Comments
Transcript
A PGP Desktop - Symantec SSL Certificates Support
PGP Desktop for Windows ユーザー ガイド 法的通知 バージョン情報 PGP Desktop for Windows ユーザー ガイド. PGP Desktop バージョン 10.0.3。リリース2010 年10 月. 著作権情報 Copyright ゥ 1991-2010 by PGP Corporation. All Rights Reserved. 本ドキュメントのいかなる部分も PGP Corporation の書面による許可なしに、電子的、機械的などいかなる形式、いかなる方法でも複製し、頒布することはできません。 商標情報 PGP、Pretty Good Privacy、および PGP のロゴは、米国およびその他の国々における PGP Corporation の登録商標です。IDEA は Ascom Tech AG の商標です。Windows および ActiveX は、Microsoft Corporation の登録商標です。AOL は America Online, Inc. の登録商標であり、AOL Instant Messenger は America Online, Inc. の商標です。Red Hat および Red Hat Linux は Red Hat, Inc. の商標または登録商標です。Linux は Linus Torvalds の登録商標です。Solaris は Sun Microsystems, Inc. の商標または登録商標です。AIX は International Business Machines Corporation の商標または登録商標です。HP-UX は Hewlett-Packard Company の商標または登録商標です。SSH および Secure Shell は SSH Communications Security, Inc. の商標です。Rendezvous および Mac OS X は Apple Computer, Inc. の商標または登録商標です。本書で使用されているその他すべての登録されていない、または登録されている商標は、それぞれの所有者が所有します 。 ライセンスおよび特許情報 IDEA 暗号化方式 (米国特許番号 5,214,703) の使用については、Ascom Tech AG からライセンス供与を受けています。RFC 2144 に基づいて実装されている CAST-128 暗号化アルゴリズムは、商用および商用以外の用途で、特許権使用料を必要とせずに世界中で利用できます。PGP Corporation は、The Regents of the University of California による表題「Block Cipher Mode of Operation for Constructing a Wide-blocksize block Cipher from a Conventional Block Cipher」の特許出願 (シリアル番号 10/655,563) に含まれる特許権に対するライセンスを供与されています。PGP Universal Server に含まれる一部のサード パーティ ソフトウェアは、GNU 一般公衆利用許諾契約書 (GNU GPL: General Public License) の下でライセンスされています。PGP Universal Server 全体が GPL の下でライセンスされているわけではありません。PGP Universal Server に含まれる GPL ソフトウェアのソース コードを入手したい場合は、PGP サポート 『https://support.pgp.com』にお問い合わせください。PGP Corporation は、このソフトウェアまたはその文書に記載されている内容に関して、特許権を保有または特許を出願中の場合があります。このソフトウェアまたは 文書の提供は、これらの特許に関するいかなる権利をもお客様に付与するものではありません。 謝辞 この製品には下記が含まれている場合があります。 • Zip および ZLib 圧縮コードは、Mark Adler および Jean-Loup Gailly によって作成されたもので、zlib (http://www.zlib.net) によって開発された InfoZIP のフリー実装から許可を得て使用されています。• Libxml2 は、Gnome プロジェクト用の XML C パーサーおよびツールキットで、http://www.opensource.org/licenses/mit-license.html にある MIT ライセンスの下で配布および著作権保護されています。Copyright ゥ 2007 by the Open Source Initiative.• bzip2 1.0 は、無料で利用できる高品質圧縮ソフトウェアです。著作権は Julian Seward, ゥ 1996-2005 にあります。• アプリケーション サーバー (http://jakarta.apache.org/)、Web サーバー (http://www.apache.org/)、Jakarta Commons (http://jakarta.apache.org/commons/license.html) および log4j (HTML 解析に使用される Java ベースのライブラリ) は、Apache Software Foundation により開発されたものです。ライセンスは www.apache.org/licenses/LICENSE-2.0.txt にあります。• Castor は、XML から Java プログラミング言語のオブジェクトへ、および Java からデータベースへデータを移動するためのオープン ソースのデータ バインディング フレームワークで、Apache 2.0 スタイルのライセンスの下で ExoLab Group によって公開されています。ライセンスは、http://www.castor.org/license.html から入手できます。• Xalanは、XSLT XML 変換言語と XPath XML 照会言語を実装した Apache Software Foundation のオープン ソース ソフトウェア ライブラリで、Apache ソフトウェア ライセンス バージョン 1.1 の下で公開されています。このライセンスは、http://xml.apache.org/xalan-j/#license1.1 から入手できます。• Apache Axis は各種 PGP 製品間の相互通信に使用されている SOAP (「Simple Object Access Protocol」) 実装であり、http://www.apache.org/licenses/LICENSE-2.0.txt にある Apache ライセンスの下で提供されています。• mx4j は、Java Management Extensions (JMX) のオープン ソース実装で、Apache スタイルのライセンスの下で公開されています。ライセンスは、http://mx4j.sourceforge.net/docs/ch01s06.html から入手できます。• jpeglib バージョン 6a は、一部 Independent JPEG Group (http://www.ijg.org/) の著作物に基づいています。• libxslt は、GNOME プロジェクト用に開発された XML 変換用の XSLT C ライブラリで、MIT ライセンス (http://www.opensource.org/licenses/mit-license.html) の下で配布されています。• PCRE バージョン 4.5 は、Perl の正規表現コンパイラで、ケンブリッジ大学によって著作権保護および配布されています。ゥ1997-2006. ライセンス契約書は http://www.pcre.org/license.txt にあります。• BIND 平衡バイナリ ツリー ライブラリおよびドメイン名システム (DNS: Domain Name System) プロトコルは、Internet Systems Consortium, Inc. (http://www.isc.org) によって開発および著作権保護されています。 デーモン実装の Free BSD は、The FreeBSD Project ゥ 1994-2006 によって開発されました。• Simple Network Management Protocol ライブラリは、 Carnegie Mellon University ゥ 1989、1991、1992、Networks Associates Technology, Inc, ゥ 2001- 2003、Cambridge Broadband Ltd. ゥ 2001- 2003、Sun Microsystems, Inc.、ゥ 2003、Sparta, Inc, ゥ 2003-2006、Cisco, Inc および Information Network Center of Beijing University of Posts and Telecommunications、ゥ 2004 によって開発および著作権保護されています。これらのライセンス契約書は http://net-snmp.sourceforge.net/about/license.html にあります。• NTP バージョン 4.2 は、Network Time Protocol によって開発され、著作権はさまざまな貢献者に帰属しています。• Lightweight Directory Access Protocol は、OpenLDAP Foundation によって開発および著作権保護されています。OpenLDAP は Lightweight Directory Access Protocol (LDAP) のオープン ソース実装です。Copyright ゥ 1999-2003, The OpenLDAP Foundation.ライセンス契約書は http://www.openldap.org/software/release/license.html にあります。• Secure Shell の OpenSSH バージョン 4.2.1 は、OpenBSD Project によって開発されたもので、BSD スタイルのライセンスの下で OpenBSD Project によって公開されています。ライセンスは、http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/LICENCE?rev=HEAD から入手できます。• PC/SC Lite は、PC/SC のフリー実装です。スマートカード統合に関する仕様は BSD ライセンスの下で公開されています。• Postfix は、オープン ソースのメール転送エージェント (MTA) で、IBM Public License 1.0 の下で公開されています。ライセンスは、http://www.opensource.org/licenses/ibmpl.php から入手できます。• PostgreSQL は、フリー ソフトウェアのオブジェクト リレーショナル データベース管理システムで、BSD スタイルのライセンスの下で公開されています。ライセンスは、http://www.postgresql.org/about/licence から入手できます。• PostgreSQL JDBC ドライバーは、標準の、データベースに依存しない Java コードを使用して PostgreSQL データベースに接続するために使用されるフリーの Java プログラムです。(c) 1997-2005、PostgreSQL Global Development Group. BSD スタイルのライセンスの下で公開されており、ライセンスは、http://jdbc.postgresql.org/license.html から入手できます。• PostgreSQL Regular Expression Library は、オブジェクト リレーショナル データベース システムのフリー ソフトウェアで、BSD スタイルのライセンスの下で公開されています。ライセンスは、http://www.postgresql.org/about/licence から入手できます。• 21.vixie-cron は、cron の Vixie バージョンで、スケジュールされた時刻に特定のプログラムを実行する標準の UNIX デーモンです。Copyright ゥ 1993, 1994 by Paul Vixie. 許可を得て使用されています。• JacORB は、Java で記述されたプロセスとデータ層間の通信を容易にするために使用される Java オブジェクトです。GNU ライブラリ一般公衆利用許諾契約書 (GNU LGPL: GNU Library General Public License) の下で公開されているオープン ソースで、ライセンスは http://www.jacorb.org/lgpl.html から入手できます。Copyright ゥ 2006 The JacORB Project. • TAO (The ACE ORB) は、CORBA Object Request Broker (ORB) のオープン ソース実装で、C/C++ で記述されたプロセスとデータ層間の通信に使用されます。著作権は Douglas C. Schmidt およびワシントン大学、カリフォルニア大学アーバイン校、バンダービルト大学の同氏の研究グループに帰属します。Copyright (c) 19932006 by Douglas C. Schmidt and his research group at Washington University, University of California, Irvine, and Vanderbilt University.オープン ソースのソフトウェア ライセンスは http://www.cs.wustl.edu/~schmidt/ACE-copying.html から入手できます。• libcURL は、共通ネットワーク サービスによってファイルをダウンロードするためのライブラリです。MIT/X 派生ライセンスの下で提供されるオープン ソース ソフトウェアで、ライセンスは http://curl.haxx.se/docs/copyright.html から入手できます。Copyright (c) 1996 - 2007, Daniel Stenberg.• libuuid は、固有識別子を生成するために使用されるライブラリで、BSD スタイルのライセンスの下で公開されています。ライセンスは、http://thunk.org/hg/e2fsprogs/?file/fe55db3e508c/lib/uuid/COPYING から入手できます。Copyright (C) 1996, 1997 Theodore Ts'o.• libpopt は、コマンド ラインのオプションを解析するライブラリで、GNU フリー文書利用許諾契約書 (GNU Free Documentation License) の条件の下で公開されています。ライセンスは、http://directory.fsf.org/libs/COPYING.DOC から入手できます。Copyright ゥ 2000-2003 Free Software Foundation, Inc.• gSOAP は、マザーボードに搭載されている Intel Corporation AMT チップセットと通信するための Windows クライアント用開発ツールで、GNU 公開ライセンスの下で配布されています。ライセンスは、http://www.cs.fsu.edu/~engelen/soaplicense.html から入手できます。• Windows Template Library (WRT) はユーザー インターフェイス コンポーネントの開発に使用するもので、http://opensource.org/licenses/cpl1.0.php にある Common Public License v1.0 の下で配布されています。• Perl Kit は、あらゆる保守機能の自動化を可能にする、いくつかの独立されたユーティリティを提供するもので、http://www.perl.com/pub/a/language/misc/Art istic.html にある Perl Artistic License の下で提供されています。• rEFIt - libeg は 画像レンダリング、テキスト レンダリング、アルファ ブレンディングを含む EFI のグラフィカル インターフェイス ライブラリを提供するもので、http://refit.svn.sourceforge.net/viewvc/*checkout*/refit/trunk/refit/LICENSE.txt?revision=288 にあるライセンスの下で配布されています。Copyright (c) 2006 Christoph Pfisterer. All rights reserved. • Java Radius Client は、Radius プロトコルを使って PGP Universal Web Messenger ユーザーを認証するために使用されるもので、http://www.gnu.org/licenses/lgpl.html にある劣等一般公衆利用許諾契約書 (LGPL) の下で配布されています。 輸出に関する情報 このソフトウェアおよび文書の輸出は、特定の製品および技術データの輸出と再輸出を制限する米国商務省輸出管理局によって公布される規則および 規制の対象となる場合があります。 制限事項 この文書と共に提供されるソフトウェアは、ソフトウェアのライセンス使用許諾契約書の条件に基づき、お客様個人による使用が許可されています。 この文書に記載されている情報は予告なしに変更されることがあります。PGP Corporation は、この文書に記載されている情報がお客様の要件を満たすこと、または情報に誤りがないことを保証するものではありません。これらの情報には技 術的に不正確な記述や誤植が含まれている場合があります。これらの情報に変更があった場合は、PGP Corporation より入手可能な改訂版に随時組み込まれます。 4 Contents 法的通知 3 PGP Desktop 10.0 for Windows について 1 PGP Desktop for Windows バージョン 10.0 の新機能 PGP Desktop 10.0 の新機能 このユーザー ガイドの使い方 「管理対象ユーザー」と「管理されていないユーザー」 このユーザー ガイドで使用されている規約 このユーザー ガイドの対象読者 PGP Desktop のライセンスについて PGP Desktop for Windows のライセンス取得 ライセンスの詳細の確認 ライセンスの有効期限が切れた場合 サポート情報 製品情報の入手 連絡先情報 PGP Desktop の基本 2 2 5 5 6 7 7 8 8 11 12 12 12 15 PGP Desktop の用語 PGP 製品コンポーネント PGP Desktop で使用される用語 従来の暗号技術と公開鍵暗号化方式 暗号技術について PGP Desktop を使用し始める前に 15 15 17 19 20 20 PGP Desktop のインストール 25 インストールの前に システム要件 Citrix およびターミナル サービスとの互換性 PGP Desktop のインストールと構成 ソフトウェアのインストール ソフトウェアのアップグレード PGP Desktop のライセンス取得 セットアップアシスタントの実行 i 25 25 26 27 27 27 30 30 PGP Desktop for Windows Contents PGP Desktop のアンインストール PGP Desktop のインストール環境を別のコンピューターに移動 PGP Desktop のユーザー インターフェイス PGP Desktop 機能へのアクセス PGP Desktop のメイン画面 PGP トレイ アイコンの使用 Windows エクスプローラのショートカット メニューの使用 [スタート] メニューの使用 PGP Desktop 通知機能の警告 メッセージング用 PGP Desktop 通知機能 ディスク機能用 PGP Desktop 通知機能 通知機能を有効または無効にする PGP ログの表示 PGP 鍵の使用 31 32 33 33 34 36 38 40 40 41 44 45 46 49 鍵の表示 鍵ペアの作成 パスワードとパスフレーズ 秘密鍵の保護 鍵および鍵リングの保護 秘密鍵のバックアップ 鍵を紛失した場合 公開鍵の配布 鍵サーバーへの公開鍵のアップロード 公開鍵の電子メール メッセージへの添付 公開鍵のファイルへのエクスポート スマート カードから直接別のユーザーの鍵リングへのコピー 他のユーザーの公開鍵の取得 鍵サーバーからの取得 電子メール メッセージからの公開鍵の取得 鍵サーバーの使用 マスター鍵の使い方 マスター鍵リストへの鍵の追加 マスター鍵リストからの鍵の削除 PGP 鍵の管理 49 50 53 54 55 56 56 57 57 59 59 60 60 61 62 62 64 65 65 67 鍵のプロパティの確認と設定 写真 ID の使用 鍵のユーザー名と電子メール アドレスの管理 公開鍵と X.509 公開鍵証明書のインポート 証明書インポート アシスタントの使用 68 69 70 72 72 ii PGP Desktop for Windows Contents パスフレーズの変更 鍵、ユーザー ID、署名の削除 公開鍵の有効化と無効化 公開鍵の検証 公開鍵の署名 公開鍵からの署名の破棄 鍵検証のための信頼度指定 サブ鍵の使用 別のサブ鍵の使用 サブ鍵の表示 新しいサブ鍵の作成 サブ鍵の使用方法の指定 サブ鍵の破棄 サブ鍵の削除 予備復号化鍵の使用 鍵ペアへの予備復号化鍵の追加 予備復号化鍵の更新 予備復号化鍵の削除 失効権限機能の使用 失効権限者の指定 鍵の破棄 鍵の分割と再結合 分割鍵の作成 分割鍵の再結合 鍵またはパスフレーズを失った場合 PGP Universal Server による鍵の復元 鍵の復元データの作成 鍵またはパスフレーズを失った場合に自分の鍵を復元 鍵の保護 電子メールをセキュアにする 74 75 76 77 78 80 81 82 83 83 84 85 86 87 87 87 88 88 89 89 90 91 91 92 95 95 96 98 100 101 PGP Desktop で電子メールをセキュアにする方法 受信メッセージ 送信メッセージ Microsoft Outlook を使用した MAPI 電子メールの送信 Microsoft Outlook で署名ボタンと暗号化ボタンを使用 オフライン ポリシーの使用 サービスとポリシー サービスとポリシーの表示 新規メッセージング サービスの作成 メッセージング サービスのプロパティの編集 サービスを無効または有効にする サービスの削除 複数のサービス iii 101 103 104 105 106 108 109 111 112 117 117 118 118 PGP Desktop for Windows Contents PGP メッセージング サービスのトラブルシューティング 新規セキュリティ ポリシーの作成 ポリシーでの正規表現 セキュリティ ポリシーの情報と例 セキュリティ ポリシーのリストの使用 セキュリティ ポリシーの編集 メーリング リスト ポリシーの編集 セキュリティ ポリシーの削除 リスト内でのポリシーの順序変更 PGP Desktop と SSL 鍵モード 鍵モードの確認 鍵モードの変更 PGP ログの表示 インスタント メッセージングをセキュアにする PGP Desktop のインスタント メッセージングとの互換性について インスタント メッセージング クライアントとの互換性 暗号化に使用される鍵について IM セッションの暗号化 PGP Viewer を使用した電子メールの表示 119 121 126 128 133 134 135 140 140 141 143 145 145 147 149 149 151 151 152 153 PGP Viewer の概要 互換性のある電子メール クライアント 暗号化された電子メール メッセージまたはファイルを開く 電子メール メッセージの受信箱へのコピー 電子メールのエクスポート 追加のオプションの指定 PGP Viewer でオプションを指定 PGP Viewer のセキュリティ機能 153 155 155 157 158 158 158 159 PGP ディスク全体暗号化によるディスクの保護 161 PGP ディスク全体暗号化について PGP WDE と PGP 仮想ディスクの違い PGP Whole Disk Encryption のライセンス ライセンスの有効期限 ディスクを暗号化するための準備 サポートされているディスクの種類 サポートされているキーボード 暗号化前のディスク状態の確認 暗号化時間の計算 暗号化処理中の電源供給 162 164 164 165 165 166 168 170 171 172 iv PGP Desktop for Windows Contents ソフトウェアの互換性を確認するパイロット テストの実行 173 ディスクの認証方法の選択 173 パスフレーズとシングル サインオン認証 174 公開鍵認証 174 トークンを使用した認証 175 USB フラッシュ デバイスを使用した 2 要素認証 175 トラステッド プラットフォーム モジュール (TPM) 認証 176 暗号化オプションの設定 177 パーティション レベルの暗号化 178 認証に使用するスマート カードまたはトークンの準備 179 PGP Whole Disk Encryption オプションの使用 182 ディスクまたはパーティションの暗号化 184 PGP WDE のパスフレーズでサポートされる文字 185 ディスクの暗号化 186 暗号化中のディスク エラーの検出 191 PGP WDE で暗号化されたディスクの使用 191 PGP BootGuard 画面での認証 192 キーボード配列の選択 196 PGP WDE のシングル サインオンの使用 198 シングル サインオンを使用するための必要条件 199 シングル サインオンを使用するディスクの暗号化 199 複数ユーザーとシングル サインオン 200 シングル サインオンによるログイン 200 シングル サインオンのパスフレーズの変更 200 Windows のログイン ダイアログ ボックスの表示 201 ディスクのセキュリティの維持 202 ディスクまたはパーティションの情報の取得 202 バイパス機能の使用 203 暗号化されたディスクまたはパーティションへのユーザーの追加 204 暗号化されたディスクまたはパーティションからのユーザーの削除 205 ユーザー パスフレーズの変更 205 暗号化されたディスクまたはパーティションの再暗号化 207 パスフレーズを忘れた場合 208 バックアップとリストア 210 暗号化されたディスクまたはパーティションからの PGP Desktop のアンインストール210 リムーバブル ディスクの使用 211 リムーバブル ディスクの暗号化 211 読み取り専用にロックされたディスクの使用 212 他のシステムへのリムーバブル ディスクの移動 213 暗号化されたリムーバブル ディスクの再フォーマット 214 PGP Universal Server で管理された環境での PGP WDE の使用 214 PGP ディスク全体暗号化の管理 215 リカバリ トークンの作成 216 回復トークンの使用 217 v PGP Desktop for Windows Contents 暗号化されたドライブからのデータのリカバリ リカバリ ディスクの作成と使用 PGP WDE で暗号化されたディスクの復号化 PGP Desktop によるセキュリティ確保のための特別な対策 パスフレーズの消去 仮想メモリの保護 休止モードとスタンバイ モード メモリ静的イオン マイグレーションの防止 その他のセキュリティ対策 Windows プレインストール環境の使用 PGP Whole Disk Encryption の IBM Lenovo ThinkPad システムでの使用 Microsoft Windows XP 回復コンソールでの PGP Whole Disk Encryption の使用 PGP 仮想ディスクの使用 218 218 220 222 222 222 223 223 223 224 225 226 229 PGP 仮想ディスクについて PGP 仮想ディスクの新規作成 PGP 仮想ディスクのプロパティの表示 PGP 仮想ディスクの検索 マウント済み PGP 仮想ディスクの使用 PGP 仮想ディスクのマウント PGP 仮想ディスクのマウント解除 PGP 仮想ディスクの圧縮 PGP 仮想ディスクの再暗号化 代替ユーザーの使用 PGP 仮想ディスクへの代替ユーザー アカウントの追加 PGP 仮想ディスクからの代替ユーザー アカウントの削除 代替ユーザー アカウントの無効化および有効化 読み取り/書き込みおよび読み取り専用ステータスの変更 代替ユーザーへの管理者ステータスの付与 ユーザー パスフレーズの変更 PGP 仮想ディスクの削除 PGP 仮想ディスクの管理 リモート サーバー上の PGP 仮想ディスク ボリュームのマウント PGP 仮想ディスク ボリュームのバックアップ PGP 仮想ディスクの交換 PGP 仮想ディスクの暗号化アルゴリズム PGP 仮想ディスクによる特別なセキュリティ措置 パスフレーズの消去 仮想メモリの保護 休止状態 メモリ静的イオン マイグレーションの防止 その他のセキュリティ対策 vi 230 231 235 236 236 237 237 238 239 240 240 241 242 243 243 244 245 245 246 246 247 248 249 249 249 249 250 250 PGP Desktop for Windows Contents PGP Portable でのモバイル データの作成とアクセス PGP Portable ディスクの作成 フォルダーから PGP Portable ディスクを作成 リムーバブル USB デバイスから PGP Portable ディスクを作成 読み取り/書き込みまたは読み取り専用の PGP Portable ディスクの作成 PGP Portable ディスクのデータへのアクセス PGP Portable ディスクのパスフレーズの変更 PGP Portable ディスクのマウント解除 PGP NetShare の使用 253 253 254 255 256 257 258 259 261 PGP NetShare について 262 PGP NetShare ロール 264 PGP NetShare のライセンス取得 265 承認されたユーザーの鍵 266 PGP NetShare 管理者 (所有者) の設定 267 "ブラックリスト" または "ホワイトリスト" に記載されたファイル、フォルダー、およびアプリケーション 267 「ブラックリスト」のファイルとその他の保護できないファイル 267 PGP Universal Server によって指定される「ブラックリストに記載された」フォルダーおよび「ホワイトリストに 記載された」フォルダー 268 アプリケーション ベースの暗号化リストと復号化バイパス リスト 269 保護フォルダーの使用 270 保護されたフォルダーの場所の選択 271 新規 PGP NetShare 保護フォルダーの作成 273 新規 PGP NetShare 保護フォルダー内のファイルの使用 276 保護フォルダーのロック解除 277 保護フォルダー内のファイルの確認 278 保護フォルダーへのサブフォルダーの追加 279 フォルダー ステータスの確認 279 保護フォルダーの他の場所へのコピー 280 PGP NetShare ユーザーの使用 281 PGP NetShare ユーザーの追加 282 ユーザーの役割の変更 283 保護フォルダーからのユーザーの削除 284 PGP NetShare アクセス リストのインポート 285 Active Directory グループの使用 286 グループを利用するための PGP NetShare の設定 286 グループの更新 287 vii PGP Desktop for Windows Contents PGP NetShare 保護フォルダーの復号化 フォルダーの再暗号化 パスフレーズのクリア 保護フォルダーの外にあるファイルの保護 PGP NetShare で保護されたファイルのバックアップ ショートカット メニューを使用した PGP NetShare 機能へのアクセス PGP Universal Server によって管理された環境にある PGP NetShare 保護されたファイルまたはフォルダーのプロパティへのアクセス PGP Desktop の PGP NetShare メニューの使用 [ファイル] メニュー [編集] メニュー [NetShare] メニュー PGP Zip の使用 287 288 289 290 292 293 294 295 296 296 296 297 299 概要 PGP Zip アーカイブの作成 受信者鍵による暗号化 パスフレーズを使用した暗号化 PGP 自己復号化アーカイブ (SDA) の作成 署名のみのアーカイブの作成 PGP Zip アーカイブの開封 PGP Zip SDA の開封 PGP Zip アーカイブの編集 署名済み PGP Zip アーカイブの検証 PGP シュレッダを使用したファイルの細断処理 PGP シュレッダによるファイルおよびフォルダーの恒久的な削除 デスクトップの [PGP シュレッダ] アイコンを使用したファイルの細断処理 PGP Desktop 内のファイルの細断処理 Windows エクスプローラでのファイルの細断処理 PGP 空き領域細断処理アシスタントの使用 空き領域の細断処理のスケジュール設定 299 301 303 306 308 310 312 313 314 316 317 317 319 319 320 320 322 スマート カードおよびトークンへの鍵の保存 325 スマート カードおよびトークンについて 互換性のあるスマート カード スマート カードの認識 326 327 329 viii PGP Desktop for Windows Contents スマート カードのプロパティの確認 スマート カード上での PGP 鍵ペアの生成 スマート カードから鍵リングへの公開鍵のコピー 鍵リングからスマート カードへの鍵ペアのコピー スマート カードからの鍵の抹消 複数のスマート カードの使用 トークンの特別使用 Aladdin eToken の設定 PGP Desktop オプションの設定 330 330 332 333 335 336 337 337 339 [PGP オプション] ダイアログ ボックスへのアクセス 全般オプション 鍵オプション マスター鍵オプション メッセージング オプション プロキシ オプション PGP NetShare オプション ディスク オプション 通知機能オプション 詳細オプション パスワードおよびパスフレーズの使用 341 342 344 348 350 353 357 359 362 364 367 パスワードまたはパスフレーズの使用の選択 パスフレーズの品質バー 強力なパスフレーズの作成 パスフレーズを忘れた場合 368 368 369 372 PGP Universal Server を介しての PGP Desktop の使い方 概要 PGP 管理者の方へ PGP Universal Server への手動バインド 373 374 375 376 PGP Desktop と IBM Lotus Notes の併用 377 Lotus Notes および MAPI の互換性 PGP Desktop と Lotus Notes の併用 Lotus Notes 組織内の受信者への電子メールの送信 Lotus Notes 組織外の受信者への電子メールの送信 PGP Universal Server へのバインド プリバインド 手動バインド ix 377 378 378 379 379 380 380 PGP Desktop for Windows Contents Notes アドレス Notes クライアントの設定 Notes.ini 設定ファイル Lotus Notes ネイティブ暗号化の使用 381 381 382 382 Index 385 x 1 PGP Desktop 10.0 for Windows について PGP Desktop は、暗号化を使用して不正アクセスからデータを保護するセキュリティ ツールです。 PGP Desktop は、電子メールやインスタント メッセージング (IM) でデータを送信する際に、データを保護します。また、ハード ドライブ全体またはハード ドライブのパーティションを (Windows システム上で) 暗号化してすべてのデータを常時保護したり、仮想ディスクを使用してハード ドライブの一部を暗号化し、機密データを安全に保存したりすることもできま す。これにより、ネットワークを介して他のユーザーとファイルやフォルダー を安全に共有できます。ファイルやフォルダーを暗号化された圧縮パッケージ に入れると、パッケージの配布やバックアップが簡単に行えます。さらに、PG P Desktop を使用して、他人が機密ファイルを取得できないように細断処理をして安全に 削除したり、ハード ドライブの空きスペースを細断処理して保護されていないファイルの残骸が残 らないようにもできます。 PGP Desktop を使用して PGP の鍵ペアを作成し、個人用の鍵ペアと他のユーザーの公開鍵の両方を管理でき ます。 PGP Desktop の機能を最大限に活用するために、「PGP Desktop の用語 『ページ : 15』」を理解しておいてください。また、「共通鍵暗号方式と公開鍵暗号方式 『ページ : 19の"従来の暗号技術と公開鍵暗号化方式"参照先 : 』」に記載された共通鍵暗号方式と公開鍵暗号方式についても理解しておく必 要があります。 この章の内容 PGP Desktop for Windows バージョン 10.0 の新機能 ............................. 2 このユーザー ガイドの使い方 ................................................................... 5 このユーザー ガイドの対象読者 ............................................................... 7 PGP Desktop のライセンスについて ........................................................ 7 サポート情報 ........................................................................................... 12 1 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGP Desktop for Windows バージョン 10.0 の新機能 PGP Corporation の実証済みテクノロジーに基づく PGP Desktop 10.0 for Windows には、多数の改善点に加え、次の新機能および解決策が追加されています。 PGP Desktop 10.0 の新機能 全般 新しいオペレーティング システムへの対応。PGP Desktop for Windows は Windows 7 にインストールできるようになりました。 新しくローカライズされたバージョン : PGP Desktop はローカライズされており、現在、フランス語 (フランス) とスぺイン語 (ラテン アメリカ) でインストールできます。 新しいスマート カードのサポート。PGP Desktop for Windows のプリブートおよびポストブートの両方 : Axalto Cyberflex Access 32K V2 スマート カード Giesecke および Devrient Sm@rtCafe Expert 3.2 個人識別情報検証カード Oberthur ID-One Cosmo V5.2D 個人識別情報検証カード SafeNet iKey 2032 USB トークン T-Systems Telesec NetKey 3.0 および TCOS 3.0 IEI カード デザインが変更されたインターフェイス。PGP Desktop for Windows のメイン ユーザー アプリケーション ウィンドウのデザインが変更されました。 PGP Universal Server の接続性 : PGP Universal Server への接続が VPN 接続などの断続的な接続に依存している場合の PGP Desktop の復元性が向上しました。 PGP 鍵 強化されたサーバー鍵モード (SKM) 鍵 : SKM 鍵が、鍵リングの鍵全体に含まれました。さらに、オフラインでの MAPI 電子メール メッセージの復号化に加え、ディスクやファイルの暗号化と復号化などの 暗号化機能にも SKM 鍵が使用できるようになりました。 2 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 鍵リングの場所。PGP Desktop for Windows では、鍵リングの場所を指定するために環境変数を使用できます。 鍵使用フラグ : あるサブ鍵を PGP WDE 専用に使用して、別のサブ鍵をその他のすべての PGP Desktop 機能に使用できるように、各サブ鍵が独自の鍵使用方法プロパティを持て るようになりました。ある鍵をディスク暗号化専用に使用したいが、暗号 化された電子メールは受け取りたくないという場合には、鍵の使用方法を 設定します。 Universal Server プロトコル (USP) の鍵検索 : PGP Universal サービス プロトコル (USP) は、標準のHTTP/HTTPS 上で動作する SOAP プロトコル オペレーティングシステムです。これがデフォルトの鍵検索メカニズムに なりました。PGP Universal Server で管理された環境では、すべての鍵検索要求、および PGP Universal Server と PGP Desktop との間のすべての通信に PGP USP が使用されます。 PGP メッセージング PGP Viewer : PGP Viewer を使用して、レガシ IMAP/POP/SMTP 電子メール メッセージを暗号化および表示します。 Lotus Notes。PGP Desktop が設定され、受信者が内部 Notes ユーザーである場合に、PGP Desktop で Lotus Notes ネイティブ暗号化を使用して電子メール メッセージを暗号化できるようになりました。 Lotus Notes。PGP Desktop は、Lotus Notes RTF 形式にフォーマットされた電子メール メッセージを PGP/MIME、S/MIME、PGP パーティション フォーマットを使用して暗号化できるようになりました。 Lotus Notes。メッセージの PGP コメントで日時スタンプに地域設定が可能になりました。 Microsoft Outlook ボタンの追加。ボタンを使用して、手動で暗号化またはデジタル署名を Outlook 電子メールに追加することができます。この新機能は署名の意思を示すこ とを求めるデジタル署名法に準拠します。 オフライン ポリシーの強化 : 管理された環境では、ユーザーが PGP Universal Server に接続されておらずオフラインになっている場合や、サーバー自体がオフ ラインの場合にも、電子メール ポリシーが適用されるようになりました。 3 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGP Portable スタンドアロンのオプションとして利用できた PGP Portable が PGP Desktop に含まれるようになりました。PGP Portable ディスクを Windows システム上で作成できます。この機能は別のライセンスが必要です。 PGP Whole Disk Encryption 追加されたスマート カードの互換性。PGP Whole Disk Encryption for Windows でプリブート認証に追加された新しいカードには、Axalto Cyberflex Access 32K V2、、Marx CrypToken USB トークン、SafeNet iKey 2032 USB トークン、T-Systems T-Telesec NetKey スマート カードが含まれます。 個人識別検証 (PIV) カードのサポート。PGP Whole Disk Encryption for Windows では、Giesecke および Devrient Sm@rtCafe Expert 3.2 個人識別情報検証カード、Oberthur ID-One Cosmo V5.2D 個人識別情報検証カードのサポートが追加されました。 追加されたキーボードの互換性 (Windows)。合計 50 の言語のキーボードを PGP BootGuard のログインで使用できるようになりました。互換性のあるキーボードのリ ストについては、『PGP Desktop for Windows ユーザー ガイド』またはオンライン ヘルプを参照してください。 Linux での完全なディスク暗号化のサポート : PGP WDE for Linux では、Ubuntu と Red Hat において、プリブート認証付きの完全なディスク暗号化が行えます。詳細 については、「PGP Whole Disk Encryption for Linux コマンド ライン ガイド」を参照してください。 ローカル自己修復。PGP Desktop for Windows では、パスフレーズを忘れた場合に PGP BootGuard 画面から暗号化されたドライブにアクセスする方法が提供されるようにな りました。設定されている場合、管理者に連絡する必要はありません。 複数ユーザーの機能強化。複数のユーザーがコンピューターのグループに アクセスする環境では、PGP Universal Server 管理者は PGP WDE Admin パスワードを指定できます。PGP Desktop for Windows システムの PGP BootGuard 画面でこのパスワードを入力すると、Windows パスフレーズを入力して、ディスクを復号化するように指示が表示されま す。 暗号化の強制の強化 : PGP Universal Server 管理者が、すべてのディスクで暗号化を必須とするようにポリシーを変更 した場合、次にユーザーのシステムにポリシーがダウンロードされたとき に PGP WDE アシスタントが表示され、ディスクの暗号化を開始できます。 4 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 追加された PGP BootGuard のトークンのサポート。Marx CrypToken USB トークンが PGP BootGuard for PGP Desktop for Windows で使用できるようになりました。 拡張 ASCII 文字のサポート : PGP WDE ユーザーを作成するときに、拡張 ASCII 文字が使用できるようになりました。 漢字の文字。漢字の文字が PGP BootGuard 画面で正しく表示されるようになりました。 Windows Server オペレーティング システム。PGP WDE が Windows Server オペレーティング システム (Windows Server 2003 と Windows Server 2008) にインストールできるようになりました。Windows Server システムで PGP WDE を使用する場合の追加システム要件とベストプラクティスについては、「P GP ナレッジベース記事 1737 『http://support.pgp.com/?faq=1737』」を参照してください。 このユーザー ガイドの使い方 このユーザー ガイドでは、PGP Desktop 内のコンポーネントの構成および使用方法について説明します。ユーザー ガイドの各章では、PGP Desktop のコンポーネントを 1 つだけ取り上げて重点的に説明します。 「管理対象ユーザー」と「管理されていないユーザー」 PGP Universal Server を使用して、PGP Desktop のコンポーネントが使用するポリシーと設定を制御できます。これは、PGP ソフトウェアを使用する企業でよく行われます。この構成の PGP Desktop ユーザーは、管理対象ユーザーと呼ばれます。PGP Desktop ソフトウェアで利用できる設定やポリシーが PGP 管理者によって事前設定され、PGP Universal Server を使用して管理されるためです。ユーザーが管理環境に属している場合は、会 社が特定の使用条件を導入していると考えられます。たとえば、管理対象ユー ザーは、プレーン テキストの電子メールの送信を許可されたり、禁止されたりします。また、PG P ディスク全体暗号化でディスクを暗号化することを要求される場合もあります 。 PGP Universal Server の管理下にないユーザーは、管理されていないユーザーまたはスタンドアロン ユーザーと呼ばれます。 5 PGP Desktop 10.0 for Windows について PGP Desktop for Windows このドキュメントでは、両方の状況について PGP Desktop の動作の仕方を説明します。ただし、管理対象ユーザーは製品使用時に、この ドキュメントで説明する設定の一部を使用環境で利用できないことがあります 。詳細については、「PGP Universal Server を介しての PGP Desktop の使い方 『ページ : 373』」を参照してください。 メモ : PGP Universal Server 管理環境についての記載は、PGP Virtual Disk 製品や PGP Virtual Disk Professional 製品には当てはまりません。 PGP Universal Server 管理者によってカスタマイズされる機能 PGP Universal Server によって管理された環境の「管理対象」ユーザーとして PGP Desktop を使用している場合は、管理者が指定できる設定がいくつかあります。これら の設定によって、PGP Desktop での機能の表示方法が変わる場合があります。 無効な機能。PGP Universal Server 管理者は、特定の機能を有効にしたり無効にしたりできます。たとえば、 管理者は PGP NetShare で保護されたフォルダーを作成する機能を無効にする場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に 対するメニューが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトの インストール環境を示しています。管理者が使用可能な機能をカスタマイ ズしている場合は、PGP Desktop インターフェイスの外観が異なる場合があります。 カスタマイズされた BootGuard。 If you are using PGP Desktop in a PGP Universal Server-managed environment, Your PGP administrator may have customized the PGP Whole Disk Encryption BootGuard screen to include additional text or a custom image such as your organization's logo. The graphics included in this guide depict the default installation. Your actual login screen may look different if your administrator has customized the screen. このユーザー ガイドで使用されている規約 メモ、注意、および警告は、次のように使用されています。 メモ : メモは、付加情報でありながら重要性を持ちます。メモは製品の重要な側面 への注意を喚起します。メモを読んでおくと、読まない場合に比べて製品を 有効に利用できます。 6 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 注意 :注意は、データの喪失または軽微なセキュリティ侵害の可能性があることを 示します。注意は予防措置を講じないと問題が発生するおそれがある状況を 知らせるものです。注意事項には留意する必要があります。 警告 :警告は、著しいデータの喪失または重大なセキュリティ侵害のおそれがある ことを示します。警告は適切な措置を講じないと重大な問題が発生するおそ れがあることを示します。警告は特に重視する必要があります。 このユーザー ガイドの対象読者 このユーザー ガイドは、PGP Desktop for Windows ソフトウェアをデータ保護の目的に使用するすべてのユーザーを対象としてい ます。 メモ : 初めて暗号化に取り組むユーザーで、PGP Desktop の用語と概念の概要について学びたい場合は、(PGP Desktop のインストール時にコンピューター上にインストールされる) 『暗号技術の基礎』を参照してください。 PGP Desktop のライセンスについて PGP ソフトウェアでは、ライセンスを使用して、購入した機能を有効にしたりソフ トウェア有効期限を設定したりします。ユーザーのライセンスに応じて、PGP Desktop ファミリーで一部またはすべてのアプリケーションが使用可能になります。ラ イセンスを入力したら、手動またはオンラインで PGP Corporation にアクセスしてソフトウェアの承認を行う必要があります。 ライセンスには 3 つのタイプがあります。 評価版 :このタイプのライセンスは一般的に時間で区切られ、一部の PGP Desktop 機能を含んでいないこともあります。 サブスクリプション :このタイプのライセンスは一般的に 1 年間のサブスクリプション期間有効です。サブスクリプション期間中、PG P ソフトウェアの現行版とすべてのアップグレード、この期間中にリリース される更新版を受け取ります。 7 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 永久 :このタイプのライセンスは PGP Desktop を永久に使用することを許可します。毎年更新する必要のある年間ソフト ウェア保険ポリシーを追加することにより、すべてのアップグレードおよ び、ポリシー期間中にリリースされる更新版を受け取ります。 PGP Desktop for Windows のライセンス取得 PGP Desktop のライセンスを取得するには 次のいずれか 1 つを実行します。 管理対象ユーザーの場合、既にライセンスを受けた PGP Desktop のコピーを使用している可能性が高いので、「ライセンスの詳細の確認 『ページ : 8』」にある説明に従って、ライセンスの詳細を確認してください。質問に つきましては、PGP 管理者にお問い合わせください。 管理されていないユーザー、または PGP 管理者の場合は、「ライセンスの詳細の確認 『ページ : 8』」にある説明に従って、ライセンスの詳細を確認してください。PGP Desktop のコピーを承認する必要がある場合、「PGP Desktop for Windows の承認 『ページ : 9』」で記載される手順に従ってください。 ライセンスの詳細の確認 PGP Desktop ライセンスの詳細を確認するには、次の手順に従います。 1 システム トレイにある [PGP Desktop] アイコンをダブルクリックします。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイアログ ボックスが表示されます。 このダイアログ ボックスには、次の詳細項目が表示されます。 8 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 項目 説明 ライセンスの種類 ライセンスされた製品の名前。 ライセンス シート数 ライセンスで利用可能なシートの数。 ライセンスの有効期 限 ライセンスの期限が切れる日付。 製品情報 ライセンスによって有効になっているコンポ ーネント。製品名の上にマウス ポインタを置くと、その製品に関する情報や 、その製品の使用が許可されているかどうか が表示されます。 メモ : PGP Desktop のコピーを承認しない場合、利用できる機能は PGP Zip と鍵に限定されます。 PGP Desktop for Windows の承認 ライセンス番号を新しい番号に変更する必要がある場合、または構成時にライ センス承認処理をスキップした場合は、次の手順に従ってソフトウェアを承認 します。 メモ : 操作を続ける前に、インターネット接続が利用できることを確認してくださ い。インターネット接続が利用できない場合は、手動による承認を依頼する 必要があります。 始める前に PGP Desktop を購入したユーザー宛てに、受注確認の PDF ファイルが電子メールで送信されます。 1 この受注確認書に記載された名前、組織、ライセンス番号を書き留めてお いてください。これらの情報は、PDF ファイルの「重要なメモ」欄に記載されています。これらの情報は、ライ センスの承認処理で必要になります。 PGP Corporation の承認サーバーにアクセスして PGP Desktop を承認するには、PGP Desktop ソフトウェアを構成する際に、名前、組織、電子メール アドレス、およびライセンス番号を入力する必要があります。 メモ : ライセンス番号は、PGP 製品のダウンロード ページにも表示されます。 9 PGP Desktop 10.0 for Windows について PGP Desktop for Windows システム トレイにある [PGP Desktop] アイコンをダブルクリックします。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイアログ ボックスが表示されます。 3 [ライセンスの変更] をクリックします。[PGP ライセンス アシスタント] ダイアログ ボックスが表示されます。 4 PGP からの受注確認 PDF ファイルに記載されているとおりに、[名前] と [組織] に入力します。これらの情報は、PDF ファイルの「重要なメモ」欄に記載されています。PDF ファイルに「重要なメモ」の項がない場合は、最初の承認処理で名前と組 織が永久に設定されます。 5 製品のライセンス番号に関連付ける電子メール アドレスを入力します。 6 確認のために電子メール アドレスをもう一度入力します。 メモ : 以前に同じライセンス番号で承認したことがある場合は、前回と同じ名前 、組織、電子メール アドレスを入力してください。前回と異なる情報を入力すると承認できま せん。 7 [次へ] をクリックします。 8 次のいずれか 1 つを実行します。 与えられたフィールドに、28 桁のライセンス番号を入力します (例 : DEMO1-DEMO2-DEMO3-DEMO4-DEMO5-ABC)。 メモ : タイプミスを防ぎながら認証を簡単に行うため、ライセンス番号をコピー し、カーソルを最初の [ライセンス番号] フィールドに置いて貼り付けることをお勧めします。この操作によって、 6 個の [ライセンス番号] フィールドのすべてにライセンス番号が正しく入力されます。 30 日間有効な 1 回限りの評価版 PGP Desktop を使用するには、[30 日間有効な一回限りの評価版 PGP Desktop を使用する] を選択します。製品版ライセンスは、30 日間の評価期間が満了する前にいつでも購入し、登録できます。有効 な製品版ライセンスを登録しないと、30 日間の評価期限が満了した時点で、PGP Desktop はライセンスなしの機能に戻ります。 PGP Desktop の製品版ライセンスを購入するには、[ライセンス番号を今すぐ購入す る] を選択します。自動的に Web ブラウザが開き、オンラインの PGP ストアにアクセスします。 10 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGP Desktop をライセンスなしで使用するには、[ライセンスなしで使用する (大半の機能は無効になります)] を選択します。ライセンスなしで使用できる PGP Desktop の機能は、PGP Zip と PGP 鍵のみです。 9 [次へ] をクリックして承認します。 10 PGP が承認されると、ライセンスによって有効になった機能が表示されます。[ 次へ] をクリックした後、[完了] をクリックして処理を終了します。 ライセンス承認エラーの解決 ソフトウェアの承認中にエラー メッセージが表示された場合、この問題の解決方法はエラー メッセージに応じて異なります。PGP サポート ポータル 『https://support.pgp.com』の「HOWTO: License PGP Desktop 9.x」セクションを参照してください。 ライセンスの有効期限が切れた場合 PGP Desktop ライセンスの有効期限が切れると、PGP Desktop を起動したときに、PGP ライセンスの有効期限に関するメッセージが表示されます。ライセンスの期限 が切れると PGP Desktop の機能にどのような影響が及ぶかについては、この後のセクションを参照して ください。 PGP Desktop Email 電子メールが暗号化された状態で送信されなくなります。 PGP NetShare PGP NetShare で保護されたフォルダーにアクセスできますが、保護されたファイルが暗 号化されたままになります (暗号化されたファイルを表示するには、フォルダーとファイルを手動で復 号化してください)。 PGP NetShare で保護された新規フォルダーを作成できません。 保護されたフォルダーに移動されるファイルが暗号化されません。 PGP NetShare で保護されたフォルダーとの間で鍵の追加または削除を行えません。 11 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGP 仮想ディスク PGP 仮想ディスクには読み取り専用モードで引き続きアクセスできます。読み 取り専用モードでは、PGP 仮想ディスクからデータをコピーできますが、PGP 仮想ディスクにデータをコピーすることはできません。 PGP Whole Disk Encryption PGP Desktop で暗号化された固定ディスクは、ライセンスの有効期限が切れてから 90 日後に自動的に復号化されます。 サポート情報 その他のリソースについては、次のセクションを参照してください。 製品情報の入手 特に断りのない限り、オンライン ヘルプはインストールされており、PGP Desktop 製品の内部で利用できます。製品マニュアルに記載されていない応急対策情報 を収録した、リリース ノートも付属しています。Adobe Acrobat の PDF ファイルとして配布されるユーザー ガイドとクイック スタート ガイドは、PGP Corporation サポート ポータル 『https://support.pgp.com』 で利用できます。 PGP Desktop のリリース以降、製品に関する追加情報は、PGP サポート ナレッジベース 『https://support.pgp.com/?faq=589』内にあるオンラインのナレッジ ベースに掲載されます。 連絡先情報 テクニカル サポートへのお問い合わせ PGP サポート オプションと PGP 技術サポートへのお問い合わせ方法の詳細については、PGP Corporation サポート ホーム ページ 『https://support.pgp.com』を参照してください。 12 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGP サポートのナレッジベースにアクセスしたり、PGP テクニカル サポートにサポートを依頼したりするには、PGP サポート ポータル Web サイト 『https://support.pgp.com』を参照してください。サポート契約がない場合 でも PGP サポート ナレッジベースの一部にアクセスできますが、テクニカルサポートにサポ ートを依頼するには、有効なサポート契約が必要です。 PGP サポート フォーラムを利用するには、PGP サポート 『Error! Hyperlink reference not valid.』にアクセスしてください。PGP サポート フォーラムは、PGP Corporation 主催のユーザー コミュニティ向けフォーラムです。 カスタマー サービスへのお問い合わせ 注文、ダウンロード、およびライセンスに関するお問い合わせは、PGP Corporation カスタマー サービス 『https://pgp.custhelp.com/app/cshome』にアクセスしてください。 他の部門へのお問い合わせ その他の PGP Corporation へのお問い合わせについては、PGP 連絡先ページ 『http://www.pgp.com/about_pgp_corporation/contact/index.html 』にアクセスしてください。 PGP Corporation の会社概要については、PGP Web サイト 『http://www.pgp.com』にアクセスしてください。 13 2 PGP Desktop の基本 ここでは、PGP Desktop の用語について説明し、暗号化に関する高レベルの概念情報を提供します。 この章の内容 PGP Desktop の用語................................................................................ 15 従来の暗号技術と公開鍵暗号化方式 ....................................................... 19 PGP Desktop を使用し始める前に .......................................................... 20 PGP Desktop の用語 PGP Desktop の機能を最大限に活用するために、次のセクションの用語について理解してお いてください。 PGP 製品コンポーネント PGP Desktop とその機能について説明します。ライセンスの種類によっては、一部の機能が 有効になっていない場合があります。詳細については、「PGP Desktop ライセンスについて 『ページ : 8の"PGP Desktop for Windows のライセンス取得"参照先 : 』」を参照してください。 PGP Desktop : 暗号技術を使用して不正アクセスからデータを保護するソフトウェア ツール。PGP Desktop には、Mac OS X 版と Windows 版があります。 PGP メッセージング : PGP Desktop の機能の 1 つで、ユーザーが設定するポリシーを使用して、すべての電子メール クライアントを自動的かつ透過的にサポートします。PGP Desktop では、新しいプロキシ技術を使用してこれを実現しますが、従来のプ ラグイン技術も利用可能です。また PGP メッセージングでは、AIM や iChat など、数多くの IM クライアントも保護できます (ただし、双方のユーザーが PGP メッセージングを有効にする必要があります)。 15 PGP Desktop の基本 PGP Desktop for Windows PGP Whole Disk Encryption : PGP Desktop の機能の 1 つで、ブート レコードを含むハード ドライブ全体またはパーティション (Windows システムのみ) を暗号化することにより、その中のすべてのファイルを、使用してい ないときに保護します。PGP Whole Disk Encryption と PGP 仮想ディスク ボリュームは、同じコンピューター上で使用できます。Windows システムでは、ディスク全体を暗号化したドライブは、パスフレーズ で保護するか、またはセキュリティを高めるために USB トークン上の鍵ペアで保護できます。 PGP NetShare : PGP Desktop for Windows の機能の 1 つで、特定のユーザー間で、セキュアな方法で透過的にファイルやフ ォルダーを共有できるようにします。PGP NetShare では、保護対象として指定したフォルダーにファイルやフォルダーを 移動するだけで、それらを保護できます。 PGP 鍵 : PGP Desktop の機能の 1 つで、自分の PGP 鍵だけでなく、電子メールをセキュアな方法でやり取りする相手の公 開鍵も管理します。 PGP 仮想ディスク ボリューム : PGP Desktop の機能の 1 つで、ハード ドライブ領域の一部を暗号化された仮想ディスクとして使用できるよ うにします。PGP 仮想ディスク ボリュームは、鍵またはパフスレーズで保護できます。また、ボリュ ームに対して追加ユーザーを作成して、承認したユーザーがそのボリ ュームにアクセスできるようにすることもできます。PGP 仮想ディスク機能は、ラップトップで特に有用です。ラップトップの 紛失や盗難が発生した場合でも、PGP 仮想ディスクに保存された機密データは不正アクセスから完全に保護 されます。 PGP 完全削除 : PGP Desktop の機能の 1 つで、データをコンピューターから完全削除します。完全削除したフ ァイルは上書きされるので、ファイル復元用ソフトウェアを使用して も復元できません。 PGP Viewer : メール ストリーム外にあるメッセージを復号化、検証、表示するには、PGP Viewer を使用します。 PGP Zip : PGP Desktop の機能の 1 つで、転送やバックアップが簡単にできるように、ファイルやフォル ダーを単一の暗号化された圧縮パッケージに格納します。PGP Zip アーカイブは、PGP 鍵またはパスフレーズで暗号化できます。 16 PGP Desktop の基本 PGP Desktop for Windows PGP Universal Server : 社員の電子メールの送受信を自動的かつ透過的にセキュアにするための企 業向けツール。PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、メッセージング ポリシーやその他の設定は、その組織の PGP 管理者によって制御されます。 PGP Global Directory : PGP Corporation がホストしている無料の公開鍵サーバー。PGP Global Directory を使用すると、世界中の PGP 鍵にすばやく簡単にアクセスできるようになります。この鍵サーバー に採用されている次世代の鍵サーバー技術では、鍵に関連付けられた 電子メール アドレス宛てに (ユーザー本人が鍵を公開しようとしていることを確認するための) 検証メッセージが送信されたり 、ユーザーが自分の鍵を管理したりできます。PGP Global Directory を使用すると、セキュアなメッセージを送信する相手の有効な公開鍵 を見つけやすくなります。PGP Desktop は、PGP Global Directory と連動するように設計されています。 PGP Desktop で使用される用語 PGP Desktop を使用する前に、次の用語をよく理解しておいてください。 復号化 :暗号化された (スクランブルがかけられた) データを、元の有意味なデータに戻す処理。他のユーザーが公開鍵を使っ て暗号化したデータを受信した場合、秘密鍵を使って復号化する必要があ ります。 暗号化 :データにアクセスした未承認ユーザーがデータを一切加工できないよう、 データにスクランブルをかける処理。データはかなりの程度までスクラン ブルされるため無意味になります。 署名 :秘密鍵を使用して、データにデジタル署名を添付する処理。送信者が秘密 鍵によって署名したデータは、その送信者の公開鍵によってしか検証でき ません。したがって、署名されたデータを送信者の公開鍵で検証できれば 、送信者の秘密鍵でデータが署名されたことになり、その送信者がデータ の送信元として裏付けられます。 検証 :データのデジタル署名に送信者の秘密鍵が使用されたことを、その送信者 の公開鍵を使って証明する処理。秘密鍵によって署名されたデータは、対 応する公開鍵によってのみ検証できます。したがって、署名されたデータ を特定の公開鍵で実際に検証できれば、署名者が秘密鍵を保有していたと いう裏付けになります。 17 PGP Desktop の基本 PGP Desktop for Windows 鍵ペア :秘密鍵 1 つと公開鍵 1 つの組み合わせ。PGP「鍵」を作成すると、事実上鍵ペアを作成したこと になります。鍵ペアには、送信者の秘密鍵と公開鍵以外に送信者の名前と 電子メール アドレスが含まれるため、鍵ペアはデジタル ID と考えた方がわかりやすいでしょう。実社会において運転手の身分証明書 となる運転免許証やパスポートと同じように、デジタル界において送信者 の身元確認に使われるのが鍵ペアです。 秘密鍵 :他人に知られないように安全に保管しておく鍵。送信者の公開鍵を使用し て暗号化したデータは、その送信者の秘密鍵によってのみ復号化できます 。また、送信者の公開鍵で検証できるデジタル署名を作成するときも、送 信者の秘密鍵が必要です。 注意 : 秘密鍵やその鍵のパスフレーズはだれにも教えないでください。また、秘 密鍵は安全な場所に保管してください。 公開鍵 :他のユーザーに配布する鍵。公開鍵を配布したユーザーには、保護メッセ ージ (送信者の秘密鍵でしか復号化できないメッセージ) を自分に送信してもらったりデジタル署名の検証を代行してもらったりで きます。公開鍵は広く配布するためのものです。 公開鍵と秘密鍵は数学的に関連性がありますが、自分の公開鍵を持つだれ かがその対となっている秘密鍵を見抜くことはできません。 鍵サーバー :公開鍵の保管場所。一部の企業では、社員用公開の鍵サーバーを独自にホ ストすることによって、他の従業員が公開鍵を見つけて保護メッセージを 送信できるようにしています。PGP Global Directory 『https://keyserver.pgp.com』 は、PGP Corporation によってホストされている無料の公開鍵サーバーです。 スマート カードとトークン :スマート カードとトークンは、PGP 鍵ペアの作成先またはコピー先の媒体として使用できるポータブル デバイスです。スマート カードやトークン上に PGP 鍵ペアを作成しておくと、そのスマート カードやトークンを所有しない人は暗号化、署名、復号化または検証を許 可されないため、セキュリティを強化できます。自分のコンピューターに 未承認ユーザーがアクセスできる場合でも、PGP 鍵ペアはユーザーのスマート カードやトークンに保存されるので、暗号化データはセキュリティ上安全 です。PGP 鍵ペアをメイン システムから離れた場所で使用する場合、PGP 鍵ペアのバックアップを作成する場合、および公開鍵を配布する場合は、P GP 鍵ペアをスマート カードやトークンにコピーしておくのが得策です。PGP Desktop for Mac OS X での使用時、スマート カードとトークンは、鍵の格納場所としては使用できません 18 PGP Desktop の基本 PGP Desktop for Windows 従来の暗号技術と公開鍵暗号化方式 従来の暗号技術では、データの暗号化と復号化に同じパスフレーズを使用しま す。従来の暗号技術は、すばやく暗号化や復号化ができるので、送受信せずに 一定の場所でのみ利用するデータに適しています。ただし、暗号化データの送 信先が不特定ユーザー (特に、面識のない相手) である場合、従来の暗号技術は適していません。 公開鍵暗号化方式は、暗号化と復号化に鍵ペアと呼ばれる 2 つの鍵を使用します。これら 2 つの鍵のうち、1 つは秘密鍵と呼ばれます。名前のとおり、他人には教えてはならない、秘密の 鍵です。もう 1 つは公開鍵と呼ばれ、これも名前からわかるとおり、他人と共有できる鍵です 。実際は、共有することが前提になります。 公開鍵暗号化方式は、次のように動作します。たとえば、遠方に住んでいる従 兄弟と個人的なメッセージを交換するとき、自分も従兄弟も PGP Desktop をインストールしてあるとします。. まず、両者はそれぞれ自分の鍵ペアを作成します。鍵ペアとは、秘密鍵 1 つと公開鍵 1 つが対になったものです。秘密鍵は秘密の安全な場所に保管しておきます。公 開鍵は、鍵を配布するためのサーバーである公開鍵サーバー (PGP Global Directory など) に送信します (独自の公開鍵サーバーを所有している企業もあります。) 両者の公開鍵が鍵サーバーに登録されると、自分も従兄弟も鍵サーバーからお 互いの公開鍵を取得できるようになります (公開鍵を交換する方法は他にもあります。詳細については、「PGP 鍵の使用 『ページ : 49』」を参照してください)。公開鍵の交換が重要である理由は、従兄弟にしか 解読できない暗号化電子メール メッセージを送信する際には、従兄弟の公開鍵を使用してメッセージを暗号化 することになるためです。従兄弟の公開鍵を使って暗号化されたメッセージは 、従兄弟の秘密鍵でしか復号化できません。つまり、従兄弟の公開鍵を使って メッセージを暗号化すると、暗号化した自分自身でも、従兄弟の公開鍵を使っ てそのメッセージを復号化することはできないのです。公開鍵を使って暗号化 されたデータを復号化できるのは、それに対応する秘密鍵だけとなります。 公開鍵と秘密鍵は数学的に関連していますが、公開鍵だけからその対となって いる秘密鍵を見破ることはできません。 19 PGP Desktop の基本 PGP Desktop for Windows 暗号技術について 暗号技術の詳細については、PGP Desktop と共にインストールされている『暗号技術の基礎』を参照してください。この マニュアルは [スタート] メニューから開くことができます。 PGP Desktop を使用し始める前に PGP Desktop を使用し始めるには、次の手順で行うことを推奨します。 1 PGP Desktop をコンピューターにインストールします。 企業環境では、PGP 管理者がインストールに関する特別な指示を社員用に用意している場合や 、特定の設定を PGP インストーラーに事前に組み込んでいる場合があります。いずれの場合で も、製品のインストールが最初の手順となります。 2 セットアップ アシスタントを使用して作業を進めます。 PGP Desktop をインストールしてコンピューターを再起動すると、セットアップ アシスタントが表示されます。セットアップ アシスタントでは、次の作業を簡単に行うことができます。 PGP Desktop のライセンス取得 鍵ペアの作成 - サブ鍵付き、またはサブ鍵なし (鍵ペアをまだ保有していない場合) PGP Global Directory への公開鍵の公開 PGP メッセージングの有効化 他の機能の概要を確認 PGP Desktop インストーラー アプリケーションが PGP 管理者によって構成されている場合は、セットアップ アシスタントで他のタスクが実行されることがあります。 3 自分の公開鍵を他のユーザーと交換します。 鍵ペアを作成した後、他の PGP Desktop ユーザーと公開鍵を交換すると、その相手とセキュアなメッセージの送受 信を開始できます。PGP Desktop のディスク全体暗号化機能を使用することもできます。 20 PGP Desktop の基本 PGP Desktop for Windows 他のユーザーとの公開鍵の交換は、最初に行う重要な手順です。他のユー ザーにセキュアなメッセージを送信するには、相手の公開鍵を持っている 必要があります。また、相手がセキュアな返信メッセージを送信するには 、そのユーザーが返信先ユーザーの公開鍵を持っている必要があります。 セットアップ アシスタントで PGP Global Directory に公開鍵をアップロードしなかった場合は、この段階でアップロードして ください。メッセージの送信相手の公開鍵を持っていない場合は、まず PGP Global Directory で公開鍵を探します。PGP Desktop では電子メールの送信時に、相手側の PGP Desktop ユーザーの鍵が自動的に検索され、検証されます。次に、送信メッセージ は相手の公開鍵で暗号化され、送信されます。 4 信頼されていない鍵サーバーから入手した公開鍵を検証します。 信用されていない鍵サーバーから公開鍵を入手するときは、公開鍵が改ざ んされていないことや、公開鍵の所有者と名乗るユーザーが実際の所有者 であることを確認するようにしてください。これを確認するには、PGP Desktop を使用して、鍵サーバーから入手した公開鍵のフィンガープリントを、所 有者本人の手元にある公開鍵のフィンガープリントと比較します。(公開鍵 の所有者に電話をかけ、フィンガープリントを読み上げてもらって比較す る方法を推奨します。)PGP Global Directory などの信用できる鍵サーバーから取得した鍵は、既に検証されています。 5 電子メール、ファイル、インスタント メッセージ (IM: Instant Message) セッションをセキュアにします。 鍵ペアを作成して公開鍵を交換した後、電子メールやフォルダーの暗号化 、署名、復号化、および検証を開始できます。セキュアな IM チャット セッションの機能では、独自の鍵が自動的に生成されるため、鍵ペアを作 成する前でもこの機能を使用できます。ただし、チャット セッションをセキュアにするには、チャットの相手も PGP Desktop を使用していることを条件とします。 6 PGP Desktop の通知機能によって表示される情報ボックスに注意しながら作業します。 メッセージを送受信したときや、その他の PGP Desktop 機能を実行したときに、指定した画面隅に PGP Desktop の通知機能の情報ボックスが表示されます。これらの PGP 通知機能のボックスには、PGP Desktop によって行われた、または行われる予定の処理が示されます。メッセージ の送受信処理を理解したら、PGP 通知機能のオプションを変更したり、通知機能を無効にしたりできます。 7 メッセージを数回送受信した後で、ログをチェックし、すべての機能が正 しく動作していることを確認します。 通知機能で表示される以上に詳細な情報が必要な場合は、PGP ログで、すべてのメッセージング処理に関する詳細情報を参照できます。 8 必要に応じてメッセージング ポリシーを編集します。 21 PGP Desktop の基本 PGP Desktop for Windows PGP Desktop のメッセージング ポリシーを正しく構成すると、電子メールの送受信が自動的かつ透過的に 行われるようになります。メッセージの受信者の鍵が PGP Global Directory 上にある場合は、デフォルトの PGP Desktop ポリシーによって、[暗号化できない場合はクリア テキストで送信] のポリシーが適用されます。[暗号化できない場合はクリア テキストで送信] のポリシーでは、暗号化に必要なもの (受信者の検証済みの公開鍵など) がある場合にのみ、PGP Desktop によってメッセージが自動的に暗号化されます。受信者の検証済みの鍵が ない場合は、メッセージが暗号化されずにクリア テキストで送信されます。デフォルトの PGP Desktop ポリシーには、強制的な暗号化のオプションも用意されています。このポ リシーを適用すると、件名に “[PGP]” というテキストが含まれるメッセージの暗号化が必須となります。検証済 みの公開鍵が見つからない場合は、メッセージは送信されず、通知機能に よって警告が表示されます。 9 PGP Desktop のその他の機能を使用して、さらにセキュリティを高めます。 PGP Desktop を使用すると、メッセージング機能だけでなく、使用しているディスクを セキュアにすることもできます。 PGP Whole Disk Encryption を使用すると、ブート ディスク、ディスク パーティション (Windows システムの場合)、外付けディスク、または USB サム ドライブを暗号化できます。ディスクまたはパーティション上のすべ てのファイルがセキュアにされ、使用時に即時に暗号化および復号化 されます。この処理は完全に透過的に行われます。 PGP 仮想ディスクを使用すると、セキュアな「仮想ハード ディスク」を作成できます。この仮想ディスクは、ファイルを保管す る銀行の金庫のように使用できます。PGP Desktop、Windows エクスプローラー、または Mac OS X Finder で仮想ディスクをマウント解除およびロックするだけで、コンピュー ター自体がロックされていなくても、仮想ディスクの中のファイルが セキュアになります。 PGP Zip を使用すると、圧縮および暗号化された PGP Zip アーカイブを作成できます。これにより、ファイルを効率的かつセキ ュアに転送または保管できます。 PGP シュレッダーを使用すると、不要になった機密ファイルを削除できま す。PGP シュレッダーは、それらのファイルを復元できないように完全に削除 します。 22 PGP Desktop の基本 PGP Desktop for Windows PGP NetShare を使用すると、任意の人数でファイルとフォルダーをセキュアかつ簡 単に共有でき、しかも高度なアクセス管理が可能です。 23 3 PGP Desktop のインストール ここでは、PGP Desktop をコンピューターにインストールする方法と、インストール後に起動する方法 について説明します。 この章の内容 インストールの前に................................................................................. 25 PGP Desktop のインストールと構成 ...................................................... 27 PGP Desktop のアンインストール .......................................................... 31 PGP Desktop のインストール環境を別のコンピューターに移動 ........... 32 インストールの前に ここでは、Windows コンピューターに PGP Desktop をインストールするための最小システム要件について説明します。 システム要件 インストールを開始する前に、コンピューターが次のシステム要件を満たして いることを確認してください。 Microsoft Windows 2000 (Service Pack 4)、 メモ : 上記のオペレーティング システムがサポートされるのは、Microsoft からのすべての最新のホット フィックスおよびセキュリティ パッチが適用されている場合に限られます。 PGP Whole Disk Encryption (WDE) では、次の Windows Server バージョンに加えて、すべてのクライアント バージョンに対応するようになりました。 Windows Server 2003 SP 2 (32 および 64 ビット版) Windows Server 2008 SP 1 および 2 (32 および 64 ビット版) 25 PGP Desktop のインストール PGP Desktop for Windows Windows Server 2008 R2 (32 および 64 ビット版) Windows Server システムで PGP WDE を使用する場合の追加システム要件とベストプラクティスについては、「P GP ナレッジベース記事 1737 『http://support.pgp.com/?faq=1737』」を参照してください。 512 MB 以上の RAM 64 MB 以上のハード ディスク領域 互換性のある電子メール ソフトウェア、インスタント メッセージング ソフトウェア、およびウイルス対策ソフトウェアについては、『PGP Desktop10.0 for Windows リリース ノート』を参照してください。 Citrix およびターミナル サービスとの互換性 PGP Desktop for Windows は、次のターミナル サービス ソフトウェアとの動作が確認されています。 Citrix Presentation Server 4.0 Citrix Metaframe XP Windows 2003 ターミナル サービス PGP Desktop for Windows の次の機能が、ここで説明する環境および範囲で使用できます。 電子メールの暗号化は完全にサポートされています。 PGP Zip 機能は完全にサポートされています。 PGP Shred 機能は完全にサポートされています。 PGP NetShare は完全にサポートされています。 PGP 仮想ディスクをドライブ文字で Citrix/TS にマウントすることはできませんが、ディレクトリ マウント ポイントで NTFS ボリュームにマウントすることは可能です。 PGP Whole Disk Encryption はサポートされていません。 スマート カードはサポートされていません。 Citrix サーバーに PGP Desktop をインストールする方法の詳細については、「PGP サポート ナレッジベース記事 832 『https://support.pgp.com/?faq=832』」を参照してください。 26 PGP Desktop のインストール PGP Desktop for Windows PGP Desktop のインストールと構成 ここには、PGP Desktop のインストールまたはアップグレードに関する情報と、セットアップアシスタ ントに関する情報が記載されています。 ソフトウェアのインストール メモ : PGP Desktop をインストールするには、コンピューター上で管理者権限が必要です。 PGP Desktop を Windows システムにインストールするには、次の手順に従います。 1 PGP Desktop インストーラー プログラムの場所を探します。インストーラー プログラムは、Microsoft SMS 導入ツールを使用して PGP 管理者から配布された .msi ファイルです。 2 PGP Desktop インストーラーをダブルクリックします。 3 画面に表示される指示に従います。 4 再起動するための指示が表示されたら、コンピューターを再起動します。 メモ : PGP Universal Server で保護されているドメインに属している場合、PGP 管理者が特定の機能や設定を PGP Desktop インストーラーに事前に組み込んでいる場合があります。さらに、PGP 管理者がサイレント エンロールメントを設定している場合は、PGP Desktop のすべてのパスフレーズ条件に Windows ドメイン パスワードが使用されます。ポリシーで指定されている場合、Windows パスワードが入力されると PGP Whole Disk Encryption が自動的に開始され、ディスクが暗号化されます。 ソフトウェアのアップグレード メモ : PGP Desktop for Windows と PGP Universal Satellite for Windows の両方を同一システムにインストールすることはできません。両方の製品の インストーラーで他方のプログラムの存在が検出され、インストールが中断 されます。 27 PGP Desktop のインストール PGP Desktop for Windows 次の製品は、以前のバージョンから PGP Desktop for Windows にアップグレードできます。 PGP Desktop for Windows PGP Universal Satellite for Windows Microsoft Windows XP 搭載のコンピューターを使用している場合は、PGP Desktop 8.x からのみ PGP Desktop 9.6 以降にアップグレードできます。Microsoft Windows 2000 搭載のコンピューターの場合は、PGP Desktop バージョン 6.x、7.x、または 8.x からアップグレードできます。 重要なメモ : オペレーティング システムを新しいバージョンにアップグレードして、このバージョンの PGP Desktop を使用する場合は、OS をアップグレードする前に、PGP Desktop の以前のバージョンを確実にアンインストールしてください。また、アンイ ンストールする前に鍵と鍵リングを確実にバックアップしてください。これ までに PGP Whole Disk Encryption を使用したことがある場合は、PGP Desktop をアンインストールする前に、ディスクを復号化する必要があります。 PGP Desktop のアップグレード 次のいずれか 1 つを実行します。 PGP Desktop 8.x for Windows からのアップグレード : PGP Desktop 10.0 for Windows の標準インストール処理を行います。 PGP Desktop for Windows 8.x が自動的にアンインストールされた後、PGP Desktop 10.0 for Windows がインストールされます。既存の鍵リングと PGP 仮想ディスク ファイルは、アップグレードした後も使用できます。 バージョン 8.0 より前の PGP Desktop for Windows バージョンからのアップグレード : PGP Desktop 10.0 for Windows のインストールを開始する前に、8.0 より前のバージョンの PGP Desktop を手動でアンインストールします。既存の鍵リングと PGP 仮想ディスク ファイルは、アップグレードした後も使用できます。 PGP Universal Satellite からのアップグレード 次のいずれか 1 つを実行します。 PGP Universal Satellite 1.2 for Windows またはそれ以前からのアップグレード : PGP Desktop 10.0 for Windows の標準インストール処理を行います。 既存のバージョンの PGP Universal Satellite for Windows が自動的にアンインストールされ、PGP Desktop 10.0 for Windows がインストールされます。既存の設定は保持されます。 28 PGP Desktop のインストール PGP Desktop for Windows 注意 : PGP Desktop 10.0 for Windows の上に PGP Universal Satellite のいずれかのバージョンをインストールすることはできません。どちらの プログラムも正しく動作しません。両方のプログラムをアンインストール してから、PGP Desktop のみをインストールしてください。 PGP Desktop for Windows (バージョン 8.x) および PGP Universal Satellite からのアップグレード : PGP Desktop 10.0 for Windows の標準インストール処理を行います。 PGP Desktop および PGP Universal Satellite for Windows が自動的にアンインストールされ、PGP Desktop 10.0 for Windows がインストールされます。既存の鍵リングと PGP 仮想ディスク ファイルは、アップグレードした後も使用できます。 更新の確認 : 指定した間隔でソフトウェア更新の確認が自動的に行われます。デフォルトは 1 日です。新しいバージョンの PGP Desktop が公開されている場合は、通知画面が表示され、ダウンロードできるようにな ります。このオプションをオフにすると、ソフトウェア更新の自動確認は行わ れません。詳細については、「全般オプション 『ページ : 342』」を参照してください。 更新をダウンロードしたら、指示に従って更新をインストールします。 このオプションには、インターネット接続が必要です。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが必要になることがあります。このオ プションを有効にすると、PGP Desktop は、関連付けられた PGP Universal Server でアップデートを検索します。 メモ :更新をインストールするには、システムの管理者権限を持っている必要があ ります。 スタンドアロン インストールから管理された PGP Desktop インストールへのアップグレード スタンドアロン モードで PGP Desktop を使用していたユーザーが PGP Universal Server の管理対象になる場合は、既存のスタンドアロン インストール環境に、マーク付きのバインドされた PGP Desktop をインストールする必要があります。また、登録プロセスを完了する必要もあ ります。マーク付きのバインドされた PGP Desktop をインストールできるように、PGP 管理者からインストール ファイルが提供されます。 29 PGP Desktop のインストール PGP Desktop for Windows オペレーティング システム ソフトウェアのアップグレード コンピューターを新しいオペレーティング システムの新しい主要リリースにアップグレードするには (Windows システムで Windows Vista に、Mac OS X で 10.4.x から 10.5.x)、以下を必ず行ってください。 1 アンインストール前に確実に鍵と鍵リングをバックアップしてください。 2 これまでに PGP Whole Disk Encryption を使用したことがある場合は、PGP Desktop をアンインストールする前に、ディスクを復号化してください。 3 新しいバージョンのオペレーティング システムにアップグレードする前に、PGP Desktop の旧バージョンをアンインストールしてください。 4 オペレーティング システムのバージョンをアップグレードしてから、PGP Desktop を再インストールします。鍵/鍵リングをインポートし、必要に応じて、デ ィスクを暗号化できます。 PGP Desktop のライセンス取得 このリリースのライセンス情報は、『PGP Desktop リリース ノート』を参照してください。 セットアップアシスタントの実行 PGP Desktop のインストールを終了すると、コンピューターの再起動を求めるメッセージが 表示されます。コンピューターの再起動後、直ちに Windows Desktop で PGP Desktop セットアップアシスタントが自動的に開始されます。セットアップアシスタン トにより一連の質問画面が表示されます。セットアップアシスタントは、その 回答を使用して PGP Desktop を設定します。 ご利用のシステムのセットアップアシスタントにより、さまざまな要素に基づ いて、インストール環境に適した画面のみが表示されます。 セットアップアシスタントによって、すべての PGP Desktop 設定が行われるわけではありません。セットアップアシスタントの画面を完了 してから、セットアップアシスタントに含まれない設定を行うことができます 。 30 PGP Desktop のインストール PGP Desktop for Windows PGP Desktop のアンインストール PGP Desktop は、PGP Desktop アンインストーラー、または Windows の [プログラムの追加と削除] 機能を使用してアンインストールできます。ここでは、PGP Desktop アンインストーラーを使用した手順を説明します。 PGP Desktop 8.x 以降をアップグレードする場合、最初に PGP Desktop をアンインストールする必要はありません。詳細については、「ソフトウェア のアップグレード 『ページ : 27』」を参照してください。 PGP Desktop をアンインストールするには、次の手順に従います。 1 [スタート] メニューをクリックして、[プログラム] > [PGP] > [PGP Desktop のアンインストール] を選択します。確認のダイアログ ボックスが表示されます。 2 [はい] をクリックしてアンインストール処理を続行します。PGP Desktop ソフトウェアがシステムから削除されます。 将来、PGP Desktop を再インストールする場合に備えて、鍵リング、PGP 仮想ディスク、および PGP Zip (.pgp) ファイルはシステムから削除されません。 3 再起動するための指示が表示されたら、コンピューターを再起動してアン インストールを完了します。 メモ : PGP Desktop をアンインストールする代わりに、PGP Desktop のバックグラウンド サービスを停止することもできます。この操作により、電子メールやインス タント メッセージが PGP Desktop によって保護されなくなりますが、PGP 仮想ディスク ボリュームと PGP Whole Disk Encryption によって保護されているディスクまたはパーティションには引き続きアクセ スできます。PGP Desktop の電子メール プロキシまたは IM プロキシのみを無効にするには、[PGP オプション] ダイアログ ボックスを使用します ([ツール] > [オプション] を選択して、[メッセージング] タブにある適切なオプションを選択解除します)。 31 PGP Desktop のインストール PGP Desktop for Windows PGP Desktop のインストール環境を別のコンピューターに移動 PGP Desktop のインストール環境を別のコンピューターに移動するのは、難しいプロセスで はありませんが、正常に終了する必要のある重要な手順がいくつかあります。 このプロセスは、次の手順で構成されます。 PGP Desktop のインストール環境を別のコンピューターに移動するには 1 PGP Desktop をアンインストールします。これを行うには、[スタート] > [プログラム] > [PGP] > [PGP Desktop のアンインストール] の順に選択します。Windows コントロール パネルのプログラムの追加と削除機能を使用することもできます。古いバ ージョンのプログラムを実行している場合は、これが PGP Desktop を削除する唯一の方法です。 この手順では、鍵リング ファイルは削除されません。 2 鍵リングを移動します。これを行うには、鍵リング ファイル (pubring.pkr と secring.skr の両方) を元のコンピューターからディスケットまたはその他のリムーバブル メディアにコピーし、それらを新しいコンピューターにコピーします。 鍵リング ファイルのデフォルトの場所は C:\Documents and Settings\<user>\My Documents\PGP\ です。 新しいコンピューターに PGP Desktop をインストールしたことがない場合は、最初にこのフォルダーを作成して から、鍵リング ファイルをコンピューターにコピーしてください。 3 PGP Desktop を新しいコンピューターにインストールします。これを行うには、最初の PGP Corporation の注文確認メールにあるダウンロード リンクをクリックして PGP Desktop をダウンロードします。 4 インストール プロセスを通じて、次の操作を行います。 新しいコンピューター上の PGP Desktop セットアップ ウィザードで、[No, I have existing keyrings (いいえ、既存の鍵リングがあります)] を選択し、新しいコンピューター上で鍵リング ファイルをコピーした場所を指定します。 PGP Desktop の最初の承認時に使用したものと同じ名前、組織、およびライセンス 番号を使用します。 32 4 PGP Desktop のユーザー インターフェイス ここでは、PGP Desktop のユーザー インターフェイスについて説明します。 この章の内容 PGP Desktop 機能へのアクセス.............................................................. 33 PGP Desktop 通知機能の警告 ................................................................. 40 PGP ログの表示 ....................................................................................... 46 PGP Desktop 機能へのアクセス PGP Desktop にアクセスするには、主に次の 4 つの方法があります。 PGP Desktop のメイン ウィンドウ 『ページ : 34の"PGP Desktop のメイン画面"参照先 : 』 PGP トレイ アイコン 『ページ : 36の"PGP トレイ アイコンの使用"参照先 : 』 Windows エクスプローラーのショートカット メニュー 『ページ : 38の"Windows エクスプローラのショートカット メニューの使用"参照先 : 』 [スタート] メニュー 『ページ : 40の"[スタート] メニューの使用"参照先 : 』 33 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP Desktop のメイン画面 PGP Desktop のメイン画面は、この製品のプライマリ インターフェイスです。 PGP Desktop のメイン画面には、次の要素が含まれます。 1 メニュー バー PGP Desktop のコマンドにアクセスできます。メニュー バーのメニューは、選択されているコントロール ボックスに応じて変わります。 2 [PGP 鍵] コントロール ボックス。PGP 鍵を管理できます。 3 [PGP メッセージング] コントロール ボックス。PGP メッセージングを管理できます。 4 [PGP Zip] コントロール ボックス。PGP Zip を管理する機能や、新しい PGP Zip アーカイブの作成を支援する PGP Zip アシスタントを制御できます。 5 [PGP ディスク] コントロール ボックス。PGP ディスクを管理できます。 6 [PGP Viewer] コントロール ボックス : メール ストリーム外にあるメッセージを復号化、検証、および表示でき ます。 7 [PGP NetShare] コントロール ボックス。PGP NetShare 34 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows を管理できます。 8 PGP Desktop 作業領域選択したコントロール ボックスに関する情報と実行できる操作が表示されます。 9 PGP 鍵の検索ボックス。 鍵リングにある鍵を検索するのに使用します。ボックスにテキス トを入力すると、PGP Desktop は名前か電子メール アドレスによる検索結果を表示します。 各コントロール ボックスを展開すると、利用できるオプションが表示されます。折りたたむと 、スペースの節約になります (コントロール ボックスのバナーだけが表示されます)。 コントロール ボックスを展開するには、バナーをクリックします。 展開されたコントロール ボックスの内容は、操作の内容や選択した項目に応じて適宜変化します。たと えば、[PGP 鍵] コントロール ボックスが選択されているときに公開鍵を選択すると、[この受信者に電子メー ルを送信する] および [この鍵を電子メールで送信] の各オプションが [PGP 鍵] コントロール ボックスの下部に表示されます。 秘密鍵を選択した場合は、[この鍵を電子メールで送信] だけが表示されます。鍵を選択しなければ、オプションは何も表示されません 。 PGP Desktop のメイン画面をナビゲートするには、Tab キーを使用します。スペース キーまたは Enter を使用して、オプションを選択します。 メモ : [この受信者に電子メールを送信する] をクリックすると、システムのデフォルトの電子メール クライアントが開き、選択した鍵のアドレスを使用して新しい電子メールが 作成されます。これにより、鍵リングに登録されている相手に簡単にメッセ ージを送信できます。[この鍵を電子メールで送信] をクリックすると、システムのデフォルトの電子メール クライアントが開き、選択した公開鍵を添付した新しい電子メールが作成さ れますが、メッセージのアドレスは指定されません。これは、自分の公開鍵 、または鍵リング上の公開鍵を、その鍵を持っていない他のユーザーに送信 する場合に便利です。 35 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP トレイ アイコンの使用 PGP Desktop の多くの機能にアクセスする方法の 1 つとして、PGP トレイ アイコンがあります。 ヒント : PGP トレイ アイコンをダブルクリックすると、PGP Desktop を開くことができます。 PGP トレイには、次の 4 つのアイコンのいずれかが表示されます。 通常動作 ( ) : PGP Desktop は通常に動作しています。パスフレーズはキャッシュされておらず、メッ セージ プロキシが有効になっています。その他の PGP 処理は実行されていません。 キャッシュされたパスフレーズ ( ) : PGP Desktop は通常に動作しており、1 つまたは複数の秘密鍵パスフレーズがキャッシュされています。パスフレ ーズのキャッシュは時間を節約するためのオプション機能です。パスフレ ーズがキャッシュされていると、たとえば、鍵に署名する際にパスフレー ズを入力する必要がなくなります。ただし、セキュリティ上のリスクにも なります。パスフレーズがキャッシュされたままでコンピューターから離 れた場合、そのシステムに近づける人なら誰でも、パスフレーズを入力せ ずに PGP Desktop を使用できることになります。 メッセージプロキシが無効 ( ) : 電子メール メッセージのプロキシが無効になっています。暗号化された受信メッセー ジは復号化および検証されず、送信メッセージは暗号化および署名されま せん。メッセージ プロキシは、PGP トレイ メニューや [PGP オプション] ダイアログ ボックスを使用して有効な状態に戻すことができます。 ビジー ( ) : ディスクの暗号化など、PGP Desktop による処理が進行中です。処理が終了すると、PGP トレイ アイコンは適切なアイコンに戻ります。 PGP トレイ アイコンを右クリックまたは左クリックすると、様々なオプションにアクセス するためのメニューが表示されます。スタンドアロン インストールまたは管理されたインストールのどちらであるかによって、利用 できないオプションもあります。 36 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows [PGP サービスの終了] : このコンピューター上の PGP Desktop サービスを停止します。このコマンドを使用する場合は十分注意してくだ さい。電子メールやインスタント メッセージング セッションの自動的な暗号化や復号化が行われなくなります。 PGP サービスを停止した場合、コンピューターを再起動するか、または [スタート] メニューから [PGP Desktop] を選択する ([[スタート] > [プログラム] > [PGP] > [PGP Desktop]) ことで再度サービスを開始できます。 [PGP Desktop バージョン情報] :ライセンス情報など、使用している PGP Desktop のバージョンに関する情報を表示します。 [更新の確認] : PGP Corporation のアップデート サーバーに問い合わせを行って、新しいバージョンの PGP Desktop をダウンロードできるかどうかを確認します。このオプションはスタンド アロン インストール環境でのみ使用できます。 [ヘルプ] : PGP Desktop の統合オンライン ヘルプを開きます。 [オプション] : [PGP Desktop オプション] ダイアログを開きます。 [通知機能の表示] : 最新の送受信メッセージに関する通知機能の情報を表示します。 [PGP ログの表示] : PGP Desktop ログを表示します。PGP Desktop ログを使用して、データをセキュアにするために PGP Desktop で実行されているアクションを確認します。 [PGP Viewer を開く] : メール ストリーム外で電子メールを復号化できるように、PGP Viewer を開きます。 [PGP Desktop を開く]。PGP Desktop のメイン画面を開きます。また、PGP Desktop トレイ アイコンをダブルクリックして PGP Desktop を開くこともできます。 [ポリシーの更新] : PGP Universal Server から手動でポリシーをダウンロードします。このオプションは、管理され たインストールでのみ使用できます。 [キャッシュの消去] : パスフレーズやキャッシュされた公開鍵など、キャッシュされた情報をメ モリからすべて消去します。 メモ : PGP NetShare で保護されたフォルダーにアクセスするため、スマート カードまたはトークンを使用した場合は、そのスマート カードまたはトークンを取り外しても、キャッシュされたパスフレーズは 消去されません。キャッシュされたパスフレーズを消去するには、ホット キーを作成します。詳細については、「詳細オプション 『ページ : 364』」を参照してください。 37 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows [PGP 仮想ディスクのマウント解除] : マウントされているすべての PGP 仮想ディスク ボリュームをマウント解除します。 [現在のウィンドウ] : 現在のウィンドウの内容に対して、PGP Desktop の機能 ([復号化と検証]、[復号化と署名]、[署名]、[暗号化]) を使用できるようにします。 [クリップボード] :クリップボードの内容に対して、PGP Desktop の機能 ([復号化と検証]、[復号化と署名]、[署名]、[暗号化]) を使用できるようにします。また、クリップボードの内容の消去や編集を 行うこともできます。 Windows エクスプローラのショートカット メニューの使用 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 PGP Desktop の機能には、Windows エクスプローラのショートカット メニューを使用してアクセスすることもできます。Windows エクスプローラを開き、操作する項目を右クリックしてショートカット メニューから [PGP Desktop] を選択します。 右クリックした項目に対応する PGP Desktop 機能に、Windows エクスプローラからアクセスできます。 38 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows ドライブ。Windows エクスプローラでシステム上のドライブを右クリックし、表示されるメニ ューから [PGP Desktop] を選択すると、そのドライブに対して次の操作を行うことができます。 PGP 空き領域細断処理 PGP 仮想ディスク。Windows エクスプローラでシステム上にマウントされた PGP 仮想ディスクのドライブを右クリックし、表示されるメニューから [PGP Desktop] を選択すると、そのドライブに対して次の操作を行うことができます。 PGP 仮想ディスクのマウント解除 Windows エクスプローラで PGP 仮想ディスク ファイル(.pgd)の場所を検索 PGP 仮想ディスクのプロパティの編集 Windows エクスプローラで、マウント解除されたディスクの PGP 仮想ディスク ファイル(.pgd)を右クリックし、表示されるメニューから [PGP Desktop] を選択すると、次の操作を行うこともできます。 未使用領域の圧縮 PGP 細断処理を使用して PGP 仮想ディスクを安全に削除(この処理を実行すると、ディスク上のすべ てのデータも削除されます) PGP 仮想ディスクの再暗号化 フォルダー。Windows エクスプローラでフォルダーを右クリックし、表示されるメニューから [PGP Desktop] を選択すると、そのフォルダーに対して次の操作を行うことができます。 新規 PGP Zip への追加 フォルダーの内容の自己復号化アーカイブの作成 鍵またはパスフレーズによるセキュリティ保護 復号化と検証 PGP NetShare への追加 細断処理 ファイル。Windows エクスプローラでファイルを右クリックし、表示されるメニューから [PGP Desktop] を選択すると、ファイルの種類に応じて、そのファイルに次の操作を行う ことができます。 39 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows 暗号化されていないファイルを選択した場合、鍵またはパスフレーズ によるセキュリティ保護、署名、細断処理、または自己復号化アーカ イブの作成を実行できます。 暗号化されたファイルを選択した場合、そのファイルの復号化や検証 、または細断処理を実行できます。 マウントされていない PGP 仮想ディスク(.pgd)を選択した場合、その仮想ディスクのマウントや 編集を実行できます。マウントされたボリュームを選択した場合は、 そのマウントを解除できます。 PGP Zip (.PGP) ファイルを選択した場合、復号化と検証、表示、または細断処理を実 行できます。 PGP 鍵 ファイル(.asc)を選択した場合、復号化や検証、または細断処理を実 行できます。復号化や検証を選択すると、ファイルをインポートする オプションを利用できるようになります。 PGP の公開鍵または秘密鍵のファイル(それぞれ PKR ファイルと SKR ファイル)を選択した場合、その鍵を自分の鍵リングに追加したり、細 断処理を実行したりできます。 [スタート] メニューの使用 PGP Desktop は、Windows の [スタート] メニューからアクセスすることもできます。これを行うには、[スタート] > [プログラム] > [PGP] を選択します。 [スタート] メニューからは、次の各機能にアクセスできます。 英語版、その他サポートされている言語の PGP Desktop のマニュアル PGP Desktop アプリケーション PGP Desktop のアンインストール PGP Desktop 通知機能の警告 PGP Desktop 通知機能では、送受信する電子メールのステータスと、インスタント メッセージング セッションのステータスを示す、小さな情報ボックスが表示されます。 40 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows メモ : PGP Desktop 通知機能では、使用しているコンピューター上の PGP Whole Disk Encryption および PGP NetShare の各機能のステータスも表示されます。詳細については、「ディスク機能用 PGP Desktop 通知機能 『ページ : 44』」を参照してください。 メッセージング用 PGP Desktop 通知機能 メッセージング用の PGP Desktop 通知機能を使用すると、次の操作を実行できます。 受信する電子メールの復号化や署名が適切に行われているかどうかを確認 できます。 送信する電子メールの暗号化や署名が適切に行われているかどうかを確認 できます。 暗号化オプションが望ましくない場合、電子メール メッセージの送信を停止できます。 電子メールの送信者、件名、および暗号化鍵の簡潔なサマリーを表示でき ます。 現在の Windows セッション内の以前の受信メッセージや送信メッセージのステータスを、 いつでも参照できます。 他の PGP Desktop ユーザーとのチャット セッションがセキュアに保護されているかどうかを確認できます。 PGP Desktop の通知機能を使用して、受信電子メールのすべて、または一部を監視できます 。また同様に、送信メッセージについても、そのすべてまたは一部を正確に管 理できます。選択はユーザーの判断によります。さまざまな通知オプションを 設定でき、必要な場合は、PGP Desktop 通知機能を完全に無効にすることもできます。 PGP Desktop 通知機能についての追加情報を、次に示します。 通知機能ボックスの右上にある右矢印ボタンと左矢印ボタンを使用して、 通知機能のメッセージを前後にスクロールできます。この方法により、現 在表示しているメッセージの前後に位置するメッセージを参照できます。 通知メッセージが最初に表示されるとき、画面上の他の部分が見えなくな らないように [通知機能] メッセージ ボックスが半透明に表示されます。通知メッセージ ボックスは、その上にマウス ポインタを移動すると不透明となり、離すと再度半透明になります。 41 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows マウス ポインタをボックスの上に移動しない限り、通知メッセージは 4 秒間表示されます (このデフォルト設定は通知機能のオプションで変更できます)。通知内容を 確認する時間がそれ以上必要な場合は、通知メッセージの上にマウス ポインタを移動することによって、画面上に表示されたままの状態を維持 できます。 通知メッセージを完全に読みきれなかった場合や、以前に見た通知メッセ ージを再度確認する場合は、次の操作を行います。 Windows システムの場合は、PGP トレイ アイコンから [通知機能の表示] を選択します。 Mac OS X システムの場合は、Mac OS X メニュー バーの [PGP Desktop] アイコンから [通知機能の表示] を選択します。 [X] (Windows システムではメッセージの右上、Mac OS X システムでは左上にあります) をクリックして、通知メッセージを閉じます。 PGP Desktop 通知機能オプションの設定の詳細については、「通知機能オプション 『ページ : 362』」を参照してください。 受信 PGP Desktop 通知機能メッセージ 受信電子メールの通知では、電子メールが復号化および検証されたかどうか、 または、未検証の鍵や不明な鍵によって復号化および署名されたかどうかを確 認できます。 送信 PGP Desktop 通知機能メッセージ 簡単な通知機能として、電子メール (すべての電子メール、または特定の条件を満たす電子メールのみ) の送信時に PGP Desktop の通知メッセージが短時間表示されるように設定します。 また、通知機能ボックスに [ブロック] ボタンと [送信] ボタンが含まれるように PGP Desktop を設定することもできます。 この通知機能で送信電子メールを管理するには、次の手順に従います。 1 PGP 送信メッセージ通知機能ボックスで、次の操作を行います。 この電子メールの送信を中止するには、[ブロック] をクリックします。この操作でブロックされるのは、この送信電子メ ールのみです。その後、同じ受信者への電子メール メッセージは送信可能になります。 受信者の公開鍵が見つからないまま、このメッセージを送信するには 、[送信] をクリックします。 42 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows 2 メッセージの処理を引き続き遅延させるには、通知機能ボックス上に マウス ポインタを置きます。通知機能ボックスからマウス ポインタを離すと、デフォルトのルールに従ってメッセージが処理さ れます。 通知オプションの [確認のために電子メール送信を遅延する時間] 設定で、通知メッセージが表示されてから電子メールが送信されるま での待機時間 (秒単位) を指定します。メールが送信されるまでの間、通知メッセージの下に 秒読みが表示されます。 アクション、受信者、ポリシー、署名鍵などの追加情報を表示するには、[ 詳細] をクリックします。 確認しない場合は、この追加情報を表示する必要はありません。再度非表 示にするには、[詳細を隠す] をクリックします。 オフライン ポリシーに関する送信 PGP Desktop 通知機能メッセージ PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、PGP Universal Server が使用可能でないときに送信メッセージに対して実行できるアクションが管理 者によって指定されていることがあります。送信通知機能メッセージは、次の いずれかの状態を示します。 PGP Universal Server が使用できず、すべてのメッセージをブロックするようにポリシーが設定 されています。電子メール メッセージは送信ボックスに残り、PGP Universal Server に接続できるようになると送信されます。 PGP Universal Server が使用できず、すべてのメッセージを平文で送信するようにポリシーが設 定されています。 PGP Universal Server が使用できず、ローカル ポリシーを優先するようにポリシーが設定されています。 2 番目と 3 番目のケースでは、他の送信メッセージの場合と同様に、送信メッセージを送 信またはブロックすることを選択できます。 インスタント メッセージングの PGP 通知機能 PGP Desktop がコンピューターにインストールされており、インスタント メッセージング用の通知を受信するように設定している場合 (PGP Desktop の [Preferences (環境設定)] の [Notifications (通知)] タブ)、他の PGP Desktop ユーザーとの AOL Instant Messenger (AIM) セッションが保護されているときには PGP Desktop 通知機能のアラートが表示されます。 43 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows セキュアなインスタント メッセージング機能を使用するときは、インスタント メッセージング プログラムへのログオン時に通知機能が表示され、そのチャットがセキュリテ ィ保護されていることが通知されます。また、AIM 互換のほとんどのインスタント メッセージング クライアントでは、「友だちの名前」の横に錠前のアイコンが表示されます。 インスタント メッセージング プログラムからのログオフ時には、安全なセッションが終了したことを知らせ る最後の通知メッセージが表示されます。 適切な設定方法や、セキュアなインスタント メッセージ チャット機能の使用方法の詳細については、「インスタント メッセージングの保護」を参照してください。 ディスク機能用 PGP Desktop 通知機能 ディスク機能用 PGP Desktop 通知機能により、PGP NetShare と PGP Whole Disk Encryption 機能を使用しているときに最新の情報を入手できます。 メモ : PGP Desktop 通知機能では、コンピューター上で送受信する電子メールのステータスも表 示します。詳細については、「メッセージング用 PGP Desktop 通知機能 『ページ : 41』」を参照してください。 PGP NetShare PGP NetShare と PGP Desktop 通知機能を併用すると、次の情報が通知されます。 共有フォルダーに対して実行されるアクション 影響を受けるフォルダーの場所 影響を受けるフォルダーの名前 アクションを実行したユーザー PGP Whole Disk Encryption PGP Whole Disk Encryption と PGP Desktop 通知機能を併用すると、次の情報が通知されます。 暗号化されているディスク ディスクのサイズと種類 暗号化処理のステータス 44 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows 通知機能を有効または無効にする 通知機能を有効または無効にするには 1 PGP Desktop を開いて、[ツール] > [PGP オプション] の順に選択します。 2 [通知機能] タブをクリックします。 3 [Usage (使用方法)] では、PGP 通知機能を使用するかどうか、また使用する場合はその場所を指定します 。PGP Desktop の通知は、画面の 4 つの隅 ([Lower Right (右下)]、[Lower Left (左下)]、[Upper Right (右上)]、または [Upper Left (左上)]) のいずれかに表示できます。PGP Desktop の通知を表示する位置を選択します。デフォルトの位置は [Lower Right (右下)] です。 4 PGP Desktop メッセージングを使用し、PGP Desktop 通知機能で電子メールの送信時に暗号や署名のステータスを表示する場合 は、[Notify when processing outbound email (送信電子メールの処理時に通知する)] チェック ボックスをオンにします。メール送信時に PGP Desktop による通知を表示しないようにするには、このチェック ボックスの選択を解除します。 5 PGP Desktop は、送信した電子メール メッセージの各受信者の公開鍵を探します。受信者の公開鍵が見つからな い場合、デフォルトでは、電子メールは暗号化されることなくクリア テキストで送信されます。鍵が見つからないときに通知を受け取り、電子 メールが送信されないようにブロックできるようにする場合は、[Ask me before sending email when the recipient’s key is not found (受信者の鍵が見つからない場合、電子メールを送信する前に尋ねる)] を選択します。その際に次のオプションを指定します。 電子メールの送信前に常に確認 : 送信するすべての電子メールを確認する場合は、このチェック ボックスを選択します。通知機能で暗号化のステータスを確認した後 に、電子メールを送信するかブロックするかを判断できます。 Delay outbound email for n second(s) to confirm (確認のために電子メールの送信を n 秒遅延させる) : n は 1 ~ 30 の数で、デフォルトは 4 秒です。電子メールの送信を遅らせ、PGP Desktop の通知を表示する時間の長さを変更するには、上矢印または下矢印を クリックします。遅延時間は、PGP Desktop から通知されるメッセージを確認するために使用します。 45 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP Desktop のデフォルト ポリシー設定の詳細については、「サービスとポリシー 『ページ : 109』」を参照してください。 6 7 受信電子メールに対しては、到着時にステータスが通知される方法を指定 します。[Display notifications for incoming mail: (受信電子メールに対する通知を表示 :)] に対して、次のいずれかを選択します。 [When receiving secured email (セキュリティ保護された電子メールを受信した場合)]— セキュリティ保護された電子メールを受信するたびに通知機能が表示 されます。このボックスには、送信者、件名、暗号化および検証のス テータス、および送信者の電子メール アドレスが表示されます。 [Only when message verification fails (メッセージ検証に失敗した場合のみ)] — PGP Desktop が受信電子メールの署名を検証できない場合にのみ通知が表示されま す。 [Never (無期限)] — メールの受信時に通知機能が表示されないようにする場合は、このオ プションを選択します。このオプションは、送信メールに対する通知 機能には影響を与えません。 セキュリティ保護されたインスタント メッセージ チャットの開始時に PGP Desktop の 通知を短時間表示し、チャットの終了時に再度、短時間表示するように設 定するには、[Notify for status of PGP Encrypted IM sessions (PGP 暗号化 IM セッションのステータスを通知する)] チェック ボックスをオンにします。 PGP ログの表示 PGP ログを使用して、データをセキュアにするために PGP Desktop で実行されているアクションを確認します。 PGP ログを表示するには 1 ログを表示するには、ログを有効にする必要があります。これには、PGP Desktop で [ツール] > [ロギングを有効にする] を選択します。 2 次のいずれか 1 つを実行します。 システム トレイの [PGP Desktop] アイコンをクリックし、ショートカット メニューから [View PGP Log (PGP ログの表示)] をクリックします。新しいウィンドウで [PGP Log (PGP ログ)] が開きます。 46 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows 3 PGP Desktop で [ツール] > [ログを表示] の順に選択します。新しいウィンドウで [PGP Log (PGP ログ)] が開きます。 PGP Desktop で、[PGP メッセージング] コントロール ボックスをクリックして、次に [PGP ログ] をクリックします。アプリケーション ウィンドウに PGP ログが表示されます。 特定のログ情報に関する表示オプションまたはフィルタを変更するには、 次の操作を実行します。 [表示するログの日] の矢印をクリックして、表示するログの日付を選択します。 [表示トピック] の矢印をクリックして、表示するログの種類を選択します。[すべて] 、[PGP]、[電子メール]、[IM]、[ディスク全体]、[NetShare]、[Zip/SD A]、または [仮想ディスク] の中から選択します。 [表示レベル] の矢印をクリックして、表示するログ エントリの重要度レベルの最小値を選択します。[エラー]、[警告]、[ 情報]、または [詳細] から選択します。 [詳細] ログを表示するには、PGP ログの表示ウィンドウを開いたままにしておく必要があります。Wウィ ンドウを閉じると、ロギングのレベルがデフォルト レベル、[情報] に戻ります。[詳細] では、かなり大きなログ ファイルが生成される場合があります。 4 ログの確認が完了したら、次の操作を実行します。 PGP ログのコピーを保存するには、[保存] をクリックします。 PGP ログのエントリを消去するには、[完全削除] をクリックします。 [PGP Log (PGP ログ)] ウィンドウを終了するには、[Close (閉じる)] をクリックします。 47 5 PGP 鍵の使用 PGP 鍵は、自分の鍵ペアや他の PGP Desktop ユーザーの公開鍵の作成や管理に有用な PGP Desktop の機能です。 ここでは、鍵の表示、鍵ペアの作成、公開鍵の配布、他のユーザーの公開鍵の 取得、および鍵サーバーの使用について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 鍵の表示................................................................................................... 49 鍵ペアの作成 ........................................................................................... 50 秘密鍵の保護 ........................................................................................... 54 公開鍵の配布 ........................................................................................... 57 他のユーザーの公開鍵の取得 .................................................................. 60 鍵サーバーの使用 .................................................................................... 62 マスター鍵の使い方................................................................................. 64 鍵の表示 ローカルのコンピューター上の鍵リングにある鍵を表示するには、PGP Desktop を開き、PGP 鍵 コントロール ボックスをクリックします。 次のいずれかをクリックします。 すべての鍵 :鍵リングにあるすべての PGP 鍵を表示します。 自分の秘密鍵 : 鍵リングにある秘密鍵だけを表示します。 49 PGP 鍵の使用 PGP Desktop for Windows 鍵の検索 : 指定した条件に従って鍵リングにある鍵を検索し、結果を表示します。 スマート カード 鍵 :システムでスマート カードが使用されている場合は、このオプションもあります。 PGP 鍵 コントロール ボックスまたは作業領域からも、より一般的なタスクをいくつか実行すること ができます。これらのタスクは、次のとおりです。 鍵リングにある PGP 鍵の表示で公開鍵を選択すると、PGP 鍵 コントロール ボックスで この受信者に電子メールを送信する というオプションが使用できます。 検索した公開鍵の中からいずれかを選択し、その鍵がローカルの鍵リング にないときは、PGP 鍵 コントロール ボックスで 自分の鍵リングに追加 というオプションを使用できます。 作業領域に表示されている鍵のプロパティを表示する場合は、リストされ ている鍵の一部をダブルクリックするだけで、その鍵に対する 鍵のプロパティ ダイアログ ボックスが表示されます。 検索を実行すると、この鍵検索を保存 オプションを PGP 鍵 コントロール ボックスで利用できます。このオプションを使用すると、後でアクセスできる ように検索結果を保存できます。 鍵ペアの作成 PGP Desktop のセットアップ アシスタントや旧バージョンの PGP Desktop で PGP 鍵ペアを作成しなかった場合は、ここで鍵ペアを作成してください。PGP Desktop で行うほとんどの作業には、鍵ペアが必要です。 注意 : 自分用の新しい鍵を繰り返し作成することは推奨できません。PGP 鍵ペアは運転免許証やパスポートのようなもので、作りすぎると自分自身も 、また暗号化したメッセージを送信する相手も混乱することになります。使 用するすべての電子メール アドレスが含まれる鍵を 1 つだけ保持することを推奨します。PGP Global Directory では電子メール アドレスにつき 1 つの鍵のみを発行します。 PGP Universal Server 管理環境で PGP Desktop を使用している場合は、鍵ペアの作成を無効にした方がよいこともあります。 PGP 鍵ペアを作成するには 1 [PGP 鍵] コントロール ボックスが選択されていることを確認します。 2 [File (ファイル)] > [New PGP Key (新規 PGP 鍵)] を選択するか、Ctrl キーと N キーを同時に押します。PGP 鍵生成アシスタントの最初の画面が表示されます。 50 PGP 鍵の使用 PGP Desktop for Windows 3 この画面に表示される説明を読んでください。 4 トークンやスマート カードに新しい PGP 鍵ペアを生成するときは、トークンまたはスマート カードがシステムに取り付けられていることを確認し、[Generate Key on Token: (トークン上に鍵を生成 :) で [name of smart card or token on system (スマート カードまたはトークンの名前)]] チェックボックスを選択します。スマート カードおよびトークンの詳細については、「スマート カードおよびトークンへの鍵の保存 『ページ : 325』」を参照してください。 5 [次へ] をクリックします。すると [名前と電子メールの割り当て] 画面が表示されます。 6 [フルネーム] フィールドに自分の実名を入力し、[一次電子メール] フィールドに正しい電子メール アドレスを入力します。実名や電子メール アドレスの入力は必須ではありません。しかし、実名を使うと、他のユー ザーにとって公開鍵の所有者が識別しやすくなります。また、公開鍵を PGP Global Directory にアップロードして、他の PGP Desktop ユーザーが使用できるようにする際には、実際の電子メール アドレスが必要になります。 7 作成する暗号鍵にさらに電子メール アドレスを追加するときは、[追加] をクリックし、表示される [その他のアドレス] フィールドにアドレスを入力します。 8 作成する鍵の詳細設定を指定するには、[Advanced (詳細設定)] をクリックします。[鍵詳細設定] ダイアログ ボックスが表示されます。このダイアログ ボックスを使用して、鍵の種類とサイズ、有効期限、およびその他の設定 を行います。 9 次のオプションを設定することができます。 鍵タイプ。[Diffie-Hellman/DSS] または [RSA] を選択します。 個別の署名サブ鍵の生成。署名用に個別のサブ鍵を生成する必要があ る場合に、このボックスを選択します。個別のサブ鍵は、新規の鍵ペ アとともに作成されます。新しい鍵の作成後はいつでも、追加の署名 サブ鍵や暗号化サブ鍵を作成することもできます。個別の署名サブ鍵 と暗号化サブ鍵の詳細については、「サブ鍵の使用 『ページ : 82』」を参照してください。 鍵のサイズ 。1,024 ビットから 4,096 ビットまでの値を入力します。鍵のサイズが大きいほど安全性が高く なりますが、生成に時間がかかります。また、一部のスマート カードやトークンでは、鍵のサイズが 1,024 ビットまでに制限されていることがあります。 有効期限。[無期限] を選択するか、作成する鍵ペアの期限終了日を指定します。 51 PGP 鍵の使用 PGP Desktop for Windows 使用可能な暗号。作成する鍵ペアでサポートされない暗号化アルゴリ ズムのチェック ボックスをオフにします。 使用する暗号。アルゴリズムが指定されていないときに使用する暗号 化アルゴリズムを選択します。許可されている暗号化アルゴリズムだ けを指定できます。 使用可能なハッシュ。作成する鍵ペアでサポートしないハッシュのチ ェック ボックスをオフにします。 使用するハッシュ 。ハッシュが指定されていないときに使用するハッシュを選択します 。許可されているハッシュだけを選択できます。 10 [OK] をクリックして [鍵詳細設定] ダイアログ ボックスを閉じます。 11 [次へ] をクリックします。 12 PGP Universal によって管理された環境では、PGP 管理者が PGP Desktop のコピーに追加するように設定した鍵を示す [Organization Settings (組織設定)] 画面が表示される場合があります (組織の予備復号化鍵 (付加鍵、ADK) や組織鍵など)。 [パスフレーズの割り当て] 画面が表示されます。 13 作成する鍵ペアの秘密鍵に、自分以外のユーザーがアクセスできないよう にするためのパスフレーズを入力します。 14 入力確認のため、Tab キーを押して [確認] フィールドに移動し、同じパスフレーズを再入力します。パスフレーズの 品質バーの詳細については、「パスフレーズの品質バー 『ページ : 368』」を参照してください。 メモ : 通常、セキュリティ強化のため、入力するパスフレーズの文字は画面に表 示されません。ただし、覗き見られることがないことが確実で、入力する パスフレーズの文字を表示したい場合は、[Show Keystrokes (キー操作の表示)] チェック ボックスをオンにします。 警告 :なお、パスフレーズを忘れてしまうと、<cnlong< でも秘密鍵を復元することはできませんので十分注意してください (会社の PGP 管理者が PGP 鍵再構築ポリシーを導入している場合を除きます)。 15 [次へ] をクリックすると、鍵生成処理が開始されます。新しい鍵ペアが生成され ます。 この処理には数分かかる場合があります。 16 鍵の生成が完了したら、[次へ] をクリックします。作成した鍵の公開鍵部分を PGP Global Directory に追加するように求められます。 52 PGP 鍵の使用 PGP Desktop for Windows 17 画面に表示される説明を読み、[次へ] をクリックして、新しい鍵を PGP Global Directory に追加します (推奨)。公開鍵を PGP Global Directory に登録したくない場合は、[省略] をクリックします。 18 [完了] をクリックします。新しい PGP 鍵ペアが生成されました。生成された鍵ペアは、PGP Keys 作業領域に表示されます。生成された PGP 鍵ペアが表示されない場合は、[PGP Keys (PGP 鍵)] コントロール ボックスで [All Keys (すべての鍵)] または [自分の秘密鍵] が選択されていることを確認してください。 注意 : この時点で、秘密鍵を安全な場所にバックアップすることを検討します。 秘密鍵は極めて重要であり、秘密鍵を失うと、暗号化したデータについて 深刻な事態を招く恐れがあります。「秘密鍵の保護 『ページ : 54』」を参照してください。 パスワードとパスフレーズ ファイルを暗号化した後で復号化できなくなることを防ぐため、パスフレーズ の選び方に注意してください。 ほとんどのアプリケーションは、3 ~ 8 文字のパスワードを必要とします。1 つの単語のみで作られたパスフレーズを使用することは、一般的に不適切であ り、推奨されません。1 つの単語は辞書を使った攻撃に弱いという欠点があります。これは、辞書中の 全単語を使ってコンピューターでパスワードを見つけるというものです。辞書 にある単語を多少変更しても、広範囲にわたるパスワードを見つけることがで きる辞書攻撃への簡単な機能強化で、パスワードを見つけることが可能になり ます。 この種の攻撃からデータを守るため、英字の大文字と小文字、数字、句読点、 スペースなどを組み合わせたパスワードを作成することが望ましいとされてい ます。このようなパスワードは見破られにくくなりますが、簡単に覚えること ができないという欠点もあります。 辞書による攻撃を阻止しようとして、英字以外の文字を多く含めると、パスフ レーズを思い出せなくなる可能性が高まり、ファイルの復号化ができずに重要 な情報を失ってしまうという問題に発展することも考えられます。複数単語の パスフレーズでは、辞書攻撃に対する脆弱性はより低くなります。覚えやすい パスフレーズを選ばないと、一字一句正確に覚えておくのは困難です。 53 PGP 鍵の使用 PGP Desktop for Windows また、思いつきで選んだパスフレーズは完全に忘れてしまう確率が高くなりま す。すでに記憶に残っているような単語を選ぶとよいでしょう。高度な技術や 知識を持つ攻撃者に見破られないようなパスフレーズを作るには、最近よく使 うような言い回しや有名な引用句は避けてください。自分の記憶に刻まれてい るようなものであれば、忘れることはないでしょう。もちろん、パスフレーズ をメモし、そのメモをモニタに貼り付けたり、机の引き出しにしまったりする ようなことは避けてください。 詳細については、「パスワードとパスフレーズの使用 『ページ : 367の"パスワードおよびパスフレーズの使用"参照先 : 』」を参照してください。 秘密鍵の保護 鍵ペアを作成したら、直ちに次の操作を実行することを推奨します。 注意 : 次の操作を実行しないと、将来、壊滅的なデータの消失につながることがあ ります。 秘密鍵ファイルを破損したり失くしたりした場合に備えて、別のコピーを 安全な場所にバックアップしてください。「秘密鍵のバックアップ 『ページ : 56』」を参照してください。 パスフレーズの選択では、決して忘れない事柄を反映したものとなるよう にします。鍵の作成処理中に選択したパスフレーズを思い出せるかどうか に不安がある場合は直ちに、絶対に忘れない別のパスフレーズに変更して ください。パスフレーズの変更の詳細については、「パスフレーズの変更 『ページ : 74』」を参照してください。 秘密鍵ファイルは非常に重要です。いったん公開鍵で暗号化されたデータは、 対応する秘密鍵を使用しない限り復号化できないためです。秘密鍵ファイルに はパスフレーズも保存されます。秘密鍵やパスフレーズを消失すると、対応す る公開鍵で暗号化されたデータを復号化できなくなります。情報を暗号化する と、パスフレーズと公開鍵の両方に暗号化されます。暗号化されたデータを復 号化するには、この両方が必要になります。いったん暗号化されたデータは、 秘密鍵ファイルとパスフレーズがない限り、だれも (たとえ PGP Corporation でも) 復号化できません。 重要なデータを暗号化した後で、パスフレーズを忘れた、または秘密鍵を紛失 したとします。暗号化されたデータは、アクセスすることも、使用することも 、回復することもできなくなります。 54 PGP 鍵の使用 PGP Desktop for Windows 鍵および鍵リングの保護 鍵はバックアップ コピーを作成すると同時に、秘密鍵の保管場所にも十分注意を払ってください 。秘密鍵は作成した自分にしかわからないパスフレーズで保護されていますが 、だれかにパスフレーズが検出されてしまい、秘密鍵を使った電子メールの解 読やデジタル署名の偽造を被るおそれがあります。たとえば、他人に肩越しに 見られて、キーボード入力した文字を見られたり、ネットワークやインターネ ット上で傍受されることがあります。 パスフレーズを傍受した人に秘密鍵を悪用されることのないように、秘密鍵は 自分自身のコンピューターのみに保管してください。コンピューターがネット ワークに接続されている環境では、コンピューター全体のバックアップ時に秘 密鍵のファイルが自動的に含まれないように注意してください。コンピュータ ーがネットワーク経由で簡単にアクセスできてしまう場合、機密度の高い情報 を取り扱う際には、フロッピー ディスクに秘密鍵を保管しておくのが賢明です。旧来型の鍵と同様、秘密情報 の読み取りや署名が必要なとき随時に挿入して利用できます。 もう 1 つのセキュリティ対策として、秘密鍵リング ファイルに別の名前を割り当て、そのファイルをデフォルト以外の場所に保存 することも検討してください。これには、[オプション] ダイアログ ボックスの [鍵] タブで、秘密鍵リングと公開鍵リングのファイルの名前と場所を指定してくだ さい。 秘密鍵と公開鍵は別々の鍵リング ファイルに格納されています。両方の鍵リング ファイルをハード ドライブ上の別の場所、またはフロッピー ディスクにコピーしてください。デフォルトで、秘密鍵リング (secring.skr) と公開鍵リング (pubring.pkr) は、他のプログラム ファイルと一緒に "PGP" フォルダーに格納されており、任意の場所にバックアップを保存できます。 スマート カード上に生成された暗号鍵については、鍵ペアの秘密鍵をエクスポートでき ないため、バックアップを作成できません (Windows システムの場合のみ、鍵をスマート カード上に生成できます)。 PGP Desktop の終了後に自動的に鍵リングのバックアップを作成するようにも構成できます 。鍵リングのバックアップ オプションは、Windows の場合は [オプション] ダイアログ ボックスの [鍵] タブで、Mac OS X の場合は [環境設定] ダイアログ ボックスの [鍵] セクションで設定できます。 55 PGP 鍵の使用 PGP Desktop for Windows 秘密鍵のバックアップ 秘密鍵をバックアップするには 1 [PGP Keys] コントロール ボックスで、[自分の秘密鍵] をクリックします。 2 自分の鍵ペアを表すアイコンを選択します。 3 ファイル>エクスポート を選択します。 4 ファイルの名前を入力します。 5 [Include Private Key(s) (秘密鍵を含める)] チェック ボックスをオンにします。これを行わないと公開鍵しかエクスポートされ ないため、この操作は重要です。 6 [Save (保存)] をクリックします。 7 ファイル (拡張子は .asc) を安全な場所にコピーします。保存先としては、慎重にアーカイブするコ ンパクト ディスク、別のコンピューター、安全な場所に保管される USB フラッシュ ドライブなどがあります。このファイルには秘密鍵と公開鍵の両方が含ま れているため、自分以外のユーザーに配布しないように注意してください 。 メモ : PGP Universal Server 管理環境にいる場合、鍵モードが SKM のときは、この方法を使用して鍵をエクスポートできません。鍵ペアをエク スポートするには、管理コンソールからエクスポートするように PGP Universal Server 管理者に依頼してください。鍵モードを確認する際は、「鍵モード 『ページ : 143』」を参照してください。 鍵を紛失した場合 鍵を紛失し、鍵を復元するためのバックアップ コピーがないと、通常、その鍵で暗号化した情報は復号化できなくなります。 ただし、PGP 管理者が PGP 鍵の再構築ポリシーを施行している場合には、鍵を再構築できます。詳細につ いては、「PGP 鍵の再構築 『ページ : 95の"PGP Universal Server による鍵の復元"参照先 : , ページ : 95の"鍵またはパスフレーズを失った場合"』」を参照して、PGP 管理者におたずねください。 56 PGP 鍵の使用 PGP Desktop for Windows 公開鍵の配布 PGP Desktop の鍵ペアを作成したら、暗号化したメッセージをやり取りする相手に公開鍵を 渡す必要があります。 受信者の公開鍵は、他のユーザーが受信者に暗号化した情報を送る際に使用さ れます。また、他のユーザーが受信者のデジタル署名を確認するときにも使わ れます。同様に、送信者が他のユーザーに暗号化したメッセージを送るときに は、その相手の公開鍵が必要です。 公開鍵を配布するには、次のような方法があります。 PGP Global Directory に鍵を公開する 『ページ : 57の"鍵サーバーへの公開鍵のアップロード"参照先 : 』。 一般に、このディレクトリに公開鍵を公開すると、その他の方法は一切不 要です。 電子メール メッセージに公開鍵を添付する 『ページ : 59の"公開鍵の電子メール メッセージへの添付"参照先 : 』。 公開鍵をエクスポートするか、テキスト ファイルにコピーする 『ページ : 59の"公開鍵のファイルへのエクスポート"参照先 : 』。 Windows システムでは、次のような方法も可能です。 スマート カードから別のユーザーの鍵リングに直接コピーする 『ページ : 60の"スマート カードから直接別のユーザーの鍵リングへのコピー"参照先 : 』。 鍵サーバーへの公開鍵のアップロード 公開鍵を配布する最も良い方法は、公開鍵サーバー上に置くことです。公開鍵 サーバーは大規模な鍵データベースであり、だれでもアクセスできます。これ により、他のユーザーは暗号化メッセージを自分に送信するときに、鍵のコピ ーを自分に明示的に要求する手間が省けます。また、自分や他のユーザーがめ ったに使わない公開鍵を多数管理する手間も省けます。 PGP Global Directory など、鍵サーバーは世界中に多く設置されており、鍵サーバーにアクセス可能 なユーザーならだれにでも自分の公開鍵を配布できます。なお、PGP Universal Server で保護されているドメインで PGP Desktop を使用するときは、PGP 管理者が適切な設定を使って、あらかじめ PGP Desktop の構成を済ませているはずです。 公開鍵サーバーを使用するときは、公開鍵を送信する前に次の点に注意してく ださい。 57 PGP 鍵の使用 PGP Desktop for Windows 使用する公開鍵に間違いがないかどうか。自分と通信しようとしている相 手が、重要な情報をその鍵で暗号化するおそれがあります。このため、他 のユーザーが使用を予定している鍵だけを鍵サーバーに保存することを強 く推奨します。 暗号化されたデータの取得や自分の公開鍵の失効に必要なパスフレーズを 覚えているかどうか。 PGP Global Directory 以外の鍵サーバーでは、公開鍵をいったんアップロードしたら、破棄でき なくなることがあります。公開鍵サーバーによっては、鍵の削除を禁止す るポリシーを規定しているものや、鍵サーバー間で鍵を複製する機能を備 えたものがあります。そのため、1 つのサーバーから公開鍵を削除できたとしても、削除したはずの公開鍵が 複製されて後に残ることがあります。 通常は、鍵ペアを作成した直後に公開鍵を PGP Global Directory に登録します。一度 PGP Global Directory に公開鍵を登録したら、登録し直す必要はありません。ほとんどの状況で、公 開鍵を別の鍵サーバーに公開する必要はありません。また、他の鍵サーバーで は公開鍵を検証できないので、他の鍵サーバー上の公開鍵に対しては、公開鍵 の所有者に連絡して指紋を検証する追加作業が必要となる場合があります。 公開鍵を鍵サーバーに手動で送信するには 1 PGP Desktop を開きます。 2 [PGP 鍵] コントロール ボックスが選択されていることを確認します。 3 鍵サーバーに送信する公開鍵を含む鍵ペアを右クリックします。 4 送信先) ] を選択し、公開鍵を送信する鍵サーバーをリストから選択します。公開鍵 を送信する鍵サーバーがリストにない場合は、「鍵サーバーの使用 『ページ : 62』」を参照してください。公開鍵が鍵サーバーに正しく送信されたかど うかが表示されます。 いったん鍵サーバーに登録した公開鍵のコピーは、他のユーザーが自分に暗号 化データを送信する際や、自分のデジタル署名を確認する際に役立てることが できます。他のユーザーに公開鍵の場所を明示的に通知しなくても、鍵サーバ ーで名前または電子メール アドレスを検索してもらうことで、公開鍵のコピーを取得させることができま す。 電子メール メッセージの終端に公開鍵サーバーの Web アドレスを入れることは、ごく一般的になっています。ほとんどの場合、メー ルの受信者はそのアドレスをダブルクリックするだけで、サーバーにある公開 鍵のコピーにアクセスできます。簡単に確認してもらえるように、名刺に PGP の指紋情報を印刷するのも良いアイディアでしょう。 58 PGP 鍵の使用 PGP Desktop for Windows 公開鍵の電子メール メッセージへの添付 公開鍵をだれかに配布する便利な方法としては、上記以外にも、公開鍵を電子 メール メッセージに添付する方法があります。 公開鍵をだれかに送信する際には、必ず電子メールに署名を入れてください。 署名を入れることにより、受信者が送信者の署名を確認できると同時に、電子 メール メッセージの情報がだれにも改ざんされていないことも確認できます。信頼で きる紹介者が鍵に署名しなかった場合、署名が該当の送信者からのものである かどうかを確認するにはもちろん、署名の受信者が鍵の指紋を検証しかありま せん。 公開鍵を電子メール メッセージに添付するには 1 PGP Desktop 上で [PGP 鍵] コントロール ボックスが選択されていることを確認します。 2 電子メール メッセージに添付するあなたの公開鍵を含む鍵ペアを右クリックします。 3 [Send To (送信先) ]を選択してから、[Mail Recipient (メールの受信者) ] を選択します。 メッセージにあなたの公開鍵情報のファイルが添付された状態で、電子メ ール アプリケーションが開きます。 4 メッセージの送信先アドレスを入力して送信します。 この方法がうまくいかない場合は、PGP Desktop を開いて鍵ペアを選択し、[Edit (編集) ] > [Copy (コピー) ] を選択します。次に電子メール アプリケーションで新規メッセージを作成し、コピーした公開鍵をメッセージ の本文に貼り付けます。電子メール アプリケーションによっては、PGP Desktop から電子メール メッセージのテキストに公開鍵をドラッグするだけで、その鍵の情報をコピー できるものもあります。 公開鍵のファイルへのエクスポート ファイルやメッセージを安全にやり取りしたい相手に公開鍵を配布するには、 その公開鍵をファイルにエクスポートして渡す方法もあります。 公開鍵をファイルにエクスポートまたは保存するには、次の 3 とおりの方法があります。 59 PGP 鍵の使用 PGP Desktop for Windows 鍵ペアを選択して、[ファイル] > [エクスポート] を選択します。ファイルの名前と保存場所を入力し、[保存] をクリックします。他のユーザーにファイルを渡す際には、誤って自分の 秘密鍵を一緒に保存しないよう注意してください。 ファイルに保存する鍵を Ctrl キーを押しながらクリックし、一覧から [エクスポート] を選択し、ファイルの名前と場所を入力して、[保存] をクリックします。他のユーザーにファイルを渡す際には、誤って自分の 秘密鍵を一緒に保存しないよう注意してください。 鍵ペアを選択し、[編集] > [コピー] を選択します。次に、テキスト エディタを開き、[貼り付け] を選択して、鍵の情報をテキスト ファイルに挿入し、ファイルを保存します。これでファイルを電子メール で送るか、任意のユーザーに渡せるようになります。公開鍵の部分を取得 するには、受信者はシステム上で PGP Desktop を使用する必要があります。 スマート カードから直接別のユーザーの鍵リングへのコピー 公開鍵がスマート カードに保存されている場合は、スマート カードから別のユーザーの鍵リングに公開鍵を直接コピーして配布する方法も あります。 この方法の詳細については、「スマート カードから直接別のユーザーの鍵リングへの公開鍵のコピー 『ページ : 332の"スマート カードから鍵リングへの公開鍵のコピー"参照先 : 』」を参照してください。 他のユーザーの公開鍵の取得 暗号化されたメールを送信してもらう、または自分のデジタル署名を検証して もらうには、自分の公開鍵を配布する必要があります。同様に、暗号化された メールを他のユーザーに送信したり、相手のデジタル署名を検証したりするに は、そのユーザーの公開鍵を入手する必要があります。 他のユーザーの公開鍵を入手するには、複数の方法があります。 検証された鍵を PGP Global Directory から自動的に取得する 公開鍵サーバーで手動で鍵を検索する 電子メール メッセージから公開鍵を、直接自分の鍵リングに自動的に追加する エクスポートされたファイルから公開鍵をインポートする 60 PGP 鍵の使用 PGP Desktop for Windows 自分の組織の PGP Universal Server から鍵を取得する 公開鍵は単なるテキストのブロックであるため、鍵リングへの追加に手間がか かりません。まずファイルからインポートするかまたは電子メール メッセージからコピーして、PGP Desktop の公開鍵リングにペーストするだけです。 鍵サーバーからの取得 暗号化されたメールの送信相手が経験豊富な PGP Desktop ユーザーの場合、その人の公開鍵が PGP Global Directory または別の公開鍵サーバーに登録されていることがあります。その場合には、 相手にメール送信する際に、常に最新の鍵のコピーを簡単に取得できます。ま た、自分の公開鍵リングに大量の鍵を保存する必要もなくなります。 PGP Corporation によって維持されている PGP Global Directory など、公開鍵サーバーは世界中に多く設置されており、ほとんどの PGP ユーザーの鍵を見つけることができます。受信者の公開鍵が保存されている Web アドレスを教えてもらっていない場合は、任意の鍵サーバーにアクセスし、そ のユーザー名または電子メール アドレスを検索できます。すべての公開鍵サーバーが、他のすべてのサーバー に保存された鍵を含むように定期更新されているわけではないため、この方法 はうまくいく場合もあれば、いかない場合もあります。 PGP Universal Server で保護されたドメインにいる場合は、PGP Universal Server に組み込まれた鍵サーバーを使用するように PGP 管理者から指示を受ける場合があります。この場合、使用中の PGP Desktop ソフトウェアは、既に適切な PGP Universal Server にアクセスするように構成されていることがあります。 同様に、PGP Universal Server はデフォルトで PGP Global Directory と通信するように構成されています。したがって、この PGP エコシステムによって鍵の検索と検証の負荷が分散されます。 鍵サーバーから特定の相手の公開鍵を取得するには 1 PGP Desktop を開いて、[PGP 鍵] コントロール ボックスをハイライトします。 2 [PGP 鍵] コントロール ボックスで [鍵の検索] を選択します。 作業領域に [鍵の検索] 画面が表示されます。 3 検索条件を指定して、[検索] をクリックします。特定の鍵サーバーだけを検索する場合は、[検索] フィールドをクリックし、鍵サーバーを選択します。検索する鍵サーバー が、現在のリストに含まれていない場合は、 [Edit Keyserver List (鍵サーバー リストの編集) ] を選択して追加します。 61 PGP 鍵の使用 PGP Desktop for Windows 鍵の特徴を示す値を複数指定して、鍵サーバーで鍵を検索することもでき ます。ほとんどの操作は逆にも指定できます。たとえば、検索条件に「Us er ID is not Charles」と指定して検索できます。 検索の結果が表示されます。 検索によって鍵リングに追加する公開鍵が見つかった場合は、[PGP 鍵] コントロール ボックスの [自分の鍵リングに追加] をクリックします。 選択した PGP 鍵が鍵リングに追加されます。 4 ヒント : きわめて一般的な名前 (例えば「Name 」、「contains 」、「John 」) を検索する検索基準を設定すると、最初に一致するもののみが返されます。 これはフィッシング (鍵サーバーからの鍵取り) を防止するための仕様です。一般的な名前やドメインは、正しい鍵を検索す るために名前または電子メール アドレス全体を入力する必要のある場合があります。 電子メール メッセージからの公開鍵の取得 だれかの公開鍵のコピーを入手する場合は、本人に電子メール メッセージに添付してもらうと便利です。 公開鍵を電子メール メッセージの添付ファイルとして追加するには 1 電子メール メッセージを開きます。 2 公開鍵が含まれる .asc ファイルをダブルクリックします。ファイル形式が PGP Desktop に認識され、[鍵の選択] ダイアログ ボックスが開きます。 3 指示が表示されたら、ファイルを開くように指定します。 4 鍵リングに追加する公開鍵を選択し、[インポート] をクリックします。 鍵サーバーの使用 PGP Desktop では、次の種類の鍵サーバーが認識されます。 62 PGP 鍵の使用 PGP Desktop for Windows PGP Universal 鍵サーバー。PGP Desktop を PGP Universal Server で保護されたドメインで使用している場合、関連する PGP Universal Server に組み込まれている鍵サーバーとだけ通信するように、PGP Desktop は事前に設定されています。PGP Desktop に対しては、これは信頼された鍵サーバーで、PGP Desktop は自動的にこの鍵サーバー上にあるすべての鍵を信頼します。ただし、PG P Universal Server から PGP Desktop に対して、信頼していない鍵の指定があった場合は除きます (この状況は発生する場合があります。たとえば、リモート鍵の署名を検証 する場合などです)。 PGP Universal 鍵サーバーのアドレスは https://keyserver.example.com のようなものです。 PGP Global Directory。PGP Universal Server で保護されているドメインの外側で PGP Desktop を使用している場合は、PGP Desktop は、PGP Global Directory 『https://keyserver.pgp.com』 と通信するように事前に設定されます。 PGP Global Directory は、PGP Corporation によってホストされている無料の公開鍵サーバーであり、このサーバーを 使用してさまざまな PGP の鍵へ簡単にアクセスできます。これには、未使用の鍵、電子メール アドレスに設定された複数の鍵、偽造された鍵のほか、古い鍵サーバーで 発生していたその他の問題で鍵サーバーが一杯にならないように、各電子 メール アドレスに関連付けられた鍵を検証する次世代の鍵サーバー テクノロジが使用されています。また、ユーザーは PGP Global Directory によって、鍵の置き換え、鍵の削除、電子メール アドレスへの鍵の追加など、自分の鍵の管理を行うことができます。PGP Global Directory を使用すると、セキュリティ保護されたメッセージを送る相手の公開鍵を 見つけやすくなります。 PGP Desktop にとって PGP Global Directory は信頼された鍵サーバーであり、PGP Desktop は自動的に PGP Global Directory 上にあるすべての鍵を信頼します。PGP Global Directory への初期接続の際に、PGP Global Directory の検証鍵がダウンロード後に署名され、ディレクトリに発行した鍵によっ て信頼されます。PGP Global Directory の鍵はユーザーの鍵リングにも追加されます。そのため、PGP Global Directory で検証された鍵はすべて、PGP Desktop で有効と見なされます。 PGP Universal サービス プロトコル : PGP Universal サービス プロトコル (USP) は、標準のHTTP/HTTPS 上で動作する SOAP プロトコル オペレーティングシステムです。これはデフォルトの鍵検索メカニズムで す。PGP Universal Server で管理された環境では、すべての鍵検索要求、および PGP Universal Server と PGP Desktop との間のすべての通信に PGP USP が使用されます。. 63 PGP 鍵の使用 PGP Desktop for Windows その他の鍵サーバー。ほとんどの場合、その他の鍵サーバーはその他の公 開鍵サーバーです。ただし、所属する企業経由やその他の方法で、秘密鍵 サーバーにアクセスできる場合もあります。 鍵サーバーの使用の詳細については、「鍵のオプション 『ページ : 344の"鍵オプション"参照先 : 』」を参照してください。 マスター鍵の使い方 [マスター鍵] リストは、メッセージング、ディスク暗号化、PGP NetShare および PGP Zip 用の鍵を選択するときに毎回、デフォルトでセットとして追加される鍵です。 これにより、繰り返し使用する公開鍵を [Recipients (受信者)] フィールドにドラッグする手間が省けます。 メモ : セットアップ アシスタントを使用して鍵を生成すると、その鍵はマスター鍵リストに自動 的に追加されます。鍵の生成を省略して PGP Desktop に鍵をインポートした場合、鍵はマスター鍵リストに自動的には追加されま せん。 64 PGP 鍵の使用 PGP Desktop for Windows マスター鍵リストへの鍵の追加 マスター鍵リストに鍵を追加するには 1 PGP Desktop で [ツール] > [オプション] の順に選択します。 2 [マスター鍵] タブを選択します。 3 マスター鍵リストを使用するには、[Use Master Key List (マスター鍵リストの使用)] チェック ボックスをオンにします。このボックスをオンにしなければ、マスター鍵 リストの鍵の追加や削除はできません。 4 [追加] をクリックします。[マスター鍵の選択] ダイアログ ボックスが表示されます。 5 左側の [鍵ソース] リストから、使用する鍵を選択します。鍵が複数ある場合は、Shift キーまたは Ctrl キーを押しながら鍵をクリックして選択できます。 6 使用する鍵を選択したら、[追加] をクリックします。 ヒント : 含めたくない鍵が右側の [追加する鍵] のリストに表示されている場合、それらを選択して [削除] をクリックします。 7 鍵の選択が終わったら、[OK] をクリックします。選択した鍵が [マスター鍵リスト] に表示されます。 マスター鍵リストからの鍵の削除 マスター鍵リストから鍵を削除するには 1 PGP Desktop で [ツール] > [オプション] の順に選択します。 2 [Master Keys (マスタ鍵)] タブを選択します。 3 マスター鍵リストを使用するには、[Use Master Key List (マスター鍵リストの使用)] チェック ボックスをオンにします。このボックスをオンにしなければ、マスター鍵 リストの鍵の追加や削除はできません。 4 削除する鍵 (1 つまたは複数) を選択します。鍵が複数ある場合は、Shift キーまたは Cmd キーを押しながら鍵をクリックして選択できます。 5 [削除] をクリックします。鍵 (1 つまたは複数) が削除されます。 65 PGP 鍵の使用 PGP Desktop for Windows 66 6 PGP 鍵の管理 ここでは、PGP Desktop アプリケーションで鍵を管理する方法について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 鍵のプロパティの確認と設定 .................................................................. 68 写真 ID の使用 ......................................................................................... 69 鍵のユーザー名と電子メール アドレスの管理........................................ 70 公開鍵と X.509 公開鍵証明書のインポート ............................................ 72 パスフレーズの変更................................................................................. 74 鍵、ユーザー ID、署名の削除 ................................................................. 75 公開鍵の有効化と無効化 ......................................................................... 76 公開鍵の検証 ........................................................................................... 77 公開鍵の署名 ........................................................................................... 78 鍵検証のための信頼度指定...................................................................... 81 サブ鍵の使用 ........................................................................................... 82 予備復号化鍵の使用................................................................................. 87 失効権限機能の使用................................................................................. 89 鍵の分割と再結合 .................................................................................... 91 鍵またはパスフレーズを失った場合 ....................................................... 95 鍵の保護................................................................................................. 100 67 PGP 鍵の管理 PGP Desktop for Windows 鍵のプロパティの確認と設定 PGP 鍵作業領域には、鍵に関する以下の重要な詳細情報を表示することができます 。 名前 電子メール アドレス 有効性 サイズ 鍵 ID 信頼 作成日 有効期限 予備復号化鍵 (ADK) ステータス 鍵の説明 鍵の使用方法 表示する詳細情報を選択するには、[Keys (鍵) ] 項目をクリックしたあと、[View (表示) ] > [Columns (列) ] を選択して、表示する列を選択します。 ただし、鍵のプロパティを確認すると、さらに詳細な情報を表示したり、特定 の情報を変更したりすることができます。 メモ :PGP Universal Server で管理された環境で、鍵モードが SKM の場合、鍵の情報は変更できません。また、SKM 鍵の有効期限は永久に切れないように設定されています。鍵モードを確認す る際は、「鍵モード 『ページ : 143』」を参照してください。 鍵のプロパティを表示するには、次の手順に従います。 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 68 PGP 鍵の管理 PGP Desktop for Windows 2 プロパティを表示する鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 写真 ID の使用 Diffie-Hellman/DSS と RSA の鍵には、証明写真を含めることができます。 証明写真を暗号鍵に追加するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[自分の秘密鍵] を選択します。 2 PGP 鍵作業領域で、証明写真を追加する自分の秘密鍵をダブルクリックします 。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 プレースホルダの鍵と輪郭のアイコンを右クリックし、[Add Photo ID (証明写真の追加) ] を選択します。[Add Photo (証明写真の追加) ] ダイアログ ボックスが表示されます。 4 写真を [Add Photo (証明写真の追加) ] ダイアログ ボックスにドラッグするか貼り付けます。または、[Select File (ファイルの選択) ] をクリックして写真を参照します。 5 [OK] をクリックします。[パスフレーズ] ダイアログ ボックスが開きます。 6 変更している鍵のパスフレーズを入力してから、[OK] をクリックします。証明写真が公開鍵に追加されます。 69 PGP 鍵の管理 PGP Desktop for Windows 証明写真を削除するには [Key Properties (鍵のプロパティ) ] ダイアログですでに添付されている写真を右クリックし、[Remove Photo ID (証明写真の削除) ] を選択します。これで暗号鍵から証明写真が削除されます。 写真 ID をコピーするには、次の手順に従います。 [鍵のプロパティ] ダイアログ ボックスに既に添付されている写真を右クリックして、[Copy Photo ID (写真 ID のコピー)] を選択します。次に、写真を別の鍵またはグラフィック プログラムに貼り付けます。 鍵のユーザー名と電子メール アドレスの管理 PGP Desktop では、1 つの鍵ペアにユーザー名と電子メール アドレスを複数追加する機能がサポートされています。他のユーザーは、追加 されたユーザー名と電子メール アドレスを基に公開鍵を見つけて、暗号化メッセージを送信できます。 新しいユーザー名または電子メール アドレスを鍵に追加するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[自分の秘密鍵] を選択します。 2 PGP Key 作業領域で、ユーザ名または電子メールアドレスを追加する秘密鍵をダブ ルクリックします。ダブルクリックした鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [Add Email Address (電子メール アドレスの追加)] をクリックします。[PGP New User Name (PGP 新規ユーザー名) ] ダイアログ ボックスが表示されます。 4 適切なフィールドに新しい名前と電子メール アドレスを入力し、[OK] をクリックします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレーズの入力)] ダイアログ ボックスが表示されます。 5 変更するあなたの秘密鍵に設定したパスフレーズを入力し、[OK] をクリックします。 70 PGP 鍵の管理 PGP Desktop for Windows 6 新しいユーザー名と電子メール アドレスをあなたの鍵の一次識別子 (プライマリ ネーム) として設定するには、[Key Properties (鍵のプロパティ) ] ダイアログ ボックスで現在のプライマリ鍵ホルダの名前をクリックし、追加したユー ザーを選択します。 7 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスを終了します。PGP Desktop の鍵リストで、鍵に関連付けられたユーザー名リストの最後に新しい名前 が追加されます。 鍵に関連付けられたプライマリ ネームを変更するには 1 次のいずれか 1 つを実行します。 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで、現在のプライマリ鍵ホルダの名前をクリックし、表示さ れたリストからユーザーの名前を選択します。 PGP Desktop で、鍵リストからあなたの鍵を展開し、一次識別子として設定するユ ーザー名を右クリックしたあと、ショートカット メニューから [Set as Primary Name (プライマリ ネームとして設定) ] を選択します。 鍵ペアから名前/電子メール アドレスを削除するには 1 鍵のリストから、鍵名の左にあるプラス記号をクリックして鍵を展開しま す。 2 削除するユーザー ID を選択します。 3 キーボードの Delete キーを押します。確認のダイアログ ボックスが表示されます。 ヒント : Windows システムの場合は [編集] > [削除]、Mac OS X システムの場合は [編集] > [Clear (クリア)] を選択することもできます。 4 [削除] をクリックします。ユーザー ID が削除されます。 71 PGP 鍵の管理 PGP Desktop for Windows 公開鍵と X.509 公開鍵証明書のインポート PGP 公開鍵と PKCS-12 X.509 公開鍵証明書 (多くの Web ブラウザで使用されているデジタル証明書の形式) を PGP Desktop の鍵リングと PKCS-7 public X.509 証明書にインポートすることができます。また、コピーおよび貼り付け操作を 使って、Privacy Enhanced Mail (PEM) 形式の X.509 公開鍵証明書をブラウザから公開鍵リングにインポートすることもできます。 他のユーザーの PGP 公開鍵をインポートして鍵リングに追加する方法は多数あります。次の操作の いずれかを行ってください。 コンピューター上でファイルをダブルクリックする。PGP Desktop がファイル形式を認識すると、ファイルを開き、そのファイルの公開鍵を インポートするかどうかを尋ねます。 PGP Desktop で公開鍵ファイルのインポートを選択する。 公開鍵を含むファイルを [PGP Keys (PGP 鍵) ] ウィンドウにドラッグする。 PGP Desktop には、このタスクに役立つ証明書インポート アシスタントが用意されています。詳細については、「証明書インポート アシスタントの使用 『ページ : 72』」を参照してください。 メモ : PGP Desktop を PGP Universal Server 管理環境下で使用し、登録中にトークンで X.509 証明書をインポートした場合 (PGP 鍵として証明書のインポートを選択)、手動で鍵リングをトークンおよびスマ ート カードと同期オプションを有効にする必要があります。これを行うには、PG P Desktop で [ツール] > [オプション] を選択して、[鍵] タブをクリックします。鍵を PGP Whole Disk Encryption で正常に動作させるには、このステップが必要です。 証明書インポート アシスタントの使用 X.509 証明書はファイル、Windows 個人証明書ストア、スマート カードから PGP Desktop にインポートすることができます。Windows 個人証明書ストアに表示されるスマート カード ベースの証明書もインポートすることができます。証明書インポート アシスタントはインポート処理を順を追ってガイドします。 ファイルから証明書をインポートする際は、PEM、PFX、P7b、P12 という拡張子の付いたファイルのみ使用できます。 72 PGP 鍵の管理 PGP Desktop for Windows メモ :Windows 個人証明書ストアからの証明書を使用する場合、証明書のパスワードまたは PIN を Windows 自体 (または、スマート カード ベースの Windows 個人証明書を使用している場合は、サードパーティのスマート カード ソフトウェア) から要求されます。 Windows 個人証明書ストアからの証明書を使用する場合、PGP Desktop 内で証明書のパスワードを変更するなどの一部の操作は許可されていません 。そのような操作を実行するには、Windows (またはスマート カード) ソフトウェアを使用してください。 証明書インポート アシスタントを使用して証明書をインポートするには 始める前に : インポートする証明書のパスフレーズを確認してください。 1 2 次のいずれかの操作で、アシスタントを起動します。 [File (ファイル) ] > [Open (開く) ] を選択する。 [File (ファイル) ] > [Import Personal Certificates (個人証明書のインポート) ] を選択する。 公開鍵を含むファイルを [PGP Keys (PGP 鍵) ] ウィンドウにドラッグする。 PGP Universal で管理された環境で PGP Desktop を使用していて、管理者が証明書をインポートできる方法を選択できるよ うに指定している場合、次のいずれかを選択します。 [Onto an existing key (既存の鍵上) ] : 証明書は、既に鍵リングにある鍵に追加されます。 [As new PGP key(s) (新しい PGP 鍵として) ] : インポート済みの証明書を使用して新しい PGP 鍵が作成されます。 [As PGP X.509 wrapper key(s) (PGP X.509 ラッパー鍵として) ] : インポート済みの証明書を使用して新しい PGP 鍵が作成されます。PGP Desktop により新しい鍵が X.509 証明書として処理されます。 3 選択したら、[次へ] をクリックします。[Certificate Passphrase Entry (証明書のパスフレーズ エントリ) ] 画面または [PGP Enter Passphrase (PGP 鍵のパスフレーズの入力) ] ダイアログ ボックスが表示されます。 4 証明書のパスワードを指定し、[次へ] をクリックします。 [既存の鍵上] オプションを使用して証明書をインポートした場合は、[鍵の選択] 画面が表示されます。 次の手順に進みます。 [As new PGP key(s) (新しい PGP 鍵として) ] オプションを使用して証明書をインポートした場合は、鍵が生成され ます。[完了] をクリックします。処理が完了します。 73 PGP 鍵の管理 PGP Desktop for Windows [As PGP X.509 wrapper key(s) (PGP X.509 ラッパー鍵) ] オプションを使用して証明書をインポートした場合は、[Select key(s) (鍵の選択) ] ダイアログ ボックスが表示されます。鍵をクリックして選択し、[インポート] をクリックすると、PGP X.509 ラッパー鍵が生成されます。処理が完了します。 5 [Onto an existing key (既存の鍵上) ] オプションを使用して証明書のインポートを実行するには、[Select Key (鍵の選択) ] ダイアログ ボックスで証明書のインポート対象の鍵を選択し、鍵のパスワードを入力 します。 [次へ] をクリックします。 6 証明書が鍵にインポートされる際に、[Key Generation Progress (鍵生成の進捗状況) ] ダイアログ ボックスが表示されます。 7 [完了] をクリックします。処理が完了します。 パスフレーズの変更 パスフレーズは 3 か月おきなど、定期的に変更することを推奨します。特に、パスフレーズの入 力時に他人に肩越しにキーボードを見られたなど、パスフレーズが傍受された と考えられる場合は、直ちにパスフレーズを変更してください。 分割鍵のパスフレーズを変更するには、事前に分割鍵を再結合する必要があり ます。 ヒント :鍵のパスフレーズを変更しても、鍵のコピー (作成したバックアップなど) のパスフレーズは変更されません。鍵が傍受されたと考えられる場合は、以 前のバックアップ コピーを完全に細断処理してから、新規に鍵のバックアップを作成すること を推奨します。 PGP Universal Server 管理環境にいる場合、鍵モードが SKM のときは、鍵のパスフレーズを変更できません。SKM 鍵は、ランダムに生成された (つまり、それ自体保護された) パスフレーズで保護されているので、SKM 鍵のパスフレーズを入力するための指示が表示されることはありません。鍵モ ードを確認する際は、「鍵モード 『ページ : 143』」を参照してください。 秘密鍵のパスフレーズを変更するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[自分の秘密鍵] を選択します。 74 PGP 鍵の管理 PGP Desktop for Windows 2 PGP 鍵作業領域で、パスフレーズを変更する自分の秘密鍵をダブルクリックし ます。[Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [パスフレーズの変更] をクリックします。PGP パスフレーズ アシスタントが表示されます。 4 秘密鍵の現在のパスフレーズを入力し、[Next (次へ) ] をクリックします。[Create Passphrase (パスフレーズの作成) ] ダイアログ ボックスが表示されます。 5 最初のテキスト フィールドに新しいパスフレーズを入力し、[Re-Enter Passphrase (パスフレーズの再入力) ] フィールドにもう一度パスフレーズを入力して新しいパスフレーズを確認 します。 パスフレーズの入力時にキー操作を表示するには、[Show Keystrokes (キー操作の表示) ] チェックボックスをオンにします。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 368』」 を参照してください。 6 [完了] をクリックします。これで、パスフレーズが変更されます。 鍵、ユーザー ID、署名の削除 PGP Desktop では、鍵リングにある鍵だけでなく、鍵のユーザー ID や署名も管理できます。 鍵リング上の公開鍵を使用すると、鍵全体、鍵に設定されたいずれかのユーザ ー ID、鍵の署名を一部または全部を削除できます。 また、鍵ペアを使用すると、鍵ペア全体や、いずれかまたはすべての署名を削 除でき、鍵ペア上のユーザー ID (ただし、鍵ペア上の唯一のユーザー ID を除く) も削除できます。 ただし、唯一のユーザー ID である場合は、ユーザー ID を削除できません。また、鍵から自己署名を削除することもできません。 PGP 鍵リングから鍵、ユーザー ID、署名を削除するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 75 PGP 鍵の管理 PGP Desktop for Windows 2 次のいずれか 1 つを実行します。 鍵を削除するには、鍵を右クリックして、表示されるコマンド一覧か ら [Delete (削除) ] を選択し、[Confirmation (確認) ] ダイアログ ボックスで [OK] をクリックします。鍵が鍵リングから削除されます。 ユーザー ID (公開鍵から) または署名を削除するには、鍵の左側にあるプラス記号をクリックし て、ユーザー ID と署名を表示します。削除するユーザー ID または署名が表示されたら、それを右クリックして、表示されるコマ ンド一覧から [Delete (削除) ] を選択し、[Confirmation (確認) ] ダイアログで [OK] をクリックします。 ユーザー ID または署名が削除されます。 公開鍵の有効化と無効化 公開鍵を後で使用するために保管しておくと、メールを送信するたびに鍵に送 信先のアドレスが追加され、受信者リストがいっぱいになることがあります。 このような場合には、鍵リングの公開鍵を一時的に無効にすることができます 。 「暗黙的に信頼される」鍵ペアを無効にすることはできません。暗黙的な信頼 に設定されている鍵を無効にするには、まず、信頼ステータスを [なし] に変更する必要があります。 公開鍵を無効または有効にするには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 無効にする公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [Key Properties (鍵のプロパティ)] で [Enabled (有効)]フィールドを探します。 現在の [Enabled (有効)] 設定が [Yes (はい)] の場合は、公開鍵が有効になっています。公開鍵を無効にするには、[ Yes (はい)] を一度クリックします。[Enabled (有効) ] フィールドが [No (いいえ) ] に変わり、公開鍵が無効になります。 76 PGP 鍵の管理 PGP Desktop for Windows 現在の [Enabled (有効)] 設定が [No (いいえ)] の場合は、公開鍵が無効になっています。公開鍵を有効にするには、[ No (いいえ)] を一度クリックします。[Enabled (有効)] フィールドが [Yes (はい)] に変わり、公開鍵が有効になります。 また、無効になった公開鍵は暗号化、署名などに使用できません。ただし、復 号化や検証には、無効になった公開鍵を使用できます。 ヒント : また、PGP Universal Server で鍵リングの鍵を同期できます。このオプションは鍵リングの公開鍵を有効/ 無効にするために主に使用されます。これを行うには、鍵を右クリックして 、[同期] を選択します。 公開鍵の検証 公開鍵をリムーバブル メディアなどに入れて手渡しで受け取るか、PGP Global Directory から取得した場合以外は、その公開鍵が特定の個人に属するものであるかどう かを確認するのは困難です。公開鍵をリムーバブル メディアで交換する方法は一般に、実用的ではありません。交換相手が遠方に いる場合は特にそうです。 それでは、PGP Global Directory 以外の公開鍵サーバーから取得した公開鍵が、その鍵にリストされている本人 の公開鍵であることを確認するにはどうしたらよいのでしょうか。これには、 鍵の指紋情報を確認する必要があります。 公開鍵の指紋情報を調べる方法は複数ありますが、本人に電話をかけて指紋情 報を読み上げてもらうのが一番安全です。本人でないユーザーがこの電話を傍 受して、その本人になりすます可能性は非常に低いと言えるからです (攻撃の対象として狙われやすい人物である場合は除きます)。また、公開鍵のコ ピーに添付されている指紋情報と、公開鍵サーバーにあるオリジナルの公開鍵 の指紋情報を比べる方法もあります。 フィンガープリントの表示形式には、他と重複しない単語リスト形式または 16 進数形式の、2 とおりがあります。 公開鍵のデジタル指紋を確認するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 指紋情報を調べる公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 77 PGP 鍵の管理 PGP Desktop for Windows 指紋情報は 16 進数形式 (4 文字を 1 セットとする 10 セットの文字列) かバイオメトリクス形式 (1 列につき 5 つの異なる単語を含む 4 列) で、名前と電子メール アドレスの下に表示されます。 3 公開鍵の指紋情報をオリジナルのものと比べます。2 つの情報が同じであれば、本物の公開鍵であることを意味します。この情 報が異なる場合は、本物の公開鍵ではありません。 バイオメトリクス形式の単語リストには PGP Desktop が使用している特殊な認証用語が含まれており、音声学的な曖昧さがなく 理解しやすい単語が厳選されています。 たとえば軍隊のパイロットでは、雑音の多い通信でも情報を正しく理解で きるように特殊な単語がアルファベットの代わりに使用されています。 4 公開鍵が本物ではないことが判明したら、その鍵を削除してください。 5 Web ブラウザを開いて PGP Global Directory 『https://keyserver.pgp.com』 に移動し、本物の公開鍵を検索します。 公開鍵の署名 鍵ペアを作成すると、鍵に署名が自動的に添付されます。同様に、他のユーザ ーの公開鍵が本人のものであると判明したら、その公開鍵を検証したことを示 すために、そのユーザーの公開鍵に署名を添付できます。他のユーザーの公開 鍵に署名すると、その公開鍵に対して、あなたのユーザー名とともに署名アイ コンが添付されます。 バックアップした鍵や別のコンピューターから鍵ペアをインポートした場合は 、インポート元の鍵にも署名してください。 メモ : PGP Universal Server で管理された環境で PGP Desktop を使用している場合、鍵の署名が無効になっている場合があります。 他のユーザーの公開鍵に署名するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 次のいずれか 1 つを実行します。 [Keys (鍵) ] メニューから [Sign (署名) ] を選択します。 署名する鍵を右クリックし、表示されるコマンド一覧から [Sign (署名) ] を選択します。 78 PGP 鍵の管理 PGP Desktop for Windows [PGP 署名鍵] ダイアログ ボックスが表示され、テキスト ボックスにユーザー名、電子メール アドレスおよび 16 進数指紋が表示されます。 3 この公開鍵とともに自分の署名をエクスポートできるよう、[Allow signature to be exported (署名のエクスポートを許可して他のユーザーが自分の署名に依存できるよ うにする) ] チェック ボックスをオンにします。 署名をエクスポートできるようにすると、サーバーに送信することができ るようになります。このチェック ボックスは、他のユーザーがあなたの署名を確認し、あなたの公開鍵を安 心して使用できるように、署名をエクスポートしたいことを示す簡単な手 段となります。 4 [More Choices (詳細設定) ] をクリックすると、署名の種類や有効期限などのオプションを設定できま す。 5 公開鍵に含める署名の種類を選択してください。オプションは次のとおり です。 エクスポート不可 : ある公開鍵が有効であると確信していても、他のユーザーに対してそ の公開鍵が有効であることを保証したくないときには、エクスポート 不可の署名を使用します。この種の署名は、関連付けられている鍵と 一緒に鍵サーバーに送信したり、エクスポートしたりすることはでき ません。 エクスポート可能 : 他のユーザーが自分の署名を確認し、公開鍵を安心して使用できるよ うにするために、署名を添付した公開鍵を鍵サーバーに送信する場合 は、このオプションを選びます。これは [Sign Keys (鍵の署名) ] メニューで [Allow signature to be exported (署名のエクスポートを許可して他のユーザーが自分の署名に依存でき るようにする) ] チェック ボックスをオンにした状態と同じ結果になります。 メタ紹介者のエクスポート不可「信頼する紹介者による有効性表明」 のある公開鍵やその公開鍵で署名されたすべての公開鍵は、自分にと って完全に信頼できることを証明します。この署名タイプは、エクス ポート対象外です。 [Trusted Introducer Exportable (信頼する紹介者エクスポート可能)] :その公開鍵が有効であること、さらにその公開鍵の所有者が他の公開 鍵を保証するだけの信頼レベルがあると証明するときは、この署名を 使用します。この署名タイプは、エクスポート対象です。信頼する紹 介者が検証できる範囲を特定の電子メール ドメインに制限することもできます。 79 PGP 鍵の管理 PGP Desktop for Windows 6 [信頼の最大深度] オプションを使用すると、信頼する紹介者のレベルを数値で指定できます 。たとえば、このオプションを 1 に設定すると、上位紹介者の公開鍵では紹介者レベルが 1 つだけ許可されます。 7 信頼する紹介者の公開鍵が特定のドメインのみを検証できるように指定す るには、[Domain Restriction (ドメインの制約)] テキスト ボックスにそのドメイン名を入力してください。 8 [有効期限] フィールドで [無期限] を選択するか、この署名の期限が終了する日を指定します。 9 [OK] をクリックします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレーズの入力)] ダイアログ ボックスが表示されます。 10 リストから署名する公開鍵を選択し、必要に応じて署名鍵のパスフレーズ を入力します。パスフレーズが既にキャッシュされている場合は、再度入 力する必要はありません。 11 [OK] をクリックします。これで公開鍵に署名が添付されます。 公開鍵からの署名の破棄 場合によっては、鍵リングの鍵から署名を破棄したいと思うことや、または破 棄する必要に迫られることがあるかもしれません。 署名を破棄するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 署名を破棄する鍵を展開して、署名した鍵を表示させます。 3 署名した鍵を右クリックして、表示されるコマンドのリストから [破棄] を選択します。[Revoke Signature (署名の失効) ] ダイアログ ボックスが表示されます。 4 (署名を破棄するための)鍵の [鍵 ID] および [名前] が正しいことを確認して、[OK] をクリックします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレーズの入力)] ダイアログ ボックスが表示されます。 5 パスフレーズを入力して [OK] をクリックします。お使いの署名が鍵から破棄されます。 80 PGP 鍵の管理 PGP Desktop for Windows メモ : あなたの署名がエクスポート可能で、エクスポート可能な署名を添付した公 開鍵を配布した場合は、他のユーザーが破棄を確認できるようになる前に、 破棄された署名を添付した公開鍵を配布する必要があります。 鍵検証のための信頼度指定 鍵の所有者を証明した後、さらに鍵の所有者に信頼レベルを割り当てることも できます。この信頼レベルは、今後他のユーザーから鍵を受け取ったときに、 鍵の所有者をそのユーザーの紹介者として信頼する度合いを示します。 つまり、鍵の所有者を自身で調べる以前に、信頼できると指定された個人によ って署名された鍵を妥当と見なすということです。 鍵は署名した後ではじめて、信頼レベルを設定できます。 公開鍵の信頼度は [なし]、[ある程度信頼する]、[信頼済み] のいずれかです。また鍵ペアの信頼度は [なし] または [暗黙的な信頼] (自分で作成した鍵なので信頼できるという意味) のいずれかです。他のユーザーの鍵ペアは、所有する必要がありません。 鍵の信頼度の詳細については、『暗号技術の基礎』を参照してください。 メモ : PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、公開鍵の信頼度を指定する機能が無効にされている 場合があります。 公開鍵の信頼度を指定するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 信頼度を指定する公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [信頼度] フィールドを確認します。 4 現在の設定をクリックし、リストから設定を選択します。 公開鍵で信頼度を指定する際には、[なし]、[ある程度信頼する]、[信 頼済み] のいずれかを選択できます。[None (なし) ] は公開鍵の所有者を紹介者として信頼しない、[Marginal (ある程度信頼する) ] は全面的ではないが信頼する、[Trusted (信頼済み) ] は完全に信頼するという意味です。 81 PGP 鍵の管理 PGP Desktop for Windows 鍵ペアで信頼度を指定するときには、[なし] または [暗黙的に信頼する] のいずれかを選択できます。 このオプションを設定しなければならないのは、バックアップや他の コンピューターからインポートした鍵ペアだけです。 サブ鍵の使用 PGP Desktop の鍵ペアは、次の要素で構成されます。 マスター鍵 (署名専用) 1 つの必須のサブ鍵 (暗号化用) 1 つ以上のオプションの個別のサブ鍵 (署名、暗号化、または署名/暗号化に使用) マスター鍵はデフォルトで署名に使用され、サブ鍵は常に暗号化に使用されま す。これにより、マスター鍵やマスター鍵の署名に影響を与えずに個別の暗号 化サブ鍵を失効、削除、または PGP Desktop 鍵ペアに追加できるので、PGP Desktop 鍵ペアのセキュリティが向上します。 マスター鍵と必須の暗号化サブ鍵に加えて、PGP Desktop 鍵ペアに追加のサブ鍵を 1 つ以上作成することもできます。暗号化のみ、署名のみ、または暗号化と署名 の両方に使用できるサブ鍵の任意の組み合わせを作成できます。 鍵ペアのサブ鍵は、[鍵のプロパティ] ダイアログ ボックスから表示できます。[Usage (使用方法)] 列には、サブ鍵が実行する機能が表示されます。 鍵 説明 暗号化サブ鍵には、青い錠前の記号が表示されま す。 署名用のサブ鍵には、青いペンの記号が表示され ます。 暗号化と署名の両方に使用するサブ鍵には、両方 の記号が表示されます。 デフォルトの暗号化サブ鍵には、左上隅に小さな 緑のチェックマークが表示されます。 デフォルトの署名用サブ鍵には、左上隅に小さな 緑のチェックマークが表示されます。 82 PGP 鍵の管理 PGP Desktop for Windows 別のサブ鍵の使用 別のサブ鍵を追加しておくと便利なことを示した事例を、次にいくつか示しま す。 複数の暗号化サブ鍵 は、鍵ペアの有効期間の種々の部分で有効であるため、セキュリティの補 強に有効です。一度に 1 つの暗号化サブ鍵だけが有効になるように、開始日と有効期限を設定した 暗号化サブ鍵を作成できます。たとえば、将来の 1 年間だけ有効な暗号化サブ鍵を、複数作成できます (日付は正しく指定してください)。使用される暗号化サブ鍵は、1 年ごとに変更されます。このようにすると、新しい公開鍵の作成や配布を 行う必要なしに、定期的に新しい暗号化鍵に自動的に切り替えることがで き、セキュリティ対策としての利便性が高まります。期限切れのサブ鍵に は、赤い時計の印がある鍵アイコンが表示されます。 法的な拘束力のあるデジタル署名として署名用に別のサブ鍵を要求される 地域では、別の署名サブ鍵が必要です。 作成できる別のサブ鍵は、使用している鍵ペアのタイプによって異なります。 RSA 鍵ペアの場合は、暗号化用、署名用、暗号化および署名用のサブ鍵を作成 できます。 Diffie-Hellman/DSS 鍵ペアの場合、暗号化用または署名用のサブ鍵は作成できますが、暗号化 と署名の両方の用途のサブ鍵は作成できません。 古い PGP レガシー鍵ペアでは、サブ鍵はサポートされていません。 サブ鍵の表示 自分の鍵ペアのサブ鍵情報は、表示したり変更したりできます。自分の鍵リン グにある公開鍵ペアのサブ鍵情報は、表示はできますが変更はできません。 サブ鍵およびサブ鍵のプロパティを表示するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 次のいずれかの操作を行って、鍵のプロパティを表示します。 プロパティを表示する鍵をダブルクリックする。 83 PGP 鍵の管理 PGP Desktop for Windows 鍵を右クリックし、ショートカット メニューから [Key Properties(鍵のプロパティ) ] を選択する。 鍵リングで鍵をクリックして選択し、[Keys (鍵) ] > [Key Properties (鍵のプロパティ) ] を選択する。 選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで [Subkeys (サブ鍵) ] という見出しをクリックします。 この鍵のサブ鍵が表示されます。 4 サブ鍵のプロパティを表示するには、表示するサブ鍵を右クリックし、シ ョートカット メニューから [サブ鍵のプロパティ] を選択します。 新しいサブ鍵の作成 通常は、ここで説明する方法で新しいサブ鍵を作成します。ただし、初めて PGP Desktop をインストールするときに、[New Key (新しい鍵) ] ウィザードを使用してサブ鍵を作成することもできます。詳細については、「P GP Desktop の初めての使用 『ページ : 20の"PGP Desktop を使用し始める前に"参照先 : 』」を参照してください。 新しいサブ鍵を作成するには 1 [Key Properties (鍵のプロパティ) ] ダイアログの [Subkeys (サブ鍵) ] のセクションにある [Add (追加) ] ボタンをクリックします。[新規ユーザーの作成] ダイアログ ボックスが表示されます。 2 [Use this subkey for (このサブ鍵の使用対象) ] 領域で、新しいサブ鍵の用途に応じて、[Encryption (暗号化) ]、[Signing (署名) ]、または [Encryption and Signing (暗号化と署名) ] を選択します。 3 [Key Size (鍵のサイズ) ] フィールドで、1024 から 4096 ビットの間の鍵サイズを選択するか、1024 から 4096 ビットの間の鍵サイズを入力します。 4 [Start Date (開始日) ] フィールドに、作成するサブ鍵が有効になる日付を入力するか、カレンダ ーから日付を選択します。 5 [Expiration (有効期限) ] 領域で、[Never (無期限) ] を選択するか、[Date (日付) ] を選択します。[Date (日付) ] を選択した際は、日付を指定するか、カレンダーから日付を選択します。 ここで指定する情報は、サブ鍵の期限を制御します。 84 PGP 鍵の管理 PGP Desktop for Windows 6 [OK] をクリックします。[Passphrase (パスフレーズ) ] ダイアログ ボックスが表示されます。 7 パスフレーズを入力し、[OK] をクリックします。これでサブ鍵が作成されます。 鍵の使用方法 (PGP メッセージングのみなど) を指定するには、「サブ鍵の鍵使用方法の指定 『ページ : 85の"サブ鍵の使用方法の指定"参照先 : 』」を参照してください。 サブ鍵の使用方法の指定 各サブ鍵には、独自の鍵使用方法プロパティを割り当てることができます。た とえば、あるサブ鍵を PGP WDE 専用に使用して、別のサブ鍵をその他のすべての PGP Desktop 機能に使用できます。 鍵の使用方法を設定する理由の例としては、ある鍵をディスク暗号化専用に使 用したいが、暗号化された電子メールは受け取りたくないという場合が挙げら れます。PGP メッセージングを許可しない公開鍵を配布した場合、他のユーザーから送信さ れる電子メールはその公開鍵で暗号化されません。 メモ :PGP Universal Server で管理された環境で、鍵モードが SKM の場合、鍵使用フラグは変更できません。鍵モードを確認する際は、「鍵モ ード 『ページ : 143』」を参照してください。 鍵の使用方法を指定するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 次のいずれかの操作を行って、鍵のプロパティを表示します。 プロパティを表示する鍵をダブルクリックする。 鍵を右クリックし、ショートカット メニューから [Key Properties(鍵のプロパティ) ] を選択する。 鍵リングで鍵をクリックして選択し、[Keys (鍵) ] > [Key Properties (鍵のプロパティ) ] を選択する。 選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで [Subkeys (サブ鍵) ] という見出しをクリックします。 この鍵のサブ鍵が表示されます。 85 PGP 鍵の管理 PGP Desktop for Windows 4 サブ鍵のプロパティを表示するには、表示するサブ鍵を右クリックし、シ ョートカット メニューから [サブ鍵のプロパティ] を選択します。 5 [鍵の使用方法] セクションで、この鍵が使用できる PGP Desktop 機能を選択します。項目の横のチェックは、その機能が使用できることを 示します。 6 [閉じる] をクリックしてサブ鍵のプロパティを保存します。 サブ鍵の破棄 サブ鍵を破棄するには 1 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスにある [Subkeys (サブ鍵) ] セクションで、破棄するサブ鍵を選択し、サブ鍵リストの上にある [Revoke (破棄) ] をクリックします。[PGP Warning (PGP 警告) ] ダイアログ ボックスが表示され、サブ鍵を破棄すると他のユーザーがこのサブ鍵を使 ってデータを暗号化できなくなるというメッセージが表示されます。 2 [はい] をクリックしてサブ鍵を破棄するか、[いいえ] をクリックしてサブ鍵の破棄をキャンセルします。[Passphrase (パスフレーズ) ] ダイアログ ボックスが表示されます。 3 パスフレーズを入力し、[OK] をクリックします。サブ鍵が破棄され、アイコンが変わります。 86 PGP 鍵の管理 PGP Desktop for Windows サブ鍵の削除 サブ鍵を削除するには 1 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスにある [Subkeys (サブ鍵) ] セクションで、削除するサブ鍵を選択し、サブ鍵リストの上にある [Remove (削除) ] をクリックします。[PGP 警告] ダイアログが表示され、サブ鍵を削除するとこのサブ鍵を使って他のユー ザーが暗号化したデータを復号化することができなくなるというメッセー ジが表示されます。 2 [はい] をクリックしてサブ鍵を削除するか、[いいえ] をクリックしてサブ鍵の削除をキャンセルします。これでサブ鍵が削除さ れます。 予備復号化鍵の使用 通常、予備復号化鍵 (ADK) は、会社内で社員が送受信したメッセージを、会社のセキュリティ管理者が復 号化する際に使用します。 予備復号化鍵を含めた鍵で暗号化されるメッセージは、受信者の公開鍵と予備 復号化鍵で暗号化されます。これは、予備復号化鍵の所有者もメッセージを解 読できることを意味します。 予備復号化鍵は、PGP Universal Server 管理環境以外では使うことも必要になることもめったにありません。PGP 管理者は、普段は予備復号化鍵を使う必要はありませんが、社員の電子メール を復旧する必要が生じた場合に使用することがあります。たとえば、社員がけ がで長期欠勤している場合や、法的機関が社員の電子メールの記録の提出を求 めたり、裁判で使用する証拠としてそのメールを復号化する必要がある、とい った場合です。 ユーザーは、自分の鍵ペアに設定されている予備復号化鍵のみ変更できます。 鍵ペアへの予備復号化鍵の追加 予備復号化鍵を追加するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上にある秘密鍵が表示されます。 87 PGP 鍵の管理 PGP Desktop for Windows 2 予備復号化鍵を追加する秘密鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [ADK (予備復号化鍵) ] の左に上矢印が表示されている場合は、それをクリックします (予備復号化鍵をすでに設定している秘密鍵にのみ上矢印が表示されます) 。予備復号化鍵の情報が表示されます。 4 [予備復号化鍵] の右側にあるプラス記号のアイコン ([追加]) をクリックします。[Select key(s) (鍵の選択)] ダイアログ ボックスが表示されます。 5 予備復号化鍵として使用する秘密鍵を選択し、[OK] をクリックします。 選択した秘密鍵に予備復号化鍵を追加しても良いかどうかを確認する [PGP Warning (PGP 警告) ] ダイアログ ボックスが表示されます。 6 [はい] をクリックします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレーズの入力)] ダイアログ ボックスが表示されます。 7 予備復号化鍵を追加する秘密鍵のパスフレーズを入力し、[OK] をクリックします。[PGP 情報] ダイアログ ボックスが表示され、秘密鍵に予備復号化鍵が追加されたというメッセー ジが表示されます。 8 [OK] をクリックします。 メモ : あなたの秘密鍵に予備復号化鍵を追加した場合、暗号化した電子メールをあ なたに送信する人は、予備復号化鍵の公開鍵部分にアクセスできる必要があ ります。 予備復号化鍵の更新 予備復号化鍵を更新するには 1 更新する予備復号化鍵をリストから選択します。選択した予備復号化鍵が ハイライトされます。 2 下矢印アイコンをクリックします。これで、予備復号化鍵が更新されます 。 予備復号化鍵の削除 予備復号化鍵を削除するには 1 削除する予備復号化鍵をリストから選択します。選択した予備復号化鍵が ハイライトされます。 88 PGP 鍵の管理 PGP Desktop for Windows 2 マイナス記号のアイコン ([削除]) をクリックします。予備復号化鍵を削除してもよいかどうかを確認する [PGP Warning (PGP 警告)] ダイアログ ボックスが表示されます。 3 [OK] をクリックし、予備復号化鍵を削除します。これで、予備復号化鍵が削除 されます。 失効権限機能の使用 パスフレーズを忘れたり、ラップトップの盗難やハード ドライブのクラッシュにより鍵ペアが失われる可能性は、決して皆無とは言え ません。 鍵の復元オプションを使用して秘密鍵を復元できる場合を除き、秘密鍵を二度 と使用できなくなります。その秘密鍵は失効できないので、他のユーザーに暗 号化しないように伝えてください。このような事態を防ぐためには、第三者を 鍵の失効権限者として指定しておくとよいでしょう。暗号鍵の失効権限者とし て指定されたユーザーに、この暗号鍵の失効を代行してもらえます。 この機能は Diffie-Hellman/DSS と RSA の両方に対して利用できます。 ユーザーは、自分の鍵ペアに設定されている失効権限者情報のみ変更できます 。鍵リング上の公開鍵に失効権限者が指定されている場合、その失効権限者情 報の表示はできますが、変更はできません。 失効権限者の指定 指定された失効権限者を自分の鍵に追加するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上にある秘密鍵が表示されます。 2 失効権限者を追加する鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [破棄権限者] の左に下矢印が表示されている場合は、それをクリックします (破棄権限者をすでに指定している鍵にのみ下矢印が表示されます) 。失効権限者の情報が表示されます。 4 [失効権限者] の右側にあるプラス記号アイコン ([追加]) をクリックします。[Select key(s) (鍵の選択)] ダイアログ ボックスが表示されます。 5 失効権限者の鍵として使用する鍵を選択し、[OK] をクリックします 89 PGP 鍵の管理 PGP Desktop for Windows 選択された鍵に失効者の権限を与えてもよいかどうかを確認する [PGP Warning (PGP 警告)] ダイアログ ボックスが表示されます。 6 [Yes (はい)] をクリックして続けるか、[No (いいえ)] をクリックして操作をキャンセルします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレーズの入力)] ダイアログ ボックスが表示されます。 7 破棄者を追加する鍵ペアのパスフレーズを入力し、[OK] をクリックします。[PGP 情報] ダイアログ ボックスが表示されます。 8 [OK] をクリックします。これで、選択した鍵を使って、指定した破棄権限者が あなたの鍵を破棄できるようになります。鍵を効率的に管理するため、鍵 の現在のコピーを失効権限者 (複数可) に配布するか、鍵サーバーにアップロードします。 鍵の破棄 あなたの鍵ペアの信頼性が疑わしい場合は、あなたの暗号鍵を破棄すると同時 に、他のユーザーにあなたの公開鍵を使わないように通知することができます 。 鍵が破棄されたことを知らせる最善の方法は、最新の公開鍵のコピーを公開鍵 サーバーに公開することです。 鍵を破棄するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上にある秘密鍵が表示されます。 2 破棄する鍵を右クリックし、表示されるコマンド一覧から [Revoke (破棄) ] を選択します。この鍵を破棄するかどうかを確認する [PGP Warning (PGP 警告) ] ダイアログ ボックスが表示されます。 3 [はい] をクリックして選択した鍵の破棄を行うか、[いいえ] をクリックして操作をキャンセルします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレーズの入力)] ダイアログ ボックスが表示されます。 4 破棄する鍵ペアのパスフレーズを入力し、[OK] をクリックします。鍵を破棄すると、鍵が無効になったことを示す、赤い 斜線の入ったマークが付きます。 5 他のユーザーに、その公開鍵が破棄されて使用できなくなったことを知ら せるには、破棄した鍵を同期してください。 90 PGP 鍵の管理 PGP Desktop for Windows 鍵の分割と再結合 秘密鍵は、ブラックリー・シャミール鍵分割法 (秘密情報分散共有法) という暗号化方法を使用して、複数の「シェア所有者」間で共有されるシェア に分割することができます。極めて強力なセキュリティを必要とする暗号鍵に は、この分割鍵を作成することをお勧めします。 たとえば、PGP Corporation では会社の暗号鍵を複数の個人に分割して管理しています。会社の暗号鍵で署 名する必要があるときには、分割された鍵 (シェア) を一時的に再結合します。 分割鍵の作成 分割された暗号鍵は、それぞれの鍵の共有者 (シェア所有者) の公開鍵を使って暗号化され、ファイルとして保存されます。暗号鍵の分割後 は、その鍵を使って署名や復号化を行おうとすると、自動的に暗号鍵の再結合 が開始されます。 複数のシェアに暗号鍵を分割するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上にある秘密鍵が表示されます。 2 分割する鍵ペアをクリックします。選択した鍵ペアがハイライトされます 。 3 [鍵] > [鍵の共有] > [共有する] を選択します。 [PGP 鍵の共有] ダイアログ ボックスが表示されます。 4 [シェア所有者] リストにシェア所有者の鍵をドラッグ アンド ドロップして、分割鍵のシェア所有者を指定します。 公開鍵を持っていないユーザーをシェア所有者リストに追加するには、[追 加] をクリックして、表示されるテキスト ボックスにそのユーザーの名前を入力します。そして、そのユーザーにパ スフレーズを入力してもらいます。この操作では、シェア所有者となるユ ーザーが自分のパスフレーズを実際に入力する必要があります。 5 すべてのシェア所有者の一覧が表示されたら、この鍵を使って復号化や署 名を行う際に必要な鍵シェアの数を指定できます。 デフォルトでは、各シェア所有者がシェアを 1 つずつ管理します。各シェア所有者が制御するシェアの数を増やすには、 シェア所有者のリストでユーザー名をクリックし、矢印を使用してシェア の数を調整します。 91 PGP 鍵の管理 PGP Desktop for Windows 6 [鍵の分割] をクリックします。シェアの保存先ディレクトリを指定するダイアログが 表示されます。 7 鍵シェアを保存する場所を選択し、[OK] をクリックします。[パスフレーズの作成] 画面が表示されます。 8 分割する鍵のパスフレーズを入力し、[OK] をクリックします。確認のダイアログ ボックスが表示されます。 9 [はい] をクリックして、鍵を分割します。鍵が分割され、シェアは指定された場 所に保存されます。各鍵シェアは、シェア所有者の名前をファイル名とし て持ち、SHF という拡張子が付いたファイルとして保存されます。 10 鍵シェアをシェア所有者に配布してから、シェアを保存したローカルのフ ァイルを削除します。 鍵を複数のシェア所有者間で分割すると、それ以降、その鍵を使って署名 や復号化を行うときに、PGP Desktop が自動的に鍵の再結合を開始します。 分割したオリジナルの鍵は確実に保管してください。この鍵は、分割した鍵を 暗号化の目的で再結合する際に必要になります。 分割鍵の再結合 鍵を複数のシェア所有者間で分割すると、それ以降、その鍵を使って署名や復 号化を行うときに、PGP Desktop が自動的に鍵の再結合を開始します。分割鍵は、ローカルとリモートのどちら でも再結合できます。 ローカルで鍵シェアを再結合するときは、結合を行うコンピューターの前に鍵 のシェア所有者が集まる必要があります。この操作では、各シェア所有者が自 分の鍵シェア用のパスフレーズを入力する必要があるためです。 リモートで鍵シェアを再結合するには、シェア所有者が各自の鍵を認証し、復 号化してからネットワークを介して送信します。鍵シェアを送信する際には、P GP Desktop の TLS (Transport Layer Security) 機能によってセキュリティ保護されたリンクが使用されるため、遠隔地にいる 複数のユーザーが各自の鍵シェアを使用して安全に署名や復号化を行うことが できます。 注意 : ネットワークを介して他のユーザーの鍵シェアを受け取る前に、各シェア所 有者の指紋情報を照合し、そのユーザーの公開鍵に署名をして、認証鍵が正 当であることを確認してください。 開始する前に、再結合を行うコンピューターで分割したオリジナルの鍵は確実 に保管してください。 92 PGP 鍵の管理 PGP Desktop for Windows 分割鍵を再結合するには 1 分割鍵の各シェア所有者に連絡します。ローカルに鍵シェアを再結合する ときは、結合するコンピューターの前に鍵のシェア所有者が集まる必要が あります。 またネットワークを介して鍵シェアを集めるときには、リモートのシェア 所有者のコンピューターに PGP Desktop がインストールされていることと、各自が鍵シェアのファイルを送信する 準備ができていることを事前に確認します。リモートのシェア所有者は、 次のものを用意してください。 2 鍵シェアのファイルとパスワード 鍵ペア (鍵シェアを収集するコンピューターでの認証に使用されます) ネットワーク接続 鍵シェアを収集するコンピューターの IP アドレスまたは完全修飾ドメイン名 (FQDN) 次のいずれか 1 つを実行します。 一時的に鍵を再結合するには、再結合を行うコンピューターで、Wind ows エクスプローラを使用して、分割鍵で署名または復号化するファイル を選択します。 ファイルの上で右クリックして、PGP ショートカット メニューから [署名または復号化] を選択します。 選択した分割鍵の [PGP Enter Passphrase for Selected Key (選択した鍵の PGP パスフレーズの入力)] 画面が表示されます。 [OK] をクリックして、選択した分割鍵の再結合を開始します。[鍵シェアの収 集] 画面が表示されます。 鍵を永久的に再結合するには、分割鍵を右クリックして、表示される メニューから [鍵のプロパティ] を選択します。 [鍵のプロパティ] ダイアログ ボックスで、[鍵の結合] をクリックします (分割されていない鍵では、このボタンのラベルは [パスフレーズの変更] になっています) 。 [Passphrase (パスフレーズ) ] ダイアログ ボックスが表示されます。 3 次のいずれか 1 つを実行します。 ローカルで鍵シェアを集める際は、[Select Share File (シェア ファイルの選択)] をクリックし、分割鍵に関連付けられているシェア ファイルを指定します。シェア ファイルは、ハード ドライブ、ディスケット、またはマウントされたドライブから収集で きます。続いて次の手順に進みます。 93 PGP 鍵の管理 PGP Desktop for Windows ネットワークを介して鍵シェアを集める際は、[Start Network (ネットワーク接続の開始)] をクリックします。リモート ユーザーは PGP Desktop を開始し、[鍵] > [鍵の共有] > [鍵シェアの送信] を選択する必要があります。これにより、シェア ファイルの選択、シェア ファイルの復号化、承認鍵の選択、承認鍵のロック解除、および結合 するコンピューターのホスト名/IP アドレスを入力する処理が開始されます。 [署名鍵] フィールドで、リモート コンピューターでの認証に使用する鍵ペアを選択し、パスフレーズを入 力します。 [OK] をクリックすると、コンピューターで鍵シェアを受信する準備が開始さ れます。 [ネットワーク共有] ボックスにトランザクションのステータスが表示されます。ステータス が「待ち受けています」に変わったら、PGP アプリケーションで鍵シェアを受信する準備が完了しています。 この時点で、シェア所有者は自分の鍵シェアを送信する必要があります 。 鍵シェアを収集するコンピューターがシェアを受信すると、[リモート認 証] ダイアログ ボックスが表示されます。リモートのコンピューターを認証する鍵に署 名をしていない場合は、認証鍵が無効であると見なされるので注意して ください。無効な認証鍵でも分割鍵を再結合することはできますが、こ の方法は推奨できません。各シェア所有者の指紋情報を照合し、そのシ ェア所有者の公開鍵に署名をして、認証鍵が正当であることを確認して ください。 4 [Confirm (確認)] をクリックすると、シェア ファイルの指定が完了します。 5 [Key Shares Collection (鍵シェアの収集)] 画面の [Total Shares Collected (収集されたシェア総数)] と [Total Shares Needed (必要なシェア総数)] が一致するまで、分割鍵の収集を続けます。 6 [OK] をクリックします。 復号化または署名のために一時的に鍵を再結合することを選択した場 合、ファイルは分割鍵で署名または復号化され、再結合された鍵は廃 棄されます。 鍵を永久的に再結合することを選択した場合、完全に再結合された鍵 として保存され、分割鍵でなくなります。 94 PGP 鍵の管理 PGP Desktop for Windows 鍵またはパスフレーズを失った場合 鍵を失った場合は、鍵を復元することで、引き続きデータの暗号化や復号化を 行えます。その方法は、PGP Desktop をスタンドアロン環境で使用しているか、PGP Universal Server で管理された環境で使用しているかによって異なります。 パスフレーズを忘れた場合は、パスフレーズをリセットできます。鍵のセット アップ時またはセキュリティ保護用の質問の作成時に答えた 5 つのセキュリティ保護用の質問のうち、3つに正しく答えることで、パスフレー ズがリセットされます。 PGP Universal Server による鍵の復元 このセクションの内容は、PGP 管理者が鍵の復元サポートをユーザーの PGP Desktop に対して事前に設定している PGP Universal Server 管理環境で、PGP Desktop を使用している場合にのみ適用されます。 鍵を失ったりパスワードを忘れたりしたときに、鍵を復元するためのバックア ップ コピーがないと、通常、その鍵で暗号化した情報は復号化できなくなります。 ただし、PGP 管理者が PGP 鍵の復元ポリシーを事前に設定していれば、鍵を復元することができます。復 元ポリシーを使用すると、鍵は暗号化され、その所有者だけが取り出せる方法 で PGP Universal Server に保存されます。 鍵の復元データを格納している PGP Universal Server は、鍵の所有者本人だけがアクセスできるように鍵を保管しています。PGP 管理者であっても、その鍵を復号化することはできません。 PGP 管理者が鍵の復元サポートを設定していると、PGP Desktop のインストール時やセキュリティに関する質問の作成時に追加「秘密」情報を 入力するようにメッセージが表示されます。 鍵をサーバーに保存すると、Windows の場合は [鍵] > [鍵を喪失した場合]、または [鍵] > [パスフレーズを忘れた場合]、Mac OS X の場合は [鍵] > [再構築] を選択すると、いつでも鍵を復元することができます。 ヒント : PGP Desktop のインストール中に PGP の質問を作成するように要求されなかった場合、PGP Universal Server 管理者がローカル鍵の復元を許可し、手動で質問を作成することができます 。詳細については、「セキュリティ保護用の質問の作成 『ページ : 96』」を参照してください。 95 PGP 鍵の管理 PGP Desktop for Windows 鍵の復元データの作成 PGP セキュリティ用の質問に答えると、鍵の復元データが作成されます。スタンド アロン環境では、この情報はローカル ディスクの .krb ファイルに保存されます。管理された環境では、PGP Desktop をインストールしたりセキュリティ保護用の質問を作成して答えたりする際に 、鍵の復元データを会社の PGP Universal サーバーに送信します。 答えを忘れてしまう可能性の低い、個人的な質問を選びます。質問は 95 文字 (2 バイト文字では 47 文字) 以内で入力してください。「ビーチに連れて行ってくれた人は誰ですか?」や「 彼と別れた理由は?」などが良い例です。「母親の旧姓は?」や「行っていた高 校の名前は?」などは悪い例です。 PGP の質問 5 つをすべて作成して、回答を入力すると、ブラックリー シャミール鍵分割方式によって秘密鍵が 5 つに分割されます。鍵の再構築には、この 5 つのうち 3 つが必要です。5 つの鍵はそれぞれ 1 つの答えのハッシュ (固有の識別番号) で暗号化されます。5 つのうち 3 つの答えが分かれば、鍵全体を再構築できます。 セキュリティ保護用の質問の作成 パスフレーズを忘れた際に、鍵の再構築や新しいパスフレースの作成を行える ようにするためには、事前にセキュリティ保護用の質問を作成する必要があり ます。自分だけしか答えがわからないように、5 つのセキュリティ保護用の質問をカスタマイズすることができます。 セキュリティ保護用の質問を作成するには 1 PGP Desktop で [PGP 鍵] コントロール ボックスをクリックし、自分の秘を選択します。 2 [Keys (鍵)] > [Create My PGP Questions (自分の PGP の質問の作成)] を選択します。PGP セキュリティ保護用の質問アシスタントが表示されます。 96 PGP 鍵の管理 PGP Desktop for Windows 3 鍵用のパスフレーズを入力し、[Next (次へ)] をクリックします。[Create Security Question 1 of 5 (セキュリティ保護用の質問 1 (5 個中) の作成)] ダイアログ ボックスが表示されます。 4 最初の [Create Security Question (セキュリティ用の質問の作成)] 画面で、最初のフィールドの矢印をクリックして、使用する質問を選択し ます。次の手順で、質問の一部をカスタマイズすることができます。 質問を全面的にカスタマイズして独自の質問を作成する場合は、[Enter my own question (自分の質問を入力する)] を選択します。 5 [Personalize Your Question (質問の個別設定)] で、カスタマイズ可能ないずれかのテキストの横の矢印をクリックします 。たとえば、最初の質問を選択した場合は、「friend」を「boy」に、「ha d a crush on」を「held hands with」に変えることによって質問をカスタマイズできます。 独自の質問を作成する場合は、このフィールドに質問を入力します。必ず 、あなただけが答えられる質問を入力してください。 6 [ 質問の回答] に、このセキュリティ用の質問に対する答えを入力します。答えの入力に は、大文字と小文字を混ぜて使用することも、大文字または小文字だけを 使用することもできます (質問に答えるときには、大文字小文字は関係ありません)。 このフィールドにはヒントが表示され、答えを入力し始めると消えます。 たとえば、「Who was the first boy that I ever held hands with?(私が最初に手をつないだ男の子は?)」という質問に答える場合は 「Enter first and last name (名字と名前を入力してください)」というヒントが表示されます。 97 PGP 鍵の管理 PGP Desktop for Windows 7 質問を指定し、答えを入力したら、[Next (次へ)] をクリックして続行します。[Create Security Question 2 of 5 (セキュリティ保護用の質問 1 (5 個中) の作成)] ダイアログ ボックスが表示されます。 8 全部で 5 つのセキュリティ保護用の質問を作成し、答えを入力するように求められ ます。引き続き上記の手順に従って、質問の選択、質問のカスタマイズ、 質問の答えの入力を行います。 5 つの質問と答えをすべて入力すると、[Completing the PGP Security Question Assistant (PGP セキュリティ保護用の質問アシスタントの終了)] 画面が表示されます。[Finish (完了)] をクリックしてアシスタントを終了します。 5 つのセキュリティ保護用の質問の定義が完了しました。これで、鍵を紛失した 場合やパスフレーズを忘れた場合に、これら 5 つの質問のうちの 3 つに答えることで、鍵を再構築するか、パスフレースをリセットすることがで きます。 鍵またはパスフレーズを失った場合に自分の鍵を復元 鍵を紛失したり、パスフレーズを忘れたりした場合でも、鍵を復元することで リカバリすることができます。そのためには、最初にあなただけが答えられる セキュリティ保護用の質問を作成しておく必要があります。詳細については、 「セキュリティ保護用の質問の作成 『ページ : 96』」を参照してください。 鍵を再構築するには 1 PGP Desktop で [PGP 鍵] コントロール ボックスをクリックし、自分の秘を選択します。 98 PGP 鍵の管理 PGP Desktop for Windows 2 [Keys (鍵)] > [I Lost My Key (パスワードを失くしました)] を選択します。[PGP Passphrase Assistant:Answer Security Questions (PGP パスフレーズ アシスタント : セキュリティ用の質問の答え)] ダイアログ ボックスが表示されます。 ヒント : 表示された質問が自分の質問ではない場合は、[These are not my questions (これらは私の質問ではありません)] のリンクをクリックしてください。[PGP Passphrase Assistant:Select Key to Reconstruct (PGP パスフレーズ アシスタント : 復元する鍵の選択)] ダイアログ ボックスが表示されます。復元する鍵の鍵 ID を選択し、[Next (次へ)] をクリックします。 3 5 つのセキュリティ用の質問のうち、3 つに正しく答えて、[Next (次へ)] をクリックします。[PGP Passphrase Assistant: Success (PGP パスフレーズ アシスタント : 成功)] ダイアログ ボックスが表示されます。 4 [次へ] をクリックし、新しいパスフレーズの作成に進んでください。[PGP Passphrase Assistant:Create Passphrase (PGP パスフレーズ アシスタント : パスフレーズの作成)] ダイアログ ボックスが表示されます。 5 パスフレーズの入力と再入力を行います。 入力時にパスフレーズの文字を確認するには、[キーボード入力の表示] を選択します。ただし、入力する文字を誰にも見られないように注意して ください。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 368』」 を参照してください。 99 PGP 鍵の管理 PGP Desktop for Windows 6 [完了] をクリックします。これで鍵が復元されます。 鍵の保護 鍵はバックアップ コピーを作成すると同時に、秘密鍵の保管場所にも十分注意を払ってください 。秘密鍵は作成した自分にしかわからないパスフレーズで保護されていますが 、だれかにパスフレーズが検出されてしまい、秘密鍵を使った電子メールの解 読やデジタル署名の偽造を被るおそれがあります。たとえば、他人に肩越しに 見られて、キーボード入力した文字を見られたり、ネットワークやインターネ ット上で傍受されることがあります。 パスフレーズを傍受した人に秘密鍵を悪用されることのないように、秘密鍵は 自分自身のコンピューターのみに保管してください。コンピューターがネット ワークに接続されている環境では、コンピューター全体のバックアップ時に秘 密鍵のファイルが自動的に含まれないように注意してください。コンピュータ ーがネットワーク経由で簡単にアクセスできてしまう場合、機密度の高い情報 を取り扱う際には、フラッシュ ドライブに秘密鍵を保管しておくのが賢明です。旧来型の鍵と同様、秘密情報 の読み取りや署名が必要なとき随時に挿入して利用できます。 もう 1 つのセキュリティ対策として、秘密鍵リング ファイルに別の名前を割り当て、そのファイルをデフォルト以外の場所に保存 することも検討してください。 秘密鍵と公開鍵は別々の鍵リング ファイルに格納されています。両方の鍵リング ファイルをハード ドライブ上の別の場所、またはフロッピー ディスクにコピーしてください。デフォルトで、秘密鍵リング (secring.skr) と公開鍵リング (pubring.pkr) は、他のプログラム ファイルと一緒に "PGP" フォルダーに格納されており、任意の場所にバックアップを保存できます。 PGP Desktop の終了後に自動的に鍵リングのバックアップを作成するようにも構成できます 。鍵リングのバックアップ オプションは、Windows システムの場合は [オプション] ダイアログ ボックス、Mac OS X システムの場合は [環境設定] ダイアログ ボックスの [鍵] タブで設定できます。 ヒント :鍵のパスフレーズを変更しても、鍵のコピー (作成したバックアップなど) のパスフレーズは変更されません。鍵が傍受されたと考えられる場合は、以 前のバックアップ コピーを完全に細断処理してから、新規に鍵のバックアップを作成すること を推奨します。 100 7 電子メールをセキュアにす る ここでは、PGP Desktop を使用して電子メールを自動的かつ透過的にセキュアにする方法について説明 します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 PGP Desktop で電子メールをセキュアにする方法............................... 101 オフライン ポリシーの使用................................................................... 108 サービスとポリシー............................................................................... 109 新規セキュリティ ポリシーの作成........................................................ 121 セキュリティ ポリシーのリストの使用................................................. 133 PGP Desktop と SSL.............................................................................. 141 鍵モード................................................................................................. 143 PGP ログの表示 ..................................................................................... 147 PGP Desktop で電子メールをセキュアにする方法 セキュアな電子メール メッセージング機能を有効にすると、電子メール クライアントと電子メール サーバー間のトラフィックが PGP Desktop によって監視されます。また、PGP Desktop はユーザーに代わってメッセージの暗号化、署名、復号化、検証を状況に応じ て実行します。 101 電子メールをセキュアにする PGP Desktop for Windows 構成が正しく行われると (ほとんどの場合 PGP Desktop によって自動的に構成されます)、送信メッセージの暗号化や署名、または受信 メッセージの復号化や検証を行うためのユーザー操作は必要ありません。PGP Desktop メッセージング プロキシによってすべての処理が行われます。 受信メッセージと送信メッセージで、この処理がどのように異なるかについて 説明します。 受信メッセージはすべて PGP Desktop が自動的に確認し、適切な処理を行います (後述)。 送信メッセージでは、構成したポリシーに基づいて、PGP Desktop でさまざまな処理が実行されます。ポリシーとは、「この状況では、これを実 行する」のように、特定の状況に対する PGP Desktop の動作の指示をまとめたものです。こうした複数の指示を組み合わせることに より、ユーザーの電子メール セキュリティ要件を満たすようにポリシーをカスタマイズできます。PGP Desktop には、最も一般的な要件に対応する、事前に構成されたポリシーが用意されて います。これらのポリシーは必要に応じて変更し、きめ細かく制御することも できます。 PGP Desktop をスタンドアロンとして使用している場合、メッセージを送信すると、デフォ ルトにより PGP Desktop はメッセージを暗号化するために信頼できる鍵を検索します。最初に、デフォ ルトの鍵リング (Windows システムでは「すべての鍵」と呼ばれます) またはローカルの鍵リング (Mac OS X システムでは「鍵」と呼ばれます) で受信者の公開鍵が検索されます。公開鍵が見つからない場合は、デフォルト により、受信者の信頼する鍵が PGP Global Directory にないか確認されます。信頼する鍵が見つからない場合は、メッセージは暗号 化されていないクリア テキストで送信されます。このポリシーは、「暗号化できない場合クリア テキストで送信」という、デフォルトのポリシーの 1 つで、送信メッセージのセキュリティを可能な限り保護しながら、確実にメッ セージが送信されるようにします。 新しいポリシーの作成の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 121』」を参照してください。 PGP Universal で保護されているドメインでは、ローカルの PGP Desktop ポリシーによって、メッセージの暗号化方法と暗号化されるタイミングが決定 されます。詳細については、PGP Universal Server 管理者に問い合わせてください。 102 電子メールをセキュアにする PGP Desktop for Windows メモ : PGP Desktop ではデフォルトの鍵リングのみが確認されます。ローカル鍵リングに鍵を持 つ受信者宛てに暗号化された電子メールを送信する場合は、必ず、デフォル ト鍵リングに鍵をインポートしてください。 複数の鍵リングがある場合、デフォルトの鍵リングは [PGP 鍵] コントロール ボックスに表示される最初の鍵リングです。デフォルト鍵リングとして別の 鍵リングを指定するには、[PGP 鍵] コントロール ボックスで目的の鍵リングを右クリックして、[プロパティ] をクリックします。次に、[デフォルト鍵リング] チェック ボックスにチェックを入れます。 受信メッセージ PGP Desktop による受信メール メッセージの管理方法は、メッセージ内容によって異なります。ここでは、PG P Universal Server によって保護されたドメインに属していない、スタンドアロンの PGP Desktop を想定します (PGP Universal Server によって保護されたドメインに属する場合、PGP Universal Server 管理者が設定した電子メールのアクション ポリシーが適用されます)。 暗号化も署名もされていないメッセージ。メッセージの内容は処理されず 、電子メール クライアントにそのまま送られます。 暗号化されているが署名されていないメッセージ。暗号化された受信メッ セージが検知されると、PGP Desktop はその復号化を試行します。PGP Desktop はまず、メッセージを復号化できる秘密鍵がローカル鍵リングにないか確 認します。秘密鍵がローカル鍵リングにない場合、メッセージは復号化で きないため暗号化されたまま電子メール クライアントに送信されます。ローカル鍵リングに秘密鍵が見つかった場 合、そのパスフレーズがメモリに残っていれば (キャッシュされていれば) メッセージは直ちに復号化されます。パスフレーズがキャッシュされてい ない場合、PGP Desktop はパスフレーズの入力を要求します。正しいパスフレーズを入力するとメ ッセージが復号化されます。メッセージは復号化された後に電子メール クライアントに送信されます。 PGP Desktop メッセージング プロキシがオフになっている場合、暗号化された受信メッセージは復号化 できないため、暗号化されたまま電子メール クライアントに送信されます。暗号化されたメッセージを送受信する場合 は、メッセージング プロキシを常時オンのままにしておくことを推奨します。デフォルトの設 定はオンです。 103 電子メールをセキュアにする PGP Desktop for Windows 署名されているが暗号化されていないメッセージ。PGP Desktop は署名を検証するために使用できる公開鍵を、ローカル鍵リングで検索し ます。適切な公開鍵がローカル鍵リングに見つからなかった場合、keys.do main (domain はメッセージ送信者のドメイン) の鍵サーバーで検索が行われ、次に PGP Global Directory 『https://keyserver.pgp.com』 、最後にその他の構成済み鍵サーバー、という順序で検索が行われます。 正しい公開鍵がこのいずれかの場所で見つかったら、署名が有効であるか どうかが検証され (署名が壊れている場合は検証されません)、メッセージが署名情報の注釈付 きで電子メール クライアントに送信されます。情報は PGP ログにも記録されます。適切な公開鍵が見つからなかった場合、メッセー ジは未検証のまま電子メール クライアントに送信されます。 暗号化および署名されたメッセージ。PGP Desktop は前述の両方の処理を行います。まず、メッセージを復号化する秘密鍵を 検索し、次に署名を検証する公開鍵を検索します。ただし、メッセージが 復号化できない場合は、検証できません。 メッセージの復号化および検証ができない場合は、その送信者に連絡する必要 があります。メッセージを復号化できなかった場合は、正しい公開鍵が使用さ れたかどうかを送信者に確認してください。メッセージを検証できなかった場 合は、公開鍵を PGP Global Directory に公開するよう送信者に依頼してください。PGP の古いバージョンや OpenPGP 製品を使用しているユーザーには、PGP GlobalDirectory の Web 版が PGP Global Directory 『https://keyserver.pgp.com』 に用意されています。または、公開鍵を電子メールで直接送付するように送信 者に依頼してください。 メモ : PGP Desktop のデフォルト設定では、メッセージは検証済みの鍵でのみ暗号化されます。P GP Global Directory 以外からの鍵を使用するには、鍵のフィンガープリントが有効かどうかを所 有者に確認し、署名することが必要な場合があります。 送信メッセージ 送信する電子メール メッセージは、暗号化と署名のどちらか一方または両方を行うか、どちらも行 わないようにすることができます。通常、暗号化と署名をどのように組み合わ せて使用するかは、電子メールの受信者やドメインごとに異なるので、送信電 子メール メッセージのあらゆる可能性を考慮に入れてポリシーを作成する必要がありま す。正しいポリシーが適用されると、電子メール メッセージが自動的かつ透過的に保護されます。 104 電子メールをセキュアにする PGP Desktop for Windows PGP Universal Server で管理された環境では、PGP Desktop ポリシーは PGP Universal Server 管理者によって指定されたポリシーで制御されます。また、PGP Universal Server が利用不可能な場合の送信メッセージ処理方法も、管理者によって指定されて いることがあります。これらのポリシーを「オフライン ポリシー」(または「ローカル ポリシー」) と呼びます。 Microsoft Outlook を使用した MAPI 電子メールの送信 PGP Desktop バージョン 9.10 には、送信メッセージを "スプール" する機能が新しく追加されています。これにより、PGP 通知機能メッセージが表示されなくなるまで待たなくても、電子メールの操作 を続行することができます。 鍵が見つからない場合は、PGP 通知機能のメッセージが表示されてから、(受信者を削除するなどの変更を加え られるように) 送信メッセージが表示される代わりに、"鍵が見つかりません" という配信不能レポートが生成され、送信されます。配信不能レポートは、受 信電子メール メッセージの形式で "システム管理者" から送信され、指定された受信者に電子メールが配信されなかった理由などの 情報を提供します。 配信不能レポートで報告される一般的なメッセージは次のとおりです。 PGP : メッセージはポリシーによってブロックされています。サーバーにアクセ スできません。 105 電子メールをセキュアにする PGP Desktop for Windows PGP : メッセージはブロックされています。追加の予備復号鍵 (ADK) は見つかりませんでした。 PGP : メッセージはブロックされています。署名鍵をロック解除できませんでし た。 PGP : メッセージはブロックされています。鍵 ID で鍵を見つけることができませんでした。 PGP : メッセージはブロックされています。通知機能からブロックされています 。 PGP : メッセージはポリシーによってブロックされています。受信者の鍵が見つ かりません。 PGP : メッセージはポリシーによってブロックされています。 ポリシー関連の問題でサポートが必要な場合は、PGP Universal Server 管理者に問い合わせてください。 Microsoft Outlook で署名ボタンと暗号化ボタンを使用 PGP Desktop for Windows 10.0 では、 Microsoft Exchange (MAPI) および SMTP 電子メール アカウントを使用する際に、Microsoft Outlook 2002 SP3、2003 (XP) SP3、2007 で新しい機能を利用できます。この機能は、明示的に署名、暗号化を行うか、 電子メール メッセージの署名と暗号化を行うボタンを提供します。この機能は、ユーザー に意識的に電子メール メッセージに署名することを求める欧州連合などの署名規制に準拠します。 署名ボタンと暗号化ボタンの両方を PGP Desktop の管理されたインストール環境およびスタンドアロン インストール環境で利用できます。 スタンドアロン環境では、[オプション] ダイアログ ボックスで [署名] ボタンと [暗号化] ボタンを有効または無効にします。これを行うには、[ツール] > [オプション] を選択し、メッセージング タブを選択し、[PGP 暗号化ボタンと署名ボタンを Outlook で有効にする] オプションを選択 (または選択解除) します。これらのボタンはデフォルトで無効になっています。 管理された環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者がこの機能を利用できるか指定し、ポリシーでこの機能を無効にし ていることががあります。 106 電子メールをセキュアにする PGP Desktop for Windows Microsoft Outlook 2002/2003 で有効な場合、両方のボタンがツールバーに表示されます。 Microsoft Outlook 2007 で有効な場合、両方のボタンがメッセージ リボンに表示されます。 送信メッセージ ポリシーが電子メール メッセージの送信方法を決定します。これらのボタンをサポートするように PGP Desktop の新しいインストール環境では、3 つの新しいデフォルトのポリシーがあります。既存のインストール環境では、 これらの 3 つのデフォルトのポリシーを作成する必要があります。ポリシーの詳細につい ては、「セキュリティ ポリシーの情報と例 『ページ : 128』」を参照してください。 署名ボタンと暗号化ボタンはどの電子メールを暗号化、署名する必要があるか 管理する追加機能です。これらのボタンは PGP Desktop で使用する電子メール プロキシに代わるものではありません。 メモ : 暗号化、署名する電子メール メッセージに返信するか転送する場合、適切なボタンを選択していることを 確認してください。転送または返信は新規メッセージとして扱われ、メッセ ージをセキュリティ保護するオプションを明示的に選択する必要があります 。 新規電子メール メッセージを作成するか、電子メール メッセージを転送またはメッセージに返信する場合には、以下の手順に従いま す。 電子メール メッセージに署名、暗号化、または署名と暗号化を行うには 1 電子メールの作成を開始します。 2 次のいずれか 1 つを実行します。 署名のみの場合、[署名] ( ) をクリックします。署名のみを選択する場合、電子メールはクリアテ キストで送信されます。 107 電子メールをセキュアにする PGP Desktop for Windows 暗号化のみの場合、[暗号化] ( 署名と暗号化の場合、[署名と暗号化 ( の両方をクリックします。 ) をクリックします。 ) ヒント : 一つ以上のボタンを選択し、電子メール メッセージを下書き保存した場合、メッセージを引き続き作成するとボタ ンは選択されたままになります。 3 引き続き電子メール メッセージを作成して、送信します。PGP Desktop 通知機能は署名、暗号化処理の結果を表示します (通知機能の詳細については、「送信 PGP Desktop 通知機能メッセージ 『ページ : 42』」を参照してください)。 オフライン ポリシーの使用 PGP Universal で管理された環境で PGP Desktop を使用している場合は、オフライン メール ポリシーが PGP Universal Server 管理者によって定義されます。このポリシーは、PGP Universal Server がオフラインのとき、または PGP Desktop からアクセスできないときに電子メール メッセージに対して行われる処理を定義します。 送信メッセージをブロックする。送信メッセージは送信されません。メー ル クライアントがメッセージをキューに入れることができる場合、メッセー ジは、PGP Universal Server が使用可能になるまでキュー内にとどまります。メッセージをキューに入 れることができない場合、電子メール メッセージはブロックされます。 送信メッセージを平文で送信する。電子メール メッセージをセキュアでないまま送信することを許可するかどうかを選択 するための指示が表示されます。送信することを選択した場合、メッセー ジは平文で送信されます。送信しないことを選択した場合、メッセージは ブロックされます。 スタンドアロン ポリシーに従う。スタンドアロン ポリシーに従って送信メッセージが処理されます。詳細については、「サ ービスとポリシーの表示 『ページ : 111』」を参照してください。 上記のいずれかの場合に受信する通知については、「オフライン ポリシーに関する送信 PGP Desktop 通知機能メッセージ 『ページ : 43』」を参照してください。 108 電子メールをセキュアにする PGP Desktop for Windows PGP Universal Server 管理者は、メール ポリシーが PGP Desktop にダウンロードされる頻度を指定できます。オフライン モードの場合、最後にダウンロードされたオフラインのメール ポリシーが送信電子メール メッセージの処理で有効となります。オフラインのスタンドアロン メール ポリシーが有効な猶予期間よりもオフライン モードの期間が長い場合は、管理者が送信電子メールの処理方法を指定するこ とも可能です。この場合、管理者によるポリシーの定義方法に応じて、送信メ ッセージのブロックを開始したり、送信メッセージの処理に同じオフラインの スタンドアロン メール ポリシーを使用したりすることができます。 オフライン状態がしばらく続いた場合は、オンライン状態に戻った後で PGP Universal Server からポリシーをダウンロードするように手動で要求できます。オンライン状態 になったときにこの操作を行うには、トレイの PGP Desktop アイコンを選択し、[ポリシーの更新] を選択します。最新のポリシーが PGP Universal Server からダウンロードされ、すべてのクライアント ログがサーバーにアップロードされます。ポリシーを手動で更新する場合に使 用するこのオプションは、管理対象ユーザーのみ使用できます。 PGP Universal Server 管理者がユーザーにスタンドアロン ポリシーの使用を許可している場合は、「新規セキュリティ ポリシーの作成 『ページ : 121』」を参照してください。 サービスとポリシー PGP Desktop で送信メッセージが自動的かつ透過的に保護される仕組みを理解するには、サ ービスとポリシーという 2 つの用語を十分に理解する必要があります。サービスとポリシー。 サービス : コンピューター上の電子メール アカウント 1 つと、そのアカウントに適用するポリシーの両方に関する情報をまとめた もの。ほとんどの場合、サービスは PGP Desktop によって、コンピューター上の各電子メール アカウントに対して自動的に作成および構成されます。状況に応じて、サ ービスを手動で作成して構成することもできます。 ポリシー : 特定の状況における PGP Desktop の動作に関して 1 つまたは複数の指示をまとめたもの。ポリシーは、サービス (通常は複数個) に関連付けられています (ポリシーは別のサービスで再利用できます)。その逆に、サービスに複数の ポリシーを含めることもできます (通常は複数のポリシーを含めます)。 109 電子メールをセキュアにする PGP Desktop for Windows 特定の送信電子メール メッセージを処理する際、PGP Desktop は、サービスに構成されているポリシーを 1 つずつ、リストの上から下に向かって確認して、そのメッセージの処理方法を 決定します。適用するポリシーが見つかると、ポリシーの確認が中止され、そ のポリシーで処理が行われます。 新規に作成するサービスにはすべて、次のデフォルト ポリシーがあらかじめ設定されます。 暗号化および署名ボタン。Outlook 2002、2003、2007 で [暗号化] ボタンと [署名] ボタンの両方が有効になっている場合に、メールに署名して暗号化するよ うに指定します。このポリシーは PGP Desktop for Windows でのみ使用できます。 署名ボタン。Outlook 2002、2003、2007 で [署名] ボタンが有効になっている場合に、メールに署名するように指定します。 このポリシーは PGP Desktop for Windows でのみ使用できます。 暗号化ボタン。Outlook 2002、2003、2007 で [暗号化] ボタンが有効になっている場合に、メールを暗号化するように指定します 。このポリシーは PGP Desktop for Windows でのみ使用できます。 [メーリング リストの管理要求] : メーリング リストへの管理要求が、クリア テキスト (暗号化や署名なし) で送信されます。 [メーリング リストへの送信] :メーリング リストへの送信の際、認証用に署名を行いますが、暗号化はされません。 暗号化が必要:[PGP] 機密。電子メール クライアント上で機密のフラグが付いているか、件名に [PGP] というテキストが含まれているメッセージは、受信者の有効な公開鍵で暗 号化しない限り送信されません。 [暗号化できない場合はそのまま送信] : 暗号化する送信相手の公開鍵が見つからないメッセージは、すべて暗号化 なしで (クリア テキストで) 送信されます。このポリシーをリストの最後に置いておくと、暗号化する ための送信相手の鍵が見つからない場合でも、メッセージは必ず送信され るようになります (ただし、クリア テキストで送信されます)。 PGP Desktop では、一致するポリシーが見つかると、検索が中止されそのポリシーが適 用されます。そのため、「暗号化できない場合はクリア テキストで送信」ポリシーは必ずポリシー リストの最後に配置するようにしてください。このポリシーはどの検索条 件とも一致するため、リストでこれより下にあるポリシーが適用されなく なります。 110 電子メールをセキュアにする PGP Desktop for Windows メモ : デフォルト ポリシーは変更できますが、削除はできません。その代わり、無効にできま す。また、ポリシーのリスト内で上下に移動することもできます。 サービスとポリシーの表示 サービスとポリシーを表示するには 1 PGP Desktop を開きます。 2 [PGP メッセージング] コントロール ボックスをクリックします。[PGP メッセージング] コントロール ボックスがハイライトされます。[PGP メッセージング] コントロール ボックスの一番上に現在設定されているサービスがすべて表示されます。 3 サービスをクリックして、サービスの一部であるアカウントのプロパティ とセキュリティ ポリシーを表示します。このセクションでは、適用されるセキュリティ ポリシーについて説明します。PGP Universal Server で管理されている場合は、管理者がセキュリティ ポリシーを設定します。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、ポリシーの設定方法により異なるメッセージ、オプシ ョンがポリシーのリストの上に表示されることがあります。 111 電子メールをセキュアにする PGP Desktop for Windows PGP Desktop でポリシーのリストに表示されるメッセ ージが PGP Universal Server ポリシーが次の場合: オフライン ポリシーがブロックに設定さ れている 「サーバーに接続できない場合は、メッ セージがブロックされます。」 オフライン ポリシーが [クリア テキストで送信] に設定されている 「サーバーに接続できない場合は、メッ セージがクリア テキストで送信されます。」 オフライン ポリシーがスタンドアロンに 設定されている 「サーバーに接続できない場合は、スタ ンドアロン ポリシーが適用されます。」スタンドア ロン ポリシーの表示のチェック ボックスが利用できます。 ポリシーがスタンドアロンに 設定されている 「次のスタンドアロン ポリシーが適用されます。」 管理者がポリシーをオーバーライドできるように指定している場合は、常にサ ーバー ポリシーをローカル ポリシーでオーバーライドするチェックボックスが利用できます。 新規メッセージング サービスの作成 サービスとは、電子メール アカウントと、その電子メール アカウントからの送信メッセージに適用されるセキュリティ ポリシーに関する情報です。 重要 : サービスは通常、電子メール アカウントを使用してメッセージを送受信するときに PGP Desktop で自動的に作成されます。サービスを手動で作成する際は、次の手順をよく 読んで理解してください。サービスの構成が間違っていると、電子メール メッセージが正しく送受信されなくなる場合があります。 新規サービスを作成するには、次の手順に従います。 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスをクリックします。[PGP メッセージング] コントロール ボックスがハイライトされます。 2 [PGP メッセージング] コントロール ボックスの [新規メッセージング サービス] をクリックします。[メッセージング] > [新しいサービスの作成]を選択することもできます。 112 電子メールをセキュアにする PGP Desktop for Windows PGP メッセージングの作業領域の上部に [新規サービス] というタイトルが表示され、値が指定されていない状態でアカウントのプ ロパティが表示されます。また、[セキュリティ ポリシー] セクションには、デフォルトのセキュリティ ポリシーが表示されます。 3 [アカウントのプロパティ] セクションの [説明] フィールドに、サービスの名前を入力します。 4 [電子メール アドレス] フィールドに電子メール アドレスを入力します。 5 受信電子メール サーバーと送信電子メール サーバーの名前を入力します。または [サーバー設定] をクリックして、詳細オプションを設定します。詳細オプションの設定を 選択した場合は、[サーバー設定] ダイアログ ボックスが表示されます。 6 [サーバーの種類] で、新規サービスで使用するサーバーの種類を、次の中から選択します。 [インターネット メール] : POP または IMAP でメールに接続するスタンドアロンの PGP Desktop ユーザーの場合。 [PGP Universal] : PGP Universal Server で管理された環境の PGP Desktop ユーザーの場合。正しい設定方法の詳細については、PGP Universal Server 管理者に問い合わせてください。 [MAPI/Exchange] : Microsoft Exchange/MAPI サーバーのクライアントとして Microsoft Outlook を使用している PGP Desktop ユーザーの場合。詳細な設定方法については、電子メールの管理者に 問い合わせてください。 [Lotus Notes] : Lotus Domino サーバーの電子メール クライアントとして Lotus Notes を使用している PGP Desktop ユーザーの場合。正しい設定方法については、電子メールの管理者に 問い合わせてください。 [サーバー設定] ダイアログ ボックスの一部のフィールドは、選択したサーバーの種類に応じて変わり ます。 メモ : If you are manually connecting to a PGP Universal Server に手動で接続する場合は、「PGP Universal Server への手動バインド 『ページ : 376』」を参照してください。 7 [受信電子メール サーバー] に次の情報を入力します。 [名前] : 受信するメッセージを処理する電子メール サーバーの名前を入力します。 [プロトコル] : 受信電子メール サーバーからメッセージを受け取る際に使用するプロトコルを選択し ます。 113 電子メールをセキュアにする PGP Desktop for Windows [自動] (サーバーの種類が [インターネット メール] または [ PGP Universal Server] の場合に選択可能) を選択すると、POP 接続または IMAP 接続が自動的に検出されます。 [ポート] : [自動] (デフォルト) を使用するか、受信電子メール サーバーからメッセージを受信する際に接続するポート番号を指定し ます (サーバーの種類が [インターネット メール] または [ PGP Universal Server] で、プロトコルが [自動] ではなく、[POP] または [IMAP] の場合)。 [SSL/TLS] : PGP Desktop が電子メール サーバーと通信する方法を指定します。次のいずれかを選択します。 [自動] : できるだけ SSL/TLS 保護が使用されるように、次の手順が実行されます。最初に代替 ポートへの接続が試行されます。次に、(サーバーでサポートさ れている場合は) STARTTLS が試行されます。どちらも失敗した場合は、最終的に、保護され ない状態でサーバーと接続します。 [STARTTLS が必要] : PGP Desktop は、STARTTLS コマンドへの応答をサーバーに要求します。 [SSL が必要] : PGP Desktop は、指定した代替ポートへの SSL 接続に応答するように、サーバーに要求します。 [実行しない] : PGP Desktop は、電子メール サーバーと接続する際に SSL/TLS 保護を試行しません。 [電子メール クライアントが SSL/TLS を試行すると警告を表示] : このオプションを選択すると、電子メール クライアントが SSL/TLS を試行した場合に (PGP Desktop による電子メールのプロキシ処理と互換性がないため) 警告ダイアログが表示されます。(このオプションはデフォルトで選択 されています)。 注意 : このオプションは、電子メール サーバーで SSL が確実にサポートされている場合にのみ有効にしてください。このオプシ ョンを有効にすると、接続を SSL で保護しようとしている間に問題が発生しても、保護されていない接続を 経由してメッセージが送受信されることがありません。ただし、電子メー ル サーバーで SSL がサポートされていないにもかかわらず、このオプションを有効にした場 合は、PGP Desktop でメッセージを一切送受信できなくなります。 送信電子メール サーバー (SMTP) [名前] : 送信メッセージを処理する電子メール サーバーの名前を入力します。 114 電子メールをセキュアにする PGP Desktop for Windows [ポート] : [自動 (465, 25)] をそのまま使用するか、メッセージを送信する際に接続する送信電子 メール サーバーの別ポートを指定します。 このオプションは、受信電子メール サーバーに対してこの設定を選択できた場合にのみ、送信電子メール サーバーに対しても使用できます。 [SSL/TLS] : PGP Desktop が電子メール サーバーと通信する方法を指定します。次のいずれかを選択します。 [自動] : PGP Desktop では、できるだけ SSL/TLS 保護が使用されるように、以下の手順が実行されます。最初に代 替ポートへの接続が試行されます。次に、(サーバーでサポート されている場合は) STARTTLS が試行されます。どちらも失敗した場合は、最終的に、保護され ない状態でサーバーと接続します。 [STARTTLS が必要] : PGP Desktop は、STARTTLS コマンドへの応答をサーバーに要求します。 [SSL が必要] : PGP Desktop は、指定した代替ポートへの SSL 接続に応答するように、サーバーに要求します。 [実行しない] : PGP Desktop は、電子メール サーバーと接続する際に SSL/TLS 保護を試行しません。 [電子メール クライアントが SSL/TLS を試行すると警告を表示] : このオプションを選択すると、電子メール クライアントが SSL/TLS を試行した場合に (PGP Desktop による電子メールのプロキシ処理と互換性がないため) 警告ダイアログが表示されます。(このオプションはデフォルトで選択 されています)。 注意 : このオプションは、電子メール サーバーで SSL が確実にサポートされている場合にのみ有効にしてください。このオプシ ョンを有効にすると、接続を SSL で保護しようとしている間に問題が発生しても、保護されていない接続を 経由してメッセージが送受信されることがありません。ただし、電子メー ル サーバーで SSL がサポートされていないにもかかわらず、このオプションを有効にした場 合は、PGP Desktop でメッセージを一切送受信できなくなります。 8 完了したら、[OK] をクリックします。 115 電子メールをセキュアにする PGP Desktop for Windows 9 [Universal Server] フィールドで、ユーザーが所属する電子メール ドメインを保護している PGP Universal Server の名前を選択します。ユーザーが PGP Universal Server で保護された電子メール ドメインに所属していない場合は、[<なし>] と表示されます。所属しているドメインが PGP Universal Server で保護されているにもかからわずリストに表示されていない場合は、[<作 成>] を選択し、その PGP Universal Server の名前を入力します。詳細については、PGP Universal Server 管理者に確認してください。 10 [鍵モード] をクリックします。[鍵管理モード] ダイアログ ボックスが開き、現在の鍵モードが表示されます。必要に応じて、[鍵のリ セット] をクリックします。これにより、鍵セットアップ アシスタントが起動します。 11 [OK] をクリックします。 12 [ユーザー名] フィールドに、電子メール アカウントに設定するユーザー名を入力します。 13 [デフォルト鍵] フィールドに、現在の鍵が表示されます。 14 PGP Desktop をスタンドアロン製品として使用している場合は、デフォルト鍵をそ のまま使用するか、別の鍵が使用できる場合は、メニューから選択し ます。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、デフォルト鍵が表示されます。この設定値は 変更できません。鍵を変更する必要がある場合は、[鍵モード] をクリックして、PGP Universal Server 上の鍵をリセットする必要があります。 選択した鍵ペアのパスフレーズをログイン時にキャッシュする場合、[ログ イン時にこの鍵のパスフレーズをキャッシュする] チェック ボックスをオンにして有効にします。 鍵のパスフレーズをキャッシュしない場合は、署名されたメッセージの送 信時や暗号化されたメッセージの受信時に、パスフレーズを入力するため の指示が表示されます。 15 [[サーバー名] が指定したセキュリティ ポリシー] セクションには、ユーザーに適用される現在のポリシーが表示されます。P GP Desktop をスタンドアロン製品として使用している場合は、デフォルト セキュリティ ポリシーをそのまま使用するか、デフォルト セキュリティ ポリシーを無効にするか、または新規ポリシーを追加できます。PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、PGP Universal 管理者がどのように指定したかによって、選択するオプションが異なるこ とがあります。 116 電子メールをセキュアにする PGP Desktop for Windows 16 いずれかのポリシーを編集した場合は、最後に [完了] をクリックする必要があります。それ以外の場合は、セキュリティ ポリシーの設定が完了した時点で、アカウントの準備も完了します。ボタ ンをクリックして入力した情報を保存する必要はありません。情報は入力 した時点で保存されています。 メッセージング サービスのプロパティの編集 注意 : 既存のメッセージング サービスになんらかの変更を行う前には必ず、電子メール クライアントを終了してください。 既存サービスのアカウントのプロパティを変更するには 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスをクリックします。[PGP メッセージング] コントロール ボックスがハイライトされます。 2 アカウント プロパティを編集する対象のサービスの名前をクリックします。選択した サービスの設定が PGP メッセージング作業領域に表示されます。 3 サービスのアカウント プロパティに任意の変更を行います。詳細については、「新規メッセージ ング サービスの作成 『ページ : 112』」を参照してください。 サービスを無効または有効にする サービスの使用を停止するが将来再びそのサービスを使用する可能性があるた め削除しない場合は、そのサービスを無効にできます。これは PGP Desktop で特定のアカウントの電子メールだけを処理する場合に役立ちます。サービス が今後必要ではないことが明らかな場合は、サービスを削除できます。 既存のサービスを無効または有効にするには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、無効にするサービスの名前をクリックします。そのサービス の設定が PGP メッセージングの作業領域に表示されます。 2 次のいずれか 1 つを実行します。 サービスを無効にするには、[メッセージング] > [サービスを無効にする] を選択します。これでサービスが無効になります。 117 電子メールをセキュアにする PGP Desktop for Windows サービスを有効にするには、[メッセージング] > [サービスを有効にする] を選択します。これでサービスが有効になります。 電子メール クライアントを再起動するまで変更は有効にならない場合があるという警 告が表示されます。 ヒント : サービスは、[PGP メッセージング] コントロール ボックスでその名前を右クリックして、ショートカット メニューから無効または有効にしたり、削除したりできます。 サービスの削除 メッセージング サービスが今後必要ではないことが明らかな場合は、PGP Desktop からサービスを削除できます。 サービスを削除するには 1 削除するサービスの名前をクリックします。そのサービスの設定が PGP メッセージングの作業領域に表示されます。 2 [メッセージング] > [サービスの削除] を選択します。これでサービスが削除されます。 ヒント : [PGP メッセージング] コントロール ボックスで名前を右クリックして、目的のコマンドを選択することによっ て、サービスを削除できます。 複数のサービス 電子メール サービスやインターネット サービス プロバイダーによっては、1 つの DNS 名に対して複数の電子メール サーバーが使用される場合があります。その結果、各電子メール サーバーが PGP Desktop で別のサーバーとして認識され、それぞれに独自のメッセージング サービスが必要になるため、1 つの電子メール アカウントに複数のメッセージング サービスが作成されることがあります。 PGP Desktop には、*.yahoo.com や *.mac.com などの一般的な電子メール サービスに対するワイルドカード サポートが出荷時に設定されています。ただし、一般的でない電子メール サービスを使用している場合や、電子メール サービス側で電子メール サーバーの構成が変更された場合は、上記の問題が発生することがあります。 118 電子メールをセキュアにする PGP Desktop for Windows 1 つの電子メール アカウントに対して PGP Desktop で複数のサービスが作成される場合、最初のサービスの電子メール サーバーが mail1.example.com、2 番目のサービスの電子メール サーバーが mail2.example.com、3 番目の電子メール サーバーが mail3.example.com などとなっていること以外は設定が同じであると確認できた場合、サービスの 1 つを手動で編集する必要があります。 最も適切な解決方法は、サービスの 1 つに指定されている電子メール サーバーの名前にワイルド カードを追加して、複数の電子メール サーバーが含まれるようにすることです。上記の例では、[サーバー設定] ダイアログ ボックスでいずれかのサービスのサーバー名を「mail*.example.com」に手 動で変更してから、その他のサービスを削除できます。 構成が複雑な場合は、これとは多少異なる解決方法が必要になることがありま す。たとえば、PGP Desktop が pop.frodo.example.com、smtp.bilbo.example.com、mail.example.com という電子メール サーバーでサービスを作成した場合、最適なワイルドカードは *.example.com となります。 PGP メッセージング サービスのトラブルシューティング デフォルトでは、電子メール アカウントの設定が自動的に PGP Desktop によって行われ、その電子メール アカウントのメッセージングをプロキシする PGP メッセージング サービスが作成されます。 電子メール アカウントの設定および電子メール サーバーの構成には膨大な種類の組み合わせがあり得るため、自動的に作成さ れるメッセージング サービスが正しく動作しないことがあります。 自動的に作成されたメッセージング サービスが正しく動作しない場合は、次のうち 1 つまたは複数の項目を実行することで問題を修正できることがあります。 PGP サービスを停止した状態で、インターネットに接続でき、電子メールの送 受信が可能であることを確認します。これには、次の操作を実行します。 Windows システムの場合、[PGP Desktop] トレイ アイコンを右クリックして、コマンド一覧から [PGP サービスの終了] を選択します。 Mac OS X システムの場合、オプション キーを押さえたまま、メニュー バーの [PGP Desktop] アイコンから [終了] を選択します。 メモ : PGP サービスを開始または停止したら、必ず電子メール クライアントを再起動してください。 119 電子メールをセキュアにする PGP Desktop for Windows PGP Desktop のリリース ノートを参照し、問題が既知のものでないかどうか確認します。 (電子メール クライアントの) 電子メール アカウントで、SMTP 認証が有効になっていることを確認します。この設定は、PGP Desktop でメッセージングをプロキシする際に推奨されます。電子メール アカウントが 1 つしかなく、PGP Universal Server で管理された環境で PGP Desktop を使用していない場合、SMTP 認証は必要ありません。PGP Universal Server を SMTP サーバーとして使用する場合、または同じ SMTP サーバー上に複数の電子メール アカウントがある場合は、SMTP 認証が必要です。 PGP ログを開いて、問題の原因を突き止めるために役立つエントリがないかど うか確認します。 電子メール クライアントで SSL/TSL が有効になっている場合、PGP Desktop でメッセージングをプロキシするには、電子メール クライアント側で SSL/TSL を無効にする必要があります。(SSL/TLS を無効にしても、電子メール サーバーとの接続が保護されないわけではありません。PGP Desktop ではデフォルトにより、保護されていない接続を SSL で保護された接続にアップグレードする試みが自動的に実行されます。接 続が保護されるためには、電子メール サーバーで SSL/TLS がサポートされている必要があります。) ([サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で) [STARTTLS が必要] または [SSL が必要] のどちらかが指定されていると、電子メール サーバーで SSL/TLS がサポートされていない場合に、PGP Desktop でメッセージの送受信ができなくなります。 電子メール アカウントに標準以外のポートが使用される場合、メッセージング サービスにそのポート番号が設定されていることを確認してください。 PGP Desktop で 1 つの電子メール アカウントに対して複数のメッセージング サービスが作成される場合、電子メール サーバー名にワイルド カードを使用します。詳細については、「複数のサービス 『ページ : 118』」を参照してください。 正しく動作していない PGP メッセージング サービスを削除して、電子メールを送受信してみます。メッセージング サービスが再度作成されます。 以上の方法をすべて試しても問題が解決しないときは、次の操作を実行してく ださい。 1 正しく動作しない PGP メッセージング サービスを削除します。 120 電子メールをセキュアにする PGP Desktop for Windows 2 PGP Desktop のすべてのサービスを停止し、PGP Desktop が開いている場合は終了します。サービスを停止するには、次の操作を実 行します。 Windows システムの場合、[PGP Desktop] トレイ アイコンを右クリックして、コマンド一覧から [PGP サービスの終了] を選択します。 Mac OS X システムの場合、オプション キーを押さえたまま、メニュー バーの [PGP Desktop] アイコンから [終了] を選択します。 3 PGP メッセージング サービスが停止した状態で、インターネットに接続できて電子メールの送 受信が可能であることを検証します。 4 電子メール クライアントを開いて、電子メール アカウントの設定 (ユーザー名、電子メール アドレス、受信および送信電子メール サーバー、受信電子メール サーバーのプロトコル、標準以外の電子メール サーバー ポート番号) を書き留めます。 5 電子メール クライアントを閉じて、PGP Desktop を再起動します。これで PGP サービスが再起動されます。 Windows システムの場合、コンピューターを再起動するか、Windows の [スタート] メニューから PGP Desktop を開きます。 Mac OS X システムの場合、コンピューターを再起動するか、PGP Desktop を開きます。 6 書き留めたアカウント設定を使用して、PGP メッセージング サービスを手動で作成します。 7 電子メール クライアントを開いて、メッセージの送受信を実行します。 8 PGP メッセージング サービスにまだ問題がある場合は、次の場所で解決法を探してください。 PGP Corporation の Web サイト 『http://www.pgp.com』 PGP サポートの Web サイト 『https://support.pgp.com』 PGP サポート フォーラム 『Error! Hyperlink reference not valid.』 新規セキュリティ ポリシーの作成 セキュリティ ポリシーは、送信する電子メール メッセージの処理方法を指示するためのものです。 121 電子メールをセキュアにする PGP Desktop for Windows メモ : 新しいセキュリティ ポリシーを作成すると、メーリング リスト ポリシーではなく、メッセージング セキュリティ ポリシーが作成されます。新しいメーリング リスト ポリシーを作成することはできませんが、デフォルトのメーリング リスト ポリシーを編集できます。 新しいセキュリティ ポリシーを作成するには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、新しいセキュリティ ポリシーを作成するサービスの名前をクリックします。サービス設定と、 既存のセキュリティ ポリシーのリストが、PGP メッセージングの作業領域に表示されます。 2 次のいずれか 1 つを実行します。 [PGP メッセージング] コントロール ボックスの [新規ポリシー] をクリックします。 [メッセージング] > [新規メッセージング ポリシー] を選択します。[メッセージ ポリシー] ダイアログ ボックスが表示されます。 所属している電子メール ドメインが PGP Universal Server によって保護されている場合、PGP Universal Server からのポリシーに対する [メッセージ ポリシー] 設定の各フィールドが、上記のフィールドと異なることがあります。 3 In the Description field, type a descriptive name for the policy you are creating. 4 In the First Section (stating the policy conditions), in the If field, select: If any. The policy applies when any condition is met. If all. The policy only applies when all conditions are met. 122 電子メールをセキュアにする PGP Desktop for Windows 5 If none. The policy only applies if none of the conditions are met. In the first condition field, select: Recipient. The policy applies only to messages to the specified recipient. Recipient Domain. The policy applies only to email messages in the specified recipient domain. Sender. The policy applies only to messages with the specified sender address. Message. The policy applies only to messages which have the specified signed and/or encrypted state. Message Subject. The policy applies only to messages with the specified message subject. Message Header. The policy applies only to messages for which the specified header meets the specified criterion. Note that the conditions described in the next section (is, is not, contains, and so on) apply to the text typed in the text box that is displayed when you select Message Header. Note: When searching message headers in MAPI email systems, you can search on the Subject, Sensitivity, Priority, and Importance headers only. 6 Message Body. The policy applies only to messages with the specified message body. Message Size. The policy applies only to messages of the specified size (in bytes). Message Priority. The policy applies only to messages with the specified message priority. Message Sensitivity. The policy applies only to messages with the specified message sensitivity. In the second condition field, select: is. The condition is met when text in the first condition field matches the text typed in the text box. is not. The condition is met when text in the first condition field does not match the text typed in the text box. contains. The condition is met when text in the first condition field contains the text typed in the text box. does not contain. The condition is met when text in the first condition field does not contain the text typed in the text box. begins with. The condition is met when text in the first condition field begins with the text typed in the text box. ends with. The condition is met when text in the first condition field ends with the text typed in the text box. 123 電子メールをセキュアにする PGP Desktop for Windows 7 matches pattern. The condition is met when text in the first condition field matches the pattern typed in the text box. greater than. The condition is met when message size is greater than the text typed in the text box. less than. The condition is met when message size is less than the text typed in the text box. In the third condition field, select: text entry box. Type text for the matching criteria. For example, if you selected Message Size is greater than, then type a number representing the size of the message. normal. Matching criteria for Message Sensitivity is normal. none or normal. Matching criteria for Message Sensitivity is none (for Mac OS X systems) or normal (for Windows systems). personal. Matching criteria for Message Sensitivity is personal. private. Matching criteria for Message Sensitivity is private. confidential. Matching criteria for Message Sensitivity is confidential. signed. Matching criteria for Message is signed. encrypted. Matching criteria for Message is encrypted. encrypted to key ID. Matching criteria for encrypted to key ID (you must then type a key ID in the resulting text box). low. Matching criteria for Message Priority is low. normal. Matching criteria for Message Priority is normal. high. Matching criteria for Message Priority is high. Create more condition lines by clicking the plus sign icon. 8 9 In the Perform the following actions on the message section, in the first action field, select: Send In Clear. Specifies that the message should be sent in the clear; that is, not signed nor encrypted. Sign. Specifies that the message should be signed. Encrypt to. Specifies that the message should be encrypted. In the second action field, select: recipient’s verified key. Ensures the message can be encrypted only to a verified key of the intended recipient. recipient’s unverified key. Allows the message to be encrypted to an unverified key of the intended recipient. Will also encrypt to a verified key, if available. 124 電子メールをセキュアにする PGP Desktop for Windows recipient’s verified end-to-end key. Ensures the message can be encrypted only to a verified end-to-end key of the intended recipient. An end-to-end key is a key in sole possession of the individual recipient. In a PGP Universal Server-managed environment, this is a Client Key Mode key which is different from a Server Key Mode key, where the PGP Universal Server is in possession of the key. Whether the key is end-to-end or not is shown in the Group field on the Key Properties dialog box on Windows systems or the Key Info dialog box on Mac OS X systems. No means that the key is end-to-end (is not part of a group), and Yes means that it is not end-to-end.) recipient’s unverified end-to-end key. Allows the message to be encrypted to an unverified end-to-end key of the intended recipient. Will also encrypt to a verified key, if available. a list of keys. Specifies that the message can only be encrypted to keys on the list. Create more action lines by clicking the plus sign icon. 10 11 In the prefer message encoding field, select: automatic. Lets PGP Desktop choose the message encoding format. This is almost always the best option unless you know exactly why you need to use one of the other message encoding formats explicitly. PGP Partitioned. Sets PGP Partitioned as the preferred message encoding format. This format is the most backwards compatible with older PGP and OpenPGP products. PGP/MIME. Sets PGP/MIME as the preferred message encoding format. PGP/MIME is able to encrypt and sign the entire message including attachments in one pass and is usually therefore faster and better able to reproduce the full message fidelity. S/MIME. Sets S/MIME as the preferred message encoding format. Choose S/MIME if, for some reason, you need to force messages to be S/MIME even if the user has a PGP key. In the Recipient’s key is not available section (or in the If a Recipient key cannot be found section on Mac OS X systems), in the first Key Not Found field, select: Search keys.domain and. Specifies a search that includes both keys.domain as well as another server you specify. Search. Allows for searching for an appropriate key if one is not found on the local keyring. Clear-sign message. Specifies that the message should be sent in the clear, but signed. Send message unsecured. Specifies that the message be sent in the clear. Block message. Specifies that the message must not be sent if an appropriate key is not found. 125 電子メールをセキュアにする PGP Desktop for Windows 12 13 14 15 In the second Key Not Found field, select: All keyservers. Allows all keyservers, including the PGP Global Directory, to be searched for an appropriate key. PGP Global Directory or keyserver.pgp.com. Specifies that only the PGP Global Directory is searched. [configured keyservers]. Specifies that only the keyserver you choose from the list of currently configured keyservers is searched. Note that keyservers other than the PGP Global Directory may provide unverified keys that cannot be used if you require verified keys in the policy. Unless you know exactly why you need to search another keyserver and are prepared to find those keys manually to verify them when necessary, search only on the PGP Global Directory. This option is available only on Windows systems. Edit Keyserver List. Lets you add keyservers to the list of currently configured keyservers. This option is available only on Windows systems. In the last Key Not Found field, specify: temporarily cache found keys. Specifies that a found key should be temporarily saved in memory. Keys in this cache will automatically be used when verifying signed messages, and will be used for encryption if they have been verified. ask to save found keys. Specifies that PGP Desktop should ask if you want to save to your local keyring a particular found key. save found keys. Specifies that found keys should automatically be saved to your local keyring. In the If no result field, select: Clear-sign message. Allows messages for which an encryption key has not been found to be signed and sent in the clear. Send message unsecured. Do not encrypt message. Block message. Prevents message for which an encryption key has not been found from being sent. Click OK when the policy settings are configured. The new policy is displayed in the list of security policies. ポリシーでの正規表現 PGP Desktop では、セキュリティ ポリシーのテキスト入力ボックスで、正規表現の使用をサポートしています。 正規表現を使用すると、1 つのテキスト文字列を使用して複数のテキスト文字列を一致させることができ ます。 126 電子メールをセキュアにする PGP Desktop for Windows メモ : 次の例に加えて、PGP Desktop は、標準形式で使用できる広範な正規表現もサポートしています。「一致パ ターン」条件は、実際には「正規表現との一致」を意味します。 メール ポリシー ルール条件では、電子メールの一部がパターンに一致する必要があります。条 件のパターンは、「正規表現との一致」の形式になります。正規表現は、一致 する用語の形式を示す文字列です。正規表現の形式に適合する用語は一致です 。 正規表現の共通要素 : ? 前回の表現が一つあるか、まったくないことを示します + 前回の表現が最低一つあることを示します . 1 文字と一致します * 前回の表現がまったくないか、一つまたは任意の数あることを示 します [ ] 括弧内に含まれる 1 文字と一致します [a-z] A ~ Z の文字の小文字に一致します [1-9] 1 ~ 9 の数字に一致します 表現が正確に n 一致するシーケンス {n} 次は、電子メールの機密メッセージに表示される共通項目に一致する正規表現 の例です。 データ 例 通常の表現 電話番号 (555)555-4567 \(?[2-9][0-9]{2}[\)-.][29][0-9]{2}[-.][0-9]{4} 電子メール アドレス [email protected] [a-zA-Z0-9._%-]+@[azA-Z0-9.-]+\.[a-zAZ]{2,6} クレジットカードの番 号 1234 1234 1234 1234 [1-9][0-9]{3} ?[0-9]{4} ?[0-9]{4} ?[0-9]{4} 社会保障番号 123-45-6789 [0-9]{3}-[0-9]{2}-[0-9]{4} 市町村、県の略語 Palo Alto, CA .*, [A-Z][A-Z] 2 桁の州の略語 CA [A-Z][A-Z] 郵便番号 12345 [0-9]{5}(-[0-9]{4})? ドル金額、$ 記号が先頭 $3.95 \$[0-9]+.[0-9][0-9] 日付、数字 2003-08-06 [0-9]{4}-[0-9]{2}-[0-9]{2} 127 電子メールをセキュアにする PGP Desktop for Windows データ 日付、英数字 HTTP URL IP アドレス 例 通常の表現 Jan 3, 2003 (Jan|Feb|Mar|Apr|May| Jun|Jul|Aug|Sep|Oct|N ov|Dec)\.?(3[0-1]|[12][0-9]|0?[0-9]), [0-9]{4} http://www.example.com https?://(([012][09]{0,2}\.){3}[012][09]{0,2}|([a-zA-Z09]+\.)+[a-zA-Z09]{2,6})(/.*)? 123.123.123.123 ([012][09]{0,2}\.){3}[012][09]{0,2} 空白行 ^$ セキュリティ ポリシーの情報と例 サービスを作成すると、いくつかのデフォルト セキュリティ ポリシーが自動的に追加されます。 「暗号化が必要 : [PGP] 社外秘 署名/暗号化ボタン* 署名ボタン* 暗号化ボタン* メーリング リストの管理要求 メーリング リストへの送信 [暗号化できない場合はクリア テキストで送信] : * これらのポリシーは PGP Desktop for Windows でのみ使用できます。 デフォルト ポリシー ルールの順序は重要です。順序が正確に前述のとおりになるようにしてくださ い。 このセクションでは、デフォルト セキュリティ ポリシーの仕組みについて説明します。また、セキュリティ ポリシーの作成が推奨される状況の例を 2 つ示し、その構成方法も説明します。 128 電子メールをセキュアにする PGP Desktop for Windows メモ : デフォルトのポリシーに変更を加えた後でデフォルトの設定を復元するには 、[メッセージ ポリシー] ダイアログ ボックスで、[デフォルトに戻す] (Windows システムの場合)、または [戻す] (Mac OS X システムの場合) をクリックします。 暗号化ボタン デフォルト ポリシー 暗号化ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサービスを自動的に追加します。このデフォルトのポリシーの設定は、次の とおりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Encrypt-Button」には「selected (選択)」が含まれます。 アクション : 検証された受信者の鍵での暗号化 優先するエンコード方式 :[自動] 受信者の鍵がない場合 :検索 : [keys.domain] および [keyserver.pgp.com] および [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このルールはデフォルト ポリシーのリストに 4 番目に表示されます。 メモ : PGP Desktop for Windows バージョン 9.x からアップグレードした場合、このポリシーは自動的には含まれず、手動で 上記の設定でポリシーを作成する必要があります。新規ポリシーの作成方法 の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 121』」を参照してください。Microsoft Outlook で [暗号化] ボタンを使用しない場合、このポリシーを作成する必要はありません。 「メーリング リストの管理要求」デフォルト ポリシー 「メーリング リストの管理要求」はデフォルトのセキュリティ ポリシーの 1 つで、サービスに自動的に追加されます。 このデフォルトのポリシーの設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者] / [が次のパターンと一致] / [.*-subscribe@.*], [.*unsubscribe@.*], [.*-report@.*], [.*-request@.*], [.*-bounce@.*], アクション : [クリア テキストで送信] このルールはデフォルト ポリシーのリストに 5 番目に表示されます。 129 電子メールをセキュアにする PGP Desktop for Windows 「メーリング リストへの送信」デフォルト ポリシー 「メーリング リストへの送信」はデフォルトのセキュリティ ポリシーの 1 つで、サービスに自動的に追加されます。 このデフォルトのポリシーの設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者] / [が次のパターンと一致] / [.*-users@.*], [.*-bugs@.*], [.*docs@.*], [.*-help@.*], [.*-news@.*], [.*-digest@.*], [.*-list@.*], [.*devel@.*], [.*-announce@.*], アクション : [署名] 優先するエンコード方式 : [PGP パーティション] このルールはデフォルト ポリシーのリストに 6 番目に表示されます。 「暗号化できない場合はクリア テキストで送信」デフォルト ポリシー 「暗号化できない場合はクリア テキストで送信」はデフォルトのセキュリティ ポリシーの 1 つで、サービスに自動的に追加されます。このデフォルトのポリシーの設定は 、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [*] アクション : [署名] / [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [keyserver.pgp.com] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをセキュアでないまま送信] このルールはデフォルト ポリシーのリストに 7 番目 (最後) に表示されます。 「暗号化できない場合はクリア テキストで送信」を使用すると、検証済みの鍵が見つかったメッセージは署名 および暗号化されて送信されます。検証済みの鍵が見つからないメッセージは 、暗号化されずに (クリア テキストで) 配信されます。これによって、すべてのメッセージが必ず送信されますが、メ ッセージによってはクリア テキストで送信されるものもあります。 このポリシーは、送信されるすべてのメッセージと一致するため、必ずセキュ リティ ポリシーのリストの最後に配置してください。別のポリシーが下にあると PGP Desktop ではそのポリシーに到達できないため無視されてしまいます。 130 電子メールをセキュアにする PGP Desktop for Windows 「暗号化が必要 : [PGP] 機密」デフォルト ポリシー 「暗号化が必要 : 「[PGP] 機密」はデフォルトのセキュリティ ポリシーの 1 つで、サービスに自動的に追加されます。このデフォルトのポリシーの設定は 、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [メッセージの件名] / [が次を含む] / [PGP] [メッセージの秘密度] / [が次と等しい] / [機密] アクション : [署名] / [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [すべての鍵サーバー] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このルールはポリシーのリストの最初に表示されます。 「暗号化が必要 : [PGP] 機密」を使用すると、件名に [PGP] が含まれているメッセージや、電子メール クライアントで機密とマークされているメッセージを送信する際に、検証済み の鍵による暗号化が要求されます。検証済みの鍵が見つからない場合、メッセ ージは送信されません。 署名 + 暗号化ボタン デフォルト ポリシー 暗号化ボタンと署名ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサービスを自動的に追加します。このデフォルトのポリシーの設定は、次の とおりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Sign-Button」には「selected (選択)」が含まれます。メッセージ ヘッダー「X-PGP-EncryptButton」には「selected (選択)」が含まれます アクション : 署名、検証された受信者の鍵での暗号化 優先するエンコード方式 :[自動] 受信者の鍵がない場合 :検索 : [keys.domain] および [keyserver.pgp.com] および [見つかった鍵を一時的にキャッシュする] 131 電子メールをセキュアにする PGP Desktop for Windows 鍵が見つからない場合 : [メッセージをブロックする] このルールはデフォルト ポリシーのリストに 2 番目に表示されます。 メモ : PGP Desktop for Windows バージョン 9.x からアップグレードした場合、このポリシーは自動的には含まれず、手動で 上記の設定でポリシーを作成する必要があります。新規ポリシーの作成方法 の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 121』」を参照してください。Microsoft Outlook で [暗号化] ボタンを使用しない場合、このポリシーを作成する必要はありません。 署名ボタン デフォルト ポリシー 署名ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサービスを自動的に追加します。このデフォルトのポリシーの設定は、次の とおりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Sign-Button」には「selected (選択)」が含まれます。 アクション : [署名] 優先するエンコード方式 :[自動] このルールはデフォルト ポリシーのリストに 3 番目に表示されます。 メモ : PGP Desktop for Windows バージョン 9.x からアップグレードした場合、このポリシーは自動的には含まれず、手動で 上記の設定でポリシーを作成する必要があります。新規ポリシーの作成方法 の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 121』」を参照してください。Microsoft Outlook で [暗号化] ボタンを使用しない場合、このポリシーを作成する必要はありません。 暗号化が必要な <ドメイン> 用のポリシーの例 「暗号化できない場合はクリアテキストで送信」をデフォルト設定で使用して 、ポリシーのリストの最後に配置すると、検証済みの鍵が見つからないメッセ ージはクリア テキストで配信されます。これによってすべてのメッセージが必ず送信されま すが、中にはクリア テキストで送信されるものもあります。 クリア テキストを送信してはならないドメインがある場合は、暗号化または署名を試 行した結果、いずれもできなかった場合にメッセージを送信しないというセキ ュリティ ポリシーを作成できます。このポリシーを作成するときは、このポリシーがリ スト内で「暗号化できない場合はクリア テキストで送信」よりも上にあることを確認してください。 132 電子メールをセキュアにする PGP Desktop for Windows If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [example.com] アクション : [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [すべての鍵サーバー] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このセキュリティ ポリシーは、「暗号化が必要 : [PGP] 機密」と似ており、メッセージが暗号化されていないと送信されません。ただ し、条件はメッセージが機密とマークされているかどうかではなく、受信者の 電子メール ドメインが example.com であることです。このポリシーを使用すると、example.com へ送信されるメッセージはすべて検証済みの鍵で暗号化されます。暗号化され ない場合は、送信されません。 特定のドメイン宛てに署名してクリア テキストで送信するポリシーの例 特定のドメイン宛に、署名のみされ、暗号化はされていないメッセージを頻繁 に送る場合、そのドメイン用のポリシーを作成することを推奨します。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [example.com] アクション : [署名] 優先するエンコード方式 : [自動] セキュリティ ポリシーのリストの使用 セキュリティ ポリシーのリストでは、ポリシーの編集、新規ポリシーの追加 (「新規セキュリティ ポリシーの作成 『ページ : 121』」で説明)、ポリシーの削除、リスト内のポリシーの順序変更など、セキ ュリティ ポリシーに対して重要ないくつかの操作ができます。 133 電子メールをセキュアにする PGP Desktop for Windows セキュリティ ポリシーの編集 既存のセキュリティ ポリシーを編集するには、次の手順に従います。 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスをクリックします。[PGP メッセージング] コントロール ボックスがハイライトされます。 2 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシーを編集するサービスの名前をクリックします。選択したサービス のプロパティが PGP メッセージングの作業領域に表示されます。 3 [ポリシーの編集] をクリックします。 4 編集するセキュリティ ポリシーを選択し、次のいずれか 1 つを行います。 ポリシーを編集するには、[ポリシーの編集] をクリックします。[メッセージ ポリシー] ダイアログ ボックスが表示され、選択したポリシーの現在の設定が表示されます 。ポリシーに変更を加えます。[メッセージ ポリシー] ダイアログ ボックスにあるフィールドの詳細については、「新規セキュリティ ポリシーの作成 『ページ : 121』」を参照してください。必要な変更を加えたら、[OK] をクリックして [メッセージ ポリシー] ダイアログ ボックスを閉じます。選択したセキュリティ ポリシーが変更されます。 ポリシーを削除するには、[ポリシーの削除] をクリックします。 ポリシーのコピーを作成 (新しいポリシーの基準として使用) するには、[ポリシーの複製] をクリックします。 ポリシーをリスト内の上下に移動するには (ポリシーが適用される順序の変更)、[上へ移動] または [下へ移動] をクリックします。 デフォルトのポリシーは表示や変更を行ったり、無効にしたりできますが 、削除はできません。 5 [完了] をクリックします。 134 電子メールをセキュアにする PGP Desktop for Windows メーリング リスト ポリシーの編集 デフォルトのメーリング リスト ポリシーを編集するには 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスをクリックします。[PGP メッセージング] コントロール ボックスがハイライトされます。 2 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシーを編集するサービスの名前をクリックします。選択したサービス のプロパティが PGP メッセージングの作業領域に表示されます。 3 [ポリシーの編集] ボタンをクリックします。 4 セキュリティ ポリシーのリストで、編集するメーリング リスト ポリシーをクリックします。選択したポリシーがハイライトされます。 5 [ポリシーの編集] をクリックします。[メッセージ ポリシー] ダイアログ ボックスが表示され、選択したポリシーの現在の設定が表示されます。 デフォルトのポリシーは表示や変更を行ったり、無効にしたりできますが 、削除はできません。 6 ポリシーに変更を加えます。最初のフィールドで、以下のいずれかを選択 します。 [If any (いずれかに一致する)]。下記の 5、6、7 で指定された条件のうち、いずれかが満たされていると、ポリシーが 適用されます。 135 電子メールをセキュアにする PGP Desktop for Windows 7 [If all (すべてが一致する)]。下記の 5、6、7 で指定された条件のうち、すべてが満たされている場合にのみ、ポリ シーが適用されます。 [If none (どれも一致しない)]。下記の 5、6、7 で指定された条件のうち、満たされるものが 1 つもない場合にのみ、ポリシーが適用されます。 最初の条件フィールドで、以下のいずれかを選択します。 受信者。指定した受信者宛てのメッセージにのみポリシーが適用され ます。 受信者のドメイン。指定した受信者ドメインの電子メール メッセージにのみポリシーが適用されます。 送信者。指定した送信者アドレスのメッセージにのみポリシーが適用 されます。 メッセージ。指定した署名や暗号化の状態を持つメッセージにのみポ リシーが適用されます。 メッセージの件名。指定した件名のメッセージにのみポリシーが適用 されます。 メッセージのヘッダー。ヘッダーと条件を指定します。この条件を満 たすメッセージにのみポリシーが適用されます。次のセクションで説 明されている条件 (is、is not、contains など) は、メッセージのヘッダー を選択した時に表示されるテキスト ボックスに入力したテキストに適用されることに注意してください。 メモ : Lotus Notes と MAPI では電子メール システムのメッセージにヘッダーが含まれていないので、この 2 つのシステムでメッセージ ヘッダーを検索することはできません。 8 メッセージの本文。指定した本文を持つメッセージにのみポリシーが 適用されます。 メッセージのサイズ。指定したサイズ(バイト単位)のメッセージにの みポリシーが適用されます。 メッセージの優先度。指定した優先度のメッセージにのみポリシーが 適用されます。 メッセージの秘密度。指定した秘密度のメッセージにのみポリシーが 適用されます。 2 番目の条件フィールドで、以下のいずれかを選択します。 [is (等しい)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストと一致する場合に、条件が満たされます 。 136 電子メールをセキュアにする PGP Desktop for Windows [is not (等しくない)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストと一致しない場合に、条件が満たされま す。 [contains (含む)]。最初の条件フィールドの内容に、テキスト ボックスに入力したテキストが含まれている場合に、条件が満たされ ます。 [does not contain (含まない)]。最初の条件フィールドの内容に、テキスト ボックスに入力したテキストが含まれていない場合に、条件が満たさ れます。 [begins with (で始まる)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストで始まる場合に、条件が満たされます。 [ends with (で終わる)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストで終わる場合に、条件が満たされます。 [matches pattern (パターンと一致)]。最初の条件フィールドの内容が、テキスト ボックスに入力したパターンと一致する場合に、条件が満たされます 。 9 3 番目の条件フィールドのテキスト入力ボックスに、条件となるテキストを 入力します。 10 [メッセージに以下のアクションを実行します] セクションの最初のアクション フィールドで、以下のいずれかを選択します。 11 [Send In Clear (クリア テキストで送信)]。署名も暗号化もされていないクリア テキストでメッセージを送信します。 [署名]。メッセージに署名をします。 [Encrypt to (暗号化の対象)]。メッセージを暗号化します。 2 番目のアクション フィールドで、以下のいずれかを選択します。 検証された受信者の鍵。すでに検証された受信者の公開鍵を使ってメ ッセージを暗号化します。 検証されていない受信者の鍵。検証されていない受信者の公開鍵でも 暗号化を可能にします。 検証された受信者の終端間鍵。すでに検証された受信者の終端間鍵を使 ってメッセージを暗号化します。終端間鍵は個々の受信者の専有となる 鍵です。PGP Universal によって管理されている環境では、PGP Universal Server が鍵を保有するサーバー鍵モードとは異なり、これはクライアント鍵モ ードに当たります。 137 電子メールをセキュアにする PGP Desktop for Windows 鍵が終端間鍵であるかどうかは、Windows システムの場合は [Key Properties (鍵のプロパティ)] ダイアログ ボックスに、Mac OS X システムの場合は [Key Info (鍵情報)] ダイアログ ボックスにある [Group (グループ)] フィールドに表示されています。いいえ と表示されている場合は終端間鍵であり(グループの一部ではありません )、はい と表示されている場合は終端間鍵ではありません。 12 13 検証されていない受信者の終端間鍵。検証されていない受信者の終端 間鍵でも暗号化を可能にします。 鍵のリスト。リストに含まれている公開鍵を使ってメッセージを暗号 化します。 [エンコードの選択] フィールドで、以下のいずれかを選択します。 [automatic (自動)]。メッセージのエンコーディング方式を PGP Desktop が自動的に選択します。他のエンコーディング方式を使用する必要が ある場合を除いて、通常はこのオプションを使用することをお勧めし ます。 [PGP パーティション]。メッセージ エンコーディング方式として PGP パーティションを使用します。この方式は、旧バージョンの PGP および OpenPGP 製品との互換性に優れています。 [PGP/MIME]。メッセージ エンコーディング方式として PGP/MIME を使用します。PGP/MIME は、添付ファイルを含めメッセージ全体の暗号化と署名を一括して行 うため、すばやく忠実にメッセージを再現できます。 [S/MIME]。メッセージ エンコーディング方式として S/MIME を使用します。ユーザーが PGP 鍵を持っている場合でも、何らかの理由でメッセージを S/MIME にする必要がある場合、S/MIME を選択します。 [Recipient's key is not available(受信者鍵が使用できません セクションの最初の 受信者の鍵が見つからない場合 フィールドで、以下のいずれかを選択します。 keys.domain の検索 : keys.domain のほか、指定した別のサーバーの両方が含まれる検索を指定します。 [検索]。受信者の公開鍵がローカルの鍵リングで見つからないときに 、検索を行います。 クリア テキスト署名メッセージ :署名付きのクリア テキストでメッセージを送信します。 セキュリティで保護されていないメッセージの送信 :メッセージをクリア テキストで送信します。 メッセージをブロックする :鍵が見つからないときは、メッセージを送信しないように指定します 。 138 電子メールをセキュアにする PGP Desktop for Windows 14 15 16 2 番目の [受信者の鍵が見つからない場合] フィールドで、以下のいずれかを選択します。 [All keyservers (すべての鍵サーバー)]。PGP Global Directory を含むすべての鍵サーバーで受信者の公開鍵を検索します。 [PGP Global Directory または keyserver.pgp.com]。PGP Global Directory のみを検索します。 [configured keyservers(指定した鍵サーバー)]。現在設定されている鍵サーバーの うち、選択した鍵サーバー上でのみ受信者の公開鍵を検索します。な お、検証された受信者の公開鍵のみを検索するようポリシーで設定し ていても、PGP Global Directory 以外の鍵サーバーでは、使用できない未検証鍵が検索結果に表示され ることがあります。特定の鍵サーバーを検索する必要があり、かつ必 要に応じて手動で受信者の公開鍵を見つけ検証できる場合を除き、PG P Global Directory のみを検索するようにしてください。このオプションは Windows システムでのみ使用できます。 [Edit Keyserver List (鍵サーバー リストの編集)]。現在設定されているリストに鍵サーバーを追加でき ます。このオプションは Windows システムでのみ使用できます。 最後の [受信者の鍵が見つからない場合] フィールドで、以下のいずれかを選択します。 [temporarily cache found keys (見つかった鍵を一時的にキャッシュする)]。このオプションを使用す ると、見つかった受信者の公開鍵が一時的にメモリに保存されます。 このキャッシュ内の受信者の公開鍵は、署名されたメッセージを検証 する際に自動的に使用され、検証済みの受信者の公開鍵であれば暗号 化にも使用されます。 [ask to save found keys (見つかった鍵を保存するかどうか尋ねる)]。見つかった受信者の公開 鍵をローカルの鍵リングに保存するかどうかを尋ねるように指定しま す。 [save found keys (見つかった鍵を保存する)]。見つかった受信者の公開鍵がローカルの 鍵リングに自動的に保存されます。 [結果がない場合] フィールドで、以下のいずれかを選択します。 クリア テキスト署名メッセージ :暗号化鍵が見つからなかったときに、署名したメッセージをクリア テキストで送信します。 セキュリティで保護されていないメッセージの送信 :メッセージを暗号化しません。 139 電子メールをセキュアにする PGP Desktop for Windows 17 メッセージをブロックする :暗号化鍵が見つからないときは、メッセージは送信されません。 必要な変更を加えたら、[OK] をクリックして [メッセージ ポリシー] ダイアログ ボックスを閉じます。選択したセキュリティ ポリシーが変更されます。 セキュリティ ポリシーの削除 既存のセキュリティ ポリシーを削除するには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシーを削除するサービスの名前をクリックします。選択したサービス のプロパティが PGP メッセージングの作業領域に表示されます。 2 [ポリシーの編集] をクリックします。 3 セキュリティ ポリシーのリストで、削除するポリシーをクリックします。選択したポリ シーがハイライトされます。 4 [ポリシーの削除] をクリックします。PGP Desktop の確認ダイアログ ボックスが表示されます。 5 [ポリシーの削除] をクリックしてポリシーを削除するか、[OK] をクリックしてポリシーを無効にします。指定したセキュリティ ポリシーが削除されるか、無効になります。 6 [完了] をクリックします。 メモ : デフォルトのポリシーは無効にできますが、削除はできません。 リスト内でのポリシーの順序変更 セキュリティ ポリシーのリストでポリシーの順序を変更するには 1 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシーの順序を変更するサービスの名前をクリックします。選択したサ ービスのプロパティが PGP メッセージングの作業領域に表示されます。 2 [ポリシーの編集] をクリックします。 3 セキュリティ ポリシーのリストで、順序を変更するポリシーをクリックします。選択し たポリシーがハイライトされます。 140 電子メールをセキュアにする PGP Desktop for Windows 4 ポリシーがリスト内の目的の場所に移動するまで [上へ移動] または [下へ移動] をクリックします。 [暗号化できない場合はクリア テキストで送信] は、常にリストの一番下に置いてください。その下にあるポリシーが実装 されなくなります。 5 [完了] をクリックします。 PGP Desktop と SSL PGP Desktop は、可能な限りデータを自動的に保護するように設計されています。電子メー ル クライアントと電子メール サーバーの間で交換されるデータも保護の対象となります。 ヒント : SSL は Secure Sockets Layer (セキュア ソケット レイヤー) の略であり、2 つのデバイス間の通信 (ここでは、電子メール クライアントまたは PGP Desktop と電子メール サーバーとの間) をセキュアにするための暗号プロトコルです。 電子メール サーバーとの間で送受信されるデータは、状況に応じてさまざまな方法で保護 されます。次の情報は、[サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で [自動] (デフォルト) を選択した場合にのみ当てはまります。 接続が SSL で保護されていない場合 : 電子メール クライアントと電子メール サーバーとの間の接続が SSL で保護されていない場合、PGP Desktop では自動的にその接続の SSL へのアップグレードが試行されます (電子メール サーバーとのネゴシエーションが行われ、電子メール サーバーで SSL がサポートされている場合は接続がアップグレードされます)。 電子メール サーバーで SSL がサポートされていない場合、セッション中に PGP Desktop によって送受信されるメッセージは、保護されていない接続を経由します 。メッセージが PGP Desktop で暗号化または復号化されるかどうかにかかわらず、接続のアップグレー ドが試行されます。また、PGP Desktop によって暗号化されたメッセージは、SSL で保護されている接続でも、SSL で保護されていない接続でも送受信できます。 141 電子メールをセキュアにする PGP Desktop for Windows メモ : PGP Desktop では、電子メール サーバーへの保護されていない接続が SSL にアップグレードされるよう常に試行されます。その理由は、SSL で保護されている接続では、PGP で暗号化されていないメッセージを電子メール サーバーとの間で送受信する際にそのメッセージが保護されるだけでなく 、電子メール サーバーの認証パスフレーズも電子メール サーバーに送信される際に保護されるからです。 接続が SSL で保護されている場合 : 電子メール サーバーとの接続に SSL を使用するように電子メール クライアントが設定されている場合、PGP Desktop でメッセージの暗号化または復号化を行うには、電子メール クライアント側で SSL の使用を無効にする必要があります。メッセージが SSL で既に保護されていると処理できません。 電子メール クライアントで SSL 保護を無効にしても、PGP によって暗号化されていないメッセージを電子メール サーバーとの間で送受信する際にそのメッセージが保護されなくなるわけ ではありません。SSL で保護されていない他の接続と同様、電子メール サーバーで SSL による保護がサポートされていれば、PGP Desktop でも SSL で保護された接続へのアップグレードが自動的に試行されます ([サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で [自動] を選択した場合)。電子メール サーバーで SSL 接続がサポートされていない場合は、セッション中に PGP Desktop によって送受信されるメッセージは、保護されていない接続を経由します 。 つまり、メッセージが保護されていない状態で電子メール サーバーに送信される唯一の場合は、メッセージが PGP で暗号化されておらず、かつ電子メール サーバーへの接続が SSL で保護された接続にアップグレードできない場合、または SSL/TLS の設定で [試行を禁止] オプションを選択している場合のみです。 クリア テキストでメッセージを送信してはならない場合 : 組織のセキュリティ方針によっては、保護されたメッセージしか送信され ないようにする (保護されていないメッセージは決して送信してはならない) ことが要求される場合があります。必要に応じて、このような要件を満た すように PGP Desktop を構成できます。 該当する PGP メッセージング サービスを選択し、(そのサービスのアカウントのプロパティにある [サーバー] フィールドに現在指定されている名前をクリックして) [サーバー設定] ダイアログ ボックスを開き、[SSL/TLS] リストから [自動] 以外のオプションを選択します。 142 電子メールをセキュアにする PGP Desktop for Windows このオプションを有効にすると、PGP Desktop と電子メール サーバーとの間の接続が SSL で保護されている場合にだけ、メッセージが送受信されます。SSL で保護された接続が確立できない場合、PGP Desktop はサーバーと通信しません。 メモ : このオプションは、電子メール サーバーが確実に SSL をサポートしている場合にのみ有効にしてください。このオプションを有 効にすると、接続を SSL で保護しようとしている間に問題が発生しても、保護されていない接続を 経由してメッセージが送受信されることがありません。ただし、電子メー ル サーバーで SSL がサポートされていないにもかかわらず、このオプションを有効にした場 合は、PGP Desktop でメッセージを一切送受信できなくなります。 電子メール クライアント側で SSL を有効にする場合 : 電子メール クライアント側で SSL を有効にした状態で PGP Desktop を使用するには、受信電子メール サーバー、送信電子メール サーバー、またはその両方の設定で [電子メール クライアントが SSL/TLS を試行すると警告を表示] チェック ボックスをオフにする必要があります。このオプションを無効にすると、 接続が SSL で保護されている場合に、その接続を経由する受信および送信のトラフィ ックが無視されます。 PGP Desktop は、このサーバーとの接続を監視し、SSL で保護された接続による送受信のトラフィックを無視します。ただし、SS L で保護されていない接続が検出されると、トラフィックは保護されていな いその他の接続と同様に扱われ、(自動モードの場合) 接続を SSL にアップグレードしてメッセージに適切なポリシーを適用する試みが実行 されます。 鍵モード PGP Universal で管理された環境で PGP Desktop を使用している場合、PGP Desktop には鍵モードが設定されています。 メモ : このセクションに記載された情報は、PGP Universal Server によって保護された電子メール ドメインに所属する PGP Desktop のユーザーにのみ該当します。 使用できる鍵モードは、次のとおりです。 143 電子メールをセキュアにする PGP Desktop for Windows サーバー鍵モード (SKM) : 鍵は PGP Universal Server によって生成および管理されます。鍵は、PGP Desktop が実行されているコンピューターとの間でのみ、必要に応じて共有されま す。秘密鍵は PGP Universal Server 上にのみ保存されます。PGP Universal Server では、秘密鍵のすべての管理も実行されます。PGP Universal Server 管理者はユーザーの秘密鍵に完全にアクセスできるため、ユーザーが暗号 化したすべてのメッセージにもアクセスできます。この鍵モードは、スマ ート カードと互換性がありません (スマート カードは Windows システムでのみ使用できます)。 PGP Desktop バージョン 10.0 から、今までメッセージングでしか使用できなかった SKM 鍵をその他すべての PGP Desktop 暗号化処理で使用できるようになりました。これには、ディスクおよびフ ァイルの暗号化、オフライン時の MAPI 電子メール メッセージの復号化が含まれます。 SKM 鍵を使用している場合、認証のためにパスフレーズを入力する必要はあり ません。SKM 鍵パスフレーズは PGP Desktop によりランダムに作成され、暗号化された状態で保存されます。PGP Desktop がパスフレーズを必要とする場合、PGP Desktop はユーザーとのやりとりなしにシステムから暗号化されたパスフレーズを 取得します。 クライアント鍵モード (CKM) : 鍵は、PGP Desktop が実行されているコンピューター上で生成および管理されます。秘密鍵は 、PGP Universal Server と共有されません。すべての暗号処理 (暗号化、復号化、署名、検証) もまた、PGP Desktop が実行されているコンピューター上で実行されます。Windows システムでは、この鍵モードはスマート カードと互換性があります。 保護鍵モード (GKM) : CKM とよく似ていますが、秘密鍵の暗号化されたコピーが PGP Universal Server に保存される点が CKM と異なります。この鍵のコピーには、別のコンピューターからもアクセス できます。鍵のコピーは暗号化されているため、PGP Universal Server 管理者はこの秘密鍵にアクセスできません。アクセスできるのは、作成し たユーザーだけです。この鍵モードは、鍵がスマート カード上で直接生成されていない場合、つまり鍵がスマート カードにコピーされている場合に、スマート カードと互換性があります (Windows システムのみ)。 144 電子メールをセキュアにする PGP Desktop for Windows サーバー クライアント鍵モード (SCKM) : この鍵モードも CKM によく似ていますが、秘密暗号化鍵のコピーが PGP Universal Server 上に保存されることが異なります。秘密署名鍵は、PGP Desktop が実行されているコンピューターだけに保存されます。この鍵モードを使 用すると、署名秘密鍵が常にユーザーの管理下にあることを要求する法律 および企業方針が確実に遵守される一方、緊急に備えて暗号化秘密鍵を保 存できます。この鍵モードは、鍵がスマート カード上で直接生成されていない場合に、スマート カードと互換性があります (Windows システムのみ)。SCKM では個別の署名サブ鍵を持つ鍵が必要です。この鍵は、PGP Desktop 9.5 以降を使用して新規の鍵として作成するか、PGP Desktop 9.5 以降を使用して古い PGP 鍵に追加できます。 PGP 管理者が PGP Desktop をどのように構成したかによって、鍵モードを選択できる場合とできない場合 があります。また、鍵モードは変更できる場合とできない場合があります。 鍵モードについて不明な点がある場合は、PGP 管理者に問い合わせてください。 鍵モードの確認 PGP Universal Server で保護された環境の PGP Desktop ユーザーだけに鍵モードが設定されます。スタンドアロンの PGP Desktop ユーザーには、鍵モードは設定されません。 鍵モードを確認するには、次の手順に従います。 PGP Desktop を開き、鍵モードを確認する PGP メッセージング サービスを選択します。選択されたサービスのアカウント プロパティとセキュリティ ポリシーが表示されます。 [Universal Server] フィールドには、選択されたサービスの鍵モードが、PGP Universal Server の名前の後ろのかっこ内に表示されます (たとえば、keys.example.com (GKM)) 。この例では、選択されたサービス用の鍵モードが保護鍵モード (GKM) であり、関連付けられた PGP Universal Server が keys.example.com であることを示しています。 鍵モードの変更 PGP 管理者が PGP Desktop をどのように構成したかによって、鍵モードを変更できない場合があります。 145 電子メールをセキュアにする PGP Desktop for Windows 鍵モードを変更するには、次の手順に従います。 1 PGP Desktop を開き、鍵モードを変更する PGP メッセージング サービスを選択します。選択されたサービスのアカウント プロパティとセキュリティ ポリシーが表示されます。 2 [鍵モード] をクリックします。[PGP Universal 鍵モード] 画面が開き、現在の鍵管理モードが表示されます。 3 [鍵のリセット] をクリックし、次に表示された確認メッセージに対して [はい] をクリックします。PGP 鍵セットアップ アシスタントが表示されます。 4 表示されたテキストを読んでから、[次へ] をクリックします。[鍵管理の選択] 画面が表示されます。 5 使用する鍵モードを選択します。PGP 管理者が PGP Desktop をどのように構成したかによって、特定の鍵モードを使用できない場合が あります。 6 [次へ] をクリックします。[鍵ソースの選択] 画面が表示されます。 7 以下のいずれかを選択します。 [新規の鍵] : メッセージングを保護するために使用する新しい PGP 鍵を作成するための指示が表示されます。 [PGP Desktop 鍵] : メッセージングの保護に使用する既存の PGP 鍵を指定するための指示が表示されます。 [鍵のインポート] : メッセージングの保護に使用する PGP 鍵をインポートするための指示が表示されます。 8 必要な項目を選択して、[次へ] をクリックします。 9 [新規の鍵] を選択した場合は、次の操作を実行します。 10 11 鍵のパスフレーズを入力して、[次へ] をクリックします。 鍵が生成されたら、[次へ] をクリックします。 [完了] をクリックします。 [PGP Desktop 鍵] を選択した場合は、次の操作を実行します。 使用する鍵をローカルの鍵リングから選択して、[次へ] をクリックします。 [完了] をクリックします。 [鍵のインポート] を選択した場合は、次の操作を実行します。 インポートする PGP 鍵が含まれるファイル (秘密鍵が含まれている必要があります) を見つけて、[次へ] をクリックします。 [完了] をクリックします。 146 電子メールをセキュアにする PGP Desktop for Windows ヒント : [PGP オプション] ダイアログ ボックスから鍵モードを変更することもできます。[ツール] > [PGP オプション] の順に選択し、[詳細] タブを選択します。[鍵のリセット] をクリックし、PGP 鍵セットアップ アシスタントが表示されたら、上記の手順に従って操作を行います。このオ プションは、PGP Universal Server で管理されている環境で PGP Desktop を使用している場合に利用できます。 PGP ログの表示 PGP ログには、メッセージをセキュアにするために PGP Desktop で実行されたアクションが記録されます。 PGP Desktop ログを表示するには、次の手順に従います。 1 ログを表示するには、ログを有効にする必要があります。これには、PGP Desktop で [ツール] > [PGP ロギング] を選択します。 2 PGP Desktop で、[PGP メッセージング] コントロール ボックスをクリックして、次に [PGP ログ] をクリックします。アプリケーション ウィンドウに PGP ログが表示されます。 3 特定のログ情報に関する表示オプションまたはフィルタを変更するには、 次の操作を実行します。 4 [表示するログの日] の矢印をクリックして、表示するログの日付を選択します。 [表示トピック] の矢印をクリックして、表示するログの種類を選択します。[すべて] 、[PGP]、[電子メール]、[IM]、[ディスク全体]、[NetShare]、[Zip/SD A]、または [仮想ディスク] の中から選択します。 [表示レベル] の矢印をクリックして、表示するログ エントリの重要度レベルの最小値を選択します。[エラー]、[警告]、[ 情報]、または [詳細] から選択します。[詳細] では、かなり大きなログ ファイルが生成される場合があります。 ログの確認が完了したら、次の操作を実行します。 PGP ログのコピーを保存するには、[保存] をクリックします。 PGP ログのエントリを消去するには、[完全削除] をクリックします。 147 8 インスタント メッセージングをセキュア にする このセクションでは、PGP Desktop を使用してインスタント メッセージング (IM) セッションをセキュアにする方法について説明します。IM セッションに影響する PGP オプションの詳細については、「メッセージング オプション 『ページ : 350』」を参照してください。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 PGP Desktop のインスタント メッセージングとの互換性について .... 149 暗号化に使用される鍵について ............................................................ 151 IM セッションの暗号化 ......................................................................... 152 PGP Desktop のインスタント メッセージングとの互換性について 次の条件が満たされている場合は、PGP Desktop では、AOL および iChat の標準的なインスタント メッセージング セッション、直接接続、およびファイル転送が自動的に暗号化されます。 149 インスタント メッセージングをセキュアにする PGP Desktop for Windows IM セッションの双方のユーザーが、IM を使用しているシステムに PGP Desktop 9.0 以降をインストール済みであり、実行中である。PGP Desktop 9.0 以降を使用していることを確認するには、PGP トレイ アイコンをクリックして、ショートカット メニューから [PGP バージョン情報] をクリックします (PGP Desktop ウィンドウ内では、[ヘルプ] > [PGP バージョン情報] を選択)。 双方のユーザーが [インスタント メッセージの暗号化] の設定を有効にしている。これには、次の操作を実行します。 Windows システムの場合、[ツール] > [オプション] を選択し、[メッセージング] タブをクリックしてから、[AOL インスタント メッセージの暗号化 (AIM)] チェック ボックスをオンにします。 Mac OS X システムの場合、[PGP] > [環境設定] を選択し、[メッセージング] アイコンをクリックしてから、[AOL インスタント メッセージ の暗号化 (AIM)] チェック ボックスをオンにします。 ヒント : Windows システムでは、PGP トレイ アイコンをクリックすることによって、インスタント メッセージングの暗号化が有効になっていることをすばやく検証できます 。有効になっている場合は、ショートカット メニューの [AIM プロキシの使用] の横にチェック マークが表示されます。 双方のユーザーが、互換性のある IM クライアントを使用している。互換性のある IM クライアントの詳細については、次のセクションを参照してください。 IM セッションを開始したユーザーの AIM アドレスが、セッションの受信側の友だちリストに含まれている (含まれていない場合、セッションは暗号化されません)。 セキュアな IM 機能は、AOL Instant Messenger、Trillian Pro、iChat、Gaim など、AOL のインスタント メッセージング プロトコル OSCAR をサポートしている IM クライアントと互換性があります。 ファイル転送セッションと直接接続セッションを PGP Desktop で暗号化するには、これらのクライアントの最近のバージョンが必要です。ま た、相手ユーザーが自分のコンピューターに直接接続できるようにするのでは なく、ダイレクト IM/ダイレクト メッセージおよびファイル転送の両方で、AOL プロキシが使用されるように接続を設定することを推奨します。 150 インスタント メッセージングをセキュアにする PGP Desktop for Windows メモ : オーディオおよびビデオ接続は、PGP Desktop で暗号化されません。 PGP Desktop のセキュアな IM 機能では、よりセキュリティ レベルの高い Perfect Forward Secrecy が使用されます。IM セッションをセキュアにする際に使用する鍵はすべて接続の開始時に生成さ れ、接続が解除されると破棄されます。つまり、IM セッションのたびに、新しい鍵が使用されます。この機能により、IM セッションのセキュリティがより強固になります。 インスタント メッセージング クライアントとの互換性 PGP Desktop は、AIM インスタント メッセージ、ファイル転送、および直接接続の暗号化を行う場合、以下のイン スタント メッセージ クライアントと互換性があります。 AOL AIM 6.5.5 AIM 6.5 でインスタント メッセージを暗号化するには、AIM で使用されているデフォルトのポートを 493 から 5190 に変更する必要があります。 オーディオおよびビデオ接続は、PGP Desktop で暗号化されません。 PGP Desktop バージョン 10.0 のリリース後に AIM の基本プロトコルに変更が加えられた場合、AIM のサービスとの互換性が保たれなくなることがあります。 Trillian 3.1 (Basic および Pro) その他のインスタント メッセージング クライアントも基本的なインスタント メッセージングには使用できる可能性がありますが、互換性は証明されていま せん。 暗号化に使用される鍵について 1024 ビットの RSA 鍵は、IM ソフトウェアへのログオン時に毎回生成され、ログアウト時に破棄されます。 この鍵は、ランダムに生成されたシード データを通信相手と交換するために使用されます。シード データは、特定の通信で使用する対称鍵のセット (各方向に 1 つ) を、通信の参加者が各自で生成できるように、組み合わせてハッシュしたもの です。対称鍵は、すべてのメッセージを AES256 で暗号化するために使用されます。 151 インスタント メッセージングをセキュアにする PGP Desktop for Windows データの一部は、各メッセージ用にハッシュ ベース メッセージ認証コード (HMAC) を生成するために使用されます。これにより、メッセージの完全性を確認でき ます。 メモ : セキュアな IM 通信で使用される鍵をユーザーは構成できません。 IM セッションの暗号化 「PGP Desktop のインスタント メッセージング互換性について 『ページ : 149の"PGP Desktop のインスタント メッセージングとの互換性について"参照先 : 』」に記載されている条件がそろったら、通常どおりに IM セッションを開始します。互換性のある IM クライアントを使用する他の PGP Desktop ユーザーとの IM セッションは、自動的かつ透過的に保護されます。 IM セッションが保護されているかどうかを確認するには、次のような複数の方法 があります。 IM セッションを開始すると、PGP 通知機能が起動し、セキュアな IM セッションが開始されたという内容の通知が表示されます。 IM セッションで相手から最初のメッセージを受け取ると、「Conversation encrypted by PGP Desktop(会話は PGP Desktop で暗号化されています。)」というテキストがメッセージの下に表示されま す。 友だちリストの名前の横に表示される錠アイコンは、そのユーザーがおそ らく PGP Desktop を使用して IM セッションをセキュアにしていることを示します。 錠アイコンは、ユーザーが AIM に標準装備されているセキュリティを使用していることを示す場合もあり ます。 IM セッションの開始後に PGP ログを開くと、IM セッションが暗号化されているという内容のエントリがあります。以下が エントリの例です。 17:01:06 Info Initiating PGP Desktop encrypted AIM session with breynolds using your key with id 0xEFDDCE3C. (17:01:06 情報 ID が 0xEFDDCE3C の鍵で、PGP Desktop で暗号化された breynolds との AIM セッションを開始しています。) 152 9 PGP Viewer を使用した電子メールの表 示 ここでは、PGP Viewer を使用して暗号化されたメッセージを復号化、検証、表示する方法について説 明します。 メモ :PGP Viewer は、PGP Desktop がインストールされているコンピューターでのみ動作します。PGP Viewer をスタンドアロンで使用することはできません。 この章の内容 PGP Viewer の概要 ................................................................................ 153 暗号化された電子メール メッセージまたはファイルを開く ................ 155 電子メール メッセージの受信箱へのコピー ......................................... 157 電子メールのエクスポート.................................................................... 158 追加のオプションの指定 ....................................................................... 158 PGP Viewer でオプションを指定 .......................................................... 158 PGP Viewer のセキュリティ機能 .......................................................... 159 PGP Viewer の概要 通常の環境では、PGP Desktop は、ユーザーの電子メール クライアント (たとえば、Mozilla Thunderbird) と会社の電子メール サーバーの間に位置し、PGP Desktop で送信メッセージの暗号化と署名、および受信メッセージ復号化と検証を行い ます。PGP Desktop がこの作業を実行している間は、「メール ストリーム内にある」という言い方をします。 メール ストリーム外にあるメッセージを復号化、検証、表示するには、PGP Viewer を使用します。 153 PGP Viewer を使用した電子メールの表示 PGP Desktop for Windows メール ストリーム外にある暗号化されたメッセージを受信してしまう場合は数通りあ ります。 暗号化されたメッセージがセキュアに保存されている場合 : 多くの組織では、セキュリティ目的でメッセージを暗号化して保存します 。メッセージを保存するとメッセージはメール ストリーム外に出ますが、PGP Viewer を使用すれば、暗号化された元のメッセージを維持しつつ、メッセージを 復号化、検証、および表示できます。 暗号化されたテキストが Web メール メッセージ内にある場合 : Web メールのアカウントに送信された、暗号化されたメッセージは、PGP Desktop で復号化できません。しかし、PGP Viewer を使えば復号化できます。メッセージ .pgp ファイルの添付を PGP Viewer で開くだけです。 暗号化されたテキストが PGP Desktop で復号化されていない場合 : PGP Desktop を実行していないとき、またはパスフレーズがキャッシュされていないと きに、電子メール クライアントによってメッセージが自動的にダウンロードされると、暗号 化されたメッセージがメール ストリーム外に出る可能性があります。 PGP Viewer では、複数の種類のメッセージング コンテンツが復号化、検証、および表示されます。 最近の PGP で暗号化されたコンテンツ (PGP/MIME および PGP パーティション) レガシの PGP で暗号化されたコンテンツ (PGP/MIME および PGP パーティション) RFC-2822 準拠の暗号化されたコンテンツ PGP Viewer では、鍵を必要とする操作に PGP Desktop 鍵リングが使用されます。 PGP Viewer では、パスフレーズ キャッシング オプションなどの PGP Desktop 環境設定が継承されます。 PGP Universal Server で管理された環境では、PGP Viewer では適用されるポリシーごとに検証鍵が検索されます。 PGP Viewer では、復号化されたメッセージの署名情報が、メッセージ本文の中にではなく 、メッセージ ウィンドウに表示されます。これにより、完全な署名情報にアクセスでき、イ ンラインの署名注釈の改ざんを防止できます。 154 PGP Viewer を使用した電子メールの表示 PGP Desktop for Windows 互換性のある電子メール クライアント PGP Viewer を使用して、復号化および検証されたメッセージのテキストを次の電子メール クライアントにコピーします。 Windows Mail (Windows) Microsoft Outlook (Windows) Thunderbird (Windows および Mac OS X) Outlook Express (Windows) Mail.app (Mac OS X) Lotus Notes のアーキテクチャ上の理由により、暗号化されたメッセージを Lotus Notes 電子メール クライアントからドラッグして PGP Viewer にドロップする操作で復号化することはできません。 暗号化された電子メール メッセージまたはファイルを開く PGP Viewer を使用して、次のファイル形式の暗号化されたメッセージ暗号化されたメッセ ージを開き (復号化し、検証し、表示し) ます。 *.pgp:PGP アプリケーションにより作成されたファイル *.eml : Outlook Express または Thunderbird により作成されたファイル *.emlx : Mac OS X システムで Apple の Mail.app プログラムにより作成されたファイル *.msg : Microsoft Outlook により作成されたファイル PGP Viewer で暗号化されたメッセージを開く際、暗号化されたテキストは上書きされませ ん。元のメッセージは、そのまま保存されます。 155 PGP Viewer を使用した電子メールの表示 PGP Desktop for Windows ファイルから暗号化されたメッセージを復号化し、検証し、表示するには 1 PGP Viewer を開きます。この操作を実行するには、システム トレイにある PGP アイコンを選択してから PGP Viewer を選択するか、PGP Desktop 内で [PGP Viewer] コントロール ボックスを選択します。 2 [Open File in PGP Viewer (ファイルを PGP Viewer で開く)] をクリックするか、[Viewer] プルダウン メニューから [Open File in PGP Viewer (ファイルを PGP Viewer で開く)] を選択します。 [Open Message File (メッセージ ファイルを開く)] ダイアログ ボックスが表示されます。 3 [Open Message File (メッセージ ファイルを開く)] ダイアログ ボックスでファイルを検索して選択し、[開く] をクリックします。PGP Viewer は、メッセージを別のウィンドウで復号化、検証、表示します。 ヒント : 開くファイルを PGP Viewer ウィンドウの以下を表示する部分にドラッグ & ドロップできます。電子メールまたはファイルをここにドラッグ。PGP Viewer は、ファイルを開き、復号化および検証し、メッセージを表示します。 156 PGP Viewer を使用した電子メールの表示 PGP Desktop for Windows 4 別のメッセージを開くには、ツールバーで [Open Message (メッセージを開く)] をクリックし、目的のファイルまで移動し、選択して、[Open (開く)] をクリックします。PGP Viewer は、メッセージを復号化、検証して、表示します。PGP Viewer 画面の左側にはペインが表示され、開いているすべてのメッセージを確認 できます。 5 PGP Viewer 画面の左側にペインを表示する、または既に開いているペインを閉じるに は、ツールバーの [ペイン] ボタンをクリックします。 電子メール メッセージの受信箱へのコピー PGP Viewer を使用して、復号化されたメッセージのプレーン テキスト版を電子メール クライアントの受信箱にコピーします。 メッセージを電子メール クライアントの受信箱にコピーするには 1 メッセージが PGP Viewer ウィンドウに表示された状態で、[Copy to Inbox (受信箱にコピー)] をクリックします。[Copy to Inbox (受信箱にコピー)] 確認ダイアログ ボックスには、メッセージのコピー先の電子メール クライアントが表示されます。この設定を変更するには、「PGP Viewer でオプションを指定 『ページ : 158』」を参照してください。 2 [OK] をクリックして続行します。 メッセージを初めて Mozilla Thunderbird 電子メール クライアントにコピーする際に、アドオンをインストールする必要がある というダイアログ ボックスが表示されます。 アドオンをインストールするには、[Yes (はい)] をクリックして、画面の指示に従うか、[No (いいえ)] をクリックします。アドオンをインストールするには、Thunderbird 2.0 以降を使用している必要があります。 3 PGP Viewer により電子メール クライアントが開かれ、メッセージのテキスト版が受信箱にコピーされま す。 157 PGP Viewer を使用した電子メールの表示 PGP Desktop for Windows 電子メールのエクスポート PGP Viewer を使用して、復号化されたメッセージをファイルにエクスポートします。 メッセージを PGP Viewer からファイルにエクスポートするには、次の手順に従います。 1 メッセージが PGP Viewer ウィンドウに表示された状態で、[エクスポート] をクリックします。[メッセージ ファイルのエクスポート] ダイアログ ボックスが表示されます。 2 [メッセージ ファイルのエクスポート] ダイアログ ボックスで、目的の場所、ファイル名、ファイルのフォーマット形式を指 定し、[保存] をクリックします。指定した場所にファイルが保存されます。 追加のオプションの指定 PGP Viewer ツールバー (右端) のツール ボタンを使用して、PGP Viewer 機能を指定します。 テキスト エンコーディング :PGP Viewer により現在表示されているメッセージのテキスト エンコーディング方式を指定します。 リモート画像の表示 :PGP Viewer で現在表示されているメッセージの外部リソース (画像、CCS スタイル シート、iframe コンテンツなど) を表示します。PGP Viewer が自動的に環境設定で外部リソースを表示するように指定できます。 メッセージ リソースの表示 :PGP Viewer により現在表示されているメッセージのソースを表示します。メッセージ に関する詳細を示すメッセージのソースを表示します。 環境設定 :PGP Viewer 環境設定ダイアログ ボックスを表示します。 PGP Viewer でオプションを指定 PGP Viewer には一定の機能を制御するオプション (環境設定) が含まれています。 158 PGP Viewer を使用した電子メールの表示 PGP Desktop for Windows PGP Viewer の環境設定にアクセスするには、次の手順に従います。 1 PGP トレイから PGP Viewer を開くか、PGP Viewer を使用して、メッセージを復号化、検証、表示します。 PGP Viewer 画面が表示されます。 2 ツールバー アイコン (PGP Viewer ツールバーの右端) をクリックして、[環境設定] を選択します。[Preferences (環境設定) ] ダイアログ ボックスが表示されます。 3 [全般] タブを選択し、以下のオプションを指定します。 4 受信箱にコピーするかユーザーに確認するコマンド :テキストを PGP Viewer から電子メール クライアントの受信箱にコピーする際に、確認メッセージを表示する かどうかを指定します。デフォルトでは、有効になっています。 自動的にリモート画像を読み込み :イメージ、CSS スタイル シート、iframe コンテンツなどの外部リソースを PGP Viewer で自動的に読み込むかどうかを指定します。セキュリティ リスクがあるので、デフォルトでは無効になっています。 電子メール クライアントの使用 :LPGP Viewer からコンテンツをコピーする先の電子メール クライアントを指定します。デフォルトは Windows デフォルト (電子メール)です。PGP Viewer はデフォルトの Windows 電子メールを判断し、デフォルトとして使用します。また、Outlook 、Outlook Express、Thunderbird を選択することもできます。 [テキスト] タブを選択し、以下のオプションを指定します。 [フォント] : PGP Viewer でテキストを表示するために使用するフォントを指定します。 [Text Color (テキストの色)] : PGP Viewer で表示するテキストの色を指定します。 [Background Color (背景色)] : PGP Viewer で表示する背景の色を指定します。 PGP Viewer のセキュリティ機能 PGP Viewer では、予防型のセキュリティ保護が行われます。 159 PGP Viewer を使用した電子メールの表示 PGP Desktop for Windows メッセージング コンテンツ を表示する、PGP Viewer 埋め込みの Web ブラウザでは、JavaScript、Java Applets、およびプラグインが無効になっています。これは、セキュリティ 機能がなければ PGP Viewer に読み込まれてしまう、悪意のあるペイロードを攻撃者が配信するのを防 ぐためです。 イメージ、CSS スタイル シート、iframe コンテンツ (別の文書を含んだインライン フレーム) などの外部リソースは、[Automatically load remote images (リモート イメージを自動的に読み込む)] の指定に基づいて自動的に読み込まれます。セキュリティ上の目的で、こ の指定はデフォルトで無効になっています。この指定が無効になっている 場合は、PGP Viewer から外部サイトへのネットワーク トラフィックは発生しません。 160 10 PGP ディスク全体暗号化による ディスクの保護 PGP ディスク全体暗号化 (PGP WDE) は、ラップトップ、デスクトップ、外付けドライブ、または USB フラッシュ ドライブの内容を、ブート セクター、システム ファイル、スワップ ファイルなどを含めすべて保護する機能です。PGP WDE を使用して、ブート パーティションや Windows パーティションだけを暗号化することもできます。暗号化はユーザーが意識し ないバックグラウンド処理として実行され、追加の操作を行う必要がなく、重 要なデータが自動的に保護されます。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、すべてのブート ドライブが暗号化されるように、PGP 管理者がポリシーで指定している場合があります。この場合、ドライブが暗 号化されているかどうかが定期的に検証され、暗号化されていないブート ドライブの暗号化によってポリシーが施行されます。 If you are using PGP Desktop in a PGP Universal Server-managed environment, Your PGP administrator may have customized the PGP Whole Disk Encryption BootGuard screen to include additional text or a custom image such as your organization's logo. The graphics included in this guide depict the default installation. Your actual login screen may look different if your administrator has customized the screen. 161 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows この章の内容 PGP ディスク全体暗号化について ........................................................ 162 PGP Whole Disk Encryption のライセンス............................................ 164 ディスクを暗号化するための準備......................................................... 165 ディスクの認証方法の選択.................................................................... 173 暗号化オプションの設定 ....................................................................... 177 ディスクまたはパーティションの暗号化 .............................................. 184 PGP WDE で暗号化されたディスクの使用 ........................................... 191 PGP WDE のシングル サインオンの使用.............................................. 198 ディスクのセキュリティの維持 ............................................................ 202 リムーバブル ディスクの使用 ............................................................... 211 PGP Universal Server で管理された環境での PGP WDE の使用 .......... 214 暗号化されたドライブからのデータのリカバリ ................................... 218 PGP WDE で暗号化されたディスクの復号化 ....................................... 220 PGP Desktop によるセキュリティ確保のための特別な対策 ................ 222 Windows プレインストール環境の使用................................................ 224 PGP ディスク全体暗号化について PGP Whole Disk Encryption 機能を使用してディスク全体を暗号化すると、すべてのセクターが対称鍵で暗 号化されます。これには、オペレーティング システム ファイル、アプリケーション ファイル、データ ファイル、スワップ ファイル、空き領域、一時ファイルを含む、すべてのファイルが含まれます。 以降の再起動時には、PGP WDE により正しいパスフレーズが要求されます。正しいパスフレーズを入力すると 、暗号化されたデータがアクセス時に復号化されます。すべてのデータは、デ ィスクに書き込まれる前に PGP WDE によって暗号化されます。(PGP BootGuard 画面に正しいパスフレーズを入力した後) PGP ディスク全体暗号化で暗号化されたディスクで認証されれば、ファイルを使用 できます。システムをシャットダウンすると、ディスクは他のユーザーが使用 できないように保護されます。 PGP WDE でディスクを暗号化する前に、PGP WDE でディスクを暗号化して、そのディスクを使用する手順を理解することは重要 です。 162 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 1 「PGP Whole Disk Encryption のライセンス 『ページ : 164』」で説明するとおり、PGP Desktop のライセンスで PGP Whole Disk Encryption の使用がサポートされていることを確認します。 2 「ディスクを暗号化するための準備 『ページ : 165』」の説明に従って、タスクを実行します。 3 「ディスクの認証方法の選択 『ページ : 173』」の説明に従って、ディスクを暗号化するために自分自身を認証する 方法を選択します。 4 「暗号化オプションの設定 『ページ : 177』」の説明に従って、使用する暗号化オプションを選択します。 5 「ディスクまたはパーティションの暗号化 『ページ : 184』」の説明に従って、暗号化処理を開始します。 6 「PGP WDE で暗号化されたディスクの使用 『ページ : 191』」で、暗号化されたディスクの使用方法を学習します。 7 暗号化されたディスクの維持方法については、「ディスクのセキュリティ の維持 『ページ : 202』」を参照してください。 8 「PGP WDE で暗号化されたディスクの復号化 『ページ : 220』」で、必要に応じてディスクを復号化する方法を学習します。 9 「PGP Desktop による特別なセキュリティ予防措置」で、セキュリティの問題を回避する ための機能について理解します。 PGP Universal Server 管理者であるか、PGP Universal Server で管理された環境で PGP WDE を使用している場合、「PGP Universal Server で管理された環境での PGP WDE の使用 『ページ : 214』」で、詳細な情報を参照してください。 警告 :ディスクをロック解除すると、システムを物理的に利用できるすべてのユー ザーが、そのディスクに格納されているファイルを利用できるようになりま す。これらのファイルは、コンピューターをシャットダウンして再びロック するまでは、ロック解除された状態のままです。コンピューターの使用中で もセキュリティで保護する必要があるファイルには、PGP 仮想ディスク ボリュームを使用してください。詳細については、「PGP 仮想ディスクの使用 『ページ : 229』」を参照してください。 163 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP WDE と PGP 仮想ディスクの違い PGP 仮想ディスク機能は PGP WDE と異なり、システムに追加されたボリュームのように動作し、コンピューター が使用中でもロックできます。これらのボリュームは、保護を必要とするファ イルを保管する金庫のようなものです。実際の物理的なディスクが存在するわ けではなく、PGP 仮想ディスク機能によって作成および管理される仮想ディスクのみが存在しま す。 PGP WDE では物理的なハード ディスク全体が保護されます。 2 つの機能はそれぞれ独立して動作するため、同時に使用できます。詳細につい ては、「PGP 仮想ディスクの使用 『ページ : 229』」を参照してください。 PGP Whole Disk Encryption のライセンス PGP Whole Disk Encryption 機能を使用するには、インストールした PGP Desktop ソフトウェアにこの機能をサポートするライセンスがある必要があります。 使用しているライセンスが PGP Whole Disk Encryption をサポートしていることを確認するには、次の手順に従います。 1 PGP Desktop を開きます。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイアログ ボックスが表示されます。 3 [製品情報] セクションで、[PGP Whole Disk Encryption] アイコンを見つけます。製品名の上にマウス ポインタを置くと、その製品に関する情報や、その製品の使用が許可され ているかどうかが表示されます。 現在のライセンスで PGP WDE がサポートされていない場合は、次のいずれかの方法で PGP Desktop のライセンス取得に関する詳細情報を入手してください。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、ライセンスに PGP WDE 機能が含まれているかどうか PGP 管理者に問い合わせてください。詳細については、「PGP Universal Server を介しての PGP Desktop の使い方 『ページ : 373』」を参照してください。 164 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP Universal Server で管理されていない環境で PGP Desktop を使用している場合は、PGP Corporation の Web サイト 『http://www.pgp.com』で PGP WDE 機能を追加する方法についての情報を参照してください。 ライセンスの有効期限 サブスクリプション方式のライセンスで使用する PGP WDE では、ブート ディスクに対してのみ、ライセンスの有効期限が切れてから 90 日後にデータ復号化機能が提供されます。サブスクリプション ライセンスの有効期限から 90 日が経過すると (通知が送信された後に) PGP WDE 機能によってデータが復号化されるため、ユーザーはファイルを取得できます 。 ディスクを暗号化するための準備 ディスクを暗号化する前に、そのディスクの最初の暗号化が正常に実行される ようにするために必要ないくつかのタスクがあります。 対象のディスクがサポートされているかどうかを確認する。「サポートさ れているディスクの種類 『ページ : 166』」を参照してください。 キーボードの種類がサポートされていることを確認する。「サポートされ ているキーボード 『ページ : 168』」を参照してください。 暗号化する前にディスクの状態を確認する。PGP WDE による暗号化の実行中にディスク エラーが検出された場合は、暗号化が一時停止するため、ディスク エラーを修復できます。ただし、暗号化を始める前にエラーを修復してお く方がより効率的です。「暗号化前のディスク状態の確認 『ページ : 170』」を参照してください。 暗号化する前にディスクをバックアップする。ラップトップやコンピュー ターを失くしたり、盗まれたり、ディスクを復号化できなかったりした場 合にデータを喪失しないように、ディスクを暗号化する前に必ずバックア ップを作成してください。また、ディスクのバックアップも必ず定期的に 実行してください。 165 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows リカバリ ディスクを作成する。PGP Whole Disk Encryption によって保護されているブート ディスクまたはパーティションでマスタ ブート レコードが損傷する可能性はきわめて低いと言えますが、ゼロではありま せん。PGP Whole Disk Encryption を使用してブート ディスクまたはパーティションを暗号化する前に、リカバリ ディスクを作成してください。「リカバリ ディスクの作成 『ページ : 218の"リカバリ ディスクの作成と使用"参照先 : 』」を参照してください。 ディスクの暗号化にかかる時間を検討し、それを考慮して準備する。「暗 号化時間の計算 『ページ : 171』」を参照してください。 暗号化処理の実行中は AC 電源を使用するように注意します。「暗号化処理中の電源供給 『ページ : 172』」を参照してください。 パイロット テストを実行し、ソフトウェアの互換性を確認する。優良なセキュリティ プラクティスとして、少数のコンピューターで PGP WDE をテストし、PGP WDE がコンピューター上の他のソフトウェアと競合しないことを確認してから 多数のコンピューターに PGP WDE を展開することを推奨します。この方法は、標準企業業務環境 (COE) イメージを使用する環境では特に有効です。ある特定のディスク保護ソフ トウェアは PGP WDE と互換性がなく、データの喪失を含む重大なディスクの問題を引き起こす 可能性があります。既に確認されている互換性の問題については、「ソフ トウェアの互換性を確認するパイロット テストの実行 『ページ : 173』」を参照してください。このリストの最新情報については、『PGP Desktop リリース ノート』を参照してください。 正しいトークンとドライバーがあることを確認する。 PGP Whole Disk Encryption を使用して保護されている固定ディスクの認証に USB トークンを使用している場合は、正しいトークンを用意し、適切なドライ バー ソフトウェアがインストールされていることを確認してください。「認証 に使用するトークンの準備 『ページ : 179の"認証に使用するスマート カードまたはトークンの準備"参照先 : 』」を参照してください。 メモ : PGP Whole Disk Encryption を使用してサーバー ハードウェアを暗号化しないでください。PGP WDE は、Windows 2000 Server または Windows 2003 Server ではサポートされていません。 サポートされているディスクの種類 PGP WDE 機能では、次の種類のディスクの内容が保護されます。 166 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows ソリッドステートのドライブを含む、デスクトップまたはラップトップの ディスク (ディスク全体またはパーティション)。 メモ : PGP Whole Disk Encryption を使用してサーバー ハードウェアを暗号化しないでください。PGP WDE は、Windows 2000 Server または Windows 2003 Server ではサポートされていません。 音楽デバイスおよびデジタル カメラを除く外付けディスク USB フラッシュ ディスク FAT16、FAT32、および NTFS 形式でフォーマットされたディスクまたはパーティションを暗号化できます。F AT 形式のディスクまたはパーティションで PGP Whole Disk Encryption を使用する場合は、暗号化後に NTFS 形式に変換できます。 PGP WDE でサポートされるオペレーティング システム (Windows XP、Windows 2000、Windows Vista など) から起動する場合は、PGP Whole Disk Encryption 機能をデュアルブート システムで使用できます。ただし、起動するオペレーティング システムに PGP Whole Disk Encryption がインストールされている必要があります。パーティション モードでは、Windows パーティションだけを暗号化する場合に、他のオペレーティング システム (Linux など) とのデュアルブートがサポートされます。他のオペレーティング システムは、別の、暗号化されていないパーティションにある必要があります 。 PGP WDE で暗号化されたディスクの容量に制限はありません。オペレーティング システム (ブート ディスクまたはパーティションの場合はハードウェア BIOS) でサポートされているディスクまたはパーティションは、PGP Desktop で暗号化できます。 PGP WDE で暗号化されているドライブのパーティションを作成し直す場合、まずドライ ブを復号化する必要があります。ドライブを復号化したら、ドライブにパーテ ィションを作成してパーティションを再暗号化できます。 Windows のすべての電源管理モード (休止状態、スタンバイ、サスペンド) がサポートされています。 サポートされていないディスクの種類 次の種類のディスクはサポートされていません。 ダイナミック ディスク ディスケットおよび CD-RW/DVD-RW 167 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 警告 :Windows XP では、ベーシック ディスクをダイナミック ディスクに変換して、ベーシック ディスクにはない機能を利用できます。PGP Whole Disk Encryption を使用して既に保護されているシステムのブート ドライブ上では、決してこの変換を実行しないでください。ベーシック ディスクをダイナミック ディスクに変換すると、このドライブを使用できなくなります。 PGP WDE で使用される暗号アルゴリズム PGP WDE で使用される暗号アルゴリズムは AES-256、ハッシュ アルゴリズムは SHA-1 です。これらのオプションは変更できません。 サポートされているキーボード サポートされているいずれかの言語のキーボードを必ず使用してください。 PGP Whole Disk Encryption のログイン画面では、次のキーボード配列がサポートされます。 ベルギー語 (ベルギー、コンマ) ベルギー語 (ベルギー、ピリオド) ボスニア語 (ボスニア) ボスニア語 (ボスニア、キリル) ブルガリア語 (ブルガリア) ブルガリア語 (ブルガリア、ラテン) ブルガリア語 (ブルガリア、タイプライター) カナダ マルチリンガル標準 (カナダ) 簡体字中国語 (中国、シンガポール) 繁体字中国語 (香港、台湾) クロアチア語 (クロアチア) チェコ語 (チェコスロバキア、QWERTY) デンマーク語 (デンマーク) オランダ語 (オランダ) 英語 (米国) 英語 (英国) 英語 (米国 - インターナショナル) 168 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows エストニア語 (エストニア) フィンランド語 (フィンランド) フランス語 (ベルギー) フランス語 (カナダ) フランス語 (フランス) フランス語 (スイス) ドイツ語 (ドイツ、オーストリア) ドイツ語 (IBM) ドイツ語 (スイス) ヘブライ語 (イスラエル) ハンガリー語 (ハンガリー) ハンガリー語 (ハンガリー、101 キー) アイスランド語 (アイスランド) アイルランド語 (アイルランド) イタリア語 (イタリア) イタリア語 (イタリア、142 キー) 日本語 (日本) 韓国語 (韓国) ノルウェー語 (ノルウェー) ポーランド語 (ポーランド、プログラマ) ポーランド語 (ポーランド、214 キーボード) ポルトガル語 (ブラジル、ABNT キーボード) ポルトガル語 (ブラジル、ABNT2 キーボード) ポルトガル語 (ポルトガル) ルーマニア語 (ルーマニア) ロシア語 (ロシア、キリル) セルビア語 (セルビア モンテネグロ、キリル) セルビア語 (セルビア モンテネグロ、ラテン) スロバキア語 (スロバキア) スロベニア語 (スロベニア) スペイン語 (スペイン) スペイン語 (中南米) 169 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows スペイン語 (バリエーション) スウェーデン語 (スウェーデン) トルコ語 (トルコ、F) トルコ語 (トルコ、Q) ウクライナ語 (ウクライナ) 異なるキーボード配列では文字のマッピングが異なる場合があり、パスフレー ズを入力して認証する際に問題が発生することがあります。使用しているキー ボードの配列に最も類似したキーボート配列を選択して、認証するたびに同じ 配列を使用してください。 パスフレーズに使用できる文字については、「PGP Whole Disk Encryption のパスフレーズでサポートされる文字 『ページ : 185の"PGP WDE のパスフレーズでサポートされる文字"参照先 : 』」を参照してください。 暗号化前のディスク状態の確認 PGP Corporation は、ドライブを暗号化する際のデータ損失を防止するため、常に変わらないス タンスを取っています。ハード ディスクを暗号化するときに巡回冗長検査 (CRC : Cyclic Redundancy Check) エラーを検出することは珍しいことではありません。PGP WDE でハード ディスク ドライブやパーティションに不良セクターが検出されると、デフォルトでは、 暗号化処理が一時停止します。これにより、問題を修復してから暗号化処理を 続行することが可能になり、ディスク障害やデータ損失が発生する可能性を排 除しています。 暗号化中に中断されないようにするには、暗号化を行う前にディスク エラーを修復し、正常な状態のディスクでプロセスを開始することを推奨しま す。 メモ : PGP Desktop を PGP Universal Server 管理環境下で使用している場合、暗号化中に検出された不良セクターは PGP Universal Server にログされ、暗号化処理が続行されます。 170 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 推奨する方法 最善の方法は、PGP WDE の使用前に、サードパーティ製スキャン ディスク ユーティリティを使用して、低レベルの完全性チェックを実行することです。C RC エラーの原因となるドライブ不整合があれば修復できます。Microsoft Windows のチェック ディスク (chkdsk.exe) ユーティリティは、対象となるハード ドライブでこうした問題を検出するためには十分ではありません。代わりに、S pinRite や Norton Disk Doctor™ などのソフトウェアを使用してください。これらのソフトウェアを使用すると 、暗号化を中断するようなエラーを修復できます。 注意 : ディスクの断片化が進んでいる場合は、暗号化する前に必ずデフラグを実行 してください。 PGP WDE を Windows Server システムにインストールする場合は、追加のベストプラクティス情報について 、「PGP ナレッジベース記事 1737 『http://support.pgp.com/?faq=1737』」を参照してください。 暗号化時間の計算 暗号化は時間がかかると共に、CPU を集中的に使用する処理でもあります。暗号化するディスクまたはパーティシ ョンの容量が大きいほど、暗号化処理に要する時間は長くなります。この点に ついては、ディスクの初回暗号化のスケジュール設定時に考慮してください。 暗号化の処理時間に影響を及ぼすと考えられる要因には、次のものがあります 。 ディスクまたはパーティションの容量 プロセッサの処理速度や台数 コンピューター上で実行しているシステム プロセスの個数 コンピューター上で実行している他のアプリケーションの個数 他のアプリケーションにかかるプロセッサ時間数 PGP Whole Disk Encryption で 80 GB のブート ディスクまたはパーティションを暗号化する場合、平均的な速度のコンピュー ターで約 3 時間かかります (他のアプリケーションが実行されていない場合)。一方、同じディスクまたはパ ーティションを非常に高速なコンピューターで暗号化した場合、1 時間もかからないことがあります。 171 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 暗号化を行っている間も、システムを使用できます。暗号化処理中も問題なく コンピューターを使用できますが、通常よりもパフォーマンスは低下します。 コンピューターが使用中であることが PGP Desktop に検出されると、暗号化処理が自動的に減速されます。逆に、暗号化の初期段 階でコンピューターを使用しないようにすると、暗号化処理は加速されます。 暗号化処理が完了すると、通常のパフォーマンスに戻ります。 暗号化処理中に他のアプリケーションを実行すると、暗号化処理が完了するま でそのアプリケーションの実行速度は通常よりも若干遅くなります。 暗号化中にコンピューターを使用しない場合、[最大 CPU 使用率] オプションを使用することによって最初の暗号化を加速できます (「暗号化オプションの設定 『ページ : 177』」を参照)。また、コンピューターで実行されている他の処理よりも高い優 先度を設定することによって、暗号化処理の速度を向上できます。 暗号化処理中の電源供給 暗号化は CPU に負荷のかかる処理であるため、バッテリーで駆動しているラップトップ PC では暗号化は開始できません。AC 電源でコンピューターを駆動している必要があります。最初の暗号化プロセス (または、その後の復号化プロセスや再暗号化プロセス) を実行している最中にラップトップ PC の電源がバッテリーに切り替わると、PGP WDE の処理は一時停止されます。AC 電源が復旧すると、暗号化や復号化、再暗号化プロセスが自動的に再開されま す。 使用しているコンピューターの種類にかかわらず、[電源の瞬断に対する安全対 策] オプションを選択している場合を除いて、暗号化処理の最中にシステムの電源 が失われたり、予期しないシャットダウンが発生したりしないようにする必要 があります。暗号化プロセスが完了する前にコンピューターの電源コードを抜 かないようにしてください。暗号化中に停電する可能性がある場合や、コンピ ューターに無停電電源装置 (UPS) が取り付けられていない場合は、「暗号化オプションの設定 『ページ : 177』」で説明する [電源の瞬断に対する安全対策] オプションを選択することを推奨します。 注意 : これは、USB デバイスなどのリムーバブル ディスクにも該当します。[電源の瞬断に対する安全対策] オプションを選択していないと、暗号化中にデバイスを取り外した場合にデ バイスが破損することがあります。 172 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows ソフトウェアの互換性を確認するパイロット テストの実行 優良なセキュリティ プラクティスとして、少数のコンピューターで PGP WDE をテストし、PGP WDE がコンピューター上の他のソフトウェアと競合しないことを確認してから多数 のコンピューターに PGP WDE を展開することを推奨します。この方法は、標準企業業務環境 (COE) イメージを使用する環境では特に有効です。 ある特定のディスク保護ソフトウェアは PGP WDE と互換性がなく、データの喪失を含む重大なディスクの問題を引き起こす可能 性があります。既に確認されている次の互換性の問題に注意してください。こ のリストの最新情報については、PGP Desktop リリース ノートを参照してください。 互換性のないソフトウェア : Faronics Deep Freeze (全バージョン) Utimaco Safeguard Easy 3.x Absolute Software 社の CompuTrace ラップトップ セキュリティおよび追跡製品 : PGP Whole Disk Encryption は、CompuTrace の BIOS 構成とのみ互換性があります。CompuTrace を MBR モードで使用する場合、互換性はありません。 GuardianEdge Technologies 社のハード ディスク暗号化製品 : Encryption Anywhere Hard Disk および Encryption Plus Hard Disk 製品、旧 PC Guardian 製品 また、次の各アプリケーションは、PGP Desktop がインストールされたシステムでも正しく機能しますが、PGP Whole Disk Encryption 機能をブロックします。 Safeboot Solo SecureStar SCPP ディスクの認証方法の選択 PGP Whole Disk Encryption でディスクまたはパーティションを暗号化する際に、ディスクを復号化するた めに使用する認証方法を選択します。 次のオプションがあります。 パスフレーズとシングル サインオン認証 『ページ : 174』 公開鍵認証 『ページ : 174』 173 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows トークンを使用した認証 『ページ : 175』 USB フラッシュ デバイスを使用した 2 要素認証 『ページ : 175』 トラステッド プラットフォーム モジュール (TPM) 認証 『ページ : 176』 メモ : 複数のユーザーが使用するコンピューターでは、各ユーザーに対して個別の 認証方法を設定してください。 メモ :Windows PE または BartPE を使用して認証を行うには、パスフレーズ ユーザーを使用する必要があります。トークンまたは TPM ユーザーはサポートされません。 パスフレーズとシングル サインオン認証 パスフレーズ認証では、暗号化されたブート ディスクまたはパーティションからコンピューターを再起動するとき、または それ以外の暗号化されたディスクまたはパーティションにアクセスするときに 使用するパスフレーズを指定します。この方法では追加のファイルやハードウ ェアが不要で、固定ディスクだけでなくリムーバブル ディスクにも使用できます。 パスフレーズ認証には次の 2 つのオプションがあります。 PGP WDE にのみ使用するパスフレーズを選択できます。 PGP WDE のパスフレーズを Windows アカウントのログオンと同期できます。これにより、パスフレーズを 1 度入力するだけで、暗号化されたディスクやパーティションのロック解除 と Windows へのログインを行えます。Windows ログインと同期する場合、このオプションはシングル サインオン (SSO) として知られています。 シングル サインオンを設定する手順については、「PGP WDE のシングル サインオンの使用 『ページ : 198』」を参照してください。 公開鍵認証 公開鍵認証では、PGP Whole Disk Encryption を使用してディスクまたはパーティションを暗号化する際に公開鍵を指定しま す。その公開鍵に対応する秘密鍵の所有者だけが、ディスクまたはパーティシ ョンのコンテンツにアクセスできます。このとき、秘密鍵のパスフレーズが必 要になります。 174 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 公開鍵認証は、システムで使用しているリムーバブル ディスクでのみ使用できます。ブート ディスク、パーティション、USB エンクロージャに内蔵されたディスクなどの固定ディスクでは公開鍵認証は使 用できず、パスフレーズまたはトークンによる認証のどちらかを使用できます 。 トークンを使用した認証 PGP WDE で固定ディスク (ブート ディスクまたはパーティションを含む) を暗号化する際に、認証方法としてトークン上の PGP 鍵を使用する場合は、PGP WDE と互換性のあるトークンまたはスマート カードに保存した鍵ペアを使用する必要があります。互換性のあるデバイスの リストについては、「スマート カードを使用した PGP BootGuard 画面での認証 『ページ : 180の"スマート カードまたはトークンを使用した PGP BootGuard 画面での認証"参照先 : 』」を参照してください。 トークン上の鍵ペアを使用すると、トークンを取り外せるため、セキュリティ を強化できます。 ディスクの暗号化を始める前に、使用するデバイスに適切なドライバーをイン ストールする必要があります。詳細については、「認証に使用するトークンの 準備 『ページ : 179の"認証に使用するスマート カードまたはトークンの準備"参照先 : 』」を参照してください。 USB フラッシュ デバイスを使用した 2 要素認証 システム上のデータのセキュリティを高めるために、2 要素認証を使用することもできます。2 要素認証では、「覚えているもの」(パスフレーズ) と「持っているもの」(USB フラッシュ ドライブ) を使用して、本人であることが検証され、ディスクへのアクセス権が与えられ ます。 2 要素認証を使用する場合は、パスフレーズ ユーザーを作成した後、そのユーザーを識別する別のハードウェア形式を選択 します。USB フラッシュ ドライブの使用、または、お使いのシステム上でハードウェアが利用できる場 合は Trusted Platform Module (TPM) の使用のいずれかを選択してください。 メモ :2 要素認証で USB フラッシュ デバイスを使用する場合は、この認証方法を有効にするために、USB デバイスが挿入された状態でコンピューターを再起動する必要があります。U SB デバイスを挿入した状態でコンピューターを再起動しない限り、PGP BootGuard 画面での認証にはパスフレーズしか使用できません。 175 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows USB フラッシュ デバイスを使用した 2 要素認証の作成の詳細については、「ディスクの暗号化 『ページ : 186』」を参照してください。 トラステッド プラットフォーム モジュール (TPM) 認証 お使いのシステム上で Trusted Platform Module (TPM) ハードウェアが利用できる場合は、TPM を使用するオプションが可能です。TPM 認証を行うユーザーを追加すると、ユーザーは、この特定システム上でのみデ ィスクを認証できるようになります (ユーザーはシステムに「ロック」されます)。TPM はパスフレーズ ユーザーにのみ使用でき、シングル サインオンと連動します。 PGP Whole Disk Encryption は TPM バージョン 1.1 または 1.2 と互換性があります。 TPM をサポートし、PGP WDE と互換性があるコンピューターは、次のとおりです。 Hewlett-Packard Compaq nx6325 (Infineon TPM、HP BIOS) Dell D630 (Broadcom TPM) Lenovo ThinkPad T60 (Atmel TPM) Fujitsu LifeBook T2010 (Infineon TPM、Phoenix BIOS) Panasonic Toughbook T5、W5、または Y5 (Infineon TPM、Matsushita BIOS) TPM 製造会社が、TPM の使用に影響を与えるセキュリティ機能を導入している場合があります。詳細 については、システムのマニュアルを参照してください。 メモ : TPM を出荷時の設定にリセットして消去したり TPM を含むシステム ボードを交換したりすると、TPM に保存された資格情報にアクセスできなくなるため、TPM ユーザーを使用する際に暗号化されたディスクにアクセスできません。暗号 化されたディスクに別の方法でアクセスできるか確認してください (「TPM を使用する際の特別な注意事項」の次のセクションを参照してください)。 TPM を使用した 2 要素認証の作成の詳細については、「ディスクの暗号化 『ページ : 186』」を参照してください。 176 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows TPM を使用する理由 TPM を搭載したコンピューターには、ランダム ビットの発生源としてクエリおよび使用できる、オンボードのセキュアな乱数 生成器が装備されています。TPM では 2048 ビットの RSA 鍵を生成、ロード、および処理できます。また、総当り攻撃対策の機能も備え ています。間違ったパスフレーズが何度も入力された場合、TPM はシステムをロックするか、レスポンスを大幅に低下させることで、総当り攻 撃によるパスフレーズの類推試行を、時間がかかりすぎて使用できないように します。これにより、パスフレーズで保護された TPM 鍵に、ソフトウェアで実現されるよりも格段に高いレベルのセキュリティが与 えられます。 TPM を使用する際の特別な注意事項 ディスクを暗号化する前に、システムで TPM の所有権を設定し、TPM を構成し、暗号化処理を開始する前にシステムを再起動してください。所 有権を取得したら、TPM を編集するために使用される TPM のパスフレーズ (PGP Desktop または Windows とは別) を設定します。所有権を設定すると、TPM で製品を構成して使用することができます。 暗号化されたディスクを認証する別の方法があることを確認してください 。PGP Universal Server で管理された環境で PGP WDE を使用している場合、ディスク全体リカバリ トークンを使用できます (詳細については、「リカバリ トークンの作成 『ページ : 216』」を参照してください)。スタンドアロン環境で PGP WDE を使用している場合、バックアップとしてパスフレーズ ユーザーを作成するか、USB フラッシュ デバイスでパスフレーズ ユーザーを作成して 2 要素認証を行えるようにします (詳細については、「ディスクの暗号化 『ページ : 186』」を参照してください)。 暗号化オプションの設定 ディスクを暗号化する準備が完了したら、初期暗号化を開始する手順を確認す る必要があります。 1 暗号化する対象として、ディスク全体または特定のパーティションのどち らかを選択します。「パーティション レベルの暗号化 『ページ : 178』」を参照してください。 177 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 2 暗号化処理中に使用するオプション (電源の瞬断に対する安全対策や暗号化の高速化など) を選択します。「PGP Whole Disk Encryption オプションの使用 『ページ : 182』」を参照してください。 3 認証方法を選択します。「ディスクの認証方法の選択 『ページ : 173』」を参照してください。 メモ : トークンを使用した認証を選択する場合、トークンを使用する準備ができ ていることを確認してください。「認証に使用するトークンの準備 『ページ : 179の"認証に使用するスマート カードまたはトークンの準備"参照先 : 』」を参照してください。 4 「ディスクまたはパーティションの暗号化 『ページ : 184』」で説明する手順に従って、ディスクを暗号化します。 メモ : PGP Universal Server で管理されたユーザーの場合、パスフレーズを忘れた際にディスクをリカ バリするためのリカバリ トークンが PGP WDE によって作成されます。「リカバリ トークンの作成 『ページ : 216』」を参照してください。 パーティション レベルの暗号化 ディスクがパーティションに分割されている場合、ディスク全体を暗号化する のではなく、指定したパーティションを暗号化する方法を選択できます。パー ティションの暗号化は、次の単位で柔軟に行えます。 1 つのディスク パーティション 1 つを除くすべてのディスク パーティション その間の任意の数のパーティション 選択したパーティション上にあるファイルのみが暗号化されます。 パーティション モードでは、Windows パーティションだけを暗号化する場合に、他のオペレーティング システム (Linux など) とのデュアルブートがサポートされます。他のオペレーティング システムは、別の、暗号化されていないパーティションにある必要があります 。 メモ : ディスクまたはいずれかのパーティションが暗号化された後は、パーティシ ョンの変更 (たとえば、パーティションの追加や削除、既存のパーティションのサイズ変 更) はできません。PGP Whole Disk Encryption でディスクを保護する前に、ディスクが正しいパーティションに分割されて いることを確認してください。 178 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 認証に使用するスマート カードまたはトークンの準備 認証にスマート カードまたはトークンを使用する場合、互換性のあるデバイスを使用する必要 があります (互換性のあるデバイスのリストについては、「スマート カードを使用した PGP BootGuard 画面での認証 『ページ : 180の"スマート カードまたはトークンを使用した PGP BootGuard 画面での認証"参照先 : 』」を参照してください)。 適切なトークンのモデルを使用してください。 トークンを紛失した場合に備えて、別のユーザー (パスフレーズ ユーザーなど) を、暗号化するディスクに追加することを推奨します。 トークンを使用する前に、トークンを使用するシステムにトークンのドラ イバーをインストールしてください。 認証にスマート カードまたはトークンを使用するための要件 暗号化を行う前に、これらの要件を確認して、要件を満たすようにしてくださ い。 警告 :PGP Whole Disk Encryption を使用して暗号化されたディスクやパーティションの認証にトークン上の鍵 ペアを使用することで、セキュリティを強化できます。ただし、トークンを 紛失すると、PGP BootGuard ログイン画面で認証できなくなり、ディスクまたはパーティション上のすべ てのデータが喪失します。このため、PGP Whole Disk Encryption を使用して暗号化されているディスクまたはパーティションに別のユーザー (パスフレーズ、トークン、または両方) を追加することを推奨します。これにより、トークンを紛失したり盗まれた りした場合でも、追加ユーザーがディスクまたはパーティションを認証して ロック解除できます。 トークン上に保存された鍵ペアのみを使用できます。Aladdin eToken 上に鍵ペアを作成するか、右クリックによるショートカット メニューから [追加先] を選択して、既存の鍵ペアをトークンに追加する必要があります。 トークン上に鍵ペアを作成するか、既存の鍵ペアをトークンに追加すると 、その鍵ペアの秘密鍵のパスフレーズはトークンの PIN に変更されます。Aladdin eToken のデフォルトの PIN は 1234567890 です。これはよく知られたデフォルト PIN なので、鍵ペアのセキュリティが大きく損なわれないようにするため、Ala ddin の構成ツールを使用して PIN を直ちに変更する必要があります。 179 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows スマート カードまたはトークンを使用した PGP BootGuard 画面での認証 このセクションでは、システム要件 (互換性のあるスマート カードやトークンおよびリーダー) について説明し、PGP BootGuard 画面でスマート カードを使用して認証する手順について説明します。 互換性のある PGP WDE 認証スマート カード リーダー 次のスマート カード リーダーは、プリブート時のスマート カードとの通信に使用できます。これらのスマート カード リーダーは、互換性のある任意のリムーバブル スマート カードと併用できます (同じブランドのスマート カードとリーダーを使用する必要はありません)。 汎用スマート カード リーダー ほとんどの CCID スマート カード リーダーは互換性があります。次のリーダーが、PGP Corporation によって動作確認されています。 デスクトップ システム用 OMNIKEY CardMan 3121 USB (076b:3021) モバイル システム用 OMNIKEY CardMan 6121 USB (076b:6622) ActivIdentity USB 2.0 リーダー (09c3:0008) SCM Microsystem Smart Card Reader モデル SCR3311 CyberJack スマート カード リーダー Reiner SCT CyberJack ピンパッド (0c4b:0100)。 ASE スマート カード リーダー Athena ASEDrive IIIe USB リーダー (0dc3:0802) 組み込みスマート カード リーダー Dell D430 組み込みリーダー Dell D630 組み込みリーダー Dell D830 組み込みリーダー 互換性のある PGP WDE 認証用スマート カードまたはトークン PGP Whole Disk Encryption では、プリブート認証用として次のスマート カードと互換性があります。 ActiveIdentity ActivClientCAC カード、2005 モデル Aladdin eToken PRO 64K、2048 ビット RSA 対応 180 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows Aladdin eToken PRO USB Key 32K、2048 ビット RSA 対応 2048 ビット機能を持たない Aladdin eToken PRO (旧型のスマート カード) Aladdin eToken PRO Java 72K Aladdin eToken NG-OTP 32K メモ :フラッシュ付きトークンなどのその他の Aladdin eToken は、互換性のあるトークンと APDU 互換であれば動作します。VeriSign 製などの Aladdin eToken の OEM バージョンは、互換性のあるトークンと APDU 互換であれば動作します。 Microsoft ILM 用 Athena ASEKey Crypto USB トークン Microsoft ILM 用 Athena ASECard Crypto スマート カード メモ :Athena のトークンは信用されているストレージに対してのみ互換性があります。 Axalto Cyberflex Access 32K V2 Charismathics CryptoIdentity plug 'n' crypt Smart Card only stick EMC RSA SecurID SID800 トークン (v1 および 2) メモ :このトークンは鍵の格納場所に対してのみ互換性があります。SecurID は互換性がありません。 EMC RSA Smart Card 5200 Marx CrypToken USB トークン Rainbow iKey 3000 S-Trust StarCOS スマート カード メモ :S-Trust SECCOS カードは互換性がありません。 SafeNet iKey 2032 USB トークン T-Systems Telesec NetKey 3.0 スマート カード T-Systems TCOS 3.0 IEI スマート カード 個人識別検証 (PIV) カード ActivClient version 6.1 クライアント ソフトウェアを使用した Oberthur IDOne Cosmo V5.2D 個人識別情報検証カード ActivClient version 6.1 クライアント ソフトウェアを使用した Giesecke および Devrient Sm@rtCafe Expert 3.2 個人識別情報検証カード 181 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows Aladdin eToken に必要なドライバー Aladdin eToken を使用する前に、トークンを使用するシステムに最新のソフトウェア ドライバーをインストールしてください。Microsoft Windows では、ソフトウェア ドライバーをインストールしなくてもトークンが一般的なデバイスとして認識 されることがありますが、PGP Desktopでは、適切なソフトウェア ドライバーがインストールされている必要があります。最新のソフトウェア ドライバーは、Aladdin サポート Web サイト 『http://www.aladdin.com/support/default.asp』から入手できます。 eToken PKI クライアント (RTE) ドライバー ソフトウェアの最新バージョン (この文書が作成された時点ではバージョンは 4.5 が最新) をダウンロードして、システムにインストールしてください。eToken PKI クライアントのドライバー ソフトウェアをシステムにインストールしたら、PGP Desktop を開いて、[PGP 鍵] コントロール ボックスをクリックします。ドライバー ソフトウェアが正しくインストールされていれば、[PGP 鍵] コントロール ボックスに [スマート カード鍵] が表示されます。 PGP Whole Disk Encryption を使用して暗号化しているディスクまたはパーティションの認証方法として [トークン鍵ユーザー] を指定する際に、[鍵の選択] フィールドに「適切な鍵がありません」と表示される場合、次のいずれかの原 因が考えられます。 Aladdin eToken が挿入されていない。 ドライバー ソフトウェアのバージョンが正しくないか、正しくインストールされてい ない。 トークンの鍵ペアが使用できないか、eToken に鍵がない (eToken が空である)。 PGP Whole Disk Encryption オプションの使用 PGP Whole Disk Encryption 機能には、ディスクまたはパーティションを保護する前に選択可能な次の 2 つのオプションがあります。 [最大 CPU 使用率] : PGP Whole Disk Encryption で最も高速かつ安全にディスクの初期暗号化を行う方法です。高速化は、 暗号化処理がコンピューターで実行される他の処理よりも優先されること によって、主に実現されます。暗号化処理中にコンピューターから離れる 場合は、このオプションを推奨します。 182 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows [電源の瞬断に対する安全対策] : コンピューターを適切にシャットダウンしたり再起動したりすることによ って初期暗号化処理をいつでも一時停止できますが、予期しないシャット ダウン (電源の瞬断、電源コードが外れるなど) を回避することは特に重要です。このような事態が発生する可能性がある 場合や、コンピューターに無停電電源装置 (UPS) が取り付けられていない場合は、[電源の瞬断に対する安全対策] オプションを選択することを推奨します。[電源の瞬断に対する安全対策] を選択すると、暗号化のジャーナルが記録され、電源が瞬断した場合に暗 号化処理が中断された時点から安全かつ正確に再開されます。ただし、こ のオプションを選択すると、オプションを選択していない場合に比べて、 初期暗号化が完了するのに数倍の時間がかかることがあります。 このオプションは、USB デバイスを暗号化する場合にも便利です。このオプションを有効にしない で暗号化処理中に USB デバイスを取り外すと、デバイスが破損して再フォーマットが必要になる ことがあります。[電源の瞬断に対する安全対策] を有効にして暗号化すると、暗号化処理中に USB デバイスを取り外しても、再度接続したときに暗号化を再開できます。 次の表を参考にして、使用している環境に最適なオプションを選択してくださ い。 オプション 選択なし (標準) 利点 注意事項 処理速度と安全性のバ ランスを保ちながら、 ディスクまたはパーテ ィションを暗号化しま す。 暗号化は普通の速度で実 行されます。 ディスクまたはパーテ ィションの暗号化中も 、コンピューターを使 用できます。 暗号化処理中にコンピュ ーターの予期しないシャ ットダウンが発生しない ように注意してください 。データが喪失する場合 があります。 ほとんどのユーザーに とって最適です。 [最大 CPU 使用率] 通常よりも高速にディ スクまたはパーティシ ョンを暗号化します。 また、安全性について も、標準の暗号化と同 じレベルの安全性が確 保されます。 183 このオプションではコン ピューターの処理能力が 最大限に使用されるため 、ディスクまたはパーテ ィションが暗号化されて いる間、コンピューター の応答が通常よりかなり 遅くなります。 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows オプション [電源の瞬断に 対する安全対 策] 利点 注意事項 ディスクまたはパーテ ィションの暗号化処理 中に電源の瞬断が発生 した場合でも、安全か つ簡単に暗号化を再開 できます。 通常よりも時間が長くか かります。 電源異常が発生する可 能性のある環境に適し ています。 両方のオプシ ョン [電源の瞬断に対する安 全対策] オプションの高度な安 全機能によって、ディ スクまたはパーティシ ョンを保護します。 ただし、通常の処理速度 と比較すると、かなり低 くなります。 [電源の瞬断に対する安 全対策] オプション単独の場合 よりも高速に暗号化さ れます。 ディスクまたはパーティションの暗号化 ディスクの準備が完了して暗号化のオプションを指定したら、ディスクまたは パーティションを暗号化できます。開始する前に、次の点に注意してください 。 PGP Whole Disk Encryption を使用して保護されている固定ディスクの認証に USB トークンを使用している場合は、正しいトークンを用意し、適切なドライ バー ソフトウェアがインストールされていることを確認してください。詳細に ついては、「トークンを使用した認証 『ページ : 175』」を参照してください。 メモ : トークンを使用した認証では、シングル サインオンは使用できません。 184 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 暗号化処理中も問題なくコンピューターを使用できますが、通常よりもパ フォーマンスは低下します。暗号化処理が完了すると、通常のパフォーマ ンスに戻ります。 コンピューターが使用中であることが PGP Desktop に検出されると、暗号化処理が自動的に減速されます。逆に、暗号化の初 期段階でコンピューターを使用しないようにすると、暗号化処理は加速さ れます。 暗号化が行われている間、PGP Desktop の画面表示を最小化しておくか、閉じておくことができます。最小化して も処理には問題がなく、暗号化処理の速度が向上します。 暗号化処理を一時的に停止するには、[停止] をクリックしてから、ダイアログ ボックスで [一時停止] をクリックします。再開するには [再開] をクリックします。[再開] ボタンをクリックした後で認証が必要な場合もあります。 暗号化処理が完了する前にシステムをシャットダウンするには、通常のシ ャットダウン手順を実行してください。処理を一時停止する必要はありま せん。コンピューターを再起動すると、暗号化処理が中断された位置から 自動的に再開します。 暗号化、復号化、再暗号化は、一度に 1 つのディスクまたはパーティションにのみ実行できます。1 つのディスクまたはパーティションで処理を開始すると、その処理が完了 するまで他のディスクまたはパーティションの暗号化を開始できません。 最初の処理を一時停止しても、次の処理は開始できません。 PGP WDE のパスフレーズでサポートされる文字 PGP Whole Disk Encryption 機能では、パスフレーズを作成する際に、半角英数字、句読点、標準のメタ文 字、および拡張 ASCII 文字がサポートされます。タブおよび制御文字はサポートされません。パスフ レーズを選択する際は、次の点に注意してください。 サポートされている文字は、次のとおりです。 abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 `~!@#$%^&*()_+={}\|:;[]'"<>,.?/ ほとんどの拡張 ASII 文字 (ç é è ê ë î ï ô û ù ü ÿ など) や記号 (® œ など) がサポートされています。 下表は、関連キーボードでパスフレーズの一部として入力された場合にサポー トされない文字のリストです。 185 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows キーボード サポートされていない文字 イタリア語 (イタリア) `~ ヘブライ語 (イスラエル) abcdefghijklmnopqrstuvwxyz` ロシア語 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ`@#$^&{}|[]'<>~ (ロシア) ボスニア語 (ボスニア、 キリル) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ ブルガリア語 (ブルガリア) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUWXYZ'[]<>{}@#$^&* ポーランド語 (ポーランド 、 214 キー) []| セルビア語 (セルビア、 キリル) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ[]{}|@^ ウクライナ語 (ウクライナ) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ'[]`<>{}|~@#$^& ディスクの暗号化 ラップトップやコンピューターを失くしたり、盗まれたり、ディスクを復号化 できなかったりした場合にデータを喪失しないように、ディスクを暗号化する 前に必ずバックアップを作成してください。 暗号化、復号化、再暗号化は、一度に 1 つのディスクまたはパーティションにのみ実行できます。1 つのディスクまたはパーティションで処理を開始すると、その処理が完了する まで他のディスクまたはパーティションの暗号化を開始できません。最初の処 理を一時停止しても、次の処理は開始できません。 186 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP Whole Disk Encryption を使用してディスクまたはパーティションを保護するには、次の手順に従い ます。 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリックします。[PGP ディスク] コントロール ボックスがハイライトされます。 2 [ディスク全体の暗号化] をクリックします。Partition)(ディスク全体(パーティション)の暗号化 作業領域が表示され、PGP ディスク全体暗号化で保護することができるコンピューター上のディスク の一覧 (ディスク、ディスク パーティション、リムーバブル ディスクなど)が表示されます。 3 ディスク全体 (パーティション) の暗号化の作業領域で一番上にある [暗号化するディスクまたはパーティションの選択] セクションで、PGP Whole Disk Encryption を使用して保護するコンピューター上のディスクまたはパーティションを クリックします。 4 [暗号化オプション] で、使用する項目があれば選択します。オプションの詳細については、「P GP Whole Disk Encryption オプションの使用 『ページ : 182』」を参照してください。 5 [ユーザー アクセス] セクションで、保護されたディスクまたはパーティションにアクセスする 方法を指定します。 187 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows [トークン ベースの公開鍵ユーザー] : システム上の固定 (リムーバブルでない) ディスクを保護する場合は、次の操作を行います。 鍵に関連付けられたユーザー名または電子メール アドレスを入力し、Enter キーを押して鍵を検索します。[ユーザー鍵の追加] も選択できます。鍵リング上の鍵ペアのリストが表示されます。 [鍵ソース] ボックスから、使用する公開鍵を 1 つまたは複数選択します。[追加] をクリックして [追加する鍵] フィールドに鍵を移動し、次に [OK] をクリックします。[暗号化] をクリックします。 [パスフレーズ ユーザー] : ディスクまたはパーティションを公開鍵で保護する場合は、[新規パス フレーズ ユーザー] を選択します。PGP ディスク アシスタント : Whole Disk Encryption - [ディスク新規ユーザー] ダイアログ ボックスが表示されます。 暗号化されたディスクを、Windows アカウントのログオンを使用してロック解除するには、[Windo ws パスワードを使用] を選択してから、[次へ] をクリックします。PGP ディスク アシスタントの [2 要素認証] ダイアログ ボックスで、[パスフレーズ認証のみで続行する] を選択して、[次へ] をクリックします。PGP ディスク アシスタントの [Windows アカウント ログオン] ダイアログ ボックスで、Windows のユーザー名とパスワードを入力して、[次へ] をクリックします。[完了] をクリックします。 [Windows パスワードを使用] オプションを選択する場合は、初期暗号化の後、コンピューターが 起動したときに [PGP BootGuard] 画面が表示された時点で Windows パスワードを使用してください。PGP シングル サインオン (SSO) 機能によって、Windows に自動的にログインされるため、ユーザーはパスフレーズを 1 度入力するだけで済みます。(これがシングル サインオン機能です。詳細については、「PGP WDE シングル サインオンの使用 『ページ : 198の"PGP WDE のシングル サインオンの使用"参照先 : 』」を参照してください。) 188 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 暗号化されたディスクまたはパーティションを、新規パスフレー ズを使用してロック解除するには、[新規パスフレーズを作成] を選択してから、[次へ] をクリックします。PGP ディスク アシスタントの [2 要素認証] ダイアログ ボックスで、[パスフレーズ認証のみで続行する] を選択して、[次へ] をクリックします。PGP ディスク アシスタントの [ユーザー名とパスフレーズの作成] ダイアログ ボックスで、新しいユーザーの名前と、そのユーザーに関連付け るパスフレーズを入力します。パスフレーズを [確認] フィールドに再度入力して、[次へ] をクリックします。[完了] をクリックします。 暗号化されたディスクまたはパーティションを、パスフレーズと USB フラッシュ ドライブで 2 要素認証を使用してロック解除するには、[新規パスフレーズを 作成] を選択してから、[次へ] をクリックします。 PGP ディスク アシスタントの [2 要素認証] ダイアログ ボックスで、[汎用 USB フラッシュ デバイス] を選択し、リストからデバイスを選択して、[次へ] をクリックします。PGP ディスク アシスタントの [ユーザー名とパスフレーズの作成] ダイアログ ボックスで、新しいユーザーの名前と、そのユーザーに関連付ける パスフレーズを入力します。パスフレーズを [確認] フィールドに再度入力して、[次へ] をクリックします。[完了] をクリックします。 暗号化されたディスクまたはパーティションを、パスフレーズと TPM で 2 要素認証を使用してロック解除するには、[新規パスフレーズを 作成] を選択してから、[次へ] をクリックします。PGP ディスク アシスタントの [2 要素認証] ダイアログ ボックスで、[トラステッド プラットフォーム モジュール (TPM)] を選択して、[次へ] をクリックします。PGP ディスク アシスタントの [ユーザー名とパスフレーズの作成] ダイアログ ボックスで、新しいユーザーの名前と、そのユーザーに関連付け るパスフレーズを入力します。パスフレーズを [確認] フィールドに再度入力して、[次へ] をクリックします。[完了] をクリックします。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入 力した文字は画面に表示されません。ただし、誰にも見られていないこと が確実である (背後から覗かれたり、モニターから放射される無線波がスキャンされたり していない) 場合、入力中にパスフレーズの文字を表示するには、[キーボード入力の表 示] チェック ボックスをオンにします。「パスフレーズの品質バー 『ページ : 368』」を参照してください。 189 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 注意 : PGP Whole Disk Encryption で保護されたディスクまたはパーティションに対してパスフレーズを作成 する際は、サポートされているキーボード配列を使用することを強く推奨 します (詳細については、「サポートされているキーボード 『ページ : 168』」を参照してください)。PGP BootGuard のログイン画面では、パスフレーズを入力して認証する際にこれらのキー ボード配列のいずれかを使用していることが想定されています。異なるキ ーボード配列を使用すると、認証時に問題が発生する場合があります。詳 細については、「PGP BootGuard 画面での認証 『ページ : 192』」を参照してください。 6 必要なユーザー アクセスが設定されていることを確認して、[暗号化] をクリックします。 7 ダイアログ ボックスの情報を読んでから、[OK] をクリックします。 8 ディスクの何パーセントが暗号化されたかを確認するには、暗号化プログ レス バーを参照します。 9 暗号化処理を一時的に停止するには、[停止] をクリックしてから、表示されるダイアログ ボックスで [一時停止] をクリックします。再開するには、[再開] をクリックします。適切なパスフレーズを入力するための指示が表示され る場合があります。 メモ : 暗号化処理が停止し、ディスクの読み取りまたは書き込みエラーが表示さ れた場合、暗号化中にディスクまたはパーティションに不良セクターが検 出されたことを意味します。暗号化を続行するか、処理を中断してエラー を修復できます。「暗号化中のディスク エラーの検出 『ページ : 191』」を参照してください。PGP Desktop を PGP Universal Server で管理された環境で使用している場合、暗号化中に検出された不良セクタ ーは PGP Universal Server にログされ、暗号化処理は続行されます。 暗号化処理が完了すると、ユーザー アクセス セクションにディスクを暗号化するために使用したユーザーが表示され、 新たなユーザーを追加したり、パスフレーズを変更したり、ユーザーを削 除できるように、追加ユーザーのアクセス オプションが利用できるようになります。 10 ディスクが暗号化されたら、リカバリ ディスクを作成することを推奨します。詳細については、「リカバリ ディスクの作成 『ページ : 218の"リカバリ ディスクの作成と使用"参照先 : 』」を参照してください。 190 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 暗号化中のディスク エラーの検出 メモ : PGP Desktop を PGP Universal Server 管理環境下で使用している場合、暗号化中に検出された不良セクターは PGP Universal Server にログされ、暗号化処理が続行されます。 多くのハード ディスクには、不良セクターがあります。PGP WDE による暗号化中にディスクの不良セクターが検出されると、暗号化が一時停止 します。このとき、PGP WDE でディスク エラーが検出されたことを示す警告メッセージが表示されます (このエラーは暗号化とは無関係であり、ハード ディスクの保守が必要であることを示しています)。 次の操作のいずれかを実行できます。 [はい] をクリックして、暗号化を強制的に続行する。ディスク エラーが検出されることは珍しくありませんが、問題がない場合もよくあ ります。[はい] をクリックすると、暗号化処理が続行され、以降のエラーは PGP WDE で無視されます。 [いいえ] をクリックして暗号化を中止し、ディスクを完全に復号化して、次に SpinRite や Norton Disk Doctor などのツールを使用してディスク エラーを修復した後で、ディスクの暗号化を再試行する。ディスクの断片 化がかなり進んでいる場合や、多くの不良セクターが存在することが判明 した場合は、そのディスクを暗号化する前にハード ディスクに必要な保守作業を直ちに実行してください。 PGP WDE で暗号化されたディスクの使用 PGP Whole Disk Encryption を使用してシステム上のブート ディスクまたはセカンダリ固定ディスクを保護すると、コンピューターはそれ までとは異なる方法で起動します。電源を入れると、最初に PGP BootGuard ログイン画面が表示され、パスフレーズを入力するための指示が表示されます 。 次に、PGP WDE によってディスクが復号化されます。シングル サインオン機能を有効にしている場合 (つまり、PGP WDE のパスフレーズを Windows アカウントのログオンと同期している場合)、Windows にもログオンされます。 191 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP WDE で暗号化されたディスクを使用すると、必要に応じて自動的に復号化されて開 きます。最近のほとんどのコンピューターでは、ディスクを完全に暗号化して も、パフォーマンスが目立って低下することはありません。 ディスクまたはパーティションをロック解除すると、システムを物理的に使用 できるすべてのユーザーが、そのディスクまたはパーティションに保存されて いるファイルを使用できるようになります。これらのファイルは、コンピュー ターをシャットダウンして再びロックするまでは、ロック解除された状態のま まです。 警告 :ファイルは再度ロックするまでロック解除されたままになるため、コンピュ ーターの使用中にもファイルをセキュアにする必要がある場合は、PGP 仮想ディスク ボリュームを使用できます。「PGP 仮想ディスクの使用 『ページ : 229』」を参照してください。 暗号化されたブート ディスクまたはパーティションを持つシステムをシャット ダウンした場合や、暗号化されたリムーバブル ディスクをシステムから取り外した場合は、そのディスクやパーティション上 のファイルはすべて暗号化されて完全に保護されたままになります。ディスク やパーティションに、暗号化されていない形式でデータが書き込まれることは ありません。ファイルに再びアクセスするには、適切な認証 (パスフレーズ、トークン、または秘密鍵) が必要です。 PGP BootGuard 画面での認証 PGP BootGuard ログイン画面では、次の 2 つの理由のどちらかにより、保護されているディスクまたはパーティションに 対して適切なパスフレーズを入力するための指示が表示されます。 ブート ディスクまたはパーティションが PGP Whole Disk Encryption を使用して保護されている場合、システムを起動するには正しく認証する 必要があります。これは、システムの起動を制御するオペレーティング システムのファイルが暗号化されており、システムの起動に使用する前に 復号化する必要があるためです。ブート ディスクまたはパーティションを初めて暗号化したときにシングル サインオンのオプションを選択した場合、PGP シングル サインオン機能によって、ユーザーは自動的に Windows にログインされます。 192 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows セカンダリ固定ディスクまたはパーティションが PGP Whole Disk Encryption を使用して保護されている場合、コンピューターの起動時に認証すれば、 後でそのセカンダリ ディスクまたはパーティション上のファイルを使用する際に認証する必要 はありません。セカンダリ (ブート用でない) ディスクまたはパーティション上のファイルはコンピューターの起動に必 要でないため、コンピューターの起動時には認証が要求されません。管理 者権限があり、PGP Universal Server ポリシーが許可している場合、バイパス機能を使用すると、コンピュータ ー起動時の認証を省略できます。この場合、後でセカンダリ ディスクまたはパーティション上のファイルを使用する際に認証が要求さ れます。 メモ : PGP BootGuard ログイン画面では、暗号化されたドライブやパーティションに構成されてい るどのユーザーの認証情報も使用できます。たとえば、同じシステム上で 2 人のユーザーがブート ディスクまたはパーティションに構成されていて、別の 2 人のユーザーがセカンダリ固定ディスクまたはパーティションに構成されて いる場合、セカンダリ ディスクまたはパーティションに構成されている 2 人のユーザーも含め、構成されている 4 人のユーザーのいずれも、システムの起動時に PGP BootGuard ログイン画面で自分のパスフレーズを使用して認証できます。 PGP BootGuard のログイン画面では、次の操作を実行できます。 システム上の暗号化されたブートまたはセカンダリ ディスク、あるいはパーティションの認証 システム上のディスクまたはパーティションに関する情報の表示、および バイパス機能へのアクセス (PGP Universal Policy が許可している場合のみ管理者権限のユーザーがバイパスを使用できます) 。 キーボード配列の選択 If you are using PGP Desktop in a PGP Universal Server-managed environment, Your PGP administrator may have customized the PGP Whole Disk Encryption BootGuard screen to include additional text or a custom image such as your organization's logo. The graphics included in this guide depict the default installation. Your actual login screen may look different if your administrator has customized the screen. 193 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP BootGuard ログイン画面を使用して認証するには、次の手順に従います。 1 PGP Whole Disk Encryption で保護されたディスクまたはパーティションを持つシステムを起動または 再起動します。システムの起動時に、PGP BootGuard ログイン画面が表示されます。 メモ :2 要素認証に USB デバイスを使用している場合、システムを起動または再起動する前に、U SB デバイスが正しく挿入されていることを確認してください。 2 有効なパスフレーズまたは Windows パスワードを入力して、Enter キーを押します。 注意 : PGP BootGuard ログイン画面では、ユーザーがパスフレーズを入力する際に、サポートさ れているキーボード配列のいずれかを使用していることが想定されていま す。異なるキーボード配列を使用して PGP Whole Disk Encryption で保護されたディスクまたはパーティション用のパスフレーズを作成した 場合、キーボード配列間のマッピングが異なることが原因で認証時に問題 が発生することがあります。「キーボード配列の選択 『ページ : 196』」を参照してください。 入力する文字を表示するには、入力し始める前に Tab キーを押します。 間違って入力した場合、または間違って入力したと思われる場合は、Esc キーを押して文字をすべて消去してからやり直します。 194 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows ローカル自己修復が構成されていて、パスフレーズを忘れた場合、[パスフ レーズを忘れた場合] を選択します。詳細については、「ローカル自己修復の使用 『ページ : 208の"パスフレーズを忘れた場合"参照先 : 』」を参照してください。 メモ :PGP BootGuard のトークン認証では、Enter キー単独でなく Ctrl キーを押しながら Enter キーを押す必要があります。また、PGP BootGuard でトークンが認証されている間、わずかな遅延が生じることもあります。 3 正しいパスフレーズを入力した場合は、PGP BootGuard ログイン画面が閉じて、システムが正常に起動します。 ブート ディスクを最初に暗号化したときに Windows アカウント ログオンを使用した認証を選択すると、PGP Whole Disk Encryption 機能によって自動的に Windows にログインされます。パスフレーズは 1 度しか入力する必要はありません。 無効なパスフレーズを入力した場合は、エラー メッセージが表示されます。その場合は、パスフレーズを再度入力してく ださい。 認証時の音 PGP Universal Server で管理された環境で PGP Desktop を使用しており、PGP 管理者によってこのオプションが有効にされている場合は、PGP BootGuard 認証時に音が鳴ります。パスフレーズの入力時、認証の成功時、または失敗時 を示す 3 種類のトーンの組み合わせがあります。 各状態を示す音は、中-高、中-中、または中-低の音の組み合わせです。 まず、パスフレーズや PIN の入力準備ができると、中-中 (準備完了) の音が出ます。この音が聞こえたら、パスフレーズを入力して Enter キーを押してください。 パスフレーズの入力後、パスフレーズ認証の成功または失敗によって異な るトーンの音が出ます。 パスフレーズ認証が成功した場合は、中高の音が出て、コンピューターは起動を続行します。 パスフレーズ認証が失敗した場合は、中-低の音が出ます。PGP BootGuard の認証画面が表示され、パスフレーズ フィールドがクリアされているので、パスフレーズを再入力できます 。 PGP 管理者は、これらの音をカスタマイズすることはできません。管理者は、PGP BootGuard での認証中に音を有効にするかどうかのみ指定できます。 195 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP BootGuard 画面でロックアウトされる PGP Universal で管理された環境で PGP Desktop を使用している場合は、PGP BootGuard ロックアウトが PGP 管理者によって指定されている可能性があります。PGP BootGuard 画面でのパスフレーズの入力試行回数が最大許容数を超えると、"ロックアウト" されます。このことは、パスフレーズ ユーザーにのみ当てはまります (トークンまたは TPM のユーザーは影響を受けません)。 ロックアウトを削除するには、PGP 管理者に問い合わせてください。 キーボード配列の選択 PGP Whole Disk Encryption のログイン画面では、次のキーボード配列がサポートされます。 ベルギー語 (ベルギー、コンマ) ベルギー語 (ベルギー、ピリオド) ボスニア語 (ボスニア) ボスニア語 (ボスニア、キリル) ブルガリア語 (ブルガリア) ブルガリア語 (ブルガリア、ラテン) ブルガリア語 (ブルガリア、タイプライター) カナダ マルチリンガル標準 (カナダ) 簡体字中国語 (中国、シンガポール) 繁体字中国語 (香港、台湾) クロアチア語 (クロアチア) チェコ語 (チェコスロバキア、QWERTY) デンマーク語 (デンマーク) オランダ語 (オランダ) 英語 (米国) 英語 (英国) 英語 (米国 - インターナショナル) エストニア語 (エストニア) フィンランド語 (フィンランド) フランス語 (ベルギー) 196 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows フランス語 (カナダ) フランス語 (フランス) フランス語 (スイス) ドイツ語 (ドイツ、オーストリア) ドイツ語 (IBM) ドイツ語 (スイス) ヘブライ語 (イスラエル) ハンガリー語 (ハンガリー) ハンガリー語 (ハンガリー、101 キー) アイスランド語 (アイスランド) アイルランド語 (アイルランド) イタリア語 (イタリア) イタリア語 (イタリア、142 キー) 日本語 (日本) 韓国語 (韓国) ノルウェー語 (ノルウェー) ポーランド語 (ポーランド、プログラマ) ポーランド語 (ポーランド、214 キーボード) ポルトガル語 (ブラジル、ABNT キーボード) ポルトガル語 (ブラジル、ABNT2 キーボード) ポルトガル語 (ポルトガル) ルーマニア語 (ルーマニア) ロシア語 (ロシア、キリル) セルビア語 (セルビア モンテネグロ、キリル) セルビア語 (セルビア モンテネグロ、ラテン) スロバキア語 (スロバキア) スロベニア語 (スロベニア) スペイン語 (スペイン) スペイン語 (中南米) スペイン語 (バリエーション) スウェーデン語 (スウェーデン) トルコ語 (トルコ、F) 197 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows トルコ語 (トルコ、Q) ウクライナ語 (ウクライナ) 異なるキーボード配列では文字のマッピングが異なる場合があり、パスフレー ズを入力して認証する際に問題が発生することがあります。使用しているキー ボードの配列に最も類似したキーボート配列を選択して、認証するたびに同じ 配列を使用してください。 キーボード配列を選択するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されているディスクまたはパーティションを持つコンピュ ーターを起動または再起動します。システムの起動時に、PGP BootGuard ログイン画面が表示されます。 2 [キーボード] がハイライトされるまで、キーボードの下矢印キーを押します。 3 Enter キーを押します。キーボード配列画面が表示されます。 4 Tab キーを押して、フォーカスをキーボード配列の一覧に移動します。次に、 キーボードの上矢印キーおよび下矢印キーを使用して、必要なキーボード 配列を選択します。 5 Tab キーを再度押します。[戻る] オプションがハイライトされます。 6 Enter キーを押します。PGP BootGuard のログイン画面が再び表示されます。 PGP WDE のシングル サインオンの使用 シングル サインオンを使用すると、既存の Windows パスフレーズを使用して、PGP WDE で暗号化されたドライブの認証と Windows への自動ログインの両方を行えます。 シングル サインオンのしくみ シングル サインオンでは、Windows のログイン動作をカスタマイズするために Microsoft Windows に用意されている方法のうちの 1 つを利用します。ユーザーがログインしようとすると、PGP WDE はそのユーザーが構成した認証情報を使用して、特定のレジストリ エントリを動的に作成します。 メモ : Windows パスワードがレジストリに保存されたり、暗号化、クリア テキストのいずれの形式でもディスクに保存されたりすることは決してあり ません。 198 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows シングル サインオンを使用するための必要条件 PGP Whole Disk Encryption がインストールされている必要があります。 ローカル ユーザーとシングル サインオン コンピューターがドメインのメンバーでない場合に、シングル サインオン ユーザーがディスクに追加されると、PGP Whole Disk Encryption により「ようこそ画面を使用する」や「ユーザーの簡易切り替え」(ようこそ画 面に依存) などの一部のユーザー アクセス機能が自動的に無効になります。これにより、Ctrl キーと Alt キーを押しながら Del キーを押すと [Windows セキュリティ] パネルが使用可能になります。 これらの機能は、コンピューターがドメインのメンバーである場合は自動的に 無効になっています。 シングル サインオンを使用するディスクの暗号化 シングル サインオンを使用するディスクを暗号化するには、次の手順に従います。 1 [PGP ディスク] コントロール ボックスをクリックして、[ディスク全体の暗号化] を選択します。 2 暗号化するディスクまたはパーティションを選択し、必要に応じて PGP Whole Disk Encryption のオプションを選択します。これらのオプションの詳細については、「暗 号化オプションの設定 『ページ : 177』」を参照してください。 3 [ユーザー アクセス] セクションで、[新規パスフレーズ ユーザー] を選択します。 4 [Windows パスワードを使用] を選択してから、[次へ] をクリックします。 5 Windows のログイン パスワードを入力してから、[完了] をクリックします。 199 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP Whole Disk Encryption によって、名前がドメイン全体で有効であること、および Windows パスワードが正しいことが検証されます。また、PGP Whole Disk Encryption では、許可されている文字だけがパスワードに含まれているかどうかも確 認されます。許可されない文字がパスワードに含まれている場合は、続行 できません。使用できる文字の詳細については、「PGP Whole Disk Encryption のパスフレーズでサポートされる文字 『ページ : 185の"PGP WDE のパスフレーズでサポートされる文字"参照先 : 』」を参照してください。 6 [暗号化] をクリックしてから、[OK] をクリックします。 複数ユーザーとシングル サインオン シングル サインオンには最高 28 ユーザーを構成できます。ただしシングル サインオン ユーザーは、できるだけ少数の、システムを共有する必要があるユーザーだけ に制限することを推奨します。1 つの暗号化されたコンピューターを多数のユーザーが共有することは、技術的 には可能であっても安全な方法ではありません。このような使用はできるだけ 避けてください。 メモ : シングル サインオン機能はパスフレーズのみです。シングル サインオンにはユーザーの鍵は使用できません。また、この機能にはスマー ト カードやトークンとの互換性もありません。 シングル サインオンによるログイン シングル サインオンを構成してあると、システムの起動時に PGP BootGuard 画面が表示されます。正しいユーザー名とパスワードを入力すると、PGP WDE によって Windows セッションへのログインが行われ、PGP WDE で暗号化されたディスク パーティションにアクセスできるようになります。 シングル サインオンのパスフレーズの変更 Windows のパスワード変更を PGP WDE と同期するには、[Windows セキュリティ] ダイアログ ボックスの [パスワードの変更] 機能を使用して、シングル サインオンのパスワードを変更する必要があります。このダイアログ ボックスは、Ctrl キーと Alt キーを押しながら Del キーを押すと表示されます。 200 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows パスフレーズを変更するには、次の手順に従います。 1 Ctrl キーと Alt キーを押しながら Del キーを押します。 2 古いパスワードを入力します。 3 新しいパスワードを入力して、確認のため再度入力します。 4 [OK] をクリックします。 シングル サインオンによって、この新しいパスワードの同期が自動的かつ透過的に 行われます。次回のログインでは、新しいパスフレーズを直ちに使用でき ます。 注意 : ドメイン コントローラー、Windows のコントロール パネル、システム管理者、別のシステム経由などの他の方法でパスワードを 変更すると、PGP BootGuard 画面での次回のログインに失敗します。その場合は、古い Windows パスワードを入力する必要があります。古い Windows パスワードを使用して PGP BootGuard 画面でログインに成功すると、Windows ログインのユーザー名とパスワードの画面が表示されます。ここで新しい Windows パスワードを使用して正しくログインする必要があります。この時点で PGP WDE によって新しいパスワードとの同期が行われます。 Windows のログイン ダイアログ ボックスの表示 PGP WDE をシングル サインオン (SSO : Single Sign-On) と共に使用する場合は、PGP BootGuard にパスフレーズを正しく入力すると、自動的にコンピューターにログインしま す。Windows が起動すると、まもなく Windows デスクトップが表示されます。 ただし、自動的にログインするのではなく、Windows ログイン ダイアログ ボックスを使用してコンピューターにログインしなければならない場合もあり ます。たとえば、SSO を使用するとバイパスされる、特定のネットワーク (企業の VPN など) のダイアログ ボックスにアクセスする必要が生じる場合があります。 PGP WDE SSO によるログインをスキップし、Windows ログインを表示するには、次の手順に従います。 1 通常どおり、パスフレーズを入力して Enter キーを押し、PGP BootGuard 画面でコンピューターにログインします。 201 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 2 Microsoft Windows のスプラッシュ画面が表示されたら、Windows ログイン ダイアログ ボックスが表示されるまで Shift キーを押したままにします。スプラッシュ画面が Windows 起動プロセスの半分程進んだら、Shift キーを押してください。 3 Windows ログイン ダイアログ ボックスが表示されたら、情報を入力してシステムにログインします。 ディスクのセキュリティの維持 次のセクションでは、PGP WDE で暗号化したディスクの使用方法について説明します。 ディスクまたはパーティションの情報の取得 PGP BootGuard の詳細ログイン画面で読み取り専用のディスクまたはパーティションの情報 を取得するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティションを持つシステムを起 動または再起動します。システムの起動時に、PGP BootGuard ログイン画面が表示されます。 2 キーボードの↓キーを押します。右下隅の [詳細] がハイライトされます。 3 Enter キーを押します。PGP BootGuard の詳細ログイン画面が表示されます。 この画面には、次の情報が表示されます。 システム上のすべてのディスクおよびパーティション。PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティションの暗号化ステー タスも表示されます。 コンピューター名。 コンピューター ID。 現在選択されているディスクまたはパーティション。さらに、選択さ れたディスクまたはパーティションでバイパス機能が有効かどうかの 情報も表示されます。(バイパス機能は PGP Universal Policy が許可している場合のみシステムで管理者権限のあるユーザーが使用 できます)。 202 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 4 PGP BootGuard ログイン画面に戻るには、画面の右下の [戻る] をハイライトしてから Enter キーを押します。 システム パーティションの変更 PGP WDE で暗号化されたブート ディスクでは、システム パーティションを変更しないでください。変更すると、次回の起動が正常に行 われなくなります。暗号化されたディスクのパーティションを変更する必要が ある場合は、先にディスクを復号化してからパーティションの変更を行ってく ださい。 バイパス機能の使用 メモ : この機能は、PGP Universal Server のポリシーで許可されている場合にのみ、システムで管理者権限のあるユー ザーが使用できます。 バイパス機能を使用すると、コンピューター起動時の認証をスキップできます 。ブート ディスクまたはパーティションは PGP Whole Disk Encryption を使用して保護されていないがシステム上の別の固定ディスクまたはパーティ ションは保護されている場合、PGP BootGuard のログイン画面が起動時に表示されます。このような場合はバイパス機能を使 用して認証をスキップし、ブート ディスクまたはパーティションから起動できます。 注意 : バイパス機能を使用できるのは、ブート ディスクまたはパーティションが PGP Whole Disk Encryption で保護されていない場合だけです。ブート ディスクまたはパーティションが保護されている場合に認証を行わないと、 オペレーティング システムが読み込まれず、コンピューターは起動しません。 バイパス機能を使用するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されているディスクまたはパーティションがあるシステム を起動または再起動します。システムの起動時に、PGP BootGuard ログイン画面が表示されます。 2 キーボードの↓キーを押します。右下隅の [詳細] がハイライトされます。 3 Enter キーを押します。PGP BootGuard の詳細ログイン画面が表示されます。 4 キーボードの↓キーを再度押します。右下隅の [バイパス] がハイライトされます。 203 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 5 Enter キーを押します。PGP BootGuard の詳細ログイン画面が消え、システムが通常どおりに起動します。 暗号化されたディスクまたはパーティションへのユーザーの追加 暗号化されたディスクまたはパーティションを作成するユーザーは、そのディ スクまたはパーティションを他のユーザーが使用できるように設定できます。 追加されたユーザーは、自分用の一意のパスフレーズ、秘密鍵、またはトーク ン (PIV カード含む) を使用して、暗号化されたディスクまたはパーティションにアクセスできます 。暗号化ディスクには最高 120 ユーザーを構成できます。 暗号化ディスクに関連付けられているユーザーの種類を確認するには、ユーザ ー アクセス リストのユーザーの名前にカーソルを移動します。「ヒント」が表示され、ユ ーザーの種類を示します。トークン ユーザーを示すにはトークン鍵アイコンが使用され、SSO ユーザーには Windows ドメイン/ユーザー名が表示されます。 注意 : PGP Whole Disk Encryption で保護されたディスクまたはパーティションにアクセスできるユーザーを複 数設定すると、1 人のユーザーがパスフレーズを忘れたり、認証トークンをなくしたりした場 合に、代替策としての役割を果たします。暗号化されたディスクまたはパー ティションに構成されたユーザーは、PGP Whole Disk Encryption のログイン画面で認証を行い、そのシステム上の、保護されたディスクまた はパーティションをどれでもロック解除できます。 PGP Whole Disk Encryption で保護されたディスクまたはパーティションにユーザーを追加するには、次 の手順に従います。 1 PGP Desktop メイン画面の左側のペインにある [PGP ディスク] コントロール ボックスをクリックします。 2 ユーザーの追加先として、[PGP ディスク] 作業領域の一番上にあるディスクのリストから、暗号化されたディスクま たはパーティションを選択します。 3 [新規パスフレーズ ユーザー] をクリックします。ユーザーの種類を選択するためのダイアログ ボックスが表示されます。 4 「ディスクの暗号化 『ページ : 186』」のユーザー アクセスの手順の指示に従います。 204 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows メモ : PGP Whole Disk Encryption で暗号化されたディスクまたはパーティションに他のユーザーを追加する場 合、次の理由により、公開鍵による暗号化が最も安全な保護方法です。(1) パスフレーズを新しいユーザーに開示する必要がないため、パスフレーズが 傍受されたり、盗聴されたりする危険性が最小限になります。(2) 他のユーザーが別のパスフレーズを覚えておく必要がありません。(3) 各ユーザーが自分の秘密鍵を使用してディスクにアクセスするため、ユーザ ーリストの管理が簡単になります。PGP Whole Disk Encryption でブート ディスクまたはパーティションを保護する場合、公開鍵がトークンに保管さ れている必要があります。 暗号化されたディスクまたはパーティションからのユーザーの削除 暗号化されたディスクまたはパーティションへのアクセス権をユーザーから削 除することが必要になる場合があります。 暗号化されたディスクまたはパーティションからユーザーを削除するには、次 の手順に従います。 1 ディスク全体 (パーティション) の暗号化の画面で、PGP Whole Disk Encryption で保護された適切なディスクまたはパーティションを選択します。 2 [ユーザー アクセス] リストから、削除するユーザーの名前を選択します。 3 [ユーザーの削除] をクリックします。[パスフレーズ] ダイアログ ボックスが表示されて、認証するための指示が表示されます。 4 有効なパスフレーズを入力して、[OK] をクリックします。これで、代替ユーザーが削除されます。 ユーザー パスフレーズの変更 シングル サインオンを使用している場合、「シングル サインオン機能を使用している場合のパスフレーズの変更 『ページ : 206』」の説明に従って、パスワードを変更してください。 暗号化されたディスクまたはパーティションのユーザー パスフレーズを変更するには、次の手順に従います。 1 ディスク全体 (パーティション) の暗号化の画面で、PGP Whole Disk Encryption で保護された適切なディスクまたはパーティションを選択します。 2 [ユーザー アクセス] リストで、パスフレーズを変更するユーザーの名前を選択します。 205 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 3 [パスフレーズの変更] をクリックします。現在のパスフレーズを入力するための指示が表示され ます。 4 適切なパスフレーズを入力してから、[OK] をクリックします。[ユーザー パスフレーズの変更] ダイアログ ボックスが表示されます。 5 新しいパスフレーズを入力します。 6 [パスフレーズの確認] フィールドに新しいパスフレーズを再度入力してから、[OK] をクリックします。これで、パスフレーズが変更されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 368』」 を参照してください。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入 力した文字は画面に表示されません。入力するパスフレーズの文字を確認 するには、[キーボード入力の表示] チェック ボックスをオンにします。 シングル サインオン機能を使用している場合のパスフレーズの変更 PGP Whole Disk Encryption のシングル サインオン機能を有効にした場合、[Windows セキュリティ] ダイアログ ボックスの [パスワードの変更] 機能を使用してパスフレーズを変更することを推奨します。 メモ : [Windows セキュリティ] ダイアログ ボックスは、Ctrl キーと Alt キーを押しながら Del キーを押すとアクセスできます。 シングル サインオン機能の使用中にパスフレーズを変更するには、次の手順に従いま す。 1 Ctrl キーと Alt キーを押しながら Del キーを押します。[Windows セキュリティ] ダイアログ ボックスが表示されます。 2 古いパスフレーズを入力します。 3 新しいパスフレーズを入力し、確認のため再度入力します。 4 [OK] をクリックします。Windows のパスワードと PGP Whole Disk Encryption のパスフレーズが同時に変更されます。次回ログインするときには、新し いパスフレーズを使用してください。 206 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 注意 : ここに記載されている以外の方法でパスフレーズを変更した場合、PGP BootGuard 画面での次回のログインは失敗します。その場合、古いパスフレーズを入力 する必要があります。古いパスフレーズを使用して PGP BootGuard 画面でログインに成功すると、Windows ログインのユーザー名とパスワードの画面が表示されます。ここで Windows ログイン画面を使用して正しくログインする必要があります。この時点で PGP Whole Disk Encryption 機能によって新しいパスフレーズと同期されます。 ローカル ユーザーと PGP ディスク全体暗号化シングル サインオン機能 コンピューターがドメインのメンバーでない場合、PGP ディスク全体暗号化は自動的に、CTRL キー、ALT キー、および DEL キーの組み合わせを使用してサインインするようにします。 このため、シングル サインオン ユーザーが追加されると、ようこそ画面を使用する や CTRL キー、ALT キー、DEL キーの組み合わせなど、一部の Windows ユーザー アクセス機能が無効になります。 これらの機能は、コンピューターがドメインのメンバーになっていると自動的 に無効になります。 暗号化されたディスクまたはパーティションの再暗号化 パスフレーズや認証トークンが侵害されたことが疑われる場合、または以前ア クセス権を持っていたユーザーが削除された場合は、保護されたディスクまた はパーティションを再暗号化することを推奨します。 ディスクまたはパーティションの再暗号化にあたり、PGP Whole Disk Encryption 機能では同じ暗号アルゴリズム (AES256) が使用されますが、基となる暗号化鍵は別のものを使用してディスクまたはパ ーティションが再度暗号化されます。結果はディスクまたはパーティションを 復号化して再び暗号化するのと同様ですが、処理に要する時間は大幅に短縮さ れます。 メモ : 再暗号化は、既に暗号化されているすべてのパーティションに適用されます 。暗号化するパーティションを 1 つ選択すると、同じディスク上にある、既に暗号化されているすべてのパー ティションが 1 つずつ再暗号化されます。 207 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 暗号化されているディスクまたはパーティションを再暗号化するには、次の手 順に従います。 1 暗号化された適切なディスクまたはパーティションを選択します。 2 [ディスク] > [再暗号化] を選択します。認証するための指示が表示されます。 3 適切なパスフレーズを入力してから、[OK] をクリックします。再暗号化処理が開始します。 パスフレーズを忘れた場合 パスフレーズを忘れた場合、コンピューターが設定されている場合、5 つのセキュリティに関する質問から 3 つに正解することによって、PGP BootGuard をバイパスできます。5 つのセキュリティに関する質問を作成して、回答します。これは、鍵を紛失し たか鍵のパスフレーズを忘れた場合に鍵をリカバリするのと似ています。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者がローカル自己修復のオプションを無効にしている場合があります。 また、管理者がローカル自己修復を登録中に設定するように指定しているこ ともあります。この場合、PGP Desktop で設定したセキュリティに関する質問を入力するように要求されます。 セキュリティ保護用の質問を作成するには 1 PGP Desktop を使用して内蔵ドライブを暗号化します。パスフレーズ ユーザーまたは Windows SSO ユーザーを使用できます。 2 PGP Desktop でユーザー名を右クリックし、[セキュリティに関する質問の追加] を選択します。 メモ : WDE-Admin ユーザーまたは ADK にセキュリティに関する質問を作成することはできません。 3 セキュリティに関する質問を 5 つ作成して回答します。右 (およびツールのヒント) にユーザー名が LSR で表示され、「ローカル自己修復」がそのユーザーに設定されたことを示 します。 208 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP BootGuard でパスフレーズをリカバリするには、次の手順に従います。 1 PGP BootGuard 画面で、矢印キーを使用して [パスフレーズを忘れた場合] を選択し、ENTER を押します。 2 表示された最初のセキュリティに関する質問に回答します。回答を入力し て、Enter キーを押します。 3 引き続き質問に回答します。5 つの質問のうち、3 つに正しく答える必要があります。 4 質問に正解すると、Windows オペレーティング システムが起動します。Windows ダイアログ ボックスへのログオンが表示されたら、Windows ログイン名とパスワードを入力します。 Windows が起動し終わったら、PGP ディスク - [ユーザー パスフレーズの変更] ダイアログ ボックスが表示されます。 5 ユーザー用の新しいパスフレーズを入力して確認し、[OK] をクリックします。このユーザーに新しいパスフレーズが作成されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 368』」 を参照してください。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入 力した文字は画面に表示されません。入力するパスフレーズの文字を確認 するには、[キーボード入力の表示] チェック ボックスをオンにします。 209 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 再度パスフレーズを忘れると、セキュリティに関する質問が表示されます。セ キュリティに関する質問を変更する場合、ユーザー名を右クリックし、[セキュ リティに関する質問の変更] を選択します。 バックアップとリストア 最近のほとんどのバックアップ プログラムは、PGP WDE で暗号化されたディスク上のデータを問題なくバックアップできますが、一部 のバックアップ プログラムでは、問題が生じることがあります。これらのバックアップ プログラムでは、PGP WDE によって使用される、PGPWDE01 というファイルが検出されるとエラーが発生します。この問題を解決するには 、PGPWDE01 をバックアップ対象から除外するようにバックアップ プログラムに対して指定する必要があります (大半のバックアップ プログラムでは、個々のファイルを除外できます)。これらのプログラムでバッ クアップを再び作成できるようになったら、バックアップが正常に機能するこ とを確認してください。 PGP WDE で暗号化されたディスクに対する自動バックアップ ソフトウェアの使用 PGP ディスク全体暗号化で保護されたディスクまたはパーティションは、自動的に バックアップできます。PGP WDE を使って暗号化する前に、必ずシステムのバックアップを行ってください。 ソフトウェアによるバックアップ時には、いずれのファイルも復号化されるこ とに注意してください。暗号化されたデータをバックアップするには、PGP Virtual Disk または PGP NetShare の保護フォルダーを使用します。 暗号化されたディスクまたはパーティションからの PGP Desktop のアンインストール PGP Whole Disk Encryption で保護されたディスクまたはパーティションがシステムにある場合は、PGP Desktop がアンインストールされると、これらのディスクまたはパーティションにアク セスできなくなります。このため、PGP Whole Disk Encryption で保護されたディスクまたはパーティションがシステムにある場合は、安全機 能によって PGP Desktop をアンインストールできないしくみになっています。この場合、暗号化された ディスクまたはパーティションを保護するためにアンインストール処理が中止 されているというエラー メッセージが表示されます。 210 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP Desktop をアンインストールするにはまず、システム上の、PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティションをすべて復号化します。 リムーバブル ディスクの使用 このセクションでは、リムーバブル ディスクの使用方法について説明します。PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用している場合、リムーバブル ディスクの暗号化がセキュリティ ポリシーによって要求されることがあります。セキュリティ ポリシーによっては、リムーバブル ディスクを読み取り専用ディスクとしてマウントすることが要求される場合も ありますが、ディスクを暗号化するためのオプションが用意されています。 注意 : Microsoft Windows の [ハードウェアの安全な取り外し] オプションを必ず使用して、接続された USB デバイスを取り外す前に停止してください。 リムーバブル ディスクの暗号化 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用している場合、リムーバブル ディスクの暗号化がセキュリティ ポリシーによって要求されることがあります。リムーバブル ディスクを挿入すると、[PGP Desktop - 記憶装置が接続されました] ダイアログ ボックスが表示されます。 次のいずれか 1 つを実行します。 リムーバブル ディスクが USB フラッシュ ディスクや外付けハード ドライブなどの外付けドライブである場合、[暗号化] をクリックします。デバイスは自動的にユーザーの鍵で暗号化されます。 ブート ディスクが他のユーザーの鍵で暗号化されている場合は、その鍵の所有者 がユーザーとしてリムーバブル ディスクに追加されます。自分の鍵が見つからない場合、または他のユー ザーの鍵が見つからない場合は、パスフレーズ ユーザーを作成するための指示が表示されます。 メモ :PGP Universal Server 管理者が、すべてのリムーバブル ディスクが自動的に暗号化されるように指定していて、ブート ディスクが暗号化されていない場合、デバイスの暗号化にはユーザーの鍵 リングにある最初の鍵ペアが使用されます。 211 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows ディスクのサイズによっては、暗号化処理の完了までに時間がかかる場合 があります。ディスクが暗号化されている間も、リムーバブル ディスクは引き続き使用できます。 警告 : ディスクを取り出す前に、暗号化処理が完了していることを確認してくだ さい。 デバイスを暗号化しない場合は、[ロック] をクリックします。デバイスはロックされ、読み取り専用になります。フ ァイルに変更を加えたりファイルをデバイスから削除したりしようとする と、Windows のエラー メッセージが表示されます。 リムーバブル ディスクが音楽デバイスまたはデジタル カメラの場合は、[ロック] をクリックします。このタイプのデバイスは、デバイスのコンテンツが暗 号化されていると動作しません。音楽デバイスやデジタル カメラを間違って暗号化した場合は、復号化する必要があります。会社の セキュリティ方針によっては、デバイスを復号化するために IT 部門または PGP 管理者に問い合わせることが必要な場合があります。 すべてのリムーバブル ディスクの暗号化がセキュリティ ポリシーで要求されていても、(機内にいるため会社のネットワークに接続して いない場合など) PGP Universal Server を利用できないときには、リムーバブル デバイスを暗号化できません。したがって、デバイスは「ロック」され、読み 取り専用になります。次に PGP Universal Server に接続したときに、(まだ暗号化していない) ディスクのコンテンツを暗号化できます。 メモ :PGP 管理者が、すべてのリムーバブル ディスクが暗号化されるように指定していると、PGP トレイ メニューの [PGP サービスの終了] オプションを使用できなくなります。 読み取り専用にロックされたディスクの使用 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用している場合、リムーバブル ディスクを読み取り専用デバイスとしてマウントするように、セキュリティ ポリシーで設定されていることがあります。リムーバブル ディスクを挿入すると、[PGP Desktop - 記憶装置が接続されました] ダイアログ ボックスが表示されます。リムーバブル ディスクはロックされており、ディスクを暗号化しないと、データをディスク に書き込むことはできません。デバイスを暗号化することを選択した場合は、 ディスクを引き続き通常どおりに使用できます。 次のいずれか 1 つを実行します。 212 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows リムーバブル ディスクが USB フラッシュ ディスクや外付けハード ドライブなどの外付けドライブである場合に、ディスクに書き込めるよう にするには、[暗号化] をクリックします。デバイスは自動的にユーザーの鍵で暗号化されます。 ブート ディスクが他のユーザーの鍵で暗号化されている場合は、その鍵の所有者 がユーザーとしてリムーバブル ディスクに追加されます。自分の鍵が見つからない場合、または他のユー ザーの鍵が見つからない場合は、パスフレーズ ユーザーを作成するための指示が表示されます。 ディスクのサイズによっては、暗号化処理の完了までに時間がかかる場合 があります。ディスクが暗号化されている間も、リムーバブル ディスクは引き続き使用できます。 警告 : ディスクを取り出す前に、暗号化処理が完了していることを確認してくだ さい。 デバイスを暗号化しない場合は、[ロック] をクリックします。デバイスはロックされ、読み取り専用になります。フ ァイルに変更を加えたりファイルをデバイスから削除したりしようとする と、Windows のエラー メッセージが表示されます。 リムーバブル ディスクが音楽デバイスまたはデジタル カメラの場合は、[ロック] をクリックします。このタイプのデバイスは、デバイスのコンテンツが暗 号化されていると動作しません。音楽デバイスやデジタル カメラを間違って暗号化した場合は、復号化する必要があります。会社の セキュリティ方針によっては、デバイスを復号化するために IT 部門または PGP 管理者に問い合わせることが必要な場合があります。 他のシステムへのリムーバブル ディスクの移動 PGP Whole Disk Encryption を使用して USB フラッシュ ディスクなどのリムーバブル ディスクを保護している場合、別の Windows コンピューターまたは Mac OS X コンピューターにそのディスクを移動して、フラッシュ ディスク上の暗号化されたファイルにそのコンピューターからアクセスできま す。Linux 上で PGP WDE を使用して作成したリムーバブル ディスクには、PGP Desktop バージョン 10.0 以降を使用してアクセスできます。 ディスクのコンテンツにアクセスするには、認証する必要があります。 213 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows メモ : 暗号化されたリムーバブル ディスクを移動する際は、PGP Desktop のライセンスを付加することを推奨します。PGP Whole Disk Encryption 機能を使用してディスクを保護するには、適切な PGP Desktop ライセンスが必要です。ただし、リムーバブル ディスクを PGP Whole Disk Encryption で保護した場合、PGP Desktop 9.5.2 またはそれ以降のバージョンがインストールされている別のコンピューター で、そのリムーバブル ディスクを使用できます。この場合、別のコンピューターにはディスク全体 暗号化をサポートする PGP Desktop ライセンスは必要ありません。 暗号化されたリムーバブル ディスクの再フォーマット リムーバブル ディスクを暗号化してから、Windows ディスク管理ユーティリティを使用してそのディスクを再フォーマットすると 、次にディスクを挿入したときにパスフレーズの入力を要求されます。 この要求を取り消すには、次の操作を行います。 1 [スタート] > [ファイル名を指定して実行] を選択して「cmd」と入力することで、コマンド プロンプトを起動して、C:\Program Files\PGP Corporation\PGP Desktop にナビゲートします。 2 次のコマンドを入力します。 pgpwde --fixmbr --disk 1 暗号化されたディスクがコンピューター上に複数存在する場合は、まず、p gpwde --enum コマンドを実行する必要があります。このコマンドを実行すると、暗号化 されたディスクの一覧が表示されます。USB ドライブがディスク「1」ではなく、別の番号として情報が返された場合は 、代わりにその番号を使用します。たとえば、USB ディスクがディスク「2」であれば、pgpwde --fixmbr --disk 2 のように暗号化を削除するコマンドを入力します。 これでディスクを挿入したときに、パスフレーズを要求されなくなります。 PGP Universal Server で管理された環境での PGP WDE の使用 PGP Whole Disk Encryption 機能は、PGP Universal Server で管理された環境の PGP Desktop ユーザーが使用できるように構成できます。管理者は、会社全体のユーザーに PGP Desktop インストーラーを導入できます。 214 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP ディスク全体暗号化の管理 PGP 管理者が管理できる機能は次のとおりです。 PGP ディスク全体暗号化機能をユーザーが利用できるようにするかどうかを設 定できます。PGP Universal Server によって管理されている環境内で PGP ディスク全体暗号化機能が利用できない場合には、この機能がポリシーに より無効になっていないかどうかを PGP 管理者に確認してください。 PGP ディスク全体暗号化機能を使用するには、PGP Corporation から適切なライセンスを取得しておく必要もあります。この機能がポリシ ーでは有効であるにもかかわらず実際には使えない場合には、適切なライ センスを取得しているかどうかを PGP 管理者に確認してください。 PGP ディスク全体暗号化(WDE) で保護しているディスクまたはパーティションを回復可能にするかどうか を設定できます。PGP ディスク全体暗号化で暗号化されているディスクまたはパーティションの パスフレーズを忘れた場合や、認証トークンを紛失した場合には、ディス クまたはパーティションにアクセスできません。ただし、PGP Universal Server によって管理されている環境で PGP ディスク全体暗号化機能を使用している場合は、ディスクまたはパーティ ションの回復オプションが利用可能であるかどうかを PGP 管理者に確認してください。 PGP Desktop をインストールするときに、ブート ディスクを PGP ディスク全体暗号化により暗号化する必要があるかどうかを設定できます 。 PGP Universal Server 管理環境で PGP Desktop を使用している場合は、詳細を PGP 管理者に問い合わせてください。 コンピューターで PGP ディスク全体暗号化シングル サインオン (SSO) 機能を利用するかどうかを設定できます。 この機能の詳細については、「PGP WDE シングル サインオンの使用 『ページ : 198の"PGP WDE のシングル サインオンの使用"参照先 : 』」を参照してください。 PGP ディスク全体暗号化機能で使用するモードを設定できます。 PGP 管理者が管理者鍵とスマート カードを使用して、暗号化されたディスクまたはパーティションにアクセ スできるかどうかを設定できます。 暗号化モードの詳細については、「ディスクに対する認証方法の決定 『ページ : 173の"ディスクの認証方法の選択"参照先 : 』」を参照してください。 215 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP Universal Server によって管理されている環境で PGP Desktop をインストールした後で、WDE 機能によるブート ディスクまたはパーティションの暗号化が必要になる可能性があります。また 逆に、PGP 管理者が PGP WDE 機能を無効にしている可能性もあります。 PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合に、リムーバブル ディスクを挿入すると、そのディスクを暗号化するように要求されることがあ ります。詳細については、「リムーバル ディスクの暗号化 『ページ : 211の"リムーバブル ディスクの暗号化"参照先 : 』」を参照してください。 ポリシーを別のポリシーに変更する必要がある場合、特にディスクの暗号化を 有効から無効にする場合でも、既にディスク全体暗号化によって暗号化されて いるドライブは使用できることに注意してください。ただし、それ以外のドラ イブを暗号化したり、暗号化された既存ドライブの再暗号化や、新規ユーザー を追加したりすることはできなくなります。 詳細については、「PGP Universal Server を介しての PGP Desktop の使い方 『ページ : 373』」を参照してください。 リカバリ トークンの作成 PGP Universal Server で管理された環境では、ユーザーによるディスク全体リカバリ トークンの作成がポリシーで許可されている場合は、そのユーザーがディスク 、Windows パーティション、またはリムーバブル ディスクを PGP Whole Disk Encryption で暗号化するたびに、リカバリ トークンが自動的に作成されます。パスフレーズや認証トークンを紛失した場 合、このリカバリ トークンを使用してディスクまたは Windows パーティションにアクセスできます。 ポリシーによってリカバリ トークンの作成が許可されていない場合や、PGP Universal Server で管理された環境で使用していない場合は、ディスク全体リカバリ トークンを使用できません。 このリカバリ トークンは、PGP Whole Disk Encryption によって保護されたディスクまたは Windows パーティションのセキュリティを管理する PGP Universal Server に自動的に送信されます。 PGP Universal Server で管理された環境で、PGP Whole Disk Encryption でディスクまたは Windows パーティションを保護するためのパスフレーズまたは認証トークンを紛失して しまった場合は、リカバリ トークンの使用方法について PGP 管理者に問い合わせてください。 216 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows リカバリ トークンは、PGP Whole Disk Encryption を使用して保護されたディスクまたは Windows パーティションにアクセスするために 1 度だけ使用できます。リカバリ トークンが使用されると、新しいリカバリ トークンが自動的に作成され、PGP Universal Server に送信されます。PGP Desktop ユーザーは、ディスクまたはパーティション上で新しいユーザーを作成するか 、または既存のユーザーを維持するかを選択できます。 リカバリ トークンは、暗号化されたディスクまたは Windows パーティションへのアクセスにのみ使用します。リカバリ トークンはデータの暗号化や復号化には使用できません。 注意 : パスフレーズの漏洩などでセキュリティが損なわれた場合や、認証トークン を紛失した場合は、PGP Whole Disk Encryption で保護されたディスクまたは Windows パーティションを再度暗号化することを推奨します。この処理では同じ暗号 アルゴリズムでディスクまたはパーティションが再暗号化されますが、基と なる暗号化鍵は異なります。結果としてはディスクまたはパーティションを 復号化して再び暗号化する操作と同じですが、処理に要する時間は大幅に短 縮されます。 回復トークンの使用 PGP Universal 管理者から回復トークンを受け取った後は、次の手順に従ってディスクをロッ ク解除してください。 回復トークンを入力する際は、PGP Universal 管理者から渡されたとおりにすべて大文字にしたり、ダッシュを入力したりす る必要はありません。ダッシュを省略し、すべて小文字で入力することもでき ます。 ブート ディスクで回復トークンを使用するには PGP BootGuard 画面のパスフレーズ フィールドに、回復トークンを入力します。 リムーバブル ドライブで回復トークンを使用するには ディスクを挿入し、パスフレーズの入力を求めるメッセージが表示された ら回復トークンを入力します。 217 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 暗号化されたドライブからのデータのリカバリ まれに、破損または破壊した暗号化ドライブから、データをリカバリしなけれ ばならない場合があります。または、前の従業員が暗号化したドライブなど、 ドライブにアクセスするためのログイン情報がない場合があります。そのよう な場合は、次のような対処法があります。 1 回復ディスクを使用する。ディスクまたはパーティションを暗号化する前 に作成されたリカバリ ディスクを使用して、ディスクを復号化できます。詳細については、「リ カバリ ディスクの作成と使用 『ページ : 218』」を参照してください。 2 別のシステムを使用してドライブを復号化する。詳細については、「PGP WDE で暗号化されたディスクの復号化 『ページ : 220』」を参照してください。 3 ディスク全体リカバリ トークンを使用する。PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、ディスクを暗号化するとリカバリ トークンが自動的に作成されます。詳細については、「リカバリ トークンの使用 『ページ : 217の"回復トークンの使用"参照先 : 』」を参照してください。 リカバリ ディスクの作成と使用 PGP Whole Disk Encryption によって保護されているブート ディスクまたはパーティションでマスター ブート レコードが損傷する可能性はきわめて低いと言えますが、ゼロではありません 。これが発生すると、システムが起動しなくなります。 このような不測の事態に備えるため、PGP Whole Disk Encryption を使用してブート ディスクまたはパーティションを暗号化する前に、リカバリ CD またはディスケット、あるいはその両方を作成します。 注意 : リカバリ ディスクは、そのリカバリ ディスクを作成したバージョンの PGP Desktop のみと互換性があります。たとえば、9.0.x リカバリ ディスクを使用して、PGP WDE 9.5 ソフトウェアで保護されたディスクを復号化しようとすると、PGP WDE 9.5 ディスクが動作不能と表示されます。 このセクションでは、リカバリ CD およびディスケットの両方を作成する方法を説明します。また、その使用方法 についても説明します。 218 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows リカバリ CD を作成するには、次の手順に従います。 1 PGP Desktop for Windows および Roxio Easy Media Creator または Roxio Easy CD Creator (あるいは ISO イメージから CD を作成できるその他のソフトウェア) がシステムにインストールされていることを確認します。 2 Roxio Easy Media Creator または Roxio Easy CD Creator を開き、データ CD プロジェクトの作成を選択します。 3 [ファイル] > [CD イメージから CD に記録] の順に選択します。[ハード ディスク イメージから CD を記録] 画面が表示されます。 4 [ファイルの種類] > [ISO イメージ ファイル (ISO)] を選択します。 5 PGP ディレクトリに移動します。デフォルトのディレクトリは、「C:\Progra m Files\PGP Corporation\PGP Desktop\」です。 6 [bootg.iso] を選択して、[開く] をクリックします。[CD 記録の設定] 画面が表示されます。 7 コンピューターの CD ドライブに新しい CD-R を挿入します。 8 CD 記録の設定画面で [記録開始] をクリックします。ISO ファイルが CD に記録される間、[CD イメージ記録進行状況] 画面が表示されます。 9 ファイルの CD への記録が完了したら、[OK] をクリックします。PGP Whole Disk Encryption のリカバリ CD が作成されます。 10 ドライブからリカバリ CD を取り出し、適切なラベルを付けます。 リカバリ ディスケットを作成するには 1 PGP Desktop for Windows およびリカバリ ディスケットを作成できるアプリケーション (MagicISO など) がシステムにインストールされていることを確認します。 2 ディスク ドライブに新しいディスケットを挿入します。 3 MagicISO などの、リカバリ ディスケットを作成できるアプリケーションを起動します。 4 [ツール] > [フロッピー ディスク イメージの書き込み] を選択します。[開く] ダイアログ ボックスが表示されます。 5 PGP ディレクトリに移動します。デフォルトのディレクトリは、「C:\Progra m Files\PGP Corporation\PGP Desktop\」です。 6 [Bootg.img] を選択して、[開く] をクリックします。ファイルがディスケットに書き込まれます。 219 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 7 ドライブからリカバリ ディスケットを取り出し、適切なラベルを付けます。 8 MagicISO を終了します。 リカバリ ディスクまたはディスケットを使用するには、次の手順に従います。 注意 : リカバリ ディスクまたはディスケットを使用してディスクまたはパーティションの復 号化を開始した後は、復号化処理を中止しないでください。復号化されるデ ィスクのサイズによっては、この処理に時間がかかる場合があります。より 迅速にドライブを復号化する方法は、同じバージョンの PGP Desktop がインストールされている別のシステムを使用する方法です。詳細について は、「PGP WDE で暗号化されたディスクの復号化 『ページ : 220』」を参照してください。 1 システムを再起動したときに PGP Whole Disk Encryption リカバリのログイン画面が表示されなかったり、再起動時に PGP Whole Disk Encryption のリカバリ ディスクを挿入するための指示が表示されたりした場合は、システムの CD ドライブにリカバリ CD を挿入するか、ディスク ドライブにリカバリ ディスクを挿入します。 2 システムを再起動します。リカバリ ディスクから PGP Whole Disk Encryption のログイン画面が表示されます。 3 PGP Whole Disk Encryption で保護されているブート ドライブまたはパーティション用の適切なパスフレーズを入力します。次 の操作のいずれかを実行できます。 Enter キーを押して、システムの起動を試行する。 「D」と入力して、ディスクを復号化する。 PGP WDE で暗号化されたディスクの復号化 PGP Whole Disk Encryption で保護されたディスク上で何らかのディスク リカバリ操作を実行する場合、ベスト プラクティスとして最初にディスクを復号化することを推奨します。ディスク を復号化するには、次のいずれかの操作を行います。 PGP Desktop の [ディスク] > [復号化] オプションを使用する (このオプションを使用してディスクを復号化する方法については、次の手 順を参照してください)。 220 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 用意してある PGP WDE リカバリ ディスクを使用する (リカバリ ディスクの作成方法については、「リカバリ ディスクの作成 『ページ : 218の"リカバリ ディスクの作成と使用"参照先 : 』」を参照してください)。 USB ケーブルでハード ディスクを別のシステムに接続し、そのシステムの PGP Desktop ソフトウェアから復号化する。 ディスクが復号化されたら、リカバリー アクティビティを実行してください。 PGP Desktop を使用してディスクを復号化するには、次の手順に従います。 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリックします。[PGP ディスク] コントロール ボックスがハイライトされます。 2 [ディスク全体またはパーティションの暗号化] をクリックします。Partition)(ディスク全体(パーティション)の暗号化 作業領域が表示され、PGP ディスク全体暗号化で保護することができるコンピューター上のディスク の一覧 (ディスク、ディスク パーティション、リムーバブル ディスクなど)が表示されます。 3 ディスク全体 (パーティション) の暗号化の作業領域の一番上にある [暗号化するディスクまたはパーティションの選択] セクションで、コンピューター上の、復号化するディスクまたはパーティ ションをクリックします。 4 [ディスク] > [復号化] を選択するか、または [復号化] をクリックします。ディスクをロック解除するためのダイアログ ボックスが表示されます。 5 パスフレーズを入力してディスクをロック解除します。[PGP Desktop] ウィンドウに、復号化の進捗状況が表示されます。4 [PGP Desktop] ウィンドウに、ディスクの復号化が完了するまでの時間が表示されます。 復号化処理を一時停止またはキャンセルするには、[停止] をクリックします。必要な場合は、[スタート] > [シャットダウン] を選択してコンピューターをシャット ダウンできます。電源オン/オフ ボタンを押してコンピューターの電源を切らないでください。 別のシステムを使用して、PGP WDE で暗号化されたドライブを復号化するには、次の手順に従います。 1 復号化するハード ドライブをコンピューターから取り外し、ドライブ エンクロージャに取り付けます。 2 PGP Desktop がインストールされているコンピューターに、ドライブ エンクロージャを USB ケーブルで接続します。 221 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 3 PGP Desktop がインストールされているコンピューターに表示されるパスフレーズ入力 画面に、ドライブ エンクロージャに取り付けたドライブを復号化するためのパスフレーズを 入力します。 PGP Desktop によるセキュリティ確保のための特別な対策 PGP Desktop には、PGP Whole Disk Encryption 機能のセキュリティ上の問題を回避するために役立つ機能が用意されています 。セキュリティ確保のための対策は、PGP 仮想ディスク ボリュームにも適用できます。 パスフレーズの消去 PGP Desktop は、入力されたパスフレーズを短時間だけ使用した後メモリから消去し、パス フレーズのコピーも作成しません。つまり、通常パスフレーズがメモリ内に保 存されるのはほんの一瞬です。この非常に重要な機能がない場合は、ユーザー がコンピューターから離れた隙に、他のユーザーがコンピューターのメモリに 残っているパスフレーズを探し出してしまう可能性があります。気づかないう ちに、このパスフレーズで保護されているデータへの完全アクセス権限がパス フレーズ傍受者に付与してしまうことになります。 仮想メモリの保護 パスフレーズやその他の鍵は、仮想メモリ システムがメモリの内容をディスクにスワップする際に、ディスクに書き込ま れる可能性があります。そこで PGP Desktop は、パスフレーズや鍵がディスクに書き込まれないよう対策を講じています。 この機能により、侵入者に仮想メモリ ファイルがスキャンされてパスフレーズを探し出されるのを未然に防止できま す。 222 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 休止モードとスタンバイ モード Windows の休止モードでは、コンピューターのすべてのメイン メモリ領域のイメージがハード ディスク ドライブ上のファイルに書き込まれますが、パスフレーズは書き込まれません 。PGP Corporation では、スタンバイ モードではなく休止モードを常に使用することを推奨しています。休止モード では、コンピューターがオフになった後で、PGP BootGuard 画面で認証してログインし直すことが必要となるためです。 メモリ静的イオン マイグレーションの防止 (Windows システム上で) PGP ディスク全体暗号化 (WDE) を使用してディスクまたはパーティションを保護する場合、パスフレーズが鍵 として使用されます。この鍵は、暗号化ディスクまたは暗号化パーティション 上のデータの暗号化や復号化に使用されます。パスフレーズはメモリから直ち に消去されますが、鍵 (ちなみにパスフレーズを鍵から取得することは不可能です) は、メモリ内に残ります。 鍵はディスク上の仮想メモリに書き込まれないようになってはいますが、長期 間にわたって電源をオフまたはリセットせずにいた場合、同一データが保存さ れ続けた特定のメモリ箇所は静電気が帯電しがちになります。(Windows システム上で) 暗号化ディスクまたは暗号化パーティションが長期間繰り返し復号化されると 、時間の経過とともに、検出可能な鍵の形跡がメモリに残ることがあります。 この現象を被った鍵を回復するための機器も存在します。そのような機器は、 一般電気店では購入できませんが、政府機関にはたいてい 2 ~ 3 基あります。 PGP Desktop では、鍵のコピー 2 つ (1 つは通常のコピー、もう 1 つはビットを反転したコピー) を RAM 上に保持して 2 ~ 3 秒ごとに両方のコピーを反転させることで、鍵を保護しています。 その他のセキュリティ対策 一般的に、データの安全性は講じるセキュリティ対策により左右されるため、 ずさんな管理下では、どのような暗号化プログラムを使ってもセキュリティを 保護することはできません。たとえば、PGP ディスク全体暗号化を使用して (Windows システム上で) ディスクまたはパーティションを保護していても、コンピューターで機密ファ イルを開いたままデスクから離れたりすると、誰でもその情報にアクセスでき ます。 最適なセキュリティを確保するには、次のヒントを参考にしてください。 223 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows パスワード保護機能が付いたスクリーン セーバーを使用すると、デスクを離れた際に、他のユーザーが使用中のコ ンピューターにアクセスしたり、画面を表示したりするのを防ぐことがで きます。 (Windows 上で) 暗号化されたディスクやパーティションを、ネットワーク上の他のコンピ ューターから利用できないようにします。これについては、ネットワーク 管理者に相談してください。ディスクまたはパーティションをロック解除 すると、PGP ディスク全体暗号化(WDE) ではファイルを保護できなくなります。それらのファイルに対するネット ワーク アクセス権を持つすべてのユーザーが、ファイルの内容にアクセスできる ようになります。コンピューターの使用中でもロックしておく必要がある ファイルの保管については、PGP Virtual Disk 機能を使用することをお勧めします。 パスフレーズは、メモなどに書き留めないでください。パスフレーズは覚 えやすいものを選んでください。パスフレーズの記憶に問題がある場合は 、ポスター、歌詞、詩、ジョークなど、思い出しやすいものを使用すると よいでしょう。書き留めることだけはしないでください。 PGP Desktop を家庭で使用し、他のユーザーとコンピューターを共有している場合、PG P ディスク全体暗号化(WDE) を使用して保護されている (Windows システム上の) ディスクやパーティション上のファイルを開いたままで放置すると、他の ユーザーに見られてしまう可能性があります。ディスクまたはパーティシ ョンにディスク全体暗号化処理を行ったコンピューターをシャット ダウンした場合、または暗号化されたリムーバブル ドライブをコンピューターから取り外す場合、ディスクまたはパーティシ ョンのすべてのファイルは暗号化されたまま完全に保護された状態になり ます。 Windows プレインストール環境の使用 カスタマイズされた Windows プレインストール (PE) CD/UFD (USB フラッシュ ドライブ) を作成すると、復旧目的で利用できる、起動可能リカバリ ツールが提供されます。たとえば、DOS コマンドを使用すると、ファイルのコピー、編集、バックアップ、および削除 が可能になります。 また、Windows PE は、PGP WDE で暗号化されたコンピューターを Windows Vista にアップグレードする場合にも使用できます。 224 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows PGP WDE のドライバーとツールを取得するには、「ナレッジベース記事 807 『https://support.pgp.com/?faq=807』」を参照してください。この KB 記事には、このセクションで説明するすべての手順が記載された、ダウンロー ド可能な技術資料も含まれています。 PGP Whole Disk Encryption の IBM Lenovo ThinkPad システムでの使用 PGP WDE ドライバーを IBM Lenovo ThinkPad Rescue and Recovery にプレインストールして、Lenovo Rescue and Recovery 機能を自動的に検出するには、Windows プレインストール環境 (PE) を使用します。 このオプションは、Rescue and Recovery バージョン 3.0 以降を実行している IBM Lenovo システムに対してのみ使用できます。このオプションを使用すると、PGP WDE ドライバーが Lenovo Rescue and Recover にプレインストールされ、Lenovo Rescue and Recovery のサポートが自動的に検出されます。また、PGP WDE ドライバーが \windows\system32\drivers ディレクトリから取得されます。IBM Lenovo Rescue and Recovery にインストールされるファイルは、PGP WDE ドライバー ファイル (pgpwded.sys) と PGPstart.exe ファイル (このファイルの詳細については、次の手順を参照) の 2 つです。 PGP Whole Disk Encryption を IBM Lenovo Rescue and Recovery にインストールするには、次のファイルが必要です。 pgppe ツールに含まれているファイル : pgppe.exe、pgpstart.exe PGP Desktop インストール プログラムに含まれているファイル : pgpwded.sys、pgpbootb.bin、pgpbootg.bin、pgpsdk.dll、pgps dknl.dll、pgpwd.dll、pgpwde.exe Windows Vista の場合にのみ必要なファイル : wimfltr ドライバーをインストールする必要があります (Windows 自動インストール キットの一部)。 注意 : このオプションは、PGP Desktop がシステムにインストールされた後でしか使用しないでください。 Lenovo Rescue and Recovery を有効にするには、次の手順に従います。 1 2 PGP Desktop をインストールします。 Window プレインストール環境ツールを「PGP サポート ナレッジベース記事 807 『https://support.pgp.com/?faq=807』」から取得して、インストールしま す。 225 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 3 Zip ファイル内の PGPstart.exe ファイルと PGPpe.exe ファイルを PGP Desktop のインストール ディレクトリ (通常は c:\Program Files\PGP Corporation\PGP Desktop) にコピーします。 4 コマンド プロンプトを起動して、PGP Desktop のディレクトリに変更します。 5 pgppe コマンドを次のように実行します。 pgppe /recovery Lenovo Rescue and Recovery のサポートを削除するには、次の手順に従います。 pgppe コマンドを次のように実行します。 pgppe /recovery /remove Microsoft Windows XP 回復コンソールでの PGP Whole Disk Encryption の使用 Windows XP 回復コンソールを管理目的で使用する場合は、ディスクが暗号化されていると きに、PGP WDE のドライバーを Microsoft Windows 回復コンソールにインストールする必要があります。そうしないと、回復コン ソールは使用できません。 メモ :Windows PE または BartPE を使用して認証を行うには、パスフレーズ ユーザーを使用する必要があります。トークンまたは TPM ユーザーはサポートされません。 注意 :PGP Desktop がインストールされ、ディスクが PGP WDE で暗号化された後で、これらのドライバーをインストールしてください。 PGP WDE のドライバーを Windows XP 回復コンソールにインストールするには、次の手順に従います。 1 PGP Desktop をインストールします。 2 Window プレインストール環境ツールを「PGP サポート ナレッジベース記事 807 『https://support.pgp.com/?faq=807』」から取得して、インストールしま す。 3 Zip ファイル内の PGPstart.exe ファイルと PGPpe.exe ファイルを PGP Desktop のインストール ディレクトリ (通常は c:\Program Files\PGP Corporation\PGP Desktop) にコピーします。 226 PGP ディスク全体暗号化によるディスクの保護 PGP Desktop for Windows 4 コマンド プロンプトを起動して、PGP Desktop のインストール ディレクトリに変更します。 5 pgppe コマンドを次のように実行します。 pgppe /cmdcons Windows XP 回復コンソールからドライバーを削除するには、次の手順に従います。 pgppe コマンドを次のように実行します。 pgppe /cmdcons /remove 227 11 PGP 仮想ディスクの使用 PGP 仮想ディスクを使用して、作業の整理、類似した名前を持つファイルの隔離、 同じ文書やプログラムの異なるバージョンの隔離を行うことができます。 このセクションでは、PGP Desktop の PGP 仮想ディスク機能について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 PGP 仮想ディスクについて ................................................................... 230 PGP 仮想ディスクの新規作成 ............................................................... 231 PGP 仮想ディスクのプロパティの表示................................................. 235 PGP 仮想ディスクの検索....................................................................... 236 マウント済み PGP 仮想ディスクの使用................................................ 236 代替ユーザーの使用............................................................................... 240 ユーザー パスフレーズの変更 ............................................................... 244 PGP 仮想ディスクの削除....................................................................... 245 PGP 仮想ディスクの管理....................................................................... 245 PGP 仮想ディスクの暗号化アルゴリズム ............................................. 248 PGP 仮想ディスクによる特別なセキュリティ措置............................... 249 メモ : 以前のバージョンの PGP Desktop では、PGP 仮想ディスクを PGP ディスクと呼んでいました。現在は、PGP Virtual Disk および PGP Whole Disk Encryption 両方の機能を PGP ディスクと呼んでいます。 229 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクについて PGP 仮想ディスクは、コンピューターに接続されたディスク上に確保され、暗号化 された領域です。PGP 仮想ディスクは、銀行の金庫のように働き、機密ファイルの保護にきわめて有 効です。一方、コンピューターの他の部分はロック解除して作業用に使用でき ます。 PGP 仮想ディスクは外観と機能は増設ハード ディスクと同様ですが、実際にはどのコンピューター ディスク上にも常駐できる 1 つのファイルです。ファイルの保存領域としての PGP 仮想ディスクには、アプリケーションのインストールやファイルの保存を行う ことも可能ですが、同時に、コンピューターの他の部分に影響を与えずにいつ でもロックできます。PGP 仮想ディスクに保存されているアプリケーションやファイルを使用する必要が ある場合は、ディスクをロック解除して、ファイルを再度アクセス可能にでき ます。 PGP 仮想ディスクのロック解除とロックは、コンピューターに対するマウント/マウ ント解除によって行われます。PGP Desktop ではこの操作がほぼ自動的に遂行されます。 PGP 仮想ディスクにはサイズの指定がありますが、動的にサイズ変更するディスク を作成することもできます。この場合、ディスクは必要に応じてサイズが大き くなります。ディスクの作成時に指定するサイズが、そのディスクの最大サイ ズになります。 PGP 仮想ディスクをマウントし終えると、次の操作が行えます。 マウントされた PGP 仮想ディスクとの間のファイルの移動とコピー マウントされた PGP 仮想ディスクへのファイルの保存 マウントされた PGP 仮想ディスク内部へのアプリケーションのインストール PGP 仮想ディスク上のファイルやアプリケーションは、暗号化された状態で保存さ れています。PGP 仮想ディスクがマウント解除されている際にコンピューターがクラッシュして も、ディスクの内容は暗号化されたまま保護されます。 PGP 仮想ディスクがマウント解除されていると、Windows エクスプローラーまたは Mac OS X Finder に表示されず、適切な認証のないユーザーはアクセスできません。 230 PGP 仮想ディスクの使用 PGP Desktop for Windows すべてのデータは暗号化されたファイル内にセキュリティ保護されており、解 読されるのはユーザーがこれらのファイルの 1 つにアクセスするときだけであるということに注意する必要があります。ボリ ュームのデータをこの方法で保管すると、PGP 仮想ディスクを操作したり他のユーザーと交換したりするのが容易になります が、ファイルがなんらかの理由で削除された場合にはデータが簡単に失われる ことにもなります。元のファイルが破損した場合にデータを復旧できるように 、暗号化されたファイルのバックアップを作成することを推奨します。 PGP 仮想ディスク ボリュームに影響する PGP オプションについては、「ディスク オプション 『ページ : 359』」を参照してください。 注意 : PGP Universal Server で管理された環境で PGP Desktop を使用するときには、PGP Desktop のインストール後に PGP 仮想ディスクを作成する必要がある場合があります。その場合、サイズ、フ ァイル システム、およびアルゴリズムが指定されていることがあります。詳細につ いては、「PGP Universal Server を介しての PGP Desktop の使い方 『ページ : 373』」を参照してください。 PGP 仮想ディスクの新規作成 PGP仮想ディスクを新しく作成するには 1 PGP Desktop を開きます。 231 PGP 仮想ディスクの使用 PGP Desktop for Windows 2 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、[新規仮想ディスク] をクリックします。または、[ファイル] > [新規] > [PGP 仮想ディスク] の順に選択します。画面の右側のコントロール ボックスに [新規仮想ディスク] 画面が表示されます。 3 [名前] フィールドに、新しい PGP 仮想ディスクの名前を入力します。 4 [ディスク ファイルの場所] フィールドで、PGP 仮想ディスク ボリュームが作成されるデフォルトの場所を使用するか、または [参照] をクリックして別の場所を指定します。 5 [マウントするドライブ文字] メニューから、新しい PGP 仮想ディスクをマウントするドライブ文字を選択します。 次の操作のいずれかを実行できます。 PGP Desktop が表示するドライブ文字を使用します。 [マウントするドライブ文字] メニューで、使用可能なドライブをリストから選択します。 新しい PGP 仮想ディスクをドライブとしてではなくフォルダーとしてマウントす る場合は、[マウントするドライブ文字] メニューから [フォルダー] を選択します。[マウントするドライブ文字] メニューの横にフィールドが表示されるので、フォルダーの場所を指 定します。 232 PGP 仮想ディスクの使用 PGP Desktop for Windows 6 新しい PGP 仮想ディスク ボリュームがコンピューターの起動時に自動的にマウントされるようにす るには、[起動時にマウント] をオンにします。オンにすると、コンピューターの起動時に PGP 仮想ディスクのパスフレーズの入力が求められます。 7 指定した時間 (分単位) コンピューターを使用しないと PGP 仮想ディスクがマウント解除されるようにするには、[次の期間アクティブ でない状態が続いたらマウント解除] を選択します。これは、頻繁にコンピューターから離れる場合に役立ちま す。PGP 仮想ディスクをロックし忘れたときに備えた、安全対策になります。 8 9 [容量] メニューから、PGP 仮想ディスクのタイプを選択します。オプションは次のとおりです。 ダイナミック (サイズ変更可能) :このタイプのディスクは、追加の空き領域が必要になるまでは小さな 状態を保ち、ファイルが追加されるにつれて容量が増加します。PGP Desktop がこの処理を管理するため、必要となるのはディスクの最大サイズの 設定だけです。このディスクは、後で圧縮することもできます。この 種類の PGP 仮想ディスクは FAT または FAT32 でフォーマットされたディスクでのみ使用できます。 展開可能 :このタイプのディスクは、追加の空き領域が必要になるまでは小さな 状態を保ち、ファイルが追加されるにつれて容量が増加します。PGP Desktop がこの処理を管理するため、必要となるのはディスクの最大サイズの 設定だけです。このディスクは、後で圧縮することもできます。この 種類の PGP 仮想ディスクは NTFS でフォーマットされたディスクでのみ使用できます。 固定サイズ :このタイプのディスクは、追加されるファイル数に関係なく同じサイ ズを保ちます。この種類の PGP 仮想ディスクはすべての種類のフォーマットされたディスクで使用で きます。 [容量] メニューから、新しい PGP 仮想ディスクのサイズ (ダイナミック ディスクの場合は最大サイズ) を設定します。使用できる数値は整数のみで、小数は使用できません。メ ニューから、[KB] (キロバイト) 、[MB] (メガバイト) 、[GB] (ギガバイト) のいずれかを、入力した数値の単位として指定します。 PGP 仮想ディスクに指定可能な最大サイズは、ハード ディスクのサイズやフォーマット形式によって異なります。 10 ボリュームのファイルシステム形式を、以下の中から指定してください。 FAT。ボリュームは 100 KB 以上の容量が必要です。 233 PGP 仮想ディスクの使用 PGP Desktop for Windows 11 12 FAT32 :ボリュームは 260 MB 以上の容量が必要です。 NTFS :ボリュームは 5 MB 以上、Windows Vista の場合は 12 MB の容量が必要です。 データの保護に使用する暗号化アルゴリズムを、以下の情報を参照しなが ら指定してください。 AES (256 ビット) : AES (Advanced Encryption Standard) とは、128、192、256 ビットで使用できるブロック暗号です。デフォルトでは、PGP 仮想ディスク ボリュームの作成には安全性の高い 256 ビットが使用されます。 EME2-AES (256 ビット) :EME2 (Encrypt-Mix-Encrypt v2) は各操作で 2 回暗号化する強力なアルゴリズムです。EME2 は IEEE 規格作業部会が現在見直し中のワイドブロック モード アルゴリズムです。 CAST5 (128 ビット) : CAST5 は 128 ビット ブロック暗号です。CAST は、軍事用に匹敵する強力な暗号化アルゴリズムで、許可されていな いアクセスを阻止する能力が非常に優れています。 Twofish (256 ビット) : Twofish は、 256 ビット ブロック暗号 (対称アルゴリズム) です。これは、米国標準技術局 (NIST: National Institute of Standards and Technology) が AES 用に検討した 5 つのアルゴリズムの 1 つです (Rijndael を選択) 。 新しい PGP 仮想ディスクにアクセスできるユーザーが少なくとも 1 人必要です。[ユーザー アクセス] セクションで、アクセスを与えるユーザーとアクセスに使用する方法を指 定します。 ユーザー鍵 : 公開鍵暗号化方式を使用して認証を行うユーザーを追加するには次の 操作を行います。 [ユーザー鍵の追加] をクリックします。鍵リングに現在含まれている鍵ペアを示す [鍵ユーザーの追加] ボックスが表示されます。 [鍵ユーザーの追加] ボックスで、リストから選択する鍵ユーザーをダブルクリックし ます。または、リストされた鍵ユーザーを左側から右側にをドラ ッグするか、選択してから [追加] をクリックします。完了したら、[OK] をクリックします。 パスフレーズ :[新規パスフレーズ ユーザー] をクリックします。[新規ユーザーの作成] ダイアログ ボックスが表示されます。 234 PGP 仮想ディスクの使用 PGP Desktop for Windows 新しいパスフレーズ ユーザーごとに、ユーザーの名前とそのユーザーのパスフレーズ を入力します。確認のために、同じパスフレーズをもう一度入力 します。[OK] をクリックし、パスフレーズ ユーザーを作成します。 他のパスフレーズ ユーザーを承認する場合は、この手順を繰り返します。 パスフレーズ ユーザーのパスフレーズを変更するには、そのユーザーを選択し 、[パスフレーズの変更] をクリックします。 効果的で高品質なパスフレーズの作成については、「強力なパスフレーズ の作成 『ページ : 369』」を参照してください。 13 [作成] をクリックすると、新しい PGP 仮想ディスクの作成が開始されます。進行状況バーに、PGP 仮想ディスクの初期化とフォーマット作業の進行状況が表示されます。完 了すると、新しい PGP 仮想ディスクが PGP ディスク管理領域に表示されます。 14 最初に作成したユーザーには管理者のステータスが与えられます。同時に 存在できる管理者は 1 人だけです。ただし、管理者のステータスは他のユーザーに与えることが できます。これは、公開鍵ユーザーでも、パスフレーズ ユーザーでもかまいません。[ユーザー アクセス] リストでユーザーの名前をクリックし、[管理者にする] をクリックします。 15 管理者以外のユーザーは、名前を選択し、[ユーザーの削除] をクリックして削除します。管理者を削除する場合は、管理者ステータス を別のユーザーに与えてから、前の管理者を削除してください。 PGP 仮想ディスクのプロパティの表示 PGP 仮想ディスクを作成した後は、[Disk Properties (ディスクのプロパティ)] 画面からそのディスクと変更可能な設定に関する情報にアクセスできます。 PGP ディスク ボリュームのプロパティを表示するには PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスで、ディスクの名前をクリックします。[Disk Properties (ディスクのプロパティ)] は、メイン画面の右側に表示されます。PGP 仮想ディスク ファイルの場所、ディスク容量、マウント ドライブの文字、ディスク フォーマット、暗号化タイプ、ディスクのステータス (マウント、マウント解除) などが表示されます。 235 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクの検索 以前にインストールした PGP Desktop を使用して PGP 仮想ディスクを作成した場合、PGP ディスク検索アシスタントを使用するとこれらのボリュームを簡単に検索でき ます。 コンピューター上の仮想ディスクを検索するには 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリックします。PGP ディスクのメイン画面が表示されます。 2 [ファイル] > [PGP ディスクのスキャン] の順に選択します。PGP ディスク検索アシスタント ダイアログ ボックスが表示されます。 3 このダイアログ ボックスに表示される指示に従ってください。 ヒント : マウントされている特定の PGP 仮想ディスク ボリュームを検索するには、PGP Desktop でボリュームの名前を右クリックし、エクスプローラでディスクの場所を確 認を選択します。Windows エクスプローラで、そのボリュームの内容を表示する新しいウィンドウが開 きます。 マウント済み PGP 仮想ディスクの使用 PGP 仮想ディスク上のファイルやフォルダーの作成、コピー、移動、および削除は 、コンピューター上の他のディスクに対して通常行う操作と同様です。 同じコンピューターから、またはネットワーク経由でボリュームにアクセスで きるユーザーは、そのボリューム上のデータにもアクセスできます。ただしデ ータはボリュームのマウントが解除されるまで保護されないので、注意が必要 です。 注意 : 各 PGP 仮想ディスク ファイルは、暗号化されているので適切な権限がないとアクセスできません が、コンピューターから削除することはできます。システムにアクセスでき るユーザーならだれでも、PGP 仮想ディスクが含まれた暗号化ファイルを削除できます。そのため、暗号化 ファイルのバックアップ コピーを取っておくことは、コンピューターの近くから離れる際にロックす ることと同様に、重要な安全対策です。 236 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクのマウント 新たに作成した PGP 仮想ディスクは自動的にマウントされ、ファイルの保存に使用できるようにな ります。 ボリュームの内容をセキュリティで保護するには、マウント解除する必要があ ります。いったんマウント解除されたボリュームの内容は、暗号化ファイル内 でセキュリティ保護された状態に維持されます。ボリュームを再びマウントす るまで、ファイルにはアクセスできないためです。 PGP 仮想ディスクのマウントには、複数の方法があります。 PGP Desktop で、マウントする PGP 仮想ディスクを選択して、[ディスク] > [マウント] の順に選択します。 PGP Desktop で、マウントする PGP 仮想ディスクを選択します。続いて、Windows システムの場合、右上隅にある [マウント] をクリックします。Mac OS X システムの場合、ツールバーにある [マウント] アイコンをクリックします。 コンピューターの起動時に PGP 仮想ディスクがマウントされるように、PGP 仮想ディスクのプロパティを変更します。 Windows システムのみ PGP 仮想ディスクの作成中に、[起動時にマウント] チェックボックスをオンにします。Windows を起動すると、ボリュームが自動的にマウントされます。PGP 仮想ディスクの作成時にこの指定をしなかった場合は、オプションとして 後で設定できます。 Windows エクスプローラーで、PGP 仮想ディスク ファイルを右クリックして、ショートカット メニューから [PGP] > [PGP 仮想ディスクのマウント] の順に選択します。 マウントされた PGP 仮想ディスク ボリュームは、Windows エクスプローラーおよび Mac OS X Finder に空のドライブとして表示されます。 PGP 仮想ディスクのマウント解除 PGP 仮想ディスクをロックするには、マウント解除します。PGP 仮想ディスクのマウントが解除されると、そのボリュームの内容は暗号化ファ イルとしてロックされます。ボリュームを再びマウントするまで、その内容に はアクセスできません。 237 PGP 仮想ディスクの使用 PGP Desktop for Windows 注意 : ファイルを開いている状態で PGP 仮想ディスクをマウント解除すると、そのファイルのデータが失われること があるので、注意してください。ディスクのマウント解除オプションを指定 するには、[ツール] > [PGP] を選択して、[ディスク] タブをクリックします。 オプションの 1 つに [Allow PGP Virtual Disks to unmount even while files are still open (ファイルが開いている状態でも PGP 仮想ディスクのマウント解除を許可する)] があります。このオプションを選択すると、[Don't ask before unmounting (マウント解除の前に確認しない)] オプションも使用可能になります。これらのオプションを理解していない場 合は、使用しないでください。 これらのオプションは定期的なバックアップでデータを保護している上級ユ ーザーにとっては役立つ場合がありますが、多くのユーザーには推奨されま せん。 PGP 仮想ディスク ボリュームをマウント解除するには、次のようないくつかの方法があります。 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、マウント解除するボリュームを選択します。右上 隅の [マウント解除] をクリックするか、 [ディスク] > [マウント解除] の順に選択します。 Windows エクスプローラで、PGP 仮想ディスクのファイルを右クリックし、ショートカット メニューから [PGP] > [PGP 仮想ディスクのマウント解除] の順に選択します。 すべての PGP 仮想ディスクをマウント解除するには、ホットキーを使用します。デフォ ルトのほーっとキーは Ctrl+Shift+U です。ホットキーは、最初に有効にする必要があります。 PGP 仮想ディスクのマウントが解除されると、そのボリュームの内容はロックされ 、再びマウントされるまでアクセスできなくなります。 PGP 仮想ディスクの圧縮 PGP 仮想ディスクの空き領域を増やすには、ディスクを圧縮します。PGP 仮想ディスクがマウントされている場合は、圧縮する前にディスクのマウント を解除する必要があります。 メモ :FAT または FAT32 フォーマットの動的な (サイズが固定されていない) PGP 仮想ディスクのみが圧縮できます。NTFS フォーマットのディスクまたはサイズが固定されたディスクは圧縮できませ ん。 238 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクを圧縮するには 次のいずれか 1 つを実行します。 Windows エクスプローラで、.pgd ファイルの保存場所に移動します。ファイルを右クリックして、[PGP Desktop] > [未使用領域の圧縮] の順に選択します。 PGP Desktop メイン画面左側の [PGP ディスク] コントロール ボックスをクリックして、圧縮する PGP 仮想ディスクを選択してから、[ディスク] > [Compact (圧縮)] の順に選択します。また、[PGP ディスク] コントロール ボックスの [PGP 仮想ディスク] を右クリックし、ショートカット メニューから [Compact (圧縮)] を選択することもできます。 PGP 仮想ディスクの再暗号化 PGP 仮想ディスクに保存されているデータはすべて再暗号化できます。再暗号化を 行う理由としては、次のいずれか、あるいは両方が考えられます。 現在ボリュームの保護に使用してる暗号化アルゴリズムを変更する場合 セキュリティの侵害が疑われる場合 再暗号化では、PGP 仮想ディスクを再び暗号化しますが、異なる基本暗号化鍵を使用します。 注意 : 熟練したユーザーは、PGP 仮想ディスクの基本暗号化鍵をコンピューターのメモリから検索することも 可能です。このようなユーザーは、ユーザー リストから削除された後でも、鍵を使用してボリュームにアクセスできます 。ディスクの再暗号化によってこの基本鍵を変更し、このような侵入を予防 します。 PGP 仮想ディスク ボリュームを再暗号化するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、再暗号化する PGP 仮想ディスクを選択します。 2 再暗号化する PGP 仮想ディスクがマウントされている場合は、マウントを解除します。 3 再暗号化する PGP 仮想ディスク ボリュームを選択します。 4 [ディスク] > [再暗号化] を選択します。 5 ボリュームのパスフレーズを入力します。[PGP Re-Encryption Assistant (PGP 再暗号化アシスタント が表示されます。 239 PGP 仮想ディスクの使用 PGP Desktop for Windows 6 この画面に表示される説明を読み、[次へ] をクリックします。次の内容を示すダイアログ ボックスが表示されます。 PGP 仮想ディスクを保護している現在の暗号化アルゴリズム 最初に選択したもの以外に使用可能な暗号化アルゴリズム たとえば、PGP 仮想ディスクが現在 AES で暗号化されている場合、新規のアルゴリズム リストには [CAST5] オプションと [Twofish] オプションが表示されます。 7 次のいずれか 1 つを実行します。 現在のアルゴリズムを使用してボリュームを再暗号化するには、[同じ アルゴリズムに再暗号化する] チェックボックスをオンにして、[次へ] をクリックします。 PGP 仮想ディスク ボリュームは、前回と同じ暗号化アルゴリズムを使用して再暗号化さ れます。 別のアルゴリズムを使用してボリュームを再暗号化するには、新規の アルゴリズム メニューからアルゴリズムを選択し、[次へ] をクリックします。 PGP 仮想ディスク ボリュームは、選択した新規の暗号化アルゴリズムを使用して再暗号 化されます。 8 再暗号化の進行状況に [Done (完了)] と表示されたら、[次へ] をクリックします。 9 [完了] をクリックすると、再暗号化プロセスが終了します。 代替ユーザーの使用 このセクションでは、PGP 仮想ディスクに対して代替ユーザー アカウントを追加、削除、および無効にする方法を説明します。また、管理者 に付与された権限も含め、ユーザーの権限を変更する方法についても説明しま す。 PGP 仮想ディスクへの代替ユーザー アカウントの追加 PGP 仮想ディスクの管理者は、他のユーザーも PGP 仮想ディスクを使用できるように設定 (代替ユーザー アカウントを追加) することができます。各ユーザーがボリュームにアクセスするには、パスフレ ーズまたは秘密鍵を使用します。 PGP 仮想ディスクが現在マウントされていないことを確認します。マウントされて いると、代替ユーザー アカウントを追加できません。 240 PGP 仮想ディスクの使用 PGP Desktop for Windows 代替ユーザー アカウントを PGP 仮想ディスクに追加するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、代替ユーザー アカウントを追加する PGP 仮想ディスクを選択します。 2 次のいずれか 1 つを実行します。 3 新規の公開鍵ユーザーを追加するには、鍵ユーザーの追加 をクリックします。鍵ユーザーの追加 ダイアログ ボックスが表示されます。 新規のパスフレーズ ユーザーを追加するには、[新規パスフレーズ ユーザー] をクリックします。[PGP ディスク新規ユーザー] ダイアログ ボックスが表示されます。 次のいずれか 1 つを実行します。 鍵ユーザーの追加 を選択した場合は、鍵ユーザーの追加 ダイアログ ボックスで一覧から公開鍵を選択し、[OK] をクリックします。 [新規パスフレーズ ユーザー] を選択した場合は、[PGP ディスク新規ユーザー] ダイアログ ボックスにユーザー名と、ユーザーを追加する PGP 仮想ディスクのパスフレーズを入力し、[PGP ディスク新規ユーザー] ボックスに再びパスフレーズを入力してから、[OK] をクリックします。 以上で、代替ユーザー アカウントが追加されます。 PGP 仮想ディスクからの代替ユーザー アカウントの削除 任意の一時点で、代替ユーザーの PGP 仮想ディスク アクセス権限を削除することができます。 PGP 仮想ディスクが現在マウントされていないことを確認します。マウントされて いるボリュームの代替ユーザー アカウントは削除できません。 代替ユーザー アカウントを PGP 仮想ディスクから削除するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを削除する PGP 仮想ディスクを選択します。 2 [ユーザー アクセス] リストで、アカウントを削除する代替ユーザーの名前を選択します。管理 者は削除対象外です。 241 PGP 仮想ディスクの使用 PGP Desktop for Windows 3 [ユーザーの削除] をクリックします。[パスフレーズ] ダイアログ ボックスが表示され、管理者のパスフレーズまたは削除するユーザー アカウントのパスフレーズを入力するように求められます。 4 正しいパスフレーズを入力し、[OK] をクリックします。以上で、代替ユーザー アカウントが削除されます。 代替ユーザー アカウントの無効化および有効化 代替ユーザー アカウントを完全に削除せずに、PGP 仮想ディスクへアクセスできないようにするには、アクセスを一時的に無効に します。 PGP 仮想ディスクが現在マウントされていないことを確認します。マウントされて いるボリュームの代替ユーザー アカウントを無効にしたり、有効にしたりすることはできません。 PGP 仮想ディスクの代替ユーザー アカウントを無効または有効にするには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディスクを選択します。 2 [ユーザー アクセス] リストで、次のいずれかの操作を行います。 ユーザーを無効にするには、対象となる代替ユーザー アカウントの名前を右クリックし、[Disable (無効)] を選択します。[パスフレーズ] ダイアログ ボックスが表示され、管理者のパスフレーズまたは無効にするユーザ ー アカウントのパスフレーズを入力するように求められます。正しいパ スフレーズを入力し、[OK] をクリックします。以上で、代替ユーザー アカウントが無効になります。 以前に無効にしたユーザーを有効にするには、対象となる代替ユーザ ー アカウントの名前を右クリックし、有効 を選択します。[パスフレーズ] ダイアログ ボックスが表示され、管理者のパスフレーズまたは無効にするユーザ ー アカウントのパスフレーズを入力するように求められます。正しいパ スフレーズを入力し、[OK] をクリックします。以上で、代替ユーザー アカウントが有効になります。 242 PGP 仮想ディスクの使用 PGP Desktop for Windows 読み取り/書き込みおよび読み取り専用ステータスの変更 PGP 仮想ディスクのユーザーには、読み取り/書き込みの両方の全権限か、読み取り 専用の権限を割り当てることができます。ユーザーに割り当てたこれらの権限 はいつでも変更できます。 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マウントされて いるボリュームの権限は変更できません。 PGP 仮想ディスクに対するユーザーの権限を変更するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディスクを選択します。 2 [ユーザー アクセス] リストで、ステータスを変更するユーザーの名前を選択します。 3 次のいずれか 1 つを実行します。 ユーザーの権限を読み取り専用アクセスに変更するには、ユーザー名 を右クリックし、[Read-Only (読み取り専用)] を選択します。 ユーザーの権限を読み取り/書き込みアクセスに変更するには、ユーザ ー名を右クリックし、[Read/Write (読み取り/書き込み)] を選択します。 パスフレーズの入力 ダイアログ ボックスが表示されます。 4 PGP 仮想ディスクの管理者パスフレーズを入力し、[OK] をクリックします。これで、選択したユーザーの権限が変更されます。 代替ユーザーへの管理者ステータスの付与 ユーザー アカウントのステータスを代替ユーザーから管理者に変更できます。 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マウントされて いるボリュームで、代替ユーザーを管理者にすることはできません。 管理者ステータスを付与するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディスクを選択します。 243 PGP 仮想ディスクの使用 PGP Desktop for Windows 2 [ユーザー アクセス] リストから、PGP 仮想ディスクの管理者にするユーザーを選択します。パスフレーズ ユーザー、または (現在管理者でない場合は) 自分のユーザー名を選択してください。公開鍵ユーザーを PGP 仮想ディスクの管理者にすることはできません。 3 左側のオプション バーの 管理者の作成 をクリックします。これで、選択したユーザー アカウントが管理者になります。 メモ : 一度に管理者のステータスを与えられるユーザー アカウントは 1 人だけです。管理者のステータスは、いったん 1 人のアカウントに付与されると、別のアカウントからは削除されます。 ユーザー パスフレーズの変更 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マウントされて いるボリュームのパスフレーズは変更できません。 PGP 仮想ディスク ボリュームのユーザー パスフレーズを変更するには 1 PGP Desktop メイン画面左側のペインにある [PGP 仮想ディスク] コントロール ボックスをクリックし、ユーザーとして登録している PGP 仮想ディスクを選択します。 2 [ユーザー アクセス] リストで、パスフレーズ ユーザーの名前を選択し、[パスフレーズの変更] をクリックします。パスフレーズの入力 ダイアログ ボックスが表示されます。 ヒント : また、ユーザーの名前を右クリックして、ショートカット メニューから ユーザー パスフレーズの変更 を選択することもできます。 3 ユーザーの現在のパスフレーズを入力し、[OK] をクリックします。PGP 確認用パスフレーズの入力 ダイアログ ボックスが表示されます。 4 新しいパスフレーズを入力し、確認用に同じパスフレーズを再入力して、[ OK] をクリックします。これで、パスフレーズが変更されます。 244 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクの削除 特定の PGP 仮想ディスクが必要なくなった場合は、そのディスクを完全に削除することも できます。 注意 : PGP 仮想ディスクを削除すると、そのディスク上のすべてのデータも削除されま す。 PGP 仮想ディスクを削除するとその中のデータは復元できなくなります。.他の場 所に保存しておく必要があるデータは、PGP 仮想ディスクを削除する前にコピーしてください。 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マウントされて いる PGP 仮想ディスク ボリュームは削除できません。 PGP 仮想ディスクを削除するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、削除する PGP 仮想ディスクを選択します。 2 [ディスク] > [削除] の順に選択します。確認のダイアログ ボックスが表示されます。 3 次のいずれか 1 つを実行します。 [OK] をクリックして、PGP 仮想ディスクを PGP Desktop のリストから削除します。PGP 仮想ディスクは、コンピューターに残ったままになります。 [PGP ディスクの削除] をクリックして、PGP 仮想ディスクを PGP Desktop のリストから削除し、ハード ディスク ドライブからも削除します。 PGP 仮想ディスクの管理 このセクションでは、お使いのコンピューターで使用する PGP 仮想ディスクの適切な扱い方について説明します。 245 PGP 仮想ディスクの使用 PGP Desktop for Windows リモート サーバー上の PGP 仮想ディスク ボリュームのマウント PGP 仮想ディスク ボリュームは、どの種類のサーバー (Windows または UNIX) にも配置できます。そのボリュームは、Windows コンピューターおよび PGP Desktop を使用してだれでもマウントできます。 メモ : PGP 仮想ディスク ボリュームを最初にローカルにマウントしたユーザーには、そのボリューム の読み取りと書き込みの両方の権限が与えられます。マウント中のボリュー ムには、他のユーザーが同じ権限でアクセスすることはできません。自分以 外のユーザーにボリューム内のファイルへのアクセスを許可するには、ボリ ュームを読み取り専用モードでマウントしておく必要があります (FAT および FAT32 ファイル システム形式にのみ適用可能)。そうすることで、ボリュームの全ユーザーが 読み取り専用アクセス権を持つようになります。 PGP 仮想ディスクが Windows サーバー上に保存されると、ボリュームをリモートでサーバーにマウントでき 、他のユーザーと共有することもできます。ただしこの方法では、ボリューム 内のファイルがセキュリティで保護されなくなることに注意してください。 PGP 仮想ディスク ボリュームのバックアップ ハードウェアの障害やその他の損失からデータを保護する最良の手段として、P GP 仮想ディスクの内容をバックアップしておくことをお勧めします。 マウントされている、つまり復号化されている PGP 仮想ディスクの内容を、他のボリュームと同様にバックアップすることはお勧 めできません。マウントされているディスクの内容は暗号化されず、バックア ップを復元できれば誰でもアクセスできます。代わりに、暗号化されたボリュ ームのバックアップ コピーを作成してください。 PGP 仮想ディスクをバックアップするには 1 PGP 仮想ディスクのマウントを解除します。 2 マウント解除されている暗号化ファイルを、通常のファイルをバックアッ プするときと同じように、ディスケットやテープ、リムーバブル カートリッジにコピーします。この方法を取ると、他のユーザーがバック アップに不正にアクセスできたとしても、暗号化ファイルの内容を解読す ることはできません。 暗号化ファイルのバックアップを作成するときは、次の点に注意してください 。 246 PGP 仮想ディスクの使用 PGP Desktop for Windows 脆弱なパスフレーズを使用して暗号化したファイルをネットワーク ドライブにバックアップすると、他のユーザーがそのファイルを入手し、 パスフレーズを見破る危険性が高まることを常に念頭に入れておいてくだ さい。セキュリティを高めるには、物理的に取り外し安全な場所に保管で きるデバイスにのみバックアップしてください。 冗長で複雑なパスフレーズを使用すると、データのセキュリティがさらに 高まります。 ネットワークに接続している場合は、マウントされている PGP 仮想ディスクのファイルがネットワーク バックアップ システムによってバックアップされないことを確認します。詳しくはシス テム管理者にお尋ねください。マウントされている PGP 仮想ディスクのファイルは復号化されており、そのままネットワーク バックアップ システムにコピーされるおそれがあります。 PGP 仮想ディスクの交換 PGP Desktop がコンピューターにインストールされている他のユーザーと、PGP 仮想ディスクを交換できます。この交換を行うには、ボリューム データが保存されている PGP 仮想ディスク データ ファイルのコピーを送信します。PGP 仮想ディスクを他のユーザーと交換するには、次のような方法があります。 電子メールの添付ファイル リムーバブル ディスクまたは CD ネットワーク経由 他のユーザーは PGP 仮想ディスク ファイルを受け取ったら、そのファイルを PGP Desktop が稼働中のシステムにマウントして、適切なパスフレーズを使用してアクセス できます。ボリュームが公開鍵で暗号化されている場合は、アクセス用の秘密 鍵を使用します。 メモ : 次のような理由から、公開鍵は、PGP 仮想ディスクに代替ユーザーを追加する際の最も安全な保護手段です。(1) パスフレーズを代替ユーザーとやり取りする必要がありません。やり取りす る方法によっては、パスフレーズが傍受されたり、他人に聞かれたりするお それがあります。(2) 代替ユーザーは新たなパスフレーズを覚えておく必要がないため、パスフレ ーズを忘れてしまうという事態が起こりません。(3) 代替ユーザーが各自の秘密鍵を使用してボリュームのロックを解除するよう に設定すると、ユーザーリストの管理が簡単になります。 247 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクの暗号化アルゴリズム 暗号化は、データを他人に使用されないように数式でスクランブルする技術で す。正しい数学的鍵を適用すると、スクランブルされたデータを元のデータに 復元できます。PGP 仮想ディスク ボリュームの暗号化式では、暗号化処理の一部でランダムなデータを使用しま す。 The PGP Desktopprod> アプリケーションには、PGP 仮想ディスク ボリューム保護のための強力なアルゴリズム (AES-256、CAST、Twofish) が用意されています。 Advanced Encryption Standard (AES) は、NIST が承認している暗号化の標準規格です。この基本になる暗号化方式は、Joa n Daemen 氏と Vincent Rijmen 氏が開発したブロック暗号方式の Rijndael です。AES は、従来の標準規格である Data Encryption Standard (DES) に取って代わるものです。PGP 仮想ディスク ボリュームは、この AES の中でも最も強力な AES-256 (鍵サイズが 256 ビットの AES) で保護できます。 CAST は、処理速度が速く解読が非常に難しいため、優れたブロック暗号方式で あると評価されています。CAST は、Northern Telecom (Nortel) 社の設計者である Carlisle Adams 氏と Stafford Tavares 氏のイニシャルを取って名付けられました。Nortel 社では CAST の特許を申請中ですが、一般ユーザーは特許権使用料なしで CAST を使用できるようにすると公約しています。CAST は暗号化の分野で定評のある人々によって設計された、優れた暗号化方式 です。 この方式は非常にオーソドックスな方法に基づいて設計されているだけで なく、これまでに証明されてきた多くの理論を取り入れています。そのた め、この 128 ビット鍵の解読は不可能であると言われています。つまり、CAST には事実上脆弱な鍵というものは存在しません。また、CAST は線形および微分を用いた暗号分析にも耐えると言われています。この 2 つは既刊文献において最も強力な形式の暗号分析とされており、両方とも データ暗号化標準 (DES) の解読に有効です。 比較的新しい Twofish は、高い評価を受けている 256 ビット ブロック暗号化方式 (対称アルゴリズム) です。これは、米国立標準技術研究所 (NIST) が新しい AES (Advanced Encryption Standard) 用に検討した 5 つのアルゴリズムの 1 つです。 248 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクによる特別なセキュリティ措置 PGP Desktop は、PGP 仮想ディスク ボリュームのセキュリティ対策として、他社の製品にはない特別な機能を備え ています。 これらのセキュリティ対策は、ディスク全体暗号化を行ったドライブにも適用 されます。 パスフレーズの消去 PGP Desktop は、入力されたパスフレーズを短時間だけ使用した後メモリから消去し、パス フレーズのコピーも作成しません。つまり、通常パスフレーズがメモリ内に保 存されるのはほんの一瞬です。この非常に重要な機能がない場合は、ユーザー がコンピューターから離れた隙に、他のユーザーがコンピューターのメモリに 残っているパスフレーズを探し出してしまう可能性があります。気づかないう ちに、このパスフレーズで保護されているデータへの完全アクセス権限がパス フレーズ傍受者に付与してしまうことになります。 仮想メモリの保護 パスフレーズやその他の鍵は、仮想メモリ システムがメモリの内容をディスクにスワップする際に、ディスクに書き込ま れる可能性があります。そこで PGP Desktop は、パスフレーズや鍵がディスクに書き込まれないよう対策を講じています。 この機能により、侵入者に仮想メモリ ファイルがスキャンされてパスフレーズを探し出されるのを未然に防止できま す。 休止状態 Windows の休止モードでは、PGP 仮想ディスク情報を含む、コンピューターのすべてのメイン メモリ領域のイメージが、ハード ディスク ドライブ上のファイルに書き込まれます。休止を実行したときに PGP 仮想ディスクを開いていた場合は、セッション鍵を含む機密データがハード ディスク ドライブに書き込まれますが、パスフレーズは書き込まれません。 249 PGP 仮想ディスクの使用 PGP Desktop for Windows 休止は元々セキュアでないため、休止を使用する場合は PGP Whole Disk Encryption 機能を使用するか、または [PGP オプション] の [ディスク] タブにある [コンピューターがスリープ状態に入るときにマウント解除する] および [ディスクをマウント解除できない場合はスリープ状態にしない] の PGP 仮想ディスク オプションを有効にすることを推奨します。 メモリ静的イオン マイグレーションの防止 PGP 仮想ディスク ボリュームをマウントすると、パスフレーズが鍵に置き換えられます。この鍵 は、PGP 仮想ディスク ボリューム上のデータの暗号化や復号化に使用されます。前述のように、パス フレーズはメモリから直ちに消去されますが、鍵 (ちなみにパスフレーズを鍵から取得することは不可能です) はディスクがマウントされている間、メモリ内に残ります。 鍵はディスク上の仮想メモリに書き込まれないようになってはいますが、長期 間にわたって電源をオフまたはリセットせずにいた場合、同一データが保存さ れ続けた特定のメモリ箇所は静電気が帯電しがちになります。このように、PG P 仮想ディスク ボリュームが長期間マウントされていると、時間の経過と共に、検出可能な鍵 の形跡がメモリに残ることがあります。この現象を被った鍵を回復するための 機器も存在します。そのような機器は、一般電気店では購入できませんが、政 府機関にはたいてい 2 ~ 3 基あります。 PGP Desktop では、鍵のコピー 2 つ (1 つは通常のコピー、もう 1 つはビットを反転したコピー) を RAM 上に保持して 2 ~ 3 秒ごとに両方のコピーを反転させることで、鍵を保護しています。 その他のセキュリティ対策 一般的に、データの安全性は講じるセキュリティ対策により左右されるため、 ずさんな管理下では、どのような暗号化プログラムを使ってもセキュリティを 保護することはできません。たとえば、コンピューターで機密ファイルを開い たままデスクから離れたりすると、だれでもその情報にアクセスできます。 最適なセキュリティを確保するには、次のヒントを参考にしてください。 コンピューターから離れるときは、PGP 仮想ディスク ボリュームのマウントを解除します。これにより、ボリュームの内容は、 次回アクセスするまで、保存した暗号化ファイル内に安全に保管されます 。 パスワード保護機能付きのスクリーン セーバーを使用すると、自分がデスクを離れている間に他のユーザーが自 分のコンピューターにアクセスしたり画面を表示したりするのが困難にな ります。 250 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスク ボリュームを、ネットワーク上の他のコンピューターから見られないよう にします。これを確実に行うためには、必要に応じてネットワーク管理者 に相談してください。マウントされている PGP 仮想ディスク ボリューム内のファイルがネットワーク上で見えると、だれでもこのファ イルにアクセスできてしまいます。 パスフレーズは決して書き留めないでください。パスフレーズは覚えやす いものを選んでください。パスフレーズを覚えづらい場合は、ポスター、 歌詞、詩、ジョークなどを使用することを推奨します。ただし、書き留め るのは厳禁です。 自宅で PGP Desktop を使用していてコンピューターを家族と共有しているなら、通常は家族も PGP 仮想ディスク ボリューム ファイルを見ることができます。PGP 仮想ディスク ボリュームを使用後に必ずマウント解除しておきさえすれば、自分以外の 家族にボリュームの内容を読み取れずに済みます。 自分が使用しているコンピューターに別のユーザーが物理的にアクセスで きる状態だと、PGP 仮想ディスクのファイル、その他のファイルやボリュームを削除されてし まうおそれがあります。物理的アクセスの問題に対処するには、PGP 仮想ディスク ファイルをバックアップしておくか、自分だけが別の場所に保管できる外 付けデバイスに保存してください。 PGP 仮想ディスク ボリュームのコピーには、コピー元のボリュームと同じ基本暗号化鍵が使 用されることに注意してください。ボリュームのコピーを他のユーザーと 交換し、両者がマスター パスワードを変更しても、データの暗号化には交換前と同じ鍵が使用され ます。ボリュームから鍵を探し当てるのは技術的に不可能ではありません 。 ボリュームを再暗号化し、暗号化に使用した鍵を変更しておくことを推奨 します。 251 12 PGP Portable でのモバイル データの作成とアクセス PGP Desktop ソフトウェアを持たないユーザーに暗号化されたファイルを配布するために、P GP Portable を使います。PGP ソフトウェアをインストールしていないまたはインストールできない他のシス テムへファイルを安全に転送するために PGP Portable を使います。 PGP Portable により以下が提供されます。 セキュリティ保護された文書の可搬性 セキュリティ保護された文書の配布の容易さ PGP Portable のユーザーには次の 2 つのタイプがあります。セキュリティ保護されたデータが入っている PGP Portable ディスクを作成するユーザー、および PGP ソフトウェアを持たないがセキュリティ保護されたデータにアクセスする必要 があるユーザーです。 両方のタイプのユーザであることもあるでしょう。たとえば、顧客側でコンピ ューターに取り込み使用することができる PGP Portable ディスクを作成します。 Windows システムで、暗号化されたデータにアクセスできるほか、PGP Portable ディスクを作成できます。 この章の内容 PGP Portable ディスクの作成 ............................................................... 253 PGP Portable ディスクのデータへのアクセス...................................... 257 PGP Portable ディスクの作成 PGP Portable ディスクは次の 2 つのうちのいずれかの方法で作成することができます。Windows エクスプローラのショートカット メニューを使用するか、またはコマンド ライン ツールを使用します。このセクションでは通常のショートカット メニューについて説明します。コマンド ラインの説明については、「PGP Portable コマンド ライン ツールの使用」を参照してください。 253 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows PGP Portable ディスクを作成するには、次のことを確認してください。 PGP Desktop を実行している Windows システム上に PGP Portable がインストールされている。 PGP Universal Server にバインドされた PGP Desktop のインストールに対して適切にライセンス供与を受けている。 PGP Portable ディスクは次の 2 つの対象のうちの 1 つで作成することができます。 ローカル ドライブのフォルダー、リモート ファイルの共有または CD/DVD。 128 GB を超えない、USB フラッシュ ドライブなど、ローカルでマウントされるリムーバブル デバイス。 PGP Portable ディスクを作成する場合は、PGP Universal Server ポリシーもパスフレーズの強度を高めます。PGP Universal Server ポリシーを満たさないパスフレーズを使用する場合、エラー メッセージが表示されます。 フォルダーから PGP Portable ディスクを作成 PGP Portable ディスクを含む CD または DVD に最終的に記録する場合、このオプションを使ってください。 メモ :保護し、フォルダーに共有したいデータをコピーしたことを確認してくださ い。 フォルダーから PGP Portable ディスクを作成するには、次の手順に従います。 1 ソース フォルダーを探して右クリックし、ショートカット メニューから [PGP Portable ディスク フォルダーを作成] を選択します。 2 [PGP Portable ディスクを作成] ダイアログ ボックスに、パスフレーズを入力し確認します。このパスフレーズは PGP Portable ディスクのデータにアクセスするために必要です。 3 [作成] をクリックします。 PGP Portable ディスクを作成するために使用しているフォルダーが読み取り専用デ バイス (CD または DVD など) 上にある場合、[名前を付けて保存] ダイアログ ボックスが表示されます。 作成する PGP Portable ディスクの保存先フォルダーがあるローカル ドライブの保存場所を参照して指定し、[保存] をクリックします。 254 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows 完了すると、保存先フォルダーが作成されます。フォルダー名はソース フォルダー名の後ろに "-PGP Portable" を追加したものです。 4 保存先フォルダーの内容全体を CD/DVD に記録します。PGP Portable ディスクの保存先フォルダーには次のものが入っています。 PGP Portable Windows 実行可能ファイル (pgpportable.exe) PGP Portable Mac OS X 実行可能ファイル (PGP Portable App) Windows 自動実行ファイル (autorun.inf) PGP Portable ディスク ファイル (pgpportable.pgd) PGP Portable ディスク ファイル (pgpportable.pgd) にはその中に、元のターゲット フォルダーにあるすべてのファイルが含まれています。PGP Portable ディスク ファイルは で指定されたパスフレーズで暗号化されます。 PGP Portable ディスクからこれらのファイルを削除しないでください。 ヒント : フォルダー自体ではなく、フォルダーの内容のみをディスクに記録するよ うにしてください。フォルダーをディスクに記録する場合、PGP Portable は自動実行が有効になっているシステムにおいても、自動的には起動しま せん。 リムーバブル USB デバイスから PGP Portable ディスクを作成 PGP Portable ディスクをフラッシュ ドライブなどのリムーバブル USB デバイスに直接作成する場合、このオプションを使います。 メモ :リムーバブル USB デバイスは 128 GB (137438953472 バイト) 未満にする必要があります。128 GB を超えるリムーバブル USB デバイスに PGP Portable ディスクを作成しようとすると、エラー メッセージが表示されます。 リムーバブル USB デバイスから PGP Portable ディスクを作成するには、次の手順に従います。 1 マウントされたリムーバブル USB デバイスを探して右クリックし、ショートカット メニューから [PGP Portable ディスクを作成] を選択します。 2 PGP Portable ディスク作成アプリケーションが、ドライブの内容が消去されるという警 告と共に表示されます。 3 [PGP Portable ディスクを作成] ダイアログ ボックスに、パスフレーズを入力し確認します。このパスフレーズは PGP Portable ディスクのデータにアクセスするために必要です。 255 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows 4 [フォーマットする] をクリックします。完了すると、PGP Portable ディスクが作成されます。PGP Portable ディスク ファイルは指定されたパスフレーズへ暗号化されます。 5 パスフレーズの入力を求めるメッセージが表示され、PGP Portable ディスクがマウントされます。通知メッセージはシステム トレイから表示され、マウントされた PGP Portable ディスクのドライブ番号の通知を表示します。 6 必要に応じて、保護したいデータをマウントされた PGP Portable ディスクにコピーします。PGP Portable ディスクが最初に作成されたときには、そのディスクにはファイルが入っ ていません。 7 PGP Portable ディスクのマウント解除 (システム トレイにある [PGP Portable] アイコンをクリックし、[マウント解除および終了] を選択します)。PGP Portable ディスクにマウントされていたドライブがマウント解除されます。 8 USB デバイスを適切に取り出し、コンピューターからデバイスを取り外します 。PGP Portable をサポートする他のシステムの PGP Portable ディスクの内容にアクセスできます。 警告 : リムーバブル USB デバイスを物理的にシステムから取り外す前に、適切にマウント解除する ようにしてください。適切に行わないとファイルの内容が破損する可能性 があります。 リムーバブル デバイスには次のファイルが含まれています。 PGP Portable Windows 実行可能ファイル (pgpportable.exe) PGP Portable Mac OS X 実行可能ファイル (PGP Portable.app) Windows 自動実行ファイル (autorun.inf) PGP Portable ディスク ファイル (pgpportable.pgd) PGP Portable ディスクからこれらのファイルを削除しないでください。 読み取り/書き込みまたは読み取り専用の PGP Portable ディスクの作成 PGP Portable ディスクへの読み取り/書き込みアクセス権を設定するには、PGP Portable ディスクが読み取り/書き込みメディア (フラッシュ ドライブまたは他のリムーバブル ディスクなど) に保存されている必要があります。読み取り/書き込みアクセスは、アクセスが 作成されたリムーバブル デバイス上にあるときにのみ、PGP Portable ディスクに対して有効です。 読み取り専用のメディアに作成された PGP Portable ディスクはディスク自体が読み取り専用です (たとえば CD-ROM)。 256 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows 作成されたリムーバブル デバイスでアクセスされた PGP Portable ディスクは読み取り/書き込み用です (たとえば、読み取りおよび書き込みとしてマウントされている USB ドライブ)。 PGP Portable ディスクのデータへのアクセス PGP Portable ディスクの内容は次の 3 とおりの方法でアクセスすることができます。 CD、DVD またはリムーバブル USB ドライブを Windows システムにマウントし、PGP Portable ディスク アプリケーション (自動実行が可能な場合、自動的に起動) を実行させます。 CD、DVD またはリムーバブル USB ドライブを Mac OS X システムにマウントし、PGP Portable ディスク アプリケーションを実行させます。 PGP Portable ディスク上のデータにアクセスする場合、次の 2 つの項目を実際にマウントします。PGP Portable ディスクがあるリムーバブル デバイス、および PGP Portable ディスク自体 (別の項目としてマウントされています)。終了したら、リムーバブル デバイスを安全に取り外す前に、必ず PGP Portable ディスクをマウント解除してください。 PGP Portable ディスクのデータにアクセスする手順は Windows および Mac OS X システムで同様です。 警告 : リムーバブル デバイスを物理的にシステムから取り外す前に、それが適切にマウント解除 されることを確認してください。適切に行わないとファイルの内容が破損す る可能性があります。 T Windows システムを使って、PGP Portable ディスク上のデータにアクセスするには、次の手順に従います。 1 PGP Portable ディスクが保存されているリムーバブル デバイスを挿入します。CD/DVD またはフラッシュ ドライブやリムーバブル ドライブを使用できます。 2 次のいずれか 1 つを実行します。 自動実行が可能な Windows システムでは、[PGP Portable ディスクをマウント] を選択します。 257 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows 自動実行が不可能な Windows システムでは、マウントされたリムーバブル デバイスを起動し、PGP Portable アプリケーション (pgpportable.exe) を参照します。アプリケーションをダブルクリックします。 Windows 7 システムで、Window エクスプローラの USB ディスク アイコンをダブルクリックしてディスクを開きます。 [PGP Portable] ダイアログ ボックスが表示されます。 3 PGP Portable ディスクのパスフレーズを入力します。PGP Portable ディスクがマウントされます。 通知メッセージはシステム トレイから表示され、マウントされた PGP Portable ディスクのドライブ番号の通知を表示します。PGP Portable ディスクが読み取り/書き込みデバイスとしてマウントされている場合は、 データを追加することができます。PGP Portable ディスクが読み取り専用デバイスとしてマウントされている場合は、デー タを追加することができません。 メモ : PGP Portable ディスクのボリューム名は PGP Portable 固有のもので、作成された時のボリュームの名前とは一致しないことがあ ります。 4 PGP Portable ディスクを使用し終わったら、PGP Portable ディスクをマウント解除してください (システム トレイで PGP Portable アイコンをクリックし、[マウント解除および終了] をクリックします)。PGP Portable ディスクにマウントされていたドライブがマウント解除されます。 5 USB デバイスまたはディスクをコンピューターから適切に取り出します。 PGP Portable ディスクのパスフレーズの変更 PGP Portable ディスクに関連付けられたパスフレーズを変更することが必要な場合もありま す。読み取り専用の PGP Portable ディスク上のパスフレーズは変更することができません (CD/DVD メディアに記録された PGP Portable ディスクを含む)。 258 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows Windows システムを使って、PGP Portable ディスク上のパスフレーズを変更するには、次の手順に従います。 1 PGP Portable ディスクが保存されているリムーバブル デバイスを挿入します。CD/DVD またはフラッシュ ドライブやリムーバブル ドライブを使用できます。 2 次のいずれか 1 つを実行します。 自動実行が可能な Windows システムでは、[PGP Portable ディスクをマウント] を選択します。 自動実行が不可能な Windows システムでは、マウントされたリムーバブル デバイスを起動し、PGP Portable アプリケーション (pgpportable.exe) を参照します。アプリケーションをダブルクリックします。 Windows 7 システムで、Window エクスプローラの USB ディスク アイコンをダブルクリックしてディスクを開きます。 3 要求されたら、PGP Portable ディスクのパスフレーズを入力します。PGP Portable ディスクがマウントされます。通知メッセージはシステム トレイから表示され、マウントされた PGP Portable ディスクのドライブ番号の通知を表示します。 4 [システム トレイ] アイコンを右クリックして [PGP Portable を開く] を選択し、PGP Portable を開きます。 5 [PGP Portable] ダイアログ ボックスにある [パスフレーズの変更] をクリックします。 6 現在のパスフレーズを入力し、新しいパスフレーズを入力して確認し、[変 更] をクリックします。これで、パスフレーズが変更されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 368』」 を参照してください。 PGP Portable ディスクのマウント解除 リムーバブル デバイスを物理的にシステムから取り外す前に、適切にマウント解除するよう にしてください。適切に行わないとファイルの内容が破損する可能性がありま す。 PGP Portable ディスクをマウント解除するには、次の手順に従います。 1 PGP Portable を開きます。これには、次のいずれかの操作を行います。 259 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows Windows システム上の PGP Portable を開くには、[システム トレイ] アイコンを右クリックして、[マウント解除および終了] を選択します。 Mac OS システム上の PGP Portable を開くには、ドック上のアイコンをクリックして、[マウント解除およ び終了] を選択します。 PGP Portable ディスクがマウント解除されます。 2 システムからデバイスを安全に外に出し、押し出します。 260 13 PGP NetShare の使用 PGP NetShare は、共有ファイル保存領域の終端間の暗号化を透過的に行います。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 PGP NetShare について......................................................................... 262 PGP NetShare のライセンス取得 .......................................................... 265 承認されたユーザーの鍵 ....................................................................... 266 PGP NetShare 管理者 (所有者) の設定 .................................................. 267 "ブラックリスト" または "ホワイトリスト" に記載されたファイル、フォルダー、およびアプリケーション.......... 267 保護フォルダーの使用 ........................................................................... 270 PGP NetShare ユーザーの使用.............................................................. 281 PGP NetShare アクセス リストのインポート ....................................... 285 Active Directory グループの使用 ........................................................... 286 PGP NetShare 保護フォルダーの復号化 ............................................... 287 フォルダーの再暗号化 ........................................................................... 288 パスフレーズのクリア ........................................................................... 289 保護フォルダーの外にあるファイルの保護 .......................................... 290 PGP NetShare で保護されたファイルのバックアップ ......................... 292 ショートカット メニューを使用した PGP NetShare 機能へのアクセス293 PGP Universal Server によって管理された環境にある PGP NetShare . 294 保護されたファイルまたはフォルダーのプロパティへのアクセス ...... 295 PGP Desktop の PGP NetShare メニューの使用................................... 296 261 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare について PGP NetShare を使用すると、会社のファイル サーバー、保護フォルダー、USB ドライブのようなリムーバブル メディアなどの共有場所にある保護されたファイルを特定のユーザー間で共有 することができます。 メモ : 簡単にアクセスできる共有場所がない場合には、USB リムーバブル ドライブを使用することも PGP NetShare ファイルを共有する方法の 1 つです。 ファイルは暗号化によって保護されますが、共有後も、Notepad、Microsoft Word、HTML、Microsoft Excel などの通常のアプリケーション ファイルと同様に表示されます。アプリケーションからはファイルの読み書き を直接行うことが可能で、ファイルが保護されていることはアプリケーション からは分かりません。共有場所にアクセスするとファイルの存在は特定のユー ザー以外でも確認できますが、読み取ったり使用したりすることはできません 。 PGP NetShare はクライアント専用のソフトウェアです。ファイル サーバーにインストールしても意味を成さず、既存のストレージ インフラストラクチャが使用されます。保護されたファイルとフォルダーの暗 号化および復号化が行われるのは、クライアントのみです。サーバーをバック アップすると、暗号化されたファイル (暗号テキスト) がアーカイブに保存されます。この暗号化ファイルは、ファイルの表示を承認 されていないユーザーは読み取ることができません。 保護されたファイルへのアクセスを許可されたユーザーは承認されたユーザー と呼ばれ、保護されたファイルを格納するフォルダーは保護フォルダーと呼ば れます。 ユーザーには、そのユーザーが実行できるアクションのタイプを指定した役割 が割り当てられます。役割の詳細については、「PGP NetShare における役割 『ページ : 264の"PGP NetShare ロール"参照先 : 』」を参照してください。 保護フォルダーは、保護されたファイルを格納するように指定されたフォルダ ーです。保護フォルダーに変換されるフォルダー内のファイルは自動的に暗号 化され、保護フォルダーの作成後に保護フォルダーに移動されるファイルは追 加時に暗号化されます。[ツール] > [PGP オプション] の [NetShare] タブで [個々のファイルの保護] を選択することで、個々のファイルを保護することもできます。 262 PGP NetShare の使用 PGP Desktop for Windows 注意 : PGP NetShare では保護フォルダー内のファイルのアクセス制御は行われません。これはフ ァイルレベルのアクセス制御であるため、保護フォルダー内のファイルへの アクセス権を持つユーザーは、暗号化されていない新規ファイルを追加した り、暗号化された既存のファイルを削除したりすることができます。そのた め、保護フォルダーは安全な共有場所に作成することが重要です。ただし、 上記の場合には、ネットワークの管理者が保護フォルダー内のファイルをバ ックアップする際に読み取りの権限がいらないことも意味します。 PGP NetShare では、PGP Desktop の PGP 仮想ディスクと PGP ディスク全体暗号化の両方の機能を使用できます。つまり、PGP 仮想ディスクに保護フォルダーを作成することも、ドライブが PGP WDE によって暗号化されている場合に保護フォルダーを作成することもできます。P GP NetShare の保護は、通常はネットワーク経由で共有して使用する環境のファイルのため に設計されています。PGP 仮想ディスクと PGP ディスク全体暗号化では、ローカル システムの個々のドライブやドライブの一部が保護されます。これらの 3 つの機能は、それぞれ異なった状況に合わせて設計された重要なセキュリティ 製品です。実際には、同じシステム上で 3 つの機能をすべて使用して、データに対する強力なセキュリティを実現するこ とができます。 以下に、PGP NetShare の使用方法を理解するのに役立つ事例を示します。 あなたは、2 つの主要製品を持つ、小さなファイナンス企業の副社長です。社長はあな たを自分のオフィスに呼び出し、別の主要製品の追加が問題なく達成でき るかどうかの判断を陣頭指揮を取って開始するようにあなたに指示します 。 あなたや、マーケティング、営業、設計、製造、サポートの各部門の代表 者は、各側面から問題を検討し、改善提案を作成するように要求されてい ます。プロジェクト全体を秘密裏に遂行する必要があります。 幸いなことに、企業の全員が PGP Universal Server によって管理された環境で PGP Desktop を使用しているので、必要となるファイルの作成、共有、更新、および安 全な保管のための手段は既に用意されています。それが PGP NetShare です。 プロジェクト メンバーは物理的に離れた場所にいるので、誰でもアクセスできる場所に プロジェクト用の保護フォルダーを設定する必要があります。たとえば、 企業ネットワークに保護フォルダーを作成すると、プロジェクト メンバー全員がそのフォルダーにアクセスできます。 263 PGP NetShare の使用 PGP Desktop for Windows 保護フォルダーの作成が完了すると、プロジェクト メンバーは、暗号化でファイルが保護されるということを意識せずに、新 たにファイルを追加したり、既存のファイルを開いて作業したり、または ファイルを削除したりすることができます。暗号化や復号化は自動的に行 われます。 PGP NetShare のもう 1 つの利点は、承認されたユーザー以外にもファイルが通常どおりに表示される ことで、これにより、ネットワークの管理者が、企業ネットワークの他のすべ てのファイルと同じように保護フォルダー内のファイルをバックアップできま す。バックアップされるファイルも暗号化によって保護されます。 メモ : PGP NetShare 追跡エンジンは、EFS で保護されたオブジェクトを無視します。これは、EFS が NTFS と密接に連携していることに起因する問題を回避するための正常な動作です 。EFS によって暗号化されているファイルまたはフォルダーは、PGP NetShare で保護されたフォルダーにすべて移動またはコピーされますが、EFS 暗号化の状態を保持して、PGP NetShare で保護された状態にはなりません。これらのオブジェクトを PGP NetShare で保護するには、フォルダーに移動/コピーする前に EFS 暗号化を削除してください。 PGP NetShare では、保護フォルダー内のファイルに対する完全なセキュリティが確保されま す。保護フォルダーにアクセスしているときも、保護フォルダーをプロジェク ト メンバ間で受け渡ししているときも、データは常に暗号化されています。 注意 : 保護されたファイルに対して 名前を付けて保存 を選択し、保護フォルダーの外に保存すると、新たに保存したファイルは保 護されません。 PGP NetShare ロール 管理者 : これは保護されたフォルダーの「所有者」です。管理者は、ユーザーを追 加および削除したり、ユーザーのロールとグループ管理者のロールを変更 したりできます。管理者は、保護されたフォルダーに対する読み取りと書 き込みのすべての権限を持ちます。保護されたフォルダーごとに管理者は 1 人だけ設定でき、作成者により自動的に作成されますが、保護されたフォ ルダーに管理者を指定する必要はありません。フォルダーごとの管理者は 一人だけです。 管理者になるには、保護されたフォルダーを作成し、自分自身をメンバー として追加して管理者のロールを適用します。一度に複数の管理者セット のメンバーになることができます。 264 PGP NetShare の使用 PGP Desktop for Windows グループ管理者は管理者ロールを削除できませんが、管理者はそのロール を別のメンバーに再割り当てすることができます。 管理者は、保護されたフォルダーに対するすべての書き込みアクセス権が 必要です。 グループ管理者 : 保護されたフォルダーの「管理者」です。管理者はユーザーの追加や削除 、ユーザーからグループ管理者への昇格、およびグループ管理者からユー ザーへの降格を行うことができます。必要なだけグループ管理者を設ける ことができます。グループ管理者は、保護されたフォルダーに対する読み 取りと書き込みのすべての権限を持ちます。PGP NetShare で保護フォルダーごとに複数のグループ管理者を指定することが可能です 。 グループ管理者は、保護されたフォルダーに対するすべての書き込みアク セス権を持っている必要があります。 ユーザー : 共有場所にある保護されたファイルへのアクセスを許可されたユーザーで 構成されます。保護されたフォルダー内のファイルは、ユーザーの鍵で暗 号化されます。保護されたフォルダーが作成され、ある人が PGP NetShare に追加されて、管理者またはグループ管理者がその人にユーザーのロール を割り当てると、その人はユーザーになります。保護されたフォルダーに 対しては、すべてのユーザーが同じ読み取り/書き込み権限を持ちます。ユ ーザーには、他のユーザーのロールを変更する権限はありません。一度に 複数のユーザー セットのメンバーになることが可能です。ユーザーには、ファイルまたは フォルダーを復号化する権限はありません。これは制限されているので、 ユーザーはファイルを復号化して、新しい役割分担でファイルを再暗号化 することはできません。 メモ :以前のバージョンの PGP Desktop で保護されているフォルダーがある場合は、既存のユーザー用の新しいロー ルを手動で選択する必要があります。詳細については、「ユーザーのロール の変更 『ページ : 283の"ユーザーの役割の変更"参照先 : 』」を参照してください。 PGP NetShare のライセンス取得 PGP NetShare を使用するには、PGP Desktop 9.5 以降を実行していること、および PGP NetShare をサポートするライセンスを所有していることが条件となります。 265 PGP NetShare の使用 PGP Desktop for Windows PGP Desktop のコピーが PGP NetShare をサポートしているかどうかを確認するには 1 PGP Desktop を開きます。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイアログ ボックスが表示されます。 3 [製品情報] セクションで、[PGP NetShare] アイコンを見つけます。 製品名の上にマウス ポインタを置くと、その製品に関する情報や、その製品の使用が許可され ているかどうかが表示されます。PGP NetShare がサポートされていない場合は、PGP NetShare をサポートするライセンスの取得について PGP 管理者に問い合わせてください。 1 つまたは複数の保護フォルダーを作成するのに使用した PGP NetShare ライセンスが期限切れとなった場合、新しい保護フォルダーの作成、現在保護 フォルダーにあるファイルの使用、既存の保護フォルダーへのファイルの追加 はできません。また、新しい保護フォルダーの承認されたユーザーのメンバー に加わることもできません。 既存の保護フォルダーから復号化したファイルへのアクセス権を取り戻すには 、新規の PGP NetShare ライセンスを取得するか、[PGP NetShare から <file name> を削除します] コマンドを使用して、保護フォルダー内のファイルまたはフォルダーを復号化 する必要があります。詳細については、「ショートカット メニューを使用した PGP NetShare 機能へのアクセス 『ページ : 293』」を参照してください。 承認されたユーザーの鍵 PGP NetShare は、指定されたユーザーの PGP 鍵を使用して、保護フォルダー内の復号化されたファイルを使用するアクセス 権を制御します。また、承認されたユーザーの秘密鍵を使用して、保護フォル ダーに追加された新規ファイルの署名を行います。 メモ : PGP NetShare では、パスフレーズを使用したファイルの保護はサポートしていません。フ ァイルの保護には、PGP 鍵を使用する必要があります。 ユーザーの作成時に、保護フォルダー内のファイルを使用できるユーザーの公 開鍵が作成者によって指定されます。それらのファイルを使用するには、ファ イルを復号化してアクセスできるように、ユーザーが自分のコンピューター上 に対応する秘密鍵を保管している必要があります。 266 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare 管理者 (所有者) の設定 保護フォルダーの PGP NetShare 管理者は必須ではありませんが、承認されたユーザーまたはグループ管理者の 中から選定することをお勧めします。管理者の役割は、保護フォルダー内のフ ァイルやフォルダーを監視し、ユーザーおよびグループ管理者の追加や削除を 行い、保護フォルダー内での活動が計画どおりに行われているかどうかを確認 することです。 すべての承認されたユーザーがファイルやフォルダー、場合によってはユーザ ーの追加や削除を行えるため、時間の経過とともに、保護フォルダー内でファ イルの追加や削除が不適切に行われたり、ユーザーの追加や削除が不適切に行 われたりする可能性があります。 保護フォルダーの管理者は、ユーザーや保護フォルダーでこれらの問題を監視 し、発生した問題を解決する必要があります。 I "ブラックリスト" または "ホワイトリスト" に記載されたファイル、フォルダー、およびアプリケーション ファイル、フォルダー、およびアプリケーションによっては、"ブラックリスト" または "ホワイトリスト" に記載されている場合があります。ブラックリストまたはホワイトリストに記 載された項目は、強制的に保護されるか、決して保護されないかのいずれかに なります。 「ブラックリスト」のファイルとその他の保護できないファイル PGP NetShare では、特定のファイルとフォルダーを保護できません。PGP NetShare でファイルまたはフォルダーを保護する前に、この「ブラックリスト」をチェ ックしてください。ファイルまたはフォルダーがブラックリストに載っている ことがわかったら、PGP NetShare は引き続き保護フォルダーを作成しますが、これらのファイルやフォルダーは スキップされ、PGP NetShare アシスタントの[進捗状況] 画面に項目がブラックリストにあるというメッセージが表示されます。 ブラックリストに記載されているファイルは次のとおりです。 ファイルの拡張子が *.skr、*.pkr、および *.pgd のすべてのファイル (鍵または PGP 仮想ディスクの暗号化を妨げます) 。 267 PGP NetShare の使用 PGP Desktop for Windows PGP Desktop インストール フォルダーとその中にあるすべてのファイル (デフォルトの格納場所は C:\Program Files\PGP Corporation\PGP Desktop です) 。 PGP 環境設定フォルダーとその中にあるすべてのファイル (デフォルトの格納場所は、 C:\Documents and Settings\[your user name]\Application Data\PGP Corporation\PGP のユーザー フォルダーです) 。 PGP のデフォルトの鍵リング フォルダー (デフォルトの格納場所は [マイ ドキュメント] フォルダーです) 。 PGP NetShare で保護フォルダーに追加できないその他のファイルは、システム属性が設定さ れているファイルまたはフォルダー、および Windows インストール ディレクトリ内にあるすべてのファイルとフォルダー (デフォルトの格納場所は C:\Windows および C:\Windows\System32 です)、さらに Windows エクスプローラでサムネイル画像を表示する際に作成される Thumbs.db ファイルです 。 システム ファイルまたはシステム フォルダーが PGP NetShare に追加されると、これらのファイルやフォルダーはスキップされ、PGP NetShare アシスタントの [進捗状況] 画面に項目がシステム ファイルまたはシステム フォルダーであるというメッセージが表示されます。 PGP Universal Server によって指定される「ブラックリストに記載された」フォルダーおよび「ホワイ トリストに記載された」フォルダー PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、PGP 管理者が特定のフォルダーを「ブラックリストに記載された」または「ホワイ トリストに記載された」と指定している場合があります。 ブラックリストに記載されたフォルダー ブラックリストのフォルダーは、PGP NetShare に追加されることも暗号化されることもありません。 ブラックリストに記載されたフォルダーの例は、C:\Program Files フォルダーや C:\Windows\Temp フォルダーなどです。PGP 管理者がフォルダーをブラックリストに記載されたものとして指定した場合で 、そのフォルダーが存在しない場合、そのフォルダーはユーザーのコンピュー ター上に作成されません。 268 PGP NetShare の使用 PGP Desktop for Windows メモ : PGP NetShare で保護されたフォルダーまたはファイル、あるいはその両方が (PGP Universal Server のポリシーにより) ブラックリストに記載されている場合、自動的に復号化されることはありま せん。PGP NetShare の保護を無効にするには、フォルダーやファイルを手動で復号化します。ブ ラックリストに記載された保護されたフォルダーに追加された新しいオブジ ェクトには、PGP NetShare 暗号化は適用されません。 ホワイトリストに記載されたフォルダー ホワイトリストのフォルダーは、PGP NetShare に必ず追加され、その内容は暗号化されます。PGP 管理者がフォルダーをホワイトリストに記載されたものとして指定している場 合で、そのフォルダーが存在しない場合、そのフォルダーはユーザーのコンピ ューター上に作成されます。たとえば、PGP 管理者が C:\Documents and Settings\[user name]\My Documents\secured をホワイトリストに記載されたフォルダーに指定した場合、サブフォルダー \secured が存在しない場合は作成されます。ホワイトリストに記載されたフォルダーは 、PGP NetShare から削除できません。 メモ : ホワイトリストに記載されたものとして PGP Universal 管理者が指定したフォルダーを削除すると、次に PGP NetShare にアクセスしたり、PGP Desktop を再起動したりするときに、そのフォルダーが自動的に再作成されます。 アプリケーション ベースの暗号化リストと復号化バイパス リスト PGP Universal Server によって管理された環境で PGP Desktop を使用している場合は、一部のアプリケーションによって作成されたファイル が決して復号化されないか、または常に暗号化されるように、PGP Universal Server によって指定されている可能性があります。 アプリケーション ベースの暗号化リスト このリストに含まれているアプリケーションは、そのアプリケーションによっ て作成されたファイルが強制的に暗号化されることを意味します。アプリケー ション ベースの暗号化リスト内のアプリケーションによって作成されたファイルは、 ユーザーの鍵で自動的に暗号化され、一時ファイルやシステム キャッシュなどの場所にかかわらず常に暗号化されます。このリストに含まれ るアプリケーションの種類の例としては、Microsoft Office、Microsoft Excel、Adobe Acrobat などがあります。 269 PGP NetShare の使用 PGP Desktop for Windows 他の種類の暗号化 (ホワイトリストに記載されたフォルダーなど) は、アプリケーション ベースの暗号化リストに含まれているアプリケーションによって作成されたフ ァイルより優先されます。 たとえば、PGP 管理者は、Microsoft Excel をアプリケーション ベースの暗号化リストに含めるように指定することで、財務部門によって作成 されるすべてのスプレッドシートが確実に保護されるようにすることができま す。 復号化バイパス リスト このリストに含まれているアプリケーションは、そのアプリケーションによっ て作成されたファイルが自動的には復号化されなくなることを意味します。こ れらのアプリケーションは、PGP NetShare ヘッダーやファイル暗号化テキストなど、オンディスク ファイル コンテンツとして提供されます。復号化バイパス リスト内のアプリケーションは、ファイルが暗号化されたまま読み取られるよ うに、ファイルの読み取り時に PGP NetShare フィルターを事実上バイパスします。そのため、暗号化されたデータを他のア プリケーションに渡すことができます。このリストに含まれるアプリケーショ ンの種類の例としては、バックアップ プログラムや FTP プログラムなどがあります。 他の種類の暗号化 (ブラックリストに記載されたフォルダーなど) は、復号化バイパス リストに含まれているアプリケーションによって作成されたファイルより優先 されます。 たとえば、企業のバックアップ プログラムを復号化バイパス リストに含めるように、PGP 管理者が指定した場合、このアプリケーションによって作成されたバックアッ プ ファイルはすべて保護され、暗号化を保持したまま別の場所に送信されます。 保護フォルダーの使用 保護フォルダーは、保護されたファイルを格納するように指定されたフォルダ ーです。保護フォルダーに変換されるフォルダー内のファイルは自動的に暗号 化され、保護フォルダーの作成後に保護フォルダーに移動されるファイルは追 加時に暗号化されます。[ツール]-[PGP オプション] の [NetShare ] タブで [個々のファイルの保護] を選択することで、個々のファイルを保護することもできます。 270 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare バージョン 9.10 から、WebDAV プロトコルをサポートする Web サーバー上のフォルダー (Microsoft SharePoint など) は、PGP NetShare で保護できるようになります。.mht ファイルなどの一定の種類のファイルは、正常に機能するには SharePoint が必要であり、そのように使用される場合は、PGP NetShare で暗号化できません。SharePoint ファイルの保護に関する技術的詳細については、「PGP Corporation サポート ナレッジベース記事 #1120 『http://support.pgp.com/?faq=1120』」を参照してください。 PGP NetShare を Sharepoint で使用する場合、[チェックアウトが必要] のオプションを Sharepoint に対して [いいえ] に設定しているか確認してください。これにより、承認されているすべてのユ ーザーは PGP NetShare フォルダーにより管理されているすべてのファイルにアクセスすることができ ます。 ヒント : 必ず適切なバックアップ戦略を設定し、PGP NetShare 保護フォルダーすべてを定期的にバックアップしてください。 保護されたフォルダーの場所の選択 PGP Corporation は、PGP NetShare 保護フォルダーを作成する際は、すべての承認されたユーザーがアクセスでき 、それ以外のユーザーからはアクセスできない場所に作成することをお勧めし ます。 保護フォルダーは誰からもアクセスできる場所に作成できますが、PGP NetShare では保護フォルダー内のファイルのアクセス制御は行われません。 保護フォルダー内のファイルにどのような操作を行うのか、また各ファイルに 誰がアクセスできるのかということが、PGP NetShare で提供できる保護に影響を及ぼします。PGP NetShare 保護フォルダーの場所を選択する際には、次の状況を考慮する必要があります 。 一般的な使用方法 『ページ : 272』 ファイル アクセス 『ページ : 272』 暗号テキストへの直接アクセス 『ページ : 272の"暗号化されたデータ (暗号テキスト) への直接アクセス"参照先 : 』 破損、削除、または上書きからのファイルの保護 『ページ : 273』 「ブラックリスト」のファイルとその他の保護できないファイル 『ページ : 267』 271 PGP NetShare の使用 PGP Desktop for Windows 一般的な使用方法 承認されたユーザーによる通常の使用では、PGP NetShare は保護フォルダー内のファイルを完全に保護します。通常の使用とは、保護さ れたファイルを開いて変更を加えてから保存すること、保護フォルダーに新し いファイルを作成すること、または保護フォルダーにファイルを移動またはコ ピーすることを意味します。 PGP NetShare 保護フォルダーとの間でファイルの移動やコピーを行うと、PGP NetShare はファイルを保護された状態のまま維持しようとします。これにより、たとえ ば、保護フォルダーから USB ドライブにファイルをコピーでき、かつファイルの保護は維持されます。保護 フォルダーからファイルの移動またはコピーを行う場合は、ロック状態を示す 表示の確認やファイルのプロパティの検査を行って、移動先やコピー先のファ イルが引き続き保護されていることを常に確認する必要があります。 ファイル アクセス PGP NetShare で保護されたファイルの復号化したデータは、使用しているすべてのアプリケ ーションから完全にアクセスできます。これには PGP Zip など、PGP Corporation の他のアプリケーションも含まれます。そのため、PGP Zip アーカイブを作成して、PGP NetShare で保護されたファイルを格納すると、PGP Zip アーカイブにはそのファイルを復号化したものが格納されます。 保護されたファイルに対して [名前を付けて保存] を選択し、保護フォルダーの外に保存すると、新たに保存したファイルは保護 されないことに注意してください。 暗号化されたデータ (暗号テキスト) への直接アクセス PGP NetShare をバイパスして、暗号化されたファイルの暗号化データ (暗号テキスト) に直接アクセスできる場合があります。 これにより、たとえば、保護されたファイルに物理的アクセスができても PGP Desktop がインストールされていないユーザー (ネットワーク管理者など) が、ファイルサーバー上の保護されたファイルのバックアップ、移動、コピー 、または FTP 転送を行うことができます。この場合、保護されたファイルの暗号テキストが 、バックアップ、移動、コピー、または FTP 転送されます。 272 PGP NetShare の使用 PGP Desktop for Windows 破損、削除、または上書きからのファイルの保護 PGP NetShare では、ファイルへのアクセス制御を行いません。適切な承認のないユーザーは 保護フォルダー内のファイルを開けませんが、ファイルにアクセスすることは 可能です。つまり、PGP NetShare で保護されたファイルでも、アクセス権を持つユーザーによって破損、削除、 または上書きされるおそれがあります。PGP NetShare はファイルの内容を保護しますが、ファイル自体は保護できません。 PGP NetShare で提供される暗号によるアクセス制御と保護に加えて、標準の強力なファイル アクセス制御も引き続き使用することをお勧めします。 新規 PGP NetShare 保護フォルダーの作成 保護フォルダーは、PGP NetShare で保護されたファイルを保存するフォルダーです。 ヒント : PGP NetShare 保護フォルダーを新規作成すると、既にフォルダーに入っているファイルの 最終変更日付が PGP NetShare 操作の日付に変更されます。変更日付を変えたくない場合は、最初に空の PGP NetShare フォルダーを作成してから、次にファイルを追加してください。 メモ : PGP NetShare の保護フォルダーを作成するには、書き込み許可が必要です。 273 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare 保護フォルダーを新規作成するには 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリックします。PGP NetShare の作業領域が表示されます。 2 次のいずれか 1 つを実行します。 保護フォルダーにするフォルダーを「Drag and Drop Folder Here (ここにフォルダーをドラッグ アンド ドロップしてください) 」と表示されているフィールドにドラッグすると、PGP NetShare アシスタントが開き、保護フォルダーを指定する手順を省略できます 。 [PGP NetShare] コントロール ボックスで [フォルダーの追加] をクリックするか、または [NetShare] > [フォルダーの追加] の順に選択します。PGP NetShare アシスタントの [フォルダーの選択] 画面が表示されます。 [参照] をクリックします。[フォルダーの参照] ダイアログ ボックスが表示されます。 作成中の保護フォルダーに保存するファイルが入ったフォルダー に移動します。保護フォルダーに保存するファイルを入れる空の フォルダーを作成するには、[フォルダーの新規作成] をクリックします。 [OK] をクリックして、[フォルダーの参照] ダイアログ ボックスを閉じます。 [フォルダーの選択] 画面が再び表示されます。 274 PGP NetShare の使用 PGP Desktop for Windows (オプション) [説明] フィールドに、作成中の保護フォルダーの説明を入力することもでき ます。 3 [次へ] をクリックします。[ユーザーの追加] 画面が表示されます。 4 作成する保護フォルダーのユーザーを追加するには、下向きの矢印アイコ ンをクリックします。鍵リング上の鍵リストが表示されます。 5 ユーザーを選択し、[追加] をクリックします。 メモ : 保護フォルダー内のファイルにアクセスする場合は、自分の鍵を忘れずに 追加してください。これを行わないと、保護フォルダー内のファイルを使 用できなくなります。 また、[追加] をクリックして、承認されたユーザーを追加することもできます。[ユーザ ーの選択] ダイアログ ボックスが表示されます。 6 次のいずれか 1 つを実行します。 [鍵ソース] 列から [追加する鍵] 列に鍵をドラッグします。 [鍵ソース] 列で鍵をクリックし、[追加] をクリックします。 [鍵ソース] 列で鍵をダブルクリックします。 PGP Global Directory から鍵を追加するには、[PGP Global Directory] アイコンをクリックします。[検索] フィールドに検索する文字列を入力し、拡大鏡をクリックして検索を 開始します。[鍵ソース] 列に表示された検索結果から [追加する鍵] 列に鍵を追加します。 メモ : PGP NetShare からは、承認ユーザーとして保護フォルダーに追加されたことがその新規 メンバに通知されません。通常は、保護フォルダーが作成され、その承認 ユーザーになったことをメンバーに連絡するのは、新しい保護フォルダー の作成者の責任です。 7 [ユーザー選択] 画面の手順が完了したら、[OK] をクリックします。[ユーザーの追加] 画面が表示されます。 8 各ユーザーに役割を割り当てるには、ユーザー名を右クリックし、次の中 から役割を選択します。 管理者 : PGP NetShare 保護フォルダーごとに 1 人の管理者のみを作成します。この役割は、フォルダーに対する完全 な読み込み/書き込み権限を持ち、ユーザーの追加や削除、および他の ユーザーへの役割の割り当てを行うことができます。また、別のユー ザーを管理者に昇格させることもできます。 275 PGP NetShare の使用 PGP Desktop for Windows グループ管理者 : 各 PGP NetShare 保護フォルダーに対して、必要な数のグループ管理者を作成します。 この役割は、フォルダーに対する完全な読み込み/書き込み権限を持ち 、ユーザーの追加や削除を行うことができ、別のユーザーを管理者に 昇格させることができます。 ユーザー :各 PGP NetShare 保護フォルダーに対して、必要な数のユーザーを作成します。この役 割は、フォルダーに対する完全な読み取り/書き込み権限を持ちます。 ユーザーの役割は、保護フォルダーの作成後にいつでも変更できます。役 割を変更するには、PGP Desktop で保護フォルダーをクリックし、ユーザー名を右クリックします。 9 [次へ] をクリックします。[署名者の選択] 画面が表示されます。 10 ローカルの鍵リングから秘密鍵を 1 つ選択します。この鍵は、ファイルが保護フォルダー内で暗号化によって 保護される際の署名に使用されます。 11 [パスフレーズ] に、鍵のパスフレーズを入力します。 12 [次へ] をクリックします。[進捗状況] 画面が表示されます。 これで、指定した保護フォルダー内のファイルが暗号化され、ユーザーが 承認ユーザーとして追加されました。 メモ : 暗号化プロセスを取り消すと、既に暗号化されたファイルはそのまま保持 されます。ファイルを元の暗号化されていない状態に戻す方法については 、「フォルダーの削除 『ページ : 287の"PGP NetShare 保護フォルダーの復号化"参照先 : 』」を参照してください。 13 このプロセスが完了したら、[完了] をクリックします。 新規 PGP NetShare 保護フォルダー内のファイルの使用 PGP NetShare の承認されたユーザーになると、保護フォルダー内のファイルを次の 3 通りの方法で使用できるようになります。 保護フォルダーをダブルクリックして開き、使用する特定のファイルをダ ブルクリックします。 使用したいファイルの作成元アプリケーションからファイルを開きます。 ハイパーテキスト リンクとして表示されるパスをクリックして保護フォルダーを開き、使用 する特定のファイルをダブルクリックします。 276 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare 保護フォルダーのメンバシップ用の秘密鍵のパスフレーズがコンピューター上 でキャッシュされている場合は、ファイルを開くために特別な操作をする必要 はなく、自動的に開きます。 パスフレーズがキャッシュされていない場合は、保護フォルダーはロックされ ます。保護フォルダー内のファイルを開く前に認証が必要になります。詳細に ついては、「保護フォルダーのロック解除 『ページ : 277』」を参照してください。 メモ : PGP NetShare で保護されたテキスト文書を Windows Vista で Notepad を使用して開くと、ファイルがロックされていないことを示す通知が 2 回表示されます。これは、Notepad がどのようにファイルにアクセスするかの結果です。 保護フォルダーのロック解除 [ロック解除] ボタンは、アクセスできないがロック解除できる可能性のあるフォルダーにア クセスする場合、またはフォルダーを手動でロック解除する必要のある場合に 使用できます。次のいずれかの理由によって保護フォルダーがロックされてい る場合、保護フォルダーを手動でロック解除する必要があります。 [パスフレーズ] ダイアログ ボックスの入力タイマーが時間切れになった。 有効なパスフレーズを入力することなく、[パスフレーズ] ダイアログ ボックスで [キャンセル] がクリックされた。 これ以降に保護フォルダーにアクセスしようとすると、[アクセスが拒否されま した] ダイアログ ボックスが表示されます。保護フォルダー内のファイルを使用できるようにす るには、保護フォルダーのロックを解除する必要があります。 保護フォルダーのロックを解除するには 1 保護フォルダーを右クリックし、[<prod] > > [PGP NetShare プロパティ] を選択します。 277 PGP NetShare の使用 PGP Desktop for Windows 2 [PGP NetShare プロパティ] タブが表示されます。 3 [ロック解除] をクリックします。[ロック解除します] ダイアログ ボックスが表示されます。 4 適切なパスフレーズを入力してから、[OK] をクリックします。[ロック解除します] ダイアログが消えます。パスフレーズがキャッシュされ、保護フォルダー 内のすべてのファイルにアクセスできるようになります。 メモ : PGP Universal Server 管理者がオプションを有効にしている場合、PGP トレイ メニューから [NetShare ロックの再スキャン] を選択できます。フォルダーにアクセスしようとした時に挿入しなかったス マート カードまたはトークンに鍵がある場合、このオプションを使用して PGP NetShare で保護されたフォルダーのロック解除を行います。 保護フォルダー内のファイルの確認 保護フォルダーのメンバーになると、保護フォルダー内のすべてのファイルに 対して完全なアクセス権が与えられます。保護フォルダーの作成者であれば、 多くの場合はそこに保存されているファイルが分かっています。ただし、保護 フォルダーの他のメンバーによって追加されたユーザーの場合は、保護フォル ダー内で自分が使用できるファイルがすぐには分からない場合があります。 保護フォルダー内のファイルを確認するには、次の操作を実行します。 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリックします。 278 PGP NetShare の使用 PGP Desktop for Windows 2 保護フォルダーへのパスをクリックします。これはハイパーリンクとして 表示されます。保護フォルダーに保存されたファイルやフォルダーが、新 規ウィンドウに表示されます。 アクセスが拒否される場合は、保護フォルダーがロックされています。アクセ スできるようにするには、ロックされたフォルダーの [プロパティ] 画面で [PGP NetShare] タブを開いてそのフォルダーをロック解除するか、コンピューターを再起動す る必要があります。保護フォルダーをロック解除する操作の詳細については、 「新規 PGP NetShare 保護フォルダー内のファイルの使用 『ページ : 276』」を参照してください。 保護フォルダーへのサブフォルダーの追加 PGP NetShare を使用して、作成後の保護フォルダーにファイルとフォルダーの両方を追加で きます。 保護フォルダーに追加したフォルダー内のすべてのファイルは、保護フォルダ ーに追加された時点で自動的に保護されます。これにより、フォルダーとフォ ルダー内のファイルは承認されたユーザーしか使用できなくなります。 別の一連の承認されたユーザー用の保護フォルダーとして既に設定されている フォルダーを追加しないように注意してください。そうしないと、親フォルダ ーに設定されている別の一連の承認されたユーザーが、新しく追加されたサブ フォルダーにも設定されてしまう可能性があります。 メモ : PGP NetShare 追跡エンジンは、EFS で保護されたオブジェクトを無視します。これは、EFS が NTFS と密接に連携していることに起因する問題を回避するための正常な動作です 。EFS によって暗号化されているファイルまたはフォルダーは、PGP NetShare で保護されたフォルダーにすべて移動またはコピーされますが、EFS 暗号化の状態を保持して、PGP NetShare で保護された状態にはなりません。これらのオブジェクトを PGP NetShare で保護するには、フォルダーに移動/コピーする前に EFS 暗号化を削除してください。 フォルダー ステータスの確認 NetShare フォルダーの作業領域、[PGP NetShare] コントロール ボックス、または [NetShare] メニューから利用できる [フォルダーのステータスを確認] コマンドは、指定した PGP NetShare フォルダーのステータスに関する最新の情報を提供します。 279 PGP NetShare の使用 PGP Desktop for Windows 保護フォルダーのフォルダー ステータスを確認するには、 1 PGP NetShare の作業領域の [フォルダーのステータス] セクションで、[フォルダーのステータスを確認] をクリックします。PGP NetShare フォルダーを選択しておく必要があります。 2 選択したフォルダーのステータスについては、[フォルダーのステータスを 確認] ボタンの左に表示されるテキストを参照してください。(たとえば、すべて のフォルダーとファイルが暗号化されています。) ヒント :保護フォルダーを最後に更新した日時とそのユーザーの鍵 ID が、ユーザー リストの下に表示されます。 保護フォルダーの他の場所へのコピー 常に保護フォルダー内で作業することにより、最大のセキュリティが実現され ます。そのため、フォルダーをコピーする必要があるときは、最初に移動先と して保護フォルダーを作成することをお勧めします。保護フォルダーから別の 保護フォルダーへファイルを移動するときは常に、環境は保護された状態のま まになります。 280 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare では、保護フォルダーが他の場所に移動された場合でも、ファイルの暗号化が 維持されます。ただし、ファイルをコピーする方法と場所によっては、フォル ダーが保護されなくなる可能性があります。フォルダー内のファイルは保護さ れた状態が保たれますが、フォルダーは PGP NetShare の情報を失う場合があり、この場合、PGP のアイコンが表示されなくなります。 保護されていない場所にフォルダーをコピーした場合は、最善の方法として、 フォルダーとファイルが暗号化されていることを確認するために、「フォルダ ー ステータスの確認 『ページ : 279』」の説明に従ってフォルダーのステータスを確認してください。 フォルダーが暗号化されていない場合は、次の操作を行います。 1 PGP NetShare で保護フォルダーを作成するアクセス許可がある場合は、「新規 PGP NetShare 保護フォルダーの作成 『ページ : 273』」の説明に従って、移動先に新しい保護フォルダーを作成します。 2 保護されなくなっているフォルダーの内容を、新しい保護フォルダーにコ ピーします。 3 「PGP NetShare アクセス リストのインポート 『ページ : 285』」の説明に従って、元のフォルダーのアクセス リストを新しいフォルダーにインポートします。 PGP NetShare ユーザーの使用 PGP Desktop 9.5 またはそれ以降を使用しており PGP Desktop に適切な鍵ペアがあるユーザーは、PGP NetShare の保護フォルダーのユーザーになれます。 以下の鍵ペアを使用できます。 PGP Desktop で作成 OpenPGP アプリケーションで作成され、PGP Desktop にインポートされた鍵ペア PGP Desktop にインポートされた X.509 証明書 ユーザーになるには、次の 2 つの方法があります。 PGP Desktop を使用して保護フォルダーを作成し、自分自身を承認されたユーザーのメ ンバーとして追加できます。 281 PGP NetShare の使用 PGP Desktop for Windows 既存のユーザーに自分を追加してもらうことができます。 ユーザーになると、他のすべてのメンバーと同じ権限が与えられます。 PGP NetShare ユーザーの追加 保護フォルダーの作成時に PGP NetShare のほとんどのユーザーが追加されますが、その保護フォルダーの管理者または グループ管理者であれば、作成した後にいつでもメンバーを追加できます。 注意 : PGP NetShare へのユーザーの追加は慎重に行ってください。追加したユーザーには、他の ユーザーと同じアクセス権とユーザー権限がすべて与えられます。追加した メンバーは保護フォルダーに新しいファイルを追加したり、保護フォルダー の既存のファイルを削除したりすることができます。 新しい PGP NetShare ユーザーを追加するには 1 新規ユーザーを追加する PGP NetShare フォルダーを選択します。 2 [ユーザー アクセス] セクションで、[ユーザーの追加] をクリックします。[ユーザーの選択] ダイアログ ボックスが表示されます。 3 次のいずれか 1 つを実行します。 [鍵ソース] 列から [追加する鍵] 列に鍵をドラッグします。 [鍵ソース] 列で鍵をクリックし、[追加] をクリックします。 PGP Global Directory から鍵を追加するには、[PGP Global Directory] アイコンをクリックします。[検索] フィールドに検索する文字列を入力し、拡大鏡をクリックするか、En ter キーを押して検索を開始します。 [鍵ソース] 列に表示された検索結果から [追加する鍵] 列に鍵を追加します。 メモ : PGP NetShare からは、承認されたユーザーとして追加されたことがその新規メンバーに 通知されません。通常は、現在承認されていることを新規ユーザーに連絡 するのは、そのユーザーを追加した管理者の責任です。 4 [OK] をクリックします。ユーザーのリストにユーザーが追加されます。 5 [適用] をクリックします。[署名者の選択] 画面が表示されます。 6 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用します。この鍵は、ファイルを暗号 化する際の署名に使用されます。ユーザーが追加されると、セキュリティ 確保のために保護フォルダー内のファイルが自動的に再暗号化されます。 282 PGP NetShare の使用 PGP Desktop for Windows 7 選択した鍵のパスフレーズがキャッシュにない場合は入力して、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護フォルダー内のファイルが再暗号化されま す。 8 [完了] をクリックします。 ユーザーの役割の変更 ユーザーの役割は、保護フォルダーの作成後にいつでも変更できます。役割の 詳細については、「PGP NetShare における役割 『ページ : 264の"PGP NetShare ロール"参照先 : 』」を参照してください。 役割を「ユーザー」から「管理者」または「グループ管理者」に変更するには 、そのユーザーが保護フォルダーに対してすべての権限を所有していることを 確認してください。 ユーザーの役割を変更するには 1 PGP Desktop で、新規ユーザーを追加する PGP NetShare フォルダーを選択します。 2 [ユーザー アクセス] セクションで、ユーザー名を選択し、[ロールの変更] をクリックします。 ヒント : ユーザー名を右クリックし、ロールを選択することもできます。 283 PGP NetShare の使用 PGP Desktop for Windows 3 4 表示されるリストからこのユーアーに適用するロールを選択します。 管理者 : PGP NetShare 保護フォルダーごとに 1 人の管理者のみを作成します。この役割は、フォルダーに対する完全 な読み込み/書き込み権限を持ち、ユーザーの追加や削除、および他の ユーザーへの役割の割り当てを行うことができます。また、別のユー ザーを管理者に昇格させることもできます。 グループ管理者 : 各 PGP NetShare 保護フォルダーに対して、必要な数のグループ管理者を作成します。 この役割は、フォルダーに対する完全な読み込み/書き込み権限を持ち 、ユーザーの追加や削除を行うことができ、別のユーザーを管理者に 昇格させることができます。 ユーザー :各 PGP NetShare 保護フォルダーに対して、必要な数のユーザーを作成します。この役 割は、フォルダーに対する完全な読み取り/書き込み権限を持ちます。 [適用] をクリックして、変更を保存します。 保護フォルダーからのユーザーの削除 PGP NetShare 保護フォルダーのメンバを削除するには、そのユーザーを削除する必要があり ます。 PGP NetShare 保護フォルダーからユーザーを削除するには 1 [PGP NetShare] 画面で、ユーザーを削除する保護フォルダーを選択します。 2 画面下の [ユーザー アクセス] リストで、削除するユーザーの名前をクリックし、[ユーザーの削除] をクリックします。ユーザーがリストから削除されます。 3 [適用] をクリックします。[署名者の選択] 画面が表示されます。 4 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用します。この鍵は、ファイルを暗号 化する際の署名に使用されます。保護フォルダーからメンバーが削除され ると、セキュリティ確保のために PGP NetShare によって保護フォルダー内のファイルが自動的に再暗号化されます。 5 再暗号化を行うメッセージが表示されたら、選択した鍵のパスフレーズを 入力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護フォルダー内のファイルが再暗号化されま す。 284 PGP NetShare の使用 PGP Desktop for Windows 6 [完了] をクリックします。削除したユーザーは保護フォルダーのメンバーではな くなるため、そのフォルダー内のファイルにアクセスできません。 PGP NetShare アクセス リストのインポート アクセス リストをインポートすると、自分がメンバーになっている特定の承認されたユ ーザーの集合から、やはり自分がメンバーになっている別の承認されたユーザ ーの集合に、メンバーの集合と各メンバーの鍵をインポートできます。 このオプションは、保護フォルダーが複数ある場合にのみ使用できます。 アクセス リストをインポートするには 1 [PGP NetShare] 画面で、別の保護フォルダーのメンバーをインポートする保護フォルダー を選択します。 2 画面下の [ユーザー アクセス] リストで、[アクセス リストのインポート] をクリックします。 [PGP ユーザー アクセス リストのインポート] ダイアログ ボックスが表示されます。 3 インポートするメンバーが格納されている既存の保護フォルダーの名前を クリックし、[インポート] をクリックします。 4 [適用] をクリックします。[署名者の選択] ダイアログ ボックスが表示されます。 5 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用します。この鍵は、ファイルを暗号 化する際の署名に使用されます。保護フォルダー内のメンバー構成が変更 されると、セキュリティ確保のために保護フォルダー内のファイルが自動 的に再暗号化されます。 6 再暗号化を行うメッセージが表示されたら、選択した鍵のパスフレーズを 入力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護フォルダー内のファイルが再暗号化されま す。 7 [完了] をクリックします。保護フォルダーに新しいメンバーが追加されます。 285 PGP NetShare の使用 PGP Desktop for Windows Active Directory グループの使用 PGP NetShare は Active Directory と統合されるため、Active Directory のグループを利用して、保護フォルダーにユーザーを容易に追加できます。PG P NetShare では LDAP (Lightweight Directory Access Protocol) を使用して、組織内の Active Directory からグループ情報を取得します。 グループを利用するための PGP NetShare の設定 グループ情報を取得するためには、PGP Universal Server にバインドし、[グループの展開への使用] オプションを有効にする必要があります。次の手順では、スタンドアロン環境 に PGP Desktop をインストールした場合について説明します。PGP Desktop がインストールされ、PGP Universal Server 環境と統合されている場合、LDAP の統合は自動で行われるため、この手順に従う必要はありません。 メモ :PGP NetShare フォルダーに一度に追加できるユーザー数は限られています (50 人)。このハードコード化された制限をカスタマイズすることは可能ですが、 そうすることによる影響が少なからずあるため、PGP Corporation からのサポートを必ず受けてください。詳細については「PGP サポート ナレッジベース記事 830 『https://support.pgp.com/?faq=830』」を参照してください。 グループを利用するために PGP NetShare を設定するには 1 PGP Universal Server を優先鍵サーバーのリストに追加します。追加するには、新しいメッセー ジング サービスを作成し、PGP Universal Server の名前を指定します。詳細については、「サービスの作成とアカウント プロパティの編集 『ページ : 112の"新規メッセージング サービスの作成"参照先 : 』」を参照してください。 2 PGP Universal Server にバインドします。これには、「Lotus Notes および MAPI を使用したメッセージング 『ページ : 377の"PGP Desktop と IBM Lotus Notes の併用"参照先 : 』」の説明に従って、PGP Universal Server に手動バインドしてください。 3 PGP 鍵生成アシスタントで、鍵モードに [GKM]、[CKM]、または [SCKM] を選択します。[SKM] は選択しないでください。 286 PGP NetShare の使用 PGP Desktop for Windows 4 PGP Universal Server 上で鍵が利用可能かどうかを確認します。確認するには、PGP Desktop で [PGP 鍵] コントロール ボックスを選択します。次に、[鍵の検索] をクリックします。PGP Universal Server の名前を選択し、自身の名前を入力して、[検索] をクリックします。 5 グループの展開を有効にします。確認するには、PGP Desktop で [PGP メッセージング] コントロール ボックスを選択します。 6 [メッセージング] > [グループの展開への使用] を選択します。有効であることを示すチェックが、メニュー項目の横に表 示されます。 グループの更新 PGP Universal Server で管理された環境で PGP NetShare を使用しており、PGP 管理者が Active Directory グループを確立している場合、PGP NetShare を使用して、グループのメンバー構成が最新の状態かどうかを確認できます。 Active Directory グループを更新するには 1 [PGP NetShare] 画面で、Active Directory グループを更新する保護フォルダーを選択します。 2 [ユーザー アクセス] セクションで、[グループの更新] をクリックします。 PGP NetShare によって Active Directory のグループ メンバー構成がチェックされ、必要に応じて更新されます。 PGP NetShare 保護フォルダーの復号化 [フォルダーの削除] コマンドは、保護フォルダー内のファイルを、通常の復号化された状態に戻し ます。 保護フォルダーに格納されているフォルダーとファイルはすべて復号化され、 ファイルの上に表示されていた PGP アイコンはなくなります。 PGP NetShare 保護フォルダーからファイルの保護を削除するには 1 [PGP NetShare] 画面で、ファイルの保護を削除する保護フォルダーを選択します。 2 PGP Desktop ウィンドウの左側にある PGP NetShare コントロール ボックスで [フォルダーの削除] をクリックします。[復号化の確認] ダイアログ ボックスが表示されます。 287 PGP NetShare の使用 PGP Desktop for Windows 3 保護が削除されるのが指定したフォルダーであることを確認し、[次へ] をクリックします。パスフレーズがキャッシュされていない場合、[保護フ ォルダーのロック解除] ダイアログ ボックスが表示されます。 4 ファイルの暗号化の際に使用した鍵のいずれかに設定されたパスフレーズ を入力し、[OK] をクリックします。一定の時間内に適切なパスフレーズを入力する必要が あります。入力しないと、復号化プロセスがキャンセルされます。[進捗状 況] 画面が表示され、ファイルが復号化されます。 5 [完了] をクリックします。これで、保護フォルダー内にあるファイルは、暗号化 によって保護されなくなり、PGP NetShare 保護フォルダーのリストから削除され、ロック アイコンが表示されなくなります。 ヒント : Windows エクスプローラでフォルダーを右クリックし、ショートカット メニューから [PGP NetShare からフォルダーを削除] を選択して、フォルダーを復号化できます。 フォルダーの再暗号化 フォルダーを再暗号化すると、指定した保護フォルダー内のファイルが再暗号 化されます。再暗号化では、基本暗号化鍵を変更できるので、現在の鍵を特定 できた可能性があるユーザーからのアクセスを防止できます。そのフォルダー を再暗号化できるのは、フォルダーのグループ管理者または管理者である必要 があります。 [フォルダーの再暗号化] コマンドを使用すると、必要なときにいつでも再暗号化を実行できます。たと えば、不正なユーザーが保護フォルダー内のファイルへのアクセスを取得した と考えられる場合です。 再暗号化が必要になる理由として、次のことが挙げられます。 保護されたフォルダーに、暗号化されていないファイルが含まれているこ とが疑われる場合。たとえば、承認されていないユーザーが保護されたフ ォルダーにファイルを配置した場合などです。 承認されたユーザーの鍵情報が漏洩した場合。 承認されたユーザーが新たに追加され、保護フォルダーへのアクセスを必 要とする場合。この場合、アクセスは自動的に許可されません。 保護フォルダーを再暗号化するには、次の操作を実行します。 1 [PGP NetShare] 画面で、再暗号化する保護フォルダーを選択します。 288 PGP NetShare の使用 PGP Desktop for Windows 2 PGP Desktop ウィンドウの左側にある PGP NetShare コントロール ボックスで [フォルダーの再暗号化] をクリックします。[ユーザーの追加] 画面が表示されます。 再暗号化中に保護フォルダーにメンバを追加することも、そのフォルダー から既存のメンバーを削除することもできます。 3 [次へ] をクリックして続行します。[署名者の選択] 画面が表示されます。 4 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用します。この鍵は、ファイルを暗号 化する際の署名に使用されます。 5 再暗号化を行うメッセージが表示されたら、パスフレーズを入力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護フォルダー内のファイルが再暗号化されま す。 6 [完了] をクリックします。再暗号化プロセスが完了します。 パスフレーズのクリア デフォルトでは、[PGP Desktop オプション] の [全般] タブの設定に応じて、PGP NetShare はパスフレーズをキャッシュします。これにより、保護フォルダー内の保護さ れたファイルを使用するためにパスワードを入力する必要がなくなるため、PG P NetShare を使用しやすくなります。 ただし、コンピューターのそばを離れる場合は、許可されていないユーザーが パスフレーズを入力せずに PGP Desktop を使用できてしまうため、パスフレーズがキャッシュされた状態のままにしな いようにする必要があります。 パスフレーズをクリアするには 1 Windows のシステム トレイにある PGP のアイコンをクリックします。 2 表示されるメニューから [キャッシュのクリア] を選択します。このコマンドが有効になるには少なくとも 1 つのパスフレーズがキャッシュされる必要があります。キャッシュされて いるパスフレーズがクリアされます。 289 PGP NetShare の使用 PGP Desktop for Windows 保護フォルダーの外にあるファイルの保護 PGP NetShare には、PGP NetShare の保護フォルダーの外にある個々のファイルを保護できるようにする詳細オプ ションが用意されています。このオプションはデフォルトで無効になっていま す。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合は、PGP 管理者がこのオプションを使用できないようにしている場合があります。 PGP NetShare 保護フォルダーの外にある個々のファイルを保護するには、まず、[PGP オプション] の [NetShare] タブにある 個々のファイルの保護 を選択する必要があります。詳細については、「PGP NetShare オプション 『ページ : 357』」を参照してください。このオプションを有効にするまでは、PGP NetShare の保護フォルダーの外にあるファイルは保護できません。 [個々のファイルを保護します] オプションを選択すると、Windows エクスプローラーの PGP Desktop ショートカット メニューを使用して、保護フォルダーの外にある個々のファイルを保護できま す。 個別に保護されたファイルは、PGP Desktop ユーザー インターフェイスの PGP NetShare 作業領域には表示されません。 注意 : PGP NetShare は個別に保護されたファイルを保護しようとしますが、一部のアプリケーシ ョン (Microsoft Word など) には、保護されたファイルが削除されたと PGP NetShare に認識される方法で、変更したファイルを保存するものがあります。こうし た環境では、PGP NetShare はこれらのファイルの保護を続行できません。これが当てはまるのは、保護 フォルダー内にない個別に保護されたファイルだけで、PGP NetShare の保護フォルダー内のファイルには当てはまらないことに注意してください 。保護対象ファイルが保護されない状態になることを回避するため、PGP Corporation は、保護するファイルを PGP NetShare の保護フォルダーに保管することを強く推奨します。 [個々のファイルを保護します] オプションを有効にするには 1 [ツール] > [PGP オプション] の順に選択します。 2 [NetShare] タブをクリックします。 3 [NetShare] タブで、[個々のファイルを保護します] オプションを選択します。デフォルトの設定では、オフになっています。 290 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare を使用して個々のファイルを保護するには 1 エクスプローラーで、PGP NetShare を使用して保護するファイルを右クリックします。 2 ショートカット メニューで、[PGP Desktop] > [PGP NetShare に <filename> を追加します] の順に選択します。 3 PGP NetShare アシスタントが表示されたら、承認されたユーザーを追加し、署名用の秘 密鍵を選択します。 4 暗号化処理が完了したら、[完了] をクリックします。Windows エクスプローラーでは、保護されたファイルに PGP NetShare アイコンが表示されます。 ショートカット メニューを使用して、保護されたファイルの PGP NetShare プロパティを表示したり、保護フォルダーの外にある個別に保護されたファイ ルを再暗号化したり、各ファイルの保護を無効にしたりすることもできます。 ショートカット メニューを使用して、保護されたファイルの PGP NetShare プロパティを表示するには 1 エクスプローラーで、PGP NetShare プロパティを表示する保護されたファイルを右クリックします。 2 ショートカット メニューで、[<PGP Desktop] > > [PGP NetShare プロパティ] の順に選択します。選択したファイルのプロパティ ウィンドウが表示されます。 3 プロパティを確認したら、[OK] をクリックします。 ショートカット メニューを使用して、保護されたファイルを再暗号化するには 1 エクスプローラーで、再暗号化する保護されたファイルを右クリックしま す。 2 ショートカット メニューで、[<PGP Desktop] > > [再暗号化] の順に選択します。 3 PGP NetShare アシスタントが表示されたら、承認されたユーザーを追加または削除し、 署名用の秘密鍵を選択します。 4 再暗号化処理が完了したら、[完了] をクリックします。 291 PGP NetShare の使用 PGP Desktop for Windows ショートカット メニューを使用して、個別に保護されたファイルから保護を削除するには 1 エクスプローラーで、保護を無効にする保護されたファイルを右クリック します。 2 ショートカット メニューで、[<prod] > > [PGP NetShare から [file name] を削除します] の順に選択します。 3 PGP NetShare アシスタントが表示されたら、[次へ] をクリックすることで、そのファイルの保護を無効にする確認を行います 。 4 ファイルが復号化されたら、[完了] をクリックします。 PGP NetShare で保護されたファイルのバックアップ PGP NetShare で保護されたファイルとフォルダーはバックアップできます。バックアップ プロセス時にファイルがどのように処理されるかは、PGP Universal Server によって管理された環境で PGP NetShare を使用しているかどうかによって決まります。 管理されていないクライアントを使用したファイルのバックアッ プ 保護されたファイルとフォルダーが、管理されていない (スタンドアロン) クライアントによってバックアップされる場合、保護されたファイルはバック アップ時に透過的に復号化され、バックアップ メディアに平文で保存されます。暗号化された元の状態にこれらのファイルを 戻す場合も、暗号化は透過的に行われます。 PGP Universal Server で管理されたクライアントを使用したファイルのバックアップ 管理されたクライアントを使用して、保護されたファイルとフォルダーをバッ クアップする場合、暗号化の処理方法は、バックアップ アプリケーションが PGP Universal Server 管理者によってアプリケーション バイパスとして設定されているかどうかによって決まります。 バックアップ アプリケーションが復号化バイパス リストに含まれている場合、保護されたファイルは、バックアップされた 後もバックアップ メディア上で暗号化されたままになります。これらのファイルを元の場所 に復元するときも、暗号化された状態は保たれます。 292 PGP NetShare の使用 PGP Desktop for Windows バックアップ アプリケーションが復号化バイパス リストに含まれていない場合は、管理されていないクライアントを使用し てファイルをバックアップする場合と同様になります。この場合、保護さ れたファイルはバックアップ時に透過的に復号化され、バックアップ メディアに平文で保存されます。暗号化された元の状態にこれらのファイ ルを戻す場合も、暗号化は透過的に行われます。 メモ : PGP Corporation では、データをバックアップする際とリストアする際に方法を統一すること を推奨しています。たとえば、管理されていないクライアントを使用してフ ァイルをバックアップする場合は、ファイルをリストアする際にも、管理さ れていないクライアントを使用する必要があります。 ショートカット メニューを使用した PGP NetShare 機能へのアクセス いくつかの PGP NetShare 機能は、Windows エクスプローラー内で項目を右クリックして表示されるショートカット メニューから利用できます。 Windows エクスプローラーで項目を右クリックして、そのフォルダー、および [個々のファイルを保護します] オプションを有効にしている場合はファイルを保護できます。表示されるショ ートカット メニューから [PGP Desktop] > [PGP NetShare に <filename> を追加します] の順に選択して、その項目を PGP NetShare の保護対象として指定する処理を開始します。 PGP NetShare を使用して、保護フォルダーの外にある個別のファイルを保護する操作の詳細 については、保護フォルダーの外にあるファイルの保護 『ページ : 290』を参照してください。 ファイルやフォルダーを PGP NetShare で保護すると、エクスプローラー内のショートカット メニューから、次の 3 つのコマンドを実行できるようになります。 PGP NetShare プロパティ : このコマンドを使用すると、ファイルまたはフォルダーのプロパティ画面 の [PGP NetShare] タブが開きます。このタブでは、保護されたファイルを使用できるユーザ ーの表示、ロックされているファイルやフォルダーのロック解除、および 保護されたファイルを使用できるユーザーの追加を行うことができます。 再暗号化 : このコマンドを使用すると、指定したフォルダーやファイルが新しい基本 暗号化鍵で再暗号化されます。 293 PGP NetShare の使用 PGP Desktop for Windows この<file name>を PGP NetShare から削除してください。このコマンドを使用すると、指定したフォルダー やファイルの PGP NetShare 保護が無効となります。 適用可能な手順については、「保護フォルダーの外にあるファイルの保護 『ページ : 290』」を参照してください。 PGP Universal Server によって管理された環境にある PGP NetShare PGP Universal Server で管理された環境で PGP NetShare を使用している場合、PGP 管理者はコンピューター上での PGP NetShare の動作に影響を与える設定を構成できます。 これらの設定は次のとおりです。 ユーザーによるPGP NetShare フォルダーの作成および管理を許可。 この設定が有効になっている場合、PGP NetShare 保護フォルダーを作成できます。無効になっている場合、他の人が作成し た保護フォルダーを使用できますが、保護フォルダーを作成することはで きません。この設定はデフォルトで有効になっています。 ユーザーによる上級ユーザー モードの有効化を許可。 この設定が有効になっている場合、[PGP オプション] の [上級ユーザー モード] を有効にできます。これにより、保護フォルダーから移動された個々のフ ァイルを保護できるようになります。この設定はデフォルトで無効になっ ています。 Force the encryption of files in the following folders (次のフォルダーにあるファイルの暗号化を実施) 。 これらのフォルダーは、「ホワイトリスト」のフォルダーと呼ばれます。 ホワイトリストのフォルダーは、PGP NetShare に必ず追加され、その内容は暗号化されます。詳細については、「PGP Universal によって指定される「ブラックリスト」および「ホワイトリスト」のフォ ルダー 『ページ : 268の"PGP Universal Server によって指定される「ブラックリストに記載された」フォルダーおよび「 ホワイトリストに記載された」フォルダー"参照先 : 』」を参照してください。 294 PGP NetShare の使用 PGP Desktop for Windows Prevent the encryption of files in the following folders (次のフォルダーあるファイルの暗号化を防止)。 これらのフォルダーは、「ブラックリスト」のフォルダーと呼ばれます。 ブラックリストのフォルダーは、PGP NetShare に追加されることも暗号化されることもありません。 詳細については、「PGP Universal によって指定される「ブラックリスト」および「ホワイトリスト」のフォ ルダー 『ページ : 268の"PGP Universal Server によって指定される「ブラックリストに記載された」フォルダーおよび「 ホワイトリストに記載された」フォルダー"参照先 : 』」を参照してください。 これらの設定について質問がございましたら、PGP 管理者に問い合わせてください。 保護されたファイルまたはフォルダーのプロパティへのアクセス PGP NetShare によって保護されているすべてのファイルのプロパティ画面には [PGP NetShare] タブがあり、ファイルに関する情報が表示されます。 ファイルの [プロパティ] ダイアログ ボックスの [PGP NetShare] タブにアクセスするには 1 Windows エクスプローラーで、次のいずれかの操作を行います。 ファイルを右クリックし、一覧から [プロパティ] を選択します。 リストから、[ファイル] > [プロパティ] を選択します。 選択したファイルのプロパティ画面が表示されます。 295 PGP NetShare の使用 PGP Desktop for Windows 2 [PGP NetShare] タブをクリックします。[PGP NetShare] タブが表示されます。 3 ファイルの [PGP NetShare] タブに、暗号化されたファイルを使用できるユーザーの名前が表示されま す。このタブでは、次の操作を実行できます。 4 ロック解除 : ロックされている保護フォルダーをロック解除します。 編集 : [ユーザーの追加] 画面を表示し、選択したファイルやフォルダーを使用できるユーザー の追加/削除を行うことができます。ユーザーが追加または削除された 場合、ファイルやフォルダーは再暗号化されます。 ユーザー名を右クリックすると、各ユーザーの役割が表示されます。 このタブでは、ユーザーの役割を変更できません。ユーザーの役割の 変更については、「ユーザーの役割の変更 『ページ : 283』」を参照してください。 [プロパティ] ダイアログを閉じるには、[OK] をクリックします。 PGP Desktop の PGP NetShare メニューの使用 PGP Desktop のメニューのうち、[ファイル]、[編集]、および [NetShare] の 3 つのメニューには、NetShare に関連するコマンドが含まれています。 [ファイル] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、[ファイル > 新規 PGP NetShare フォルダー] の順に選択すると、新しい保護フォルダーを作成できます。 操作手順は、「新規 PGP NetShare 保護フォルダーの作成 『ページ : 273』」と同じです。 [編集] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、PGP Desktop の [編集] メニューの [名前の変更] コマンドでは、保護フォルダーの名前を変更できます。 296 PGP NetShare の使用 PGP Desktop for Windows [編集] メニューを使用して PGP NetShare 保護フォルダーの名前を変更するには 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリックします。 2 複数の保護フォルダーがある場合は、名前を変更する保護フォルダーの名 前をクリックします。 3 [編集] > [名前の変更] の順に選択します。 4 保護フォルダーの新しい名前を入力します。 5 Enter キーを押すか、保護フォルダー名以外の場所をクリックします。これで、 保護フォルダーの名前が変更されます。 [編集] メニューの [エクスプローラーでファイルを表示...] オプションは、保護フォルダーのパスをクリックした場合と同等です。このオ プションを選択すると、選択したフォルダーが Windows エクスプローラー内で開きます。 [NetShare] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、[NetShare] メニューでは次のコマンドを選択できます。 フォルダーの追加 : このコマンドを選択して、保護フォルダーを新規作成できます。操作手順 は、「新規 PGP NetShare 保護フォルダーの作成 『ページ : 273』」と同じです。このコマンドをアクティブにするには、[PGP NetShare] コントロール ボックスを選択する必要があります。 フォルダーの削除 : このコマンドを選択して、保護フォルダーを通常の復号化された状態に戻 す処理を開始できます。保護フォルダーに格納されているフォルダーとフ ァイルはすべて復号化され、ファイルの上に表示されていた PGP アイコンはなくなります。このコマンドをアクティブにするには、保護フ ォルダーを選択する必要があります。 フォルダーの再暗号化 : このコマンドを選択して、保護フォルダー内にあるファイルを再暗号化で きます。再暗号化では、基本暗号化鍵を変更できるので、現在の鍵を特定 できた可能性があるユーザーからのアクセスを防止できます。保護フォル ダーへのユーザーの追加や削除を行うと、再暗号化が自動的に実行されま す。[フォルダーの再暗号化] コマンドを使用すると、必要なときにいつでも再暗号化を実行できます。 たとえば、許可されていないユーザーが保護フォルダー内のファイルへの アクセスを取得したと考えられる場合です。このコマンドをアクティブに するには、保護フォルダーを選択する必要があります。 297 PGP NetShare の使用 PGP Desktop for Windows フォルダーのステータスを確認 : このコマンドを選択して、選択した保護フォルダーのステータスに関する 最新情報を取得できます。このコマンドをアクティブにするには、保護フ ォルダーを選択する必要があります。 最近使ったフォルダーのクリア : このコマンドを選択して、フォルダーを保護フォルダーのリストから削除 できます。[フォルダーの削除] コマンドとは異なり、[最近使ったフォルダーのクリア] では保護フォルダー内のファイルを復号化しません。このコマンドをアク ティブにするには、保護フォルダーを選択する必要があります。 298 14 PGP Zip の使用 PGP Zip を使用すると、PGP Zip アーカイブと呼ばれる暗号化された圧縮パッケージを作成、開封、および編集 できます。このセクションでは、PGP Desktop の PGP Zip 機能の使用方法について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 概要 ........................................................................................................ 299 PGP Zip アーカイブの作成 .................................................................... 301 PGP Zip アーカイブの開封 .................................................................... 312 PGP Zip SDA の開封 .............................................................................. 313 PGP Zip アーカイブの編集 .................................................................... 314 署名済み PGP Zip アーカイブの検証..................................................... 316 概要 PGP Zip アーカイブ パッケージは、配布やバックアップを容易にするために、暗号化と圧縮処理を 施した単一のファイルです。これらのアーカイブ ファイルには、さまざまなファイルやフォルダーの組み合わせを保存でき、特 に、セキュリティを保護して配布やバックアップを行うときに便利です。 PGP Zip アシスタントを使用して、新規の PGP Zip アーカイブ パッケージを作成します。このアシスタントを利用すると、アーカイブ用のフ ァイルまたはフォルダーの選択と、次に示す暗号化またはパッケージの作成を 段階的に行うことができます。 299 PGP Zip の使用 PGP Desktop for Windows 1 人または複数の受信者の PGP 鍵を使用して、ファイルやフォルダーの暗号化とパッケージの作成を行い ます。受信者のコンピューターには PGP Desktop が必要です。 パスフレーズを使用して、ファイルやフォルダーの暗号化とパッケージの 作成を行います。受信者のコンピューターには PGP Desktop が必要です。 パスフレーズで保護された自己復号化アーカイブ (PGP Zip SDA) として、ファイルやフォルダーの暗号化とパッケージの作成を行います。 受信者のコンピューターには PGP Desktop は必要ありませんが、Microsoft Windows が実行されている必要があります。 暗号化なしで、パッケージも作成しませんが、受信者に送信して、そのフ ァイルの送信者であることを検証できるようにファイルを作成します。 PGP Zip アシスタントを使用して PGP Zip アーカイブ ファイルを作成するときは、元のファイルを自動的に PGP シュレッダに送るオプションを使用すると、それらのファイルをコンピュータ ーから安全かつ永久に削除できます。 PGP Zip アーカイブ ファイルを受信すると、次の操作を行うことができます。 アーカイブ内のファイルやフォルダーをすべて抽出します。 アーカイブ内の一部のファイルやフォルダーを抽出します。 アーカイブ内の一部のファイルやフォルダーを抽出し、同時に他のファイ ルやフォルダーを追加します。 アーカイブにファイルやフォルダーを新しく追加します。 アーカイブを以下のように編集します。 暗号化のタイプを変更します。 署名鍵を変更します。 受信者を変更します。 PGP Zip アーカイブは、PGP Desktop (PGP Universal Server 管理者により構成されている場合) の目的の暗号、または AES256 に暗号化されます。PGP Zip アーカイブは、Mac OS X と Windows プラットフォーム間で移動できます。PGP Zip アーカイブの移動先のコンピューターには、PGP Desktop がインストールされている必要があります。 300 PGP Zip の使用 PGP Desktop for Windows PGP Zip アーカイブの作成 PGP Zip アーカイブを作成するには 1 [PGP Zip] コントロール ボックスをクリックして、[新規 PGP Zip] をクリックします。PGP Zip アシスタントが表示されます。 2 次のいずれかを実行します。 アシスタントで指定される領域にファイルをドラッグ アンド ドロップします。 作成する PGP Zip アーカイブにディレクトリ全体を追加するには、[ディレクトリの追加 ] をクリックします。 作成する PGP Zip アーカイブにファイルを追加するには、[ファイルの追加] をクリックします。 作成する PGP Zip アーカイブからファイルまたはディレクトリを削除するには、[選択し たファイルの削除] をクリックします。 作成する PGP Zip ファイルの追加オプションを選択するには、[PGP Zip 詳細オプション] をクリックします。ほとんどのユーザーには、デフォルト設定が適切 です。 メモ : ファイルとフォルダーを組み合わせて追加するには、 と の両方のボタンを使用します。 ディレクトリをファイル リストに追加すると、PGP Zip アシスタントで全ファイルが別々に表示され、それらのファイルを確認し やすくなります。PGP Zip アーカイブに多数のファイルを追加する必要がある場合は、まずディレク トリ全体を PGP Zip アーカイブのファイル リストに追加してから、追加しないファイルだけを削除すると効率的です 。この操作を行う場合は、処理を続行する前に、PGP Zip アーカイブに格納しないファイルをすべて削除したことを確認します。 3 PGP Zip アーカイブを作成した後、元のファイルを完全に削除するには、[作業が終 了したら、元のファイルを PGP シュレッダに送信します] を選択します。 301 PGP Zip の使用 PGP Desktop for Windows 注意 : PGP Zip アーカイブの作成後に、元のファイルを PGP シュレッダに送信した場合、それらのファイルは回収できなくなります。 ファイル復元ユーティリティを使用しても回収はできません。ファイルは 恒久的に削除され、復元不可能になります。このオプションを使用する際 には注意してください。 4 特別オプションを指定するには、[PGP Zip 詳細オプション] をクリックします。 すべてのファイルを単一の暗号化ファイルに格納する PGP Zip アーカイブ パッケージではなく、個別の暗号化ファイルを作成するには、[(出力 ファイルを個々に) Zip 処理しないでください ] を選択します。 テキスト ファイルのみのジップ アーカイブを作成するには、[テキスト ファイルの改行を変換します] を選択します。 組織のセキュリティ ポリシーで指定されているとおりに PGP Secure Viewer を必要とする Zip アーカイブを作成するには、復号化時に PGP Secure Viewer を必要とする を選択します。このモードを選択すると、ファイルが復号化されたと き、そのファイルは [PGP Secure Viewer] ウィンドウに表示されます。このオプションを使用すると、旧式の電 波傍受による攻撃から保護されます。 旧タイプの電子メール アプリケーションを使用して、この Zip アーカイブをバイナリ ファイルとして電子メールで送るには、テキストの出力 を選択します。ファイルを ASCII テキストとして保存すると、暗号化ファイルのサイズがおよそ 30% 増えます。このオプションは、PGP Universal Server で管理されていない環境で PGP Desktop を使用している場合は、利用できません。 これらの PGP Zip オプションの設定を後日使用できるように保存するには、これらの設 定を次回復元する を選択します。 特別なオプションの選択が終わったら、[OK] をクリックします。これらのいずれのオプションも変更しない場合は 、[キャンセル] をクリックします。 [新規 PGP Zip] ダイアログ ボックスが再び表示されます。 5 PGP Zip アーカイブに格納するファイルの選択が完了したら、[次へ] をクリックします。 6 必要な暗号化のタイプを選択し、[次へ] をクリックします。 302 PGP Zip の使用 PGP Desktop for Windows ヒント : 各オプションの上にカーソルを移動させると、オプション リストの下にある情報フィールドに詳細が表示されます。 受信者鍵 : ファイルを受信者の公開鍵に暗号化して、PGP Zip アーカイブを作成します。これにより、この受信者のみが PGP Desktop を使用してアーカイブを開くことができます。これは最も安全なオプ ションです。「受信者鍵による暗号化 『ページ : 303』」を参照してください。 パスフレーズ :アーカイブの保存時に指定するパスフレーズでファイルを暗号化して 、PGP Zip アーカイブを作成します。パスフレーズを知っていて、PGP Desktop を使用しているユーザーのみがアーカイブを開くことができます。「 パスフレーズを使用した暗号化 『ページ : 306』」を参照してください。 PGP 自己復号化アーカイブ :アーカイブの保存時に設定したパスフレーズで PGP 自己復号化アーカイブを作成します。PGP 自己復号化アーカイブを復号化する場合、PGP Desktop は必要ありませんが、受信者が Microsoft Windows オペレーティング システムを使用している必要があります。「PGP 自己復号化アーカイブ (SDA) の作成 『ページ : 308』」を参照してください。 署名のみ :PGP 署名を暗号化されていない Zip ファイルに追加します。受信者は、PGP Desktop を使用してこの Zip アーカイブを開くことができます。また、この署名により、Zip アーカイブが署名者本人から送られてきたものであり、転送中に変更 が加えられていないことが証明されます。詳細については、署名のみ 『ページ : 310の"署名のみのアーカイブの作成"参照先 : 』を参照してください。 メモ : PGP Universal によって管理されている環境で PGP Desktop を使用している場合、パスフレーズ (共通鍵) 暗号方式は無効になっている場合もあります。 受信者鍵による暗号化 [受信者鍵] は、次の場合に使用できます。 ファイルに対して最大のセキュリティを提供する場合 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得している場合 303 PGP Zip の使用 PGP Desktop for Windows パスフレーズをファイルの受信者に開示しない場合 受信者の公開鍵を使用した PGP Zip アーカイブの暗号化は、最大のセキュリティを実現できる方法です。これは、 最も強力なセキュリティが必要で、かつ必要条件が満たされる場合には最善の 方法です。 いずれの方法でもファイルのセキュリティ保護が完了してから、作成した PGP Zip アーカイブ ファイルを受信者に送信します。受信者は PGP Desktop を使用して PGP Zip アーカイブ ファイルを開きます。ファイルの暗号化を行った際に使用した鍵を持つユーザ ーは、誰でもその PGP Zip アーカイブ ファイルを開くことができ、それら全員が同じ項目にアクセスできます。受信 者によっては一部の項目しかアクセスできないようにする必要がある場合は、 受信者ごとに別の PGP Zip アーカイブ ファイルを作成する必要があります。 受信者鍵で暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ページ : 301』」の説明にあるように、PGP Zip アーカイブの作成を開始します。 2 [暗号化] ダイアログ ボックスで、[受信者鍵] を選択します。 3 [次へ] をクリックします。ユーザー鍵の追加 ダイアログ ボックスが表示されます。 4 PGP Zip アーカイブの受信者を選択します。次のいずれかを実行します。 鍵リングにある鍵のリストから選択するには、矢印をクリックします 。 鍵リングにない鍵を所有している受信者にファイルを送信するには、[ 追加] をクリックします。[受信者の選択] ダイアログ ボックスが表示されます。 追加分の名前の選択が完了したら、[OK] をクリックし、[ユーザー鍵の追加] パネルに戻ります。 鍵を削除するには、受信者名を選択し、[削除] をクリックします。 5 [次へ] をクリックします。[署名と保存] 画面が表示されます。 6 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘密鍵を指定するこ ともできます。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付するために使用されます。アーカイブの 受信者は、対応する公開鍵を使用してデジタル署名を検証すると、送信者 を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リストから [なし] を選択します。 304 PGP Zip の使用 PGP Desktop for Windows PGP Zip アーカイブへの署名を選択した場合は、署名鍵 リストから鍵を選択してから、その鍵の署名用のパスフレーズを入力 します。これは、Zip の安全性を高めるために使用するパスフレーズとは異なります。パス フレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 PGP Desktop を使用したセッション中にパスフレーズを既に入力した場合は、[オプショ ン] 設定によってはパスフレーズがキャッシュされていることがあります。こ の場合には、[パスフレーズがキャッシュされています] というメッセージが表示されます。パスフレーズがキャッシュされている 場合でも、PGP Zip アーカイブ ファイルを署名しないように選択することは可能です。 7 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどうかを確認 します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存場所を 変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納された PGP Zip アーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納された PGP Zip アーカイブのファイル名は、格納されたいずれかの項目の名前の後ろに .pgp を追加したものになります。必要に応じて、PGP Zip アーカイブ ファイル名を変更してください。 8 [署名のみ] オプションを選択した場合は、[分離署名の保存] をクリックします。 9 [次へ] をクリックします。PGP Zip アーカイブが作成されます。 10 [完了] をクリックします。これで、暗号化に使用した鍵を所有している受信者に PGP Zip アーカイブを送信する準備ができました。暗号化に使用した鍵の 1 つがあなたの鍵であれば、そのファイルはどの場所にでも保管できます。 305 PGP Zip の使用 PGP Desktop for Windows パスフレーズを使用した暗号化 パスフレーズは、次の場合に使用します。 受信者の鍵を使用せずに、PGP Zip アーカイブを作成する場合。これは、受信者の鍵を使用して暗号化するよ りも安全性は劣りますが、十分に安全性の高い方法です。 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 パスフレーズをファイルの受信者に開示しない場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得していない場合 ヒント : パスフレーズを使用した暗号化は、従来型の暗号化とも呼ばれます。 PGP Zip アーカイブをパスフレーズで暗号化すると、特に強力なパスフレーズを使用し た場合は大変強力なセキュリティを実現できます。ただし、受信者の鍵で暗号 化すれば、さらに強力なセキュリティが得られます。受信者の鍵で暗号化した 場合、PGP Zip アーカイブの受信者がファイルを復号化するには、秘密鍵とパスフレーズが必 要です。各受信者の秘密鍵にもパスフレーズがあります。 パスフレーズで暗号化した場合は、全員が同じパスフレーズを使用してファイ ルを開き、秘密鍵を必要としません。ファイルの受信者は、PGP Desktop を使用し、ファイルを復号化できるパスフレーズを知っている必要があります 。 注意 : セキュリティ対策に抜けがないように、PGP Zip アーカイブに対するパスフレーズがファイルの受信者以外には開示されてい ないことを確認してください。承認されていないユーザーにパスフレーズが 開示された場合は、別のパスフレーズを使用して新規の PGP Zip アーカイブを作成してください。ただし、元のアーカイブ ファイルとその内容の安全性を取り戻すことはできません。 いずれの方法でもファイルのセキュリティ保護が完了してから、作成した PGP Zip アーカイブ ファイルを受信者に送信します。受信者は PGP Desktop を使用して PGP Zip アーカイブ ファイルを開きます。ファイルとパスフレーズを持つユーザーは、その PGP Zip アーカイブ ファイルを開くことができ、それら全員が同じ項目にアクセスできます。複数 の受信者がそれぞれ別の項目にアクセスできるようにする必要がある場合は、 受信者ごとに別の PGP Zip アーカイブ ファイルを作成する必要があります。 306 PGP Zip の使用 PGP Desktop for Windows 注意 : PGP Universal によって管理されている環境で PGP Desktop を使用している場合、パスフレーズでの暗号化は無効になっている場合もあ ります。 パスフレーズを使用して暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ページ : 301』」の説明にあるように、PGP Zip アーカイブの作成を開始します。手順 6 の説明に従って作業を行い、完了したらこのセクションに戻ります。 2 [暗号化] ウィンドウで、[パスフレーズ] を選択します。 3 [次へ] をクリックします。パスフレーズの作成 ダイアログ ボックスが表示されます。 4 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 5 使用するパスフレーズを [パスフレーズ] フィールドに入力します。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 368』」 を参照してください。 6 [確認] フィールドにパスフレーズをもう一度入力します。 7 [次へ] をクリックします。[署名と保存] ダイアログ ボックスが表示されます。 8 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘密鍵を指定するこ ともできます。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付するために使用されます。アーカイブの 受信者は、対応する公開鍵を使用してデジタル署名を検証すると、送信者 を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リストから [なし] を選択します。 PGP Zip アーカイブへの署名を選択した場合は、署名鍵 リストから鍵を選択してから、その鍵の署名用のパスフレーズを入力 します。これは、Zip の安全性を高めるために使用するパスフレーズとは異なります。パス フレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 307 PGP Zip の使用 PGP Desktop for Windows PGP Desktop を使用したセッション中にパスフレーズを既に入力した場合は、[オプショ ン] 設定によってはパスフレーズがキャッシュされていることがあります。こ の場合には、[パスフレーズがキャッシュされています] というメッセージが表示されます。パスフレーズがキャッシュされている 場合でも、PGP Zip アーカイブ ファイルを署名しないように選択することは可能です。 9 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどうかを確認 します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存場所を 変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納された PGP Zip アーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納された PGP Zip アーカイブのファイル名は、格納されたいずれかの項目の名前の後ろに .pgp を追加したものになります。必要に応じて、PGP Zip アーカイブ ファイル名を変更してください。 10 [次へ] をクリックします。PGP Zip アーカイブが作成されます。 11 [完了] をクリックします。これで、暗号化に使用した鍵を所有している受信者に PGP Zip アーカイブを送信する準備ができました。受信者がアーカイブを開封でき るように、パスフレーズを忘れずに伝えてください。 PGP 自己復号化アーカイブ (SDA) の作成 PGP 自己復号化アーカイブは、次の場合に使用します。 受信者の鍵を使用せずに、PGP Zip 自己復号化アーカイブを作成する場合。これは、受信者の鍵を使用して暗 号化するよりも安全性は劣りますが、十分に安全性の高い方法です。 受信者のコンピューターに PGP Desktop がインストールされておらず、すべての受信者が Windows システムを使用している場合 308 PGP Zip の使用 PGP Desktop for Windows パスフレーズをファイルの受信者に開示しない場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得していない場合 PGP 自己復号化アーカイブ (SDA) は、PGP Desktop がインストールされていなくても Windows コンピューターであれば開封できる PGP Zip アーカイブです。PGP Zip SDA ファイルは、Windows 標準の実行可能 (.exe) ファイルで、ダブルクリックするだけで開封することができます。 自己復号化のメカニズムでは一定量の領域 (通常は 100KB 程度) が余分に必要となるため、PGP Zip SDA ファイルは一般的な PGP Zip アーカイブよりも若干大きくなります。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、PGP Zip SDA 作成は無効になっている場合もあります。 PGP Zip SDA を作成したら、どのような受信者にもファイルを送信できます。ファイルとパ スフレーズを持つユーザーは、その PGP Zip アーカイブ ファイルを開くことができ、それら全員が同じ項目にアクセスできます。複数 の受信者がそれぞれ別の項目にアクセスできるようにする必要がある場合は、 受信者ごとに別の PGP Zip アーカイブ ファイルを作成する必要があります。 注意 : セキュリティ対策に抜けがないように、PGP Zip SDA に対するパスフレーズがファイルの受信者以外には開示されていないことを 確認してください。承認されていないユーザーにパスフレーズが開示された 場合は、別のパスフレーズを使用して新規の PGP Zip SDA を作成してください。ただし、元のアーカイブ ファイルとその内容の安全性を取り戻すことはできません。 PGP Zip SDA を作成するには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ページ : 301』」の説明にあるように、PGP Zip アーカイブの作成を開始します。手順 6 の説明に従って作業を行い、完了したらこのセクションに戻ります。 2 [暗号化] ダイアログ ボックスで、[PGP 自己復号化アーカイブ] を選択します。 3 [次へ] をクリックします。パスフレーズの作成 ダイアログ ボックスが表示されます。 4 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 5 使用するパスフレーズを [パスフレーズ] フィールドに入力します。 309 PGP Zip の使用 PGP Desktop for Windows パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 368』」 を参照してください。 6 [確認] フィールドにパスフレーズをもう一度入力します。 7 [次へ] をクリックします。 8 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどうかを確認 します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存場所を 変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納された PGP Zip アーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納された PGP Zip アーカイブのファイル名は、格納されたいずれかの項目の名前の後ろに .pgp を追加したものになります。必要に応じて、PGP Zip アーカイブ ファイル名を変更してください。 9 [次へ] をクリックします。PGP Zip SDA が作成されます。 10 [完了] をクリックします。これで、受信者に PGP Zip SDA を送信する準備ができました。 署名のみのアーカイブの作成 署名のみは、次の場合に使用します。 ファイルを暗号化する必要がない場合。この場合、受信者にパスフレーズ を開示せずに済みます。 受け取った PGP Zip アーカイブの確認に受信者が使用できる署名ファイルを生成する場合。各 ファイルは個別に処理され、ファイルごとに別個の分離署名が作成されま す。 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 310 PGP Zip の使用 PGP Desktop for Windows ファイルを送信したことを確認し、ファイルが送信中に変更されていない ことを受信者に保証する場合。 受信者に対してファイルを暗号化する必要がない場合は、[署名のみ] オプションを選択できます。ファイルを暗号化して 1 つの PGP Zip アーカイブに圧縮する代わりに、このオプションでは、それらの圧縮のみを行 います。 [署名のみ] オプションで暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ページ : 301』」の説明にあるように、PGP Zip アーカイブの作成を開始します。手順 6 の説明に従って作業を行い、完了したらこのセクションに戻ります。 メモ : 圧縮し、署名するファイルを選択すると、[元のファイルを PGP シュレッダに送信します] オプションを選択していても無視されます。 2 [暗号化] ダイアログ ボックスで、[署名のみ] を選択します。 3 [次へ] をクリックします。[署名と保存] パネルが表示されます。 4 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘密鍵を指定します 。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付するために使用されます。アーカイブの 受信者は、対応する公開鍵を使用してデジタル署名を検証すると、送信者 を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リストから [なし] を選択します。 PGP Zip アーカイブへの署名を選択した場合は、署名鍵 リストから鍵を選択してから、その鍵の署名用のパスフレーズを入力 します。これは、Zip の安全性を高めるために使用するパスフレーズとは異なります。パス フレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 PGP Desktop を使用したセッション中にパスフレーズを既に入力した場合は、[オプショ ン] 設定によってはパスフレーズがキャッシュされていることがあります。こ の場合には、[パスフレーズがキャッシュされています] というメッセージが表示されます。パスフレーズがキャッシュされている 場合でも、PGP Zip アーカイブ ファイルを署名しないように選択することは可能です。 311 PGP Zip の使用 PGP Desktop for Windows 5 PGP Zip アーカイブの保存場所を変更する必要があるかどうかを確認します。必要 に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存場所を 変更します。 署名のみの PGP Zip アーカイブのデフォルト ファイル名は、その名前の後ろに .sig を追加したものになります。 6 PGP Zip アーカイブと一緒に署名ファイルを個別に保存する場合は、[分離署名の保 存] をクリックしてオンにします。 7 [次へ] をクリックします。署名のみの PGP Zip アーカイブが作成されます。 8 [完了] をクリックします。 PGP Zip アーカイブの開封 PGP Zip アーカイブを開封するコンピューターには、PGP Desktop がインストールされている必要があります。 PGP ジップ アーカイブを開封するには 1 PGP ジップ アーカイブ ファイルをダブルクリックします。ファイルの拡張子は、.pgp です。 PGP ジップ アーカイブが鍵を使用して暗号化されている場合は、PGP の [Enter Passphrase for Listed Key (表示されている鍵のパスフレーズを入力してください)] ダイアログ ボックスが表示されます。 PGP ジップ アーカイブがパスフレーズを使用して暗号化されている場合は、PGP の [Enter Passphrase (パスフレーズを入力してください)] ダイアログ ボックスが表示されます。 PGP Desktop に PGP ジップ アーカイブの内容が表示されます。PGP Desktop アプリケーションを開いていない場合は、PGP ジップの項目がアクティブな状態で PGP Desktop が開きます。 2 項目を抽出するには、次の操作を行います。 312 PGP Zip の使用 PGP Desktop for Windows 単一の項目を抽出するには、その項目を右クリックして、ショートカ ット メニューから [抽出] を選択します。 複数の項目を抽出するには、項目を選択し、いずれか 1 つを右クリックしてショートカット メニューから [抽出] を選択します。 [フォルダーの参照] ダイアログ ボックスが表示されます。 3 ファイルの抽出先とするフォルダーを指定し、[OK] をクリックします。フォルダーを新規作成するには、[New Folder (新規フォルダー)] を選択します。ファイルが、指定した保存場所に抽出されます。 PGP ジップ アーカイブから復号化したファイルを元のファイルと同じ保存場所に抽出 すると、元のファイルは上書きされます。上書きを防止するため、ファイ ルごとに、既存のファイルを上書きするかどうかを確認するメッセージが 表示されます。 PGP Zip SDA の開封 PGP Zip SDA を開封するには、PGP Desktop がインストールされている必要はありません。 PGP Zip SDA を開封するには 1 PGP Zip SDA ファイルをダブルクリックします。ファイルの拡張子は、.exe です。[PGP Self Decrypting Archive - Enter Passphrase (PGP 自己復号化アーカイブ - パスフレーズを入力してください)] ダイアログ ボックスが表示されます。 2 目的の保存場所に出力が抽出されることを確認します。抽出先が異なる場 合は、[参照] をクリックして適切な保存場所を選択するか、フィールドに入力します。 メモ : PGP Zip SDA から復号化したファイルを元のファイルと同じ保存場所に抽出すると、元 のファイルは上書きされます。上書きを防止するため、ファイルごとに保 存場所の変更を促すメッセージが表示されます。ファイル名を変更するこ ともできます。保存場所またはファイル名を変更せずに [保存] をクリックすると、警告ダイアログ ボックスが表示されます。この警告をバイパスすると、PGP Zip SDA を復号化したファイルに元のファイルは上書きされます。 3 PGP Zip SDA のパスフレーズを入力して、[OK] をクリックします。PGP Zip SDA が復号化されます。 313 PGP Zip の使用 PGP Desktop for Windows PGP Zip アーカイブの編集 PGP Zip アーカイブは固定化されたファイルではありません。いつでも、次の操作を行 うことができます。 ファイルを抽出する。 ファイルを追加する。 アーカイブ自体の設定を編集する。 PGP Zip アーカイブを編集するには 1 PGP Desktop を開き、[PGP Zip] コントロール ボックスをクリックします。[PGP Zip] コントロール ボックスがハイライトされます。 2 [PGP Zip] コントロール ボックスの上部にある PGP Zip アーカイブのリストで、編集する PGP Zip アーカイブの名前をクリックします。アーカイブの設定と、アーカイブ内 のファイルやフォルダーが表示されます。 目的の PGP Zip アーカイブがリストにない場合は、[PGP Zip を開く] をクリックして、.pgp ファイルに移動します。次に、そのファイルを選択して [開く] をクリックしてください。 314 PGP Zip の使用 PGP Desktop for Windows 3 PGP Zip アーカイブの設定を編集するには、[編集] をクリックし、次のように必要な変更を行います。 PGP Zip アーカイブにファイルを追加するには、[PGP Zip] コントロール ボックスの [ファイルの追加] をクリックし、追加するファイルを選択して、[開く] をクリックします。 ファイルがアーカイブに追加されます。 アーカイブにフォルダーを追加し、そのフォルダーにファイルを入れ るには、[PGP Zip] コントロール ボックスの 新規フォルダー をクリックし、新しいフォルダーに必要に応じて説明的な名前を入力 します。新しいフォルダーを選択し、[PGP Zip] コントロール ボックスの [ファイルの追加] をクリックします。次に、フォルダーに追加するファイルを選択し、 開く をクリックします。 ファイルがアーカイブのフォルダーに追加されます。 アーカイブからファイルを抽出するには、抽出するファイルを右クリ ックし、表示されるショートカット メニューから [抽出] を選択します。ファイルの場所を指定し、[OK] をクリックします。 指定した場所にファイルのコピーが作成されます。PGP Zip アーカイブには元のファイルが残ります。 アーカイブからファイルまたはフォルダーを削除するには、削除する 項目を選択し、キーボードの Delete キーを押します。[編集] > [削除] の順に選択しても同じです。指定した項目が削除されます。 変更内容を PGP Zip アーカイブに保存するには、画面右上の [保存] をクリックするか、[PGP Zip] コントロール ボックスの [PGP Zip の保存] をクリックします。 保存場所とファイル名を指定します。指定した名前のファイルがその 場所に既に存在する場合は、既存のファイルを上書きするかどうかを 尋ねるメッセージが表示されます。アーカイブを保護しているパスフ レーズを入力し、[OK] をクリックします。 署名鍵を変更するには、変更する PGP Zip ファイルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリックします。次に、新しい署名鍵を選択します。 完了したら、[保存] をクリックします。 暗号化の種類 (鍵または従来型) を変更するには、変更する PGP Zip ファイルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリックします。次に、暗号化の種類 (鍵または従来型) を選択します。 完了したら、[保存] をクリックします。 PGP Zip アーカイブに受信者を追加するには、変更する PGP Zip ファイルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリックして、[受信者の追加] をクリックします。[受信者の追加] ダイアログ ボックスで、追加する受信者を選択し、[OK] をクリックします。完了したら、[保存] をクリックします。 315 PGP Zip の使用 PGP Desktop for Windows 4 アーカイブから受信者を削除するには、変更する PGP Zip ファイルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリックします。次に、削除する受信者を選択し、[受信者の削除] をクリックします。 完了したら、[保存] をクリックします。 完了したら、[保存] をクリックします。変更を行った PGP Zip アーカイブは、上書きするか、または別名で保存できます。 署名済み PGP Zip アーカイブの検証 署名済み PGP Zip アーカイブを受信したら、送信者の確認や、受け取る前にアーカイブが改ざん されていないことの確認のために、署名を検証する必要があります。 PGP Zip アーカイブを検証するには 1 [PGP Zip] コントロール ボックスをクリックして、[PGP Zip を開く] をクリックします。[開く] ダイアログ ボックスが表示されます。 2 検証する署名済み .pgp ファイルに移動し、ファイルをクリックして、[開く] をクリックします。 (署名に加えて) メッセージが暗号化されている場合は、あなたの秘密鍵のパスフレーズか 、メッセージの暗号化に使用された公開鍵に対応するいずれかの秘密鍵の パスフレーズを求めるメッセージが表示されます。 秘密鍵が鍵リングにない場合は、メッセージを復号化できないことが示さ れます。残念ですが、この場合はアーカイブの検証もできません。[キャン セル] をクリックして検証を終了してください。 3 秘密鍵のパスフレーズを入力し、[OK] をクリックします。 メモ : 秘密鍵のパスフレーズがキャッシュされている場合は、パスフレーズを求 めるメッセージは表示されません。 PGP Zip アーカイブと同じ場所にアーカイブの内容が保存され、検証したアーカイ ブに関する情報が [検証履歴] 画面に表示されます。 4 検証済みのアーカイブのリストを削除するには、[検索履歴のクリア] をクリックします。[検証履歴] 画面にリストされていたすべての履歴が削除されます。 316 15 PGP シュレッダを使用したファ イルの細断処理 データの断片を残さずに機密ファイルを完全に破棄するには、PGP シュレッダ ユーティリティを使用してください。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 PGP シュレッダによるファイルおよびフォルダーの恒久的な削除 ..... 317 PGP 空き領域細断処理アシスタントの使用.......................................... 320 PGP シュレッダによるファイルおよびフォルダーの恒久的な削除 機密ファイルまたはフォルダーを完全に破棄するには、PGP シュレッダ機能を使用します。PGP シュレッダを使用してファイルまたはフォルダーを削除すると、その項目のす べての痕跡が削除されます。 317 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows PGP シュレッダは、ランダムなテキストでデータを上書きすることによって機能し ます。この処理が複数回繰り返されますが、これをパスと呼びます。ファイル を削除する際は、PGP シュレッダ機能が実行するパスの数を設定できます。これには、[環境設定] 画面の [ディスク] パネルを開きます。オプションの設定と環境設定の詳細については、「ディス クのオプション/環境設定 『ページ : 359の"ディスク オプション"参照先 : 』」を参照してください。 細断処理セッションは、指定したパスの数、プロセッサの速度、実行している 他のアプリケーションの数などの要因によって時間がかかることがあります。 メモ : PGP シュレッダを 3 パスに設定すると、米国国防総省 5220.22-M 標準に指定されているのメディア抹消処理要件を上回ります。これ以上のパ スも許可されていますが、最近のディスク ハードウェアでは 2 パス以上は必要ありません。また、28 パス前後までは、細断処理による効果は上がり続けます。PGP シュレッダ機能は、49 パスまで設定できますが、パスが多いほど確実に削除するために必要な時間 が長くなります。 PGP シュレッダには、次のように複数の使用方法があります。 デスクトップの [PGP シュレッダ] アイコンを使用する。このアイコンは、PGP Desktop をインストールすると作成されます。 [ツール] > [ファイルの細断処理] の順に選択し、細断処理するファイルまたはフォルダーを参照して指定す る。 Windows エクスプローラのショートカット メニューを使用する。これには、ファイルを右クリックし、PGP Desktop > [PGP Shred [file name] (PGP 細断処理 <file name>) ] の順に選択します。 PGP 細断処理は次の項目は削除しません。 読み取り専用の Windows システム ファイル。 Windows エクスプローラでサムネイル グラフィックスを表示する際に作成される Thumbs.db ファイルは、特別で、ファイルがシステム属性を持っていても細断処理で きます。 WebDav または Sharepoint ファイル。 削除できるファイルは、ローカル ファイルで CIFS 共有ファイルです。 削除できないファイルを含むディレクトリ。 318 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows すでにファイルやプログラムのデータを削除した後では、その空きディスク領 域に対して PGP Desktop の PGP 空き領域細断処理アシスタントを使うことにより、ファイルの痕跡を消去する ことができます。 NTFS などのジャーナリング ファイル システムでは、PGP 空き領域抹消アシスタントを使用することをお勧めします。このようなファイ ル システムで、ファイル システム ジャーナル内のディスクに書き込まれたすべての内容に対してコピーが作成さ れるためです。このコピー機能は、損傷したディスクの修復時には役立ちます が、機密データを削除するときには注意が必要になります。ファイルを細断処 理しても、作成されたジャーナルのエントリは削除されないからです。特に NTFS では、内部データ構造に 1K 未満の小さなファイルが保存されることがあります。これは、PGP 空き領域抹消アシスタントの [NTFS 内部データ構造の完全削除] オプションを使用しないと適切に削除できません。 ヒント : このほか、一時ファイルなど、ディスクの別の場所に留まる可能性があるデ ータの存在も考慮する必要があります。このことから、PGP Whole Disk Encryption を使用して、コンピューター上のすべてのデータを保護することを検討して ください。 デスクトップの [PGP シュレッダ] アイコンを使用したファイルの細断処理 デスクトップの [PGP シュレッダ] アイコンを使用してファイルを細断処理するには 1 細断処理するファイルまたはフォルダーをドラッグし、[PGP シュレッダ] アイコンにドロップします。選択したファイルやフォルダーを細断処理 (完全削除) するかどうかをたずねる確認ダイアログ ボックスが表示されます。 2 [はい] をクリックします。これで、ファイルが完全に削除されます。 PGP Desktop 内のファイルの細断処理 PGP Desktop でファイルを完全削除するには、次の手順に従います。 1 PGP Desktop のメイン アプリケーション ウィンドウで、[ツール] > [ファイルの完全削除] を選択します。[開く] ダイアログ ボックスが表示されます。 319 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows 2 細断処理するファイルを選択し、[開く] をクリックします。選択したファイルやフォルダーを細断処理 (完全削除) するかどうかをたずねる確認ダイアログ ボックスが表示されます。 3 [はい] をクリックします。これで、ファイルが完全に削除されます。 Windows エクスプローラでのファイルの細断処理 Windows エクスプローラで右クリックしてファイルを細断処理するには 1 Windows エクスプローラで、細断処理するファイルまたはフォルダーを右クリック します。選択したファイルやフォルダーを細断処理 (完全削除) するかどうかをたずねる確認ダイアログ ボックスが表示されます。 2 [はい] をクリックします。これで、ファイルが完全に削除されます。 PGP 空き領域細断処理アシスタントの使用 ディスクの空き領域を完全削除するには、次の手順に従います。 1 PGP Desktop が開いている場合、[ツール] > [PGP 空き領域の完全削除] を選択します。PGP 空き領域細断処理アシスタントの最初の画面が表示されます。 2 情報に目を通し、[次へ] をクリックしてください。[Gathering Information (情報を収集しています) ] ダイアログ ボックスが表示されます。 3 [ドライブの細断処理] フィールドで、細断処理するディスクまたはボリュームと、PGP 空き領域細断処理で実行するパスの数を選択します。 データを確実に削除するには、PGP 細断処理の 3 パスで十分ですが、パス数は 49 まで指定できます。パス数を選択する際には、次のガイドラインを参考に してください。 個人ユーザーで 3 パス。 商用で 10 パス。 軍事用で 18 パス。 320 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows 4 最大限のセキュリティ : 26 パス NTFS 内部データ構造を細断処理するかどうかを選択してください。このオプシ ョンは、一部のコンピューターでは使用できません。 注意 : すでに選択したパーティションがブート パーティションではない場合は、内部 NTFS データ構造を上書きして細断処理を行うオプションを選択できます。NTF S 内部データ構造には、データの削除後も、その痕跡が残る可能性があるた めです。空き領域細断処理操作の進行中はパーティションの容量がすべて 使用されるため、ディスクを使用する操作は一切行わないでください。ま た、NTFS 内部データ構造に空きがある場合、その一部はドライブの空き領域として 認識されないことがありますが、このオプションを使うとそのような空き 領域のデータも細断処理できます。なお、この細断処理操作に伴うディス クへの悪影響は、一切ありません。 5 [次へ] をクリックします。 選択したドライブまたはボリュームに関する統計情報を含む [完全削除の実行] ダイアログ ボックスが表示されます。 6 次のいずれか 1 つを実行します。 空き領域細断処理をすぐに開始するには、[Begin Shred (細断処理の開始) ] をクリックします。PGP 空き領域完全削除アシスタントが、指定されたディスクまたはボリュ ームをスキャンし、消されたデータの痕跡を細断処理します。 完了すると、[Perform Shred (細断処理の実行) ] 画面の最下部に、選択したドライブのデータが細断処理されたことを示 すメッセージが表示されます。 空き領域細断処理の実行時間を設定するには、[スケジュール] をクリックします。PGP 空き領域細断処理のスケジュールを設定するときに Windows タスク スケジュールを使用すること、また、ジョブの実行には Windows ログイン パスワードが必要であることを示すメッセージが表示されます。 ジョブのスケジュールを設定するには、[OK] をクリックし、[PGP Enter Confirmed Passphrase (PGP 確認パスフレーズの入力) ] ダイアログ ボックスに Windows ログイン パスワードを入力して、スケジュール設定情報を入力します。 ジョブを取り消し、[Perform Shred (細断処理の実行) ] ダイアログ ボックスに戻るには、[キャンセル] をクリックします。 7 [次へ] をクリックします。[Completing (完了) ] ダイアログ ボックスが表示されます。 321 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows 8 [完了] をクリックします。 空き領域の細断処理のスケジュール設定 Windows タスク スケジューラを使用すると、コンピューターの空き領域にあるデータを定期的 に細断処理するように設定できます。 空き領域の細断処理のスケジュールを設定するには 1 [Perform Shred (細断処理の実行) ] ダイアログ ボックスが表示されるまで、「PGP 空き領域完全削除アシスタントの使用 『ページ : 320の"PGP 空き領域細断処理アシスタントの使用"参照先 : 』」の手順に従ってください。 2 [スケジュール] をクリックします。 3 PGP 空き領域細断処理のスケジュールを設定するときに Windows タスク スケジュールを使用すること、また、ジョブの実行には Windows ログイン パスワードが必要であることを示すメッセージが表示されます。続行する には、[OK] をクリックします。[PGP Enter Confirmed Passphrase (PGP 確認パスフレーズの入力) ] ダイアログ ボックスが表示されます。 4 最初のフィールドに Windows ログイン パスワードを入力し、確認用に同じパスワードを 2 番目のフィールドに入力してから、[OK] をクリックします。[Windows タスク スケジュール] ダイアログ ボックスが表示されます。 5 次に示す [Schedule Task (タスクのスケジュール) ] 領域で、タスクを実行する頻度を指定します。 日単位 : 指定した日時にタスクが 1 回実行されます。[OK] をクリックしてダイアログ ボックスを閉じ、各指定日でタスクを実行する時刻を [開始時刻] テキスト ボックスに入力します。 週単位 : 数週間おきに、指定した曜日と時刻にタスクが実行されます。表示さ れているテキスト ボックスに、何週間おきに細断処理を実行するかを入力し、[タスクの スケジュール (週単位) ] から曜日を選択します。 月単位 : 数カ月おきに、指定した日時にタスクが実行されます。表示されてい るテキスト ボックスに時刻を入力し、タスクを実行する日を次に入力します。[実 行する月の選択] をクリックし、タスクを実行する月を指定します。 322 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows 1 回だけ実行 : 指定した日時に 1 回だけタスクが実行されます。表示されているテキスト ボックスに時刻を入力し、[開始日] テキスト ボックスのリストから月と日を選択します。 コンピューター起動時 : コンピューターの起動時にのみ、タスクが実行されます。 ログオン時 :コンピューターにログオンしたときにタスクが実行されます。 アイドル状態時にタスクを実行 : [分] テキスト ボックスに指定した間コンピューターがアイドル状態になったときに 、タスクが実行されます。 6 [開始時刻] フィールドに、タスクを開始する時刻を入力します。 7 [タスクのスケジュール (日単位) ] フィールドに、タスクを実行する頻度を指定します。 8 [詳細設定] をクリックすると、タスクの開始日や終了日、期間などの追加オプション を選択するためのダイアログ ボックスが開きます。 9 [OK] をクリックします。確認のダイアログ ボックスが表示されます。 これで、新しい PGP フォルダーまたは空き領域の抹消タスクのスケジュールが設定されました。タ スクを編集または削除するには、Windows タスク スケジューラを使用してください。 323 16 スマート カードおよびトークンへの 鍵の保存 PGP Desktop 環境下では、スマート カードまたはトークン上に PGP 鍵ペアを作成したり、コピーしたりすることができます。このような持ち運び 可能なデバイスに PGP 鍵ペアを保管しておくと、コンピューター内に鍵ペアを保存する必要がありま せん。また、移動先でも PGP 鍵ペアを手元に置いておけるので、鍵ペアの脆弱性を軽減し、より強固なセキ ュリティを確保することができます。このセクションでは、PGP Desktop とスマート カードを併用する方法について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 この章の内容 スマート カードおよびトークンについて ............................................. 326 スマート カードのプロパティの確認 .................................................... 330 スマート カード上での PGP 鍵ペアの生成 ........................................... 330 スマート カードから鍵リングへの公開鍵のコピー .............................. 332 鍵リングからスマート カードへの鍵ペアのコピー .............................. 333 スマート カードからの鍵の抹消 ........................................................... 335 複数のスマート カードの使用 ............................................................... 336 トークンの特別使用............................................................................... 337 325 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows スマート カードおよびトークンについて PGP Desktop でスマート カードを使用するには、互換性のあるスマート カード リーダーを用意します。また、スマート カードとトークンのいずれを使用する際にも、適切なソフトウェア ドライバをあらかじめコンピューターにインストールしておいてください。ド ライバには PKCS-11 (暗号化トークン インターフェイス規格) ライブラリが含まれている必要があります。 ソフトウェア ドライバには、使用するスマート カードまたはトークンの製造会社が提供しているものを使用してください。 PGP Desktop は、さまざまな種類のスマート カードを認識します。たとえば、Athena、AET SafeSign、Axalto (旧 Schlumberger) 、SafeNet (旧 Rainbow) 、Aladdin、GemPlus 製のスマート カードをサポートしています。また、ActivCard Gold 2.0 プロファイルを含む米国国防総省共通アクセス カードもサポートしています。 上記以外にも、ソフトウェア ドライバに標準規格に基づいた PKCS-11 ライブラリを備えている製造会社のスマート カードも使用できます。ある製造会社の PKCS-11 ライブラリがコンピューターにインストールされており、これが Mozilla Firefox や Thunderbird などの他の PKCS-11 対応アプリケーションで正しく使用できれば、PGP Desktop でも使用できる可能性があります。 PGP 鍵ペアを作成してスマート カードに保存した際には、パスフレーズではなくスマート カードの PIN を使用して秘密鍵にアクセスします。また PGP Desktop は、キーパッドやバイオメトリック デバイスなどを使用して、認証を独自に処理するスマート カードもサポートします。PGP Desktop でパスフレーズのダイアログ ボックスが表示されたら、パスフレーズを入力せずに [OK] をクリックしてください。これにより、デバイス独自の認証方法が使用されま す。 メモ : スマート カード上に鍵ペアを生成すると、その秘密部分はエクスポートすることがで きないので、デバイス内にのみ留まります。復号化と署名はデバイス上で直 接行われます。スマート カード上に直接鍵ペアを生成するのではなく、コンピューター上で鍵ペアを 生成してからその鍵ペアをスマート カードにコピーする場合は、鍵ペアの秘密部分もコンピューターからエクス ポートできます。 326 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 米国国防総省共通アクセス カード 米国国防総省共通アクセス カード (CAC) の仕組みは、他のスマート カードとは多少異なります。これらのカードは読み取り専用であり、署名用と 暗号化用に別個の証明書が用意されています。PGP Desktop は、使用目的に基づいてこの 2 つの証明書を選別します。たとえば、ファイルの署名用の鍵を選択するように 求めるメッセージが表示された場合は、CAC の署名用証明書のみが一覧表示されます。 JavaCard Axalto スマート カードは JavaCard です。このカード上では、Java アプレットと呼ばれる小さな Java モジュールが実行されます。また、スマート カードの動作や設定を変更するさまざまなアプレットを実行するよう設定する ことができます。これをパーソナライゼーションと呼びます。JavaCard を PGP Desktop で使用する際は、使用できるパーソナライゼーション プロファイルは数が限られています。 また、これらのパーソナライゼーション プロファイルを PGP Desktop で使用するには、多少の変更が必要です。以下に具体的に説明します。 プロファイルは PKCS-11 サポートを有効にしている必要があります。ほとんどの場合、PKCS-11 をサポートするプロファイルのタイトルには、「Netscape」または「Entru st」という名前が表示されます。 PGP Desktop 鍵 1 つにつき、PKCS-11 秘密鍵は少なくとも 2 つ使用されます。そのため PGP Desktop で正しく使用できるようにするには、プロファイルで利用できる秘密鍵の 最大数を 2 つ以上に設定してください。 詳細については、お使いの JavaCard のマニュアルを参照してください。 互換性のあるスマート カード PGP Desktop は以下のカードを識別し、動作します。 ActivCard Gold 2.0 プロファイルを備えた米国国防総省共通アクセス カード (CAC) : ActivCard Gold 2.0 プロファイルの詳細については、ActivCard の Web サイト 『www.activcard.com』を参照してください。 ASEKey 1.0 を含む AET SafeSign スマート カード。AET SafeSign が提供するスマート カードの詳細については、Cryptoshop の Web サイト 『www.cryptoshop.com』を参照してください。 327 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows eToken PRO USB 16K、32K、および 64K などの Aladdin スマート カード、Aladin eToken NG-OTP 32K、eToken PRO Java :Aladdin eToken 製品の詳細については、Aladdin Support の Web サイト 『http://www.aladdin.com/support/default.asp』を参照してください。 ASEKey USB トークンなどの Athena Smart Card Solutions スマート カード :Athena Smart Card Solutions が提供するスマート カードの詳細については、Athena Smart Card の Web サイト 『www.athena-scs.com』を参照してください。 Cryptoflex 32K などの Axalto (旧称 Schlumberger) スマート カード : Axalto が提供するスマート カードの詳細については、Axalto の Web サイト 『www.axalto.com』を参照してください。 Axalto Cyberflex Access 32K V2 :Axalto が提供するスマート カードの詳細については、Axalto の Web サイト 『www.axalto.com』を参照してください。 EMC RSA SecurID SID800 トークン (v1 および 2) :EMC が提供するトークンの詳細については、EMC/RSA の Web サイト 『http://www.rsa.com/』を参照してください。 Gemalto .NET v2 スマート カード :Gemalto スマート カードの詳細については、Gemalto の Web サイト 『http://www.gemalto.com』を参照してください。 SafesITe および GemXpresso Pro など、GemSafe Libraries 4.2.0-015 (Gold) を使用する GemPlus スマート カード。GemPlus が提供するスマート カードの詳細については、GemPlus の Web サイト 『www.gemplus.com』を参照してください。 ActivClient バージョン 6.1 クライアント ソフトウェアを使用した Giesecke and Devrient Sm@rtCafe Expert 3.2 個人識別確認カード :G&D の PIV カードの詳細については、Giesecke and Devrient Web サイト 『http://www.gi-de.com/』を参照してください。 ActivClient バージョン 6.1 クライアント ソフトウェアを使用した Oberthur ID-One Cosmo V5.2 個人識別確認カード :Oberthur が提供する PIV カードの詳細については、Oberthur の Web サイト 『http://www.oberthurcs.com/index.aspx』を参照してください。 iKey 2032 を含む SafeNet スマート カード (PGP Desktop は SafeNet iKey 1000 または 4000 とは互換性がありません) :SafeNet が提供するスマート カードおよび USB トークンの詳細については、SafeNet の Web サイト 『www.safenetinc.com/products/tokens/index.asp』を参照してください。 T-Systems Telesec NetKey 3.0 および TCOS 3.0 IEI カード :T-Telesec NetKey スマート カードの詳細については、T-Systems の Web サイト 『www.t-systems.com』を参照してください。 328 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows PGP Desktop では、ソフトウェア ドライバーに標準規格に基づいた PKCS-11 ライブラリを備えている他の製造会社のスマート カードも使用できます。 標準規格以外のスマートカードが PGP Desktop で正しく動作しない場合は、スマート カードをコンピューターに接続しても [PGP 鍵] コントロール ボックスに [スマート カード鍵] と表示されません。 スマート カードの認識 PGP Desktop で使用したいスマート カードのプロパティを調べたり、スマート カード上に PGP 鍵ペアを生成する前に、システムで使用できるスマート カードを PGP Desktop が認識することを確認する必要があります。 以下は、そのための一般的な要件です。 スマート カードの PKCS-11 をサポートするソフトウェア ドライバが、コンピューターにインストールされていることを確認します 。 スマート カードがコンピューターに装着されていることを確認します。USB トークンを使用する際は、通常 USB ポートに挿入します。またスマート カードは、適切なスマート カード リーダーに挿入してください。 ドライバをインストールし、スマート カードを装着したら、PGP Desktop がシステムを認識するかどうかを検証します。検証する方法は、次の 2 とおりです。 PGP Desktop でスマート カードが認識されるかどうかを調べるには、PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックします。[PGP 鍵] コントロール ボックスの [すべての鍵] の下に [スマート カード鍵] が表示されると、コンピューター上のスマート カードが認識されていることを示しています。 上の方法より少し複雑になりますが、PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[ファイル] メニューの [新規 PGP 鍵] から選択する方法もあります。[PGP 鍵生成アシスタント] 画面が表示されたら、画面の下部を確認します。トークンに鍵を生成の場 合 :<smart card information> チェックボックスが使用できる状態になっていれば (アクティブになっていれば)、コンピューター上のスマート カードが認識されています。この方法では、PGP Desktop がコンピューター上で認識したスマート カードに関する情報も確認でき、最初に述べた方法より便利です。 329 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows スマート カードのプロパティの確認 PGP Desktop 画面では、スマート カードに保存されている PGP 鍵は、カード上に鍵が表示された特別なアイコンで示されます。この PGP 鍵のプロパティを表示すると、製造会社名、シリアル番号、サポートされてい る鍵の種類など、スマート カードに関する情報を確認することができます。 スマート カードのプロパティを表示するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 プロパティを表示する鍵をハイライトします。 [鍵] > [スマート カードのプロパティ] の順に選択します。[PGP スマート カードのプロパティ] ダイアログ ボックスに、鍵が保存されているスマート カードについて以下の情報が表示されます。 4 製造会社名 スマート カードのモデル スマート カードのシリアル番号 カードに保存できる PGP 鍵の種類や PIN に含めることのできる文字数などのスマート カードの機能 現在スマート カードに保存されている、サブ鍵を含む秘密鍵の合計数 [OK] をクリックします。 スマート カード上での PGP 鍵ペアの生成 スマート カード上に PGP 鍵ペアを生成するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 330 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 3 [PGP 鍵] コントロール ボックスをクリックします。スマート カードが検出されると、[PGP 鍵] コントロール ボックスに [スマート カード鍵] が表示されます。 4 [ファイル] > [新規 PGP 鍵] の順に選択します。PGP 鍵生成アシスタントの [Introduction (ようこそ)] ダイアログ ボックスが表示されます。 PGP Desktop が一度に認識できるソフトウェア ドライバは、同一のスマート カード製造会社の製品に限られます。複数の製造会社のソフトウェア ドライバがコンピューターにインストールされている場合は、PGP Desktop で使用する製造会社のスマート カードを指定する必要があります。詳細については、「複数のスマート カードの使用 『ページ : 336』」を参照してください。 5 [トークン上に鍵を生成 : [スマート カードまたはトークンの名前]] チェックボックスをオンにして [次へ] をクリックします。名前と電子メールの割り当て ダイアログ ボックスが表示されます。 6 [フルネーム] フィールドに自分の名前を入力し、[一次電子メール] フィールドに電子メール アドレスを入力します。この暗号鍵に電子メール アドレスを複数設定する場合は、[詳細] をクリックし、[その他のアドレス] フィールドに電子メール アドレスを入力してください。 ヒント : 実名や電子メール アドレスの入力は必須ではありません。実名と電子メール アドレスを使うと、他のユーザーにとって公開鍵の所有者が識別しやすく なります。 7 詳細な鍵設定を指定するには、[Advanced (詳細設定)] をクリックします。[鍵詳細設定] ダイアログ ボックスが表示されます。次の設定を指定します。 鍵タイプ : RSA (Diffie-Hellman/DSS 鍵はサポートされていません) 鍵のサイズ : 1028 から 2048 まで 有効期限 : 無期限または日付を指定 使用可能アルゴリズム : AES、CAST、TripleDes、IDEA、Twofish 優先アルゴリズム : 使用可能アルゴリズムのいずれかを選択 使用可能なハッシュ : SHA-2-256、SHA-2-384、SHA-2-512、RIPEMD160、SHA-1、MD-5 使用するハッシュ : 使用可能ハッシュのいずれかを選択 設定によっては、使用するスマート カードでサポートしていないために使用できない場合があります。 [OK] をクリックして設定を保存し、[鍵詳細設定] ダイアログ ボックスを終了します。 331 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 8 [次へ] をクリックします。 9 [パスフレーズの割り当て] ダイアログ ボックスで、スマート カードに対応する PIN を入力します。PIN が暗号鍵のパスフレーズとなります。通常、セキュリティ強化のため、入 力するパスフレーズの文字は画面に表示されません。ただし、入力時に誰 にも見られていないことがわかっていれば、[キー操作の表示] チェックボックスをオンにして、パスフレーズの文字を表示できます。 10 [次へ] をクリックすると、鍵生成処理が開始されます。新しい鍵ペアが、スマー ト カード上に直接生成されます。この処理には数分かかる場合があります。 11 鍵の生成が完了したら、[次へ] をクリックします。作成した鍵の公開鍵部分を PGP Global Directory に追加するように求められます。 12 画面上のメッセージを読み、次のいずれかの操作を行います。 13 公開鍵を PGP Global Directory に通知するには、[次へ] をクリックします。 公開鍵が PGP Global Directory に通知されないようにするには、[省略] をクリックします。 [完了] をクリックします。以上で、新しい鍵ペアが、スマート カード上に直接生成されます。 鍵ペアの秘密部分はスマート カードのみに保存されるため、スマート カードをコンピューターから取り外すと、公開鍵のみが鍵リングに残ります。 このため、鍵ペアのアイコンが 1 つの鍵に変化し、鍵ペアの秘密部分がコンピューター上にないことを示します 。 スマート カードから鍵リングへの公開鍵のコピー 暗号鍵をスマート カードに保存しておくと、実際にコンピューターまで行き、システムの PGP Desktop 鍵リングに、鍵ペアの公開部分を自動的にコピーできます。なおコピー先のコ ンピューターには、互換性のあるスマート カード リーダーまたは USB 空きポートが装備されており、PGP Desktop と適切なドライバがインストールされている必要があります。 332 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 公開鍵をスマート カードから別のユーザーの鍵リングにコピーするには、次の操作を行います 。 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 暗号鍵が PGP Desktop に表示されるまで待ちます。公開鍵がコンピューターに自動的にコピーさ れると、その公開鍵が PGP Desktop 内に表示されます。 4 スマート カードをコンピューターから取り出します。これで、公開鍵がそのコンピ ューターに保存されます。 鍵リングからスマート カードへの鍵ペアのコピー PGP Desktop を使うと、既存の鍵ペアをコンピューターからスマート カードにコピーできます。この機能は、鍵ペアのバックアップ作成や公開鍵の 配布時に便利です。スマート カードにコピーできるのは、RSA 鍵のみです。 メモ : ただし、Diffie-Hellman/DSS 鍵をスマート カードにコピーすることはできません。 スマート カードに鍵ペアをコピーする操作は、スマート カード上に鍵ペアを直接作成する操作とは異なります。直接作成する操作は、 スマート カードでは利用できません。鍵ペアを直接スマート カード上に作成した場合、秘密鍵を使用するには、その鍵ペアが入っているカ ードをコンピューターに差し込む必要があります。 スマート カードにコピーする既存の鍵ペアがある場合、鍵ペアの秘密部分は、コンピュ ーターから削除しない限りスマート カードとコンピューターの両方に保存されます。 既存の鍵ペアをスマート カードにコピーする主な理由は次の 2 つです。 コンピューター上の鍵ペアをバックアップしたり、公開鍵をスマート カードから他のユーザーの鍵リングにコピーしたりする。この場合、同じ 秘密鍵のコピーを 2 つ持つことになります。1 つは最初に作成したコンピューター上に、もう 1 つはスマート カード上に保存されます。 333 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows スマート カード上に直接作成したときのように、これを唯一の秘密鍵として使用す る。この場合は、PGP Desktop のオプションを使用して、秘密鍵をコンピューターから削除してください 。PGP 鍵ペアをコンピューター上に作成した後で、セキュリティ強化のためにス マート カードを使用して鍵ペアを管理する場合において、かつ新しい鍵ペアの作 成を行わないときに、コンピューターから秘密鍵を削除するオプションを 選択します。 PGP 鍵ペアをスマート カードにコピーすると、スマート カード上の鍵ペアのパスフレーズは、自動的にスマート カードの PIN になります。ただし、コンピューター上にあるコピー元の鍵ペアのパスフレー ズは変わりません。パスフレーズがそれぞれ異なる同一の鍵ペアが、2 つ存在することになります。 コンピューターから秘密鍵を削除し、スマート カード上の秘密鍵のみを保持しておく際には、その秘密鍵のパスフレーズとし てスマート カードの PIN を使用します。 既存の PGP 鍵ペアをスマート カードにコピーするには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 コピーする鍵ペアを右クリックし、[追加先] > [スマート カード鍵] の順に選択します。コピー後、コピーした鍵ペアの PGP パスフレーズが、スマート カードの PIN に自動的に変更されるという警告ダイアログ ボックスが表示されます。 4 [OK] をクリックして続行します。[PGP Enter Passphrase (PGP パスフレーズの入力)] ダイアログ ボックスが表示されます。 5 暗号鍵のパスフレーズを入力し、[OK] をクリックします。[PGP Enter Passphrase (PGP パスフレーズの入力)] ダイアログ ボックスが表示されます。 6 スマート カードの PIN を入力し、[OK] をクリックします。鍵ペアがスマート カードにコピーされます。コンピューター上の鍵ペアの秘密鍵を鍵リング から削除して、スマート カード上にのみ保存するかどうかを尋ねるダイアログが表示されます。 7 次のいずれか 1 つを実行します。 334 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 鍵リングから鍵ペアの秘密部分を削除するには、[はい] をクリックします。鍵ペアの秘密部分がコンピューター上の鍵リング から削除され、スマート カード上にあるものが唯一の秘密鍵になります。 鍵リングに鍵ペアの秘密部分を残すには、[いいえ] をクリックします。秘密部分は削除されません。この場合、同じ鍵ペ アが 2 つ、コンピューター上とスマート カード上に 1 つづつ存在することになります。 スマート カードからの鍵の抹消 スマート カードに保存されているすべてのデータを削除するには、[PGP スマート カードのプロパティ] ダイアログ ボックスから[Wipe Contents (データの抹消)] 機能を使用します。 スマート カード上のデータを抹消するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 [PGP 鍵] ボックスで、[スマート カード鍵] を選択します。スマート カード上の PGP 鍵が表示されます。 4 データを抹消するスマート カードまたはトークンを選択します。 5 [鍵] > [Wipe Smart Card (スマート カードからのデータの抹消)] の順に選択します。スマート カードまたはトークン上にある鍵をすべて削除するかどうかを確認するメ ッセージが表示されます。 6 [OK] をクリックします。[PGP Enter Passphrase (PGP パスフレーズの入力)] ダイアログ ボックスが表示されます。 7 このスマート カードの PIN を入力します。通常、セキュリティ強化のため、入力するパスフレーズの 文字は画面に表示されません。ただし、入力時に誰にも見られていないこ とがわかっていれば、[キー操作の表示] チェックボックスをオンにして、パスフレーズの文字を表示できます。 8 [OK] をクリックします。これで、スマート カード上に保存されている鍵がすべて削除されます。 335 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 複数のスマート カードの使用 PGP Desktop は、さまざまな製造会社のスマート カードをサポートしています。ただし、同時に使用できるのは、同じ製造会社 のスマート カードだけです。 PGP Desktop を起動すると、特定の製造会社のスマート カードをサポートするソフトウェア ドライバがコンピューター上で検索されます。条件に合ったソフトウェア ドライバが見つかると、その製造会社のスマート カードを使用するものとして、見つかったドライバが読み込まれます。 ある製造会社のソフトウェア ドライバだけがコンピューターにインストールされている場合は、何も問題は ありません。PGP Desktop によってそのソフトウェア ドライバが自動的に検出され、対応する製造会社のスマート カードが使用できるようになります。カードの認識とドライバの検索は自動的 に行われるので、特別な操作は必要ありません。 ただし、場合によっては、複数の製造会社によるスマート カードを使用することが必要になることがあります。こうした状況が発生し、 複数の製造元によるソフトウェア ドライバがコンピューターにインストールされている場合、使用するスマート カードを PGP Desktop に伝える必要があります。そうしないと、PGP Desktop はどのソフトウェア ドライバを使用したらよいか判断できず、希望のものが選択されるとは限りま せん。 使用するスマート カードのソフトウェア ドライバを指定するには 1 PGP Desktop を開きます。 2 [ツール] > [PGP オプション] の順に選択します。[PGP オプション] ダイアログ ボックスが表示されます。 3 [鍵] タブをクリックします。 4 [同期化] セクションで、[スマート カードおよびトークンに同期] リストから使用するソフトウェア ドライバの製造会社を選択します。 コンピューター上に 1 つの製造会社のソフトウェア ドライバしかインストールされていない場合は、デフォルト設定の [自動的] を使用します。 スマート カードをまったく使用しないようにするには、[なし] を選択します。 336 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows リストにない製造会社を指定するには、[その他] を選択します。[スマート カード ドライバの選択] 画面が開きます。この画面で、適切なスマート カードの製造会社のソフトウェア ドライバである DLL ファイルを選択し、[開く] をクリックします。これで、選択したソフトウェア ドライバがサポートしているスマート カードを使用できるようになります。 この時点で PGP Desktop では、選択された製造会社のスマート カードが使用されるものと判断します。製造会社の異なるスマート カードをコンピューターに追加した場合、PGP Desktop にはそのスマート カードは認識されません。別のスマート カード製造会社に変更するには、上記の手順を実行する必要があります。 トークンの特別使用 コンピューターのブート ドライブがディスク全体暗号化で保護されている場合、PGP Desktop では起動時の認証に Aladdin eToken Pro USB トークンが使用されます。PGP ディスク全体暗号化を使用したブート ドライブの保護の詳細については、「PGP ディスク全体暗号化によるディスクの保護 『ページ : 161』」を参照してください。このときに使用できるのは Aladdin eToken Pro USB トークンのみです。このトークンの設定方法については、「Aladdin eToken の設定 『ページ : 337』」を参照してください。 Aladdin eToken の設定 PGP Desktop for Windows の PGP ディスク全体暗号化機能でトークンを使用するときは、PGP 鍵ペアを格納した Aladdin eToken Pro USB トークンが必要です。 PGP ディスク全体暗号化で使用する Aladdin eToken Pro USB トークンを作成するには 1 Aladdin eToken Pro USB トークンを入手します。ディスク全体暗号化に使用できるのはこのトーク ンだけです。対応しているモデルは、16K、32K、64K の 3 つです。16K モデルと 32K モデルは 1,024 ビットの鍵を、64K モデルは 2,048 ビット以下の鍵をそれぞれサポートしています。 337 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 2 Aladdin の適切なドライバー ソフトウェアがコンピューターにインストールされていることを確認して ください。Aladdin ドライバーの詳細については、「Aladdin eToken に必要なドライバー 『ページ : 182』」を参照してください。 ドライバー ソフトウェアをインストールすると、PGP Desktop の [PGP 鍵] コントロール ボックスに [スマート カード鍵] と表示されます。 3 PGP Desktop for Windows を開く 4 Aladdin eToken に鍵ペアを作成するか、ショートカット メニューの [追加先] を使用してトークンに既存の鍵ペアをコピーします。鍵ペアの作成手順に ついては、「スマート カード上での PGP 鍵ペアの作成 『ページ : 330の"スマート カード上での PGP 鍵ペアの生成"参照先 : 』」を参照してください。また、鍵ペアのコピー手順については、「鍵リ ングからスマート カードへの鍵ペアのコピー 『ページ : 333』」を参照してください。 既存の鍵ペアをトークンに送信する場合は、1024 ビットまたは 2048 ビットの RSA 鍵であることが必要です。Aladdin eToken Pro トークンでは、現在その他の鍵サイズおよび DH/DSS 鍵をサポートしていません。 トークン上に鍵ペアを作成するか、既存の鍵ペアをトークンにコピーする と、鍵ペアのパスフレーズがトークンの PIN に変わります。Aladdin eToken Pro トークンのデフォルトの PIN は 1234567890 です。この PIN は事前に設定されたものなので、Aladdin ソフトウェアで必ず変更してください。 5 これで、PGP のディスク全体暗号化で Aladdin eToken 上の PGP 鍵ペアを使用できます。 338 A PGP Desktop オプションの設定 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 PGP Desktop は、多様なニーズを満たすように設定されていますが、必要に応じて一部の設 定を調整することもできます。このセクションでは、PGP Desktop で設定できるオプションについて説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 339 PGP Desktop オプションの設定 PGP Desktop for Windows この章の内容 [PGP オプション] ダイアログ ボックスへのアクセス........................... 341 全般オプション...................................................................................... 342 鍵オプション ......................................................................................... 344 マスター鍵オプション ........................................................................... 348 メッセージング オプション................................................................... 350 PGP NetShare オプション ..................................................................... 357 ディスク オプション.............................................................................. 359 通知機能オプション............................................................................... 362 詳細オプション...................................................................................... 364 340 PGP Desktop オプションの設定 PGP Desktop for Windows [PGP オプション] ダイアログ ボックスへのアクセス このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 [PGP オプション] にアクセスするには 1 次のいずれか 1 つを実行します。 Windows のシステム トレイの [PGP トレイ] アイコンをクリックし、[オプション] を選択します。 PGP Desktop を開いて、[ツール] > [PGP] [オプション] の順に選択します。 2 タブを選択して、必要な変更を加えます。特定のタブで操作を終えたら、 別のタブを選択します。 3 変更を保存して終了するには、[OK] をクリックします。また、変更を取り消すには、[キャンセル] をクリックします。 341 PGP Desktop オプションの設定 PGP Desktop for Windows 全般オプション このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 [全般] タブでは、PGP Desktop 全体に関わるさまざまな設定を行います。 [環境設定] ダイアログ ボックスの [全般] タブには、次のオプションがあります。 PGP アイコンを Windows システム トレイに表示。このチェック ボックスをオンにすると、PGP Desktop がアクティブになっているとき、Windows システム トレイに [PGP] アイコンが表示されます。[PGP トレイ] アイコンからは、PGP Desktop のさまざまな機能にすばやくアクセスすることができます。[PGP] アイコンが Windows システム トレイに表示されないようにするには、このチェックボックスをオフにし てください。[PGP] アイコンを復元するには、PGP Desktop を起動し、[ツール] メニューから [PGP オプション] を選択します。[全般] タブにアクセスし、チェックボックスをオンにします。 メモ :PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが必要になることがあります。 Windows システム トレイから [PGP トレイ] アイコンを削除しても、PGP Desktop サービスは遮断されません。Windows システム トレイから [PGP トレイ] アイコンを削除しても、PGP Desktop サービスは継続されます。 342 PGP Desktop オプションの設定 PGP Desktop for Windows PGP サービスを停止するには、[PGP トレイ] アイコンをクリックします。表示されるコマンドの一覧から [Stop PGP Services (PGP サービスの停止)] を選択します。警告ダイアログ ボックスが表示されます。ここで、PGP サービスを停止することを確認する必要があります。 メモ : 必要がないかぎり、PGP Desktop サービスを停止しないでください。 [My Passphrase (マイ パスフレーズ)] :パスフレーズを保存するオプションがあります。 パスフレーズを現在の Windows セッションで保存する。 コンピューターをログオフするまで、パスフレーズがメモリに自動的 に保存されます。これをパスフレーズのキャッシュといいます。この オプションを有効にすると、公開鍵ごとに 1 回、パスフレーズの入力を要求するメッセージが表示されます。その 後は、コンピューターをログオフするまで、同じ鍵のためにパスフレ ーズを入力する必要はありません。 注意 : このオプションをオンにしたら、コンピューターから離れるときには必ず ログオフしてください。ログオフしないと、パスフレーズがキャッシュに 残ったままになる可能性があります。そのため、コンピューターから離れ ている間に、他のユーザーに鍵を使用され、暗号化したメッセージを解読 されたり、メッセージを暗号化されたりする可能性があります。コンピュ ーターに長時間ログオンすることが多い場合は、他のパスフレーズ キャッシュ オプションを選択してください。 Save my passphrase for X (hh:mm:ss) (パスフレーズを保存する期間 (時 : 分 : 秒))。パスフレーズが指定した期間だけメモリに保存されます。この オプションをオンにすると、初回だけ署名と復号化の際にパスフレー ズを入力するよう求めるメッセージが表示されます。その後は、指定 した期間が経過するまで、パスフレーズを入力する必要がなくなりま す。デフォルト設定は、00:02:00 (2 分) です。 [Do not save my passphrase (自分のパスフレーズを保存しない)] :パスフレーズがメモリに保存されなくなります。このオプションを有 効にすると、パスフレーズが必要となる操作を実行するたびにパスフ レーズの入力が必要になります。 パスフレーズを保存しないと選択した場合でも、PGP NetShare に追加されたフォルダー内のすべてのファイルにアクセスするためにパ スフレーズを一度だけ入力するように求められるだけです。 製品の言語。このオプションを使用すると、PGP Desktop ユーザー インターフェイスの言語を選択することができます。ドロップダウン リストから、次のオプションを選択してください。選択肢は、英語 (デフォルト)、ドイツ語、フランス語、日本語、およびスペイン語です。 343 PGP Desktop オプションの設定 PGP Desktop for Windows メモ : 言語を変更したら、コンピューターからログオフし、再度ログインしてく ださい。 更新を確認する間隔。 指定した間隔でソフトウェア更新の確認が自動的に行われます。デフォル トは 1 日です。新しいバージョンの PGP Desktop が公開されている場合は、通知画面が表示され、ダウンロードできるよう になります。このオプションをオフにすると、ソフトウェア更新の自動確 認は行われません。 このオプションには、インターネット接続が必要です。 更新をダウンロードしたら、指示に従って更新をインストールします。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが必要になることがあります。この オプションを有効にすると、PGP Desktop は、関連付けられた PGP Universal Server でアップデートを検索します。 メモ :更新をインストールするには、システムの管理者権限を持っている必要 があります。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが必要になることがあります。この オプションを有効にすると、PGP Desktop は、関連付けられた PGP Universal Server でアップデートを検索します。 鍵オプション このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 344 PGP Desktop オプションの設定 PGP Desktop for Windows このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 [鍵] タブでは、PGP Desktop 鍵の設定を行うことができます。 [鍵] タブでは、以下のオプションを変更できます。 [同期化] :これらの設定では、鍵リングの鍵を共用サーバーとどのように同期化する かを指定します。 [Synchronize with keyservers daily (毎日、鍵サーバーと同期する)] :このオプションを選択すると、PGP Desktop は、鍵リング上の公開鍵を鍵サーバーのリストとの間で同期する処理 を毎日実行します。このリストには、PGP Global Directory が含まれます。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが必要になることがあります。 このオプションがオンのときは、公開鍵が変更されると、新しい公開鍵 が自動的にダウンロードされます。また、鍵サーバーから削除された公 開鍵は、ローカルの鍵リング上でも自動的に無効になります。 345 PGP Desktop オプションの設定 PGP Desktop for Windows PGP Desktop を使用して鍵リング上の鍵ペアに変更を加えても、使用しているコンピ ューターから鍵サーバーにその変更が自動的にアップロードされること はありません。変更した公開鍵を鍵サーバーに手作業でアップロードす る必要があります。公開鍵の変更作業が終了した際に、PGP Desktop により公開鍵のアップロードが要求されます。別な方法で鍵を鍵サーバ ーに送信するには、変更した鍵を右クリックし、表示されるショートカ ット メニューから [Send To (送信)] を選択して、リストから適切な鍵サーバーを選択します。 署名の検証時に自動的に鍵を検索する :このオプションを有効にすると、公開鍵がローカル鍵リングで入手で きない場合に、PGP Desktop が設定済みの鍵サーバーから検証された鍵を検索するように指定でき ます。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションは使用されません。PGP Universal Server では、鍵が検索されるかどうか、また、検出された場合にキャッシュされ るかどうかが定義されます。PGP Universal Server によって管理されている環境で検索された鍵は、鍵リングに保存されませ ん。 公開鍵が見つかった場合は、次の 3 つのオプションがあります。 鍵リングに保存しない。設定されている鍵サーバーで見つかった 公開鍵は、現在対処している署名を検証するために、1 回だけ使用されます。鍵はその後も鍵リングに保存されません。 鍵リングに保存するかどうか尋ねる。見つかった公開鍵をローカ ルの鍵リングに保存するかどうかを尋ねるように指定します。 鍵を鍵リングに保存する。 見つかった受信者の公開鍵がローカルの鍵リングに自動的に保存 されます。 鍵リングをトークンおよびスマート カードと同期する。スマート カードおよびトークンと同期する方法を以下のように指定できます。 自動。コンピューター上で最初に見つかったスマート カード/トークン製造会社の PKCS-11 ドライバーが自動的に読み込まれ、使用されます。1 つの製造会社の PKCS-11 ドライバーしかコンピューターにインストールされていない場合 は、この設定を選択してください。 346 PGP Desktop オプションの設定 PGP Desktop for Windows スマート カード/トークン製造会社のリスト。リストから選択したスマー ト カード/トークン製造会社の PKCS-11 ドライバーが読み込まれ、使用されます。複数の製造会社の PKCS-11 ドライバーがコンピューターにインストールされている場合は、 ドロップダウン リストから使用する製造会社のスマート カード/トークンを指定してください。 その他。このオプションを選択すると、[スマート カード ドライバーの選択] ダイアログ ボックスが表示され、PKCS-11 ドライバーを選択できるようになります。ドライバーを選択する と、その製造会社のスマートカード/トークンが認識され、使用 されます。使用したいスマート カード/トークンの製造会社がリストに含まれていないときに、 この設定を使用してください。 ある製造会社の PKCS-11 ライブラリがコンピューターにインストールされており、これが Mozilla Firefox や Thunderbird などの他の PKCS-11 対応アプリケーションで正しく使用できれば、PGP Desktop でも使用できる可能性があります。 まれに標準規格以外のスマートカードが PGP Desktop で正しく動作しない場合は、スマート カードをコンピューターに接続しても [PGP 鍵] コントロール ボックスに [スマート カード鍵] と表示されません。 なし。コンピューターに接続されているスマート カードまたはトークンは検出されず、使用もできません。 鍵サーバー。このオプションをクリックすると、[PGP 鍵サーバー リスト] ダイアログ ボックスが表示されます。このダイアログ ボックスでは、鍵を自動的に検索する際に使用する鍵サーバーのリス トを追加、編集、または削除できます。 バックアップ。これらの設定では、鍵をバックアップする時間と場所を指 定します。 PGP の終了時に鍵をバックアップ。 このオプションをオンにすると、指定した場所に鍵が自動的にバック アップされます。 鍵リング フォルダー (デフォルト)。 コンピューター上のデフォルトの鍵リング フォルダーに鍵がバックアップされます。デフォルトの場所は "マイ ドキュメント" フォルダーです。 347 PGP Desktop オプションの設定 PGP Desktop for Windows バックアップする場所。 コンピューター上の指定した場所に、鍵をバックアップします。 フルパスを入力するか、[参照] をクリックして場所を指定します。 マスター鍵オプション このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 348 PGP Desktop オプションの設定 PGP Desktop for Windows [マスター鍵] リストは、メッセージング、ディスク暗号化、PGP NetShare、および PGP Zip 用の鍵を選択するときに毎回、デフォルトでセットとして追加される鍵です。 これにより、繰り返し使用する公開鍵を [Recipients (受信者)] フィールドにドラッグする手間が省けます。 マスター鍵リストを使用するには、[Use Master Key List (マスター鍵リストの使用)] チェック ボックスをオンにします。このボックスをオンにしなければ、マスター鍵リス トの鍵の追加や削除はできません。 マスター鍵の追加方法については、「マスター鍵リストへの鍵の追加 『ページ : 65』」を参照してください。マスター鍵の削除方法については、「マスター鍵 リストからの鍵の削除 『ページ : 65』」を参照してください。 メモ : セットアップ アシスタントを使用して鍵を生成すると、その鍵はマスター鍵リストに自動 的に追加されます。鍵の生成を省略して PGP Desktop に鍵をインポートした場合、鍵はマスター鍵リストに自動的には追加されま せん。 349 PGP Desktop オプションの設定 PGP Desktop for Windows メッセージング オプション このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセクションを参照してください。 [メッセージング] タブでは、電子メールと IM メッセージングの設定を行います。 350 PGP Desktop オプションの設定 PGP Desktop for Windows メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 [メッセージング] タブでは、以下のオプションを設定することができます。 セキュア電子メール : PGP Desktop ですべての電子メール アカウントを自動的にセキュリティ保護するには、[セキュア電子メール] チェック ボックスをオンにします。オンにすると、受信および送信電子メール メッセージの両方が PGP Desktop を通るようになり、適切なポリシーに基づいてメッセージがセキュリティ 保護されます。 PGP Desktop でメッセージが自動的に保護されないようにするには、[セキュア電子メー ル] チェックボックスをオフにしてください。 [セキュア電子メール] チェック ボックスをオンにすると、以下のオプションが追加で選択できます。 351 PGP Desktop オプションの設定 PGP Desktop for Windows 新しいアカウントを検出 : このチェックボックスをオンにすると、電子メールに関する活動が PGP Desktop によって監視され、新しい電子メール アカウントも自動的に検出されます。新しいアカウントが検出される と、そのアカウントから送信されるメッセージをセキュリティ保護す るかどうかを尋ねるメッセージが PGP Desktop で表示されます。 メモ : PGP Universal によって管理されている環境で PGP Desktop を使用している場合に、ワイルドカード (*) バインディングを使用すると、すべてのメール サービスが「*」のバインディングに一致するので、このオプションは機 能しなくなります。そのため、このオプションを選択しなくても、すべて の新規アカウントが自動的にポリシーにそって作成されます。 自分の電子メール アドレスを鍵に自動的に追加する : このチェックボックスをオンにすると、メッセージを送信するために 使用する電子メール アドレスが自分の鍵に PGP Desktop によって自動的に追加されます。このオプションはデフォルトで選択 されています。PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが無効になる可能性があります 。 このチェックボックスをオフにすると、電子メール アドレスは自分の鍵に自動的には追加されません。自分の電子メール アドレスを知られたくない場合など、プライバシーを保護する場合に使 用します。 受信メールに注釈を付けてください。このチェック ボックスをオンにすると、PGP Desktop が入力メッセージを処理した際に行ったアクションの詳細な説明テキ ストを、受信電子メールに付けることができます。コメントのレベル は、以下の 3 つから選択できます。 最大 : 詳細なコメント。PGP Desktop によりメッセージ処理中に実行されたすべてのアクションの詳細 情報が、受信電子メールに追加されます。 標準 : 不具合と成功。このオプションはデフォルトで選択されます。不 明な鍵や不明な署名者など処理上の不具合が発生すると、コメン トを付与します。この設定では、受信電子メールが正しく復号さ れたか、または署名されている場合にも、コメントが追加されま す。 最小 : 不具合のみ。処理に不具合が発生した場合のみ、コメントが追加 されます。 352 PGP Desktop オプションの設定 PGP Desktop for Windows セキュアなメッセージにコメントを追加する : ここで入力したテキストが、暗号化または署名したメッセージに常に 挿入されるようになります。入力したコメントは、セキュリティ保護 されたメッセージの [--PGP メッセージ ブロックの開始--] テキスト ヘッダーと PGP Desktop バージョン番号の下に表示されます。これらのコメントは、復号化さ れた電子メールでは表示されません。 PGP 暗号化ボタンと署名ボタンを Outlook で有効にする。Microsoft Outlook で PGP Desktop 暗号化ボタンと署名ボタンを使用する場合に、このチェック ボックスをオンにします。このオプションはデフォルトでは選択され ていません。暗号化ボタンと署名ボタンの詳細については、「Micros oft Outlook で署名ボタンと暗号化ボタンを使用 『ページ : 106』」を参照してください。 メモ :PGP Desktop によって管理された環境では、あらかじめテキストが入力されていること があります。 AOL® インスタント メッセージ (AIM®) の暗号化 : PGP Desktop と互換性のあるインスタント メッセージング ソフトウェアを使用したメッセージのやり取りが、自動的に暗号化される ようになります。 AOL® Instant Messenger™ および互換性のあるソフトウェア アプリケーションがサポートされています。 AIM ユーザー情報に「PGP 有効化」を表示する : このオプションをオンにすると、[AIM 友だちリスト] や [友だちの情報を見る] コマンドなどのスクリーン ネームに [PGP 有効化] が表示されます。このオプションがオフの場合、スクリーン ネームに [PGP 有効化] は表示されません。この文字列の表示形態は、ご使用のインスタント メッセージング クライアントにより異なります。 友だちアイコン上に PGP ロック アイコンを表示します。このオプションをオンにすると、PGP 固有のロック アイコンが友だちアイコンとともに表示され、IM セッションが保護されていることを示します。このオプションをオフ にすると、通常のアイコンが表示されます。 プロキシ オプション 詳細なメッセージング オプションにアクセスするには、[プロキシ オプション] ボタンをクリックします。 353 PGP Desktop オプションの設定 PGP Desktop for Windows [電子メール] タブ 電子メールの送受信にコンピューターでプロキシを手動で構成する必要がある 場合、このタブを使用します。 PGP Desktop は、電子メール アプリケーションと電子メールを配信するメール サーバーの間に「存在」します。この構成により、PGP Desktop が電子メール トラフィックを自動的にフィルタしたり、プロキシ処理したりすることが可能 になります。また、ユーザーの作業を中断させることなく、適切なポリシーに 基づいてメッセージを保護することができます。 通常、PGP プロキシ設定を変更する必要はありません。ただし、特定の環境では、プロキ シ設定を手作業で指定する必要があります。ネットワーク管理者の推奨する設 定を選択してください。 自動 : これがデフォルトの推奨設定です。この設定では、電子メールは自動的か つ透過的に保護されます。手動プロキシ設定を使用するように指示されて いる場合以外は、このオプションを使用してください。 手動プロキシ。 このオプションは、コンピューターでメールに SSH トンネリングを使用している場合や、PGP Desktop を実行しているコンピューターをメール サーバーとして使用している場合に選択します。詳細については、「手動 モードの設定 『ページ : 355』」を参照してください。 354 PGP Desktop オプションの設定 PGP Desktop for Windows [インスタント メッセージング] タブ コンピューターがネットワーク ファイアウォールで保護されている場合、IM チャット セッション用に AIM で使用されるネットワーク ポートの変更が必要となることがあります。通常、この設定を変更する必要は ありません。 手動プロキシの使用 このチェックボックスをオンにして、IM チャット セッション用に AIM で使用されるネットワーク ポートを変更します。デフォルト (5190) 以外のポート番号に値を変更します。この設定を変更する必要がある場合 はネットワーク管理者からの指示があります。また、その場合は、正しい ポート番号についても指示があります。 手動モードの設定 電子メール プロキシに対して手動を指定した場合、電子メール クライアント内の設定同様、[PGP メッセージング] 設定も構成する必要があります (使用する値については、システム管理者に問い合わせてください)。 1 [PGP メッセージング] コントロール ボックスで、手動モードにするサービスを選択します。[新規サービス] パネルが表示されます。 2 [サーバー設定] をクリックします。指定したサービスの [サーバー設定] 画面が表示されます。 3 新しいサービスで使用するサーバー タイプを選択します。 [インターネット メール] : POP または IMAP でメールに接続するスタンドアロンの PGP Desktop ユーザーの場合。 [PGP Universal] : PGP Universal Server で管理された環境の PGP Desktop ユーザーの場合。正しい設定方法の詳細については、PGP Universal Server 管理者に問い合わせてください。 355 PGP Desktop オプションの設定 PGP Desktop for Windows 4 [MAPI/Exchange] : Microsoft Exchange/MAPI サーバーのクライアントとして Microsoft Outlook を使用している PGP Desktop ユーザーの場合。正しい設定方法については、電子メールの管理者に 問い合わせてください。 [Lotus Notes] : Lotus Domino サーバーの電子メール クライアントとして Lotus Notes を使用している PGP Desktop ユーザーの場合。正しい設定方法については、電子メールの管理者に 問い合わせてください。 [受信メール サーバー] セクションで、[ローカル ポートをリダイレクト] フィールドにポート番号を入力します。 PGP Desktop は、メール サーバーからメール クライアントに送信される電子メール メッセージを、このポートで監視します。 5 [送信メール サーバー (SMTP)] セクションで、[ローカル ポートをリダイレクト] フィールドにポート番号を入力します。 PGP Desktop は、メール クライアントからメール サーバーに送信される電子メール メッセージを、このポートで監視します。 6 [OK] をクリックします。[サーバー設定] ダイアログ ボックスが閉じます。 7 電子メール クライアントを開いて、電子メール アカウントの設定を開きます (アカウントが複数ある場合は、各アカウントをそれぞれ設定してください) 。 356 PGP Desktop オプションの設定 PGP Desktop for Windows 8 Microsoft Outlook の [受信メール サーバー (POP3 または IMAP)] と [送信メール サーバー (SMTP)] の両方の設定に、「127.0.0.1」と入力します。 9 [詳細設定] をクリックします。 10 [インターネット電子メール設定] ダイアログ ボックスで [詳細設定] をクリックします。[インターネット電子メール設定] ダイアログ ボックスの [詳細] タブが表示されます。 11 受信メール サーバー (POP3 または IMAP) のボックスに、[ローカル ポートをリダイレクト] フィールドで受信メール サーバーに対して指定したポート番号 (手順 7) を入力します。 12 送信メール サーバー (SMTP) のボックスに、[ローカル ポートをリダイレクト] フィールドで送信メール サーバーに対して指定したポート番号 (手順 8) を入力します。 13 [OK] をクリックして、アカウントの設定を完了します。以上で、選択したサー ビスに対して手動モードが設定されます。 14 コンピューターでサービスに対する手動モードの設定が完了したら、コン ピューターを再起動してください。 PGP NetShare オプション 共有のネットワーク ファイルを保護する際に、[NetShare] オプションのタブを使用して設定を変更します。 357 PGP Desktop オプションの設定 PGP Desktop for Windows メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 フォルダーの概観 : PGP NetShare で保護されているファイルやフォルダーに小さい PGP ロック アイコンが表示されるようにするには、[セキュリティ保護されたファイル とフォルダーに PGP アイコンを重ねる] を選択します。 詳細 : [個々のファイルを保護する] を選択して、保護フォルダーの外にある個々のファイルを PGP NetShare を使用して保護します。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合は、PGP 管理者がこのオプションを使用できないようにしている場合があります。 PGP NetShare を使用して、保護フォルダーの外にある個別のファイルを保護する操作の詳細 については、「保護フォルダーの外にあるファイルの保護 『ページ : 290』」を参照してください。 358 PGP Desktop オプションの設定 PGP Desktop for Windows ディスク オプション [ディスク] タブには、PGP 仮想ディスク機能を使用して保護されたボリュームに適用される設定が含まれ ます。[ディスク] タブには、PGP シュレッダのオプションも表示されます。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者が特定の機能を無効にしている場合があります。機能が無効にされる と、左側の制御項目が表示されなくなり、その機能に対するメニューやその 他のオプションが使用できなくなります。このユーザー ガイドに記載された図は、すべての機能が有効になっているデフォルトのイ ンストール環境を示しています。PGP Universal Server 管理者がこの機能を無効にしている場合は、ここに記載された説明は当ては まりません。 メモ : PGP Universal によって管理されている環境で PGP Desktop を使用している場合、これらのオプションはすでに設定されている場合もあ ります。 PGP ディスクのマウント解除 PGP 仮想ディスク ボリュームのオプションには以下のものがあります。 359 PGP Desktop オプションの設定 PGP Desktop for Windows ファイルが開いている状態でも PGP 仮想ディスクのマウント解除を許可する。 通常、PGP 仮想ディスク ボリューム上のファイルを開いていると、そのボリュームのマウントを自 動的に解除することはできません。しかしこのオプションをオンにすると 、ファイルが開いていてもマウントを解除できるようになります (「強制マウント解除」と呼びます)。 マウント解除の前にこのメッセージを表示しないを選択すると、ファ イルが開いている可能性があるというメッセージを表示せずに、PGP 仮想ディスク ボリュームのマウントを強制的に解除できるようになります。 警告 : ファイルを開いている状態で PGP 仮想ディスク ボリュームのマウントを強制解除すると、データが失われることがあるの で、注意してください。 コンピューターがスリープ状態に入るときにマウント解除する。このチェ ック ボックスをオンにすると、コンピューターがスリープ モード (スタンバイ、休止状態などあらゆるスリープ モードに適用されます) に切り替わるときに、PGP 仮想ディスク ボリュームのマウントがすべて自動的に解除されます。 PGP 仮想ディスクのマウントが解除できないときは、ディスクをマウント 解除できない場合はスリープ状態にしない を選択して、コンピューターがスリープ状態にならないようにします 。このオプションは、Microsoft Windows Vista システムでは使用できません。Windows Vista では、アプリケーションによるスリープ状態の防止が許可されていま せん。 警告 :休止処理が呼び出されたときに PGP 仮想ディスクが開いていると、Windows によって機密性の高いデータがディスクに書き込まれるため、Windows の休止は本質的に安全ではありません。PGP Corporation では、休止を使用する場合は PGP ディスク全体暗号化機能を使用するか、または [コンピューターがスリープ状態に入るときにマウント解除する] オプションおよび [ディスクをマウント解除できない場合はスリープ状態にしない] オプションを有効にしておくことを推奨しています。 完全削除 PGP シュレッダ機能を使用すると、機密ファイルを安全に削除できます。他の設定 同様、PGP シュレッダ機能では提供されるセキュリティ レベルの調整が可能です。 360 PGP Desktop オプションの設定 PGP Desktop for Windows PGP シュレッダ機能のオプションには以下のものがあります。 パスの数。 ファイルを通常通り削除すると、PGP シュレッダの機能により、そのファイルは安全に削除されます。削除した ファイルが使用していたディスク領域は、数字の「0」により上書きされま す。 この方法を使用すると、数回の上書き「パス」だけで非常に安全にファイ ルを削除できます。このため、3 の設定がデフォルトで、非常に高いレベルのセキュリティが提供されます が、この設定を変更することによって、希望するセキュリティ レベルを反映させることができます。設定可能な最大パス数は 49 です。 セキュリティを強化すると、コンピューターのプロセッサのスピードなど が原因となって、ファイルの共有に要する時間が長くなることがあるので ご注意ください。 パス数を選択する際には、次のガイドラインを参考にしてください。 個人ユーザーで 3 パス。 商用で 10 パス。 軍事用で 18 パス。 最大限のセキュリティで 26 パス。 Windows のごみ箱を空にするときに自動的に完全削除する。 このチェック ボックスをオンにすると、Windows のゴミ箱を空にした際には、PGP シュレッダ機能によって常にその内容が細断処理されるようになります。 機密性の有無にかかわらず、PGP シュレッダ機能によってゴミ箱内のすべてのファイルの細断処理が行われ るため、非常に大きなファイルが含まれていると処理に時間がかかる可能 性があります。そのため、このオプションの使用には注意が必要です。 またこのオプションは、(Shift キーを押しながらアイテムを削除して)ごみ箱をバイパスすることで削除 したファイル、オペレーティング システムによって自動的に削除されたシステムおよびアプリケーションの 「temp」ファイルを自動的にシュレッダにかけます。 この自動細断では、選択済みの PGP シュレッダ機能の設定が、手動でファイルを細断する場合と同様に使用さ れます。 Windows デスクトップ上に [PGP シュレッダ] アイコンを置きます。PGP シュレッダ機能を便利に使用できるアイコンをコンピューターのデスクト ップに置く場合は、このチェック ボックスをオンにします。このアイコンは、Windows のごみ箱アイコンと同様に、ファイルをアイコンの上にドラッグする方法 で使用できます。このオプションはデフォルトで選択されています。 361 PGP Desktop オプションの設定 PGP Desktop for Windows 細断処理する前に常に警告を表示する。細断処理を実行する前に確認用の ダイアログ ボックスを表示するには、このチェックボックスをオンにします。これに より、細断されるのが細断処理の対象とするファイルだけであることの確 認が二重に行えます。このオプションはデフォルトで選択されています。 ヒント : このほか、一時ファイルなど、ディスクの別の場所に留まる可能性があるデ ータの存在も考慮する必要があります。このことから、PGP ディスク全体暗号化を使用して、コンピューター上のすべてのデータを保護 することを検討してください。 通知機能オプション [通知機能] タブでは、PGP Desktop 通知機能のオプションを設定します。この通知機能は、電子メール メッセージを送受信する際に画面の隅にステータス メッセージを表示します。また、PGP ディスク全体暗号化機能と PGP NetShare 機能を使用する際にも、ステータス メッセージを表示します。 PGP Desktop 通知機能の詳細については、「PGP Desktop 通知機能の警告 『ページ : 40』」を参照してください。 使用オプション 通知機能を有効にするには、[Use PGP Notifier (PGP 通知機能の使用)] を選択し、[画面位置] を指定します。 362 PGP Desktop オプションの設定 PGP Desktop for Windows 画面の位置 : PGP Desktop の通知は、画面の 4 つの隅 ([Lower Right (右下)]、[Lower Left (左下)]、[Upper Right (右上)]、または [Upper Left (左上)]) のいずれかに表示できます。PGP Desktop の通知を表示する位置を選択します。デフォルトの位置は [Lower Right (右下)] です。 メッセージング オプション PGP Desktop の通知機能の設定には、次のようなものがあります。 送信電子メールの処理時に通知 : このチェックボックスをオンにすると、電子メールを送信する際に PGP Desktop 通知機能が表示され、暗号化および署名処理のステータスが通知されます 。メール送信時に PGP Desktop による通知を表示しないようにするには、このチェック ボックスの選択を解除します。 受信者の鍵が見つからない場合、電子メールを送信する前に確認 : PGP Desktop は、送信した電子メール メッセージの各受信者の公開鍵を探します。受信者の公開鍵が見つからな い場合、デフォルトでは、電子メールは暗号化されることなくクリア テキストで送信されます。この通知機能オプションをオンにすると、受信 者の公開鍵が見つからないことが通知され、送信するかどうかが尋ねられ ます。 PGP Desktop のデフォルト ポリシー設定の詳細については、「サービスとポリシー 『ページ : 109』」を参照してください。 電子メールの送信前に常に確認 : このチェックボックスをオンにすると、電子メールを送信するたびに 確認を求めるメッセージが表示されます。通知機能で暗号化のステー タスを確認した後に、電子メールを送信するかブロックするかを判断 できます。 Delay outbound email for n second(s) to confirm (確認のために電子メールの送信を n 秒遅延させる) : n は 1 ~ 30 の数で、デフォルトは 4 秒です。電子メールの送信を遅らせ、PGP Desktop の通知を表示する時間の長さを変更するには、上矢印または下矢印を クリックします。遅延時間は、PGP Desktop から通知されるメッセージを確認するために使用します。 受信電子メールの各通知を表示 : 受信電子メールに対しては、受信時に通知するステータスの種類を選択で きます。オプションは次のとおりです。 363 PGP Desktop オプションの設定 PGP Desktop for Windows [When receiving secured email (セキュリティ保護された電子メールを受信した場合)]— セキュリティ保護された電子メールを受信するたびに通知機能が表示 されます。このボックスには、送信者、件名、暗号化および検証のス テータス、および送信者の電子メール アドレスが表示されます。 [Only when message verification fails (メッセージ検証に失敗した場合のみ)] — PGP Desktop が受信電子メールの署名を検証できない場合にのみ通知が表示されま す。 [Never (無期限)] — メールの受信時に通知機能が表示されないようにする場合は、このオ プションを選択します。このオプションは、送信メールに対する通知 機能には影響を与えません。 PGP で暗号化されたインスタント メッセージについて通知する — セキュリティ保護されたインスタント メッセージ チャットの開始時と終了時に、PGP Desktop の通知機能がわずかの間表示されるようにする場合にこのチェックボック スを選択します。 詳細オプション [PGP オプションの詳細設定] タブでは、非常に詳細な設定を行えます。ほとんどのユーザーはこの設定を変 更する必要はありません。 364 PGP Desktop オプションの設定 PGP Desktop for Windows キーボード ホット キー。PGP Desktop では、作業をよりすばやく、より容易にするユーザー設定のホット キーをいろんな方法で作成できます。ホット キーのセットが PGP Desktop に添付されていますが、ニーズに合わせてホット キーの割り当てを変更できます。[編集] をクリックすると、[PGP Hotkeys (PGP ホットキー)] ダイアログ ボックスが表示されます。 PGP Universal。 PGP Universal との通信に HTTPS プロキシを使用する ネットワーク管理者の指示がない限り、これらの設定を変更しないでくだ さい。 PGP Universal Server のインストールで、プロキシ経由のセキュリティ保護されたクライアント とサーバー間の接続が必要な場合、これらのオプション設定を使用して指 定できます。ネットワーク管理者の指示に従って、正しいサーバー名、通 信ポート、ユーザー ID およびパスワードを指定してください。 鍵または鍵モードを変更するには、[鍵のリセット] をクリックします。鍵モードの詳細については、「鍵モード 『ページ : 143』」を参照してください。このオプションは、PGP Universal Server で管理されていない環境で PGP Desktop を使用している場合のみ、利用できます。 FIPS 140-2 の動作確認と完全性確認を有効にする。 ユーザーまたは組織で FIPS 140-2 検証を必要とする場合には、このオプションを選択します。ただし、コン ピューターの性能が低下することを認識しておく必要があります。この設 定を有効にするには、コンピューターを再起動する必要があります。 365 PGP Desktop オプションの設定 PGP Desktop for Windows 暗号化するときには、組み込みの推奨ファイル名を無視してください。フ ァイルを暗号化する際に PGP Desktop が行う提案を無視する場合に、このオプションを選択します。 (日本などの) 英語以外の環境で PGP Desktop バージョン 8.1 を使用している場合、PGP Desktop では推奨されたファイル名が間違ってエンコードされます。PGP Desktop 8.1 で暗号化されたファイルを PGP Desktop 9.x で復号化するときに PGP Desktop 8.1 と 9.x との間で処理が正しく行われるように、この設定をオンにしてください。 366 B パスワードおよびパスフレ ーズの使用 パスワードとパスフレーズは、ものを保護するために使用されます。一般的に 、パスフレーズはパスワードより長く、使用できる文字の種類も豊富です。 単純なパスワードの例は、4 文字の単語 2 つを連結した「whenjobs」です。パスワードを強度を上げるには、「WhenJob s」のように大文字を使用するのも 1 つの方法です。「When9Jobs4」のように数字を追加すると、パスワードを一 段と破られにくいものにすることができます。 パスフレーズはパスワードと比べて長く、使用できる文字の種類も豊富です。 単純なパスフレーズの例は、引用符なしでピリオドを含めた「Mb&1a>ttA」で す。このパスフレーズは、覚えづらいように思われるかもしれませんが、実際 には覚えやすい単純なフレーズに基づいています。 パスフレーズは、よく読む本から引用した短いフレーズに句読点を加えたり、 大文字/小文字の区別をしただけのものでもかまいません。たとえば、"Because that's not golf, I replied" などが考えられます。ここでは引用符も含まれます。これは強力なパスフレー ズには見えないかもしれませんが、実際には、上記の他の例と比較すると 2 倍以上の強度があります。 このセクションでは、パスワードとパスフレーズの違いや、PGP Desktop にあるパスフレーズの品質バーについて説明します。また、強力なパスフレー ズを作成するためのいくつかのガイドラインも記載しています。 この章の内容 パスワードまたはパスフレーズの使用の選択....................................... 368 パスフレーズの品質バー ....................................................................... 368 強力なパスフレーズの作成.................................................................... 369 パスフレーズを忘れた場合.................................................................... 372 367 パスワードおよびパスフレーズの使用 PGP Desktop for Windows パスワードまたはパスフレーズの使用の選択 パスワードとパスフレーズのどちらを使用するかは、保護する内容によって決 めるとよいでしょう。情報の価値が高いほど、保護も強化する必要があります 。 ほとんどの Word 文書はまったくセキュリティ保護されていませんが、それは、そのような手間 を掛けるほど重要な内容ではないからです。銀行口座にオンラインでアクセス する際に、一部の銀行では 4 桁の PIN (暗証) 番号しか必要としませんが、口座の金額によっては、きわめてレベルの低いセ キュリティ保護だと言えます。また、それほど重要でない日常的な通信には、H otmail などの無料の電子メール アカウントが使用されることがありますが、機密度が低ければ、単純なパスワ ードでも十分です。一方、製品、顧客、財務などに関する重要な情報の送受信 には、通常より高レベルのセキュリティを備えた会社の電子メール アカウントが使用されるのが普通です。 PGP Desktop では、PGP 鍵ペアと PGP 仮想ディスク ボリュームの両方に対してパスフレーズを作成しますが、PGP 鍵ペアのパスフレーズが脆弱だと、秘密鍵ファイルに物理的にアクセスできた 攻撃者は、パスフレーズさえ推測できれば、メッセージを読んだり本人になり すましてメッセージを送信したりできます。 パスフレーズの品質バー PGP Desktop でパスフレーズを作成すると、作成しているパスフレーズの強度に関する基本 ガイドラインが、パスフレーズの品質バーに表示されます。この強度はあくま で目安ですが、文字数だけで判断するより信頼性があります。 一般的に、パスフレーズの品質バーが長いほどパスフレーズの強度は高くなり ます。このバーの長さは実際には何を意味しているのでしょうか。 パスフレーズの品質バーは、入力されたパスフレーズの無作為性の量 (エントロピー) を真の 128 ビット ランダム文字列 (AES128 鍵と同量のエントロピー) と比較したものです。これは、128 ビットのエントロピーと呼ばれます。 エントロピーとは、パスワードまたは鍵の解読の難しさを表す測定単位です。 つまり、パスフレーズの品質バーの約半分の長さに相当するパスフレーズのエ ントロピーは、およそ 64 ビットです。また、品質バーが最大値を示すパスフレーズのエントロピーはお よそ 128 ビットです。 368 パスワードおよびパスフレーズの使用 PGP Desktop for Windows それでは、128 ビットのエントロピーの強度とはどの程度なのでしょうか。1990 年代後半、あらゆる可能性の鍵値を試すことによって DES 鍵を数時間で突き止める、特殊な「DES クラッカー」コンピューターが構築されました。 DES 鍵 1 つを 1 秒で突き止めるコンピューターを構築したと仮定すると (このコンピューターは 1 秒あたり 255 個の鍵を試すことができることになります)、このコンピューターが 128 ビットの AES 鍵を 1 つ探り当てるまでに約 149 兆年かかります。ちなみに、宇宙が誕生してからまだ 200 億年しか経っていないと言われていますので、実際には鍵を突き止めることは できないと言っても過言ではないでしょう。 次に、各文字のエントロピーはどのように測定されるのでしょうか。選択肢 (この場合は文字の種類) が大きいほど、選択された文字に割り当てられるエントロピーは大きくなりま す。 たとえば、数字を使った PIN では、0 ~ 9 の数字、つまり合計 10 文字からしか選択できません。この場合の文字の種類はかなり少ないので、こ の中から選択された文字のエントロピーも比較的低くなります。 英語バージョンの PGP Desktop を使用する場合、パスフレーズに選択できる文字はこれとは異なります。この 場合は、3 とおりの文字セット、つまり、大文字と小文字 (計 52 文字)、0 ~ 9 の数字 (10 文字)、標準キーボードに備わった句読点文字 (32 文字) を使用してパラフレーズを作成できます。 PGP Desktop で文字を入力すると、それがどの文字セットに属するかに基づいてエントロピ ー値が自動的に決定され、その値がパスフレーズの品質バーに適用されます。 文字セットが大きいほど各文字のエントロピーも大きくなるのは、英語以外の 言語でも同じです。そのため、アルファベットより多いアジアやアラブ圏の文 字セットを使用すると、選択された文字のエントロピーの量はそれに呼応して 大きくなり、パスフレーズの品質バーが最大値になりやすいのです。 強力なパスフレーズの作成 パスフレーズは、使い勝手と強度をバランス良く兼ね備えたものを作成するの が理想的です。大文字、小文字、数字、句読点を組み合わせた長いものを作成 すると、パスフレーズとしては強力になりますが、覚えにくくなるという欠点 があります。 369 パスワードおよびパスフレーズの使用 PGP Desktop for Windows 覚えにくいパスフレーズは書き留められることが多い、という研究報告があり 、それでは強力なパスフレーズを作成しても役に立ちません。書き留めないと 覚えられないかすぐに忘れてしまうような長いパスフレーズを作成するよりも 、短くても推測されにくいものを作成した方が賢明です。 強力なパスフレーズを作成するには、複数の単語からなるフレーズを選び、そ れを文字単位に短縮するという方法を利用するとよいでしょう。たとえば、次 のフレーズを考えてみましょう。 My brother and I are greater together than apart. このフレーズから各単語の頭文字をとると、次のパスフレーズができます。 Mb&1a>ttA. このパスフレーズは、大文字と小文字、数字、句読点を組み合わせた 10 文字から成ります。10 文字のパスフレーズは、比較的短いと言えます。10 文字では十分でないと感じる場合は、同じ方法でもう 1 つ別のパスフレーズを作成し 2 つのパスフレーズをつなげて使用するか、初めから長いフレーズを選択してパ スフレーズを作成するとよいでしょう。 また、句読点と大文字/小文字を使用した単純なパスフレーズを作成するのも効 果的です。以下に例を示します。 Edited by John Doe (not John Doe, Editor) このパスフレーズは長すぎることもなく、複雑でもないうえ、ある程度の強度 も持っています。なお、お気に入りの本からの引用を使用するようなときは、 その本を紛失しないように注意してください。 PGP Desktop でパスフレーズを作成する際には、スペースも含め、最高 255 文字まで使用できます。 パスフレーズの強度を上げる方法として、上記以外に、短い一般的な単語を複 数つなげる方法もあります。ダイスウェア (Diceware™) と呼ばれるこの方法では、7,776 個の短い英単語、略語、覚えやすい文字列で構成される、ダイスウェア単語リ ストという特殊なリストから、サイコロを使って無作為に単語が選択されます 。こうして選択した単語を十分な数だけつなげると、推測されにくい強力なパ スフレーズを作成できます。ダイスウェアの FAQ によると、10 語からなるダイスウェア パスフレーズでは 128 ビットのエントロピーを実現することが可能です。 ダイスウェアの詳細については、ダイスウェア パスフレーズのホーム ページ 『http://world.std.com/~reinhold/diceware.html』を参照してください。 パスフレーズの作成時に考慮すべき点は、次のとおりです。 長年記憶に残っているフレーズを使用してください。そのようなフレーズ は、忘れる可能性が低いためです。 370 パスワードおよびパスフレーズの使用 PGP Desktop for Windows パスフレーズは 8 文字以上で指定してください。長さは強力なパスフレーズの最も重要な要 件ではありませんが、短くするよりは安全です。 大文字と小文字、数字、句読点を組み合わせて使用してください。 注意 : できるだけ ASCII 文字だけを使用してください。パスフレーズでは「§」などの一部の特殊 文字がサポートされていないので、このことは国際キーボードを使用する 際は特に重要です。 パスフレーズを定期的に変更してください (目安としては 3 か月に一度)。パスフレーズは同じものを長く使用するほど、攻撃者に推測 されてしまう確率が高まります。 パスフレーズの作成時に避けたいことは、次のとおりです。 パスフレーズを書き留めるのは避けてください。 パスフレーズは他人に教えないでください。 パスフレーズを入力しているところをだれにも見られないように気をつけ てください。 「password」または「passphrase」を使用することは厳禁です。 「abcdefgh」、「12345678」、「qwertyui」、「88888888」、「AAAAA AAA」 などのパターンを使用しないでください。 一般的な単語を使用しないでください。熟練した攻撃者のほとんどは通常 、一般的な単語を集めたパスワード解読辞書を使用しています。また、一 般的な単語 2 つの組み合わせ、複数形、先頭文字だけ大文字にしたものなども使用を避 けてください。 自分に関連した数字を使用しないでください。この数字が自分以外のだれ かに知られていると、攻撃者にそれを見破られるおそれがあります。生年 月日、電話番号、社会保障番号、住所などを使用しないでください。 名前は使用しないでください。たとえば、人の名、架空のキャラクタの名 前、ペットの名前、昨冬に休暇で訪れた場所、自分のログイン名、勤め先 の名前、好きなチームの名前、体の部位、本の題名、特に聖書などは避け てください。 上記の単語を逆さに並べたり、前後に 1 桁の数字を付けただけのパスフレーズも使用しないでください。 371 パスワードおよびパスフレーズの使用 PGP Desktop for Windows パスフレーズを忘れた場合 パスフレーズを忘れると、その鍵で暗号化した情報は復号化できなくなります 。ただし、PGP 管理者が PGP 鍵の再構築ポリシーを施行している場合には、鍵を再構築できます。詳細につ いては、「PGP 鍵の再構築 『ページ : 95の"PGP Universal Server による鍵の復元"参照先 : , ページ : 95の"鍵またはパスフレーズを失った場合"』」を参照して、PGP 管理者におたずねください。 372 C PGP Universal Server を介しての PGP Desktop の使い方 PGP Universal Server を導入すると社内全体のセキュリティ対策として、PGP 管理者が設定するポリシーに基づき、電子メール メッセージを自動的かつ (エンド ユーザーに対して) 透過的に保護できるようになります。また PGP 管理者は、社内の PGP Desktop の導入を管理する際にも PGP Universal を使用することができます。PGP Universal Server の詳細については、「PGP Web サイト上の PGP Universal Server 『http://www.pgp.com/products/universal/index.html』」を参照してください。 PGP Universal Server によって管理された環境で PGP Desktop を使用すると、立証済み PGP 暗号化技術を各ユーザーのコンピューターでも活用できるほか、PGP Desktop の他のセキュリティ機能を利用できます。その他の主要なセキュリティ機能に は、PGP ディスク全体暗号化機能、PGP ジップ アーカイブ、および PGP 細断処理などがあります。 PGP Universal Server の管理環境で PGP Desktop を使用するには、PGP 管理者からインストーラー アプリケーションを入手して、PGP Desktop をインストールする必要があります。 自宅用に購入した PGP Desktop のバージョンを使用しており、企業環境では使用しない場合は、おそらくスタ ンドアロン バージョンを使用しているので、このセクションは適用されません。 注意 :企業環境で PGP Desktop を使用しており、PGP 管理者以外から PGP Desktop インストーラーを入手した場合は、その PGP Desktop バージョンをインストールまたは使用する前に PGP 管理者に確認してください。 このセクションでは、PGP Universal Server が管理している電子メール ドメインで PGP Desktop を使用する場合の違いについて説明します。 373 PGP Universal Server を介しての PGP Desktop の使い方 PGP Desktop for Windows この章の内容 概要 ........................................................................................................ 374 PGP 管理者の方へ ................................................................................. 375 PGP Universal Server への手動バインド............................................... 376 概要 PGP Desktop のインストーラーは、PGP 管理者が以下のいずれかの設定をすでに行っています。 ポリシー設定なし : あなたの PGP Desktop には、組み込まれている設定は一切ありません。ライセンスでサポートさ れているすべての機能を使用できます。 ポリシー設定の自動検出 : PGP Desktop は、インストーラーを作成した PGP Universal Server に接続し、設定のダウンロードを行います。設定によっては、PGP Desktop を指定された方法で使用しなければならない可能性があります。 ポリシー設定のプリセット : PGP Desktop のコピーには、適切な設定が組み込まれています。設定によっては、PGP Desktop を指定された方法で使用しなければならない可能性があります。 PGP Universal Server から設定を取り込んだ PGP Desktop では、指定された方法で使用することが必要になる場合があります。たとえば 、 PGP Desktop をインストールする際に、ブート ドライブに対するディスク全体暗号化処理や PGP 仮想ディスク ボリュームの作成などを行う必要がある場合があります。 PGP Desktop の一部の機能では、使用許可が必要になったり、特定の手順に従わなけれ ばならないことがあります。たとえば、AIM インスタント メッセージング セッションを必ず暗号化する、ファイルを削除するときに細断処理が自動 的に行われるなど、設定によってさまざまです。 PGP Desktop の一部の機能を使用できないことがあります。たとえば、従来型の暗号化 の使用や、自己復号化アーカイブ (SDA) の作成ができないような設定になっているかもしれません。 374 PGP Universal Server を介しての PGP Desktop の使い方 PGP Desktop for Windows 特定のメッセージング ポリシーに従うように要求されることがあります。たとえば、一部の電子 メール ドメインに対してメッセージの暗号化と署名をつねに行わなければならな いことがあります。 PGP メッセージングや PGP NetShare などの特定の機能が無効になっている場合や、Windows システムで [PGP Whole Disk Encryption BootGuard] 画面がカスタマイズされている場合があります。詳細については、「PGP Universal 管理者による機能のカスタマイズ 『ページ : 6の"PGP Universal Server 管理者によってカスタマイズされる機能"参照先 : 』」を参照してください。 PGP Universal Server の管理環境で管理可能な PGP Desktop の機能については、このユーザー ガイドを参照してください。 お使いの PGP Universal Server の管理環境下の PGP Desktop が、スタンドアロンの PGP Desktop とどのように異なるのかについては、PGP 管理者にお問い合わせください。 PGP 管理者の方へ PGP Corporation は、組織内の一部あるいはすべてのユーザーへの PGP Desktop の導入を管理する PGP 管理者の方には、PGP Desktop ユーザーが各自の暗号鍵を管理するクライアント鍵モードを使用することをお 勧めします。 PGP 管理者が PGP Universal Server 上で PGP Desktop インストーラーを作成するときに、PGP Desktop ユーザーが鍵を自分で管理するクライアント鍵モードか、PGP Universal Server が鍵を管理するサーバー鍵モードのどちらかを指定することができます。 これらの設定は、内部ユーザーのデフォルト ユーザー グループ ポリシー設定 ([ユーザー グループ] > [ポリシー オプション] > [鍵の設定 : デフォルト]) の一部である [鍵の設定 : デフォルト] 画面の [鍵管理] セクションで行うことができます。 PGP Desktop ユーザーに対して、クライアント鍵モードには次のようなメリットがあります 。 PGP Desktop 機能の多くは、ユーザーが各自の秘密鍵を管理しているときにのみ使用で きます。そのため、PGP Universal Server がユーザーの秘密鍵を管理している環境では、PGP Desktop ユーザーはそれらの機能を使用できなくなります。 375 PGP Universal Server を介しての PGP Desktop の使い方 PGP Desktop for Windows 管理者が PGP Desktop ユーザーに使用を許可できるオプションのうち、サーバー鍵モードではそ の一部が使用できなくなります。たとえば、PGP 仮想ディスクの自動作成を行うことはできません。 PGP Universal Server への手動バインド PGP Desktop を使用して PGP Universal Server に手動でバインドし (メッセージング サービスを表示する場合には、サーバー設定 をクリック)、 登録する場合、消費者ポリシーではなく電子メール ポリシーのみをダウンロードします。PGP Universal Server 管理者は消費者ポリシー (鍵モード、ディスクの暗号化の強制など) で、その他のオプションを指定していることがあります。完全に消費者ポリシ ーを管理して施行するには、PGP Universal Server の「マーク付き」インストールを使用する必要があります。マーク付きのイン ストールがない場合に取得するには、管理者に問い合わせてください。 さらに、PGP Universal Server に手動でバインドする場合、PGPtrustedcerts.asc ファイルは C:\Documents and Settings\AllUsers\Application Data\PGPCorporation\PGP には存在しません。手動で PGP Universal Server にバインドするには、このファイルを作成し、そのファイルで組織の鍵のユー ザー ID が PGPSTAMP により指定されるサーバーに確実に一致させる必要があります (ドメイン名および IP アドレスが一致する必要があります)。 376 D PGP Desktop と IBM Lotus Notes の併用 このセクションでは、PGP Desktop と Lotus Notes および MAPI の併用について説明します。 この章の内容 Lotus Notes および MAPI の互換性 ...................................................... 377 PGP Desktop と Lotus Notes の併用 .................................................... 378 PGP Universal Server へのバインド ...................................................... 379 Notes アドレス ...................................................................................... 381 Notes クライアントの設定 .................................................................... 381 Lotus Notes ネイティブ暗号化の使用................................................... 382 Lotus Notes および MAPI の互換性 「電子メール メッセージのセキュリティ保護 『ページ : 101の"電子メールをセキュアにする"参照先 : 』」の説明にあるように、PGP Universal によって保護された環境では、PGP Desktop メッセージングと Lotus Notes または MAPI 電子メール クライアントを併用できるように正しく設定すると、POP または IMAP 電子メール クライアントと併用するときと同じように PGP Desktop メッセージングを使用することができるようになります。ここには、第 4 章の説明を補足する情報が記載されています。 Lotus Notes は、メッセージングやカレンダー設定、スケジュール設定の機能を持つグルー プウェア アプリケーションです。Lotus Notes 電子メール クライアントについての情報は、『PGP Desktop for Windows リリース ノート』を参照してください。 MAPI (Messaging Application Programming Interface) は、Microsoft Exchange 環境でクライアント インターフェイスとして使用されるメッセージング アーキテクチャです。 377 PGP Desktop と IBM Lotus Notes の併用 PGP Desktop for Windows PGP Desktop は Lotus Notes および MAPI と互換性があるため、電子メールに対して PGP のメッセージング保護機能が使用できるほか、Lotus Notes と MAPI の各種機能も利用することができます。 PGP Desktop インストールでは、Lotus Notes のシングルユーザーとマルチユーザーの両方のインストールに対応しています 。 PGP Desktop と Lotus Notes の併用 このセクションでは、Lotus Notes 環境における PGP Desktop と PGP Universal の相互運用性の概要について説明します。 Lotus Notes 組織内の受信者への電子メールの送信 Lotus Notes 環境内では、PGP Desktop は SMTP と Notes の両方のアドレッシングを使用できます。 Notes アドレスの使用 PGP Desktop を使用する Notes クライアントでは、鍵の検索に Notes アドレスを使用できます。Lotus Notes 電子メール クライアントが電子メールを送信すると、PGP Desktop クライアントがこの送信を認識し、その Notes アドレスに自動的に鍵を追加します。この鍵は PGP Universal に同期されるので、Notes アドレスによる鍵の検索が容易になります。 すべての PGP Universal Server 鍵には、たとえば [email protected] のような SMTP 電子メール アドレスが関連付けられています。内部の Lotus Notes 電子メール クライアント ユーザーの鍵に、SMTP 電子メール アドレスのほか、CN=josem/O=notes6@notes6 のような Notes アドレスも添付することができます。外部ユーザーとの連絡には常に SMTP 電子メール アドレスが使用されるので、外部ユーザーの鍵に Notes アドレスが添付されることはありません。PGP Universal Satellite for Windows からは、SMTP 電子メール アドレスか Notes アドレスのいずれかを指定して鍵が要求されるので、内部の Lotus Notes 電子メール クライアント ユーザーの鍵には、この両方のアドレスが添付されます。 378 PGP Desktop と IBM Lotus Notes の併用 PGP Desktop for Windows PGP Desktop を使用する受信者に対する SMTP アドレスの使用 PGP Desktop を使用する Lotus Notes クライアントでは、組織内の鍵の検索に SMTP ID を使用できます。Lotus Notes を使用する一部の企業ではすべての内部通信に SMTP ID を使用しますが、その他の企業は従業員の選択に任せています。PGP Desktop はどちらの設定でも相互運用します。このシナリオでは通常、Lotus Notes で MIME を使用して電子メールが作成され、PGP Desktop プロキシで S/MIME が実行されます。 Lotus Notes 組織外の受信者への電子メールの送信 PGP Desktop を使用する Lotus Notes クライアントでは、組織外の電子メール ルーティングおよび鍵の検索に SMTP ID が使用されます。PGP Desktop はどちらの設定でも相互運用します。このシナリオでは通常、Lotus Notes で MIME を使用して電子メールが作成され、PGP Desktop プロキシで S/MIME または PGP/MIME が実行されます。受信者は電子メールを受信し、復号化します。 PGP Universal Server へのバインド Lotus Notes や MAPI 電子メール クライアントはそれぞれ Domino または Exchange メール サーバーに直接接続する必要があるため、PGP Universal によって保護された環境で PGP Desktop と併用するには、特別な設定を要することがあります。 ここで説明する内容は、PGP Desktop をスタンドアロンのプログラムとして使用している、つまりPGP Universal Server によって管理されていない環境である場合には当てはまりません。 Lotus Notes や MAPI 電子メール クライアントは、それぞれのメール サーバーとの通信に加え、PGP Universal Server との接続も確立する必要があります。そのため、各メール サーバーに関するポリシーのほかに、メール サーバーと PGP Universal Server の両方に適用されるポリシーをもう 1 つ別に作成しなければなりません。 このように、メール サーバーと PGP Universal Server が、協調しながら処理を行うよう設定することをバインドと呼びます。バイン ドを行うと、電子メール クライアントは、各メール サーバーにアクセスしてメールの送受信をしながら、PGP Universal Server からメッセージ送信相手の公開鍵とポリシーも取得できるようになります。前 述のように、適切な PGP Desktop メッセージング ポリシーを作成することにより、バインドが行われます。 379 PGP Desktop と IBM Lotus Notes の併用 PGP Desktop for Windows バインドを行うのに必要な PGP Desktop メッセージング ポリシーは、プリバインドと手動バインドという 2 つの方法で作成することができます。 プリバインド プリバインドでは、PGP 管理者が、バインドを行う際に必要な PGP Desktop メッセージング ポリシーを事前に作成して PGP Desktop のインストーラーを設定します。そのため、PGP Desktop をインストールした時点で、適切なポリシーがすでに設定されています。 手動バインド 手動バインドでは、PGP 管理者は、PGP Desktop のインストーラを作成する際に、バインドを行う際に必要な PGP Desktop メッセージング ポリシーを設定しません。そのため、ユーザーが自分でポリシーを作成する必 要があります。 メール サーバーと PGP Universal Server を手動でバインドするには、まず PGP Universal Server に関するサービスを作成します。その後 PGP Universal Server への参照を含む別のサービスをメール サーバーに対して作成します。 PGP Desktop メッセージング ポリシーを使用し、メール サーバーと PGP Universal Server に対して手動バインドを行うには、次の操作を実行します。 1 PGP Desktop を開きます。 2 [PGP メッセージング] コントロール ボックスをクリックします。 3 既存のスタンドアロン サービスの下で、[Universal Server <none>] をクリックし、[新規作成] を選択します。 4 [新規 PGP Universal サービス] メニューで Universal Server 名を入力し、[OK] をクリックします。 5 電子メール クライアントを使用して、自分のアドレスにメッセージを送信します。MA PI ユーザーには、この操作は必要ない場合があります。必要ない場合は、手 順 8 に進みます。 6 [操作はユーザーによって中止されました] ダイアログ ボックスで [OK] をクリックします。 7 受信箱にある「PGP Universal」からの電子メールを読みます。PGP 鍵生成ウィザード ダイアログ ボックスが表示されます。 380 PGP Desktop と IBM Lotus Notes の併用 PGP Desktop for Windows 8 [次へ] をクリックします。 9 [鍵管理の選択] から [鍵モード] を選択し、[次へ] をクリックします。 10 PGP Desktop をスタンドアロン アプリケーションとして使用している場合は、[鍵ソースの選択] で [PGP Desktop の鍵] を選択します。それ以外の場合は、[新しい鍵] または [鍵のインポート] を選択します。 11 [次へ] をクリックします。 12 鍵セットを選択し、[次へ] をクリックします。 13 [完了] をクリックします。 Notes アドレス 通常、PGP Desktop の暗号鍵には、次の例のような、SMTP 電子メール アドレスが少なくとも 1 つ関連付けられています。[email protected] PGP Universal Server 管理環境では、Lotus Notes 電子メール クライアント ユーザーの PGP Desktop 鍵に、SMTP 電子メール アドレスのほか、次の例ような Notes アドレスも添付することができます。CN=josem/O=notes6@notes6(PGP Desktop をスタンドアロンで使用しているユーザーの鍵には Notes の ID はなく、常に SMTP 電子メール アドレスだけが使用されます。) PGP Universal Server の管理環境下で PGP Desktop と Lotus Notes 電子メール クライアントを併用するための詳細な情報については、PGP 管理者にお問い合わせください。 Notes クライアントの設定 PGP Desktop を Lotus Notes 電子メール クライアントと併用するには、電子メール クライアントの場所レコードの [Home/Mail Server Setting (自宅/メール サーバーの設定)] フィールドで、[サーバー] タブに WINS ホストだけでなく、完全な Notes 名 (host/orgName) も表示されているかどうか確認してください。 381 PGP Desktop と IBM Lotus Notes の併用 PGP Desktop for Windows PGP Corporation は、現在の [保存場所] ドキュメントの [基本設定] タブにある [インターネット メール アドレス] フィールドに値を入力することをお勧めします。OCNOTES では、ユーザーの SMTP 電子メール アドレスを判断する際に、このフィールドを使用します。このフィールドを空 欄にすると、PGP Desktop は Domino Server のグローバル ドメイン文書に基づいて、ユーザーの SMTP 電子メール アドレスを作成します。 「アイランド モード」で操作中に PGP Desktop が一部またはすべての受信者の鍵の検索に失敗すると、PGP Desktop はレプリケーターから自宅サーバーにメッセージがプッシュされる際に鍵を検 索することでメッセージの再暗号化を試みます。 PGP Desktop が一部の受信者の鍵の検索に失敗し、Notes ネイティブの暗号化オプションがオンになっている場合、PGP Desktop は Lotus Notes クライアントに対して、暗号化に失敗した受信者へのメッセージを暗号化する ことを許可します。 Notes.ini 設定ファイル PGP Desktop によって、notes.ini の構成が更新され、次のエントリが追加されます。 EXTMGR_ADDINS=nPGPNote.dll このエントリは変更したり、削除したりしないでください。PGP Desktop は、起動時に notes.ini ファイルを毎回スキャンします。このエントリが見つからない場合は、再び追 加されます。 Lotus Notes ネイティブ暗号化の使用 Lotus Notes ネイティブ暗号化を使用すると、Notes ユーザーは Notes 鍵で暗号化された内部電子メールを送信することができます。PGP Desktop が Notes ネイティブ暗号化を使用するように設定されている場合、メッセージを作成す る際にチェックボックスを選択することで、内部ユーザー向けに機密情報を暗 号化して送信できます。すべての Lotus Notes ユーザーに Notes 鍵があります。 382 PGP Desktop と IBM Lotus Notes の併用 PGP Desktop for Windows To (宛先): フィールドの電子メール アドレスが Lotus Notes 形式 (CN=Alice Cameron/O=Example Corp) に一致し、Notes ネイティブ暗号化が有効な場合、PGP Desktop は Lotus Notes を使用して電子メールを暗号化して送信することを認めます。To (宛先): フィールドの電子メール アドレスが SMTP アドレス ([email protected]) の場合、PGP Desktop は電子メールを PGP 鍵で暗号化します。 Notes ネイティブ暗号化は、PGP Universal Server で管理されていない環境とスタンドアロン環境の両方で利用できます。スタン ドアロン環境で Notes ネイティブ暗号化を有効にするには、「PGP サポート ナレッジベース記事 #1613 『https://support.pgp.com/?faq=1613』」を参照してください。 PGP Desktop は、署名と暗号化を行うオプションが選択されている場合、すべての送信 Lotus Notes メッセージに署名ボタンと暗号化ボタンのメッセージング ポリシーを適用します。これらのポリシーの詳細については、「セキュリティ ポリシーの情報と例 『ページ : 128』」を参照してください。ポリシーがスタンドアロン環境に存在しない場合 、作成する必要があります。 Lotus Notes ネイティブ暗号化を使用するには 1 Lotus Notes でメッセージを作成します。 2 メッセージ ツールバーで [署名]、[暗号化] のボックスを選択します (テンプレートで利用できる場合)。そうでない場合、配信方法オプションを 選択し、セキュリティ オプション セクションで、[署名]、[暗号化] のボックスを選択します。 メモ : Notes ネイティブ暗号化を使用して電子メールを送信するたびにこれらのボック スを選択する必要があります。 3 メッセージを送信します。 メール ポリシーが暗号化に設定され、メール受信者が Notes ユーザーの場合、メッセージが Notes ネイティブ暗号化を使用して暗号化され、送信されます。メッセージ が処理され、Lotus Notes を使用して暗号化されていることを確認するには、通知機能メッセー ジで [詳細] をクリックします。受信者がメッセージを開くと、PGP 注釈は含まれていません。 メール ポリシーが暗号化に設定され、メール受信者が SMTP アドレスの場合、PGP Desktop は PGP 鍵を検索し、PGP Desktop を使用してメッセージが暗号化され、送信されます。受信者がメッセ ージを開くと、標準 PGP 注釈が含まれています。 383 PGP Desktop と IBM Lotus Notes の併用 PGP Desktop for Windows メール ポリシーが暗号化に設定され、メール受信者が SMTP アドレスで Lotus Notes Domino サーバーに接続されている場合、Lotus Notes は SMTP アドレスを Lotus Notes アドレスに分解しようとします。成功すると、メッセージが Notes ネイティブ暗号化を使用して送信されます。メッセージが処理され、 Lotus Notes を使用して暗号化されていることを確認するには、通知機能メッセー ジで [詳細] をクリックします。受信者がメッセージを開くと、PGP 注釈は含まれていません。 メール ポリシーが署名に設定され、Lotus Notes が送信者の Notes 鍵でメッセージを署名します。Lotus Notes または PGP Desktop を使用した暗号化は行われません。メッセージを署名するボックスが 選択されていない場合、PGP Desktop は送信者の PGP 鍵を使用してメッセージを署名します。 384 Index A P AES、PGP 仮想ディスクのアルゴリズム 248 Aladdin eToken Pro USB トークン - 175, 179, 182, 337 PGP BootGuard 画面 - 185, 192, 195, 196 PGP Desktop PGP Universal によって管理された環境 374 PGP トレイ アイコン - 36 SSL/TLS サポート - 141 アップグレード - 27 アンインストール - 31 インストール - 27 システム要件 - 25 セットアップ アシスタント - 30 ポリシーの説明 - 109 メイン画面 - 33, 34 説明 - 15 PGP Desktop のインストール - 25 PGP Desktop ログ - 46 PGP Desktop を別のコンピューターに移動 32 PGP Global Directory - 15, 62 PGP NetShare - 15, 261, See 保護されたフォルダー B BartPE、PGP WDE での使用 - 224 BootGuard - See PGP BootGuard 画面 bypass, PGP WDE SSO login - 201 C CAC - 326 CAST、PGP 仮想ディスクのアルゴリズム 248 CPU 使用率、暗号化中 - 182 F FIPS - 364 I IBM Lenovo Rescue and Recovery - 225 IM セッションの暗号化 - 101, 149, 155, See PGP メッセージング J JavaCards - 326 L Lotus Notes 電子メール クライアント - 377, 381, 382 M MAPI - 377 N NetShare - See PGP NetShare Notes ID - See Lotus Notes 電子メール クライアント 385 PGP Desktop for Windows Index Active Directory グループ - 286, 287 Netshare メニュー オプション - 297 PGP Universal によって管理された環境 294 PGP 仮想ディスクまたは PGP WDE、使用 - 262 アプリケーション ベースの暗号化リスト - 269 オプション - 290 コーディネータ、設定 - 267 パスフレーズ、消去 - 289 ファイル メニュー オプション - 296 ファイルまたはフォルダーのプロパティ - 293 フォルダー ステータス、確認 - 279 ブラックリストのファイル - 267, 268 ホワイトリストのフォルダー - 268 ユーザー - 281, 285, 286 ライセンス - 265 通知機能 - 44 破損、削除、または上書きされたファイ ルの使用 - 273 復号化バイパス アプリケーション - 269 別のフォルダーからのアクセス リストのインポート - 285 編集 メニュー オプション - 296 保護されたファイルのバックアップ - 292 役割 - 264, 283 PGP NetShare における Active Directory グループ - 286, 287 PGP NetShare のコーディネータ - 267 PGP Universal - 95, 373 PGP Universal Server - 6, 15, 50, 62, 95, 96, 214, 294, 364, 373, 375, 376, 378 PGP Universal サービス プロトコル (USP) 62 PGP WDE のリムーバブル ドライブ - 211, 212, 213, 214 PGP WDE の言語サポート - 196 PGP Whole Disk Encryption セキュリティ確保のための対策 - 222 PGP Whole Disk Encryption での認証 - 173, 195, 203 PGP WDE でのバイパス - 203 音声 - 195 使用される方法、特定 - 173 PGP Zip - 15, 299 アーカイブ、作成 - 301 アーカイブの暗号化 - 303, 306 アーカイブの編集 - 314 アーカイブを開く - 312, 314 アーカイブ後のファイルの細断処理 - 301 ファイルの抽出 - 314 ファイルまたはフォルダーの削除 - 314 ファイルまたはフォルダーの追加 - 314 自己復号型アーカイブ - 308, 313 署名のみ - 310 署名付きアーカイブの検証 - 316 詳細オプション、アーカイブの作成 - 301 変更内容の保存 - 314 PGP ディスク全体暗号化 - 15, 161 386 PGP Desktop for Windows Index セキュリティ確保のための対策 - 249 パスフレーズ、変更 - 244 バックアップ - 246 マウント - 231, 237 マウント解除 - 236, 237 暗号アルゴリズム - 248 維持 - 245 検索 - 236 交換 - 247 再暗号化 - 239 新規作成 - 231 代替ユーザー - 240 PGP 仮想ディスク ボリューム - 236, 237 PGP 仮想ディスク ボリュームのマウント 237 PGP 仮想ディスク ボリュームの自動マウント - 231 PGP 完全削除 - 15, 317 PGP Zip、使用 - 301 ファイル、完全に削除 - 319 空き領域の細断 - 320, 322 PGP 管理者 - 214, 373, 374 PGP 鍵 - See 鍵 鍵ペアの作成 - 50 PGP 鍵サーバー リスト - See 鍵サーバー PKCS-11 ライブラリ - 326 PKCS-12 X.509 証明書、インポート - 72 PGP BootGuard 画面 - 192, 195 PGP Universal Server、管理された - 214 アンインストール - 210 キーボード配列 - 196 サードパーティ アプリケーションとの互換性 - 173 サポートされているディスクの種類 - 166 シングル サインオン、使用 - 174, 198, 200, 201 セキュリティ確保のための対策 - 222 ディスク、セキュリティの維持 - 202 ディスク、暗号化済みの使用 - 191 ディスクの暗号化 - 186 ディスクの種類、サポート - 166 ディスクの準備 - 165 ディスク暗号化時のオプション - 172, 177, 182 トークンを使用した認証 - 175, 179 パーティション - 178 パスフレーズ - 174, 185, 200, 205, 208 ユーザー、操作 - 204, 205 ライセンス - 164 リカバリ ディスク、作成 - 218 リカバリ トークン - 216 リムーバブル ドライブ - 211, 213 暗号化オプション - 177, 182 暗号化されたディスクの再暗号化 - 207 暗号化されたディスクの復号化 - 220 暗号化時間、計算 - 171 暗号化中のディスク エラー - 186, 191 公開鍵認証 - 174 使用される暗号アルゴリズム - 168 自動バックアップ ソフトウェア - 210 通知機能 - 44 電源、暗号化中 - 172 認証オプション - 173, 203 PGP トレイ アイコン - 36 PGP メッセージング - 15, 101, 147 サービスとポリシー - 109 サービスの説明 - 109 PGP ログ - 46 PGP 仮想ディスク - 15, 229, 249 R Rescue and Recovery - See IBM Lenovo Rescue and Recovery S SSL/TLS サポート - 141 T TPM - See トラステッド プラットフォーム モジュール (TPM) 認証 Twofish、PGP 仮想ディスクのアルゴリズム - 248 U Unversal Server - See PGP Universal 387 PGP Desktop for Windows Index USP - See PGP Universal サービス プロトコル (USP) PGP NetShare - 290, 357 インスタント メッセージング - 350, 355 ディスク - 359 プロキシ - 353 マスター鍵 - 348 メッセージング - 350 暗号化 - 177, 182 鍵 - 344 詳細 - 364 全般 - 342 通知機能 - 357 オフライン ポリシー - 43, 104, 108, 111 W Windows Preinstallation Environment、PGP WDE での使用 - 224 Windows エクスプローラー - 38 Windows ログイン ダイアログ ボックス、表示 - 201 WINS ホスト - 381 X X.509 証明書 - 72 か あ キーボード ホット キー - 364 キーボード、PGP WDE でサポートされている - 168, 196 クライアント鍵モード (CKM) - 143 コントロール ボックス - 34 アーカイブ - 299 開く - 312, 314 作成 - 301 自己復号型 - 308, 313 署名のみ - 310 署名済みの検証 - 316 詳細オプション - 301 編集 - 314 アクセス リスト、PGP NetShare 内でのインポート - 285 アップグレード - 27, 29 アプリケーション ウィンドウ - 34 アプリケーション、暗号化を強制またはバ イパス - 269 アンインストール - 31, 210 インスタント メッセージング - 149 オプション - 355 セッションの暗号化 - 152 インポート、秘密鍵と証明書 - 72 エクスポート スマート カードからの鍵 - 332 鍵をファイルへ - 59 オプション - 339 さ サードパーティ ソフトウェア、互換性 173, 210 サーバー クライアント鍵モード (SCKM) 143 サーバー鍵モード (SKM) - 143 サービス - 109 サービス、メッセージング - 109, 111, 112, 118 サブスクリプション ライセンス - 7 サブ鍵 - 82 388 PGP Desktop for Windows Index アイコン - 82 サイズ - 82 サイズの設定 - 84 プロパティ - 82 暗号化 - 84 暗号化と署名 - 84 確認 - 83 記号 - 82 個別 - 82 削除 - 87 失効 - 86 署名 - 84 新規作成 - 84 操作 - 82 表示 - 82 有効期限 - 82, 84 有効性 - 82 サブ鍵の表示 - 82 サポート、お問い合わせ - 12 システム要件 - 25, 166, 173, 179, 182 ショートカット メニュー、PGP Netshare 293 シングル サインオン - 174, 198 PGP WDE でのログイン - 200 PGP WDE での使用 - 198, 199, 200 バイパス、PGP WDE - 201 パスフレーズ、変更 - 200, 206 スタート メニュー - 40 スタンバイ、PGP WDE - 223 スマート カード - 17, 325 JavaCards - 326 PKCS-11 - 326 カード、PGP WDE でサポートされている - 180 パーソナライゼーション - 326 パスフレーズの変更 - 333 プロパティ - 330 リーダー、PGP WDE でサポートされている - 180 鍵の抹消 - 335 鍵ペア、新規作成 - 330 鍵ペアのコピー - 333 公開鍵のコピー - 332 認証、PGP BootGuard で - 180 スリープ、Mac OS X と PGP WDE - 223 セキュアなインスタント メッセージング (IM) - 149 セキュリティ確保のための対策 - 222, 249 セットアップ アシスタント - 30 た タスク、スケジュール設定された空き領域 抹消 - 322 ディスク PGP WDE でサポートされている - 166 オプション - 359 スケジュール設定された抹消 - 322 リカバリ、作成 - 218 リムーバブル - 211, 213, 214 暗号化 - 184, 186 暗号化されたディスクへのユーザーの追 加 - 204 暗号化済みの使用 - 191 暗号化中のエラー - 191 ディスクの読み取り/書き込みエラー - 186 ディスク通知機能 - 44 データ リカバリ - 218 デジタル署名 - 57, 60, 75, 83, 100, 303, 306, 310 デフォルトのポリシー - 109, 128, 129, 130, 131, 132 トークン - 179, 325 389 PGP Desktop for Windows Index PGP NetShare のブラックリスト - 267 ファイル、完全に削除 - 319 プロパティ、PGP NetShare - 293 公開鍵のエクスポート - 59 保護されたフォルダーで使用 - 276, 277, 278 保護フォルダーの外にあるファイルの保 護 - 290 ファイル、完全に削除 - 319 ファイルの細断処理 - 317 ファイルの抹消 - See ファイルの細断処理, See 空き領域の細断 フィンガープリント、デジタルの検証 - 77 フォルダー、PGP NetShare での保護 - 262 フォルダーの抹消 - 319, 322 フォレンジック、データのリカバリ - 218 プライマリ名、鍵 - 70, 71 ブラックリストに記載された、PGP NetShare - 267, 269 プロパティ - 68, 295, 330 ポリシー - 109 デフォルトのポリシー - See デフォルトのポリシー メッセージングの作成 - 121 メッセージングの例 - 128 削除 - 140 順序変更 - 140 ホワイトリストに記載された、PGP NetShare - 268, 269 PGP WDE でサポートされているトークン - 180 PGP WDE での認証 - 175 PGP Whole Disk Encryption、使用 - 175, 179 コピー - 332, 333 プロパティ - 330 鍵の抹消 - 335 鍵ペアの新規作成 - 330 ドライブ、PGP WDE のリムーバブル - 213 トラステッド プラットフォーム モジュール (TPM) 認証 - 176 トラブルシューティング - 11, 119, 191 トレイ アイコン - See PGP トレイ アイコン は パーティション、暗号化 - 166, 178, 184, 203 バイオメトリック単語リスト、説明 - 68 パスフレーズ - 53, 249, 367 PGP WDE でサポートされている文字 185 PGP WDE での認証 - 174 PGP Zip での認証 - 306 PGP ディスク全体暗号化 - 174 PGP 仮想ディスクの代替ユーザーの追加 - 204 オプション - 342 キャッシュの消去 - 289 シングル サインオン - 174 強力、作成 - 369 設定 - 50 代替、追加 - 204, 240 変更 - 74, 200, 205, 244, 258, 333 忘れた - 95, 372 パスフレーズの品質バー - 368 パスフレーズの変更 - 74 パスワード - See パスフレーズ バックアップ ソフトウェア、使用 - 210, 292 ファイル ま マスター鍵オプション - 64, 65, 348 メーリング リスト ポリシー - 128, 129, 130, 131, 132, 135 メッセージング - 109 390 PGP Desktop for Windows Index 暗号化 PGP WDE からのユーザーの削除 - 205 PGP WDE でのパーティション - 178 PGP WDE で暗号化されたディスクの使用 - 191, 214 PGP WDE のオプション - 177 PGP WDE の所要時間の計算 - 171 PGP Zip のパスフレーズ - 306 PGP Zip の受信者鍵 - 303 インスタント メッセージング セッション - 152 ディスクまたはパーティション - 184, 186 ディスクまたはパーティションの再復号 化 - 207 パイロット テスト - 173 ユーザーの追加 - 204 最大 CPU 使用率 オプション - 171, 182 使用されるアルゴリズム - 168, 248 実行中のディスク エラー - 186, 191 初期の時間の短縮 - 171, 182 電源の瞬断に対する安全対策 オプション - 172, 182 暗号化されたドライブからのデータの回復 218 暗号化されたリムーバブル ディスクの再フォーマット - 214 永久ライセンス - 7 音、PGP WDE 認証中 - 195 音声、PGP WDE 認証 - 195 仮想ディスク - See PGP 仮想ディスク 仮想ディスクの交換 - 247 仮想ディスクの配布 - 247 概要、PGP Desktop - 1 管理されたユーザー - 5 管理されていないユーザー - 5 技術サポート - 12 技術サポート、お問い合わせ - 12 休止 - 223, 249, See スリープ、Mac OS X と PGP WDE 共通アクセス カード (CAC) - 326 強力なパスフレーズ - 369 空き領域の完全削除 - See 空き領域の細断 Lotus Notes - 377 MAPI - 377 オプション - 350 トラブルシューティング - 119 メッセージング ログ - 147 既存の編集 - 117 削除 - 117 新規作成 - 112 通知機能 - 41 複数 - 118 無効化と有効化 - 117 や ユーザー - 240, 281 PGP NetShare、アクセス リストのインポート - 285 PGP Whole Disk Encryption、追加または削除 - 204, 205 保護されたフォルダー、承認された 262, 281, 282, 284 ユーザー インターフェイス、メイン ウィンドウ - 34 ユーザー名、鍵 - 70 ら ライセンス - 7, 8, 30, 164, 265 リカバリ ディスク、PGP WDE での作成 218 リカバリ トークン - 216 ローカル ポリシー - See オフライン ポリシー ローカル ユーザー - 199, 207 ログ、メッセージング - 46, 147 ログイン、PGP BootGuard 画面 - 192 ロックアウトされた、PGP BootGuard 画面 196 わ ワイルドカード、ポリシー - 126 漢字 圧縮、PGP 仮想ディスク - 238 暗号 - 20 391 PGP Desktop for Windows Index 鍵の再構築 - 56, 95, 208 鍵の復元 - 95, See 鍵の再構築 鍵の分割 - 91 鍵の保護 - 100 鍵ペア - 17 スマート カード - 330, 333 作成 - 50 鍵ペアの生成 - 50, 330 鍵モード - 143, 364 鍵モードのリセット - 143, 364 鍵リング - 49, 55, 75 個別の署名サブ鍵 - 15 公開鍵 - 17 PGP WDE での認証 - 174 PGP ディスク全体暗号化 - 174 スマート カードからのコピー - 332 その他の取得 - 60 ファイルへのエクスポート - 59 ファイルへの保存 - 59 検証 - 77 鍵サーバーの検索 - 61 鍵サーバーへの送信 - 57 鍵サーバーへの送信の利点 - 57 署名 - 78 他のユーザーへの配布 - 57 電子メール メッセージ、添付 - 59 電子メール メッセージからのコピー - 62 無効化と有効化 - 76 再暗号化 - 207, 288 作成 - 50, 112, 121, 231, 301, 369 PGP Zip アーカイブ - 301 PGP 仮想ディスク ボリューム - 231 パスフレーズ、強力 - 369 メッセージング サービス - 112 メッセージング ポリシー - 121 鍵ペア - 50, 330 削除 - 69, 87, 335 空き領域の細断 - 15, 319, 320, 322 空き領域の細断処理のスケジュール設定 322 警告 - See 通知機能 鍵 - 49, 67 インポート - 72 エクスポート - 59, 332 オプション - 344 サブ鍵 - 82 プロパティ - 68 マスター鍵 - 64 検証のための信頼度指定 - 81 鍵サーバー、アップロード - 59 鍵リングからの削除 - 75 公開の検証 - 77 公開鍵のファイルへの保存 - 59 作成 - 50 失効 - 89, 90 写真 ID の置換 - 69 署名 - 78, 80 電子メール、添付 - 59 配布、公開 - 57 表示 - 49 復元 - 95 複数のユーザー名と電子メール アドレス - 70 分割 - 91 分割鍵の再結合 - 91, 92 紛失 - 95 保護 - 100 無効化 - 76 有効化 - 76 鍵 ID - 68 鍵サーバー - 17, 62 リスト - 344 検索 - 61 鍵の失効を知らせるために使用 - 90 公開鍵の送信 - 57 別のユーザーの公開鍵の取得 - 61 鍵サーバーの検索 - 61 鍵と署名の失効 - 80, 86, 90 鍵のバックアップ - 56 鍵の検証 - 81 392 PGP Desktop for Windows Index オプション - 354 サービスとポリシー - 109 セキュリティ保護 - 101 メッセージング ログ - 147 鍵モード - 143 公開鍵のコピー - 62 公開鍵の添付 - 59 通知機能 - 41 複数のアカウント - 118 電子メール サーバー、「メッセージング サービス」を参照 - See メッセージング 読み取り/書き込みエラー - 186 読み取り専用のディスクまたはパーティシ ョンの情報 - 202 秘密鍵 - 17, 50, 54, 72 評価ライセンス - 7 復号化 - 220 複数のメッセージング サービス - 118 分割鍵の再結合 - 91, 92 紛失した鍵またはパスフレーズ - 95 文字、PGP WDE でサポートされている 185 保護されたフォルダー - 270, 295, See 保護されたフォルダー PGP 仮想ディスク - 245 サブ鍵 - 87 ファイル、完全に削除 - 319 メッセージング ポリシー - 140 ユーザー - 241, 284 ユーザー ID - 75 鍵 - 75, 335 公開鍵からの署名 - 80 使用する基本ステップ - 20 指定された失効権限者 - 89 自己復号型アーカイブ - 308, 313 自動バックアップ ソフトウェア、PGP WDE ディスクに対して使用 - 210 失効権限者、鍵 - 89 写真 ID、鍵 - 69 受信電子メール - 103 受信電子メールの通知機能 - 42 署名 - 75 PGP Zip アーカイブ - 310, 314 鍵 - 75, 78 公開鍵 - 78 署名、鍵からの削除 - 75, 80 署名付き PGP Zip アーカイブの検証 - 316 承認されたユーザー、PGP NetShare 内 - 262, 281 信頼度、鍵検証のための指定 - 81 信頼度指定 - 81 全般オプション - 342 送信電子メール - 104 送信電子メールの通知機能 - 42 単語リスト、バイオメトリック - 68 通知機能 - 40, 362 インスタント メッセージング - 43 説明 - 41 電源の瞬断に対する安全対策 オプション 182 電子メール - 101 393 PGP Desktop for Windows Index Active Directory グループ - 286 アクセス リスト、インポート - 285 サブフォルダー - 279 ステータス - 279 ファイル、外にあるファイルの使用 - 290 ファイル、使用 - 276, 278 ファイルとフォルダーのバックアップ 292 ファイルの表示 - 278 ブラックリストのファイル - 267 プロパティ - 295 ユーザー、保護されたフォルダー - 265, 266, 281, 285, 286 ライセンス - 265 ロック解除 - 277 再暗号化 - 288 作成 - 273 削除 - 287 場所、特定 - 271 保護フォルダーのロック解除 - 277 保護鍵モード (GKM) - 143 忘れたパスフレーズ - 95 抹消、スマート カードからの鍵 - 335 役割、PGP NetShare - 264, 283 予備復号鍵 (ADK) - 87 用語 - 5, 15, 19, 109, 143, 262 394