...

CompuSec SW アプリケーションガイド

by user

on
Category: Documents
356

views

Report

Comments

Transcript

CompuSec SW アプリケーションガイド
CompuSec
アプリケーションガイド
CompuSec SW Ver.5
Windows 2000/XP/Vista
※機能、仕様は予告なく変更される場合があります。
Contents
PART.1
Windows Vista でのシングルサインオン ―――― 6
1-1
1-2
シングルサインオンでの初期ログオン ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 6
シングルサインオンでの機能 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 7
1-2-1
1-2-2
1-2-3
1-2-4
1-2-5
1-2-6
PART.2
Windows XP でのシングルサインオン
2-1
2-2
―――― 10
ワークステーションのロック ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
ログオフ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
シャットダウン ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
パスワードの変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
タスクマネージャ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
キャンセル ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
シングルサインオンの管理 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
CompuSec サービス
2
11
12
12
12
12
12
13
―――――――――――― 14
3-1
初めにお読みください ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 15
3-2
3-3
CompuSec コンポーネントのインストール/削除 ‥‥‥‥‥‥‥‥‥‥‥‥ 15
サービスとアップデート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 16
3-3-1 CompuSec について ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-2 ハードディスク暗号化の管理 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-3 製品コンポーネントのアップデート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-4 セキュリティファイルのバックアップ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-5 設定の変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-6 CompuSec ドライバの削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-7 ブート前認証の削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-8 CompuSec コンポーネントの削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-9 ログオン画面の変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-10 インストール応答ファイルの作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
3-3-11 製品登録(製品の支払い) ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
PART.4
7
8
8
8
9
9
シングルサインオンでの初期ログオン ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 10
シングルサインオンでの機能 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 11
2-2-1
2-2-2
2-2-3
2-2-4
2-2-5
2-2-6
2-2-7
PART.3
このコンピュータのロック ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
ユーザーの切り替え ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
ログオフ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
パスワードの変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
タスクマネージャの起動 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
キャンセル ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
17
17
19
19
20
20
20
20
21
22
22
リムーバブルメディアの暗号化 ―――――――― 23
4-1
暗号化フロッピー/リムーバブルメディアの作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥ 24
4-2
4-3
フロッピー/リムーバブルメディアの暗号化を解除する ‥‥‥‥‥‥‥‥‥‥ 26
CD / DVD を暗号化する ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 27
4-4
暗号化メディアを共用する ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 29
PART.5
DataCrypt ――――――――――――――――― 30
5-1
5-2
DataCrypt について ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 30
DataCrypt の起動 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 31
5-3
5-4
オプション ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 32
ファイルの暗号化 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 33
5-5
ファイルの復号 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 36
5-6
キーの管理 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 38
5-6-1
5-6-2
5-6-3
5-6-4
5-6-5
PART.6
公開鍵のインポート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
公開鍵の削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
自分の公開鍵をエクスポート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
自分のキーペアをバックアップ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
自分のキーペアを復元 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
DriveCrypt
6-1
6-2
38
39
40
41
42
―――――――――――――――― 44
仮想ドライブ用ファイルの作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 44
仮想ドライブのマウント/アンマウント ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 47
6-2-1 仮想ドライブのアンマウント ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 47
6-2-2 仮想ドライブのマウント ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 48
PART.7
SafeLan ―――――――――――――――――― 50
7-1
PART.8
暗号化フォルダの新規作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 51
7-2
既存フォルダの暗号化 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 53
7-3
7-4
CompuSec SafeLan ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 54
SafeLan キーの表示 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 55
ブート前サービス機能 ―――――――――――― 56
8-1
CompuSec SW のブート前サービス機能 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 56
8-1-1
8-1-2
8-1-3
8-1-4
8-1-5
8-1-6
8-1-7
PART.9
ユーザ ID 入力前に F1 キー ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
パスワードのリセット ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
ユーザ ID /パスワード入力直後に F1 キー ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
サービスアクセス有効 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
現在のパスワードを変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
緊急時の復号 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
ブート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
57
57
58
59
60
60
61
緊急時の対応例 ――――――――――――――― 62
9-1 CompuSec をアンインストールせずにリカバリした ‥‥‥‥‥‥‥‥‥‥‥ 62
9-2 暗号化/復号中に、強制的に電源をオフにした ‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 62
9-3
9-4
ブート前認証後、OS が起動せず(暗号化なし)
ブート前認証後、OS が起動せず(暗号化済み)
‥‥‥‥‥‥‥‥‥‥‥‥‥ 63
‥‥‥‥‥‥‥‥‥‥‥‥‥ 63
9-5 ブート前認証画面が表示せず or 認証不可(暗号化なし) ‥‥‥‥‥‥‥‥‥ 63
9-6 ブート前認証画面が表示せず or 認証不可(暗号化済み) ‥‥‥‥‥‥‥‥‥ 63
3
PART.10
オリジナルの MBR を復元する
10-1
10-2
PART.11
PART.13
PART.14
インストールランチャーによる MBR の復元 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 66
ツール FD による MBR の復元 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 68
Windows Vista の回復環境で
MBR を修正する ―――――――――――――― 70
11-1
PART.12
―――――――― 65
パッケージ製品のセットアップディスクで起動する ‥‥‥‥‥‥‥‥‥‥‥ 70
Windows XP の回復コンソールで
FIXMBR を行う ――――――――――――――― 74
12-1
12-2
パッケージ製品のセットアップディスクで起動する ‥‥‥‥‥‥‥‥‥‥‥ 74
Windows XP のセットアップ起動 FD で起動する ‥‥‥‥‥‥‥‥‥‥‥‥ 75
12-3
FIXMBR を実行 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 76
よくある質問と回答 ――――――――――――――77
13-1
13-2
システム関連 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 77
暗号化/復号関連 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 78
13-3
CompuSec 認証関連
13-4
SD カードの取り扱いについて
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 79
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 80
テクニカルサポートについて ――――――――――82
・ Microsoft、Windows は、米国 Microsoft Corporation の米国およびその他の国における登録商標です。本プログラムの著作
権は、CE-Infosys に帰属します。本ユーザーズガイドの著作権は、キヤノンシステムソリューションズ株式会社に帰属しま
す。その他の製品名および社名などは、各社の商標または登録商標です。
・本書は、本書作成時のソフトおよびハードウェアの情報に基づき作成されています。その後のソフトウェアのバージョンアッ
プ等により、記載内容とソフトに搭載されている機能が異なっている場合があります。また、本書の内容は、予告なく変更す
ることがあります。
・本製品の一部またはすべてを無断で複写、複製、改変することはその形態を問わず、禁じます。
4
ソフトウェア使用許諾契約書
◆重要
保証限定
以下の条件を、本製品を使用される前にお読み下さい。本製品はソフトウェアを含ん
でおり、その使用は、CE-Infosys PTE. Ltd.によって、以下に設定された使用方法
CE-Infosys は、その保証として、本ソフトウェアが記録されたディスクに欠陥が無
に限りお客様に対して使用許諾されます。お客様が、本契約の以下の条項に合意され
ない場合、本ソフトウェア使用は禁止され、本ソフトウェアのいずれか一部の使用も、
お客様が本条項に合意されたことを示します。
使用許諾
CE-Infosys は、お客様に対し、本「ライセンス契約」に規定された条件および条項
に従い、添付されたソフトウェア・プログラムを使用する、非独占的なライセンスを
許諾します。お客様は、本ソフトウェアを、リース・賃貸、頒布、再許諾することま
たは、本ソフトウェアをタイムシェアリングまたはその他の承認されていない方法で
使用することを許諾されていません。また、お客様に本ソフトウェアの可読形式の形
態(ソースコード)に関する許諾は一切賦与されません。以下に記載された以外にお
いて、本ライセンス契約はお客様に、特許・著作権・営業秘密・商標またはその他の
本ソフトウェアに関連する権利を許諾するものではありません。
本ソフトウェアは、お客様が所有あるいはお客様にリースされたいかなるワークステ
ーション、または、ネットワークサーバーで使用されるためにライセンスされます。
但し、本ソフトウェアは、単一の CE-Infosys の CompuSec と関連して、または、
本ソフトウェア単体でのみ使用することができます。お客様は、ここで本ソフトウェ
アの使用が許諾されたそれぞれのワークステーションまたはネットワークサーバー毎
に、1つの本ソフトウェア及び関連文書の複製を作成することができます。その他に、
本ソフトウェアおよび関連文書は、お客様が本ソフトウェアをここに許諾されている
使用方法で使用することを支援する目的でのバックアップまたは保存を本質とする場
合に複製することができます。お客様は、お客様が作成される全ての複製物に、本ソ
フトウェアと関連文書に表示される全ての著作権表記およびその他の所有権に関する
表記を含んで作成しなければなりません。
譲渡不可:リバースエンジニアリング不可
お客様は、CE-Infosys の事前の書面による承認無しに、本ソフトウェアおよび本ラ
イセンス契約を他社に移転または譲渡することはできません。そうした承認が与えら
れた場合に、お客様は本ソフトウェアおよび本ライセンス契約を移転または譲渡する
と同時に、全ての本ソフトウェアおよび関連文書の複製物を同じ相手に移転するか、
移転されないそうした複製物を破壊しなければなりません。上記に記載された以外に
おいて、お客様は、本ソフトウェアまたは、本ライセンス契約によるお客様の権利を
移転または譲渡することは認められていません。
本ソフトウェアに対する変更、リバースエンジニアリング、逆コンパイル、ディスア
センブルは、明示的に禁止されています。お客様が本ソフトウェアの他のプログラム
との相互動作を可能にするために変更を要望される場合には、CE-Infosys にお問い
合せ下さい。
輸出規制
お客様は、本ソフトウェアおよび関連文書(およびその全ての複製物)
、または本ソ
フトウェアを利用する全ての製品およびその文書を、お客様がそれらを購入された国
の適用される法律および規則に違反して輸出あるいは輸出しないことに合意したもの
いことのみ保証します。代理店、販売店またはその他のいかなる法人または個人も、
本保証条件または本ライセンス契約の他の条件を拡張または変更する権限を有しませ
ん。本ライセンス契約書に規定された以外のいかなる表明もCE-Infosys を拘束しま
せん。
CE-Infosysは、本ソフトウェアに記載された機能が、お客様の要求に適合すること、
本ソフトウェアの動作に障害が生じないこと、または、エラーが無いことを保証致し
ません。
本ライセンス契約書に記載されたものを除き、本ソフトウェアは、そのままの状態で
提供され、明示的または暗示的な、商品性に関する暗示的な全ての保証および特定目
的への適合を含みそれに限定されない、いかなる種類の保証は与えられません。CEInfosys は、本ソフトウェアに関して、アップデート・アップグレード・技術サポー
トを提供する義務を負いません。
更に、CE-Infosys は、第三者の技術サポート要員によって提供されたいかなる情報
の正確性、および、そうした技術サポートの結果として、お客様が実行あるいは停止
したことにより、直接あるいは間接的に生じた損害について損害賠償責任を負いませ
ん。
お客様は、お客様が意図した結果を得るための本ソフトウェアの選択、本ソフトウェ
アのインストール・使用および本ソフトウェアによって得られた結果について、全て
の責任を負うものとします。お客様はさらに、本ソフトウェアの品質および成果が適
用されることについて全ての危険を負担します。本ソフトウェアに欠陥があることが
実証された場合でも、CE-Infosys およびその代理店または販売店ではなく、お客様
が、全ての必要なサービス、補修・修正の費用を負担します。
本保証は、お客様に特定の法的権利を付与致しますが、お客様は、国・地域により異
なる、法的権利を有します。一部の国または地域では、暗示的な保証を除外すること
を禁止しており、その場合、お客様には上記の除外は適用されません。CE-Infosys
は、本ソフトウェアが、CE-Infosys 以外の第三者によってカスタマイズ・再パッケ
ージ又は変更していた場合には、全ての保証を放棄いたします。
救済および損害の制限
前項の保証に対する CE-Infosys の違反に対する救済は、問題の製品の購入価格に制
限されます。いかなる場合にも、CE-Infosys またはその供給者は、いかなる、間接
的、偶発的、特定的、または、本ソフトウェアまたは、本ライセンス契約により生じ
た、経過的な損害または、利益の損失、資産の減少、収入減、または、データの損失
について、CE-Infosys または、その供給者が、そうした損害の可能性を通知されて
いた場合であっても、損害賠償責任を負いません。CE-Infosys のお客様または、そ
の他の個人に対する損害賠償責任は、その請求の形態にかかわらず、お客様が本ソフ
トウェアを使用するために支払った金額を超えないものとします。
分離不可分性
とします。
本ライセンス契約のいずれかの条項が、無効、不法、実行不可能であると判明した場
合にも、それ以外のいかなる条項の有効性、合法性、実効性は影響および変更される
営業機密:所有権
ものでは無く、同様の意図および経済的効果のある有効、合法、実行可能な条項によ
り置換されることとします。
お客様は、本ソフトウェアの構造、シーケンス、組織は CE-Infosys の価値ある営業
機密であることを認識し合意したこととします。お客様は、当該営業機密を保持する
ことに合意することとします。お客様はさらに、本ソフトウェアおよびその派生的な
複製物の所有権が、その形態に拘わらず CE-Infosys の所有物であることを認識し、
合意したものとします。
一般条項
本ライセンス契約書は、シンガポール共和国法を管轄法都市、お客様と CE-Infosys
の間の全ての理解と合意を定めるものであり、両者のサインのある書面によってのみ
変更されうるものとします。
期間および解除
本権利許諾は、別途解除されない限り、お客様が最初に本ソフトウェアを使用した日
から 50 年間有効です。お客様は、本ソフトウェアおよび文書を、複製物およびいず
れかの形態に統合されたものの全てとともに破壊することによって、本権利許諾をい
つでも解除することができます。お客様が、本ライセンス契約の条項の一に違反した
場合、本権利許諾はただちに解除されます。当該解除に当たり、お客様は、本ソフト
ウェアおよび文書を、複製物およびいずれかの形態に統合されたものの全てとともに
CE-Infosys Pte Ltd
390 Havelock Road
#08-02 King's Centre
Singapore 169662
Tel: (65) 6235 8722
Fax:(65) 6235 3164
破壊することに合意することとします。
5
PART
1
Windows Vista での
シングルサインオン
1-1 シングルサインオンでの初期ログオン
CompuSec には「シングルサインオン」
モジュールがあり、ブート前認証後の
Windows へのログオンが自動的に行われ
ます。CompuSec 導入直後や、シングル
サインオンを一旦無効にし、再び有効とし
た後は、各種情報を入力するように求めら
れます。
ユーザ
Windows のアカウント名を入力してください。
パスワード
Windows のアカウント名に該当するパスワードを入力してください。
各項目を入力後、「この認証情報を記録」にチェックが入っている状態で、右矢印ボタン
をクリッ
クまたは、キーボードの Enter キーを入力すると、アカウント情報を記憶し、次回の Windows ログオ
ンを自動的に行います。
シングルサインオンにこれらの情報を保存したくない場合(Administrator などの管理者情報)は、毎
回「この認証情報を記録」のチェックを外して、ログオンしてください。
尚、ドメイン環境にログオンする場合は、ユーザ欄に「ドメイン名 ¥ ユーザ名」といった書式で入力
して下さい。
6
PART 1
Windows Vista でのシングルサインオン
「別のドメインでログオンしますか?」部
分をクリックすると、次のようなメッセー
ジが表示されます。
1-2
シングルサインオンでの機能
Windows デスクトップ画面の状態で、キーボード
より Ctrl + Alt + Del を入力すると、次の画面に切り
替わります。
1-2-1 このコンピュータのロック
[このコンピュータのロック]をクリックすると、
画面がロックされます。デスクトップに復帰するに
は、CompuSec パスワードを入力してください。
※「他の資格情報」ボタンをクリックし、画面ロ
ックされているアカウントを選択する事もでき
ますが、そのアカウントのパスワードを入力す
る必要があります。アカウントにパスワードが
設定されていない場合は、そのままデスクトッ
プ画面に復帰します。
7
1-2-2
ユーザーの切り替え
[ユーザーの切り替え]をクリックすると、シングルサインオン画面が表示されますので、登録済みユ
ーザや新しいアカウントでログオンしてください。
1-2-3
ログオフ
[ログオフ]をクリックすると、Windows からログオフし、シングルサインオン画面が表示されます。
1-2-4
パスワードの変更
[パスワードの変更]をクリックすると、
Windows アカウントのパスワードを変更で
きます。
また、この画面で[オプション]
部をクリックすると、[シングル
サインオンの管理]と[Compu
Sec パスワードの変更]ボタンが
表示されます。
8
PART 1
Windows Vista でのシングルサインオン
・シングルサインオンの管理
シングルサインオンに記録された、アカウ
ント一覧が表示されます。不要なアカウン
トは、ここで削除する事ができます。
例えば、システム管理者のアカウントが登
録されている場合、そのアカウント情報で
他人が自動ログオンしないようにする場
合、管理者の情報を削除することができま
す。
不要なアカウントを選択し、
[削除]をクリックした後は、必ず[保存]もクリックしてください。
※ シングルサインオンは、最後に保存したアカウントで自動ログオンする仕様となっております。
管理者権限での自動ログオンを望まない場合は、常に「この認証情報を記録して下さい」の
チェックを外してログオンすることをお勧めいたします。
※ シングルサインオンに記録されるアカウントは、Windows Vista の場合、4KB までの容量制と
なっており、4KB を越える場合は、古い物から削除されていきます。このため、アカウント名に
使われる文字数や文字種などにより、記録できるアカウント数は変わります。
・ CompuSec パスワードの変更
ブート前認証や画面ロックを解除する際に
入力する、CompuSec パスワードを変更
する事ができます。
それぞれの欄にパスワードを入力して、
[OK]をクリックしてください。
※ パスワードは英数字のみで構成し、記
号は使わないでください。
1-2-5
タスクマネージャの起動
[タスクマネージャの起動]をクリックすると、Windows のタスクマネージャが起動します。
1-2-6
キャンセル
[キャンセル]ボタンをクリックすると、Windows のデスクトップに復帰します。
9
PART
2
Windows XP での
シングルサインオン
2-1 シングルサインオンでの初期ログオン
CompuSec には「シングルサインオン」モジュールがあり、ブート前認証後の Windows へのログオ
ンが自動的に行われます。CompuSec 導入直後は、各種情報を入力するように求められます。
シングルサインオンの画面は、Windows
ログオン画面に似ていますが、ボタンと
機能が追加されています。
ユーザ
Windows のアカウント名を入力してください。
パスワード
Windows のアカウント名に該当するパスワードを入力してください。
ドメイン
ドメイン名を入力します。(ドメインを使用していない場合は「このコンピュータ」
を選択)
各項目を入力後、[ログオンと保存]をクリックすると、CompuSec がこれらの情報を記憶し、次回
の Windows ログオンを自動的に行います。
CompuSec にこれらの情報を保存したくない場合(Administrator などの管理者情報)は、毎回[ロ
グオン]をクリックして、ログオンしてください
10
PART 2
Windows XP でのシングルサインオン
2-2
シングルサインオンでの機能
Windows デスクトップ画面の状態で、キ
ーボードより Ctrl + Alt + Del を入力する
と、シングルサインオンのダイアログが
開きます。
2-2-1
ワークステーションのロック
[ワークステーションのロック]をクリ
ックすると、画面がロックされ、キー入
力などが無効となります。
デスクトップに復帰するには、キーボー
ド よ り Ctrl + Alt + Del を 入 力 し 、
CompuSec パスワードを入力してくださ
い。
11
2-2-2
ログオフ
[ログオフ]をクリックすると、Windows からログオフします。
2-2-3
シャットダウン
[シャットダウン]をクリックすると、次の一覧より動作を選択できます。
∼のログオフ
Windows からログオフします。
シャットダウン PC をシャットダウンします。
再起動
PC を再起動します。
スタンバイ
PC をスタンバイ状態にします。
休止状態
PC を休止状態にします。
※休止状態とスタンバイは、その PC がサポートしているときに表示されます。
2-2-4
パスワードの変更
[パスワードの変更]をクリックすると、現在ログオンしている Windows アカウントのパスワードを
変更することができます。
2-2-5
タスクマネージャ
[タスクマネージャ]をクリックすると、Windows のタスクマネージャが起動します。
2-2-6
キャンセル
[キャンセル]をクリックすると、Windows のデスクトップに復帰します。
12
PART 2
Windows XP でのシングルサインオン
2-2-7
シングルサインオンの管理
[シングルサインオンの管理]をク
リックすると、シングルサインオン
が保存している、Windows アカウン
ト名の一覧が表示されます。
ここでは、[ログオンと保存]にて登
録された、Windows アカウント情報
を削除できます。
例えば、システム管理者のアカウントが登録されている場合、そのアカウント情報で他人が自動ログ
オンしないようにする場合、管理者の情報を削除することができます。
※ シングルサインオンは、最後に保存したアカウントで自動ログオンする仕様となっております。
Administrator などの管理者権限で自動ログオンを望まない場合は、常に手動ログオンすることを
お勧めいたします。
※ シングルサインオンに記録される Windows アカウントは、8 個までです。8 個を越える場合は、
古い物から削除されていきます。
13
PART
3
CompuSec サービス
CompuSec サービスを使用するには、スタートメニューから「すべてのプログラム」−「Security」
ー「CompuSec サービス」と選択します。
Windows Vista では、「ユーザーアカウ
ント制御」のダイアログが表示されます
が、[続行]をクリックしてください。
CompuSec サービス画面が表示されま
す。
14
PART 3
CompuSec サービス
3-1
初めにお読みください
ブラウザを使って、各種機能の説明などを見ることができます。
3-2
CompuSec コンポーネントのインストール/削除
ハードディスク暗号化、シングルサイン
オン、SafeLan、DataCrypt、
DriveCrypt、CD / DVD 暗号化など、各
機能の有効/無効を設定できます。
※ GlobalAdmin 管理下では、本項目を開
く事ができません。
※ Windows Vista では、CD / DVD 暗号
化機能は導入されません。
Windows Vista
※ ハードディスクが暗号化済みの場合、
OS に関わらず「ハードディスク暗号
化」部分はグレー表示となり、変更で
きません。
Windows 2000 / XP
15
3-3 サービスとアップデート
CompuSec 単独版と GlobalAdmin 管理下では、表示される内容が異なります。
・ CompuSec 単独版
[CompuSec について]、[ハードディスク暗
号化の管理]、[製品コンポーネントのアップ
デート]、[セキュリティファイルのバック
アップ]、[設定の変更]、[ログオン画面の変
更]、[製品登録]があります。
※[製品登録]は、オンラインで製品登録を行うと、表示されなくなります。
ダウンロード版では、[製品の支払い]と言う名称で、支払証明コードを登録すると、[製品登録]
に変わります。
・ GlobalAdmin 管理下の CompuSec
[CompuSec について]、[ハードディスク暗
号化の管理]、[製品コンポーネントのアップ
デート]、[設定の変更]、[ログオン画面の変
更]、[インストール応答ファイルの作成]が
あります。
16
各ボタンについては、次項より説明します。
PART 3
CompuSec サービス
3-3-1
CompuSec について
インストールされている CompuSec の詳細情報を表示します。
3-3-2
ハードディスク暗号化の管理
PC に接続されているハードディスクの、
暗号化/復号の設定を行います。
※ GlobalAdmin 管理下の場合は、ブート
前認証時に「アンインストール権限を
持つ User」で認証されている必要が
あります。
暗号化未処理
ハードディスクは暗号化されていません。
ブート前に暗号化
OS が起動する前に暗号化を行います(「作業中に暗号化」に比べて、暗号化に
要する時間が長く、中断できません)。
作業中に暗号化
OS のバックグラウンドで暗号化を行います。
(推奨)
暗号化作業中
ハードディスクは暗号化中です。
暗号化済み
ハードディスクは暗号化されています。
ブート前に復号
OS が起動する前に復号を行います(「作業中に複号」に比べて、復号に要する
時間が長く、中断できません)。
作業中に復号
OS のバックグラウンドで復号を行います。
(推奨)
復号作業中
ハードディスクは復号中です。
ディスクが見つかりません
ハードディスクが接続されていません。
プルダウンリストからオプションを選択し、ハードディスクの設定を変更できます。
設定変更後、[保存]をクリックすると設定が保存されます。
※ ここでは、暗号化/復号の設定のみ行いますので、実際の暗号化/復号処理を行うには PC を再起
動させる必要があります。
暗号化(または復号)処理は、PC を再起動させ、ブート前認証時に暗号化(または復号)を開始す
るかどうかの問い合わせがありますので、そこで「Y」を入力して、初めて処理を開始します。
ハードディスクを複数搭載している場合、ブート前認証時の問い合わせは、ハードディスク毎に表示
17
されます。3 台搭載している場合は、問い合わせは 3 回ありますので、「Y」を入力したディスクのみ
処理が行われます。
「N」を入力したディスクの暗号化/復号のフラグは、そのまま維持されます。
「Y」が入力されるか、設定を変更しない限り、ブート前認証の度に問い合わせが表示されます。
「作業中に暗号化」(または復号)が開始されると、Windows のシステ
ムトレイに砂時計型のアイコンが常駐し、回転するようになります。こ
のアイコンをクリックすると、処理状況が表示されます。
処理が終了すると、砂時計型からハードディスク型にアイコンが変化し、
PC を再起動すると、アイコンの常駐はなくなります。
18
PART 3
CompuSec サービス
コンピュータなどを開くと、暗号化されたハードディ
スクには、緑色の鍵アイコンが付加されます。
注意
「ブート前に暗号化」や「ブート前に復号」を選択すると、途中で処理を中断することができません。
「ブート前に暗号化」(または復号)プロセスが開始された後に、電源を強制的にオフにするなどで無理に中断すると、
ハードディスクのデータが二度と読めなくなりますのでご注意ください。
従って、「作業中に暗号化」(または復号)を選択することを強くお勧めします。この場合は、通常の手順によるシャッ
トダウンや、スリープ、休止への移行なども可能です。
また、「作業中に暗号化」(または復号)の方が、処理を高速に行うことができます。
但し、「作業中に暗号化」(または復号)を実行中、不測の事態で OS がハングアップした場合などは、強制中断となり
ますので、暗号化(または復号)処理が完全に終了するまでは、OS に負担のかかる作業などは控えておいた方が良い
でしょう。
暗号化作業中に不良セクタなどが原因で処理が進んでいないように見えることがあります。そのような時は電源を強制
的にオフするなどせずに、サポートセンターまでお問い合わせください。
3-3-3
製品コンポーネントのアップデート
本バージョンでは使用しません。
3-3-4
セキュリティファイルのバックアップ
CompuSec 単独版では、CompuSec 導入時に SecurityInfo.dat ファイルを生成し、保存しますが、こ
のファイルを紛失した場合は、このボタンにて再生成する事ができます。(希に、再生成できない PC
があります)
※ GlobalAdmin 管理下では、グレー表示で利用できません。
19
3-3-5
設定の変更
CompuSec 単独版では、使用しません。
GlobalAdmin 管理下では、ローカル管理
パスやリモート管理パス、ログを記録す
るパス、ポリシーの更新間隔時間を設定
します。
通常は、「更新の自動検索間隔」のみ変
更してください。単位は「分」で、標準
では 20 分間隔でポリシーチェックを行
っています。設定範囲は、1 ∼ 1440 で
す。
3-3-6
CompuSec ドライバの削除
CompuSec が正常にインストールされている状態では、グレー表示で利用できません。
(CompuSec が正常にアンインストールできない場合に強制アンインストール方法として使用します)
3-3-7
ブート前認証の削除
CompuSec が正常にインストールされている状態では、グレー表示で利用できません。
(CompuSec が正常にアンインストールできない場合に強制アンインストール方法として使用します)
3-3-8
CompuSec コンポーネントの削除
CompuSec が正常にインストールされている状態では、グレー表示で利用できません。
20
PART 3
CompuSec サービス
3-3-9
ログオン画面の変更
ブート前認証画面の背景画像と、文字色
を変更できます。
前景色
文字色を RGB 値で設定します。
背景色
文字の背景色を RGB 値で設定します。
中央のドロップダウンリスト
ブート前認証画面の背景画像を選択します。
背景画像は、c:¥Program Files¥CE-Infosys¥CompuSec フォルダ内にある、compusec_1.bmp が標
準で選択されており、compusec_2.bmp、compusec_3.bmp が選択できます。
尚、任意のビットマップ画像を 1024x580 の 24bit カラーで用意し、ファイル名を compusec_4.bmp
としていけば、追加で選択できるようになります。
注意
背景画像は、必ず 1024x580 の 24bit カラーで用意してください。それ以外のサイズや色数の場合、ブート前認証画
面が正常に表示されず、
[ログオン画面の変更]がグレー表示となり、変更できなくなる場合があります。
各項目を設定した後[続行]をクリックすると、次回コンピュータ起動時から、設定した内容で、ブート前認証画面が
表示されます。
21
3-3-10
インストール応答ファイルの作成
GlobalAdmin 管理下で CompuSec をインストールする際、ローカル管理パスを使って CompuSec を
導入した後に使用します。
GlobalAdmin では、クライアントへ CompuSec が導入されているか否かを管理するために、クライア
ント側からの応答ファイルを見て判断しています。
G l o b a l A d m i n 管 理 者 よ り 受 け 取 っ た ポ リ シ ー フ ァ イ ル を、 ロ ー カ ル 管 理 パ ス か ら 読 み 込 ん で
CompuSec を導入した場合は、このボタンをクリックしてください。
クリックすると、「リモート応答パス」に、RC_xxxxxxxx.prf.ack5(xxxxxxxx 部は、Computer SN)
と言うファイルが生成されますので、GlobalAdmin 管理者に渡してください。
※ CompuSec 単独版に、このボタンはありません。
3-3-11
製品登録(製品の支払い)
CompuSec 単独版で、支払証明コードを登録後の状態で表示されます。このボタンをクリックして、
正式に CompuSec を製品登録してください。
ダウンロード版で、支払証明コードを登録する前は、[製品の支払い]となっています。
※ GlobalAdmin 管理下では、このボタンはありません。
22
PART
4
リムーバブルメディアの
暗号化
CompuSec では、フロッピーディスクや USB メモリのような、リムーバブルメディアを使用する際、
暗号化モードで使用するかどうかを選択することができます。
※ GlobalAdmin にて設定されるポリシーによっては、自由に選択できない場合があります。詳細は
GlobalAdmin の管理者に問い合わせてください。
※ USB、IEEE1394 接続のハードディスクドライブはリムーバブルメディアとして認識されます。
暗号化モードでは、そのメディアに記録するものは自動的に暗号化
されます。この暗号化ユーティリティは、「南京錠」のアイコンと
して、システムトレイに表示されます。
すべてのリムーバブルデバイスを、暗号化無しで使用していることを示します
すべてのリムーバブルデバイスまたは、一部のリムーバブルデバイスが暗号化モードである
ことを示します
23
4-1 暗号化フロッピー/リムーバブルメディアの作成
暗号化フロッピー/リムーバブルメディアを作成するには、フロッピーディスクまたは USB メモリな
どをコンピュータに装着します。
このメディアに、あらかじめ記録されたデータがある場合は、先にデータを退避してください。デー
タを残したまま、メディアを暗号化することはできません。
1
システムトレイの「暗号化ユーティリティ」アイコ
ンをクリックし、「暗号化」を選択します。(図は、
フロッピーディスクを暗号化しています)
2
「暗号化」を選択時に、メディア
が暗号化されていない場合は、次
のメッセージ表示されます。よろ
しければ[OK]をクリックして
ください。
24
PART 4
リムーバブルメディアの暗号化
暗号化メディアとして利用するた
3
め、フォーマットを行う旨のメッセ
ージが表示されますので、[はい]
をクリックしてください。
Windows のフォーマット用ダイアログが表示され
4
ますので、フォーマットを実行してください。
フォーマット完了後は、コンピュータのドライブア
イコンに、緑色の鍵マークが表示されるようになり
ます。
注意
フォーマット完了後、そのメディアで読み書きをする際は、暗号化モードになっているかどうかを確認してくだ
さい。暗号化なしのモードになっているか、CompuSec が導入されていないコンピュータで読み込もうとする
と、フォーマットされていないものと見なされてしまいますので、間違ってフォーマットしないようにご注意く
ださい。
また、暗号化モードになっているドライブに、非暗号化メディアを挿入した場合も、暗号化フォーマットを行う
かどうかを問い合わせてきますのでご注意ください。
25
4-2 フロッピー/リムーバブルメディアの暗号化を解除する
フロッピー/リムーバブルメディアの暗号化を解除するには、暗号化フォーマットされたフロッピー
または、USB メモリなどのメディアをコンピュータに装着します。
暗号化メディアに記録されたデータが必要な場合は、暗号化を解除する前に、データを退避してくだ
さい。データを残したまま、暗号化を解除することはできません。
1
システムトレイの「暗号化ユーティリティ」アイコ
ンをクリックし、「暗号化なし」を選択します。(図
は、暗号化済みのフロッピーディスクです)
2
「暗号化なし」を選択後、メディア
が暗号化されている場合、次のメッ
セージが表示されます。暗号化なし
のメディアとして取り扱う場合、
[OK]をクリックしてください。
3
暗号化なしのメディアとして利用す
るため、フォーマットを行う旨の
メッセージが表示されますので、
[はい]をクリックしてください。
26
PART 4
リムーバブルメディアの暗号化
4
Windows のフォーマット用ダイアログが表示されますので、フォーマットを実行してください。
フォーマット完了後は、通常のメディアとしてお使いいただけます。
注意
フォーマット完了後、そのメディアに読み書きをする際は、暗号化なしのモードになっているかどうかを確認し
てください。暗号化モードになっていると、そのメディアは未フォーマットであると見なされてしまいます。
暗号化モードになっていると、フォーマットされていないものと見なされてしまいますので、間違ってフォーマ
ットしないようにご注意ください。
また、暗号化なしのモードになっているドライブに、暗号化メディアを挿入した場合も、フォーマットを行うか
どうかを問い合わせてきますのでご注意ください。
4-3
CD / DVD を暗号化する
本バージョンより、CD-R / RW メディアに対して、暗号化を伴った書き込みが可能となりました。
但し、本機能は Windows 2000 / XP のみに導入されます。Windows Vista には導入されません。
※ 本機能を使う際、DVD メディアに関する記述がございますが、現在のところ、DVD メディアへの
書き込みに関して対応しておりませんことを、予めご了承ください。
注意
暗号化を伴う書き込みは、CD-R / RW を使った、Windows XP の標準機能でのみ実現できます。
一般的な CD / DVD へのライティングソフトウェアを経由しての、暗号化書き込みには対応しておりません。
Windows では、DVD メディアへの書き込みが標準でサポートされておりませんので、DVD メディアへの暗号化モ
ードによる書き込みはできません。
1
システムトレイの「暗号化ユーティリティ」アイコンをク
リックし、
「CD / DVD 書込」部の、
「暗号化」を選択します。
27
CD / DVD 用の暗号化キーリストが表
2
示されますので、キーを選択し[OK]
をクリックしてください。
3
4
以降は、CD-R などをドライブに挿入後、Windows XP の書き込み機能を使ってライティングし
てください。
暗号化書き込みを行ったメディアを、
CompuSec が導入されていないコンピ
ュータで参照すると、空のメディアと
して見えます。
しかし、書き込みを行おうとすると、
次のようなメッセージが表示され、処
理できません。
※ RW メディアの消去は、別の PC でも通常通り行うことができます。
28
PART 4
リムーバブルメディアの暗号化
4-4
暗号化メディアを共用する
暗号化メディアを他の CompuSec ユーザと共用するには、フロッピーキーやリムーバブルメディアキ
ーなどを共通にしておく必要があります。
CompuSec 単独版で、暗号化キーを共通とするには、2 台目以降の PC へ CompuSec を導入する際に、
1 台目で生成された SecurityInfo.dat から暗号化キーを読み込ませてください。CompuSec 導入後に、
暗号化キーを変更する事はできません。
(詳細は別途、インストールガイドをご覧ください)
GlobalAdmin 管理下では、User に割り当てるポリシー設定(CompuSec Profile の Key group)で行
いますので、GlobalAdmin の管理者に問い合わせてください。
29
PART
5
DataCrypt
本バージョンの DataCrypt より、Windows アカウントごとにキーペアが作成される仕様に変更となり
ました。
CompuSec 単独版では、CompuSec ユーザ ID はひとつですが、その Windows アカウントで初めて
DataCrypt を起動すると、
(自アカウント用の)DataCrypt で使うユーザ ID を問い合わせてきます。
このため、同じ PC でも Windows アカウントが異なる場合は、対象アカウントと公開鍵をやり取りし
ていないと、DataCrypt によるファイルのやり取りを行う事ができません。
GlobalAdmin 管理下の CompuSec でも同様です。但し、GlobalAdmin 管理の場合は本バージョン
(5.x)より、CompuSec の User 名と Windows のアカウント名が、同一の時のみ、DataCrypt を
起動する事ができます。
例えば、CompuSec の User 名「Canon」でブート前認証を通過した場合、Windows のアカウント名
も「Canon」でログオンする必要があります。(大文字/小文字は関係ありません)
5-1 DataCrypt について
DataCrypt はファイルを暗号化するためのモジュールで、楕円曲線を基にした公開鍵暗号方式を使用
しています。Windows アカウント毎にキーペア(2 つの鍵)を生成し、ひとつのキーは暗号化に用い、
もうひとつのキーは復号に使用します。
片方のキーから、残りのキーを計算で求めることはできません。
そのため、片方のキーを公開しても、もう片方の機密は保たれます。つまり、片方のキーを「公開鍵」
として友人に送付し、そのキーで暗号化したファイルを電子メールや、FTP で送信しても、データ転
送中は機密が保持されます。
DataCrypt で暗号化できるファイルは 680MB 以下となります。
30
PART 5
DataCrypt
相手の区別には、ユーザ ID とメールアドレス
(GlobalAdmin 管理下では、GlobalAdmin の
User リストに登録されている物)を使用します。
これにより、同名の人がいる場合でも、混同を
避けることができます。
5-2
DataCrypt の起動
DataCrypt を利用するには、「スター
ト」−「すべてのプログラム」−
「Security」−「DataCrypt ファイル暗号
化」を選択してください。
31
初めて起動した際は、DataCrypt 用のユーザ
ID とメールアドレスを入力するように求め
られます。
※ DataCrypt でのユーザ ID やメールアドレスは、CompuSec の User 名や Windows アカウント名と
異なっていても構いません。但し、2 バイト文字(日本語)には未対応ですので、英数字(メール
アドレスには、@ やハイフン、ピリオドは含む)のみを使って入力してください。
5-3 オプション
「オプション」タブにて、暗号化
ファイルや、復号ファイルを置くデ
フォルトフォルダを指定できます。
また、各入力フィールド下のチェッ
クボックスにチェックをいれること
で、ファイルの暗号化/復号の後、
元のファイルを削除するかどうかを
指定できます。
デフォルトフォルダを指定したら、
[保存]をクリックして設定を保存
してください。
32
PART 5
DataCrypt
5-4
ファイルの暗号化
ファイルを暗号化するには、「暗号化」
タブをクリックします。
暗号化したいファイルを、ツリー構造を
辿って選択してください。ファイル名の
□ 部をクリックし、チェックマークを付
ける事で、暗号化対象のファイルとして
選択されます。
暗号化するファイルを選択後、[次]を
クリックしてください。
33
※ エクスプローラなどで、ファイルを右クリックした際に表示
される、コンテキストメニューからも、暗号化を行う事がで
きます。複数ファイルの選択も可能です。
次に、暗号化したファイルを渡す相手を選
択します。相手先を複数選択することも可
能です。この場合、暗号化したファイルを
複数の相手先に渡すことができます。
図の例では「canon」が自分となっていま
す。
自分用に暗号化する場合は「canon」のみ
にチェックを入れます。「user01」と言う
相手に送る場合は、「user01」にチェック
を入れてください。
※ 初期設定では自分のユーザ ID のみが表示された状態となります。相手に DataCrypt で暗号化され
たファイルを渡す場合、あらかじめ相手の公開鍵をインポートする必要があります。公開鍵のイ
ンポートとエクスポートについては「5-6 キーの管理」を参照してください。
この時、相手先(user01)のみにチェックを入れて暗号化すると、自分自身(canon)では復号で
きなくなりますのでご注意ください。
ユーザ ID が多数ある場合は、「検索」欄にユーザ ID 名を入力すると、該当するユーザがハイライト選
34
択されます。
PART 5
DataCrypt
すべてのユーザを対象とする場合は、「全送信先」にチェックを入れる事で、すべてのユーザ ID に
チェックが入ります。
続けて、暗号化ファイルを保存するフォ
ルダを「暗号化ファイルの保存先を指定」
欄から選択してください。保存先は、次
の 3 つから選択できます。
・ 選択したファイルと同じフォルダ
選択したファイルと同じフォルダに、
暗号化ファイルが保存されます。
・ オプションで設定したデフォルトフォ
ルダ
「オプション」タブで設定したフォル
ダに、暗号化ファイルが保存されます。
・ ファイルの保存先を手動選択
毎回、任意のフォルダを選択します。
最後に、[暗号化]をクリックしてくだ
さい。ファイルの暗号化が始まります。
暗号化されたファイルには、.encrypted
という拡張子が付きます。
35
5-5 ファイルの復号
暗号化したファイルを復号するには、
「復号」タブをクリックしてください。
復号したいファイルを、ツリー構造を辿
って選択してください。ファイル名の □
部をクリックし、チェックマークを付け
る事で、復号対象のファイルとして選択
されます。
36
PART 5
DataCrypt
続いて、復号されたファイルをどこに保
存するかを指定します。
選択肢は、暗号化の際と同様に、次の 3
つから選択が可能です。
・ 選択したファイルと同じフォルダ
・ オプションで設定したデフォルトフォ
ルダ
・ ファイルの保存先を手動選択
ファイルの保存先を選択後、[次]をク
リックしてください。
指定されたフォルダに、復号されたファ
イルが保存されます。
※エクスプローラで暗号化ファイル(拡張子 .encrypted)
を右クリックした際に表示される、コンテキストメニュー
からも復号を行う事ができます。複数ファイルの選択も可
能です。
但し、復号後のファイル保存先は指定できず、暗号化ファ
イルと同じフォルダに保存されます。
37
5-6 キーの管理
「キー管理」タブでは、登録キーの一覧表示や、公開鍵のインポート/エクスポート、自分のキーペア
のバックアップが行えます。
5-6-1
公開鍵のインポート
相手の公開鍵をインポートするには、
[公開鍵のインポート]をクリックして
ください。
インポートしたい公開鍵ファイルを選択
し、[開く]をクリックしてください。
公開鍵のファイル名は、「相手のメールアド
レス _PubKey.dat」と言うファイル名となっ
ています。(図の例では、[email protected]_PubKey.dat です)
確認ダイアログが表示されますので、間違い
38
なければ[OK]をクリックしてください。
PART 5
DataCrypt
キー管理タブの一覧に、インポートした
相手の公開鍵が登録されます。
DataCrypt は、自動的にキーのインポー
トを行うことも可能で、自分は相手の公
開鍵を所有しているが、相手は自分の公
開鍵を持っていない、とします。
DataCrypt は、相手向けに暗号化ファイ
ルを作成すると、自分の公開鍵をその
ファイルに付加します。
相手がファイルを受け取り復号を行う
際、相手の DataCrypt が自動的にあなた
の公開鍵をインポートしようとします。
インポートの際は、前述のような確認メッセージが表示されますので、よろしければ[OK]をクリッ
クしてください。
※ユーザ名が既に登録済みの場合は、名前の変更が必要となります。
5-6-2
公開鍵の削除
インポートした公開鍵が不要になった場
合、不要となった公開鍵にチェックマー
クを入れて、[削除]をクリックしてく
ださい。
39
確認メッセージが表示されますので、間違いなければ[OK]
をクリックしてください。
5-6-3
自分の公開鍵をエクスポート
自分の公開鍵を相手に送る際は、[公開
鍵のエクスポート]をクリックしてくだ
さい。
「名前を付けて保存」のダイアログボッ
クスが表示されますので、フォルダを指
定後、
[保存]をクリックしてください。
40
PART 5
DataCrypt
5-6-4
自分のキーペアをバックアップ
CompuSec 単独版の DataCrypt には、自
分のキーをバックアップする機能があり
ます。バックアップしたキーは、
CompuSec を再導入し直した際などに復
元できます。
自分のキーペアをバックアップにするに
は、[キーのバックアップ]をクリック
してください。
「名前を付けて保存」ダイアログボック
スが表示されますので、フォルダを指定
後、[保存]をクリックしてください。
バックアップファイルをパスワードで保護したい場合は、
「パスワード」部のボックスをチェックして、
[キーのバックアップ]をクリックします。
保存先を指定後、パスワードを入力するよう
に促されますので、入力後[OK]をクリッ
クしてください。
※ パスワードの文字数は 6 ∼ 16 文字で、英
数字だけで構成してください。
41
バックアップが作成された旨のメッセージ
が表示されます。
キーのバックアップファイルは、フロッピーディスクや USB メモリなどの、外部メディアに保存し、
安全な場所に保管してください。
MBR ファイルや SecurityInfo.dat ファイルと一緒に保存しておく事をお勧めします。
5-6-5
自分のキーペアを復元
CompuSec 単独版では、自分のキーペア
を復元することができます。復元するに
は、[復元]をクリックします。
42
PART 5
DataCrypt
「ファイルを開く」ダイアログボック
スが表示されますので、バックアップ
したキーファイルを指定後、[開く]を
クリックしてください。
パスワードを使用していた場合は、パスワー
ドを入力するように促されます。
パスワードを入力し、[OK]をクリックして
ください。
復元が完了すると、確認画面が表示されます。
[OK]をクリックして終了です。
43
PART
6
DriveCrypt
DriveCrypt では、暗号化されたファイルを(仮想)ドライブとして割り当てて、利用することができ
ます。
※ GlobalAdmin 管理下では User 側ポリシー(CompuSec Profile)の設定により、ファイルの作成や
マウント/アンマウントなどが制限されますので、ご注意ください。
6-1 仮想ドライブ用ファイルの作成
GlobalAdmin 管理下では、すべての User で共用できる仮想ドライブファイルを作成することはできま
せん。
作成されたファイル(仮想ドライブ)は、作成時の User ID 専用となります。
CompuSec 単独版では、異なる Windows アカウントで作成した仮想ドライブファイルを、アカウン
ト間で共用することができます。
1
Windows のスタートメニューよ
り、「すべてのプログラム]−
「Security」−「[DriveCrypt]
コンテナ暗号化」を選択します。
44
PART 6
DriveCrypt
2
[参照]をクリックしてファイルの
保存先を指定後、ファイル名を入力
して、[保存]をクリックしてくだ
さい。
3
「サイズ」と「ボリュームラベル」
欄に、数値と文字列を入力してくだ
さい。
「サイズ」の単位は、MB(メガバイ
ト)または GB(ギガバイト)が、
選択できます。サイズとボリューム
ラベルを入力したら、[OK]をク
リックしてください。
サイズは、ファイルシステムの 1 ファイルの上限まで指定できます。
FAT32 なら 4GB まで。NTFS なら 2TB(ここでは 2000GB)となります。
4
仮想ドライブ用のファイルを作成し
ますので、しばらくお待ちください。
45
ファイル作成が完了すると、パス
5
ワードを問い合わせてきます。
CompuSec パスワード(ブート前
認証時に入力したもの)を入力して、
[OK]をクリックしてください。
(パスワードに、任意の文字列を指
定する事はできません)
GlobalAdmin 管理下では、User 側ポリシー(CompuSec Profile)にて「Request Password
Authentication pior Mounting a Container Volume」が「Yes」の時のみ、パスワードの要求が
あります。
「No」の場合は、パスワードの入力はありません。
注意
この時、間違ったパスワードを入力すると処理が中断し、作成されたファイルはフォーマットされず、マウント
もされません。後でマウント後、フォーマットを行ってください。
6
作成したファイル(仮想ドライブ)
をフォーマットしますので、しばら
くお待ちください。
7
フォーマットが完了すると自動的に
マウントされますので、しばらくお
待ちください。マウントされると、
特にメッセージは無く、このダイア
ログは消えます。
46
PART 6
DriveCrypt
今回の例では、図のようにボリューム
8
ラベル名が「Canon_HDD」の E ドライ
ブとして、128MB の仮想ドライブが追
加されます。
6-2
仮想ドライブのマウント/アンマウント
前項では、作成したファイルが自動的にマウントされ、通常のドライブと同じように扱えるまでを説
明しました。
本項では、仮想ドライブのマウントとアンマウントについて説明します。
6-2-1
仮想ドライブのアンマウント
仮想ドライブを作成すると、自動的にマウントされますので、先にアンマウント方法を説明します。
1
コンピュータなどを開き、仮想
ドライブのファイルアイコンに
て右クリックすると、コンテキ
ストメニューに、
「[DriveCrypt]」
と言う項目が増えています。
このメニューより、選択したド
ライブまたは、すべてのドライ
ブをアンマウントすることがで
きます。
47
別の方法として、仮想ドライブがマウントされた状態
2
では、Windows のシステムトレイに、DriveCrypt ア
イコンが常駐するようになります。
(この図では、一番左のアイコンになります)
このアイコンをクリック(また
は右クリック)すると、アンマウ
ントのためのメニューが表示さ
れますので、選択したドライブ
または、すべてのドライブをア
ンマウントすることができます。
6-2-2
仮想ドライブのマウント
仮想ドライブのマウントを自動で行うことはできません。Windows 起動後に仮想ドライブ用ファイル
を指定し、手動でマウントさせる必要があります。
1
仮想ドライブをマウントするには、エクスプローラな
どで .dcr ファイルをダブルクリックするか、図のよ
うに右クリックで選択し、コンテキストメニューから
「[DriveCrypt]のマウント」を選択してください。
※ マウントする際は、任意のドライブレターにマウ
ントする事はできません。
C ∼ Z から、空いている一番若いドライブ名から
割り当てられ、C ∼ Z まで埋まっている場合は、
A と B が割り当てられます。
48
PART 6
DriveCrypt
パスワードの入力を求められますので、
2
CompuSec パスワードを入力して、
[OK]をクリックしてください。
パスワードが正しければ、仮想ドライブとしてマウントされます。マウント時は、特にメッセー
ジなどは表示されず、エクスプローラでそのドライブが開かれます。
GlobalAdmin 管理下では、User 側ポリシー(CompuSec Profile)にて「Request Password
Authentication pior Mounting a Container Volume」が「Yes」の時のみ、パスワードの要求が
あります。
「No」の場合、パスワードの入力は無く、そのままマウントされます。
GlobalAdmin 管理下では、ブート前認
証時の User ID と異なる ID で作成され
た仮想ドライブをマウントしようとす
ると、次のメッセージが表示されます。
マウント時にパスワードが間違っている場合
は、次のメッセージが表示されます。
49
PART
7
SafeLan
SafeLan フォルダを設定すると、SafeLan フォルダへのファイル書き込み時に自動的に暗号化され、
フォルダの認証キーなしには、フォルダへのアクセスや、ファイル内容を見ることができません。
フォルダの認証キーを持つ User が、SafeLan フォルダより通常のフォルダなどへファイルをコピー
(移動)すると、自動的に復号されます。
尚、ファイルサーバーの管理者であっても、SafeLan フォルダ内の、暗号化されたファイル内容を参
照することは不可能です。(SafeLan フォルダを開いたり、フォルダ内のファイル削除は可能です)
SafeLan を利用するには、ファイルサーバー側に NTFS(v5.0 以降)ファイルシステムが必要です。
SafeLan のすべての機能をご利用いただくには、GlobalAdmin が必要となります。
注意
CompuSec を導入した PC の、ローカルディスクにある共有フォルダに SafeLan を設定しても、自身で復号している
ため、ネットワーク先のコンピュータ(CompuSec の有無に関わらず)からは、平文のファイルとして参照できてし
まいます。
SafeLan フォルダを設定する場合は、CompuSec が導入されていない PC か、ファイルサーバーなどに行ってくださ
い。
S a f e L a n を 使 用 す る に は 、 W i n d o w s の ス タ ー ト メ ニ ュ ー よ り 、「 す べ て の プ ロ グ ラ ム ] −
「Security」−「SafeLan フォルダ暗号化」を選択します。
SafeLan を使用するには、インストール時にインストールオプションで SafeLan を選択している必要
があります。
50
PART 7
SafeLan
SafeLan メインメニューには、[暗号化
フォルダ作成]、[既存フォルダ暗号化]、
[利用可能なキーを表示]と、3 つのボタ
ンがあります。
7-1
暗号化フォルダの新規作成
暗号化フォルダを新規に作成するには、
[暗号化フォルダ作成]をクリックします。
1
「1.新規暗号化フォルダの名
前を選択します」欄に、作成
する暗号化フォルダ名を入力
します。
51
「2.暗号化フォルダをどこに作成しますか?」
2
欄に、暗号化フォルダを作成するパスを入力し
ます。パスが不明なときは、入力フィールド右
のボタンを押して、ネットワーク先を参照して
ください。
3
「3.新規暗号化フォルダのキーを選択し、作成をクリックします」欄から、暗号化するための
キーを指定します。
CompuSec 単独版では、どのキーを選んでも構いません。他の CompuSec 導入 PC とキーを同じ
とする場合は、CompuSec をインストールする際に SecurityInfo.dat ファイルから、キーをイン
ポートさせる必要があります。
キーをインポートする手順については、インストールガイドをご覧ください。
GlobalAdmin 管理下では、CompuSec Profile に割り当てた Keygroup により、表示される暗号化
キーの数や種類が異なります。
CompuSec Profile にて、「Hierarchy Level:5(Highest)」が割り当てられている User は、
Level:0 ∼ 5 まで、すべての暗号化キーを取り扱えます。
逆に、「Hierarchy Level:0(Lowest)」が割り当てられている User は、Level:0 のキーで暗号化
されたファイルしか参照できません。
4
最後に[作成]をクリックすると、暗号化
フォルダが作成されます。
SafeLan フォルダには、赤い鍵マークが付
加されます。
52
PART 7
SafeLan
同様に、SafeLan フォルダに入れたファイ
ルにも、赤い鍵マークが付加されます。
7-2
既存フォルダの暗号化
ファイルサーバー等に存在する、既存フォルダも暗号化可能です。メインメニューの[既存フォルダ
を暗号化]をクリックしてください。
1
「1.どのフォルダを暗号化します
か?」欄に、暗号化したいフォルダ
名も含めたパスを入力します。パス
が不明な場合は、入力フィールド右
のボタンを押して、ネットワーク先
を参照してください。
53
2
「2.フォルダを暗号化するキーを選択し、暗号化 を押してください」欄より、暗号化するための
キーを選択します。
暗号化キーの指定などについては、「7-1 暗号化フォルダの新規作成」と同様です。
[暗号化]をクリックして、フォル
3
ダの暗号化を行ってください。
SafeLan フォルダおよび、そのフォ
ルダに入れたファイルには、赤い鍵
マークが付加されます。(「7-1 暗号
化フォルダの新規作成」と同様です)
7-3 CompuSec SafeLan
GlobalAdmin で提供できる SafeLan には、キーレベルの無い「CompuSec SafeLan」と言うものがあ
ります。CompuSec SafeLan は、暗号化キーにレベルがありません。
(暗号化キーに関しては、CompuSec 単体版と同様の扱いとなります)
使い方は通常の SafeLan と同様ですので、暗号化キーレベルによる細かい参照条件などを考慮しない
場合は、こちらの方が判りやすいでしょう。
後述の「7-4 SafeLan キーの表示」では、例としてキー名を「CS-SafeLan-01」として割り当ててい
ます。キー名は、GlobalAdmin でキーを生成する際に名称を決めますので、通常の SafeLan キーと混
同しないような名称を与えてください。
54
PART 7
SafeLan
7-4
SafeLan キーの表示
SafeLan メインメニューの[利
用可能なキーを表示]をクリッ
クすると、現在の User で使用で
きる SafeLan キーが、すべて表
示されます。
※CompuSec 単独版では、
GlobalAdmin 管理下のキー例
Level:0 のキーが 8 個表示され
ます。
GlobalAdmin 管理下で表示される暗号化キーの数は、User 側のポリシー設定により異なります。
55
PART
8
ブート前サービス機能
CompuSec では OS 起動前に、いくつかの機能を使用できます。
8-1 CompuSec SW のブート前サービス機能
ブート前認証画面で F1 キーを押すこと
により、サービス機能メニューが表示さ
れます。F1 キーを押すタイミングで、メ
ニュー内容が異なります。
ユーザ ID 入力前に F1 キー
1 パスワードのリセット
2 戻る
1 サービスアクセス有効 (※)
ユーザ ID とパスワード入力後に F1 キー
2 現在のパスワードを変更
3 緊急時の復号
4 ブート
※ CompuSec 単体版のみ表示されます。
56
PART 8
ブート前サービス機能
8-1-1
ユーザ ID 入力前に F1 キー
ブート前認証画面で、ユーザ ID 入力
前に F1 キーを押すと、サービスメ
ニューに入ります。
8-1-2
パスワードのリセット
CompuSec 単体版では、CompuSec 導入時に指定した「パスワードリセットコード」を用意してくだ
さい。
GlobalAdmin 管理下でのパスワードリセットは、GlobalAdmin 管理者と連絡を取る必要があります。
1 を入力すると、パスワードのリセット手順が開始されます。
パスワードをリセットしたいユーザ ID 名を入力し、
1
Enter キーを押します。
ユーザ ID 入力後、CompuSec 単体版では、
2
パスワードリセットコードを入力して、
Enter キーを押します。
GlobalAdmin 管理下では、パスワードリセット用のコードが表示されますので、GlobalAdmin の
管理者に伝えてください。
注意
このコードは、パスワードリセットをやり直すと変化しますので、ESC キーなどで戻らず、この画面のままで
GlobalAdmin 管理者からの返事を待ってください。
57
Enter キー入力後、
3
GlobalAdmin 管理者よ
り伝えられたコードを
入力し、Enter キーを
入力してください。
※この項目は、GlobalAdmin 管理下の CompuSec のみです。
パスワードリセットコードの認証が完了すると、
4
新しいパスワード入力のメッセージが表示され
ますので、新しいパスワードを入力してくださ
い。
※ パスワードの有効期限による変更や、「現在のパスワード変更」を行っていた場合、過去 7 個
前までのパスワードは再利用できません。
確認のため、新しいパスワードを再入力し、
5
6
Enter キーを押します。
新しいパスワードの確認完了後、「新しいパスワードが保存されました」とのメッセージが表示
され、Windows の起動を開始します。
8-1-3
ユーザ ID /パスワード入力直後に F1 キー
ユーザ ID /パスワードを入力後に F1 キーを押すと、前述までとは違ったサービスメニューが表示さ
れます。
CompuSec 単独版では、オプション
が 4 つあり、
「サービスアクセス有効」
「現在のパスワードを変更」「緊急時
の復号」
「ブート」、が選択できます。
58
PART 8
ブート前サービス機能
GlobalAdmin 管理下では、オプショ
ンが 3 つあり、「現在のパスワード
を変更」
、
「緊急時の復号」
「ブート」、
が選択できます。
8-1-4
サービスアクセス有効
CompuSec で保護されたコンピュータに、サービス担当者がアクセスするための、一時ユーザを作成
します。(サービスアクセス有効時のユーザ ID 名は「Service」に固定となります)。
※ GlobalAdmin 管理下の CompuSec では表示されません。
「サービスアクセス有効」を選択すると、サー
ビス ID 用のパスワードを登録しますので、パス
ワードを入力してください。
確認のため、パスワードを再入力してください。
パスワードに間違いがなければ、サービスアクセスが有効となりますので、任意のキーを押して、コ
ンピュータを再起動してください。
再起動後は、ユーザ ID「Service」と設定したパスワードで認証することができます。
認証後は通常通り OS が起動されます。
サービスアクセスで OS を起動した場合、CompuSec サービスなど、一部の機能に制限がかかってい
ます。
サービスアクセスを無効とするには、2 つの方法があります。
ひとつは、通常のユーザ ID とパス
ワードで認証してください。
もうひとつは、サービスアクセス
の ID とパスワード入力後に、F1 を
押し、ここで、「サービスアクセス
無効」を選択してください。
59
8-1-5
現在のパスワードを変更
「現在のパスワードを変更」は、現在のパスワードを、別のパスワードに変更する際に使用します。
※パスワードは、過去 7 個前までのものが再利用できません。
新しいパスワードを入力するようにメッセージ
1
が表示されます。新しいパスワードを入力後、
Enter キーを押してください。
確認のため、新しいパスワードを再入力し、
2
3
Enter キーを押します。
新しいパスワードの確認後、「新しいパスワードが保存されました」とのメッセージを表示し、
Windows の起動を開始します。
8-1-6
緊急時の復号
「緊急時の復号」を選択すると、Windows の起動が不可能な状態でも、「ブート前に復号」を使って
ハードディスクの復号を行うことができます。
重要
BIOSにて休止状態などがサポートされている場合は、事前に無効化してください。復号中に電源が
切れると、ハードディスクの情報が二度と読めなくなりますので、ご注意ください。
1
ブート前認証画面で、ユー
ザ ID とパスワードを入力後
に F1 キーを押し、「緊急時
の復号」を選択すると、復
号を行うかどうかを問い合
わせてきます。
60
PART 8
ブート前サービス機能
2
復号が必要であれば「Y」を入力してください。その場で復号が開始されます。
そのまま電源を切らずにおき、「残りセクター」がゼロになると、自動で再起動されますので、
しばらくお待ちください。
復号中に強制的に電源がオフになると、ハードディスクの情報が二度と読めなくなりますので、
ご注意ください。
※ 不良セクター部分の処理を実行している場合、残りセクターの数字のカウントが止まったよ
うに遅くなる場合があります。残りセクターの数字が数時間経過しても同じ場合、サポート
センターにご連絡ください。
8-1-7
ブート
何も行わず、Windows の起動を開始します。
61
PART
9
緊急時の対応例
本章では、CompuSec 導入後にコンピュータが起動できなくなった場合の例を挙げ、その対応につい
て記載しております。各項目に該当しない場合は、サポートセンターまでご連絡ください。
9-1 CompuSec をアンインストールせずにリカバリした
リカバリシステムが MBR 領域までリカバリしない場合が多く、リカバリ中の再起動などで、リカバ
リが続行できないなどの現象が見られます。
この様な場合は、「10 オリジナルの MBR を復元する」に従って、MBR を復元してください。
オリジナル MBR が無い場合は、Windows のセットアップディスクを使った MBR 修正方法にて代用
してください。
・ Windows Vista については、「11 Windows Vista の回復環境で MBR を修正する」を参照してくだ
さい。
・ Windows 2000 / XP については、「12 Windows の回復コンソールで FIXMBR を行う」を、参照
してください。
オリジナルの MBR データが無く、MBR の修正のみを行った場合、MBR のセクター 1 に CompuSec
で書き込んだ内容が残るため、リカバリ後でも CompuSec のインストールはできません。その際はサ
ポートセンターまでご連絡ください。
9-2 暗号化/復号中に、強制的に電源をオフにした
電源オフに限らず、処理中に Windows がハングアップした場合も、基本的にハードディスク内容が
読めなくなってしまい、お客様では処理できない状態となってしまいます。
システムのリカバリが最短での解決方法ですが、なんとしてもデータを救いたい場合は、サポートセ
ンターへ PC を送付していただくことになります。
62
但し、データの完全な復元に関しては保証できません事をご了承ください。
PART 9
緊急時の対応例
9-3
ブート前認証後、OS が起動せず(暗号化なし)
ハードディスクが暗号化されておらず、OS 側の障害により起動できない場合は、通常通り Windows
の修復や上書きインストールなどを行ってください。
または、別の PC へハードディスクを接続し、データを退避後、ハードディスクを障害 PC に戻してか
ら、オリジナル MBR の復元(10 オリジナルの MBR を復元する)とシステムのリカバリを行ってく
ださい。
9-4
ブート前認証後、OS が起動せず(暗号化済み)
ハードディスクが暗号化済みで、OS の障害により起動できない場合は、ブート前サービス機能の
「8-1-6 緊急時の復号」を使って、復号してください。
その後は、通常通り Windows の修復や上書きインストールするか、データを退避後にオリジナルの
MBR を復元し、システムをリカバリするなどを行ってください。
9-5
ブート前認証画面が表示せず or 認証不可(暗号化なし)
まず、オリジナルの MBR を復元(10 オリジナルの MBR を復元する)して Windows が起動すること
を確認してください。Windows が起動するならば、先にお客様データの退避を行い、システムのリカ
バリをお勧めいたします。
リカバリをせず、そのシステムで引き続き運用する場合は、強制アンインストールを行うことになり
ますので、サポートセンターまでご連絡ください。
9-6
ブート前認証画面が表示せず or 認証不可(暗号化済み)
ブート前認証が行えないと、「緊急時の復号」による復号処理ができません。この様な場合は、別の
PC に CompuSec をセットアップし、2 台目以降の内蔵ハードディスクとして接続し、データの退避
や復号などを行ってください。
別の PC に CompuSec を導入する際は、
・ CompuSec 単独版
障害 PC へ CompuSec を導入した際に生成された、SecurityInfo.dat ファイルからハードディスク
の暗号化キーを読み込ませてください。
USB 接続のハードディスクケースなどを使う場合は、ハードディスクの暗号化キーを一旦読み込
み、リムーバブルメディアキー部に同じ数値を手動で書き込んでください。
63
・ GlobalAdmin 管理下
障害 PC と同じコンピュータ名に設定し、インストールしてください。
GlobalAdmin 管理下では、ハードディスクの暗号化キーを、リムーバブルメディアキーに設定する
ことができませんので、USB 接続のハードディスクケースなどを使ってのディスク参照は不可能
です。
尚、ハードディスク上のデータに構わずリカバリを行って良い場合は、オリジナルの MBR を復元後
に、リカバリを行ってください。
64
PART
10
オリジナルの MBR を
復元する
CompuSec をアンインストールせずに、システムのリカバリを行うと、MBR 領域まで復元されるか
どうかは、PC メーカーや機種などにより異なります。
また、バックアップソフトを使って復元させた場合にも同様のことが考えられます。
このため、リカバリ後にも CompuSec の認証画面が表示されたり、CompuSec のインストールがで
きない場合があります。
これは、CompuSec をインストールする際に保存した、オリジナルの MBR を復元することで回避で
きます。
注意
CompuSec をインストールする際に保存した .mbr ファイルは、PC メーカー様オリジナルの MBR データとなります
ので、CompuSec を再インストールする際は、上書きせず、別途保管しておいてください。
この手順は、原則として緊急避難的に操作していただく内容ですので、お客様にて操作を間違えた、改変した MBR を
組み込んで、PC の動作がおかしくなった等に対する保証は致しかねますことをご承知おきください。
※ CompuSec 4.18.6 以降のバージョンでは、CompuSec 自身がインストール先フォルダ内(c:¥Program
Files¥CE-Infosys¥CompuSec)に、compusec_track0_backup.dat と言うファイル名で、MBR データを保
存しています。但し、こちらはアンインストール時に削除されます。
重要
ハードディスクが暗号化されている状態では、MBRの復元を行わないでください!
65
10-1 インストールランチャーによる MBR の復元
CompuSec のインストール CD を挿入すると、インストールランチャーが起動します。
このインストールランチャーから、MBR を復元させる事ができます。
ダウンロード版や GlobalAdmin 管理の CompuSec のインストールランチャーにも、同じ機能がありま
す。
重要
但し、Windows上からMBRを復元させる場合は、必ず CompuSec がアンインストールされた状態
か、システムをリカバリした後に行ってください。 CompuSec は MBR を保護していますので、
Windows上からでは正常にMBRを復元できません。
1
Windows が起動している状態で、CompuSec のインストール CD を挿入すると、インストールラ
ンチャーが起動します。自動で起動しない場合や、ダウンロード版では、「csinstall(インストー
ルはこちら).exe」を、直接実行してください。
2
この画面が表示されている状態で、
キーボードより Ctrl + 3 を入力して
ください。(Ctrl を押しながら、テン
キーではない方の 3 のキーを押して
ください)
3
66
右上部に[MBR の確認]と「MBR の復元]ボタンが表示されます。
PART 10
オリジナルの MBR を復元する
4
[MBR の復元]をクリックし、確認メッセージ
に対して[はい]をクリックしてください。
CompuSec 導入時に保存した
MBR ファイルを選択し、[開く]
をクリックしてください。
MBR の復元に成功すると、次のメッ
5
セージが表示されますので、[OK]を
クリック後、必ず PC を再起動してくだ
さい。
再起動後、Windows が起動するかをご確認ください。
67
10-2 ツール FD による MBR の復元
まず、PC を起動できるフロッピーディスクを作成します。
1
Windows(XP または Vista)が動作している PC で、フロッ
ピーディスクをフォーマットしてください。
その際「MS-DOS の起動ディスクを作成する」にチェック
を入れて、実行してください。
2
ツールプログラムを、フロッピーディスクへコピーします。
CompuSec インストール CD 内または、ダウンロードしたものを展開後の、¥tool¥mbr_RW フォ
ルダ内にあるファイルをすべて、作成した起動ディスクへコピーします。
3
CompuSec 導入時に保存した、オリジナルの MBR データを、mbrfull.mbr と言うファイル名へ変
4
このフロッピーディスクで、問題の PC を起動してください。
5
しばらくすると画面に DOS プロンプト(a:\>)が表示されますので、
更して、フロッピーディスクへコピーしてください。
mbr[Enter]
と入力してください。(mbr.bat を実行します)
a:\>
68
mbr [Enter]
PART 10
オリジナルの MBR を復元する
6
画面に、次のようなメッセージが表示されます。
作成したフロッピーディスクには、日本語フォントの設定があ
りませんので、日本語部は文字化けし、正常に表示されません。
実行するオプションを選択してください。
(番号入力)
0-62 までのセクタをバックアップします
:1
0-62 までのセクタをリストアします
:2
終了
:0
Select a option you want to execute.(Enter number)
Back up the sectors from 0 - 62
:1
Restore the backup sectors
:2
Exit
:0
7
MBR データを復元しますので、キーボードより「2」を入力してください。
8
MBR を処理している画面がしばらく続き、再度 6 項のメッセージが表示されますので、「0」を
9
フロッピーディスクを取り出し、PC を再起動させ、Windows が起動することを確認してくださ
押して終了します。
い。
69
PART
11
Windows Vista の
回復環境で MBR を修正する
ハードディスクが暗号化されている場合は、BOOTREC を実行しても Windows を起動することはで
きませんので、暗号化されたまま BOOTREC を実行しないでください。
事前に、ハードディスクの復号処理を済ませておく必要があります。
Windows Vista の回復環境で、BOOTREC コマンドを発行すると、CompuSec が書き換えた MBR を、
Microsoft 標準の物へ書き換えることができます。
Windows は起動するようになりますが、CompuSec で書き換えた MBR は複数セクタに渡るため、
後でオリジナルの MBR に復元しておくことを忘れないでください。
11-1 パッケージ製品のセットアップディスクで起動する
PC に添付されているリカバリ用ディスクでは、回復環境を起動できない場合が多いようです。
但し、リカバリディスクのセット内容によっては、OS だけをインストールできるセットアップディ
スクが含まれている場合がありますので、念のためご確認ください。
基本的には、純粋な OS としてのセットアップディスクが必要です。
Windows Vista のセットアップディスクを用意してください。
※ DVD ドライブから起動するには、BIOS の設定をし直さなければならない場合があります。DVD
ドライブから起動しない場合は、BIOS 設定を確認してください。
USB 外付けドライブの場合、古い PC またはドライブでは、起動できない場合があります。
70
PART 11
Windows Vista の回復環境で MBR を修正する
1
2
DVD ドライブに Windows Vista のセットアップディスクを入れ、PC を起動してください。
画面に「Press any key to boot
from CD...」と表示されますので、
何かのキーを押してください。この
画面が表示されますので、[次へ]
をクリックしてください。
3
[コンピュータを修復する]をクリッ
クしてください。
71
4
「システム回復オプション」の画面
にて[次へ]をクリックしてくださ
い。
5
「回復ツールを選択してください」
の画面で、「コマンドプロンプト」
をクリックしてください。
6
72
コマンド入力用のウィンドウが
表示されます。
PART 11
Windows Vista の回復環境で MBR を修正する
7
キーボードより MBR を
修復するコマンドとして、
bootrec /fixmbr[Enter]
と入力してください。
([Enter]は、Enter キー
です)
8
「操作は正常に終了しま
した。」とのメッセージが
表示されたら、キーボー
ドより exit[Enter]と入
力して、ウィンドウを閉
じてください。
9
[再起動]をクリックし
て、Windows Vista セッ
トアップディスクを取り
出してください。
再起動後に、ブート前認
証画面および、シングル
サインオン画面が表示さ
れず、Windows のログオ
ン方式でログオンできる
かを確認してください。
73
PART
12
Windows XP の回復コンソー
ルで FIXMBR を行う
ハードディスクが暗号化されている場合は、FIXMBR を実行しても Windows を起動することはでき
ませんので、暗号化されたまま FIXMBR を実行しないでください。
事前に、ハードディスクの復号処理を済ませておく必要があります。
Windows XP(または 2000)の回復コンソールを起動し、FIXMBR コマンドを発行することで、
CompuSec が書き換えた MBR を、Microsoft 標準の物へ書き換えることができます。
Windows は起動するようになりますが、CompuSec で書き換えた MBR は、複数セクタに渡るため、
後でオリジナルの MBR に復元しておくことを忘れないでください。
※ SATA タイプのハードディスクでは、BIOS でドライバを切り替えることができない場合がありま
す。その場合は、その PC 用の SATA ドライバを入手して、セットアップディスクで起動させる際
に F6 キーを押して、別途読み込ませてください。
12-1 パッケージ製品のセットアップディスクで起動する
コンピュータに添付されているリカバリディスクで、回復コンソールを起動できない物が多いようで
す。
但し、リカバリディスクのセット内容によっては、OS だけをインストールできるセットアップディ
スクが含まれている場合がありますので、念のためご確認ください。
基本的には、純粋な OS としてのセットアップディスクが必要です。
Windows XP または Windows 2000 のセットアップディスクを用意してください。
※ CD ドライブから起動するには、BIOS の設定をし直さなければならない場合があります。CD ドラ
イブから起動しない場合は、BIOS 設定を確認してください。USB 外付けドライブの場合、古い
PC またはドライブでは、起動できない場合があります。
74
PART 12
Windows XP の回復コンソールで FIXMBR を行う
1
CD ドライブに Windows のセットアップディスクを入れ、PC を起動します。
2
画面に「Press any key to boot from CD...」と表示されますので、何かのキーを押してくださ
3
4
い。
「セットアップへようこそ」というメッセージが表示されたら、Repair(修復)の「R」を押し
ます。
キーボードのタイプを入力します。
12-2
Windows XP のセットアップ起動 FD で起動する
Microsoft の Web サイトにて「Windows XP のインストール用起動ディスクを入手する方法」
(http://support.microsoft.com/kb/880422/ja)を参照し、起動ディスクを作成するためのモジュー
ルを入手してください。
(Windows XP 用ですが、Windows 2000 の環境にも利用できます)
1
ダウンロードしたモジュールを実行すると、別ウィンドウが開き、起動用ディスクを作成するド
ライブ名を問い合わせてきます。
A など、該当するフロッピードライブ名を入力してください。
以降は、メッセージに従って、6 枚の起動用フロッピーを作成します。
2
3
4
作成した起動用フロッピーの 1 枚目を使ってコンピュータを起動し、セットアップ画面が出るま
で、2 ∼ 6 枚目までのフロッピーを差し替えていきます。
「セットアップの開始」という画面が表示されたら、R= 修復(画面下に表示)の「R」を押しま
す。
キーボードのタイプを入力します。
75
12-3 FIXMBR を実行
Windows XP の回復コンソール起動後の操作となります。起動方法にかかわらず、共通の手順となっ
ています。
1
Windows 回復コンソールが起動すると、次のメッセージが表示されます。
Microsoft Windows XP(TM)回復コンソール。
回復コンソールはシステムの修復と回復機能を提供します。
EXIT と入力すると、回復コンソールを終了し、コンピュータを
再起動します。
1 : C:¥WINDOWS
どの Windows インストールにログオンしますか?
(取り消すには Enter キーを押してください)
2
該当する Windows の番号を入力してください。
(1[Enter])
3
Administrator アカウントのパスワードを入力するように求められますので、入力してください。
4
コマンドプロンプトが表示されます。
(c:¥Windows >)
5
C:¥windows > に対して、FIXMBR[Enter]と、キーボードより入力してください。([Enter]
6
76
(パスワードが無い場合は、Enter キーのみ入力)
は、Enter キーです)
「新しい MBR を書き込みますか?」との問い合わせに対し、Y[Enter]を入力してください。
「新しいブートレコードは正しく書き込まれました。」と表示されたら、終了です。
7
C:¥windows > に対して、EXIT[Enter]を実行すると、PC が再起動します。
8
ブート前認証画面が表示されずに、Windows が起動するかを確認してください。
PART
13
よくある質問と回答
13-1
Q1
システム関連
CompuSec が対応している OS はなんですか?
Windows 2000(SP1 以降)および、Windows XP、Windows Vista に対応しています。
CompuSec がインストールされた状態で、サービスパックの適用や Microsoft Update を行うことも
できます。
Q2
OS をアップグレードすることはできますか?
Windows 2000 から Windows XP などへの、OS 自体が異なるようなアップグレードはできません。
CompuSec をアンインストールしてから、OS のアップグレードを行ってください。
Q3 Windows Vista Ultimate の BitLocker と共存できますか?
BitLocker が無効で且つ、CompuSec によるハードディスクの暗号化を行わなければ、共存できます。
ハードディスクを暗号化したい場合は、「BitLocker のみ」または「CompuSec のみ」による暗号化
としてください。
両方とも暗号化を実行してしまうと、システムの運用に支障を来し、場合によっては正常に起動でき
なくなりますので、BitLocker と CompuSec を併用しての暗号化は行わないでください。
Q4
Windows XPやVistaの復元ポイント使って、以前の状態へ復元できますか?
CompuSec を導入する前の復元ポイントで、復元しないでください。システムが正常に起動しなく
なります。
CompuSec 導入後に作成された復元ポイントについては、ハードディスクの暗号化の有無に関わらず、
利用可能です。
Q5
ハードディスクにチェックディスクを行うことはできますか?
ハードディスクを暗号化していない状態であれば、特に問題なく実行できます。
ハードディスクを暗号化した後では、Windows 上からのみ行うことができます。
77
OS の CD でブート後の回復コンソールや、ハードディスクを別の PC に接続するなど、外部から
チェックディスクを実行すると、データが破壊されてしまいます。
Windows が起動せず、修復する必要がある場合は、「8 ブート前サービス機能」の「緊急時の復号」
を利用して復号した後、OS の修復やチェックディスク等を行ってください。
Q6
ハードディスクのデフラグを行うことはできますか?
ハードディスクの暗号化の有無に関わらず、Windows 上からであれば問題なく実行できます。但し、
市販のデフラグソフトを利用する場合、CompuSec でインストールされた隠しファイルを移動するこ
とができず、デフラグが途中で止まってしまう場合があります。
その様な場合は、該当ファイルをデフラグの対象外に設定するなどで回避できます。
(任意のファイル
を、デフラグ対象外に設定する機能がある場合に限ります)
Windows 標準のデフラグに関しては、この限りではありません。
13-2 暗号化/復号関連
Q1
CompuSec は、どのような働きをするのですか?
暗号化されたメディアに対してすべての読み書きを途中で横取りし、書き込み時はデータを暗号化
フォーマットへ書き込み、読み出すときはこれを復号します。この時の暗号化/復号の処理そのもの
は、ユーザーは意識せず、通常通りの操作のまま運用できます。
Q2
40GB のハードディスクを暗号化するのに、どのくらい時間がかかりますか?
PC やハードディスクの性能にもよりますが、ノート PC タイプで「作業中に暗号化」を行った場合、
概ね 2 時間程度かかります。
暗号化手順として「ブート前に暗号化」も選択できますが、所要時間は「作業中に暗号化」に比べて、
数倍必要となる上、処理中に電源を落とすことができません。
※復号に関しても同様です。
Q3
コンピュータのどの部分を暗号化するのですか?
物理的なハードディスク単位、つまりドライブすべてのファイルやフォルダを含めた、全体を暗号化
します。パーティション単位での暗号化はできません。
例えるなら、ファイルシステムを暗号化フォーマットに書き換えている、と言う事になりますので、
ファイルその物は暗号化していません。
78
PART 13
よくある質問と回答
Q4
CompuSec の暗号化アルゴリズムは何ですか?
CompuSec 単独版では、ハードディスクやリムーバブルメディアなど、すべてのメディアで、
AES256bit のみを使用しています。AES128bit や Extended DES112bit は選択できません。
GlobalAdmin 管理下でのハードディスク暗号化アルゴリズムは、AES256bit のみです。リムーバブル
メディアは、AES256bit、AES128bit、Extended DES112bit での暗号化を選択できます。
どのアルゴリズムを利用するかは、GlobalAdmin で設定するポリシーで決まりますので、クライアン
ト PC 側で自由に選ぶことはできません。
Q5 「作業中に暗号化」が開始されません。どうしたら良いでしょうか?
まず、「3-3-2 ハードディスク暗号化の管理ボタン」の手順に従って、暗号化設定を「暗号化未処理」
に変更し、コンピュータを再起動してください。
再度「作業中に暗号化」と設定しても処理が開始されない場合は、CompuSec を再インストールする
ことをお勧めします。
※ Windows 起動後、「作業中に暗号化」が実際に始まるまでは多少時間を要します。相当な時間待っ
ても開始されない場合にのみ、本手順にて暗号化設定の変更や、CompuSec のアンインストール
を行ってください。
Q6
DataCrypt で暗号化したファイルを、暗号化ファイルにパスワード設定するなどをして、
CompuSec を導入していない PC で参照させることはできますか?
できません。DataCrypt で暗号化したファイルに関しては、CompuSec を導入し且つ、DataCrypt の
公開鍵を持っている PC(ユーザー)でのみ参照(復号)することができます。
13-3
Q1
CompuSec 認証関連
「ログオン失敗回数制限につき、システム停止しました」とのメッセージが表示されて、
キー入力を受け付けません。
CompuSec 単独版での認証ミスは 3 回までとなっております。このメッセージが表示された場合は、
コンピュータの電源を入れ直して、正しいユーザ ID とパスワードで認証してください。
GlobalAdmin 管理下では(標準で)5 回までですが、ポリシーにより回数が異なる場合があります。
詳細は GlobalAdmin 管理者に問い合わせてください。
79
Q2
ブート前認証時に ID、パスワードを入力しても
「このコンピュータへのアクセス権がありません」と表示されます。
ユーザ ID、パスワード入力後に、このメッセージが表示される場合は、ユーザ ID が間違っているか、
そのコンピュータに割り当てられていないことを意味します。
まずは、入力するユーザ ID 名が間違っていないかを確かめてください。ユーザ ID は大文字、小文字を
区別します。
Q3
ブート前認証時に ID、パスワードを入力しても
「パスワードが違います。やり直して下さい」と表示されます。
ユーザ ID、パスワード入力後に、このメッセージが表示される場合は、パスワードが間違っているこ
とを意味します。
パスワードが間違っていないかを確かめてください。パスワードは大文字、小文字を区別します。
GlobalAdmin 管理下では、パスワード入力ミスが一定の回数を超えると、User ID がロックされ、一時
的に使用不能となるポリシーが設定されている場合があります。
User ID がロックされた場合は、GlobalAdmin 管理者に連絡してください。
Q4
パスワードを忘れました。どうすればよいでしょうか。
CompuSec 単体版では、パスワードリセットコードを使って、パスワードをリセットしてください。
GlobalAdmin 管理下では、GlobalAdmin 管理者と連絡を取り、パスワードをリセットできます。
パスワードのリセット手順については、
「8-1-2 パスワードのリセット」を参照してください。
13-4 SD カードの取り扱いについて
昨今のコンピュータでは、SD カードスロットを持つ機種が多くなってきました。初期の SD カードス
ロットでは問題ありませんでしたが、現行機種の多くはドライバが変わり、次のような現象を確認し
ています。
(1)「リムーバブルメディア暗号化」では、ドライブとして認識できませんので、別途カードリー
ダーなどを介して、暗号化モードを利用してください。
※マイコンピュータ上に、予め SD カードスロット分がリムーバブルドライブとして見えている物
は、暗号化メディアとして利用できます。
メディアを挿入して初めてドライブが出現するタイプでは、暗号化メディアとして利用できませ
ん。
80
PART 13
よくある質問と回答
(2) CompuSec 導入後、SD カードスロットにメディアを挿入したままで PC を起動させると、ブート
前認証後は画面が暗くなったままで、Windows が起動できない、または起動動作が異常に遅い場合
があります。
SD カードスロットより、メディアを取り出した状態でコンピュータを起動するようにしてくださ
い。
(3) Windows が起動中に SD カードを挿入または、取り出した際に、Windows がブルースクリーンの
エラーを出力し、落ちてしまうことがあります。
SD カード挿入時と、取り出し時でデスクトップ状態が変化していると発生しやすい傾向にありま
す。
但し、すべての SD カードでは再現せず、現在は一部のメディアのみで確認されている状況です。
尚、カードリーダーなどを介して利用する場合は、問題ありません。
81
PART
14
テクニカルサポートについて
CompuSec を使用する上で不明な点などがございましたら、弊社サポートセンターまでお問い合わせ
ください。尚、複数ライセンス製品の場合、サポートセンターの利用には、年間保守契約が必要です。
ライセンス製品には、ご購入後 1 年間の無償保守期間が付属していますが、2 年目以降は別途保守契
約が必要です。年間保守の内容、価格については、弊社ホームページ(http://canonsol.jp/supp/index.html)をご覧ください。
●電話でのお問い合わせ先
キヤノンシステムソリューションズ株式会社 サポートセンター
CompuSec 係
TEL 03-5730-7197
受付時間 月曜日∼金曜日(祝祭日、弊社休業日除く)
10:00 ∼ 12:00 13:00 ∼ 17:00
日時によって混み合っている場合があります。その際は、時間をあらためてお掛け直しいただくか、
電子メールでお問い合わせください。
●電子メールでのお問い合わせ
電子メールでお問い合わせいただく際は、下記のアドレス宛てにお問い合わせ内容をお送りください。
キヤノンシステムソリューションズ株式会社 サポートセンター
CompuSec 係
To : [email protected]
Subject : CompuSec のお問い合わせ
多数のお問い合わせをいただいている場合は、到着順に対応するため、返信に多少お時間をいただく
場合があります。また、ご質問の内容によっては、弊社や海外の開発元での動作検証が必要になる場
合がございます。このような場合にも、返信にお時間をいただく場合がございます。
82
PART 14
テクニカルサポートについて
● FAX でのお問い合わせ先
FAX でお問い合わせいただく際は、下記の番号宛てにお問い合わせ内容をお送りください。
キヤノンシステムソリューションズ株式会社 サポートセンター
CompuSec 係
FAX 03-5730-7122
●その他
Q&A、お問い合わせ方法につきましては、弊社ホームページをご覧ください。
http://canon-sol.jp/supp/index.html
83
MEMO
CompuSec アプリケーションガイド 補足事項
【P30 Part5 DataCrypt】
DataCryptで暗号化できる最大ファイルサイズは680MBです。搭載メモリによ
り、暗号化可能なファイルサイズは変化します。
Fly UP