml と ConfigurationOutput.xml という名前の 2 つのファイルが Temp パスに保存されます。 ファイル Networkshare.xml には、ウィザード ページからの構成設定が含まれています。 ファイル ConfigurationOutput.xml には、構成設定の処理中に発生したすべてのイベン トが記録されます。これらのイベントは、Sophos SafeGuard Policy Editor 構成ウィザー ドの最後のページに表示されます。 6.3 Sophos SafeGuard Policy Editor の追加インスタンスの設定 Sophos SafeGuard Policy Editor の追加インスタンスを設定すると、Sophos SafeGuard のヘ ルプデスク チームに復旧作業を実行するためのアクセス権を提供できます。 1. 各コンピュータ で Sophos SafeGuard Policy Editor を起動します。構成ウィザードが 起動され、画面の指示に従って必要な手順を実行します。 2. [次へ] をクリックして [ようこそ] ページを確定します。 3. [データベース] ページで、[既存のデータベースを使用する] を有効にします。[デー タベース設定 ] で、リストから関連するデータベース名を選択します。[ 変更 ] をク リックして、使用する SQL Server インスタンスを選択します。表示されるダイアロ グで、選択しているインスタンスへの接続を設定する必要があります。 4. [データベース接続] ダイアログの [データベース サーバ] で、リストから必要な SQL データベース インスタンスを選択します。コンピュータまたはネットワーク上で使 用できるすべてのデータベース サーバが表示されます (このリストは 12 分ごとに更 新されます)。[SSL を使用する] をアクティブ化して、このデータベース サーバへの 接続を SSL で保護します。これは、Sophos SafeGuard をインストールする前にマシン の証明書をデータベース サーバに実装するときに役立ちます。 5. [認証] で、データベースへのアクセスに使用する認証の種類を選択します。 Windows ログオン情報を使用するときは、[Windows NT 認証を使用する] をアク ティブ化します。 ヒ ン ト : コンピュータがドメインに参加しているときは、この種類を使用します。た だし、ユーザがデータベースに接続することを承認するときは、追加設定が必要にな ることがあります。 27 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ SQL ログオン情報を使用してデータベースにアクセスするときは、[SQL Server 認証の使用] をアクティブ化します。情報を入力して確定することを求められま す。必要な場合、この情報はユーザの SQL 管理者から取得できます。 ヒ ン ト : コンピュータがドメインに参加していないときは、 この種類を使用します。 デー タベース サーバとの接続をセキュリティで保護するときは、必ず [SSL を使用する] をア クティブ化してください。ただし、SSL 暗号化を使用するには、選択した SQL データベー スが配置されているコンピュータで、事前に SSL 環境を設定して稼働させておくことが 必要です。詳細については、http://www.sophos.de/support/knowledgebase/article/108339.html を参照してください。 6. [ 接続のチェック ] をクリックします。SQL データベースへの接続が確立されると、 対応する成功メッセージが表示されます。 7. [OK] を 2 回クリックして確定し、[データベース] ページに戻ります。次に、[次へ] をクリックします。 8. [セキュリティ担当者] ページで、[インポート] を選択して選択したデータベースに 関連付けられたセキュリティ担当者の証明書をインポートします。必要な証明書を 参照し、[開く] をクリックして確定します。 Sophos SafeGuard Policy Editor で生成された証明書のみをインポートできます。PKI (Verisign など) で作成された証明書は許可されません。 9. 証明書ストアのパスワードを入力します。 10.[次へ] をクリックし、さらに [完了] をクリックして、Sophos SafeGuard Policy Editor 構成ウィザードを完了します。 6.4 エンドポイント コンピュータ上の Sophos SafeGuard の設定 エンドポイント コンピュータには、要件に応じて異なる Sophos SafeGuard モジュール をインストールできます。7 ページの「エンドポイント コンピュータ上の Sophos SafeGuard」を参照してください。 Sophos SafeGuard は、さまざまな方法でエンドポイント コンピュータに展開できます。 セキュリティ担当者は、エンドポイントでローカルにセットアップを実行するか、エ ンドポイントのインストールと初期構成を一元的ソフトウェア配布の一環として実行 するかを選択できます。これにより、複数のコンピュータでインストールを標準化す ることができます。 展 開 オ プ シ ョ ン に つ い て は、http://www.sophos.de/support/knowledgebase/article/ 108426.html にあるナレッジ ベースの記事でも説明されています。 28 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ Sophos SafeGuard をインストールした後のコンピュータ動作の詳細については、スター トアップ ガイドの「Sophos SafeGuard のインストール後の最初のログオン」の章と、 ユーザ ヘルプの「Sophos SafeGuard のインストール後の最初のログオン」、 「最初の POA ユーザ ログオンの例」、および「データの暗号化」の章を参照してください。 6.4.1 制限事項 コンピュータで Intel AHCI (Advanced Host Controller Interface) を使用する場合は、起 動ハード ディスクが Slot 0 または Slot 1 に搭載されている必要があります。最大で 32 個のハード ディスクを搭載できますが、Sophos SafeGuard は最初の 2 つのスロッ ト番号でのみ動作します。 ダイナミック ディスクと GPT (GUID Partition Table) ディスクはサポートされませ ん。その場合、インストールは中止されます。インストール後に、コンピュータで そのようなディスクが見つかった場合でも、サポートされません。 Sophos SafeGuard Device Encryption モジュールでは、SCSI バス経由で接続されたハー ド ディスクが搭載されたシステムはサポートされません。 6.4.2 エンドポイント コンピュータのローカル設定 エンドポイント コンピュータに Sophos SafeGuard をインストールする前に、まずロー カルにインストールしてみると役に立つ情報が得られる場合があります。 29 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 暗号化ソフトウェアをインストールする前に、エンドポイント コンピュータでインス トールを準備してください。14 ページの「インストールの準備」を参照してください。 1. 管理者としてコンピュータにログオンします。 2. MSI 準備パッケージ SGxClientPreinstall.msi をインストールします。暗号化ソフト ウェアを正常にインストールするために必要なもの ( 関連する DLL など ) がエンド ポイント コンピュータにインストールされます。 注 : ここからダウンロードできる vcredist_x86.exe をインストールしてもかまいませ ん : http://www.microsoft.com/downloads/details.aspx?FamilyID=766a6af7-ec73-40ff-b0729112bab119c2&displaylang=en。また、コンピュータの Windows\WinSxS フォルダに MSVCR80.dll バージョン 8.0.50727.4053 があることを確認する方法でもかまいませ ん。 3. 関連する「クライアント」インストール パッケージ (MSI) をダブルクリックして、 暗号化ソフトウェア インストール ウィザードを開始します。画面の指示に従って必 要な手順を実行します。次の製品のいずれかをインストールします。 Sophos SafeGuard Disk Encryption 32 ビットのバリアントの場合は SDEClient.msi。64 ビットのバリアントの場 合は SDEClient_x64.msi。 Sophos SafeGuard Easy 32 ビットのバリアントの場合は SGNClient.msi。64 ビットのバリアントの場 合は SGNClient_x64.msi。SafeGuard Data Exchange のみの場合は SGNClient_withoutDE_x64.msi 64 ビットのバ リアント。 4. 次のダイアログではデフォルト値を受け入れます。 5. インストールの種類の選択を求められたら、選択します。SGNClient.msi または SGNClient_x64.msi をインストールする場合は、次のいずれかを実行します。 デバイス保護機能とデータ交換機能の両方をインストールするときは、[完全] を 選択します。 デバイス保護機能のみをインストールするときは、[標準] を選択します。 必要に応じて、[カスタム] を選択して機能をアクティブ化します。 データ交換機能は、ESDP ではサポートされていません。 6. 後続のすべてのダイアログでデフォルト値を使用するか、または変更します。 Sophos SafeGuard がエンドポイント コンピュータにインストールされます。 30 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 7. Sophos SafeGuard Policy Editorで、要件に応じて暗号化ソフトウェアを設定します。 Sophos SafeGuard Policy Editor の初期構成時に作成されるデフォルト ポリシーを 使用すると、ポリシーの展開をすばやく簡単に行うことができます。 デフォルト ポリシーで対応できない要件がある場合は、Sophos SafeGuard Policy Editor で独自のポリシーを作成します (42 ページの「ポリシーの操作」を参照し てください )。エンドポイント コンピュータでのポリシーの展開の詳細について は、47 ページの「設定パッケージの操作」を参照してください。 展開戦略が、サービス担当者にコンピュータへの管理者としてのアクセスを設定 する必要があるものとします。この場合は、独自のポリシーを定義して、これら のポリシーを含む設定パッケージを作成する必要があります。 8. 関連する設定パッケージ (MSI) をコンピュータにインストールします。 Sophos SafeGuard がエ ン ドポ イ ント コ ンピ ュ ータ 上 で設 定 され ま した。Sophos SafeGuard をインストールした後のコンピュータ動作については、ユーザ ヘルプの 「Sophos SafeGuard のインストール後の最初のログオン」、 「最初の POA ユーザ ログオン の例」 、および「データの暗号化」の章を参照してください。 6.4.3 エンドポイント コンピュータの一元設定 エンドポイント コンピュータの設定を一元的に行うことで、複数のコンピュータへの インストールが容易になります。暗号化ソフトウェアを展開する前に、エンドポイン ト コンピュータにインストールする準備を行ってください。14 ページの「インストー ルの準備」を参照してください。 1. エンドポイント コンピュータにインストールするパッケージを作成します。パッ ケージには、以下のものを取り込む必要があります。 Sophos SafeGuard インストール準備パッケージ SGxClientPreinstall.msi を使用します。このパッケージは、暗号化ソフトウェアを 正常にインストールするために必要なもの ( 必須の MSVCR80.dll バージョン 8.0.50727.4053 など) をエンドポイント コンピュータにインストールします。 ヒ ン ト : このパッケージがインストールされていない場合は、暗号化ソフトウェアのインストー ルは中止されます。 Sophos SafeGuard 暗号化ソフトウェア インストール パッケージ Sophos Web サイトからダウンロードした製品インストーラ内、または製品 CD 上にあります。 インストールできるパッケージについては、18 ページの「インストール」を参 照してください。 31 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 設定パッケージ 要件に応じて暗号化ソフトウェアを設定します。 Sophos SafeGuard Policy Editor で初期構成中に作成される定義済みデフォルト ポ リシーが含まれる設定パッケージを使用します。 デフォルト ポリシーで対応できない要件がある場合は、Sophos SafeGuard Policy Editor で設定パッケージ内に独自のポリシーを作成し、それらを公開します。42 ページの「ポリシーの操作」を参照してください。エンドポイント コンピュー タでのポリシーの展開の詳細については、47 ページの「設定パッケージの操作」 を参照してください。 例えば、サービス担当者にコンピュータへの管理アクセスを設定する必要がある とします。この場合は、設定パッケージ内で独自のポリシーを定義してコン ピュータに展開する必要があります。 事前設定されたインストール用のコマンドを実行するスクリプト Windows インストーラ コマンドライン ツール msiexec を使用してスクリプトを 作成することをお勧めします。msiexec の詳細については、33 ページの「一元イ ンストール用のコマンド」を参照してください、または http://msdn.microsoft.com/ en-us/library/aa367988(VS.85).aspx を参照してください。 2. すべてのアプリケーションを一元的に格納する場所として使用するフォルダ Software を作成します。 3. スクリプトを作成します。コマンド プロンプトで、Windows インストーラ コマンド msiexec を関連するパラメータ付きで入力します。 4. 企業のソフトウェア配布メカニズムを使用して、このパッケージをエンドポイント コンピュータに配布します。 各ハードウェア プラットフォームで POA が適切に機能するには、追加の構成が必要に なる場合があります。ほとんどのハードウェア競合の問題は、POA に組み込まれてい る「ホットキー」機能を使用して解決できます。ホットキーの設定は、POA 内で、ま たは Windows インストーラ コマンド msiexec に渡される追加設定に基づいて、インス トール後に行うことができます。詳細については、 124 ページの「Power-on Authentication でサポートされるホットキー」を参照してくださいと、次のナレッジ ベースの記事を 参照してください。 http://www.sophos.com/support/knowledgebase/article/107781.html http://www.sophos.com/support/knowledgebase/article/107785.html 32 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6.4.3.1 一元インストール用のコマンド Sophos SafeGuard をエンドポイント コンピュータに一元的にインストールする場合は、 Windows インストーラ コンポーネントの「msiexec」を使用します。msiexec はすでに Windows XP、Vista、および Windows 7 の一部であり、事前に設定された Sophos SafeGuard のインストールを自動的に実行します。また、インストール元とインストール先も指 定でき、複数のエンドポイント コンピュータにインストールする標準インストール オ プションもあります。 msiexec の詳細については、http://msdn.microsoft.com/en-us/library/aa367988(VS.85).aspx を参照してください。 コマンド ラインの構文 msiexec /i <パス+msi パッケージ名> /qn ADDLOCAL=ALL | <機能> <パラメータ> コマンド ラインの構文は以下から構成されます。 インストール時の警告やエラー メッセージのログをファイルに記録する場合など に使用される「Windows インストーラのパラメータ」 ボリューム ベースの暗号化など、インストールされる「Sophos SafeGuard の機能」 インストール ディレクトリの指定などに使用される「Sophos SafeGuard のパラメー タ」 コマンド オプション msiexec.exe を使用する場合に利用可能なすべてのオプションをプロンプトで選択でき ます。主なオプションを以下に説明します。 オプション 説明 /i 処理がインストールであることを指定します。 /qn ユーザ インタラクションなしでインストールを実行し、ユーザ イ ンターフェイスを表示しません。 ADDLOCAL= インストールされる機能をリストします。このオプションが指定 されていない場合、標準インストール用に用意されているすべて の機能がインストールされます。ADDLOCAL の後に機能をリスト する場合は、以下に注意してください。- 機能はコンマでのみ区切 り、スペースは使用しません。- 大文字小文字を区別します。機能 を選択する場合は、親機能もすべてコマンド ラインに追加する必 要があります。 ADDLOCAL=ALL 利用可能な機能をすべてインストールします REBOOT=Force ReallySuppress 33 | インストール後に再起動するかどうかを制御します。指定しなけ れば、インストール後に強制的に再起動されます。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ オプション 説明 /L* <パス + ファイル名> すべての警告とエラーメッセージを指定されたログ ファイルに記 録します。パラメータ /Le <パス + ファイル名> はエラー メッセー ジのみログに記録します。 Installdir= < ディレクトリ Sophos SafeGuard Client をインストールするディレクトリを指定し > ます。値を省略すると、デフォルトのインストール ディレクトリ は <システム>:\PROGRAM FILES\SOPHOS になります。 6.4.3.2 Sophos SafeGuard の機能 (ADDLOCAL) 一元インストールでは、エンドポイント コンピュータにインストールされる Sophos SafeGuard 機能 を あら か じめ 定 義す る 必要 が あり ま す。そ の 機能 は、コマ ン ドで ADDLOCAL オプションを記述した後にリストアップします。 以下の表は、エンドポイント コンピュータにインストールできる Sophos SafeGuard の 機能の一覧です。 SafeGuard Device Encryption の機能 SGNClient.msi、SDEClient.msi、またはそれぞれの 64 ビットのバリアントの機能。 ヒ ン ト : Client および Authentication 機能はインストールされている必要があります。 機能を選択する場合は、親機能もコマンド ラインに追加する必要があります。 親機能 機能 Client Authentication (認証) Authentication 機能とその親機能である Client はインストー ルされている必要があります。 Client、Authentication CredentialProvider (資格情報プロバイダ) Windows Vista を実行するコンピュータの場合は、この機能を 選択する必要があります。資格情報プロバイダによるログオ ンが有効になります。 Client、BaseEncryption SectorBasedEncryption 以下の機能を含む Sophos SafeGuard のボリューム ベースの 暗号化をインストールします。Sophos SafeGuard のボリュー ム ベースの暗号化では、リムーバブル メディアを含むすべ て のボ リ ュー ム の暗 号 化が 可 能で す。Sophos SafeGuard Power-on Authentication (POA)。チャレンジ / レスポンスによ る Sophos SafeGuard の復旧。 34 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 親機能 機能 Client SecureDataExchange (安全なデータ共有) ヒ ン ト : ESDP では、この機能はサポートされていません。 ファイル ベースの暗号化による SafeGuard Data Exchange は、 ローカル レベルでもリムーバブル メディアでも使用可能で す。SafeGuard Data Exchange 機能により、リムーバブル メディ アでの安全な暗号化を提供します。データを、安全かつ簡単 に他のユーザと共有することができます。暗号化と復号化の 処理はすべて透過的に実行され、ユーザ インタラクションは 最小限で済みます。SafeGuard Data Exchange をコンピュータ にインストールした場合は、SafeGuard Portable もインストー ルされます。SafeGuard Portable は、SafeGuard Data Exchange をインストールしていないコンピュータと安全にデータを 共有できる機能を提供します。 SafeGuard Data Exchange の機能 SGNClient_withoutDE.msi または SGNClient_withoutDE_x64.msi。 ヒ ン ト : ESDP では、このインストール パッケージはサポートされていません。 ヒ ン ト : Client および Authentication 機能はインストールされている必要があります。 機能を選択する場合は、親機能もコマンド ラインに追加する必要があります。 親機能 機能 Client Authentication (認証) Authentication 機能とその親機能である Client はインストールされている必要があります。 35 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 親機能 機能 Client SecureDataExchange (安全なデータ共有) ヒ ン ト : ESDP では、この機能はサポート されていません。 フ ァ イル ベ ー スの 暗 号化 に よる SafeGuard Data Exchange は、ローカル レベルでもリムー バブル メディアでも使用可能です。SafeGuard Data Exchange 機能により、リムーバブル メ ディアでの安全な暗号化を提供します。デー タを、安全かつ簡単に他のユーザと共有する ことができます。暗号化と復号化の処理はす べて透過的に実行され、ユーザ インタラク シ ョ ンは 最 小限 で 済み ま す。SafeGuard Data Exchange をコンピュータにインストールした 場合は、SafeGuard Portable もインストールさ れます。SafeGuard Portable は、SafeGuard Data Exchange をインストールしていないクライア ントと安全にデータを共有できる機能を提供 します。 ボリューム ベース暗号化のサンプル コマンド ここで挙げるコマンドには、以下の効果があります。 暗号化ソフトウェアを正常にインストールするために必要なものがエンドポイント コンピュータにインストールされます。 Sophos SafeGuard エンドポイント コンピュータで認証を行うための Sophos SafeGuard Power-on Authentication がインストールされます。 Sophos SafeGuard のボリューム ベースの暗号化がインストールされます。 ログ ファイルが作成されます。 デフォルト設定パッケージが実行されます。 例: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,Authentication,BaseEncryption,SectorBasedEncryption Installdir=C:\Program Files\Sophos\Sophos SafeGuard msiexec /i F:\Software\StandardConfig.msi /qn /log I:\Temp\StandardConfig.log 36 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6.4.4 FIPS に準拠したインストール FIPS 認定では、暗号化モジュールのセキュリティ要件が定義されています。たとえば、 米国およびカナダの政府機関では、特にセキュリティが重要な情報を扱うために FIPS 140-2 の認定を受けたソフトウェアが必要とされます。 Sophos SafeGuard では、FIPS の認定を受けた AES アルゴリズムが使用されています。デ フォルトでは、FIPS の認定をまだ受けていない、より高速で新しい AES アルゴリズム のインプリメンテーションがインストールされます。 FIPS の認定を受けた AES アルゴリズムのバリアントを使用するには、Sophos SafeGuard 暗号化ソフトウェアをインストールするときに、FIPS_AES プロパティを 1 に設定しま す。 これは、次の 2 つの方法で実行できます。 37 以下のようにコマンド ライン スクリプトにプロパティを追加する。 msiexec /i F:\Software\SGNClient.msi FIPS_AES=1 変換を使用する。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 7 複数の OS を使用するコンピュータへの Sophos SafeGuard クライアントのインストール ESDP では、この機能はサポートされていません。(Endpoint Security and Data Protection). 複数のオペレーティング システムがハード ディスクの別個のボリュームにインストー ルされている場合でも、データを保護するために Sophos SafeGuard クライアントを コ ンピュータにインストールすることができます . Sophos SafeGuard には、いわゆる " ラ ンタイム " システムが用意されています。追加 の Windows インストールを備えるボ リュームにインストールされた場合、Sophos SafeGuard ランタイム クライアントでは、 以下の事項が実行可能になります。 これらのボリュームに存在する Windows インストールはブート マネージャによっ て正常に起動されます。 定義済みのマシン鍵による完全な Sophos SafeGuard クライアントのインストールに よって暗号化されたボリューム上のパーティションに正常にアクセスできます。 7.1 前提条件と制限事項 次の点に注意してください。 Sophos SafeGuard ランタイム クライアントは、Sophos SafeGuard クライアント固有の 機能を一切提供しません。 Sophos SafeGuardランタイム クライアントは、Sophos SafeGuard クライアントでもサ ポートされるオペレーティング システムのみサポートします。 USB キーボードの正常な動作が制限される場合があります。 Power-on Authentication 後に有効になるブート マネージャのみサポートされます。 サードパーティ製ブート マネージャのサポートは保証されません。Microsoft 製ブー ト マネージャを使用することを推奨します。 Sophos SafeGuardランタイム クライアントは、完全な Sophos SafeGuardクライアント に更新することはできません。 ランタイム インストール パッケージは、フル バージョンの Sophos SafeGuard クライ アント インストール パッケージをインストールする前にインストールする必要が あります。 Sophos SafeGuard で定義済みのマシン鍵によって暗号化されたボリュームだけにア クセスできます。 38 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 7.2 準備 Sophos SafeGuard ランタイムを設定するには、以下の準備を記述された順序で実行しま す。 1. Sophos SafeGuard ランタイムを実行するボリュームがインストール時に表示され、 Windows 名 (C: など) によってアクセスできることを確認します。 2. "Sophos SafeGuard クライアント " をインストールするハード ディスクのボリューム を決定します。Sophos SafeGuard では、これらのボリュームは "セカンダリ" Windows インストールとして定義されます。セカンダリ Windows インストールは複数存在す ることができます。次のパッケージを使用します : SGNClientRuntime.msi ( またはコ ンピュータのオペレーティング システムが Windows 7 64 ビットか Windows Vista 64 ビットのときは、それぞれの 64 ビットのバリアント)。 3. フル バージョンの "Sophos SafeGuard クライアント " をインストールするハード ディスクのボリュームを決定します。Sophos SafeGuardでは、このボリュームは "プ ライマリ" Windows インストールとして定義されます。プライマリ Windows インス ト ー ル は 1 つ だ け 存 在 す る こ と が で き ま す。次 の パ ッ ケ ー ジ を 使 用 し ま す : SGNClientRuntime.msi ( ま た は コ ン ピ ュ ー タ の オ ペ レ ー テ ィ ン グ シ ス テ ム が Windows 7 64 ビットか Windows Vista 64 ビットのときは、それぞれの 64 ビットの バリアント)。 7.3 Sophos SafeGuard ランタイム クライアントの設定 次の手順を実行します。 1. Sophos SafeGuardランタイム クライアントをインストールするハード ディスクの必 要なセカンダリ ボリュームを選択します。 2. 選択したボリュームで、セカンダリ Windows インストールを起動します。 3. 選択したボリュームにクライアント ランタイム パッケージをインストールします。 4. インストーラの次のダイアログでデフォルトを確認します。特別な機能を選択する 必要はありません。 5. ランタイム インストールのインストール フォルダを選択します。 6. ランタイム インストールが完了したかどうかを確認します。 7. Sophos SafeGuard クライアントをインストールするハード ディスクのプライマリ ボ リュームを選択します。 8. 選択したボリュームで、プライマリ Windows インストールを起動します。 39 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 9. MSI 準備パッケージ SGxClientPreinstall.msi をインストールします。暗号化ソフト ウェアを正常にインストールするために必要なもの ( 関連する DLL など ) がエンド ポイント コンピュータにインストールされます。 10.選択したボリュームに Sophos SafeGuard SafeGuard Client インストール パッケージを インストールします。 11.設定パッケージを作成してエンドポイント コンピュータに展開してください 12.定義済みのマシン鍵を使って両方のボリュームを暗号化します。 7.4 ブート マネージャによるセカンダリ ボリュームからの起動 次の手順を実行します。 1. コンピュータを起動します。 2. ログオン情報を使用して、Power-on Authentication にログオンします。 3. ブート マネージャを起動して、必要なセカンダリ ボリュームをブート ボリューム として選択します。 4. このボリュームからコンピュータを再起動します。 定義済みのマシン鍵で暗号化された各ボリュームにアクセスできます。 40 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 8 Sophos SafeGuard Policy Editor にログオンします。 Sophos SafeGuard Policy Editor にログオンするには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor を起動します。ログオン ダイアログが表示されます。 2. 初期設定時に指定されたセキュリティ担当者のパスワードを入力し、[OK] をクリッ クして確認します。 Sophos SafeGuard Policy Editor が開きます。 41 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 9 ポリシーの操作 以下のセクションでは、ポリシーに関する管理タスク ( ポリシーの作成、グループ化、 バックアップなど ) について説明します。 推奨されるデフォルト ポリシーは、Sophos SafeGuard Policy Editor の初期設定中にあら かじめ作成されます。20 ページの「Sophos SafeGuard Policy Editor 構成ウィザードでの 初期構成の実行」を参照してください . デフォルト ポリシーの詳細については、66 ペー ジの「デフォルト ポリシー」を参照してください。 Sophos SafeGuard で使用可能なすべてのポリシー設定については、77 ページの「ポリ シー設定」を参照してください。 9.1 ポリシーの作成 新しいポリシーを作成するには、次の手順を実行します。 1. 初期構成中に設定したパスワードを使用して Sophos SafeGuard Policy Editor にログオ ンします。 2. ナビゲーション ペインで [ポリシー ] をクリックします。 3. ナビゲーション ペインで [ ポリシー項目 ] を右クリックし、[ 新規作成 ] を選択しま す。 4. ポリシー タイプを選択します。選択したポリシー タイプのポリシーに名前を付ける ダイアログが表示されます。 5. 新しいポリシーの名前を入力し、必要に応じて説明を入力します。 「デバイス保護」のポリシー : デバイス保護のポリシーを作成するときは、デバイス保護の対象もこのダイアログ で指定する必要があります。次の対象を選択できます。 大容量記憶装置 (ブート ボリューム/他のボリューム) リムーバブル メディア (SafeGuard Easy のインストールでのみサポートされます) 光学式ドライブ (SafeGuard Easy のインストールでのみサポートされます) 対象ごとに、異なるポリシーを作成する必要があります。後で個別のポリシーを結 合し、例えば「暗号化」のような名前のポリシー グループを作成できます。 42 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6. [OK] をクリックします。 左側の [ ポリシー項目 ] の下の [ ポリシー ] ナビゲーション ペインに、新しいポリシー が表示されます。右側の処理ペインには、選択されているポリシー タイプのすべての 設定が表示され、必要に応じて変更することもできます。 9.2 ポリシー設定の編集 ナビゲーション ペインでポリシーを選択すると、処理ペインでポリシー設定を編集で きます。 "構成されていない" 設定の前には赤いアイコンは表示されますが、これはこ のポリシー設定の値を定義する必要があることを示しています。ポリシーを 保存するには、[未構成] 以外の設定を選択してください。 9.2.1 ポリシー設定のデフォルト値への設定 ツール バーには、ポリシー設定に使用できる次のアイコンがあります。 未構成のポリシー設定のデフォルト値を表示します。 マークされたポリシー設定を [未構成] に設定します。 ペイン内のすべてのポリシー設定を [未構成] に設定します。 マークされたポリシーにデフォルト値を設定します。 ペイン内のすべてのポリシー設定にデフォルト値を設定します。 9.2.2 マシン固有のポリシーとユーザ固有のポリシーの区別 青のポリシー ポリシーはマシンにのみ適用され、ユーザには適用され ません。 黒のポリシー ポリシーはマシンとユーザに適用されます。 43 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 9.3 ポリシー グループ Sophos SafeGuard のポリシーを設定パッケージ内で転送するには、ポリシー グループ内 で結合する必要があります。1 つのポリシー グループに異なる種類のポリシーを含め ることができます。 同じ種類のポリシーをグループにした場合は、設定が自動的に結合されます。この場 合、設定の利用優先度を定義できます。優先度の高いポリシーの設定は、優先度の低 いポリシーの設定よりも優先されます。オプションが [ 未構成 ] に設定されている場 合、優先度の低いポリシーの設定は上書きされません。 デバイス保護に関する例外 : デバイス保護のポリシーは、同じ対象 ( ブート ボリュームなど ) に対して定義されて いる場合にのみ結合されます。対象が異なる場合、設定は追加されます。 9.3.1 ポリシーのグループへの結合 前提条件 : 個別のポリシーを事前に作成しておく必要があります。 Sophos SafeGuard のポリシーを設定パッケージ内で転送するには、ポリシー グループに 結合する必要があります。1 つのポリシー グループに異なる種類のポリシーを含める ことができます。 ポリシーをグループ化するには、次の手順を実行します。 1. ナビゲーション ペインで [ポリシー ] をクリックします。 2. ナビゲーション ペインで [ポリシー グループ] を右クリックし、[新規作成] を選択 します。 3. [新しいポリシー グループ] をクリックします。ポリシー グループの名前を入力する ためのダイアログが表示されます。 4. ポリシー グループの一意の名前と、必要に応じて説明を入力します。[OK] をクリッ クします。 5. ナビゲーション ペインの [ポリシー グループ] の下に、新しいポリシー グループが 表示されます。 6. ポリシー グループを選択します。処理ペインに、ポリシーのグループ化に必要なす べての要素が表示されます。 44 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 7. グループにポリシーを追加するには、使用可能なポリシーのリストからポリシー ペ インに目的のポリシーをドラッグします。 8. コンテキスト メニューを使用してポリシーを順番に並べることにより、各ポリシー の「優先度」を定義できます。 同じ種類のポリシーをグループにした場合は、設定が自動的に結合されます。この 場合、設定の利用優先度を定義できます。優先度の高いポリシーの設定は、優先度 の低いポリシーの設定よりも優先されます。オプションが [未構成] に設定されてい る場合、優先度の低いポリシーの設定は上書きされません。 デバイス保護に関する例外: デバイス保護のポリシーは、同じ対象 (ブート ボリュームなど) に対して定義されて いる場合にのみ結合されます。対象が異なる場合、設定は追加されます。 9. [ファイル] > [保存] の順に選択して、ポリシーを保存します。 このポリシー グループには、すべての個々のポリシーの設定が含まれています。次の 手順は、このポリシー グループが含まれる設定パッケージを作成することです。 9.3.2 ポリシーのグループ化の結果 ポリシーのグループ化の結果は、個別に表示されます。 結果を表示するには [ 結果 ] タブをクリックします。 ポリシーの種類ごとに異なるタブに表示されます。 個別のポリシーをグループに結合した結果の設定が表示されます。 デバイス保護のポリシーの場合は、ポリシーの対象 ( ブート ボリューム、ドライブ X など) ごとにタブが表示されます。 9.4 ポリシーおよびポリシー グループのバックアップ ポリシーとポリシー グループのバックアップを XML ファイルとして作成できます。必 要な場合は、関連するポリシー / ポリシー グループをこれらの XML ファイルから復元 できます。 ポリシー / ポリシー グループのバックアップを作成するには、次の手順を実行します。 1. ナビゲーション ペインの [ポリシー項目] または [ポリシー グループ] でポリシー/ポ リシー グループを選択します。 45 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 2. 右クリックでコンテキスト メニューを表示し [ ポリシーのバックアップ ] を選択し ます。 [ポリシーのバックアップ] コマンドは [処理] メニューにもあります。 3. [名前を付けて保存] ダイアログで、XML ファイルのファイル名を入力し、ファイル の保存場所を選択します。[保存] をクリックします。 ポリシー/ ポリシー グループのバックアップが指定したディレクトリに XML ファイル として保存されます。 9.5 ポリシーおよびポリシー グループの復元 ポリシー / ポリシー グループを XML ファイルから復元するには、次の手順を実行しま す。 1. ナビゲーション ペインで [ポリシー項目] または [ポリシー グループ] を選択します。 2. 右クリックでショートカットメニューを表示し [ポリシーの復元] を選択します。 [ポリシーの復元] コマンドは [処理] メニューにもあります。 3. ポリシー / ポリシー グループの復元に使用する XML ファイルを選択し [ 開く] をク リックします。 ポリシー / ポリシー グループが復元されます。 46 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 10 設定パッケージの操作 Sophos SafeGuard で保護されたコンピュータは、Sophos SafeGuard Policy Editor で作成さ れる設定パッケージに基づいて暗号化ポリシーを受け取ります。エンドポイント コン ピュータ上で Sophos SafeGuard が正常に動作するには、関連するポリシー グループが 含まれる設定パッケージを作成してエンドポイント コンピュータに配布する必要があ ります。 Sophos SafeGuard Policy Editor 構成ウィザードで初期構成中に、デフォルト ポリシーが 含まれるデフォルト設定パッケージがすでに作成されていることがあります。 ポリシー設定を変更するときは、必ず新しい設定パッケージを作成してそれらをエン ドポイント コンピュータに配布する必要があります。 以下のセクションでは、設定パッケージを作成してエンドポイント コンピュータに配 布する方法について説明します。 ヒ ン ト : ネットワークとコンピュータを定期的に調べて、古くなったり、使用されて いない設定パッケージがないかどうかを確認し、あればセキュリティ上の理由から確 実に削除してください。 10.1 Sophos SafeGuard 設定パッケージの作成 ヒ ン ト : 設定パッケージ内のポリシーは、エンドポイント コンピュータに転送されま す。新しいポリシーを作成したり既存のポリシーを編集が完了したら、必ず以下の手 順を実行してください。デフォルト ポリシーのみを使用するときは、設定パッケージ が初期構成中に自動的に作成されます。この場合は、以下の手順を実行する必要はあ りません。 設定パッケージを作成するには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor で、[ツール] メニューから [設定パッケージ ツール] を 選択します。 2. [設定パッケージの追加] をクリックします。 3. 設定パッケージに対して好きな名前を入力します。 4. コンピュータに適用される [ポリシー グループ] を指定します。このポリシー グルー プは、Sophos SafeGuard Policy Editor で事前に作成しておく必要があります。 47 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 5. [鍵バックアップ場所] で、鍵復旧ファイルを格納するための共有ネットワーク パス を指定します。共有パスは \\networkcomputer\ の形式で入力します (例: \\mycompany.edu\)。ここでパスを指定しない場合、インストール後にエンドポイン ト コンピュータに最初にログオンしたときに、エンド ユーザはこのファイルの保 存場所を入力するよう求められます。 鍵復旧ファイルは、Sophos SafeGuard で保護されたコンピュータを復旧するときに必 要で、各コンピュータ上に生成されます。 この鍵復旧ファイルは、共有ネットワーク パスなど、ヘルプデスクがアクセス可能 なファイル場所に必ず保存してください。または、別の方法でヘルプデスクにファ イルを提供することもできます。このファイルは、企業の証明書によって暗号化さ れています。そのため、外付けメディアまたはネットワークに保存しておき、復旧 が必要なときにそれをヘルプデスクに提供することもできます。電子メールで送信 することもできます。 6. [POA グループ] で、エンドポイント コンピュータに割り当てる POA アクセス アカ ウ ン ト グル ー プを 選 択で き ます。POA ア ク セス ア カウ ン トは、Power-on Authentication がアクティブになった後に、エンドポイント コンピュータで管理タス クにアクセスするためのものです。POA アクセス アカウントを割り当てるには、 Sophos SafeGuard Policy Editor の [ユーザ] ペインで POA グループが事前に作成され ている必要があります。 7. 設定パッケージ (MSI) の出力パスを指定します。 8. [設定パッケージの作成] をクリックします。 指定したディレクトリに設定パッケージ (MSI) が作成されました。このパッケージを Sophos SafeGuard エンドポイント コンピュータに配布して、展開する必要があります。 10.2 設定パッケージの配布 Sophos SafeGuard 暗号化ソフトウェアのインストール後や、構成設定に変更が生じた場合 は、 設定パッケージをエンドポイント コンピュータにインストールする必要があります。 企業のソフトウェア配布メカニズムを使用して設定パッケージを配布するか、または エンドポイント コンピュータに設定パッケージを手動でインストールしてください。 ヒ ン ト : Sophos SafeGuard で保護されたコンピュータのポリシー設定を変更するには、 変更されたポリシーを含む新しい設定パッケージを作成して、コンピュータに配布し ます。 ヒ ン ト : 新しい設定パッケージに上書きする形で古いパッケージをインストールしよ うとすると、インストールは中止され、エラー メッセージが表示されます。 48 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 11 企業およびマスタ セキュリティ担当者 (MSO) の証明 書のエクスポート Sophos SafeGuard のインストールでは、次の 2 つのファイルは重要ですので、安全な場 所にバックアップしておく必要があります。 SafeGuard データベースに保存された企業の証明書 Sophos SafeGuard Policy Editor がインストールされたコンピュータの証明書ストアに あるマスタ セキュリティ担当者 (MSO) の証明書 ヒ ン ト : Sophos SafeGuard Policy Editor では、マスタ セキュリティ担当者 (MSO) は初期 構成時に定義された担当者です。ESDP では、この担当者は常に「管理者」と呼ばれます。 どちらの証明書も、バックアップを目的として .p12 ファイルでエクスポートできます。 Sophos SafeGuard Policy Editor のインストールが破損したり、データベースが破損した 場合でも、関連する証明書をインポートすることで復元できます。 ヒ ン ト : このタスクは、Sophos SafeGuard Policy Editor の初期構成を終えたら、すぐに 実行することをお勧めします。 11.1 企業の証明書のエクスポート Author: ヒ ン ト : マスタ セキュリティ担当者のみが、バックアップを目的として、企業の証明 書をエクスポートできます。 1. Sophos SafeGuard Policy Editor のメニュー バーで、[ツール] > [オプション] を選択し ます。 2. [ 証明書 ] タブを選択し、[ 企業の証明書 ] セクションの [ エクスポート ] ボタンをク リックします。 3. エクスポートされたファイルを保護するために、パスワードを入力するように求め られます。パスワードを入力し、確認のために再入力して、[OK] をクリックします。 4. ファイルの名前と保存場所を入力して、[OK] をクリックします。 企業の証明書が .p12 ファイルとして指定した場所にエクスポートされ、復旧目的に使 用できるようになります。 49 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 11.2 マスタ セキュリティ担当者証明書のエクスポート Sophos SafeGuard Policy Editor にログオンしている MSO のマスタ セキュリティ担当者 証明書をバックアップするには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor のメニュー バーで、[ツール] > [オプション] を選択し ます。 2. [証明書] タブを選択し、[<管理者> 証明書] セクションの [エクスポート] ボタンをク リックします。 3. エクスポートされたファイルを保護するために、パスワードを入力するように求め られます。パスワードを入力し、確認のために再入力して、[OK] をクリックします。 4. ファイルの名前と、エクスポートされるファイルの保存場所を入力し、[OK] をク リックして確定します。 現在ログオンしている MSO のマスタ セキュリティ担当者証明書が .p12 ファイルとし て指定した場所にエクスポートされ、復旧目的に使用できるようになります。 50 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 12 破損した Sophos SafeGuard Policy Editor インストール の復元 Sophos SafeGuard Policy Editor のインストールは破損しているけれども、データベース はまだ破損していない場合は、Sophos SafeGuard Policy Editor を再インストールして既 存のデータベースとバックアップ済みセキュリティ担当者証明書を使用することに よって、インストールを容易に復元できます。 次の手順を実行します。 1. Policy Editor インストール パッケージを再インストールします。Sophos SafeGuard Policy Editor を開きます。構成ウィザードが自動的に起動します。 2. [データベース] で、[既存のデータベースを使用] を有効にします。[データベース名 ] で、リストからデータベースの名前を選択します。[データベース設定] で、必要に 応じてデータベースへの接続を設定します。[次へ] をクリックします。 3. [セキュリティ担当者] で、以下のいずれかを実行します。 バックアップ済み証明書ファイルがコンピュータ上に見つかった場合は、それが 表示されます。Sophos SafeGuard Policy Editor で認証に使用するパスワードを入力 します。 バックアップ済み証明書ファイルがコンピュータ上に見つからない場合は、[ イ ンポート] をクリックします。バックアップ済み証明書ファイルを参照し、[開く ] をクリックして確定します。選択した証明書ファイルのパスワードを入力しま す。[はい] をクリックして確定します。Sophos SafeGuard Policy Editor で認証用パ スワードを入力して確定します。 4. [次へ] をクリックし、さらに [完了] をクリックして、Sophos SafeGuard Policy Editor の設定を完了します。 破損した Sophos SafeGuard Policy Editor インストールが復元されます。 51 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 13 破損したデータベース設定の復元 破損したデータベース設定は、 Sophos SafeGuard Policy Editor を再インストールしてバッ クアップ済み証明書ファイルから新しいデータベース インスタンスを作成することに よって復元できます。これによって、既存のすべての Sophos SafeGuard エンドポイント コンピュータは新しいインストールからポリシーを受け取ることになります。この方 法では、データベース全体を改めて設定して復元する必要がありません。 関連するデータベース設定の企業およびマスタ セキュリティ担当者の証明書が .p12 ファイルにエクスポートされ、有効で利用できる状態になっている必要があります。 2 つの .p12 ファイルのパスワードと、証明書ストアのパスワードを知っている必要 があります。 次の手順を実行します。 1. Policy Editor インストール パッケージを再インストールします。Sophos SafeGuard Policy Editor を開きます。構成ウィザードが自動的に起動します。 2. [データベース] で、[新しいデータベースを作成する] を選択します。[データベース 設定] で、データベースへの接続を設定します。[次へ] をクリックします。 3. [セキュリティ担当者] で、関連するセキュリティ担当者を選択します。[証明書を自 動的に作成する。] の選択を解除します。[インポート] をクリックして、バックアッ プ済み証明書ファイルを参照します。証明書ストアごとのセキュリティ担当者のパ スワードを入力し、確定します。証明書がインポートされます。[次へ] をクリック します。 4. [企業情報] で、[証明書を自動的に作成する。] の選択を解除します。[インポート] をクリックして、有効な企業証明書が含まれるバックアップ済み証明書ファイルを 参照します。証明書ストアに指定されたパスワードを入力するするように求められ ます。パスワードを入力し、[OK] をクリックして確定します。メッセージが表示さ れたら、[はい] をクリックして確定します。企業の証明書がインポートされます。 5. [証明書のバックアップ] で、証明書のバックアップの保存場所を指定します。[次へ] をクリックして保存場所を確定します。 6. [デフォルト ポリシー ] で、[デフォルト ポリシーの作成] の選択を解除し、[次へ] を クリックして確定します。 7. [復旧鍵] で、[ネットワーク共有を作成する] の選択を解除して [次へ] をクリックし てから、[完了] をクリックします。 データベース設定が復元されます。 52 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 14 エンドポイント コンピュータ用の管理アクセス オプ ション エンドポイント コンピュータに Sophos SafeGuard をインストールした後の管理タスク のアクセス要件に対応するために、Sophos SafeGuard には次の管理アクセス オプション が用意されています。 Windows ログオン用のサービス アカウント 展開オペレータや IT チームのメンバーなどのユーザは、サービス アカウントを使 用することで、Sophos SafeGuard をインストールした後にエンドポイント コン ピュータにログオン (Windows ログオン) できます。Power-on Authentication を有効 にしたり、これらのユーザをユーザとしてコンピュータに追加したりする必要はあ りません。サービス アカウントのリストは、Sophos SafeGuard Policy Editor の [ポリ シー ] ペインで定義され、Sophos SafeGuard 設定パッケージに取り込まれるポリシー に基づいてエンドポイント コンピュータに割り当てられます。サービス アカウント のリストに取り込まれるユーザは、エンドポイント コンピュータにログオンすると きにゲスト ユーザとして扱われます。 ヒ ン ト : サービス アカウントのリストは、ポリシーに基づいてエンドポイント コン ピュータに割り当てられます。サービス アカウントのリストは、エンドポイント コン ピュータを設定するために作成する最初の Sophos SafeGuard 設定パッケージ内で割り 当てることを推奨します。サービス アカウントのリストは、新しい設定パッケージを 作成してエンドポイント コンピュータに展開することによって更新できます。 POA ログオン用の POA アクセス アカウント POA アクセス アカウントは、POA が有効になった後にユーザ (IT チームのメンバー など ) がエンドポイント コンピュータにログオンして管理タスクを実行するため の、事前に定義されたローカル アカウントです。POA ログオンはできますが、 Windows への自動ログオンはできません。これらのアクセス アカウントは、Sophos SafeGuard Policy Editor の [ ユーザ ] ペインで定義され ( ユーザ ID とパスワード )、 Sophos SafeGuard 設定パッケージに取り込まれる POA アクセス グループに基づいて エンドポイント コンピュータに割り当てられます。 14.1 Windows ログオン用のサービス アカウントのリスト Filename: PM_ServiceAccountList_Overview ほとんどの実装では、展開チームが環境に新しいコンピュータをインストールし、 Sophos SafeGuard のインストールも合わせて行うことが一般的です。エンド ユーザが新 しいコンピュータを受け取り、Power-on Authentication を有効にできるためには、その 53 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 前に展開オペレータが個々のコンピュータにログオンして、インストールや検証を行 うことになります。 そのため、シナリオは次のようになると考えられます。 1. Sophos SafeGuard をエンドポイント コンピュータにインストールします。 2. コンピュータを再起動後、展開オペレータがログオンします。 3. 展開オペレータが POA に追加され、POA が有効になります。 コンピュータを受け取った時点で、エンド ユーザは POA にはログオンできず、チャレ ンジ / レスポンス方式を実行する必要があります。 Sophos SafeGuard で保護されたコンピュータで管理上の処理を実行した結果、Power-on Authentication が有効になり、展開オペレータがユーザとしてコンピュータに追加され てしまうことを防止するために、Sophos SafeGuard には、Sophos SafeGuard で保護され たコンピュータ向けにサービス アカウントのリストを作成する機能があります。これ らのリストに含まれるユーザは、Sophos SafeGuard ゲスト ユーザとして扱われます。 サービス アカウントを使用した場合、シナリオは次のようになります。 1. Sophos SafeGuard をエンドポイント コンピュータにインストールします。 2. コンピュータを再起動後、サービス アカウントのリストに含まれる展開オペレータ がログオンします (Windows ログオン)。 3. コンピュータに適用されるサービス アカウントのリストに基づいて、そのユーザは サービス アカウントとして認識され、ゲスト ユーザとして扱われます。 展開オペレータは POA には追加されず、POA は有効になりません。エンド ユーザは、 ログオンし、POA を有効にすることができます。 ヒ ン ト : サービス アカウントのリストは、エンドポイント コンピュータを設定するた めに作成する最初の Sophos SafeGuard 設定パッケージ内で割り当てることを推奨しま す。サービス アカウントのリストは、変更された設定を含む新しい設定パッケージを 作成して、エンドポイント コンピュータに展開することによって更新できます。 14.1.1 サービス アカウントのリストの作成とユーザの追加 サービス アカウントのリストを作成し、ユーザを追加するには、次の手順を実行します。 1. ナビゲーション ペインで [ポリシー ] をクリックします。 2. ポリシーのナビゲーション ペインで、[サービス アカウントのリスト] を選択します。 54 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. [サービス アカウントのリスト] のショートカット メニューで、[新規作成] > [サー ビス アカウントのリスト] をクリックします。 4. サービス アカウントのリストの名前を入力し、[OK] をクリックします。 5. ポリシーのナビゲーション ペインの [ サービス アカウントのリスト ] で、新しい一 覧を選択します。 6. 処理ペインを右クリックして、サービス アカウントのリストのショートカット メ ニューを開きます。ショートカット メニューで [追加] を選択します。 7. 新しいユーザ行が追加されます。それぞれの列に [ユーザ名] と [ドメイン名] を入力 して、Enter キーを押します。さらにユーザを追加するには、この手順を繰り返しま す。 8. ツール バーの [保存] アイコンをクリックして変更を保存します。 これでサービス アカウントのリストが登録され、ポリシーの作成時に選択して割り当 てることができます。 14.1.1.1 ユーザ名およびドメイン名の入力に関する詳細情報 [ ユーザ名 ] と [ ドメイン名 ] という 2 つのフィールドを使用してサービス アカウント のリストにユーザを指定する方法は複数あります。また、これらのフィールドには一 定の制約が適用され、条件を満たさなければ有効な入力とみなされません。 ログオンのさまざまな組み合わせへの対応 リストの各エントリは [ ユーザ名 ] と [ ドメイン名 ] という 2 つのフィールドに分かれ ているため、" ユーザ @ ドメイン "、" ドメイン \ ユーザ " など、ログオンのあらゆる組 み合わせに柔軟に対応できます。 ユーザ名 / ドメイン名の複数の組み合わせに対応するために、アスタリスク (*) をワイ ルドカードとして使用できます。アスタリスクは、最初の記号、最後の記号、および 唯一の記号として使用できます。 例を示します。 [ユーザ名]: Administrator [ドメイン名]: * この組み合わせは、ユーザ名が "Administrator" で、任意のネットワークまたはローカル コンピュータにログオンするすべてのユーザを指定します。 55 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ [ ドメイン名 ] フィールドのドロップダウン リストには、事前に定義されたドメイン名 [LOCALHOST] があり、任意のローカル ワークステーションでのログオンに対応してい ます。 例を示します。 [ユーザ名]: "*admin" [ドメイン名]: [LOCALHOST] この組み合わせは、ユーザ名が "admin" で終わり、任意のローカル コンピュータにロ グオンするすべてのユーザを指定します。 また、ユーザはさまざまな方法でログオンできます。例を示します。 ユーザ: test、ドメイン: mycompany または ユーザ: test、ドメイン: mycompany.com サービス アカウントのリストのドメイン指定は自動的に解決されないため、ドメイン を正しく指定するには 3 とおりの方法があります。 ユーザがログオンする方法を正確に把握し、それに従ってドメインを入力します。 サービス アカウントのリストのエントリを複数作成します。 あらゆるケースに対応するためにワイルドカードを使用します (ユーザ: test、ドメイ ン: mycompany*)。 ヒ ン ト : Windows では文字列が長い場合に名前の一部が切り捨てられる可能性があ り、それによる問題を回避するために完全修飾名と NetBIOS 名を入力するか、または ワイルドカードを使用することを推奨します。 制限事項 アスタリスクは、最初の記号、最後の記号、および唯一の記号としてのみ使用できま す。次に、アスタリスクを使用した有効な文字列と、無効な文字列の例を示します。 有効な文字列は、例えば admin*、*、*strator、*minis* です。 無効な文字列は、例えば **、Admin*trator、Ad*minst* です。 さらに、次の制限事項も適用されます。 ユーザ ログオン名に ? 文字は使用できません。 ドメイン名に / \ [ ] : ; | = , + * ?< > " は使用できません。 56 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 14.1.2 サービス アカウントのリストの編集と削除 [ サービス アカウントのリストを変更する ] 権限を持つセキュリティ担当者は、サービ ス アカウントのリストをいつでも編集したり、削除したりすることができます。 サービス アカウントのリストを編集するには、ポリシー ナビゲーション ペインで リストをダブルクリックします。サービス アカウントのリストが開かれ、リストに ユーザ名を追加したり、削除したり、変更したりすることができます。 サービス アカウントのリストを削除するには、ポリシー ナビゲーション ペインで リストを選択し、ショートカット メニューを開いて、[削除] を選択します。 14.1.3 ポリシーを使用したサービス アカウントのリストの割り当て サービス アカウントのリストを選択して割り当てるには、次の手順を実行します。 1. [認証] タイプの新しいポリシーを作成するか、または既存のポリシーを選択します。 2. [ログオン オプション] で、[サービス アカウントのリスト] フィールドのドロップダ ウン リストから、目的のサービス アカウントのリストを選択します。 注: このフィールドのデフォルト設定は [リストなし] です。つまり、サービス アカウ ントのリストは適用されません。そのため、Sophos SafeGuard のインストール後にコ ンピュータにログオンした展開オペレータは、ゲスト ユーザとしては扱われず、 Power-on Authentication を有効にでき、コンピュータに追加されます。サービス アカ ウントのリストの割り当てを取り消すには、[リストなし] オプションを選択します。 3. ツール バーの [保存] アイコンをクリックして変更を保存します。 これで、ポリシーを各コンピュータに転送して、コンピュータでサービス アカウント を使用できます。 ヒ ン ト : RSOP (ポリシーの結果セット、特定のコンピュータ/グループに有効な設定) ですべて関連し合うと定義された各ポリシーで異なるサービス アカウントのリストを 選択すると、最後に適用されたポリシーで割り当てられたサービス アカウントのリス トが、前に割り当てられたすべてのサービス アカウントのリストより優先されます。 サービス アカウントのリストは結合されません。 14.1.4 ポリシーのユーザ コンピュータへの転送 Sophos SafeGuard で保護されたコンピュータは、Sophos SafeGuard Policy Editor の [ ツー ル ] > [ 設定パッケージ ツール ] で作成される設定パッケージに基づいてポリシーを受 け取ります。 57 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 設定ファイルは企業のソフトウェア配布メカニズム経由で配布でき、または、設定パッ ケージは手動でエンドポイント コンピュータにインストールされます。 ヒ ン ト : サービス アカウントのリスト機能は、特に実装の展開段階で実施する初期イ ンストールで役立ち、また重要です。そのため、インストール後のエンドポイント コ ンピュータを設定するために Sophos SafeGuard Policy Editor で作成する最初の Sophos SafeGuard 設定パッケージによって転送されるポリシー グループに、必要なサービス ア カウントのリスト設定とともに [認証] ポリシーを含めることを推奨します。 ヒ ン ト : Sophos SafeGuard で保護されたコンピュータのポリシー設定を変更するには、 変更されたポリシーを含む新しい設定パッケージを作成して、コンピュータに配布し ます。 14.1.5 サービス アカウントを使用したエンドポイント コンピュータへのログ オン コンピュータを再起動した後の最初の Windows ログオンで、サービス アカウントのリ ストに含まれるユーザは、個々のコンピュータに Sophos SafeGuard ゲスト ユーザとし てログオンします。コンピュータへのこの最初の Windows ログオンで、Power-on Authentication が保留になったり、そのユーザがコンピュータに追加されることはあり ません。Sophos SafeGuard システム トレイ アイコンとバルーン ヒント " 初期ユーザ同 期が完了しました " は表示されません。 14.1.5.1 エンドポイント コンピュータでのサービス アカウントの状態の表示 また、ゲスト ユーザのログオンの状態は、システム トレイ アイコンを介して見ること もできます。システム トレイ アイコンの詳細については、Sophos SafeGuard ユーザ ヘ ルプの「システム トレイ アイコンとバルーンヒント」の章 ( ユーザ状態フィールドの 説明 ) を参照してください。 14.1.6 ログ イベント サービス アカウントのリストに関連して実行された処理は、次のログ イベントで報告 されます。 Sophos SafeGuard Policy Editor サービス アカウントのリスト <名前> が作成されました サービス アカウントのリスト <名前> が変更されました サービス アカウントのリスト <名前> が削除されました 58 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ Sophos SafeGuard エンドポイント コンピュータ Windows ユーザ <ドメイン/ユーザ名> が <タイムスタンプ> にコンピュータ <ドメ イン/ワークステーション名> に SGN サービス アカウントとしてログオンしました。 新しいサービス アカウントのリスト <名前> がインポートされました。 サービス アカウントのリスト <名前> が削除されました。 14.2 POA ログオン用の POA アクセス アカウント Filename: DM_POAOverview Sophos SafeGuard がインストールされて Power-on Authentication (POA) が有効になった 後に、管理タスクを実行するエンドポイント コンピュータへのアクセスが必要になる ことがあります。★ユーザ (IT チームのメンバーなど ) は、POA アクセス アカウント を 使用 す るこ と で、管 理 タス ク 用 のエ ン ドポ イ ント コ ンピ ュ ータ 上 で Power-on Authentication にログオンできます。チャレンジ / レスポンス方式を開始する必要はあ りません。Windows への自動ログオンは実行されません。ユーザは既存の Windows ア カウントで Windows にログオンする必要があります。 Sophos SafeGuard Policy Editor で POA アクセス アカウントを作成し、それらを POA ア クセス アカウント グループに登録してから、Sophos SafeGuard 設定パッケージに基づ いてグループをエンドポイント コンピュータに割り当てることができます。割り当て た POA アクセス アカウント グループに含まれているユーザ (POA アクセス アカウン ト ) は、POA に追加されて、定義済みのユーザ名とパスワードを使用してログオンで きるようになります。 14.2.1 POA アクセス アカウントの作成 POA アクセス アカウントを作成するには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor のナビゲーション ペインで [ユーザ] をクリックしま す。 2. [ユーザ] ナビゲーション ペインの [POA] で、[POA ユーザ] を選択します。 3. [POA ユーザ] のコンテキスト メニューで、[新規作成] > [新しいユーザを作成する] をクリックします。 [新しいユーザを作成する] ダイアログが表示されます。 4. [フル ネーム] フィールドに、新しい POA ユーザの名前 (ログオン名) を入力します。 5. 必要に応じて、新しい POA ユーザの説明を入力します。 59 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6. 新しい POA アクセス アカウントのパスワードを入力して確定します。 セキュリティを強化するために、パスワードは複雑さの最小要件 ( 長さが 8 文字以 上、数字と英字を混ぜる、など) に従う必要があります。入力したパスワードが短す ぎる場合は、警告メッセージが表示されます。 7. [OK] をクリックします。 新しい POA アクセス アカウントが作成されて、POA ユーザ (POA アクセス アカウント ) が [ ユーザ ] ナビゲーション ペインの [POA ユーザ ] に表示されます。 14.2.2 POA アクセス アカウントのパスワードの変更 POA アクセス アカウントのパスワードを変更するには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor のナビゲーション ペインで [ユーザ] をクリックしま す。 2. [ユーザ] ナビゲーション ペインの [POA]、[POA ユーザ] で、関連する POA ユーザ を選択します。 3. POA ユーザのショートカット メニューで [プロパティ ] を選択します。 POA ユーザのプロパティ ダイアログが表示されます。 4. [全般] タブの [ユーザ パスワード] で、新しいパスワードを入力して確定します。 5. [OK] をクリックします。 新しいパスワードが、関連する POA アクセス アカウントに適用されます。 14.2.3 POA アクセス アカウントの削除 POA アクセス アカウントを削除するには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor のナビゲーション ペインで [ユーザ] をクリックしま す。 2. [ユーザ] ナビゲーション ペインの [POA]、[POA ユーザ] で、関連する POA アクセ ス アカウントを選択します。 3. POA アクセス アカウントを右クリックし、ショートカット メニューから [削除] を 選択します。 60 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ POA アクセス アカウント (POA ユーザ ) が削除されて、[ ユーザ ] ナビゲーション ペイ ンから消えます。 ヒ ン ト : ユーザが POA グループに属している場合は、すべてのグループから POA ア クセス アカウントが削除されます。ただし、その POA アクセス アカウントは、新しい 設定パッケージが作成されて割り当てられるまで、エンドポイント コンピュータ上で 引き続き使用できます。POA グループの詳細については、61 ページの「POA アクセス アカウント グループの作成」を参照してください. 割り当てられている POA アクセス アカウントの変更の詳細については、63 ページの「エンドポイント コンピュータに割 り当てられている POA アクセス アカウントの変更」を参照してください。 14.2.4 POA アクセス アカウント グループの作成 設定パッケージに基づいて POA アクセス アカウントをエンドポイント コンピュータ に割り当てるには、それらのアカウントをグループにまとめる必要があります。設定 パッケージを作成するときに、割り当て用の POA アクセス アカウント グループを選択 できます。 POA アクセス アカウント グループを作成するには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor のナビゲーション ペインで [ユーザ] をクリックします。 2. [ユーザ] ナビゲーション ペインの [POA] で、[POA グループ] を選択します。 3. [POA グループ] のショートカット メニューで、[新規作成] > [新しいグループを作成 する] をクリックします。 [新しいグループを作成する] ダイアログが表示されます。 4. [フル ネーム] フィールドに、新しい POA グループの名前を入力します。 5. 必要に応じて、新しい POA グループの説明を入力します。 6. [OK] をクリックします。 新しい POA アクセス アカウント グループが作成されて、[ ユーザ ] ナビゲーション ペ インの [POA グループ ] に表示されます。ユーザ (POA アクセス アカウント ) を POA ア クセス アカウント グループに追加できる状態になりました。 61 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 14.2.5 POA アクセス アカウント グループへのアカウントの追加 ユーザ (POA アクセス アカウント ) を POA アクセス アカウント グループに追加するに は、次の手順を実行します。 1. Sophos SafeGuard Policy Editor のナビゲーション ペインで [ユーザ] をクリックします。 2. [ユーザ] ナビゲーション ペインの [POA]、[POA グループ] で、関連する POA グルー プを選択します。 Sophos SafeGuard Policy Editor の処理ペインの右側に、[メンバー ] タブが表示されます。 3. Sophos SafeGuard Policy Editor ツール バーで、[追加] アイコン (緑色のプラス記号) を クリックします。 [メンバー オブジェクトを選択する] ダイアログが表示されます。 4. グループに追加するユーザ (POA アクセス アカウント) を選択します。 5. [OK] をクリックします。 POA アクセス アカウントがグループに追加されて [ メンバー ] タブに表示されます。 ヒ ン ト : ナビゲーション ペインで POA ユーザ (POA アクセス アカウント) を選択して 上記の手順を実行することで、アカウントをグループに追加することもできます。こ の方法で唯一異なる点は、ユーザを選択した後に処理ペインに [グループ] タブが表示 されることです。このタブには、ユーザが割り当てられているグループが表示されま す。基本的なワークフローは同じです。 14.2.5.1 POA アクセス アカウント グループからのメンバーの削除 POA アクセス アカウント グループからメンバー (POA アクセス アカウント ) を削除す るには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor のナビゲーション ペインで [ユーザ] をクリックします。 2. [ユーザ] ナビゲーション ペインの [POA]、[POA グループ] で、関連する POA グルー プを選択します。 Sophos SafeGuard Policy Editor の処理ペインの右側に、[メンバー ] タブが表示されます。 3. グループから削除するユーザを選択します。 4. Sophos SafeGuard Policy Editor のツール バーで、[削除] アイコン (赤い十字記号) をク リックします。 ユーザがグループから削除されます。 62 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヒ ン ト : ナビゲーション ペインで POA ユーザ (POA アクセス アカウント) を選択して 上記の手順を実行することで、グループからメンバーを削除することもできます。こ の方法で唯一異なる点は、ユーザを選択した後に処理ペインに [グループ] タブが表示 されることです。このタブには、ユーザが割り当てられているグループが表示されま す。基本的なワークフローは同じです。 14.2.6 エンドポイント コンピュータへの POA アクセス アカウントの割り当て 設定パッケージに基づいて POA アクセス グループをエンドポイント コンピュータに 割り当てるには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor で、[ツール] メニューから [設定パッケージ ツール] を 選択します。 2. 既存の設定パッケージを選択するか、または新しい設定パッケージを作成します。 新しい設定パッケージの作成の詳細については、47 ページの「Sophos SafeGuard 設 定パッケージの作成」を参照してください。 3. コンピュータに適用される [POA グループ ] を指定します。この POA グループは、 Sophos SafeGuard Policy Editor の [ユーザ] ペインで事前に作成しておく必要がありま す。 POA グループのデフォルト設定は [グループなし] です。 デフォルトで空のグループを選択しておくこともできます。このグループは、エン ドポイント コンピュータに割り当てられている POA アクセス アカウント グループ を削除するために使用できます。詳細については、64 ページの「エンドポイント コ ンピュータからの POA アクセス アカウントの削除」を参照してください。 4. MSI ファイルの出力パスを指定します。 5. [スタンドアロン クライアント MSI の作成] をクリックします。 6. MSI ファイルをエンドポイント コンピュータに展開します。 MSI ファイルをインストールすることによって、グループに含まれるユーザ (POA アク セス アカウント ) がエンドポイント コンピュータ上の POA に追加されます。POA アク セス アカウントは POA ログオンに使用できます。 14.2.7 エンドポイント コンピュータに割り当てられている POA アクセス アカ ウントの変更 エンドポイント コンピュータに割り当てられている POA アクセス アカウントを変更 するには、次の手順を実行します。 63 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 1. 新しい POA アクセス アカウント グループを作成するか、または既存のグループを 変更します。 2. 新しい設定パッケージを作成し、新しいまたは変更した POA アクセス アカウント グループを選択します。 新しい POA アクセス アカウント グループは、そのエンドポイント コンピュータで使 用できます。グループに含まれるすべてのユーザが POA に追加されます。新しいグ ループによって古いグループが上書きされます。POA アクセス アカウント グループが 結合されることはありません。 14.2.8 エンドポイント コンピュータからの POA アクセス アカウントの削除 POA アクセス アカウントは、空の POA アクセス アカウント グループを割り当てるこ とによってエンドポイント コンピュータから削除できます。次の手順を実行します。 1. Sophos SafeGuard Policy Editor で、[ツール] メニューから [設定パッケージ ツール] を 選択します。 2. 既存の設定パッケージを選択するか、または新しい設定パッケージを作成します。 新しい設定パッケージの作成の詳細については、47 ページの「Sophos SafeGuard 設 定パッケージの作成」を参照してください。 3. 事前に作成した空の POA グループを Sophos SafeGuard Policy Editor の [ユーザ] ペイ ンで指定するか、または [ 設定パッケージ ツール ] にデフォルトで表示される空の POA グループを選択します。 4. MSI ファイルの出力パスを指定します。 5. [クライアント MSI の作成] をクリックします。 6. MSI ファイルをエンドポイント コンピュータに展開します。 MSI ファイルをインストールすることによって、すべての POA アクセス アカウントが エンドポイント コンピュータから削除されます。つまり、関連するすべてのユーザが POA から削除されます。 14.2.9 POA アクセス アカウントを使用したエンドポイント コンピュータへの ログオン POA アクセス アカウントを使用してログオンするには、次の手順を実行します。 1. コンピュータの電源を入れます。 64 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ Power-on Authentication ログオン ダイアログが表示されます。 2. 定義済み POA アクセス アカウントの [ユーザ名] と [パスワード] を入力します。 Windows には自動的にログオンしません。そのため、Windows ログオン ダイアログが 表示されます。 3. [ドメイン] フィールドで、ドメイン <POA> を選択します。 4. 既存の Windows ユーザ アカウントを使用して、Windows にログオンします。 65 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 15 デフォルト ポリシー Sophos SafeGuard Policy Editor の初期設定中に、暗号化と認証の設定が事前に定義され たポリシー グループがデフォルトで作成されます。これらのデフォルト ポリシーが含 まれた設定パッケージ (.msi) が自動的に作成されます。 インストール後に、Sophos SafeGuard Policy Editor の [ ポリシー ] ナビゲーション ペイ ンにポリシー項目とグループが表示されます。自動的に作成されたデフォルトの設定 パッケージは、選択のために Sophos SafeGuard Policy Editor の [ 設定パッケージ ツール ] に表示されます。 ヒ ン ト : デ フ ォル ト ポ リ シー は、Sophos SafeGuard Policy Editor の 初 期設 定 中に SafeGuard Policy Editor 構成ウィザードでのみ作成できます。 次の 2 つのセクションでは、SGE (SafeGuard Easy) と ESDP (Endpoint Security and Data Protection) で使用できるデフォルト ポリシーについて説明します。 ポリシー設定の詳細については、77 ページの「ポリシー設定」を参照してください。 15.1 SGE で使用できるデフォルト ポリシー 次の表にあるオプションで [ 未構成 ] 設定になっている場合は、自動的にデフォルト値 が適用されます。関連するデフォルト値がかっこ内に示されています。 ヒ ン ト : ポリシー設定の詳細については、77 ページの「ポリシー設定」を参照してく ださい。 66 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトの全般設定ポリシー ] [カスタマイズ]: ポリシー タイプ: [全般設定] [クライアントで使用される言語]: [OS の言語 設定を使用する ] [Logon 復旧]: [Windows ローカル キャッシュの破損後、ロ グオン復旧をアクティブにします ]: [ いいえ ] [Local Self Help]: [Local Self Help の有効化 ]: [ はい ] [ 回答の最小長 ]: 3 [ユーザは独自の質問を定義できます]: [はい] [チャレンジ/レスポンス (C/R)]: 67 [C/R によるログオン復旧を有効にする ]: [ はい ] [Windows への自動ログオンを許可 ]: [ はい ] Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトの認証ポリシー ] ポリシー タイプ: [認証] [アクセス]: [ ユーザはハード ディスクからのみ起動でき ます ]: [ はい ] [ログオン オプション]: [ ログオン モード ]: [ ユーザ ID/ パスワード ] [このユーザの失敗したログオンを表示する]: [ いいえ ] [最後のユーザ ログオンを表示する]: [いいえ] [ワークステーション ロックで '強制ログオフ' を無効化する ]: [ いいえ ] [ユーザ/ドメインの事前設定を有効にする]: [ はい ] [Windows へのパス スルー ]: [ ユーザに自由な 選択を許可 ] [ログオンの失敗]: [ 失敗したログオンの最大数 ]: 16 [POA のログオン失敗メッセージ ]: [ 標準 ] [失敗したログオンに対する反応]: [ マシンをロックする ]: [ はい ] 68 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトのパスワード ポリシー ] ポリシー タイプ: [パスワード] [パスワード]: [ パスワードの最小の長さ ]: 4 [ パスワードの最大の長さ ]: 128 [ 文字の最小数 ]: 0 [ 桁の最小数 ]: 0 [ 特殊文字の最小数 ]: 0 [ 大文字と小文字を区別する ]: [ いいえ ] [キーボード行は禁止されています]: [いいえ] [キーボード列は禁止されています]: [いいえ] [3 文字以上の連続する文字は禁止されていま す ]: [ いいえ ] [ パスワードと同じユーザ名を禁止する ]: [ い いえ ] [禁止パスワードの一覧を使用する]: [いいえ] [変更]: [最小値 (日) 後にパスワードを変更できる]: [ 未構成 ] ( デフォルト値 0 が適用される ) [パスワードは次の日数後に期限が切れます]: [ 未構成 ] ( デフォルト値 999 が適用される ) [( 日 ) 前に変更を通知する ]: [ 未構成 ] ( デフォ ルト値 10 が適用される ) [全般]: 69 [ パスワード履歴の長さ ]: 0 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトのデバイス暗号化ポリシー ] ポリシー タイプ: [デバイス保護] すべての内蔵ディスクを暗号化します。 [ メディアの暗号化モード ]: [ ボリューム ベー ス] [全般設定]: [暗号化に使用されるアルゴリズム]: [AES256] [ 暗号化に使用される鍵 ]: [ 定義済みのマシン 鍵] [ ユーザはローカル鍵を作成できます ]: [ 未構 成 ] ( デフォルト値 [ はい ] が適用される ) [ボリューム ベースの設定]: [デフォルトのデータ交換ポリシー ] ポリシー タイプ: [デバイス保護] [ ユーザは暗号化されたボリュームの鍵を追 加または削除できます ]: [ 未構成 ] ( デフォ ルト値 [ いいえ ] が適用される ) [ 暗号化されていないボリュームに対する反 応 ]: [ すべてのメディアを承諾して暗号化す る] [ ユーザはボリュームを復号化できます ]: [ い いえ ] [ 不良セクタで続行する ]: [ はい ] リムーバブル メディアを暗号化します。 [メディアの暗号化モード]: [ファイル ベース] [全般設定]: [暗号化に使用されるアルゴリズム]: [AES256] [ 暗号化に使用される鍵 ]: [ ユーザ鍵リング内 の任意の鍵 ] [ファイル ベースの設定]: [SG Portable のリムーバブル メディアへのコ ピー ]: [ はい ] [ ユーザはデバイスのメディア パスフレーズ を定義できます ]: [ はい ] 70 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトのマシン設定ポリシー ] ポリシー タイプ: [特定のマシンの設定] [Power-on Authentication (POA)]: [POA (Power-on Authentication) を有効にする]: [ はい ] [安全な Wake On LAN (WOL)]: [ 自動ログオンの数 ]: 0 [WOL 中に Windows ログオンを許可します ]: [ いいえ ] [表示オプション]: [ マシン識別情報を表示する ]: [ ワークステー ション名 ] [ 法的通知を表示する ]: [ いいえ ] [ 詳細情報を表示する ]: [ なし ] [ システム トレイ アイコンを有効化して表示 する ]: [ はい ] [ エクスプローラにオーバーレイ アイコンを 表示 ]: [ はい ] [POA の仮想キーボード ]: [ はい ] [インストール オプション]: [ アンインストールを許可 ]: [ はい ] [Sophos 改ざん保護を有効にする ]: [ はい ] ヒ ン ト : この設定は、Sophos Endpoint Security and Control バージョン 9.5 以上がインストール されているエンドポイント コンピュータにのみ 適用されます。 [デフォルトのロギング ポリシー ] ポリシー タイプ: [ロギング] 71 エラーのみをイベント ログに記録し、他は破棄 します。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 15.2 ESDP で使用できるデフォルト ポリシー 次の表にあるオプションで [ 未構成 ] 設定になっている場合は、自動的にデフォルト値 が適用されます。関連するデフォルト値がかっこ内に示されています。 ヒ ン ト : ポリシー設定の詳細については、77 ページの「ポリシー設定」を参照してく ださい. ポリシー 設定 [デフォルトの全般設定ポリシー ] ポリシー タイプ: [全般設定] [カスタマイズ]: [クライアントで使用される言語]: [OS の言語 設定を使用する ] [Logon 復旧]: [Windows ローカル キャッシュの破損後、ロ グオン復旧をアクティブにします ]: [ いいえ ] [Local Self Help]: [Local Self Help の有効化 ]: [ はい ] [ 回答の最小長 ]: 3 [ユーザは独自の質問を定義できます]: [はい] [チャレンジ/レスポンス (C/R)]: [C/R によるログオン復旧を有効にする ]: [ は い] [Windows への自動ログオンを許可 ]: [ はい ] 72 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトの認証ポリシー ] ポリシー タイプ: [認証] [アクセス]: [ ユーザはハード ディスクからのみ起動でき ます ]: [ はい ] [ログオン オプション]: [ ログオン モード ]: [ ユーザ ID/ パスワード ] [このユーザの失敗したログオンを表示する]: [ いいえ ] [最後のユーザ ログオンを表示する]: [いいえ] [ワークステーション ロックで '強制ログオフ' を無効化する ]: [ いいえ ] [ユーザ/ドメインの事前設定を有効にする]: [ はい ] [Windows へのパス スルー ]: [ ユーザに自由な 選択を許可 ] [ログオンの失敗]: [ 失敗したログオンの最大数 ]: 16 [POA のログオン失敗メッセージ ]: [ 標準 ] [失敗したログオンに対する反応]: 73 [ マシンをロックする ]: [ はい ] Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトのパスワード ポリシー ] ポリシー タイプ: [パスワード] [パスワード]: [ パスワードの最小の長さ ]: 4 [ パスワードの最大の長さ ]: 128 [ 文字の最小数 ]: 0 [ 桁の最小数 ]: 0 [ 特殊文字の最小数 ]: 0 [ 大文字と小文字を区別する ]: [ いいえ ] [キーボード行は禁止されています]: [いいえ] [キーボード列は禁止されています]: [いいえ] [3 文字以上の連続する文字は禁止されていま す ]: [ いいえ ] [ パスワードと同じユーザ名を禁止する ]: [ い いえ ] [禁止パスワードの一覧を使用する]: [いいえ] [変更]: [最小値 (日) 後にパスワードを変更できる]: [ 未構成 ] ( デフォルト値 0 が適用される ) [パスワードは次の日数後に期限が切れます]: [ 未構成 ] ( デフォルト値 999 が適用される ) [( 日 ) 前に変更を通知する ]: [ 未構成 ] ( デフォ ルト値 10 が適用される ) [全般]: [ パスワード履歴の長さ ]: 0 74 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトのデバイス暗号化ポリシー ] ポリシー タイプ: [デバイス保護] すべての内蔵ディスクを暗号化します。 [ メディアの暗号化モード ]: [ ボリューム ベー ス] [全般設定]: [暗号化に使用されるアルゴリズム]: [AES256] [ 暗号化に使用される鍵 ]: [ 定義済みのマシン 鍵] [ボリューム ベースの設定]: 75 [ 暗号化されていないボリュームに対する反 応 ]: [ すべてのメディアを承諾して暗号化す る] [ ユーザはボリュームを復号化できます ]: [ い いえ ] [ 不良セクタで続行する ]: [ はい ] Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー 設定 [デフォルトのマシン設定ポリシー ] ポリシー タイプ: [特定のマシンの設定] [Power-on Authentication (POA)]: [POA (Power-on Authentication) を有効にする]: [ はい ] [安全な Wake On LAN (WOL)]: [ 自動ログオンの数 ]: 0 [WOL 中に Windows ログオンを許可します ]: [ いいえ ] [表示オプション]: [ マシン識別情報を表示する ]: [ ワークステー ション名 ] [ 法的通知を表示する ]: [ いいえ ] [ 詳細情報を表示する ]: [ なし ] [ システム トレイ アイコンを有効化して表示 する ]: [ はい ] [ エクスプローラにオーバーレイ アイコンを 表示 ]: [ はい ] [POA の仮想キーボード ]: [ はい ] [インストール オプション]: [ アンインストールを許可 ]: [ はい ] [Sophos 改ざん保護を有効にする ]: [ はい ] ヒ ン ト : この設定は、Sophos Endpoint Security and Control バージョン 9.5 以上がインストール されているエンドポイント コンピュータにのみ 適用されます。 [デフォルトのロギング ポリシー ] ポリシー タイプ: [ロギング] エラーのみをイベント ログに記録し、他は破棄 します。 76 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 16 ポリシー設定 Sophos SafeGuard ポリシーには、全社規模のセキュリティ ポリシーをユーザ コンピュー タに実装するために有効にする必要のあるすべての設定が含まれます。 SafeGuard Enterprise ポリシーは、以下に関する設定を含むことができます ( ポリシーの 種類 )。 全般設定 転送率、背景イメージなどの設定を含みます。 認証 ログオン モード、デバイスのロックなどの設定を含みます。 パスワード ユーザ パスワードの要件を定義します。 SafeGuard Data Exchange 用のパスフレーズ ヒ ン ト : これらの設定は、ESDP (Endpoint Security and Data Protection) ではサポートさ れていません。 パスフレーズの要件を定義します。パスフレーズは、鍵生成中の SafeGuard Data Exchange による安全なデータ交換のために使用されます。 デバイス保護 ボリュームベースまたはファイルベースの暗号化の設定 (SafeGuard Data Exchange お よび SafeGuard Portable の設定を含む) や、アルゴリズム、鍵、データが暗号化され るドライブなどの設定を含みます。 特定のマシンの設定 Power-on Authentication (有効/無効)、安全な Wake On LAN、表示オプションなどの 設定を含みます。 ロギング 記録されるイベントを定義します。 以下のセクションでは、Sophos SafeGuard Policy Editor で使用できるすべてのポリシー 設定について詳しく説明します。 SGE (SafeGuard Easy) と ESDP (Endpoint Security and Data Protection) で異なる設定を使用 できます。ESDP の場合は、ファイル ベースのポリシー設定、および SafeGuard Data Exchange に関連する設定は使用できません。以下のセクションでは、SGE と ESDP に使 用できる設定には、対応する列にチェックマークが付いています。 77 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 16.1 全般設定 ポリシー設定 SGE ESDP 説明 カスタマイズ [ クライアントで使用される言 語] エ ンド ポ イ ント コン ピ ュー タ で Sophos SafeGuard の設定を表示する 言語を指定します。サポートされて いる言語の他に、エンドポイント コ ンピュータのオペレーティング シ ステムと同じ言語を使用すること も可能です。 ログオン復旧 [Windows ローカル キャッシュ の破損後、ログオン復旧をアク ティブにします] Windows ローカル キャッシュには、 すべての鍵、ポリシー、ユーザ証明 書、および監査ファイルが格納され ます。ローカル キャッシュに格納さ れるデータはすべて署名されてお り、手動で変更することはできませ ん。デフォルトでは、Windows ロー カル キャッシュが破損するとログ オン復旧は無効になっています。つ まり、ローカル キャッシュはバック アップから自動的に復元されます。 この場合、Windows ローカル キャッ シュの修復に、チャレンジ/レスポン ス方式は必要ありません。Windows ローカル キャッシュをチャレンジ / レスポンス方式で明示的に修復す る場合は、このフィールドを [はい] に設定します。 [Local Self Help の有効化] 78 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [Local Self Help の有効化] Sophos SafeGuard ユーザが自分のパ スワードを忘れた場合に、Local Self Help を使用して自分のコンピュー タにログオンすることを許可する か どう か を 決定 し ます。Local Self Help を使用すると、ユーザは Poweron Authentication で、指定された数 の以前に定義された質問に答える ことによってログオンできます。こ うして、電話もインターネット接続 も使用できない場合でも、ユーザは 自分のコンピュータに再びアクセ スできるようになります。この場 合、チャレンジ/レスポンス方式は必 要ありません。Local Self Help は、ヘ ルプデスクの作業量やコストの削 減に役立ちます。ユーザが Local Self Help を使用できるようにするには、 Windows への自動ログオンを有効 にする必要があります。そうしない と、Local Self Help が機能しません。 [回答の最小長] このフィールドでは、エンドポイン ト コンピュータ上で Local Self Help のために保存する回答の最小長 ( 文 字数) を定義します。 [Windows の「ようこそ」テキ スト] このフィールドでは、エンドポイン ト コ ンピ ュ ータ で Local Self Help ウィザードを起動したときに最初 のダイアログに表示される個々の 情報テキストを指定できます。ここ でテキストを指定する前に、そのテ キストを作成して登録する必要が あります。 79 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [ ユーザは独自の質問を定義で きます] SGE ESDP 説明 セキュリティ担当者は、回答される 一連の質問を一元的に定義し、ポリ シーを介してそれをエンドポイン ト コンピュータに配布できます。た だし、独自の質問を定義する権限を ユーザに付与することもできます。 ユーザに独自の質問を定義するこ とを許可するには、このフィールド でオプション [はい] を選択します。 チャレンジ/レスポンス (CR) [C/R によるログオン復旧を有 効にする] ログオン復旧の手段としてチャレ ンジ / レスポンス方式で自分のコン ピュータに再びアクセスできるよ う にす る た めに、POA (Power-on Authentication) でユーザがチャレン ジを生成することを許可するかど うかを指定します。 [ はい ]: ユーザはチャレンジを生 成することができ、POA で [ チャレンジ ] ボタンが有効にな ります。この場合、ユーザは C/ R 方式を介して自分のコン ピュータに再びアクセスできる ようになります。 [ いいえ ]: ユーザはチャレンジの 発行を許可されず、POA の [ チャレンジ ] ボタンは無効にな ります。この場合、ユーザは、 自分のコンピュータに再びアク セスできるようにするための C/ R 方式を開始できません。 Sophos SafeGuard に は、Local Self Help によるログオン復旧方法も用 意されています。この方法は、ポリ シー設定 [Local Self Help の有効化 ] を使って有効にできます。 80 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [情報テキスト] [Windows への自動ログオンを 許可] SGE ESDP 説明 POA でチャレンジ / レスポンス方式 が開始されたときに情報テキスト を表示します。情報テキストには、 「サポ ー ト デ ス ク ( 電話 0123456789) にご連絡ください」などの情 報を含めることができます。ここで テキストを指定する前に、[ポリシー ] ナビゲーション ペインの [ 情報テ キスト ] で、そのテキストをテキス ト ファイルとして作成する必要が あります。 チャレンジ / レスポンスを使用して 認証を行ったユーザに、Windows へ の自動ログオンを許可します。 [ はい ]: ユーザは Windows に自動 的にログオンします。 [ いいえ ]: Windows ログオン画面 が表示されます。 使用法 : ユーザがパスワードを忘れ た場合、チャレンジ/レスポンス方式 の 実行 後、Sophos SafeGuard で は Sophos SafeGuard パスワードなしで ユーザがコンピュータにログオン できます。この場合、Windows への 自動ログオンはオフになっており、 Windows のログオン画面が表示さ れ ます。ユ ー ザは 自 分の Sophos SafeGuard パスワード (= Windows パ スワード ) を知らないため、ログオ ンできません。[はい] を選択すると、 自動ログオンが許可され、ユーザは Windows のログオン画面で足止め されなくなります。 イメージ 81 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 前提条件: 新しいイメージは、Sophos SafeGuard Policy Editor の [ ポリシー ] ナビゲーション ペインの [イメージ] で登録する必要があります。イメー ジは登録しないと使用できません。 サポートされている形式 : BMP、 PNG、JPEG [POA の背景イメージ] [POA の背景イメージ ( 低解像 度)] SafeGuard デザインの青い背景ビッ トマップを、ユーザが選択した背景 に変更できます。例えば、POA およ び Windows ログオンで自社のロゴ を使用します。すべての背景ビット マップの最大ファイル サイズ:500 KB 標準: 解像度 : 1024x768 (VESA モード ) 色 : 制限なし 低: [POA のログオン イメージ] [POA のログオン イメージ ( 低 解像度)] 解像度 : 640x480 (VGA モード ) 色 : 16 色 POA のログオン ダイアログに表示 さ れる Sophos SafeGuard のビ ッ ト マップを変更します。例えば、企業 のロゴをこのダイアログに表示で きます。 標準: 解像度 : 413 x 140 ピクセル 色 : 制限なし 低: 解像度 : 413 x 140 色 : 16 色 82 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 16.2 認証 ユーザが自分のコンピュータにログオンする方法を [ 認証 ] タイプのポリシーで指定し ます。 ポリシー設定 SGE ESDP 説明 アクセス [ ユーザはハード ディスクか らのみ起動できます] ログオン オプション 83 ユーザがハード ドライブと別のメ ディアの両方または一方から PC を 起動できるどうかを指定します。[は い]: ユーザはハード ディスクからの み起動できます。POA には、フロッ ピー ディスクまたは他の外付けメ ディアから PC を起動するオプショ ンは表示されません。[いいえ]: ユー ザはハード ディスク、フロッピー ディスク、または外付けメディア (USB、CD など) から PC を起動でき ます。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [ログオン モード] SGE ESDP 説明 POA でユーザが自身を認証する方 法を指定します。 この設定で [ユーザ ID/パスワード]: ログオン するには、POA でユーザ名とパ 使用できる スワードを入力する必要があり オプション: ます。 [ ユーザ ID/ パスワード] [ 指紋 ]: この設定を選択して、 Lenovo Fingerprint Reader による ヒント:E ログオンを有効にします。この SDP では、 ポリシーをユーザに適用すると、 指紋を使用 指紋またはユーザ名とパスワー したログオ ドを使用してログオンできるよ ンはサポー うになります。この手順では、 最高レベルのセキュリティが提 トされてい 供されます。ログオン時に、 ません。 ユーザは指紋読み取り機に指を 通します。指紋の認識に成功す ると、Power-on Authentication プ ロセスがユーザのログオン情報 を読み取り、ユーザは Power-on Authentication にログオンします。 その後、システムによってログ オン情報が Windows に転送され、 ユーザがコンピュータにログオ ンします。 ヒ ン ト : このログオン手順を選択 した場合、ユーザは事前に登録され た指紋によるか、ユーザ名とパス ワードによってのみログオンできま す。 [ このユーザの失敗したログ オンを表示する] [ はい ] に設定すると、POA および Windows でのログオン後に、前回の 失敗したログオン ( ユーザ名 / 日付 / 時刻 ) についての情報を含むダイア ログを表示します。 84 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [ 最後のユーザ ログオンを表 示する] SGE ESDP 説明 [ はい ] に設定すると、POA および Windows でのログオン後に、以下に ついての情報を含むダイアログを表 示します。 前回の成功したログオン ( ユーザ 名 / 日付 / 時刻 ) 前回ログオンしたユーザのユー ザ ログオン情報 [ ワークステーション ロック で '強制ログオフ' を無効化す る] ユーザが短い時間だけエンドポイン ト コンピュータから離れる場合は、 [ワークステーションのブロック] を クリックして他のユーザからコン ピュータをブロックできます。ユー ザ パスワードでロックを解除でき ます。 このオプションが [ いいえ ] に設定 されている場合は、コンピュータを ロックしたユーザと、管理者がロッ クを解除できます。管理者がコン ピュータのロックを解除すると、現 在ログオンしているユーザは自動的 にログオフされます。このフィール ドを [はい] に設定すると、この動作 が変更されます。この場合は、ユー ザのみがコンピュータのロックを解 除できます。管理者はロックを解除 できず、ユーザが自動的にログオフ されることはありません。注: この設 定は Windows XP にのみ適用されま す。 [ ユーザ / ドメインの事前設定 をアクティブにする] [ はい ]: POA は、前回ログオンした ユーザのユーザ名およびドメインを 保存します。したがって、ユーザは、 ログオンするごとにユーザ名を入力 する必要がありません。 [ いいえ ]: POA は 、前回ログオンし たユーザのユーザ名およびドメイン を保存しません。 85 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [Windows へのパス スルー ] SGE ESDP 説明 ヒ ン ト : 自分のコンピュータにアク セスする権限を他のユーザに付与で きるユーザには、Windows へのログ オン パススルーを非アクティブ化 できることが必要です。 [ ユーザに自由な選択を許可 ] ユーザは、POA のログオン ダイアロ グでこのオプションを有効または無 効にして、Windows への自動ログオ ンを実行するかどうかを決定できま す。 [Windows へのパススルーを強制 ] ユーザは常に Windows に自動的に ログオンします。 [Windows へのパススルーを無効 にします ] POA へのログオン後、Windows のロ グオン ダイアログが表示されます。 ユーザは Windows に手動でログオ ンする必要があります。 86 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE [ サービス アカウントのリス ト] ESDP 説明 Sophos SafeGuard で保護されたコン ピュータで管理上の処理を実行した 結果、Power-on Authentication がアク ティブ化され、導入担当者がユーザ としてコンピュータに追加されてし まうことを防止するために、Sophos SafeGuard には、Sophos SafeGuard エ ンドポイント コンピュータ向けに サービス アカウントのリストを作 成する機能があります。これらのリ ス ト に 含 ま れ る ユ ー ザ は、Sophos SafeGuard ゲスト ユーザとして扱わ れます。 ここでリストを選択する前に、まず [ ポリシー ] ナビゲーション ペイン の [ サービス アカウントのリスト ] でリストを作成する必要がありま す。 ログオンの失敗 [失敗したログオンの最大数] 無効なユーザ名またはパスワードを 使用してユーザがログオンを試みる ことができる回数を指定します。例 えば、立て続けに 3 回違うユーザ名 またはパスワードを入力すると、4 回目の試行で [ 失敗したログオンに 対する反応] 設定が実行されます。 [失敗したログオンに対する反応] [マシンをロックする] ログオンの試行が失敗した後に PC をロックするかどうかを指定しま す。コンピュータのロックは、管理 者が PC を再起動し、ログオンする ことによって解除できます。 (これに 関連して、Windows のユーザ ロック も考慮してください。 ) ロック オプション [ 非アクティブになって X 分 後に画面をロックする] 87 使用されなくなったデスクトップを 自動的にロックするまでの時間を指 定します。デフォルト値は 0 分です。 デスクトップはロックされません。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE [再開後に画面をロックする] ESDP 説明 コンピュータがスタンバイ モード から復帰する場合に画面をロックす るかどうかを指定します。 16.3 ポリシーで使用する禁止パスワード一覧の作成 [ パスワード ] タイプのポリシーのために禁止パスワード一覧を作成して、パスワード で使用を禁止する文字列を定義できます。 ヒ ン ト : 一覧内で、禁止パスワードは、改行によって区切ります。 必須情報を含むテキスト ファイルを Sophos SafeGuard Policy Editor に登録する前に作成し ておく必要があります。テキスト ファイルの最大ファイル サイズは "50 KB" です。Sophos SafeGuard は、Unicode UTF-16 のテキストのみを使用します。この形式でテキスト ファイ ルを作成していない場合、テキスト ファイルは登録時に自動的に変換されます。 変換が行われる場合は、ファイルが変換されることを示すメッセージが表示されます。 テキスト ファイルを登録するには、次の手順を実行します。 1. ポリシーのナビゲーション ペインで、[情報テキスト] を右クリックし、[新規作成] > [テキスト] を選択します。 2. [テキスト項目名] フィールドに表示するテキストの名前を入力します。 3. [...] をクリックして作成済みのテキスト ファイルを選択します。ファイルの変換が 必要な場合は、メッセージが表示されます。 4. [OK] をクリックします。 ポリシーのナビゲーション ペインの [ 情報テキスト ] のサブノードに、新しいテキス ト項目が表示されます。テキスト項目を選択すると、その内容がペインの右側に表示 されます。これで、ポリシーの作成時にテキスト項目を選択できます。 前述の操作で、その他のテキスト項目を登録してください。登録したすべてのテキス ト項目がサブノードとして表示されます。 ヒ ン ト : [テキストの変更] ボタンを使用すると、既存のテキストに新しいテキストを 追加できます。このボタンをクリックすると、別のテキスト ファイルを選択するため のダイアログが表示されます。このファイルに含まれるテキストは、既存のテキスト の末尾に追加されます。 88 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 16.4 パスワードの構文規則 Filename: PM_Password パスワードには、数字、文字、および特殊文字 (+、-、; など ) を含めることができま す。ただし、新しいパスワードを発行するときは、ALT + < 文字 > キーの組み合わせを 使用する文字を使用しないでください。この入力モードは、Power-On Authentication で は使用できないためです。システムへのログオンに使用するパスワードの規則は [ パス ワード ] タイプのポリシーに定義します。 ヒ ン ト : Sophos SafeGuard Policy Editor でパスワード規則を定義した場合は、Active Directory で規則を定義しないでください。 ポリシー設定 SGE ESDP 説明 規則 [パスワードの最小の長さ] ユーザがパスワードを変更するとき に、パスワードが何文字から構成され る必要があるかを表示します。必要な 値を直接入力するか、矢印キーを使用 して数字を増減します。 [パスワードの最大の長さ] ユーザがパスワードを変更するとき に、パスワードを最大何文字で構成で きるかを表示します。必要な値を直接 入力するか、矢印キーを使用して数字 を増減します。 [文字の最小数] [桁の最小数] [特殊文字の最小数] この設定は [ 禁止パスワードの一覧を 使用する ] および [ パスワードと同じ ユーザ名を禁止する ] でのみ有効で す。 89 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [大文字と小文字を区別する] この設定は [ 禁止パスワードの一覧を 使用する ] および [ パスワードと同じ ユーザ名を禁止する ] でのみ有効で す。 ケー ス 1: 禁 止パ ス ワー ド の一 覧 に "board" と入力しました。[ 大文字と小 文字を区別する] オプションを [はい] に設定すると、大文字 / 小文字が異な る PIN (BOARD や BoaRD など ) は承 諾されず、ログオンが拒否されます。 ケース 2:ユーザ名として "EMaier" と 入力されています。[ 大文字と小文字 を区別する] オプションを [はい] に設 定し [ パスワードと同じユーザ名を禁 止する ] を [ いいえ ] に設定すると、 ユーザ EMaier は大文字/小文字を変更 したユーザ名 ("emaier" や "eMaiER" な ど ) をパスワードとして使用できませ ん。 [ キーボード行は禁止されて います] 連続するキー シーケンスとは、例え ば、"123" や "qwe" などです。キーボー ド上に左右にある最大 2 文字を入力 できます。連続するキー シーケンス は、キーボードの英数字部分のみを指 します。 [ キーボード列は禁止されて います] "zaq1"、"xsw2"、"3edc" などのキーボー ド上で列として連続するキーを指し ます ("zse4"、"xdr5"、"cft6" は違います )。単一のキーボード列内の上下にあ る最大 2 文字を入力できます。キー ボード列を禁止すると、これらのよう な組み合わせはパスワードとして拒 否されます。連続するキー シーケンス は、キーボードの英数字部分のみを指 します。 90 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [3 文字以上の連続する文字 は禁止されています] SGE ESDP 説明 このオプションを有効にすると、次の キー シーケンスが禁止されます。 昇順と降順の両方の連続する ASCII コード シンボル ("abc"、 "cba"、";<" など ) 3 文字以上の同じシンボル ("aaa" や "111") [ パスワードと同じユーザ名 を禁止する] ユーザ名とパスワードを同じにでき るかどうかを指定します。 [ はい ]: ユーザは、パスワードとして Windows ユーザ名と同じ文字列を使 用することができます。 [ いいえ ]: Windows ユーザ名とパス ワードは違うものにする必要があり ます。 [ 禁止パスワードの一覧を使 用する] パスワードとして特定の文字列を使 用できないようにするかどうかを指 定します。文字列は、禁止パスワード の一覧 (txt ファイルなど ) に保存され ます。 91 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [禁止パスワードの一覧] SGE ESDP 説明 パスワードで使用できないようにす る文字列を定義します。ユーザが禁止 パスワードを使用すると、エラー メッ セージが表示されます。 重要な前提条件: Sophos SafeGuard Policy Editor の ポ リ シー ナビゲーション ペインの [ 情報 テキスト ] で、禁止するパスワードの 一覧 ( ファイル ) を登録する必要があ ります。一覧は登録後にのみ使用でき ます。 最大ファイル サイズ: 50 KB サポートされている形式: Unicode 禁止パスワードの定義 一覧内で、禁止パスワードは、改行に よって区切ります。ワイルドカード : ワイルドカード文字 "*" は、パスワー ドで 1 文字以上の任意の文字列を表 します。したがって、*123* は、123 を 含むすべての文字列がパスワードと して禁止されることを意味します。 一覧にワイルドカードの みが含まれる場合、パス ワードの変更を強制され た後にユーザはシステム にログオンできなくなり ます。 ユーザにこのファイルへ のアクセスを許可しない でください。 [ 禁止パスワードの一覧 を使用する ] オプション を有効にする必要があり ます。 変更 92 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [ 最小値 ( 日 ) 後にパスワード を変更できる] パスワードを変更できない期間を指 定します。この設定は、ユーザが特定 の期間内に頻繁にパスワードを変更 することを防止します。 例: ユーザ Miller が新しいパスワード ( 例 えば "13jk56") を定義します。このユー ザ ( またはこのユーザが割り当てられ たグループ ) の最小変更間隔は 5 日間 に設定されています。2 日後、このユー ザはパスワードを "74jk56" に変更しよ うとします。Mrs Miller は 5 日間が経 過するまで、新しいパスワードを定義 できないため、このパスワードの変更 は拒否されます。 [ パスワードは次の日数後に 期限が切れます] 最大有効期間を有効にすると、ユーザ は、設定された期間が経過すると新し いパスワードを定義する必要があり ます。 [(日) 前に変更を通知する] パスワードの有効期限が切れる "n" 日 前に警告メッセージが表示され、ユー ザに "n" 日が経過する前にパスワード を変更するようにうながします。また は、ユーザは、パスワードをすぐに変 更することもできます。 全般 93 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [パスワード履歴の長さ] SGE ESDP 説明 以前に使用したパスワードをいつ再 び使用できるようになるかを指定し ます。履歴の長さは [ パスワードは次 の日数後に期限が切れます ] の設定と 組み合わせて定義してください。 例: ユーザ Miller に対して、パスワードの 履歴の長さを 4 と設定し、ユーザがパ スワードを変更しなければならない 日数 と して 30 日 後 を設 定 して い ま す。Miller は、現在、パ スワ ー ド "Informatics" を使用してログオンして います。期限の 30 日が経過すると、 Miller に対してパスワードの変更が求 められます。Miller は、新しいパスワー ドとして「Informatics」と入力します が、このパスワードはすでに使用され ているので新しいパスワードを入力 する必要があることを示すエラー メッセージが表示されます。Miller は 4 回目のパスワード変更要求後まで ( つまりパスワード履歴の長さが 4)、パ スワード "Informatics" を使用すること はできません。 16.5 SafeGuard Data Exchange 用のパスフレーズ規則 ヒ ン ト : これらの設定は、ESDP (Endpoint Security and Data Protection) ではサポートさ れ てい ま せん。SafeGuard Data Exchange につ い て は、115 ペ ー ジの「SafeGuard Data Exchange」を参照してください. ローカル鍵の生成に使用する SafeGuard Data Exchange を介して安全にデータ交換する には、パスフレーズを入力する必要があります。要件は [ パスフレーズ ] タイプのポリ シーで定義します。SafeGuard Data Exchange と SafeGuard Portable の詳細については、 Sophos SafeGuard ユーザ ヘルプの「SafeGuard Data Exchange」の章を参照してください。 94 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [パスフレーズの最小の長さ] 鍵の生成元になるパスフレーズの最 小文字数を定義します。必要な値を直 接入力するか、矢印キーを使用して数 字を増減します。 [パスフレーズの最大の長さ] パスフレーズの最大文字数を定義し ます。必要な値を直接入力するか、矢 印キーを使用して数字を増減します。 [文字の最小数] この設定は、パスフレーズが文字の み、数字のみ、または記号のみで構成 されることは許可されず、少なくとも 2 つの組み合わせで構成される必要が あることを指定します ( 例えば、15 flower など)。この設定は、最小パスフ レーズ長を 2 より大きく定義した場 合にのみ有効です。 [桁の最小数] [特殊文字の最小数] [大文字と小文字を区別する] この設定は [ パスフレーズと同じユー ザ名を禁止する ] が有効な場合に有効 です。 例 : ユーザ名として "EMaier" と入力さ れています。[ 大文字と小文字を区別 する ] オプションを [ はい ] に設定し [ パスフレーズと同じユーザ名を禁止 する] を [いいえ] に設定すると、ユー ザ EMaier は大文字/小文字を変更した ユーザ名 (emaier や eMaiER など) をパ スフレーズとして使用できません。 [ キーボード行は禁止されて います] 連続するキー シーケンスとは、例え ば、"123" や "qwe" などです。キーボー ド上に左右にある最大 2 文字を入力 できます。連続するキー シーケンス は、キーボードの英数字部分のみを指 します。 95 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [ キーボード列は禁止されて います] "zaq1"、"xsw2"、"3edc" などのキーボー ド上で列として連続するキーを指し ます ("zse4"、"xdr5"、"cft6" は違いま す )。単一のキーボード列内の上下に ある最大 2 文字を入力できます。キー ボード列を禁止すると、こうした組 み合わせはパスフレーズに対して拒 否されます。連続するキー シーケン スは、キーボードの英数字部分のみ を指します。 [3 文字以上の連続する文字 は禁止されています] このオプションを有効にすると、次の キー シーケンスが禁止されます。 [ パスフレーズと同じユーザ 名を禁止する] 昇順と降順の両方の連続する ASCII コード シンボル ("abc"、 "cba"、";<" など ) 3 文字以上の同じシンボル ("aaa" や "111") ユーザ名とパスフレーズを同じにで きるかどうかを指定します。 [はい]: ユーザは、パスフレーズとして Windows ユーザ名と同じ文字列を使 用することができます。 [ いいえ ]: Windows ユーザ名とパスフ レーズは違うものにする必要があり ます。 16.6 デバイス保護 Sophos SafeGuard の中核は、異なるデータ記憶デバイス上のデータの暗号化です。暗号 化は、さまざまな鍵およびアルゴリズムを使用して、ボリューム ベースまたはファイ ル ベースで実行することができます。 [デバイス保護] タイプのポリシーには、SafeGuard Data Exchange および SafeGuard Portable の設定も含まれます。 ヒ ン ト : SafeGuard Data Exchange と SafeGuard Portable の詳 細 につ い ては、Sophos SafeGuard ユーザ ヘルプの「SafeGuard Data Exchange」の章を参照してください。 ヒ ン ト : SafeGuard Data Exchange、SafeGuard Portable、およびファイル ベースの暗号化 は、ESDP ではサポートされていません。 96 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ デバイス保護のポリシーを作成するときは、まずデバイス保護の対象を指定する必要 があります。次の対象を選択できます。 大容量記憶装置 (ブート ボリューム/他のボリューム) リムーバブル メディア (ESDP ではインストールには使用できません) 光学式ドライブ (ESDP ではインストールには使用できません) 対象ごとに、異なるポリシーを作成する必要があります。 ポリシー設定 [メディアの暗号化モード] 97 SGE ESDP 説明 デバイス (デスクトップ PC、ノート PC) や、各種のリムーバブル メディ この設定で使 アを保護するのに使用されます。 用できるオプ その主な目的は、ローカルまたは外 付けの記憶デバイスに格納されて ション: いるすべてのデータを暗号化する [ 暗号化な ことです。透過的に実行されるた し] め、ユーザは、Microsoft Office など のアプリケーションをいつもどお [ ボリュー ム ベース ] りに使用し続けることができます。 透過的な暗号化とは、暗号化された ヒ ン ト : すべてのデータが ( 暗号化された [ ファイル ディレクトリ内かボリューム内か ベース ] 設定 を問わず )、プログラムで開かれる は、ESDP で とすぐにメイン メモリ内で自動的 はサポートさ に復号化されることを意味します。 ファイルは、保存されるときに自動 れていませ 的に再暗号化されます。 ん。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 以下のオプションがあります。 [ 暗号化なし ] [ボリューム ベース] (透過的なセ クタベースの暗号化 ) ユーザが通常の操作手順を変更し たり、セキュリティを考慮したりし なくても、すべてのデータが暗号化 されます ( 起動ファイル、スワップ ファイル、アイドル ファイル / ハイ バネーション ファイル、一時ファイ ル、ディレクトリ情報などを含む)。 ヒ ン ト : ボリュームまたはボ リュームの種類に対する暗号化ポ リシーが存在する場合にボリュー ムの暗号化に失敗すると、ユーザ はそのボリュームにアクセスでき ません。 Windows 7 の シ ステ ム パー テ ィ ション: Windows 7 Professional、Enterprise、お よび Ultimate の場合、システム パー ティションはエンドポイント コン ピュータ上で作成され、ドライブ文 字は割り当てられません。このシス テ ム パ ーテ ィ ショ ン は、Sophos SafeGuard で暗号化できません。 不明なファイル システム オブジェ クトへのアクセス: 不明なファイル システム オブジェ クトとは、暗号化されていないの か、デバイスレベルで暗号化されて いるのかを Sophos SafeGuard が明確 に特定できないボリュームのこと です。不明なファイル システム オ ブジェクト用の暗号化ポリシーが ある場合は、このボリュームへのア クセスは拒否されます。暗号化ポリ シーがない場合、ユーザはこのボ リュームにアクセスできます。 98 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 ヒ ン ト : 不明なファイル システム オブジェクト ボリューム用の暗号 化ポリシーがあって、その [ 暗号 化に使用される鍵 ] が鍵を選択で きるオプション ( 例えば、[ ユーザ 鍵リング内の任意の鍵 ]) に設定さ れている場合は、鍵を選択するダ イアログが表示されてからアクセ スが拒否されるまでに少し時間が かかります。この間はボリューム にアクセスできてしまいます。つ まり、ダイアログで鍵の選択が確 定されるまでは、ボリュームにア クセスできます。この状態を回避 するには、暗号化用に事前に選択 する鍵を指定します ([ 暗号化に使 用される鍵 ] ポリシー設定の説明 を参照 )。さらに、不明なファイル システム オブジェクト ボリューム がエンドポイント コンピュータに 接続されていて、暗号化ポリシー が有効になるときにユーザがその ボリューム上のファイルをすでに 開いている場合、または Autorun が有効になっている場合にも、こ の現象は発生します。この場合は、 データが失われる可能性があるた め、このボリュームへのアクセス が拒否されることは保証されませ ん。 99 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 Autorun 機能が有効になっているボ リューム: 暗号化ポリシーが存在するボリュー ムで、 Autorun が有効になっている場 合は、次の問題が発生することがあ ります。 ボリュームが暗号化されない ボリュームが UFO でも、アクセ スが拒否されない。 ファイル ベース (透過的なファイ ル ベースの暗号化 ( スマート メ ディアの暗号化 )) すべてのデータが暗号化されます ( 起動メディアおよびディレクトリ 情報以外)。CD/DVD などの光学式 メディアも暗号化され、( ポリシー で許可されていれば ) SafeGuard が インストールされていない外部コ ンピュータとデータを交換できる という利点があります。 ヒ ン ト : 「ファイルベースの暗号 化」で暗号化されたデータは圧縮 できません。また、圧縮された データをファイルベースで暗号化 することもできません。ブート ボ リュームをファイルベースで暗号 化することはできません。ブート ボリュームは、対応するポリシー が定義されている場合でも、ファ イルベースの暗号化から自動的に 除外されます。 全般設定 [ 暗号化に使用されるアル ゴリズム] 暗号化アルゴリズムを設定します。 使用できるすべてのアルゴリズム とその規格を以下に示します。 AES256: 256 ビットの鍵長 AES128: 128 ビットの鍵長 100 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [暗号化に使用される鍵] 暗号化に使用する鍵を定義します。 Sophos SafeGuard の暗号化では、ボ リューム ベースの暗号化には自動 的に生成されたマシン鍵のみが使 用されます。ファイル ベースの暗号 化には、ユーザがローカルに作成し たマシン鍵を使用します。 以下のオプションがあります。 [定義済みのマシン鍵]: マシン鍵が使用されます。ユーザは 鍵を選択できません。 高速初期暗号化 この設定を選択すると、ボリューム ベースの暗号化で高速初期暗号化 モードが有効になります。このモー ドを使用すると、エンドポイント コ ンピュータの初期暗号化にかかる 時間が短縮されます。 ヒ ン ト : このモードを使用する ことで、安全性が低下する可能性 があります。 詳細については、8 ページの「高速 初期暗号化」を参照してください。 101 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [ ユーザはローカル鍵を作 成できます] SGE ESDP 説明 この設定は、ユーザが自らのコン ピュータでローカル鍵を生成でき るかどうかを指定します。 ローカル鍵は、ユーザが入力するパ スフレーズに基づいて、エンドポイ ント コンピュータ上で生成されま す。パスフレーズの要件は、[ パス フレーズ ] タイプのポリシーで設定 できます。 ヒ ン ト : ファイル ベースの暗号 化にはローカル鍵のみが使用され るので、ファイル ベースの暗号化 に対するポリシーを有効にする場 合、ユーザはローカル鍵を作成で きる必要があります。 このフィールドのデフォルトの設 定 (未構成) では、ユーザはローカル 鍵を作成できます。 ボリューム ベースの設定 [ ユーザは暗号化されたボ リュームの鍵を追加または 削除できます] [はい]: Sophos SafeGuard ユーザが鍵 リングに鍵を追加または削除でき ます。ダイアログは、コンテキスト メニューのコマンドの [ 暗号化 ] > [ 暗号化 ] タブを選択すると表示され ます。 [いいえ]: Sophos SafeGuard ユーザは 鍵を追加できません。 [暗号化されていないボ リュームに対する反応] 暗号化されていないメディアを Sophos SafeGuard で処理する方法を 定義します。 以下のオプションがあります。 [拒否] (テキスト メディアは暗号 化されません ) [ 空のメディアのみを承諾して暗 号化する ] [ すべてのメディアを承諾して暗 号化する ] 102 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [ ユーザはボリュームを復 号化できます] Sophos SafeGuard ユ ーザ に、 Windows エクスプローラのコンテ キスト メニューのコマンドを使用 したボリュームの復号化を許可し ます。 [不良セクタに進む] 不良セクタが検出された場合に暗 号化を続行するかどうかを指定し ます。デフォルト設定は [ はい ] で す。 ファイル ベースの設定 [ すべてのファイルの初期 暗号化] ユーザのログオン開始後、ボリュー ムの初期暗号化が自動的に開始さ れます。ユーザは事前に鍵リングか ら鍵を選択する必要があります。 [ユーザは初期暗号化を キャンセルできます] ユーザによる初期暗号化のキャン セルを可能にします。 [ ユーザは暗号化されてい ないファイルにアクセスす ることを許可されています ] ユーザがボリューム上の暗号化さ れていないデータにアクセスでき るかどうかを指定します。 [ ユーザはファイルを復号 化できます] ユーザは個々のファイルまたは ディレクトリ全体を復号化できま す (Windows エクスプローラの拡張 機能 <右クリック> を使用します)。 [ ユーザはデバイスに対し てメディア パスフレーズを 定義できます] ユーザが自分のコンピュータ上で メディア パスフレーズを定義でき るようにします。メディア パスフ レ ー ズ を 使 用 す る と、SafeGuard Data Exchange がインストールされ て い な い コ ン ピ ュ ー タ 上 で、 SafeGuard Portable を使用して、使用 されているすべてのローカル鍵に 容易にアクセスできます。 103 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [ 未処理のアプリケーショ ン] SGE ESDP 説明 Sophos SafeGuard のフィルタ ドライ バで無視して、透過的な暗号化 / 復 号化から除外する他のアプリケー ションを定義できます。これらのア プリケーションに使用される区切 り記号は「;」です。 未処理のアプリケーションの例と して、バックアップ プログラムが挙 げられます。バックアップの作成時 にデータが復号化されないように するために、このアプリケーション を暗号化 / 復号化から除外できま す。データは暗号化された形式で バックアップされます。 ヒ ン ト : これらはマシン固有の設 定であるため、エンドポイント コ ンピュータを再起動しなければ適 用されません。 未処理のアプリケーションの定義 一般的な使用法: バックアップ プログラムを除外と して定義すると、常に暗号化された データの読み取りおよびバック アップを行うことができます。 Sophos SafeGuard と共に使用した場 合に機能中断の原因となる可能性 があるアプリケーション、暗号化を 必要としないアプリケーションは、 暗号化から除外できます。 ヒ ン ト : 除外するアプリケーション を指定するには、実行可能ファイ ルの完全な名前を使用します ( 必要 に応じてパス情報を含めます )。 104 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 ヒ ン ト : 未処理のアプリケーショ ンは、ローカルの記憶デバイスに 対してのみ定義することができま す。タイプが [ デバイス保護 ] のグ ローバル ポリシーの場合は、対象 として [ ローカル記憶デバイス ] を 選択する必要があります。その他 すべてのターゲットに対しては [ 未処理のアプリケーション ] オプ ションは無効になってます。 [ リムーバブル メディアの み] [SG Portable のリ ム ーバ ブ ル メディアへのコピー ] [ プレーンテキスト フォル ダ] 105 このオプションがオンの場合、エン ドポイント コンピュータに接続さ れた任意のリムーバブル メディア に SafeGuard Portable がコピーされ ます。 SafeGuard Portable を使用すると、受 け取る側に Sophos SafeGuard がイン ストールされていなくても、リムー バブル メディアを使用して暗号化 データを交換できます。 受け取る側は、SafeGuard Portable お よび対応するパスフレーズを使用 して、暗号化されたファイルを復号 化および再暗号化することができ ま す。受 け 取 る 側 は、SafeGuard Portable を使用してファイルを再暗 号化することも、暗号化に元の鍵を 使用することもできます。 SafeGuard Portable は、受け取る側の コンピュータにインストールまた はコピーする必要はなく、リムーバ ブル メディアから直接使用します。 すべてのリムーバブル メディアに 対して、ここで指定されたフォルダ が作成されます。このフォルダにコ ピーされたファイルは、常にプレー ンのままです。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 16.7 特定のマシンの設定 - 基本設定 ポリシー設定 SGE ESDP 説明 POA (POWER-ON AUTHENTICATION) [POA (Power-on Authentication) を 有効にする] POA を永続的にオン / オフにするか どうかを定義します。 ヒ ン ト : セキュリティ上の理由か ら、POA は常にオンにしておくこと を強く推奨します。POA を無効にす ると、システムのセキュリティが Windows ログオン セキュリティだ けになり、暗号化されたデータに不 正にアクセスされる危険が高くなり ます。 [ゲスト ユーザを禁止する] ユーザに Windows へのログオン資 格を与えるかどうかを定義します。 106 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [安全な Wake On LAN (WOL)] 107 SGE ESDP 説明 "安全な Wake On LAN" ポリシーを使 用す る と、エ ン ドポ イ ント コ ン ピュータは、POA の一時的な無効化 や Wake On LAN の時間帯などの必 要なパラメータをエンドポイント コンピュータに直接インポートして 分析できるソフトウェア展開を準備 することができます。POA が無効に されていても Sophos SafeGuard に最 大限の保護を保証するためのコマン ドを使用して、スケジューリング ス クリプトを設計できます。 たとえ限られた起動処理回数であっ ても、POA を無効にすることは、シ ステムのセキュリティ レベルを低 下させることに留意してください。 例 : ソフトウェアの展開チームが Sophos SafeGuard のセキュリティ担 当者 (SO) に 2009 年 9 月 25 日 の 03:00 ~ 06:00 am に計画しているソ フトウェア展開について通知しま す。2 回の再起動が必要です。ロー カルのソフトウェア展開担当者は、 Windows にログオンできる必要が あります。セキュリティ担当者は、 以下のポリシーを作成し、該当する エンドポイント コンピュータに割 り当てます。 [自動ログオンの数] (0 = WOL なし): 5 [WOL 中 に Windows ロ グ オン を 許 可します]: [はい] [外部 WOL を開始するためのタイム スロットの開始]: 2009 年 9 月 24 日、 12:00 [外部 WOL が起動するためのタイム スロットの終了]: 2009 年 9 月 25 日、 06:00 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 セキュリティ担当者は、自動ログオ ン用にバッファを 3 つ用意します。 セキュリティ担当者は時間帯をソフ トウェア展開の前日の正午に設定し て、スケジューリング スクリプト SGMCMDIntn.exe が即 座 に開 始 さ れ、WOL の開始が 9 月 25 日の 3:00 am より遅れないようにします。 ソフトウェア展開チームは、スケ ジューリング スクリプトに 2 つの コマンドを作成します。 - 2009 年 9 月 24 日、12:15 am に開 始、SGMCMDIntn.exe /WOLstart - 2009 年 9 月 26 日、09.00 am に開 始、SGMCMDIntn.exe /WOLstop ソフトウェア展開スクリプトの日付 は 25.09.2009, 03:00 です。WOL は、ス ク リ プ ト の 終 わ り で、 SGMCMDIntn.exe /WOLstop を 使 用 して明示的に再度無効にすることが できます。 2009 年 9 月 24 日より前にログオン し、展開サーバに接続するすべての エンドポイント コンピュータは、新 しいポリシーとスケジューリング コマンドを受信します。 2009 年 9 月 24 日の正午から 2009 年 9 月 25 日 の 06:00 am の 間に ス ケ ジュールによってコマンド SGMCMDIntn/WOLstart がトリガさ れるすべてのエンドポイント コン ピュータは、WOL 時間帯に該当し、 Wake On LAN が有効になります。 108 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [自動ログオンの数] Wake On LAN の た めに Power-on Authentication がオフになっている 間の再起動の回数を定義します。 自動ログオンが事前に設定されてい る回数に達するまで、この設定は [POA (Power-on Authentication) を有 効にする] 設定を一時的に上書きし ます。その後、Power-on Authentication が再度有効になりま す。例: 自動ログオンの回数を 2 に 設定し、[POA (Power-on Authentication) を有効にする] をオ ンにしたとします。PC は、POA で の認証なしに、2 回起動します。 Wake On LAN の場合は、予期できな い問題を解決するために、再起動の 回数を必要な数より 3 回多く設定す ることを推奨します。 [WOL 中に Windows ログオンを許 可します] Wake On LAN の間に Windows へのロ グオンが許可されるかどうか ( 例え ば、ソフトウェアのアップデート) を 指定します。この設定は POA で判断 されます。 109 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [ 外部 WOL を開始するためのタイ ム スロットの開始] [ 外部 WOL が起動するためのタイ ム スロットの終了] SGE ESDP 説明 Wake On LAN (WOL) の開始および 終了の日付と時刻を選択するか、ま たは入力できます。 日付の形式 : MM/DD/YYYY 時間の形 式: HH:MM 以下の入力の組み合わせが可能で す。 WOL の開始および終了を定義 WOL の終了は定義し、開始は定 義しない 入力なし : エンドポイント コン ピュータに時間帯を設定しない ソフトウェアの展開が計画されてい る場合、セキュリティ担当者は WOL の時間帯を設定して、スケジューリ ング ス ク リプ ト が十 分 な余 裕 を もって早期に開始され、すべてのエ ンドポイント コンピュータに起動 する十分な時間があるようにする必 要があります。 WOLstart: スケジューリング スクリ プト内の WOL の開始日時は、ポリ シーに設定された時間帯内である必 要があります。時間帯が定義されな いと、WOL は Sophos SafeGuard エン ドポイント コンピュータでローカ ルに有効になりません。 WOLstop: このコマンドは、WOL に 設定された終了日時に関係なく実行 されます。 表示オプション [マシン識別情報を表示する] POA のタイトル バーにコンピュー タ名または定義されたテキストを表 示します。 Windows ネットワーク設定にマシ ン名が含まれる場合、これは基本設 定に自動的に組み込まれます。 110 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [マシン識別情報テキスト] POA のタイトル バーに表示される テキストです。 [マシン識別情報を表示する] フィー ルドで [ 定義済みの名前 ] を選択し た場合には、この入力フィールドに テキストを入力できます。 [法的通知を表示する] POA での認証前に表示される構成 可能なコンテンツが含まれたテキス ト ボックスを表示します。一部の国 では、特定のコンテンツを含むテキ スト ボックスの表示が法律で義務 づけられています。 ユーザは、システムの起動を続ける 前に、このボックスを確認する必要 があります。 表示したいテキストを指定する前 に、[ポリシー ] ナビゲーション ペイ ンの [情報テキスト] で、テキストを テキスト項目として登録する必要が あります。 [法的通知のテキスト] 法的通知として表示されるテキスト です。 このフィールドでは、[ポリシー ] ナ ビゲーション ペインの [ 情報テキス ト ] で登録されたテキスト項目を選 択できます。 [詳細情報を表示する] 法的通知の後に表示される ( 有効に されている場合 ) 構成可能なコンテ ンツが含まれたテキスト ボックス を表示します。 詳細情報を表示するかどうかを定義 できます。 111 [ なし ] [ すべてのシステム起動 ] [ すべてのログオン ] Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 SGE ESDP 説明 [詳細情報テキスト] 詳細情報として表示されるテキスト です。 このフィールドでは、[ポリシー ] ナ ビゲーション ペインの [ 情報テキス ト ] で登録されたテキスト項目を選 択できます。 [表示時間 (秒)] 詳細情報を表示する時間 ( 秒単位 ) を定義できます。 詳細情報のテキスト ボックスが自 動的に閉じられるまでの秒数を指定 できます。ユーザは [OK] をクリッ クすれば、いつでもテキスト ボック スを閉じることができます。 [ システム トレイ アイコンを有効 化して表示する] Sophos SafeGuard システム トレイ ア イコンを使用すると、ユーザは自分 のコンピュータですべてのユーザ機 能に迅速、容易にアクセスできます。 また、Sophos SafeGuard の状態につ いての情報 ( 新しいポリシーの受信 など ) をバルーンヒントで表示でき ます。 [はい]: システム トレイ アイコンがタスク バーの情報ペインに表示され、ユー ザ は、バ ル ー ン ヒ ン ト を 介 し て Sophos SafeGuard の状態を常時通知 されます。 [いいえ]: [サイレント]: システム トレイ アイコンがタスク バーの情報ペインに表示されます が、ユーザにバルーンヒントを介し て状態情報は提供されません。 [エクスプローラにオーバーレイ ア イコンを表示] ボリューム、デバイス、フォルダ、 およびファイルの暗号化の状態を示 す鍵アイコンを表示するかどうかを 定義します。 112 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ポリシー設定 [POA の仮想キーボード] SGE ESDP 説明 要求されたときに POA のダイアロ グにパスワード入力用の仮想キー ボードを表示できるようにするかど うかを定義します。 インストール オプション [アンインストールを許可] Sophos SafeGuard のアンインストー ルがエンドポイント コンピュータ で許可されるかどうかを指定しま す。[アンインストールを許可] を [い いえ] に設定すると、この設定がポリ シー内で有効である限り、管理者権 限をもつユーザも Sophos SafeGuard をアンインストールすることはでき ません。 [Sophos 改ざん保護を有効にする] ESDP ではインストール用の Sophos 改ざん保護を有効/無効にします。ポ リシー設定 [ アンインストールを許 可 ] によって Sophos SafeGuard のア ンインストールを許可している場合 でも、このポリシー設定を [はい] に 設定することで、このソフトウェア が誤って削除されることがないよう にアンインストール操作をチェック することができます。 Sophos 改ざん保護によってアンイ ンストールを許可しない場合は、ア ンインストール操作はキャンセルさ れます。 [Sophos 改ざん保護を有効にする ] を [ いいえ ] に設定している場合は、 Sophos SafeGuard のアンインストール 操作はチェック (防止) されません。 ヒ ン ト : この設定は、Sophos Endpoint Security and Control バージョン 9.5 以上を使用してい るエンドポイント コンピュータに のみ適用されます。 113 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 16.8 ロギング Sophos SafeGuard に対するイベントは、Windows イベント ビューアに記録されます。 Windows イベント ビューアに記録されるイベントを指定するには、[ ロギング ] タイプ のポリシーを作成し、目的のイベントをクリックして選択します。 さまざまなカテゴリ ( 認証、暗号化など ) のさまざまなイベントから選択できます。ロ ギングの戦略を明確にし、報告および監査要件に基づいて必要なイベントを決定する ことを推奨します。 114 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 17 SafeGuard Data Exchange ヒ ン ト : SafeGuard Data Exchange と SafeGuard Portable は、ESDP (Endpoint Security and Data Protection) ではサポートされていません。 SafeGuard Data Exchange は、Sophos SafeGuard エンドポイント コンピュータに接続され たリムーバブル メディアに保存されているデータを暗号化し、これらのデータを他の ユーザと交換するために使用されます。暗号化と復号化の処理はすべて透過的に実行 され、ユーザ インタラクションは最小限で済みます。 対応する鍵を持っているユーザだけが、暗号化されたデータの内容を読み取ることが できます。その後の暗号化処理はすべて透過的に実行されます。 セキュリティ担当者は、[ デバイス保護対象 ] が [ リムーバブル メディア ] である [ デ バイス保護 ] タイプのポリシーで特定の設定を定義します。 17.1 ローカル鍵 SafeGuard Data Exchange では、ローカル鍵を使用した暗号化がサポートされています。 ローカル鍵はエンドポイント コンピュータ上で作成され、リムーバブル メディア上の データを暗号化するために使用できます。ローカル鍵は、パスフレーズを入力するこ とによって作成されます。 ヒ ン ト : SafeGuard Data Exchange は、ESDP (Endpoint Security and Data Protection) では 使用できません。 リムーバブル メディア上のファイルがローカル鍵を使用して暗号化されている場合 は、SafeGuard Data Exchange がインストールされていないコンピュータ上で SafeGuard Portable を使用してこれらのファイルを復号化できます。SafeGuard Portable でファイル が開かれると、ユーザは、この鍵が作成されたときに設定されたパスフレーズを入力 するよう求められます。ユーザがこのパスフレーズを知っている場合は、ファイルを 開くことができます。 SafeGuard Portable を使用すると、パスフレーズを知っているすべてのユーザがリムー バブル メディア上の暗号化されたファイルにアクセスできます。また、これにより、 Sophos SafeGuard がインストールされていないパートナーとの暗号化されたデータの 共有も可能になります。パートナーには、SafeGuard Portable と、アクセスが必要なファ イルのパスフレーズを提供するだけで済みます。 115 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ リムーバブル メディア上のファイルを暗号化するために異なるローカル鍵が使用され ている場合は、ファイルへのアクセスを制限することもできます。例えば、パスフレー ズが my_localkey の鍵を使用して USB メモリ上のファイルを暗号化し、パスフレーズ partner_localkey を使用して ForMyPartner.doc という名前の単一ファイルを暗号化する場 合を考えてみます。その USB メモリをパートナーに渡し、パスフレーズ partner_localkey を提供すると、そのパートナーは ForMyPartner.doc にのみアクセスできます。 ヒ ン ト : デフォルトでは、SafeGuard Portable はシステムに接続されているすべてのリ ムーバブル メディアに自動的にコピーされます。SafeGuard Portable がリムーバブル メ ディアに自動的にコピーされないようにする場合は、[ デバイス暗号化 ] タイプのポリ シーで [SG Portable のリムーバブル メディアへのコピー ] オプションを無効にします。 17.2 メディア パスフレーズ さらに、SafeGuard Data Exchange では、エンドポイント コンピュータ上のすべてのリ ムーバブル メディア ( 光学メディアを除く ) に対して 1 つのメディア パスフレーズを 作成する必要があることを指定できます。このメディア パスフレーズは、SafeGuard Portable で使用されているすべてのローカル鍵へのアクセスを提供します。ユーザは、 1 つのパスフレーズを入力するだけで、暗号化に使用されているローカル鍵には関係な く、SafeGuard Portable 内のすべての暗号化されたファイルにアクセスできるようにな ります。 すべてのコンピュータ上で、各デバイスに対して、データ暗号化のための一意のメディ ア暗号化鍵が自動的に作成されます。この鍵は、メディア パスフレーズで保護されて います。そのため、SafeGuard Data Exchange がインストールされているコンピュータ上 では、リムーバブル メディア上の暗号化されたファイルにアクセスするためにメディ ア パスフレーズを入力する必要はありません。対応する鍵がユーザの鍵リングに含ま れている場合は、アクセスが自動的に許可されます。 メディア パスフレーズ機能は、[ デバイス保護 ] タイプのポリシーで [ ユーザはデバイ スのメディア パスフレーズを定義できます ] オプションを有効にしている場合に使用 できます。 この設定がコンピュータ上で有効になると、ユーザはリムーバブル メディアに初めて 接続するとき、自動的にメディア パスフレーズを入力するよう求められます。また、 ユーザはメディア パスフレーズを変更することもでき、コンピュータ上の既知のパス フレーズとリムーバブル メディアのメディア パスフレーズの同期がとれていない状態 になると自動的に同期されます。 116 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ユーザがメディア パスフレーズを忘れた場合は、ヘルプデスクの支援を受けなくても、 そのユーザ自身が復旧できます。 ヒ ン ト : メディア パスフレーズを有効にするには、[ デバイス暗号化 ] タイプのポリ シーで [ユーザはデバイスのメディア パスフレーズを定義できます] オプションを有効 にします。 スタンドアロン クライアントはローカル鍵のみを使用するため、インストールが完了 した後、メディア パスフレーズ機能が有効になっていない Sophos SafeGuard で保護さ れたコンピュータに使用可能な鍵はありません。暗号化を使用する前に、ユーザは鍵 を作成する必要があります。 Sophos SafeGuard で保護されたコンピュータのリムーバブル メディア ポリシーでメ ディア パスフレーズ機能が有効になっている場合は、そのクライアント コンピュータ 上にメディア暗号化鍵が自動的に作成され、インストールが完了するとすぐに暗号化 に使用できるようになります。そのメディア暗号化鍵は、ユーザ鍵リング内の " 事前に 定義された鍵 " として使用可能になり、鍵選択のダイアログで <user name> として 表示されます。 使用可能な場合、そのメディア暗号化鍵はすべての対象にも使用されます。 117 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 18 Power-on Authentication (POA) Sophos SafeGuard では、オペレーティング システムの起動前にユーザを識別します。こ のために、オペレーティング システムの起動前に Sophos SafeGuard 独自のシステム コ アが開始します。システム コアは改ざんされないように保護され、ハード ディスクに 非表示で保存されています。ユーザが POA 内で正しく認証された場合にのみ、実際の オペレーティング システム (Windows) が暗号化されたパーティションから起動し、そ の後ユーザが自動的に Windows にログオンします。エンドポイント コンピュータがハ イバネーション (Suspend to Disk) から復帰するときにも、同じ手順が実行されます。 Sophos SafeGuard の Power-on Authentication には、以下のような利点があります。 マウスを利用可能でドラッグ可能なペインを備えたグラフィカル ユーザ インター フェイスにより、簡単に使用します。 企業内のコンピュータは、ガイドラインに従ってグラフィカル レイアウト ( 背景イ メージ、ログオン イメージ、ようこそメッセージなど) を変更できます。 起動前でも Windows ユーザ アカウントおよびパスワードに対応するので、ユーザは 個々のログオン情報を覚えておく必要がありません。 Unicode に対応しているため、外国語のパスワードやユーザ インターフェイスにも 対応します。 18.1 ログオン遅延 Sophos SafeGuard で保護されたコンピュータでは、Windows での認証中、または Poweron Authentication でユーザが正しくないログオン情報を指定すると、ログオン遅延が適 用されます。ログオンに失敗するたびに、遅延時間は長くなります。ログオンに失敗 すると、残りの遅延時間を示すダイアログが表示されます。 118 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヒ ン ト : トークンを使用したログオン中にユーザが正しくない PIN を入力した場合、 遅延は発生しません。 [ 認証 ] タイプのポリシーで許可されるログオン試行の回数は、[ 失敗したログオンの 最大数 ] オプションを使用して指定できます。 18.2 マシンのロック [ 認証 ] タイプのポリシーでは、[ マシンをロックする ] オプションを [ はい ] に設定す ることによって、失敗したログオンの回数が一定数を超えるとコンピュータがロック されるように指定することもできます。ユーザがそのコンピュータのロックを解除す るには、チャレンジ / レスポンス方式を開始する必要があります。 18.3 Power-on Authentication の構成 POA ダイアログは以下のコンポーネントから構成されています。 ログオン イメージ ダイアログ テキスト キーボードのレイアウトの言語 Sophos SafeGuard Policy Editor のポリシー設定などを使用して、POA ダイアログの外観 を好みに合わせて変更できます。 18.3.1 背景およびログオン イメージ デ フォ ル トで は、POA で 表示 さ れる 背 景イ メ ージ お よび ロ グオ ン イ メー ジ は、 SafeGuard のデザインを使用したものです。ただし、企業のロゴなど、別のイメージを 表示することもできます。 119 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 背景およびログオン イメージは、[ 全般設定 ] タイプのポリシーで定義します。 背景イメージとログオン イメージを Sophos SafeGuard で使用するには、特定の要件を 満たす必要があります。 背景イメージ すべての背景イメージの最大ファイル サイズ : 500 KB Sophos SafeGuard は 2 種類の背景イメージをサポートしています。 1024x768 (VESA モード) 色: 制限なし ポリシー タイプ [全般設定] のオプション: [POA の背景イメージ] 640x480 (VGA モード) 色: 16 色 ポリシー タイプ [全般設定] のオプション: [POA の背景イメージ (低解像度)] ログオン イメージ すべてのログオン イメージの最大ファイル サイズ : 100 KB Sophos SafeGuard は 2 種類のログオン イメージをサポートしています。 413x140 色: 制限なし ポリシー タイプ [全般設定] のオプション: [POA のログオン イメージ] 413x140 色: 16 色 ポリシー タイプ [全般設定] のオプション: [POA のログオン イメージ (低解像度)] イメージ、情報テキスト、および一覧は、まずファイル (BMP、PNG、JPG、またはテ キスト ファイル ) として作成する必要があります。作成後、ナビゲーション ペインで 登録できます。 18.3.1.1 イメージの登録 イメージを登録するには、次の手順を実行します。 1. [ポリシー ] ナビゲーション ペインで、[イメージ] を右クリックし、[新規作成] > [イ メージ] を選択します。 2. [イメージ名] フィールドにイメージの名前を入力します。 120 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. [...] をクリックして作成済みのイメージを選択します。 4. [OK] をクリックします。 ポリシーのナビゲーション ペインの [ イメージ ] のサブノードに、新しいイメージが 表示されます。イメージを選択すると、そのイメージが処理ペインに表示されます。こ れで、ポリシーの作成時にイメージを選択できます。 前述の操作で、その他のイメージを登録してください。登録したすべてのイメージが サブノードとして表示されます。 ヒ ン ト : [イメージの変更] ボタンを使用すると、割り当てられたイメージを交換でき ます。このボタンをクリックすると、別のイメージを選択するためのダイアログが表 示されます。 18.3.2 POA のユーザ定義の情報テキスト POA をカスタマイズして、次のような " ユーザ定義の情報テキスト " を表示できます。 ログオン復旧のためにチャレンジ / レスポンス方式を開始したときに表示される情 報テキスト (例えば、"サポート デスク (電話番号: 01234-56789) までお問い合せくだ さい") ポリシー タイプ [全般設定] のオプション: [情報テキスト] POA へのログオン後に表示される法的通知 ポリシー タイプ [特定のマシンの設定] のオプション: [法的通知のテキスト] POA へのログオン後に表示される詳細情報テキスト ポリシー タイプ [特定のマシンの設定] のオプション: [詳細情報テキスト] 18.3.2.1 情報テキストの登録 必須情報を含むテキスト ファイルを Sophos SafeGuard Policy Editor に登録する前に作成 しておく必要があります。情報テキストの最大ファイル サイズは "50 KB" です。Sophos SafeGuard は、Unicode UTF-16 のテキストのみを使用します。この形式でテキスト ファ イルを作成していない場合、テキスト ファイルは登録時に自動的に変換されます。 変換が行われる場合は、ファイルが変換されることを示すメッセージが表示されます。 情報テキストを登録するには、次の手順を実行します。 1. [ポリシー ] ナビゲーション ペインで、[情報テキスト] を右クリックし、[新規作成] > [テキスト] を選択します。 2. [テキスト項目名] フィールドに表示するテキストの名前を入力します。 121 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. [...] をクリックして作成済みのテキスト ファイルを選択します。ファイルの変換が 必要な場合は、メッセージが表示されます。 4. [OK] をクリックします。 ポリシーのナビゲーション ペインの [ 情報テキスト ] のサブノードに、新しいテキス ト項目が表示されます。テキスト項目を選択すると、その内容がペインの右側に表示 されます。これで、ポリシーの作成時にテキスト項目を選択できます。 前述の操作で、その他のテキスト項目を登録してください。登録したすべてのテキス ト項目がサブノードとして表示されます。 ヒ ン ト : [テキストの変更] ボタンを使用すると、既存のテキストに新しいテキストを 追加できます。このボタンをクリックすると、別のテキスト ファイルを選択するため のダイアログが表示されます。このファイルに含まれるテキストは、既存のテキスト の末尾に追加されます。 18.3.3 POA ダイアログ テキストの言語 Sophos SafeGuard 暗号化ソフトウェアのインストール後、POA ダイアログのテキストは、 エンドポイント コンピュータに Sophos SafeGuard をインストールするときに、Windows の [ 地域と言語のオプション ] で設定されたデフォルトの言語で表示されます。 インストール後、POA ダイアログ テキストの表示に使用される言語は、Sophos SafeGuard Policy Editor で定義されているポリシーによってのみ変更できます。Windows でデフォ ルトの言語を変更しても、POA ダイアログ テキストの言語には影響ありません。 POA ダイアログ テキストの言語は [ 全般設定 ] タイプのポリシー ( オプション [ クライ アントで使用される言語 ]) で定義します。 18.3.4 キーボードのレイアウト ほぼすべての国に独自のキーボードのレイアウトがあり、キーの割り当てが異なって います。POA では、ユーザ名、パスワード、およびレスポンス コードを入力するとき に、キーボードのレイアウトが重要になります。 Sophos SafeGuard では、Sophos SafeGuard のインストール時に Windows の [ 地域と言語 のオプション ] で Windows デフォルト ユーザ用に設定されたキーボードのレイアウト が POA のデフォルトとして使用されます。Windows でキーボードのレイアウトとして [ ドイツ語 ] が設定されている場合、ドイツ語のキーボードのレイアウトが POA で使用 されます。 122 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 使用されているキーボードのレイアウトの言語は、POA に表示されます ( 英語の場合 は、"EN")。デフォルトのキーボードのレイアウトとは別に、US キーボードのレイアウ ト ( 英語 ) も使用できます。 以下の例外があります。 キーボードのレイアウトがサポートされていてもフォントが存在しない場合は ( ブ ルガリア語など) [ユーザ名] フィールドに特殊文字のみが表示されます。 特定のキーボードのレイアウトは使用できません (ドミニカ共和国など)。このよう な場合、POA では元のキーボードのレイアウトに戻ります。ドミニカ共和国の場合、 これは [スペイン語] になります。 ヒ ン ト : サポートされていないキーボードのレイアウトには、デフォルトで US キー ボードのレイアウトが使用されます。つまり、認識され入力可能な文字は、US キー ボードのレイアウトでサポートされているものに限られます。したがってユーザは、 ユーザ名とパスワードが US キーボードのレイアウトまたはそれぞれの言語のフォー ルバック キーボードでサポートされている文字から構成されている場合にのみ、POA にログオンできます。 18.3.4.1 仮想キーボード Sophos SafeGuard は、ユーザが POA で表示 / 非表示にしたり、ログオン情報などを入力 するために画面上のキーをクリックしたりできる仮想キーボードを提供します。 セキュリティ担当者は、[ 特定のマシンの設定 ] タイプのポリシーで [ 仮想キーボード ] オプションを使用して、仮想キーボードの表示を有効 / 無効にすることができます。 仮想キーボードのサポートは、ポリシーの設定で有効 / 無効にすることができます。 仮想キーボードは各種レイアウトをサポートし、POA のキーボード レイアウトを変更 するのと同じオプションを使用してレイアウトを変更できます。 18.3.4.2 キーボードのレイアウトの変更 仮想キーボードのレイアウトを含む Power-on Authentication のキーボード レイアウト は、元に戻すことができます。 キーボード レイアウトの言語を変更するには、次の手順を実行します。 1. [スタート] > [コントロール パネル] > [地域と言語のオプション] > [詳細設定] を選 択します。 2. [地域オプション] タブで、必要な言語を選択します。 123 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. [詳細設定] タブで [既定のユーザ アカウントの設定] の [すべての設定を現在のユー ザ アカウントと既定のユーザ プロファイルに適用する] オプションをオンにします。 4. [OK] をクリックして設定を確定します。 POA は、最後に正常にログオンしたときに使用したキーボードのレイアウトを記憶し、 次回ログオンするときにそのレイアウトを自動的に有効にします。これには、エンド ポイント コンピュータの再起動が 2 回必要になります。記憶されたキーボードのレイ アウトが [ 地域と言語のオプション ] で無効になっていても、ユーザが別のレイアウト を選択するまでこのレイアウトが保持されます。 ヒ ン ト : Unicode 以外のプログラムの場合には、キーボード レイアウトの言語を変更 する必要があります。 目的の言語がシステムで使用できない場合は、Windows からその言語をインストール するように求められます。変更後、コンピュータを 2 度再起動する必要があります。最 初の再起動は、新しいキーボードのレイアウトを Power-on Authentication で読み取るた めであり、2 番目の再起動は、POA が新しいレイアウトを設定するためです。 Power-on Authentication で使用するキーボードのレイアウトは、マウスを使用して変更 することも、キーボード (Alt + Shift キー ) を使用して変更することもできます。 [ スタート ] > [ ファイル名を指定して実行 ] をクリックし、「regedit」と入力して、 HKEY_USERS\.DEFAULT\Keyboard Layout\Preload を調べることで、システムにインス トールされていて使用できる言語を確認できます。 18.4 Power-on Authentication でサポートされるホットキー エンドポイント コンピュータを起動するときにハードウェアの設定や機能によって問 題が発生し、システムがハングすることがあります。Power-on Authentication では、こ れらのハードウェア設定を変更したり機能を非アクティブ化したりするために、いく つかのホットキーを利用できます。さらに、問題を引き起こすと分かっている機能を 記載したグレー リストおよびブラック リストが、コンピュータにインストールされた .msi ファイルに組み込まれています。 Sophos SafeGuard を大規模に展開する前に、POA 設定ファイルの更新済みバージョンを イ ン ス ト ー ル す る こ と を お 勧 め し ま す。こ の フ ァ イ ル は 毎 月 更 新 さ れ、ftp:// POACFG:[email protected] からダウンロード可能です。 このファイルは、特定の環境のハードウェアを反映するようにカスタマイズできます。 124 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヒ ン ト : カスタマイズ済みのファイルを定義するときは、.msi ファイルに組み込まれ たファイルではなく、このファイルのみが使用されます。POA 設定ファイルが定義さ れていない場合や見つからない場合にのみ、デフォルト ファイルが適用されます。 POA 設定ファイルをインストールするには、次のコマンドを入力します。 MSIEXEC /i < クライアント MSI パッケージ > POACFG=<POA 設定ファイルのパス > 詳細については、ナレッジ ベース http://www.sophos.com/support/knowledgebase/article/ 65700.html を参照してください。 POA では、次のホットキーがサポートされています。 Shift F3 = USB レガシー サポート (オン/オフ) Shift F4 = VESA グラフィック モード (オフ/オン) Shift F5 = USB 1.x および 2.0 のサポート (オフ/オン) Shift F6 = ATA コントローラ (オフ/オン) Shift F7 = USB 2.0 のサポートのみ (オフ/オン) USB 1.x のサポートは Shift F5 キーで設定されたままになります。 Shift F9 = ACPI/APIC (オフ/オン) USB ホットキーの依存性評価表 Shift F3 Shift F5 Shift F7 レガシー USB 1.x USB 2.0 注釈 オフ オフ オフ オン オン オン 3. オン オフ オフ オフ オン オン デフォルト オフ オン オフ オン オフ オフ 1., 2. オン オン オフ オン オフ オフ 1., 2. オフ オフ オン オン オン オフ 3. オン オフ オン オフ オン オフ オフ オン オン オン オフ オフ オン オン オン オン オフ オフ 2. 1. Shift F5 キーは、USB 1.x と USB2.0 の両方を無効にします。 ヒ ン ト : 起動中に Shift F5 キーを押すと、POA の起動時間がかなり短縮されます。ただ し、コンピュータで USB キーボードまたは USB マウスが使用されている場合は、Shift F5 キーを押すと、それらが無効になることがあるので注意してください。 125 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 2. USB サポートがアクティブになっていない場合、POA は USB コントローラのバック アップと復元の代わりに、BIOS SMM の使用を試みます。このシナリオでは、レガ シー モードが動作することがあります。 3. レガシー サポートがアクティブで、USB もアクティブです。POA は、USB コント ローラのバックアップと復元を試みます。使用している BIOS のバージョンによって は、システムがハングすることがあります。 「.mst」ファイルを使用して Sophos SafeGuard 暗号化ソフトウェアをインストールする ときに、ホットキーで変更できることを指定できます。この操作は、msiexec に適切な 呼び出しオプションを組み合わせることで行います。 NOVESA VESA モードと VGA モードのどちらを使用するかを定義します。0 = VESA モード (標準)1 = VGA モード NOLEGACY POA ログオン後にレガシー サポートをアクティブ化するかどうかを定義 します。0 = レガシー サポートはアクティブ化 1 = レガシー サポートはア クティブ化しない (標準) ALTERNATE: POA で USB デバイスをサポートするかどうかを定義します。0 = USB サ ポートはアクティブ化 (標準) 1 = USB サポートなし NOATA int13 デバイス ドライバを使用するかどうかを定義します。0 = 標準の ATA デバイス ドライバ (デフォルト) 1 = Int13 デバイス ドライバ ACPIAPIC ACPI/APIC のサポートを使用するかどうかを定義します。0 = ACPI/APIC の サポートはなし (デフォルト) 1 = ACPI/APIC のサポートがアクティブ NOVESA VESA モードと VGA モードのどちらを使用するかを定義します。0 = VESA モード (標準)1 = VGA モード 18.5 無効になっている POA と Lenovo Rescue and Recovery Power-on Authentication がコンピュータ上無効になっている場合は、暗号化されたファ イルが Rescue and Recovery 環境からアクセスされないように Rescue and Recovery 認証を 有効にするようにしてください。 Rescue and Recovery 認証 を 有効 に する 方 法の 詳 細に つ いて は、Lenovo Rescue and Recovery のドキュメントを参照してください。 126 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 19 復旧オプション 復旧のために、Sophos SafeGuard にはさまざまなシナリオに合わせていくつかのオプ ションが用意されています。 Local Self Help によるログオン復旧 Local Self Help を使用すると、パスワードを忘れたユーザが、ヘルプデスクの支援を 受けなくても自分のコンピュータにログオンできます。電話もネットワーク接続も 利用できない状況でも ( 飛行機に乗っている場合など ) でも、ユーザは自分のコン ピ ュ ー タ に ア ク セ ス で き る よ う に な り ま す。ロ グ オ ン す る に は、Power-on Authentication で事前に定義された数の質問に答えます。 Local Self Help によって、ログオン復旧に関する問い合わせが少なくなり、ヘルプデ スク担当者は単純な作業から解放され、より複雑なサポート要求に集中できるよう になります。 詳細については、128 ページの「Local Self Help による復旧」を参照してください. チャレンジ/レスポンスによる復旧 チャレンジ/レスポンス復旧メカニズムは、自分のコンピュータにログオンしたり暗 号化されたデータにアクセスしたりできないユーザを支援するための、安全で効率 的な復旧システムです。チャレンジ / レスポンス方式では、エンドポイント コン ピュータで生成されたチャレンジ コードをヘルプテスク担当者に渡すと、ヘルプテ スク担当者はそのコンピュータでの特定の処理の実行を承認するレスポンス コー ドを生成してくれます。 Sophos SafeGuard のチャレンジ/レスポンスによる復旧では、ヘルプデスクの支援を 必要とする復旧シナリオのためにいくつかのワークフローが用意されています。 詳細については、134 ページの「チャレンジ/レスポンスによる復旧」を参照してく ださい. システム復旧 Sophos SafeGuard に は、次 の よう な 重要 な シス テ ム コン ポ ーネ ン トや Sophos SafeGuard コンポーネントに関する問題の復旧のために、いくつかの方法やツールが 用意されています。 破損した MBR Sophos SafeGuard カーネルに関する問題 ボリューム アクセスに関する問題 Windows の起動に関する問題 詳細については、150 ページの「システム復旧」を参照してください . 127 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 20 Local Self Help による復旧 Sophos SafeGuard には、パスワードを忘れたユーザがヘルプデスクの支援を受けなくて も自分のコンピュータにログオンできるようにするために、Sophos SafeGuard で保護さ れたコンピュータ用の Local Self Help が用意されています。 例えば Local Self Help を使用することで、電話もネットワーク接続も利用できないため にチャレンジ / レスポンス方式を使用できない場合 ( 飛行機に乗っている場合など ) に、 ユーザは自分のラップトップに再びアクセスできるようになります。ユーザは、Poweron Authentication で、事前に定義された数の質問に答えることによって自分のコン ピュータにログオンできます。 セキュリティ担当者は、回答される一連の質問を一元的に定義し、ポリシーを介して それをコンピュータに配布できます。事前に定義された質問のテーマがテンプレート として用意されています。この質問のテーマをそのまま使用するか、またはそれを変 更することができます。また、関連するポリシーで、独自の質問を定義する権限をユー ザに付与することもできます。 最初の回答を入力したり、質問を編集したりするために、この機能がポリシーによっ て有効になった後、エンドポイント コンピュータ上で Local Self Help ウィザードを使用 できます。エンドポイント コンピュータ上の Local Self Help の詳細については、Sophos SafeGuard ユーザ ヘルプの「Local Self Help による復旧」を参照してください。 Local Self Help によって、ログオン復旧に関する問い合わせが少なくなり、ヘルプデス ク担当者は単純な作業から解放され、より複雑なサポート要求に集中できるようにな ります。 20.1 ポリシーを介した Local Self Help 設定の定義 Local Self Help の設定は、[ 全般設定 ] ポリシー タイプで、[ ログオン復旧 ]、[Local Self Help の有効化 ] の順に選択して定義します。ここは、エンドポイント コンピュータで 使用する機能を有効にしたり、さらに詳細な権限やパラメータを定義したりする場所 です。 20.1.1 Local Self Help の有効化 Local Self Help をアクティブ化してエンドポイント コンピュータ上で使用できるように するには、[Local Self Help の有効化 ] フィールドで [ はい ] を選択します。 128 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ このポリシーがコンピュータで有効になると、この設定によって、ユーザがログオン 復旧のために Local Self Help を使用できるようになります。Local Self Help を使用できる ようにするには、ユーザはここで、アクセス権限に応じて、受信した一連の質問のう ちの指定された数の質問に答えるか、または独自の質問を作成しそれに答えることに よって、この復旧機能をアクティブ化する必要があります。 このポリシーを受信してコンピュータを再起動した後、Windows タスク バーのシステ ム トレイ アイコンから Local Self Help ウィザードを使用できます。 20.1.2 さらに詳細な設定の定義 Local Self Help を有効にすることに加えて、[ 全般設定 ] タイプのポリシーでは、この機 能に関して次のパラメータを定義できます。 [回答の最小長] このフィールドでは、回答の最小長 (文字数) を定義します。デフォルトは 1 です。 [Windows の「ようこそ」テキスト] このフィールドでは、コンピュータで Local Self Help ウィザードを起動したときに最 初のダイアログに表示される個々の情報テキストを指定できます。ここでテキスト を指定する前に、そのテキストを作成して登録する必要があります。 [ユーザは独自の質問を定義できます] Local Self Help の質問を定義する場合の可能性のあるシナリオとして、次のものがあ ります。 セキュリティ担当者が質問を定義し、それをユーザに配布します。ユーザは、 独自の質問を定義することを許可されません。 セキュリティ担当者が質問を定義し、それをユーザに配布します。さらに、 ユーザは独自の質問を定義することを許可されます。Local Self Help をアクティ ブ化するために必要な最小限の数の質問に答える場合、ユーザは、事前に定義 された質問と独自の質問のどちらかを選択できます。あるいは、この両方の組 み合わせを使用できます。 セキュリティ担当者が、ユーザに独自の質問を定義することを許可します。 ユーザは、独自の質問を定義しそれに答えることによって、自分のコンピュー タ上で Local Self Help をアクティブ化します。 ユーザに独自の質問を定義することを許可するには、[ ユーザは独自の質問を定義でき ます ] フィールドでオプション [ はい ] を選択します。 129 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 20.2 質問の定義 エンドポイント コンピュータ上で Local Self Help を使用できるようにするには、ユーザ は 10 個以上の質問に答え、それを保存する必要があります。Local Self Help を使用して Power-on Authentication でログオンするには、ユーザはこれらの 10 個の質問からランダ ムに選択された 5 つの質問に答える必要があります。 したがって、ユーザが独自の質問を定義することを許可されていない場合は、ユーザ が Local Self Help を有効にできるようにするポリシーとともに、10 個以上の事前に定義 された質問をコンピュータに転送する必要があります。 Local Self Help の質問を登録したり編集したりするには、セキュリティ担当者に "Self Help の質問を変更する " 権限が必要です。 20.2.1 テンプレートの使用 Local Self Help では、事前に定義された質問のテーマを使用できます。デフォルトでは、 この質問のテーマは、ポリシーのナビゲーション ペインの [Local Self Help の質問 ] に あり、ドイツ語および英語で使用できます。 質問のテーマは、オプションで、フランス語、イタリア語、スペイン語、および日本 語でも使用できます。さらに、これらの言語バージョンをポリシーのナビゲーション ペインにインポートすることができます。 ヒ ン ト : エンドポイント コンピュータ上で Local Self Help を有効にするために日本語で 回答を入力する場合、ユーザはローマ字を使用する必要があります。そうしないと、 ユーザが Power-on Authentication で入力した回答が一致しなくなります。 事前に定義された質問のテーマはそのまま使用することも、編集または削除すること もできます。 事前に定義された質問のテーマの 2 つの言語バージョンをそのままにして、[ 全般設定 ] タイプのポリシーを介して Local Self Help を有効にした場合は、2 つの事前に定義された 質問のテーマがポリシーとともにエンドポイント コンピュータに自動的に転送されま す。 20.3 質問のテーマのインポート インポート手順を使用すると、事前に定義された質問のテーマの追加の言語バージョ ンや、.XML ファイルとして作成された独自の質問リストをインポートできます。 一連の質問をインポートするには、次の手順を実行します。 130 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 1. 新しい質問のテーマを作成します。 2. [ポリシー ] ナビゲーション ペインで、[Local Self Help の質問] の下の新しい質問の テーマを選択します。 3. 処理ペインを右クリックして、質問のテーマのショートカット す。ショートカット メニューで [インポート] を選択します。 メニューを開きま 4. 目的のディレクトリと質問のテーマを選択し、[開く] をクリックします。 インポートされた質問が処理ペインに表示されます。ここで、この質問のテーマをそ のまま保存するか、またはそれを編集することができます。 20.4 新しい質問のテーマの作成および質問の追加 質問のテーマをさまざまな言語で使用することに加えて、ユーザごとに異なる質問の テーマを用意するために、さまざまなトピックの質問のテーマを新しく作成すること もできます。 新しい質問のテーマを作成し、質問を追加するには、次の手順を実行します。 1. [ポリシー ] ナビゲーション ペインで、[Local Self Help の質問] を選択します。 2. [Local Self Help の質問] を右クリックして、[新規作成] > [質問のテーマ] を選択しま す。 3. 質問のテーマの名前を入力し、[OK] をクリックします。 4. [ポリシー ] ナビゲーション ペインで、[Local Self Help の質問] の下の新しい質問の テーマを選択します。 5. 処理ペインを右クリックして、質問のテーマのコンテキスト メニューを開きます。 コンテキスト メニューで [追加] を選択します。 6. 新しい質問の行が追加されます。質問を入力し、Enter キーを押します。さらに質問 を追加するには、この手順を繰り返します。 7. 変更を保存するには、ツール バーの [保存] アイコンをクリックします。 質問のテーマが登録され、エンドポイント コンピュータ上で Local Self Help を有効にす る [ 全般設定 ] タイプのポリシーとともに自動的に転送されます。 131 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 20.5 質問のテーマの編集 既存の質問のテーマを編集するには、次の手順を実行します。 1. [ポリシー ] ナビゲーション ペインで、[Local Self Help の質問] の下に表示された目 的の質問のテーマを選択します。 2. ここで質問を追加、変更、または削除することができます。 質問を追加するには、処理ペインを右クリックしてショートカット メニューを 表示します。ショートカット メニューで [追加] をクリックします。質問リスト に新しい行が追加されます。その行に質問を入力します。 質問を変更するには、処理ペインで目的の質問のテキストをクリックします。 その質問が鉛筆のアイコンによってマークされます。質問の行に変更を入力し ます。 質問を削除するには、処理ペインで質問の行の先頭にある灰色のボックスをク リックすることによって目的の質問を選択し、その質問のショートカット メ ニューで [削除] をクリックします。 3. 変更を保存するには、ツール バーの [保存] アイコンをクリックします。 変更された質問のテーマが登録され、エンドポイント コンピュータ上で Local Self Help を有効にする [ 全般設定 ] タイプのポリシーとともに転送されます。 20.6 質問のテーマの削除 質問のテーマ全体を削除するには、[ ポリシー ] ナビゲーション ペインで、目的のテー マの [Local Self Help の質問 ] を右クリックし、[ 削除 ] を選択します。 ヒ ン ト : ユーザが自分のコンピュータ上で Local Self Help を有効にするためにいくつか の質問に答えた後で、これらの質問のテーマを削除すると、質問が存在しなくなるた め、それらのユーザの答えは無効になります。 20.7「ようこそ」テキストの登録 Sophos SafeGuard Policy Editor の [ ポリシー ] ナビゲーション ペイン内の Local Self Help ウィザードで最初のダイアログに表示される「ようこそ」テキストを登録できます。 必須情報を含むテキスト ファイルを Sophos SafeGuard Policy Editor に登録する前に作成 しておく必要があります。情報テキストの最大ファイル サイズは、50 KB です。Sophos SafeGuard は、Unicode UTF-16 のテキストのみを使用します。この形式でテキスト ファ イルを作成していない場合、テキスト ファイルは登録時に自動的に変換されます。 132 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 変換が行われる場合は、ファイルが変換されることを示すメッセージが表示されます。 情報テキストを登録するには、次の手順を実行します。 1. [ポリシー ] ナビゲーション ペインで、[情報テキスト] を右クリックし、[新規作成] > [テキスト] を選択します。 2. [テキスト項目名] フィールドに表示するテキストの名前を入力します。 3. [...] をクリックして作成済みのテキスト ファイルを選択します。ファイルの変換が 必要な場合は、メッセージが表示されます。 4. [OK] をクリックします。 [ ポリシー ] ナビゲーション ペインの [ 情報テキスト ] のサブノードに、新しいテキス ト項目が表示されます。テキスト項目を選択すると、その内容がペインの右側に表示 されます。これで、ポリシーの作成時にテキスト項目を選択できます。 前述の操作で、その他のテキスト項目を登録してください。登録したすべてのテキス ト項目がサブノードとして表示されます。 133 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 21 チャレンジ/レスポンスによる復旧 Sophos SafeGuard には、ワークフローを効率化し、ヘルプデスクの費用を削減するため の、チャレンジ / レスポンス復旧ソリューションが用意されています。Sophos SafeGuard は、ユーザがコンピュータにログオンできない場合または暗号化されたデータにアク セスできない場合に、その簡単で使いやすいチャレンジ / レスポンス メカニズムによっ てこれらのユーザを支援します。 この機能は、Sophos SafeGuard Policy Editor に復旧ウィザードとして組み込まれていま す。 21.1 チャレンジ/レスポンスの利点 チャレンジ / レスポンス メカニズムは、ユーザを支援するための、安全で効率的な復 旧システムです。 すべてのプロセスで機密データが交換されるときは、必ず暗号化された状態で交換 されます。 この手順の間に第三者が傍受したとしても、問題はありません。傍受したデータを 後で使用したり、他のデバイスで使用したりできないようになっているためです。 ユーザはすばやく作業を再開できます。パスワードを忘れただけなので、暗号化さ れたデータが失われているわけではありません。 21.2 一般的にヘルプデスクの支援を必要とする状況 ユーザが POA レベルのパスワードを忘れて、コンピュータがロックされてしまった 場合。 ヒ ン ト : 忘れたパスワードを復旧するときは、まず Local Self Help を使用することをお 勧めします。Local Self Help による復旧では、現在のパスワードを表示できるので、ユー ザはこのパスワードを引き続き使用することができます。パスワードをリセットする 必要がなく、ヘルプデスクに支援を依頼する必要もなくなります。詳細については、 128 ページの「Local Self Help による復旧」を参照してください。 Power-on Authentication のローカル キャッシュが部分的に破損した場合。 Sophos SafeGuard には、これらの一般的な状況が発生したときにユーザが自分のコン ピュータに再度アクセスできるようにするために、さまざまな復旧ワークフローが用 意されています。 134 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 21.3 チャレンジ/レスポンスのワークフロー チャレンジ / レスポンス方式は、次の 2 つのコンポーネントに基づいて実行されます。 チャレンジ コードが生成されるエンドポイント コンピュータ。 十分な権限を持つヘルプデスク担当者がレスポンス コードを作成する Sophos SafeGuard Policy Editor。レスポンス コードは、ユーザに自分のコンピュータ上での 要求された処理の実行を承認します。 1. エンドポイント コンピュータ上で、ユーザがチャレンジ コードを要求します。こ の処理を Power-on Authentication で要求できるか、または KeyRecovery ツールを使用 して要求できるかは、復旧の種類によって決まります。 ASCII 文字列形式のチャレンジ コードが生成され、表示されます。 2. ユーザはヘルプデスクに連絡を取り、必要な識別情報とチャレンジ コードをヘルプ デスクに伝えます。 3. ヘルプデスクは Sophos SafeGuard Policy Editor で復旧ウィザードを起動します。 4. ヘルプデスクは、適切な復旧の種類を選択し、識別情報とチャレンジ コードを確認 して、必要な復旧処理を選択します。 ASCII 文字列形式のレスポンス コードが生成され、表示されます。 5. ヘルプデスクが、電話またはテキスト メッセージを介してユーザにレスポンス コー ドを提供します。 6. ユーザがレスポンス コードを入力します。この処理を POA で実行できるか、また は KeyRecovery ツールを使用して実行できるかは、復旧の種類によって決まります。 ユーザは、承認された処理を実行できるようになります。例えば、パスワードをリセッ トして作業を再開できます。 21.4 復旧ウィザードの起動 復旧手順を実行するには、必要な権限およびアクセス許可を備えている必要がありま す。 1. Sophos SafeGuard Policy Editor にログオンします。 2. メニュー バーで [ツール] > [復旧] をクリックします。 SafeGuard 復旧ウィザードが起動します。要求する復旧の種類を選択できます。 135 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 21.5 復旧の種類 使用する復旧の種類を選択します。次の種類の復旧が用意されています。 Sophos SafeGuard Client チャレンジ/レスポンス ユーザがパスワードを忘れたり間違ったパスワードを何度も入力したりしたときの ために、Sophos SafeGuard には チャレンジ/レスポンスが用意されています。 ヒ ン ト : ヘルプデスクの支援を必要としないログオン復旧方法 Local Self Help も参照し てください。 仮想クライアントを使用したチャレンジ/レスポンス 暗号化されているボリュームの復旧は、POA が破損しているときのように通常は チャレンジ/レスポンスがサポートされていない場合でも、仮想クライアントと呼ば れるファイルを使用していれば簡単に実現できます。 21.6 POA チャレンジ/レスポンス ユーザがパスワードを忘れたり間違ったパスワードを何度も入力したりしたときのた めに、Sophos SafeGuard には POA チャレンジ / レスポンスが用意されています。チャレ ンジ / レスポンスに必要な復旧情報は、鍵復旧ファイルを使ってやり取りされます。 Sophos SafeGuard のエンドポイント コンピュータでは、このような鍵復旧ファイルは Sophos SafeGuard の展開中に生成されます。 この鍵復旧ファイルが共有ネットワーク パス上に存在し、Sophos SafeGuard ヘルプデス クがこれにアクセスできる場合には、Sophos SafeGuard で保護されたコンピュータの POA チャレンジ / レスポンスが可能になります。 鍵復旧ファイルの検索やグループ化を容易にするために、ファイルにはコンピュータ の名前 ( コンピュータ名 .GUID.xml) が付けられます。これにより、アスタリスク (*) を 使用したワイルドカード検索 (*.GUID.xml など ) が可能になります。 ヒ ン ト : コンピュータの名前が変更されても、そのコンピュータのローカル キャッ シュ内の名前がそれに合わせて変更されることはありません。ローカル キャッシュに は、すべての鍵、ポリシー、ユーザ証明書、および監査ファイルが格納されます。そ のため、Windows でコンピュータの名前が変更されても以前の名前だけが残るように、 ローカル キャッシュから新しいコンピュータ名を削除する必要があります。 21.6.1 POA 復旧処理 エンドポイント コンピュータの POA チャレンジ / レスポンスは、次のようなときに開 始する必要があります。 136 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ユーザが POA レベルの間違ったパスワードを何度も入力したため、コンピュータが ロックされてしまった場合。 ユーザがパスワードを忘れた場合。 破損したローカル キャッシュを修復する必要がある場合。 Sophos SafeGuard で保護されたコンピュータでは、データベース内で使用できるのは定 義済みのマシン鍵のみで、ユーザ鍵は使用できません。このため、チャレンジ / レスポ ンス セッションで実行できる復旧処理は、「ユーザ ログオンを使用せずに SGN クライ アントを起動する」ことだけです。 チャレンジ / レスポンス方式では、コンピュータを Power-on Authentication で起動でき ます。ユーザは Windows にログオンできます。 復旧の例 : ユーザが POA レベルの間違ったパスワードを何度も入力したため、コンピュータが ロックされてしまった場合。 コンピュータがロックされ、ユーザはロック解除のためにチャレンジ / レスポンス方式 を開始することを求められます。この場合、ユーザは現在のパスワードをまだ覚えて いるためパスワードをリセットする必要はなく、チャレンジ / レスポンス方式でコン ピュータを Power-on Authentication で起動できます。そうすれば、ユーザは Windows レ ベルで正しいパスワードを入力して、コンピュータを再度使用できるようになります。 ユーザがパスワードを忘れた場合。 ヒ ン ト : 忘れたパスワードを復旧するときは、まず Local Self Help を使用することをお 勧めします。Local Self Help による復旧では、Power-on Authentication で現在のパスワー ドを暗号化された状態で表示できるので、ユーザはそれを引き続き使用することがで きます。パスワードをリセットする必要がなく、ヘルプデスクに支援を依頼する必要 もなくなります。詳細については、128 ページの「Local Self Help による復旧」を参照 してください。 忘れたパスワードをチャレンジ / レスポンスで復旧するときは、パスワードのリセット が必要です。 1. チャレンジ/レスポンス方式では、コンピュータを Power-on Authentication で起動で きます。 2. Windows ログオン ダイアログでは、ユーザも正しいパスワードがわからないため、 Windows レベルでパスワードを変更する必要があります。変更するには、Sophos SafeGuard 以外に、Windows 標準の方法による復旧処理が必要になります。 137 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. Windows レベルでパスワードをリセットするときは、以下の方法を使用することを お勧めします。 エンドポイント コンピュータ上で使用できるサービスまたは管理者アカウント のうち、必要な Windows 権限を持つアカウントを使用する エンドポイント コンピュータ上で Windows パスワード リセット ディスクを使用 する 4. ユーザは、ヘルプデスクから伝えられた新しいパスワードを Windows レベルで入力 します。それから、このパスワードをすぐに自分だけが知っている値に変更します。 5. 新しいパスワードを選択すると、Sophos SafeGuard によって、POA で使用されてい る現在の Sophos SafeGuard パスワードに一致していないことが検出されます。する と、ユーザは古い Sophos SafeGuard パスワードの入力を求められます。ユーザはこ のパスワードを忘れているので、[キャンセル] をクリックする必要があります。 6. Sophos SafeGuard では、古いパスワードを入力しないで新しいパスワードを定義する には新しい証明書が必要です。この手続きは、ユーザが確定する必要があります。 7. 新しいユーザ証明書は、新しく選択された Windows パスワードに基づいて作成され ます。この結果、ユーザは再度コンピュータにログオンできるようになり、新しい パスワードを使って Power-on Authentication にログオンできます。 ヒ ン ト : SafeGuard Data Exchange の鍵 ヒ ン ト : ユーザが Windows パスワードを忘れてしまい、新しいパスワードを入力する 必要がある場合にも、新しいユーザ証明書が作成されます。このため、ユーザは SafeGuard Data Exchange 用にすでに作成した鍵を使用することができなくなります。す でに生成された SafeGuard Data Exchange のユーザ鍵を引き続き使用できるようにする には、SafeGuard Data Exchange のパスフレーズを思い出して、これらの鍵を再びアク ティブ化する必要があります。 ヒ ン ト : SafeGuard Data Exchange は、ESDP (Endpoint Security and Data Protection) ではサ ポートされていません。 ローカル キャッシュを修復する必要がある場合 ローカル キャッシュには、すべての鍵、ポリシー、ユーザ証明書、および監査ファイ ルが格納されます。デフォルトでは、ローカル キャッシュが破損するとログオン復旧 は非アクティブ化されています。つまり、ローカル キャッシュはバックアップから自 動的に復元されます。この場合、ローカル キャッシュの修復に、チャレンジ / レスポ ンス方式は必要ありません。ただし、ローカル キャッシュをチャレンジ / レスポンス 方式を使って明示的に修復する場合は、ポリシーに基づいてログオン復旧がアクティ ブ化されます。このとき、ローカル キャッシュが破損している場合、ユーザはチャレ ンジ / レスポンス方式を開始することを自動的に求められます。 138 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 21.6.2 鍵復旧ファイルを使用したレスポンスの生成 Sophos SafeGuard 暗号化ソフトウェアのインストール中に生成される鍵復旧ファイル は、ヘルプデスク担当者がアクセスできる場所に格納し、担当者がファイル名を知っ ている必要があります。 レスポンスを生成するには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor で、メニュー バーから [ツール] > [復旧] を選択して復 旧ウィザードを開きます。 2. [復旧の種類] で、[Sophos SafeGuard Client] を選択します。 3. [参照] をクリックして、必要な鍵復旧ファイルを検索します。復旧ファイルを識別 しやすくするために、ファイルにはコンピュータの名前 (computername.GUID.xml) が付けられます。 4. ユーザから渡されたチャレンジ コードを入力し [次へ] をクリックします。チャレン ジ コードが検証されます。 チャレンジ コードが正しく入力されている場合は、Sophos SafeGuard コンピュータが要 求する復旧処理と、実行できる復旧処理が表示されます。コードが間違って入力され ている場合は、エラー表示ペインの下に "無効" と表示されます。 5. ユーザが行う必要な処理を選択してから、[次へ] をクリックします。 6. レスポンス コードが生成されます。このレスポンス コードをユーザに伝えます。ス ペル支援が用意されています。レスポンス コードをクリップボードにコピーするこ ともできます。 ユーザは、レスポンス コードを入力し、要求された処理を実行して、作業を再開でき ます。 21.7 仮想クライアントを使用したチャレンジ/レスポンス 仮想クライアントを使用したチャレンジ / レスポンスは、次に基づいて実行されます。 鍵復旧ファイル このファイルは、Sophos SafeGuard の暗号化の構成時に作成され、エンドポイント コンピュータの暗号化鍵を含みます。この鍵復旧ファイルは、Sophos SafeGuard で保 護されたコンピュータごとに生成され、会社の証明書を使って暗号化された定義済 みのマシン鍵を持っています。このファイルは、メモリ スティック上や共有ネット ワーク パス上に存在し、ヘルプデスクがアクセスできる必要があります。 139 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 仮想クライアント ファイル 仮想クライアントと呼ばれるファイルは、Sophos SafeGuard Policy Editor で作成され、 データベース内で参照情報として使用されます。 Sophos SafeGuard 向けに変更された Windows PE 復旧ディスク この復旧ディスクは、BIOS からエンドポイント コンピュータを起動するのに使用し ます。 KeyRecovery ツール このツールは、チャレンジ / レスポンス方式を開始するために使用します。Sophos SafeGuard 向けに変更された Windows PE 復旧ディスクにすでに含まれています。 Sophos SafeGuard ソフトウェアの Tools ディレクトリにもあります。 21.7.1 仮想クライアント 仮想クライアントは、コンピュータに関する参照情報がデータベースに存在しないた めに通常はチャレンジ / レスポンスがサポートされないときに、暗号化されたボリュー ムを復旧するために使用される暗号化された鍵ファイルです。仮想クライアントは、 チャレンジ / レスポンスの実行中に識別情報および参照情報として使用され、データ ベースに格納されます。 複雑な障害が発生している状況でチャレンジ / レスポンス方式を有効にするには、前 もって仮想クライアントを作成してユーザに配布しておいてから、チャレンジ / レスポ ンス方式を実行する必要があります。コンピュータには、これらの仮想クライアント と、KeyRecovery ツールおよび SafeGuard 向けに変更された Windows PE 復旧ディスク ( 製品に含まれます ) を使用して再度アクセスできます。 21.7.2 仮想クライアントを使用した復旧ワークフロー 暗号化されたコンピュータにアクセスするときは、以下の一般的なワークフローが適 用されます。 1. テクニカル サポートから Sophos SafeGuard 復旧ディスクを入手します。 2. ヘルプデスクが Sophos サポート サイトから、最新の Sophos SafeGuard フィルタ ド ライバが含まれる Windows PE 復旧ディスクをダウンロードします。詳細について は、ナレッジ ベース http://www.sophos.com/support/knowledgebase/article/108805.html を参照してください。 3. Sophos SafeGuard Policy Editor で仮想クライアントを作成します。 140 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 4. 仮想クライアントをファイルにエクスポートします。 5. 復旧ディスクからコンピュータを起動します。 6. 仮想クライアント ファイルを KeyRecovery ツールにインポートします。 7. KeyRecovery ツールでチャレンジを開始します。 8. Sophos SafeGuard Policy Editor で仮想クライアントを確認します。 9. 必要な復旧処理を選択します。 10.Sophos SafeGuard Policy Editor でチャレンジ コードを入力します。 11.Sophos SafeGuard Policy Editor でレスポンス コードを生成します。 12.レスポンス コードを KeyRecovery ツールに入力します。 コンピュータに再びアクセスできるようになります。 21.7.3 仮想クライアントの作成 仮想クライアントは、特定の暗号化された鍵ファイルであり、コンピュータの参照情 報として、チャレンジ / レスポンス方式での復旧に使用できます。 仮想クライアント ファイルは、異なる複数のコンピュータで、複数のチャレンジ / レ スポンス セッションに使用します。 1. Sophos SafeGuard Policy Editor で、[仮想クライアント] ペインを選択します。 2. 左側のナビゲーション ペインで [仮想クライアント] をクリックします。 3. ツール バーの [仮想クライアントの追加] をクリックします。 4. 仮想クライアントの一意の名前を入力し [OK] をクリックします。データベース内の 仮想クライアントは、ここで指定する名前によって識別されます。 5. ツール バーの [保存] アイコンをクリックし、変更をデータベースに保存します。 新しい仮想クライアントが処理ペインに表示されます。次に、仮想クライアントをファ イルにエクスポートします。 21.7.4 仮想クライアントのエクスポート 仮想クライアントをエンドポイント コンピュータに配布して復旧に使用するには、 ファイルにエクスポートする必要があります。これらのファイルの名前は、常に recoverytoken.tok になります。 141 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 1. Sophos SafeGuard Policy Editor で、[仮想クライアント] ペインを選択します。 2. 左側のナビゲーション ペインで [仮想クライアント] をクリックします。 3. 処理ペインで、検索アイコンをクリックし、対応する仮想クライアントを検索しま す。使用できる仮想クライアントが表示されます。 4. 処理ペインで各エントリを選択し、ツール バーの [ 仮想クライアントのエクスポー ト] をクリックします。 5. 仮想クライアント ファイル recoverytoken.tok の保存場所を選択し、[OK] をクリック して確定します。 ファイルの安全な保存場所を選択します。 仮想クライアントがファイル recoverytoken.tok にエクスポートされました。 6. 仮想クライアント ファイル recoverytoken.tok をリムーバブル メディアにコピーしま す。メモリ スティックの使用をお勧めします。 記憶媒体は安全な場所に保管します。記憶媒体は、仮想クライアントを使用したチャ レンジ/レスポンスの開始に必要なため、エンド ユーザ側で利用できるようにしてお きます。 21.7.5 復旧ディスクからのコンピュータの起動 BIOS 設定の起動順序で CD からの起動が許可されていることを確認します。 1. エンドポイント コンピュータで、復旧ディスクを挿入し、コンピュータを起動し ます。統合ファイル マネージャが開きます。マウントされているボリュームとド ライブが一目でわかります。 142 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 暗号化されたドライブの内容は、ファイル マネージャには表示されません。暗号化さ れたドライブのプロパティには、ファイル システム、容量、使用済み/空き領域は表示 されません。 2. ファイル マネージャの下部の [クイック起動] セクションにある KeyRecovery アイコ ンをクリックして、鍵復旧ツールを開きます。鍵復旧ツールには、暗号化されたド ライブの鍵 ID が表示されます。 143 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. アクセスする必要のあるドライブの鍵 ID を見つけます。この鍵 ID は後で要求され ます。 次に、鍵復旧ツールに仮想クライアントをインポートします。 21.7.6 KeyRecovery ツールへの仮想クライアントのインポート 復旧ディスクからコンピュータを起動済みです。 仮想クライアント ファイル recoverytoken.tok が保存されている USB ドライブが正常 にマウントされていることを確認します。 1. Windows PE ファイル マネージャで、仮想クライアントが保存されているドライブ を選択します。ファイル recoverytoken.tok が右側に表示されます。 2. ファイル recoverytoken.tok を選択して KeyRecovery ツールが保存されているドライ ブにドラッグします。そこで Tools\SGN-Tools ディレクトリにドロップします。 144 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 21.7.7 復旧鍵ツールでのチャレンジの開始 1. Windows PE ファイル マネージャの下部の [クイック起動] セクションにある KeyRecovery アイコンをクリックして、鍵復旧ツールを開きます。鍵復旧ツールに は、暗号化されたドライブの鍵 ID が表示されます。 145 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ツールが起動され、すべてのボリュームと、ボリュームに対応する暗号化情報 (鍵 ID) の一覧が表示されます。 2. 復号化するボリュームを選択し、[C/R によってインポートする ] をクリックして チャレンジ コードを生成します。 Sophos SafeGuard データベース内の参照として仮想クライアント ファイルが使用され、 チャレンジに記述されます。チャレンジ コードが生成され、表示されます。 3. 仮想クライアント名とチャレンジ コードを電話やテキスト メッセージなどでヘル プデスクに伝えます。スペル支援が用意されています。 21.7.8 仮想クライアントを使用したレスポンスの生成 Sophos SafeGuard で保護されたコンピュータにアクセスし、仮想クライアントを使用し てレスポンスを生成するには、2 つの処理が必要です。 1. Sophos SafeGuard Policy Editor データベースで仮想クライアントを確認します。 2. 要求された復旧処理を選択します。復号化には鍵復旧ファイルしか利用できないの で、レスポンス コードを生成するにはこのファイルを選択する必要があります。 146 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 21.7.8.1 仮想クライアントの確認 仮想クライアントが Sophos SafeGuard Policy Editor の [ 仮想クライアント ] で作成され、 データベースに存在している必要があります。 1. Sophos SafeGuard Policy Editor で [ツール] > [復旧] をクリックし、復旧ウィザードを 開きます。 2. [復旧の種類] で [仮想クライアント] を選択します。 3. ユーザから渡された仮想クライアントの名前を入力します。複数の方法があります。 一意名を直接入力します。 [復旧の種類] ダイアログの [仮想クライアント] セクションの [...] をクリックし、 名前を選択します。次に [今すぐ検索] をクリックします。仮想クライアントのリ ストが表示されます。目的の仮想クライアントを選択し [OK] をクリックします。 仮想クライアントの名前が [復旧の種類] ペインの [仮想クライアント] の下に表 示されます。 4. [次へ] をクリックして仮想クライアント ファイルの名前を確定します。 次に、要求された復旧処理を選択します。 21.7.8.2 鍵復旧ファイルの選択 Sophos SafeGuard Policy Editor の復旧ウィザードで目的の仮想クライアントを選択して いる必要があります。 コンピュータに再度アクセスするために必要な鍵復旧ファイルは、ネットワーク共有 上など、ヘルプデスクがアクセスできる場所にある必要があります。 1. 復旧ウィザードの [仮想クライアント] で、要求された復旧処理 [要求された鍵] を選 択し、[次へ] をクリックします。 2. [復旧鍵を含む鍵復旧ファイルを選択する] を有効にします。 3. このオプションの横の [...] をクリックして、各ファイルを参照します。復旧ファイ ル を 識 別 し や す く す る た め に、フ ァ イ ル に は コ ン ピ ュ ー タ の 名 前 (computername.GUID.xml) が付けられます。 4. [次へ] をクリックして確定します。チャレンジ コードを入力するためのペインが表 示されます。 5. ユーザから渡されたチャレンジ コードを入力し [次へ] をクリックします。チャレン ジ コードが検証されます。 147 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ チャレンジ コードが正しく入力されている場合は、レスポンス コードが生成されます。 コードが間違って入力されている場合は、エラー表示ペインの下に "無効" と表示され ます。 6. このレスポンス コードをユーザに伝えます。スペル支援が用意されています。レス ポンス コードをクリップボードにコピーすることもできます。 21.7.9 KeyRecovery ツールでのレスポンス コードの入力 1. エンドポイント コンピュータ上の KeyRecovery ツールで、ヘルプデスクから渡され たレスポンス コードを入力します。 レスポンス コード内で、必要な復旧鍵が転送されます。 2. [OK] をクリックします。チャレンジ / レスポンスに選択したドライブが復号化され ます。 3. 復号化に成功したことを確認するために、復号化されたドライブを Windows PE ファ イル マネージャで選択します。 148 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 復号化されたドライブの内容がファイル マネージャに表示されます。復号化されたド ライブのプロパティには、ファイル システム、容量、使用済み/空き領域が表示されま す。 このパーティションに保存されたデータに再びアクセスできるようになりました。復 号化が成功すると、各ドライブとの間で、データの読み取り、書き込み、コピーが行 えます。 21.7.10 仮想クライアントの削除 不要になった仮想クライアントは、Sophos SafeGuard データベースから削除できます。 1. Sophos SafeGuard Policy Editor で、[仮想クライアント] ペインを選択します。 2. 左側のナビゲーション ペインで [仮想クライアント] をクリックします。 3. 右側の処理ペインで、検索アイコンをクリックし、各仮想クライアントを検索しま す。使用できる仮想クライアントが表示されます。 4. 目的のエントリを選択し、ツール バーの [仮想クライアントの削除] をクリックしま す。 5. ツール バーの [保存] アイコンをクリックし、変更をデータベースに保存します。 仮想クライアントがデータベースから削除され、チャレンジ / レスポンス手順で使用で きなくなります。 149 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 22 システム復旧 Sophos SafeGuard は、ファイルおよびドライブを透過的に暗号化します。起動ドライブ も暗号化できます。そのため、コード、暗号化アルゴリズム、暗号化鍵などの復号化 機 能を 起 動の 初 期段 階 で使 用 で きる 必 要が あ りま す。その 結 果、重 要 な Sophos SafeGuard モジュールを使用できない場合やそれらが機能しない場合は、暗号化された 情報にアクセスできません。 以下のセクションに、考えられる障害箇所と復旧方法を説明します。 22.1 外付けメディアからの起動によるデータの復旧 この種類の復旧は、ユーザが POA ではログオンできるが、暗号化されたボリュームに はアクセスできなくなったときに適用できます。この場合、Sophos SafeGuard 用にカス タマイズされた Windows PE 復旧ディスクからコンピュータを起動することによって、 暗号化されたデータに再度アクセスできます。 前提条件 : 外付けメディアから起動するユーザには、そのための権限が必要です。この権限は、 Sophos SafeGuard Policy Editor のポリシーの種類 [認証] で設定するか (ユーザは [はい ] に設定されたボリュームを復号化できます)、または 1 回の使用のためにチャレン ジ/レスポンス方式で取得することができます。 コンピュータは固定ハード る必要があります。 ドライブ以外のメディアからの起動をサポートしてい コンピュータ上の暗号化されたデータに再度アクセスするには、次の手順を実行しま す。 1. テクニカル サポートから Sophos SafeGuard Windows PE 復旧ディスクを入手します。 ヘルプデスクが Sophos サポート サイトから、最新の Sophos SafeGuard フィルタ ド ライバが含まれる Windows PE 復旧ディスクをダウンロードします。詳細について は、ナレッジ ベース http://www.sophos.com/support/knowledgebase/article/108805.html を参照してください。 2. ログオン情報を使用して、Power-on Authentication にログオンします。 3. Windows PE 復旧ディスクをコンピュータに挿入します。 4. POA ログオン ダイアログの [以下から起動を続行:] で、[外付けメディア] を選択し ます。コンピュータが起動されます。 このパーティションに保存されたデータに再びアクセスできるようになりました。 150 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 22.2 破損した MBR 破損した MBR の問題を解決するために、Sophos SafeGuard には BE_Restore.exe という ツールが備わっています。 このツールを使用して破損した MBR を復元する方法の詳細については、 『SafeGuard Tools Guide』を参照してください。 22.3 ボリューム Sophos SafeGuard では、ドライブベースの暗号化を行えます。この機能では、起動セク タ、プライマリ / バックアップ KSA、およびオリジナルの起動セクタから構成される暗 号化情報が、それぞれのドライブ自体に保存されます。 以下のいずれかが破損すると、ボリュームにはアクセスできなくなります。 2 つの KSA (鍵記憶域) のいずれか オリジナルの MBR 22.3.1 起動セクタ 暗号化処理時にボリュームの起動セクタは、Sophos SafeGuard の起動セクタと交換され ます。 Sophos SafeGuard の起動セクタには、以下の情報が保持されます。 パーティションの開始位置に対する、プライマリ/バックアップ KSA のクラスタおよ びセクタ内での位置 KSA のサイズ Sophos SafeGuard 起動セクタが破損しても、暗号化されたボリュームにアクセスできま せん。 BE_Restore ツールを使用して、破損した起動セクタを復元できます。このユーティリ ティの詳細については、『SafeGuard Tools Guide』を参照してください。 151 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 22.3.2 オリジナルの起動セクタ オリジナルの起動セクタは、DEK ( データ暗号化鍵 ) が復号化され、アルゴリズムおよ び鍵が BE フィルタ ドライバにロードされた後に実行されるセクタです。 この起動セクタが破損すると、Windows はボリュームにアクセスできなくなります。通 常、" このデバイスはフォーマットされていません。今すぐフォーマットしますか ? は い / いいえ " という、一般的なエラー メッセージが表示されます。 それでもなお、Sophos SafeGuard はこのボリュームの DEK をロードします。ブート セ クタの修復に使用するツールは、Sophos SafeGuard の上ボリューム フィルタと互換性が ある必要があります。 22.4 Sophos SafeGuard 用の WinPE のセットアップ WinPE 環境内でコンピュータの起動鍵を使用して暗号化されたドライブにアクセスす るために、Sophos SafeGuard は必要な Sophos SafeGuard 機能モジュールおよびドライバ を備えた WinPE を提供します。SetupWinPE を起動するには、次のコマンドを入力しま す。 SetupWinPE -pe2 <WinPE イメージ ファイル > WinPE イメージ ファイルは、WinPE イメージ ファイルのフル パス名です。 SetupWinPE によって必要なすべての変更が行われます。 ヒ ン ト : この種類の WinPE 環境では、起動鍵で暗号化された暗号化ドライブにのみア クセスできるという点に注意してください。ユーザ鍵で暗号化されたドライブには、こ の環境ではその鍵を使用できないため、アクセスできません。 152 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 23 エンドポイント コンピュータからのアンインストール の防止 エンドポイント コンピュータを特別に保護するために、[ マシン固有の設定 ] タイプの ポリシーによってローカルな Sophos SafeGuard がアンインストールされることを防止 できます。ローカルでのアンインストールを防止するには、[ マシン固有の設定 ] ポリ シーの [ アンインストールを許可 ] オプションを [ いいえ ] に設定して、このポリシー をエンドポイント コンピュータに展開します。このようなポリシーがエンドポイント コンピュータに適用されると、アンインストール操作はキャンセルされて、不正な試 みがログに記録されます。 ヒ ン ト : デモ バージョンを使用している場合、アンインストールが簡単にできるよう に、デモ バージョンの期限切れ前にこのポリシー設定を有効にしたり、どんな場合で も設定を無効にしたりしないでください。 23.1 Sophos 改ざん保護 エンドポイント コンピュータに適用される [ マシン固有の設定 ] ポリシーで、[ アンイ ンストールを許可 ] オプションが [ はい ] または [ 未構成 ] に設定されている場合は、 Sophos 改ざん保護によって Sophos SafeGuard が誤って削除されることが防止されます。 ヒ ン ト : Sophos 改ざん保護は、Sophos Endpoint Security and Control バージョン 9.5 以上 を使用しているエンドポイント コンピュータにのみ適用されます。 Sophos 改ざん保護は、[ マシン固有の設定 ] タイプのポリシーで有効にすることができ ます。このポリシーの [ アンインストールを許可 ] オプションが [ はい ] または [ 未構 成 ] に設定されている場合に、[Sophos 改ざん保護を有効にする ] オプションを選択で きる状態になります。 [Sophos 改ざん保護を有効にする ] を [ はい ] に設定している場合は、アンインストー ル操作が Sophos 改ざん保護によって明示的にチェックされます。Sophos 改ざん保護に よってアンインストールを許可しない場合、この処理はキャンセルされます。 [Sophos 改ざん保護を有効にする ] を [ いいえ ] に設定している場合は、 Sophos SafeGuard のアンインストール操作は防止されません。 [Sophos 改ざん保護を有効にする ] が [ 未構成 ] に設定されている場合は、デフォルト 値の [ はい ] が適用されます。 153 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 24 Sophos SafeGuard のアップデート Sophos SafeGuard のアップデートは、以下のコンポーネントで構成されます。これらは 記載されている順序で実行する必要があります。 1. Sophos SafeGuard データベース 2. Sophos SafeGuard Policy Editor 3. Sophos SafeGuard で保護されたコンピュータ Sophos SafeGuard 5.50 は、SafeGuard Enterprise 5.35 以上から直接更新できます。以前に セットアップされた設定が変更されることはありません。それより古いバージョンか ら更新する場合は、まずバージョン 5.40 に更新する必要があります。 24.1 データベースの更新 前提条件 Sophos SafeGuard データベース バージョン 5.35 以上がインストールされている必要 があります (バージョン 5.40 までの旧製品名: SafeGuard Enterprise スタンドアロン)。 それより古いバージョンは、まずバージョン 5.40 に更新する必要があります。 実行する SQL スクリプトがデータベース コンピュータ上に存在する必要がありま す。 最新バージョンに正しく更新するには、NET Framework 3.0 Service Pack 1 がインス トールされている必要があります。 Windows 管理者権限が必要です。 更新を開始する前に、データベースをバックアップします。 ソフトウェアの Tools ディレクトリに、データベースを更新するための SQL スクリプ トが複数あります。 データベースを更新するには、次の手順を実行します。 1. Sophos SafeGuard Policy Editor を閉じます。 2. SQL スクリプトを実行するために、関連するデータベースを SINGLE_USER モード に設定します。 3. データベースは、現在のバージョンにアップグレードされたバージョンである必要 があります。インストールされているバージョンによって、以下の SQL スクリプト を順に開始します。 a) 5.35 > 5.40: MigrateSGN535_SGN540.sql を実行 154 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ b) 5.4x > 5.50: MigrateSGN540_SGN550.sql を実行 4. 関連するデータベースをもう一度 MULTI_ USER モードに設定します。 データベースの更新後、一部のテーブルの暗号チェック サムが正しくなくなる場合が あります。Sophos SafeGuard Policy Editor を起動すると、警告メッセージが表示されま す。関連するダイアログでテーブルを修復できます。 こうして最新バージョンの Sophos SafeGuard データベースを使用する準備ができまし た。 24.2 Sophos SafeGuard Policy Editor の更新 前提条件 Sophos SafeGuard Policy Editor バージョン 5.35 以上がインストールされている必要が あります。それより古いバージョンは、まずバージョン 5.40 に更新する必要があり ます。 Sophos SafeGuard Policy Editor をアンインストールする必要はありません。 Sophos SafeGuard データベースはすでに最新バージョンに更新されている必要があ ります。 最新バージョンに正しく更新するには、NET Framework 3.0 Service Pack 1 がインス トールされている必要があります。これは http://www.microsoft.com/downloads から 無料でダウンロードできます。 ASP.NET をバージョン 2.0 にアップグレードする必要があります。 Windows 管理者権限が必要です。 次の手順を実行します。 1. 最新バージョンの Sophos SafeGuard Policy Editor インストール パッケージをインス トールします。構成ウィザードを再度実行する必要はありません。 Sophos SafeGuard Policy Editor は最新バージョンに更新されました。 155 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 24.3 Sophos SafeGuard で保護されたコンピュータの更新 Sophos SafeGuard Policy Editor バージョン 5.5x は、Sophos SafeGuard で保護されたコン ピュータ バージョン 5.35 以上を管理できます。 前提条件 バージョン 5.35 以上の Sophos SafeGuard Client インストール パッケージがインス トールされている必要があります。それより古いバージョンは、まずバージョン 5.40 に更新する必要があります。 Sophos SafeGuard データベースと Sophos SafeGuard はすでに最新バージョンに更新さ れている必要があります。 Windows 管理者権限が必要です。 次の手順を実行します。 1. MSI 準備パッケージ SGxClientPreinstall.msi をインストールします。暗号化ソフト ウェアを正常にインストールするために必要なもの (必要な DLL など) がエンドポ イント コンピュータにインストールされます。 注 : ここからダウンロードできる vcredist_x86.exe をインストールしてもかまいませ ん : http://www.microsoft.com/downloads/details.aspx?FamilyID=766a6af7-ec73-40ff-b0729112bab119c2&displaylang=en。また、コンピュータの Windows\WinSxS フォルダに MSVCR80.dll バージョン 8.0.50727.4053 があることを確認する方法でもかまいませ ん。 2. 各クライアント インストール パッケージの最新版を再インストールします。 Windows インストーラは、すでにインストール済みのモジュールを認識してそのモ ジュールのみ改めてインストールします。Power-on Authentication がインストールされ ている場合、更新の正常終了後 ( ポリシー、鍵など )、更新された POA カーネルも利用 可能になります。Sophos SafeGuard がコンピュータ上で自動的に再起動します。 Sophos SafeGuard 設定に変更がない場合、新しい Sophos SafeGuard 設定パッケージを 作成してインストールする必要はありません。ただし、セキュリティ上の理由から、 古くなったり、使用されていないすべての設定パッケージを削除することをお勧め します。 新しい Sophos SafeGuard 設定パッケージを作成して再インストールする必要がある のは、ポリシー設定に変更が生じた場合など、設定に変更があった場合のみです。 新しい Sophos SafeGuard 設定パッケージを作成する場合は、古くなったパッケージ を必ず削除してください。 156 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ヒ ン ト : 新しい Sophos SafeGuard 設定パッケージに上書きする形で古いパッケージを インストールしようとすると、インストールは中止され、エラー メッセージが表示さ れます。 24.4 ボリューム ベースの暗号化による Sophos SafeGuard の拡張 ヒ ン ト : ESDP (Endpoint Security and Data Protection) では、この説明は Sophos SafeGuard には適用されません。 SafeGuard Data Exchange モジュールのファイル ベースの暗号化 (SGNClient_withoutDE.msi) のみがインストールされている Sophos SafeGuard で保護されたコンピュータを、Sophos SafeGuard Client のボリューム ベースの暗号化と SafeGuard Data Exchange のファイル ベー スの暗号化 (SGNClient.msi) に拡張する場合、以下の手順を実行する必要があります。こ れらの手順は、Power-on Authentication で安全で正確な認証を確保するために必要です。 1. SafeGuard Data Exchange インストール パッケージ (SGNClient_withoutDE.msi/ SGNClient_withoutDE_x64.msi) をアンインストールします。 2. Sophos SafeGuard 設定パッケージをアンインストールします。 3. Device Encryption と Data Exchange 機能を選択して、ボリューム ベースの暗号化を含 む Sophos SafeGuard SafeGuard Device Encryption パッケージをインストールします (SGNClient.msi/SGNClient_x64.msi)。 4. コンピュータ上で、新しい Sophos SafeGuard 設定パッケージを生成してインストー ルします。 Data Exchange パッケージのインストール時に作成された鍵復旧ファイルおよびローカ ル鍵は削除されず、引き続き利用できます。 157 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 25 Sophos SafeGuard 5.5x の SafeGuard Enterprise への アップグレード Sophos SafeGuard 5.5x を一元管理の SafeGuard Enterprise スイートに容易にアップグレー ドして、SafeGuard Enterprise のすべての機能を利用することができます。 このためには、以下の手順を行う必要があります。 Sophos SafeGuard Policy Editor は、SafeGuard Management Center にアップグレードす る必要があります。 Sophos SafeGuard で暗号化されたエンドポイント コンピュータは、 SafeGuard Enterprise で保護されたコンピュータにアップグレードする必要があります。 25.1 Sophos SafeGuard Policy Editor の SafeGuard Management Center へのアップグレード ログの記録、ユーザとコンピュータの管理など包括的な管理機能を利用するために、 Sophos SafeGuard Policy Editor を SafeGuard Management Center にアップグレードできま す。 前提条件 Sophos SafeGuard Policy Editor をアンインストールする必要はありません。 移行する前に SafeGuard Enterprise Server を設定します。 Sophos SafeGuard Policy Editor のアップグレード アップグレードするには、Sophos SafeGuard Policy Editor が設定されているコンピュー タに SGNManagementCenter.msi パッケージをインストールするだけです。 1. 製品のインストール フォルダから SGNManangementCenter.msi を開始します。 2. [ようこそ] ペインで [次へ] をクリックします。 3. 使用許諾契約書に同意します。 4. インストール パスを選択します。 5. インストールが正常に完了したことを確認します。 158 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 6. 必要に応じてコンピュータを再起動します。 7. SafeGuard Management Center を設定します。 Sophos SafeGuard Policy Editor が SafeGuard Management Center にアップグレードされま した。 25.2 Sophos SafeGuard の設定内容の SafeGuard Enterprise へのアッ プグレード エンドポイント コンピュータの Sophos SafeGuard の設定内容を SafeGuard Enterprise の 設定内容にアップグレードできます。この方法では、コンピュータは、管理可能で SafeGuard Enterprise Server への接続を持つオブジェクトとして SafeGuard Management Center で定義されます。 ヒ ン ト : 逆の手順、つまり SafeGuard Enterprise の設定内容から Sophos SafeGuard 設定 へのダウングレードは推奨しません。これを行うには、Sophos SafeGuard 暗号化ソフト ウェアをユーザ用 PC に完全に再インストールする必要があります。 前提条件 Sophos SafeGuard Policy Editor が SafeGuard Management Center にアップグレード済み である必要があります。 エンドポイント コンピュータ上の Sophos SafeGuard 暗号化ソフトウェアをアンイン ストールする必要はありません。 アップグレードを開始する前にエンドポイント ください。 Windows 管理者権限が必要です。 コンピュータをバックアップして Sophos SafeGuard 設定の SafeGuard Enterprise へのアップグレード アップグレードに必要なことは、SafeGuard Management Center で別の設定パッケージを 作成して各コンピュータに展開することだけです。 1. SafeGuard Management Center で [ツール] > [設定パッケージ ツール] > [Enterprise Client パッケージの作成 (管理)] を選択して、管理されている SafeGuard Enterprise Client の設定パッケージを作成します。 159 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 2. グループ ポリシー等の配布機能を用いて、このパッケージを Sophos SafeGuard コン ピュータに割り当てます。 アップグレード中は、ユーザおよび証明書はすべて削除されます。ユーザ / コン ピュータの割り当てはアップグレードされないので、Power-on Authentication は無効 になります。そのため、アップグレード直後は、エンドポイント コンピュータは保 護されていません。 3. アップグレード後は 2 回、再起動してください。初回はまだ自動ログオンによるロ グオンです。新しい鍵と証明書がユーザに割り当てられます。このため、ユーザは 2 回目に再起動した場合のみ Power-on Authentication でログオンできます。コン ピュータが再び保護されるのは、2 回目の再起動の後のみです。 これで、エンドポイント コンピュータ上の Sophos SafeGuard 設定が SafeGuard Enterprise 設定になりました。 160 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 26 SafeGuard Easy 4.x/ Sophos SafeGuard Disk Encryption 4.x から Sophos SafeGuard 5.5x へのアップグレード SafeGuard Easy 4.5x お よび Sophos SafeGuard Disk Encryption 4.60 は、SafeGuard Device Encryption クライアント インストール パッケージをコンピュータにインストールする だけで、直接 Sophos SafeGuard 5.50 にアップグレードできます。 直接アップグレードはテスト済みで、SafeGuard Easy 4.5x でサポートされています。バー ジョン 4.3x から 4.4x へも直接アップグレードできるはずです。4.3x より古いバージョ ンの直接アップグレードはサポートされていません。まず SafeGuard Easy 4.50 に更新す る必要があります。 ハード ドライブの暗号化は維持されるため、それを復号化して再暗号化する必要があ りません。また、SafeGuard Easy や Sophos SafeGuard Disk Encryption のアンインストー ルも必要ありません。 この章では、Sophos SafeGuard にアップグレードする方法を説明し、移行可能な機能に ついて説明してから、制限を詳細に説明します。 26.1 前提条件 以下の前提条件を満たす必要があります。 直接アップグレードはテスト済みで、SafeGuard Easy 4.5x でサポートされています。 バージョン 4.3x から 4.4x へも直接アップグレードできるはずです。4.3x より古い バージョンの直接アップグレードはサポートされていません。まず SafeGuard Easy 4.50 に更新する必要があります。 直接アップグレードは、Sophos SafeGuard Disk Encryption バージョン 4.6x でサポート されています。 SafeGuard Easy /Sophos Safeguard Disk Encryption は、以下のオペレーティング システ ムで実行されている必要があります。 161 Windows XP Professional Workstation Service Pack 2、3 Windows インストーラ バージョン 3.01 以上がインストールされている必要があり ます。 ハードウェアは、Sophos SafeGuard 5.50 のシステム要件を満たしている必要があります。 特殊なソフトウェア (Lenovo ミドルウェアなど) を使用するときは、 Sophos SafeGuard 5.50 のシステム要件を満たしている必要があります。 アップグレードは、ハード ディスクが AES128、AES256、3DES、IDEA のいずれかの アルゴリズムで暗号化されている場合のみ実行されます。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 26.1.1 制限 アップグレードは、以下の制限を受けます。 インストールできるのは、標準機能が設定されている SafeGuard Device Encryption イ ン ス トー ル パ ッケ ー ジ (SGNClient.msi/SDEClient.msi) の みで す。SafeGuard Data Exchange モジュールを追加でインストールする場合は、別の手順で行う必要があり ます。(SafeGuard Data Exchange は ESDP ではサポートされていません)。 ボリューム ベースの暗号化が付属しないインストール パッケージ (SGNClient_withoutDE.msi) は、Sophos SafeGuard へのアップグレードでサポートさ れません。 以下のインストールは Sophos SafeGuard にアップグレードできません。Sophos SafeGuard をインストールしようとすることも避けてください。 ヒ ン ト : 以下のケースでアップグレードを開始すると、エラー メッセージが表示され ます (エラー番号 5006)。 マルチ ブートのインストール Compaq スイッチがアクティブになっているインストール Lenovo Computrace のインストール ブート セクタのみの暗号化など部分的に暗号化されているハード ディスク 非表示のパーティションを含むハード ディスク 次のいずれかのアルゴリズムで暗号化されているハード ディスク: XOR、 STEALTH、DES、RIJNDAEL、Blowfish-8、Blowfish-16 第 2 パーティションに Windows または Linux があるマルチブート シナリオ XOR、STEALTH、DES、RIJNDAEL、Blowfish-8、Blowfish-16 のいずれかのアルゴリ ズムで暗号化されているリムーバブル メディアは、アップグレードできません。 ヒ ン ト : リムーバブル デバイスが XOR、STEALTH、DES、RIJNDAEL、Blowfish-8、 Blowfish-16 のいずれかのアルゴリズムで暗号化されている場合は、データが失われる 可能性があります。リムーバブル メディア上のデータは、アップグレード後に Sophos SafeGuard からアクセスできない場合があります。 Super Floppy ボリュームを含むリムーバブル メディアは、移行後に変換できません。 リムーバブル メディアは Sophos SafeGuard に対応した形式に変換できます。変換後 に暗号化されたデータ メディアは、Sophos SafeGuard を使って、変換を行ったエン ドポイント コンピュータでのみ読み取ることができます。 ヒ ン ト : ESDP では、 リムーバブル メディアの暗号化と移行はサポートされていません。 162 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 26.2 アップグレードされる機能 次の表は、どの機能がアップグレードされて、それらが Sophos SafeGuard のどの機能に 対応するかをまとめたものです。 SafeGuard Easy/Sophos SafeGuard Disk Encryption アップグレー ド Sophos SafeGuard 暗号化ハード ディスク はい ハード ディスク鍵は、Sophos SafeGuard Poweron Authentication によって保護されます。その ため、ハード ディスク鍵は表示されません。 SafeGuard Easy で「ブート プロテクション」モー ドが選択されている場合、現在のバージョンは アンインストールされる必要があります。ハー ド ディスクの暗号化アルゴリズムはアップグ レードによっても変更されません。そのため、 この種類のアップグレードされたハード ディ スクの実際のアルゴリズムは、Sophos SafeGuard の一般的なポリシーと異なる場合があります。 暗号化されたリムーバブル メ はい デ ィア (ESDP で は Sophos SafeGuard Disk Encryption には 適用できません) USB メモリなど暗号化されたデータ メディア は、Sophos SafeGuard 形式に変換できます。注: 変 換後 に 暗号 化 され た デー タ メ デ ィア は、 SafeGuard Enterprise を使って、変換を行ったエ ンドポイント コンピュータでのみ読み取るこ とができます。変換については、それぞれの ケースで確認してください。 暗号化アルゴリズム あ る 程 度 ま アルゴリズム AES128、AES256、3DES、IDEA は で可能 移行できます。ただし、新たに暗号化されるメ ディアの Sophos SafeGuard Policy Editor で AES128、3-DES を選択することはできません。 チャレンジ/レスポンス あ る 程 度 ま チャレンジ/レスポンス方式が維持されます。 で可能 163 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ SafeGuard Easy/Sophos SafeGuard Disk Encryption アップグレー ド Sophos SafeGuard ユーザ名 いいえ Windows のユーザ名が Sophos SafeGuard で使用 さ れる た め、SafeGuard Easy/Sophos SafeGuard Disk Encryption 独自のユーザ名を再利用する必 要はありません。そのため、アップグレードさ れたコンピュータの登録は、Sophos SafeGuard の新規インストール ( コンピュータのユーザの 一元的な割り当てまたはローカルな登録 ) と同 じ方法で行われます。 ヒ ン ト : アップグレード後に Windows に最初に ログオンするユーザは、POA 内でプライマリ ユーザとして設定されます ([ サービス アカウ ントのリスト ] に指定されている場合を除く )。 ユーザ パスワード いいえ Windows のパスワードが Sophos SafeGuard で使 用されるため、SafeGuard Easy/Sophos SafeGuard Disk Encryption 独自のパスワードを再利用する 必要はありません。そのため、SafeGuard Easy/ Sophos SafeGuard Disk Encryption のパスワード はアップグレードされません。 ポリシー、設定 ( 最短のパス いいえ ワード長など) すべての設定が整合していることを確保する ために、自動アップグレードは実行されませ ん。Sophos SafeGuard Policy Editor でポリシーを 再設定する必要があります。 起動前認証 起動前認証 (PBA) が Sophos SafeGuard Power-on Authentication (POA) に置き換えられました。 いいえ GINA をサポートしないイン はい ストール GINA をサポートしないインストールは、 SGNGINA がインストールされた Sophos SafeGuard にアップグレードされます。 トークン/スマートカード トークン/スマートカード認証は、Sophos SafeGuard ではサポートされていません。トー クン/スマートカードを使用する場合は、 SafeGuard Enterprise に移行することをお勧めし ます。 いいえ 164 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ SafeGuard Easy/Sophos SafeGuard Disk Encryption アップグレー ド Sophos SafeGuard Lenovo Fingerprint Reader によ あ る 程 度 ま 指紋を使用したログオンは Sophos SafeGuard で で可能 も引き続き使用できます。指紋認証リーダー るログオン のハードウェアとソフトウェアが Sophos ヒ ン ト : ESD SafeGuard でサポートされている必要があり、 P では、指紋 指紋ユーザ データを再度配布する必要があり を使用した ます。指紋を使用したログオンの詳細につい ログオンは ては、ユーザ ヘルプを参照してください。 サポートさ れていませ ん。 26.3 アップグレードの準備 Sophos SafeGuard のインストールを開始する前に、以下の対策を取る必要があります。 エンドポイントをアップグレードする前に、SafeGuard Policy Editor を使用して Sophos SafeGuard 設定パッケージを準備します。暗号化ソフトウェアがエンドポイン トにインストールされた後に、設定パッケージをエンドポイントに展開します。最 初の設定パッケージで転送されるポリシーは、SafeGuard Easy/Sophos SafeGuard Disk Encryption コンピュータのそれまでの設定に対応している必要があります。 アップグレードで設定パッケージをインストールしない場合は、SafeGuard Easy/ Sophos SafeGuard Disk Encryption で暗号化されたすべてのドライブは暗号化された ままです。 データが失われる危険を減らすために、アップグレードするコンピュータの完全 バックアップを作成することをお勧めします。 Sophos SafeGuard をインストールする前に、 「chkdsk」や「defrag」などの推奨されて いる手順を実行してください。詳細については、 「<Nicht definierter Querverweis>」を 参照してください。 「chkdsk」と「defrag」の詳細については、ナレッジベースを参 照してください。 165 chdsk: http://www.sophos.de/support/knowledgebase/article/107081.htmll defrag: http://www.sophos.de/support/knowledgebase/article/109226.html 有効なカーネル バックアップを作成し、このバックアップをネットワーク パスなど の常にアクセス可能な場所に保存することをお勧めします。詳細については、 SafeGuard Easy 4.5x/Sophos SafeGuard Disk Encryption 4.60 のマニュアル / ヘルプの 「Saving the system kernel and creating emergency media (システム カーネルの保存と緊急 用メディアの作成)」の章を参照してください。 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ データが失われる危険を減らすために、最初のアップグレード用のテスト環境を作 成することをお勧めします。 古いバージョンの SafeGuard Easy からアップグレードするときは、最初にバージョ ン 4.50 にアップグレードしてください。 アップグレード処理全体にわたって、コンピュータはオンにしたままにします。 セキュリティ担当者は、移行後にユーザが Windows パスワードを忘れた場合に備え て、ユーザの Windows ログオン情報を手元に保持する必要があります。これは、ユー ザが過去に起動前認証でログオンし、その後 SAL (Windows セキュア自動ログオン) によってログオンした場合に発生することがあります。そのため、ユーザは Windows ログオン情報を一度も使用していません。 ヒ ン ト : ユーザは、アップグレード前に、Windows ログオン用パスワードを知ってい る必 要 があ り ます。Sophos SafeGuard の ア ップ グ レー ド およ び イン ス トー ル 後は Windows パスワードを設定できないので、この確認は非常に重要です。ユーザが SafeGuard Easy/Sophos Disk Encryption で安 全 な自 動 ログ オ ンを 使 用し て いた た め、 Windows パスワードが分からない場合、Sophos SafeGuard にログオンすることはできま せん。この場合、Windows へのパススルーは拒否され、ユーザは Sophos SafeGuard に ログオンできなくなります。この結果、ユーザがコンピュータにアクセスできなくな るため、データ損失のリスクが発生します。 26.4 アップグレードの開始 ヒ ン ト : インストールは、動作中の SafeGuard Easy /Sophos SafeGuard Disk Encryption シ ステム上で実行することができます。暗号化されたハード ドライブまたはボリューム の復号化は不要です。 ヒ ン ト : 標準機能が設定されているインストール フォルダから、SafeGuard Device Encryption Client パッケージ (SGNClient.msi/SDEClient.msi) を使用してください。クライ アント パッケージ SGNClient_withoutDE.msi はアップグレードには使用できません。 アップグレードを正しく行うために、インストールは自動モードで一元的に実行して ください。セットアップ フォルダによるインストールは推奨されません。 次の手順を実行します。 1. エンドポイント コンピュータ上で、アップグレードする SafeGuard Easy/Sophos SafeGuard Disk Encryption プログラム フォルダから WIZLDR.exe をダブルクリックし ます。これにより移行ウィザードが開始されます。 2. 移行ウィザードで、SYSTEM パスワードを入力し、[次へ ] をクリックして確定しま す。[ 対象フォルダ ] で、デフォルトを確認して [ 次へ ] をクリックし、[ 完了 ] をク リックして処理を完了します。移行構成ファイル SGEMIG.cfg が作成されます。 166 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 3. Windows エクスプローラで、このファイルの名前を SGEMIG.cfg から SGE2SGN.cfg に 変更します。 注 : このファイルと、このファイルのアップグレード中の保存先であるファイル パ スに対する、所有者/作成者権限を設定する必要があります。そうしないとアップグ レードに失敗する場合があり、SGE2SGN.cfg が見つからないというメッセージが表 示されます。 4. コマンド プロンプトで msiexec コマンドを入力して、Sophos SafeGuard プレインス ト ー ル パッ ケ ージ と Client イ ン スト ー ル パッ ケ ージ を SafeGuard Easy/Sophos SafeGuard Disk Encryption エンドポイントにインストールします。移行構成ファイル SGE2SGN.cfg のファイル パスを示すパラメータ MIGFILE を追加します。 例: msiexec /i \\Distributionserver\Software\Sophos\SafeGuard\SGxClientPreinstall.msi msiexec /i \\Distributionserver\Software\Sophos\SafeGuard\SDEClient.msi /L*VX“\\Distributionserver\Software\Sophos\SafeGuard\%Computername%.log“ MIGFILE=\\Distributionserver\Software\Sophos\SafeGuard\SGE2SGN.cfg アップグレードが正常に完了した場合、Sophos SafeGuard をコンピュータ上で使用で きます。 アップグレードが失敗した場合でも、Sophos SafeGuard Disk Encryption を引き続きコ ンピュータ上で使用できます。その場合、Sophos SafeGuard は自動的に削除されます。 26.5 アップグレードしたエンドポイント コンピュータの設定 エンドポイント コンピュータは設定パッケージによって初期構成されます。これに よって Power-on Authentication がアクティブ化されます。 そのため、アップグレードでは、暗号化ソフトウェアが含まれるプレインストール パッ ケージと Sophos SafeGuard インストール パッケージを最初にインストールする必要が あります。エンドポイントの設定は、POA がアクティブ化され、ユーザが Windows に 正常にログインした後に行ってください。 1. Sophos SafeGuard Policy Editor で [ツール] > [設定パッケージ ツール] と選択して、必 要なポリシー設定を入力することで、初期構成パッケージを作成します。 2. 設定パッケージをエンドポイント コンピュータにインストールします。 注: 最初の Sophos SafeGuard 設定パッケージで転送されるポリシーは、 SafeGuard Easy/ Sophos SafeGuard Disk Encryption コンピュータのそれまでの設定に対応している必 要があります。 167 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 26.6 アップグレード後 ア ップ グ レー ド の完 了 後、Power-on Authentication に ログ オ ンし た 後に、Sophos SafeGuard では以下が利用可能になります。 暗号化されたボリュームの鍵とアルゴリズム。 暗号化されたリムーバブル メディア用の鍵とアルゴリズム (SafeGuard Easy からアッ プグレードするときにのみ適用されます)。 暗号化されたボリュームは暗号化されたままになり、暗号化鍵は Sophos SafeGuard に対 応した形式に自動的に変換されます。 ヒ ン ト : ハード ディスクを復号化し、ハード ディスク暗号化用の鍵を追加および削除 できるようにするには、まずコンピュータを再起動する必要があります。 SafeGuard Easy/Sophos SafeGuard Disk Encryption コンピュータのそれまでの設定に対応さ せるために、Sophos SafeGuard Policy Editor でポリシーをリセットする必要があります。 26.6.1 リムーバブル メディアの移行 ヒ ン ト : リムーバブル メディアの移行は、ESDP では Sophos SafeGuard Disk Encryption には適用できません。 暗号化されたリムーバブル メディアは同じく暗号化されたままですが、鍵は Sophos SafeGuard に対応した形式に変換される必要があります。 ヒ ン ト : そのため、変換後に暗号化されたデータ メディアは、SafeGuard Enterprise を 使って、移行中に変換を行ったエンドポイント コンピュータでのみ読み取ることがで きます。 リムーバブル メディアを復号化し、リムーバブル メディア暗号化用の鍵を追加および 削除できるようにするには、まずコンピュータからメディアを取り外し、再度挿入す る必要があります。 移行後、リムーバブル メディアにアクセスする場合、ユーザは暗号化鍵の Sophos SafeGuard に対応した形式への変換を積極的に確認する必要があります。変換を開始す る前に、ボリューム ベースの暗号化に適切なポリシーがコンピュータに存在する必要 があります。そうでない場合、鍵は変換されません。 168 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ ユーザは、リムーバブル メディアの変換を確認するように求められます。該当するメッ セージが表示されます。 ユーザが変換を確認すると、移行されたデータへのフル アクセスが可能になります。 ユーザが変換を拒否した場合でも、移行されたデータは読み取りと書き込みを行う ために開くことができます。 新規に追加されたリムーバブル メディアは、エンドポイント コンピュータ上に適切な ポリシー設定が存在すれば、任意の Sophos SafeGuard コンピュータと同様に暗号化され ます。 169 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 27 テクニカルサポート ソフォス製品のテクニカルサポートは、次のような形でご提供しております。 「SophosTalk」ユーザーフォーラム ( 英語 ) (http://community.sophos.com/) のご利用。 さまざまな問題に関する情報を検索できます。 ソフォス サポートデータベースのご利用。http://www.sophos.co.jp/support/ 製品ドキュメントのダウンロード。http://www.sophos.co.jp/support/docs/ メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および適用してい るパッチの種類、エラーメッセージの内容などを、[email protected] までお送り ください。 170 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 28 著作権 Copyright © 1996 - 2010 Sophos Group and Utimaco Safeware AG. All rights reserved. この出版物の一部または全部を、電子的、機械的、写真複写、録音、その他いかなる 形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許 可されている、もしくは著作権所有者からの書面による事前の許可を与えられている 有効なライセンシーである場合を除き、無断で複製、検索システムに保存、または送 信することを禁じます。 ソフォスは、Sophos Plc およびソフォス グループの登録商標です。SafeGuard は、ソフォ ス グループのメンバーであるウティマコ セーフウェア AG の登録商標です。その他記 載されている製品名、会社名は、各社の商標または登録商標です。 すべての SafeGuard 製品の著作権は、ソフォス グループのメンバーであるウティマコ セーフウェア AG、または適宜そのライセンサーに帰属します。その他のすべてのソ フォス製品の著作権は、Sophos Plc、または適宜そのライセンサーに帰属します。 サード パーティ サプライヤの著作権情報については、 製品ディレクトリ内の Disclaimer and Copyright for 3rd Party Software.rtf ファイルを参照してください。 171 Sophos SafeGuard Disk Encryption 5.50、Sophos SafeGuard Easy 5.50 管理者ヘルプ 172