Comments
Transcript
A PGP Desktop - Symantec SSL Certificates Support
PGP Desktop for Windows ユーザー ガイド バージョン情報 PGP Desktop for Windowsユーザー ガイド. PGP Desktopバージョン10.10.0。 2010年9月。 著作権情報 Copyright © 1991-2010 by PGP Corporation. All Rights Reserved. 本ドキュメントのいかなる部分もPGP Corporationの書面による許可なしに、電子的、 機械的などいかなる形式、いかなる方法でも複製し、頒布することはできません。 商標情報 PGP、Pretty Good Privacy、およびPGPのロゴは、米国およびその他の国々におけるPGP Corporationの登録商標です。 IDEAはAscom Tech AGの商標 です。 WindowsおよびActiveXは、Microsoft Corporationの登録商標です。 AOLはAmerica Online, Inc. の登録商標であり、AOL Instant Messenger はAmerica Online, Inc. の商標です。Red HatおよびRed Hat LinuxはRed Hat, Inc. の商標または登録商標です。LinuxはLinus Torvaldsの登録商標です 。 SolarisはSun Microsystems, Inc. の商標または登録商標です。AIXはInternational Business Machines Corporationの商標または登録商標です。 HP-UXはHewlett-Packard Companyの商標または登録商標です。 SSHおよびSecure ShellはSSH Communications Security, Inc. の商標です。 RendezvousおよびMac OS XはApple Computer, Inc. の商標または登録商標です。本書で使用されているその他すべての登録されていない、または登 録されている商標は、それぞれの所有者が所有します。 ライセンスおよび特許情報 IDEA暗号化方式 (米国特許番号5,214,703) の使用については、Ascom Tech AGからライセンス供与を受けています。 RFC 2144に基づいて実装されて いるCAST-128暗号化アルゴリズムは、商用および商用以外の用途で、特許権使用料を必要とせずに世界中で利用できます。 PGP Corporationは、The Regents of the University of Californiaによる表題「Block Cipher Mode of Operation for Constructing a Wide-blocksize block Cipher from a Conventional Block Cipher」の特許出願 (シリアル番号10/655,563) に含まれる特許権に対するライセンスを供与されています。 PGP Universal Serverに含まれる一 部のサード パーティ ソフトウェアは、GNU一般公衆利用許諾契約書 (GNU GPL: General Public License) の下でライセンスされています。 PGP Universal Server全体がGPLの下でライセンスされているわけではありません。 PGP Universal Serverに含まれるGPLソフトウェアのソース コードを入 手したい場合は、PGPサポート 『https://support.pgp.com』にお問い合わせください。 PGP Corporationは、このソフトウェアまたはその文書に記載 されている内容に関して、特許権を保有または特許を出願中の場合があります。このソフトウェアまたは文書の提供は、これらの特許に関するいかな る権利をもお客様に付与するものではありません。 謝辞 この製品には下記が含まれている場合があります。 -- ZipおよびZLib圧縮コードは、Mark AdlerおよびJean-Loup Gaillyによって作成されたもので、zlib (http://www.zlib.net) によって開発されたInfo-ZIPの フリー実装から許可を得て使用されています。 -- Libxml2は、Gnomeプロジェクト用のXML Cパーサーおよびツールキット で、http://www.opensource.org/licenses/mit-license.htmlにあるMITライセンスの下で配布および著作権保護されています。著作権はThe Open Source Initiativeに帰属します。Copyright © 2007. -- bzip2 1.0は、無料で利用できる高品質圧縮ソフトウェアです。著作権はJulian Seward, © 1996-2005に あります。-- アプリケーション サーバー (http://jakarta.apache.org/)、Webサーバー (http://www.apache.org/)、Jakarta Commons (http://jakarta.apache.org/commons/license.html) およびlog4j (HTML解析に使用されるJavaベースのライブラリ) は、Apache Software Foundationによ り開発されたものです。 ライセンスはwww.apache.org/licenses/LICENSE-2.0.txtにあります。 -- Castorは、XMLからJavaプログラミング言語のオブ ジェクトへ、およびJavaからデータベースへデータを移動するためのオープン ソースのデータ バインディング フレームワークで、Apache 2.0スタイ ルのライセンスの下でExoLab Groupによって公開されています。ライセンスは、http://www.castor.org/license.htmlから入手できます。-- Xalanは、XSLT XML変換言語とXPath XML照会言語を実装したApache Software Foundationのオープン ソース ソフトウェア ライブラリで、Apacheソフトウェア ラ イセンス バージョン1.1の下で公開されています。このライセンスは、http://xml.apache.org/xalan-j/#license1.1から入手できます。-- Apache Axisは各 種PGP製品間の相互通信に使用されているSOAP (「Simple Object Access Protocol」) 実装であり、http://www.apache.org/licenses/LICENSE-2.0.txtに あるApacheライセンスの下で提供されています。 -- mx4jは、Java Management Extensions (JMX) のオープン ソース実装で、Apacheスタイルのライ センスの下で公開されています。ライセンスは、http://mx4j.sourceforge.net/docs/ch01s06.htmlから入手できます。 -- jpeglibバージョン6aは、一部 Independent JPEG Group (http://www.ijg.org/) の著作物に基づいています。 -- libxsltは、GNOMEプロジェクト用に開発されたXSLT Cライブラリで、 MITライセンス (http://www.opensource.org/licenses/mit-license.html) の下で配布されています。 -- PCREは、Perlの正規表現コンパイラで、ケンブリ ッジ大学によって著作権保護および配布されています。 ©1997-2006. ライセンス契約書はhttp://www.pcre.org/license.txtにあります。-- BIND平衡バ イナリ ツリー ライブラリおよびドメイン名システム (DNS: Domain Name System) プロトコルは、Internet Systems Consortium, Inc. (http://www.isc.org) によって開発および著作権保護されています。-- デーモン実装のFree BSDは、The FreeBSD Project (© 1994-2006) によって開発 されました。-- Simple Network Management Protocolライブラリは、Carnegie Mellon University © 1989、1991、1992、Networks Associates Technology, Inc, © 2001- 2003、Cambridge Broadband Ltd. © 2001- 2003、Sun Microsystems, Inc.、© 2003、Sparta, Inc, © 2003-2006、Cisco, Incおよび Information Network Center of Beijing University of Posts and Telecommunications、© 2004によって開発および著作権保護されています。これらの ライセンス契約書はhttp://net-snmp.sourceforge.net/about/license.htmlにあります。-- NTPバージョン4.2は、Network Time Protocolによって開発され、 著作権はさまざまな貢献者に帰属しています。 -- Lightweight Directory Access Protocolは、OpenLDAP Foundationによって開発および著作権保護され ています。 OpenLDAPはLightweight Directory Access Protocol (LDAP) のオープン ソース実装です。 Copyright © 1999-2003, The OpenLDAP Foundation. ライセンス契約書はhttp://www.openldap.org/software/release/license.htmlにあります。• Secure ShellのOpenSSHバージョン4.2.1は、 OpenBSD Projectによって開発されたもので、BSDスタイルのライセンスの下でOpenBSD Projectによって公開されています。ライセンス は、http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/LICENCE?rev=HEADから入手できます。 -- PC/SC Liteは、PC/SCのフリー実装です。スマ ートカード統合に関する仕様はBSDライセンスの下で公開されています。 -- Postfixは、オープン ソースのメール転送エージェント (MTA) で、IBM Public License 1.0の下で公開されています。ライセンスは、http://www.opensource.org/licenses/ibmpl.phpから入手できます。-- PostgreSQLは、フリ ー ソフトウェアのオブジェクト リレーショナル データベース管理システムで、BSDスタイルのライセンスの下で公開されています。ライセンス は、http://www.postgresql.org/about/licenceから入手できます。 -- PostgreSQL JDBCドライバーは、標準の、データベースに依存しないJavaコードを 使用してPostgreSQLデータベースに接続するために使用されるフリーのJavaプログラムです。(c) 1997-2005、PostgreSQL Global Development Group. BSDスタイルのライセンスの下で公開されており、ライセンスは、http://jdbc.postgresql.org/license.htmlから入手できます。-- PostgreSQL Regular Expression Libraryは、オブジェクト リレーショナル データベース システムのフリー ソフトウェアで、BSDスタイルのライセンスの下で公開されて います。ライセンスは、http://www.postgresql.org/about/licenceから入手できます。 -- 21.vixie-cronは、cronのVixieバージョンで、スケジュールされ た時刻に特定のプログラムを実行する標準のUNIXデーモンです。 Copyright © 1993, 1994 by Paul Vixie. 許可を得て使用されています。 -- JacORBは、 Javaで記述されたプロセスとデータ層間の通信を容易にするために使用されるJavaオブジェクトです。GNUライブラリ一般公衆利用許諾契約書 (GNU LGPL: GNU Library General Public License) の下で公開されているオープン ソースで、ライセンスはhttp://www.jacorb.org/lgpl.htmlから入手できます。 Copyright © 2006 The JacORB Project. -- TAO (The ACE ORB) は、CORBA Object Request Broker (ORB) のオープン ソース実装で、C/C++ で記述 されたプロセスとデータ層間の通信に使用されます。 著作権はDouglas C. Schmidtおよびワシントン大学、カリフォルニア大学アーバイン校、バンダ ービルト大学の同氏の研究グループに帰属します。Copyright (c) 1993-2006. オープン ソースのソフトウェア ライセンス はhttp://www.cs.wustl.edu/~schmidt/ACE-copying.htmlから入手できます。-- libcURLは、共通ネットワーク サービスによってファイルをダウンロード するためのライブラリです。MIT/X派生ライセンスの下で提供されるオープン ソース ソフトウェアで、ライセンス はhttp://curl.haxx.se/docs/copyright.htmlから入手できます。Copyright (c) 1996 - 2007, Daniel Stenberg. -- libuuidは、固有識別子を生成するために使 用されるライブラリで、BSDスタイルのライセンスの下で公開されています。ライセンス は、http://thunk.org/hg/e2fsprogs/?file/fe55db3e508c/lib/uuid/COPYINGから入手できます。 Copyright (C) 1996, 1997 Theodore Ts'o. -- libpoptは、コ マンド ラインのオプションを解析するライブラリで、GNUフリー文書利用許諾契約書 (GNU Free Documentation License) の条件の下で公開されて います。ライセンスは、http://directory.fsf.org/libs/COPYING.DOCから入手できます。-- gSOAPは、マザーボードに搭載されているIntel Corporation AMTチップセットと通信するためのWindowsクライアント用開発ツールで、gSOAP公開ライセンス バージョン1.3bの下で配布されています。ライセ ンスは、http://www.cs.fsu.edu/~engelen/license.htmlから入手できます。-- Windows Template Library (WTL) はユーザー インターフェイス コンポー ネントの開発に使用するもので、http://opensource.org/licenses/cpl1.0.phpにあるCommon Public License v1.0の下で配布されています。 -- Perl Kitは 、あらゆる保守機能の自動化を可能にする、いくつかの独立されたユーティリティを提供するもので 、http://www.perl.com/pub/a/language/misc/Artistic.htmlにあるPerl Artistic Licenseの下で提供されています。-- rEFIt - libegは 画像レンダリング、テキ スト レンダリング、アルファ ブレンディングを含むEFIのグラフィカル インターフェイス ライブラリを提供するもの で、http://refit.svn.sourceforge.net/viewvc/*checkout*/refit/trunk/refit/LICENSE.txt?revision=288にあるライセンスの下で配布されています。Copyright (c) 2006 Christoph Pfisterer. All rights reserved. -- Java Radius Clientは、Radiusプロトコルを使ってPGP Universal Web Messengerユーザーを認証 するために使用されるもので、http://www.gnu.org/licenses/lgpl.htmlにある劣等一般公衆利用許諾契約書 (LGPL) の下で配布されています。-- Yahoo! User Interface (YUI) ライブラリ バージョン2.5.2はAJAXのWeb UIインターフェイス ライブラリです。 Copyright (c) 2009, Yahoo! All rights reserved. BSDスタイルのライセンスの下で公開されており、http://developer.yahoo.com/yui/license.htmlから入手できます。-- JSON-libバージョン2.2.1は、Java オブジェクトをAJAXのJSON (JavaScript Object Notation) オブジェクトに変換するために使用されるJavaライブラリです。 Apache 2.0ランセンスの 下で配布され、http://json-lib.sourceforge.net/license.htmlから入手できます。-- EZMorphはJSONライブラリで使用され、Apache 2.0ライセンスの下で 配布されています。ライセンスは、http://ezmorph.sourceforge.net/license.htmlから入手できます。-- Apache Commons LangはJSONライブラリで使用 され、Apache 2.0ライセンスの下で配布されています。ライセンスは、http://commons.apache.org/license.htmlから入手できます。-- Apache Commons BeanUtilsはJSONライブラリで使用され、Apache 2.0ライセンスの下で配布されています。ライセンスは、http://commons.apache.org/license.htmlか ら入手できます。-- SimpleIniは .iniファイル形式パーサーで、Windows、その他のプラットフォームで使用される共通設定形式の .iniファイルを読み 取り書き込むことができます。 http://www.opensource.org/licenses/mit-license.htmlにあるMITライセンスの下で配布されています。Copyright 2006-2008, Brodie Thiesfield. -- uSTLは共通の標準テンプレート ライブラリ機能およびデータ構造を小規模で高速実装し、MITライセンスの下で配 布されています。ライセンスは、http://www.opensource.org/licenses/mit-license.htmlから入手できます。Copyright (c) 2005-2009 by Mike Sharov <[email protected]>. -- Protocol Buffers (protobuf) はGoogleのデータ交換形式で、PGP SDKのデータ構造を順番に並べるために使用 されます。 http://www.opensource.org/licenses/bsd-license.phpにあるBSDライセンスの下で配布されています。Copyright 2008 Google Inc. All rights reserved. 追加承認および法的通知はPGP Universal Serverの一部として含まれています。 輸出に関する情報 このソフトウェアおよび文書の輸出は、特定の製品および技術データの輸出と再輸出を制限する米国商務省輸出管理局によって公布される規則および 規制の対象となる場合があります。 制限事項 この文書と共に提供されるソフトウェアは、ソフトウェアのライセンス使用許諾契約書の条件に基づき、お客様個人による使用が許可されています。 こ の文書に記載されている情報は予告なしに変更されることがあります。 PGP Corporationは、この文書に記載されている情報がお客様の要件を満たす こと、または情報に誤りがないことを保証するものではありません。 これらの情報には技術的に不正確な記述や誤植が含まれている場合があります。 これらの情報に変更があった場合は、PGP Corporationより入手可能な改訂版に随時組み込まれます。 サポートされていないサードパーティ製品 PGPソフトウェアと通信を行うためにサードパーティ製品、ソフトウェア、ドライバ、その他のコンポーネント (「サポートされていないサードパー ティ製品」) を利用する、および/またはサポートされていないサードパーティ製品 (「PGPサードパーティ コマンド」) と通信するために単独の裁量 によりPGPが提供する関連PGPコマンドまたはコードを利用することによって、PGPソフトウェアがサポートされていないサードパーティ製品向けに は設計されておらず、正式に試験されていないこと、およびPGPがPGPサードパーティ コマンドまたはPGPソフトウェアとサポートされていないサー ドパーティ製品との互換性に関して一切サポートまたは保証を提供しないことを承諾することになります。 PGPサードパーティ コマンドは、瑕疵を 問わない条件で「現状のまま」提供され、満足のゆく品質、性能、精度および努力に関するすべてのリスクはお客様が負うものとします。 準拠法に より許される最高の限度まで、PGPは、PGPサードパーティ コマンドまたはPGPソフトウェアとサポートされていないサードパーティ製品との互換性 に関する商品性、特定の目的への適合性、タイトル、非侵害性、平穏な享受、および精度を含め、明示または黙示を問わず、すべての表明、保証およ び条件を否認します。 4 目次 PGP Desktop 10.1 for Windows について 1 PGP Desktop for Windows バージョン 10.1 の新機能 PGP Desktop 10.1 の新機能 このユーザー ガイドの使い方 「管理対象ユーザー」と「管理されていないユーザー」 このユーザー ガイドで使用されている規約 このユーザー ガイドの対象読者 PGP Desktop のライセンスについて PGP Desktop for Windows のライセンス取得 ライセンスの詳細の確認 ライセンスの有効期限が切れた場合 サポート情報 製品情報の入手 連絡先情報 PGP Desktop の基本 2 2 4 5 6 6 6 7 7 9 10 10 11 13 PGP Desktop の用語 PGP 製品コンポーネント PGP Desktop で使用される用語 従来の暗号技術と公開鍵暗号化方式 PGP Desktop を使用し始める前に 13 13 15 16 17 PGP Desktop のインストール 21 インストールの前に システム要件 Citrix およびターミナル サービスとの互換性 PGP Desktop のインストールと構成 ソフトウェアのインストール ソフトウェアのアップグレード PGP Desktop のライセンス取得 セットアップアシスタントの実行 PGP Desktop のアンインストール PGP Desktop のインストール環境を別のコンピューターに移動 PGP Desktop のユーザー インターフェイス PGP Desktop 機能へのアクセス PGP Desktop のメイン画面 21 21 22 23 23 24 26 26 27 28 29 29 30 i PGP Desktop for Windows Contents PGP トレイ アイコンの使用 Windows エクスプローラのショートカット メニューの使用 [スタート] メニューの使用 PGP Desktop 通知機能の警告 メッセージング用 PGP Desktop 通知機能 ディスク機能用 PGP Desktop 通知機能 通知機能を有効または無効にする PGP ログの表示 PGP 鍵の使用 31 33 35 35 35 38 39 40 43 鍵の表示 鍵ペアの作成 パスワードとパスフレーズ 秘密鍵の保護 鍵および鍵リングの保護 秘密鍵のバックアップ 鍵を紛失した場合 公開鍵の配布 鍵サーバーへの公開鍵のアップロード 公開鍵の電子メール メッセージへの添付 公開鍵のファイルへのエクスポート スマート カードから直接別のユーザーの鍵リングへのコピー 他のユーザーの公開鍵の取得 鍵サーバーからの取得 電子メール メッセージからの公開鍵の取得 鍵サーバーの使用 マスター鍵の使い方 マスター鍵リストへの鍵の追加 マスター鍵リストからの鍵の削除 PGP 鍵の管理 43 44 47 47 48 49 50 50 51 52 53 53 53 54 55 55 57 57 58 59 鍵のプロパティの確認と設定 写真 ID の使用 鍵のユーザー名と電子メール アドレスの管理 公開鍵と X.509 公開鍵証明書のインポート 証明書インポート アシスタントの使用 S/MIME 電子メールに含まれる X.509 証明書のインポート パスフレーズの変更 鍵、ユーザー ID、署名の削除 公開鍵の有効化と無効化 公開鍵の検証 公開鍵の署名 公開鍵からの署名の破棄 ii 60 61 62 63 64 66 66 67 68 69 70 72 PGP Desktop for Windows Contents 鍵検証のための信頼度指定 サブ鍵の使用 別のサブ鍵の使用 サブ鍵の表示 新しいサブ鍵の作成 サブ鍵の使用方法の指定 サブ鍵の破棄 サブ鍵の削除 予備復号化鍵の使用 鍵ペアへの予備復号化鍵の追加 予備復号化鍵の更新 予備復号化鍵の削除 失効権限機能の使用 失効権限者の指定 鍵の破棄 鍵の分割と再結合 分割鍵の作成 分割鍵の再結合 鍵またはパスフレーズを失った場合 PGP Universal Server による鍵の復元 鍵の復元データの作成 鍵またはパスフレーズを失った場合に自分の鍵を復元 鍵の保護 72 73 74 75 75 76 77 78 78 78 79 79 80 80 81 81 82 83 85 85 86 88 90 91 電子メールをセキュアにする PGP Desktop で電子メールをセキュアにする方法 受信メッセージ 受信メッセージの署名の検証 受信メッセージの注釈について 送信メッセージ IMAP 電子メール サーバーで送信されたアイテムをセキュアにする Microsoft Outlook を使用した MAPI 電子メールの送信 Microsoft Outlook で署名ボタンと暗号化ボタンを使用 オフライン ポリシーの使用 サービスとポリシー サービスとポリシーの表示 新規メッセージング サービスの作成 メッセージング サービスのプロパティの編集 サービスを無効または有効にする サービスの削除 複数のサービス PGP メッセージング サービスのトラブルシューティング 新規セキュリティ ポリシーの作成 ポリシーでの正規表現 iii 91 93 94 96 97 97 98 99 101 102 103 105 109 109 110 110 111 113 119 PGP Desktop for Windows Contents 120 125 126 126 131 132 132 134 136 136 137 セキュリティ ポリシーの情報と例 セキュリティ ポリシーのリストの使用 セキュリティ ポリシーの編集 メーリング リスト ポリシーの編集 セキュリティ ポリシーの削除 リスト内でのポリシーの順序変更 PGP Desktop と SSL 鍵モード 鍵モードの確認 鍵モードの変更 PGP ログの表示 インスタント メッセージングをセキュアにする PGP Desktop のインスタント メッセージングとの互換性について インスタント メッセージング クライアントとの互換性 暗号化に使用される鍵について IM セッションの暗号化 PGP Viewer を使用した電子メールの表示 139 139 140 141 141 143 PGP Viewer の概要 互換性のある電子メール クライアント 暗号化された電子メール メッセージまたはファイルを開く 電子メール メッセージの受信箱へのコピー 電子メールのエクスポート 追加のオプションの指定 PGP Viewer でオプションを指定 PGP Viewer のセキュリティ機能 PGP ディスク全体暗号化によるディスクの保護 PGP ディスク全体暗号化について PGP WDE と PGP 仮想ディスクの違い PGP Whole Disk Encryption のライセンス ライセンスの有効期限 PGP Remote Disable & Destroy の使用 ディスクを暗号化するための準備 サポートされているディスクの種類 サポートされているキーボード 暗号化前のディスク状態の確認 暗号化時間の計算 暗号化処理中の電源供給 ソフトウェアの互換性を確認するパイロット テストの実行 iv 143 144 145 146 147 147 148 149 151 152 153 154 154 155 156 157 158 161 161 162 163 PGP Desktop for Windows Contents ディスクの認証方法の選択 163 パスフレーズとシングル サインオン認証 164 公開鍵認証 164 トークンを使用した認証 165 USB フラッシュ デバイスを使用した 2 要素認証 165 トラステッド プラットフォーム モジュール (TPM) 認証 166 暗号化オプションの設定 167 パーティション レベルの暗号化 168 認証に使用するスマート カードまたはトークンの準備 168 PGP Whole Disk Encryption オプションの使用 172 ディスクまたはパーティションの暗号化 173 PGP WDE のパスフレーズでサポートされる文字 174 ディスクの暗号化 175 暗号化中のディスク エラーの検出 179 PGP WDE で暗号化されたディスクの使用 180 PGP BootGuard 画面での認証 180 キーボード配列の選択 185 PGP WDE のシングル サインオンの使用 187 シングル サインオンを使用するための必要条件 188 シングル サインオンを使用するディスクの暗号化 188 複数ユーザーとシングル サインオン 189 シングル サインオンによるログイン 189 シングル サインオンのパスフレーズの変更 189 Windows のログイン ダイアログ ボックスの表示 190 ディスクのセキュリティの維持 191 ディスクまたはパーティションの情報の取得 191 バイパス機能の使用 192 暗号化されたディスクまたはパーティションへのユーザーの追加 193 暗号化されたディスクまたはパーティションからのユーザーの削除 194 ユーザー パスフレーズの変更 194 暗号化されたディスクまたはパーティションの再暗号化 196 パスフレーズを忘れた場合 196 バックアップとリストア 198 暗号化されたディスクまたはパーティションからの PGP Desktop のアンインストール199 リムーバブル ディスクの使用 199 リムーバブル ディスクの暗号化 199 読み取り専用にロックされたディスクの使用 201 他のシステムへのリムーバブル ディスクの移動 202 暗号化されたリムーバブル ディスクの再フォーマット 202 PGP Universal Server で管理された環境での PGP WDE の使用 203 PGP ディスク全体暗号化の管理 203 リカバリ トークンの作成 204 回復トークンの使用 205 暗号化されたドライブからのデータのリカバリ 206 リカバリ ディスクの作成と使用 206 v PGP Desktop for Windows Contents PGP WDE で暗号化されたディスクの復号化 PGP Desktop によるセキュリティ確保のための特別な対策 パスフレーズの消去 仮想メモリの保護 休止モードとスタンバイ モード メモリ静的イオン マイグレーションの防止 その他のセキュリティ対策 Windows プレインストール環境の使用 PGP Whole Disk Encryption の IBM Lenovo ThinkPad システムでの使用 Microsoft Windows XP 回復コンソールでの PGP Whole Disk Encryption の使用 PGP 仮想ディスクの使用 208 209 210 210 210 210 211 212 212 213 215 PGP 仮想ディスクについて PGP 仮想ディスクの新規作成 PGP 仮想ディスクのプロパティの表示 PGP 仮想ディスクの検索 マウント済み PGP 仮想ディスクの使用 PGP 仮想ディスクのマウント PGP 仮想ディスクのマウント解除 PGP 仮想ディスクの圧縮 PGP 仮想ディスクの再暗号化 代替ユーザーの使用 PGP 仮想ディスクへの代替ユーザー アカウントの追加 PGP 仮想ディスクからの代替ユーザー アカウントの削除 代替ユーザー アカウントの無効化および有効化 読み取り/書き込みおよび読み取り専用ステータスの変更 代替ユーザーへの管理者ステータスの付与 ユーザー パスフレーズの変更 PGP 仮想ディスクの削除 PGP 仮想ディスクの管理 リモート サーバー上の PGP 仮想ディスク ボリュームのマウント PGP 仮想ディスク ボリュームのバックアップ PGP 仮想ディスクの交換 PGP 仮想ディスクの暗号化アルゴリズム PGP 仮想ディスクによる特別なセキュリティ措置 パスフレーズの消去 仮想メモリの保護 休止状態 メモリ静的イオン マイグレーションの防止 その他のセキュリティ対策 vi 216 217 220 221 221 221 222 223 224 225 225 226 226 227 228 228 229 229 230 230 231 232 232 233 233 233 233 234 PGP Desktop for Windows Contents PGP Portable でのモバイル データの作成とアクセス PGP Portable ディスクの作成 フォルダーから PGP Portable ディスクを作成 リムーバブル USB デバイスから PGP Portable ディスクを作成 読み取り/書き込みまたは読み取り専用の PGP Portable ディスクの作成 PGP Portable ディスクのデータへのアクセス PGP Portable ディスクのパスフレーズの変更 PGP Portable ディスクのマウント解除 PGP NetShare の使用 237 237 238 239 241 241 243 244 245 PGP NetShare について 246 PGP NetShare ロール 248 PGP NetShare のライセンス取得 249 承認されたユーザーの鍵 250 PGP NetShare 管理者 (所有者) の設定 250 "ブラックリスト" または "ホワイトリスト" に記載されたファイル、フォルダー、およびアプリケー ション 251 「ブラックリスト」のファイルとその他の保護できないファイル 251 PGP Universal Server によって指定される「ブラックリストに記載された」フォルダーおよび 「ホワイトリストに記載された」フォルダー 252 アプリケーション ベースの暗号化リストと復号化バイパス リスト 253 保護フォルダーの使用 254 保護されたフォルダーの場所の選択 254 新規 PGP NetShare 保護フォルダーの作成 256 新規 PGP NetShare 保護フォルダー内のファイルの使用 259 保護フォルダーのロック解除 260 保護フォルダー内のファイルの確認 261 保護フォルダーへのサブフォルダーの追加 261 フォルダー ステータスの確認 262 保護フォルダーの他の場所へのコピー 263 PGP NetShare ユーザーの使用 263 PGP NetShare ユーザーの追加 264 ユーザーの役割の変更 265 保護フォルダーからのユーザーの削除 267 PGP NetShare アクセス リストのインポート 267 Active Directory グループの使用 268 グループを利用するための PGP NetShare の設定 268 グループの更新 269 vii PGP Desktop for Windows Contents PGP NetShare 保護フォルダーの復号化 フォルダーの再暗号化 パスフレーズのクリア 保護フォルダーの外にあるファイルの保護 PGP NetShare で保護されたファイルのバックアップ ショートカット メニューを使用した PGP NetShare 機能へのアクセス PGP Universal Server によって管理された環境にある PGP NetShare 保護されたファイルまたはフォルダーのプロパティへのアクセス PGP Desktop の PGP NetShare メニューの使用 [ファイル] メニュー [編集] メニュー [NetShare] メニュー PGP Zip の使用 270 270 271 272 274 275 276 277 278 278 278 279 281 概要 PGP Zip アーカイブの作成 受信者鍵による暗号化 パスフレーズを使用した暗号化 PGP 自己復号化アーカイブ (SDA) の作成 署名のみのアーカイブの作成 PGP Zip アーカイブの開封 PGP Zip SDA の開封 PGP Zip アーカイブの編集 署名済み PGP Zip アーカイブの検証 PGP シュレッダを使用したファイルの細断処理 PGP シュレッダによるファイルおよびフォルダーの恒久的な削除 デスクトップの [PGP シュレッダ] アイコンを使用したファイルの細断処理 PGP Desktop 内のファイルの細断処理 Windows エクスプローラでのファイルの細断処理 PGP 空き領域細断処理アシスタントの使用 空き領域の細断処理のスケジュール設定 281 282 285 287 289 291 293 294 294 296 299 299 301 301 301 302 303 スマート カードおよびトークンへの鍵の保存 305 スマート カードおよびトークンについて 互換性のあるスマート カード スマート カードの認識 306 307 308 viii PGP Desktop for Windows Contents スマート カードのプロパティの確認 スマート カード上での PGP 鍵ペアの生成 スマート カードから鍵リングへの公開鍵のコピー 鍵リングからスマート カードへの鍵ペアのコピー スマート カードからの鍵の抹消 複数のスマート カードの使用 トークンの特別使用 Aladdin eToken の設定 PGP Desktop オプションの設定 309 310 312 312 314 314 316 316 319 [PGP オプション] ダイアログ ボックスへのアクセス 全般オプション 鍵オプション マスター鍵オプション メッセージング オプション プロキシ オプション PGP NetShare オプション ディスク オプション 通知機能オプション 詳細オプション 319 320 322 325 325 329 332 334 337 339 343 パスワードおよびパスフレーズの使用 343 344 345 347 パスワードまたはパスフレーズの使用の選択 パスフレーズの品質バー 強力なパスフレーズの作成 パスフレーズを忘れた場合 PGP Universal Server を介しての PGP Desktop の使い方 349 350 351 351 概要 PGP 管理者の方へ PGP Universal Server への手動バインド PGP Desktop と IBM Lotus Notes の併用 353 Lotus Notes および MAPI の互換性 PGP Desktop と Lotus Notes の併用 Lotus Notes 組織内の受信者への電子メールの送信 Lotus Notes 組織外の受信者への電子メールの送信 PGP Universal Server へのバインド プリバインド 手動バインド ix 353 354 354 355 355 355 356 PGP Desktop for Windows Contents Notes アドレス Notes クライアントの設定 Notes.ini 設定ファイル Lotus Notes ネイティブ暗号化の使用 357 357 358 358 Error! Bookmark not defined. 索引 x 1 PGP Desktop 10.1 for Windows について PGP Desktop は、暗号化を使用して不正アクセスからデータを保護するセキュ リティ ツールです。 PGP Desktop は、電子メールやインスタント メッセージング (IM) でデータを 送信する際に、データを保護します。また、ハード ドライブ全体またはハード ド ライブのパーティションを (Windows システム上で) 暗号化してすべてのデー タを常時保護したり、仮想ディスクを使用してハード ドライブの一部を暗号化 し、機密データを安全に保存したりすることもできます。これにより、ネットワ ークを介して他のユーザーとファイルやフォルダーを安全に共有できます。ファ イルやフォルダーを暗号化された圧縮パッケージに入れると、パッケージの配布 やバックアップが簡単に行えます。さらに、PGP Desktop を使用して、他人が 機密ファイルを取得できないように細断処理をして安全に削除したり、ハード ドライブの空きスペースを細断処理して保護されていないファイルの残骸が残 らないようにもできます。 PGP Desktop を使用して PGP の鍵ペアを作成し、個人用の鍵ペアと他のユーザ ーの公開鍵の両方を管理できます。 PGP Desktop の機能を最大限に活用するために、「PGP Desktop の用語 『ペー ジ : 13』」を理解しておいてください。また、「共通鍵暗号方式と公開鍵暗号 方式 『ページ : 16の"従来の暗号技術と公開鍵暗号化方式"参照先 : 』」に記 載された共通鍵暗号方式と公開鍵暗号方式についても理解しておく必要があり ます。 この章の内容 PGP Desktop for Windows バージョン 10.1 の新機能 ............................. 2 このユーザー ガイドの使い方 .................................................................. 4 このユーザー ガイドの対象読者 .............................................................. 6 PGP Desktop のライセンスについて ........................................................ 6 サポート情報 ........................................................................................... 10 1 PGP Desktop for Windows PGP Desktop 10.1 for Windows について PGP Desktop for Windows バージョン 10.1 の新機能 PGP Corporation の実証済みテクノロジーに基づく PGP Desktop 10.1 for Windows には、多数の改善点に加え、次の新機能および解決策が追加されてい ます。 PGP Desktop 10.1 の新機能 全般 SafeNet 330 スマート カードが、プリブート認証およびポストブート認証 の両方に追加されました。 メッセージング 注釈機能が改良されました。PGP Universal Server で管理された環境では、 管理者は、注釈をメッセージの周りではなく最後に配置するなど、電子メー ルの注釈の位置を特定できるようになりました。 Microsoft Outlook (MAPI) 電子メールの [暗号化] および [署名] ボタンに 改良が加えられました。また、[暗号化] ボタンと [署名] ボタンのデフォル トの状態を管理者が指定している場合もあります (いずれも有効の場合)。ボ タンを切り替えることによって、管理者が指定したデフォルトの設定をオー バーライドできます。 IMAP アカウントの送信済みメッセージのコピーを保護して (スタンドアロ ン インストール環境でのみ利用可) セキュリティを強化し、IMAP アカウン トを使用して送信した機密電子メールを保護できます。メッセージを IMAP の [送信済みアイテム] メールボックスにコピーする際に、[暗号化する]、[暗 号化/署名する]、[署名のみ] のいずれかを選択します。 PGP Universal Server で管理された環境では、管理者は、電子メール メッ セージの署名を検証するかどうかをユーザーが決められるようにポリシー を設定できます。この設定が有効になっている場合、Microsoft Outlook ま たは Lotus Notes 電子メール クライアントに新しいボタンまたはメニュー オプション、あるいはその両方が表示されます。ボタンまたはオプションは、 管理者が設定したデフォルトの状態になりますが、この設定をオーバーライ ドすることもできます。 PGP Universal Server で管理された環境では、管理者が特定の PGP 通知機 能の設定 (たとえば、通知を表示するかどうか、通知機能の場所など) を指 定している場合があります。 2 PGP Desktop for Windows PGP Desktop 10.1 for Windows について S/MIME 電子メール メッセージに含まれる X.509 証明書を、受信者の鍵リ ングにインポートできるようになります。公開鍵が見つかった場合に指定し た設定と同じ設定が、これらの証明書に適用されます。指定した場合、PGP Desktop によって X.509 証明書が抽出され、受信者の鍵リングにインポート されます。インポートされた証明書を使用して電子メールを暗号化する場合 は、証明書に手動で署名してください。 PGP Universal Server で管理された環境では、管理者が、メッセージがブロ ックされた場合に追加情報が配信不能通知に含まれるように設定を指定し ている場合があります。PGP Desktop で、グループのリストに 1 つまたは 複数の受信者の鍵が見つからない場合は、その受信者の電子メール アドレ スが配信不能通知のエラー詳細にリストされます。 PGP NetShare PGP NetShare に改良が加えられ、PGP Universal Server 管理者によってブ ラックリストが定義された場合は、ワイルドカード文字がサポートされるよ うになり、また PGP トレイが利用できない場合は、ブラックリストに従い ます。さらに、無効なブラックリストのエントリはスキップされます。 [アクセス リスト] セクションに新しい列が表示され、ユーザーの種類 (ロ ール) が表示されます。 PGP NetShare コマンド ラインがスタンドアロン モードで利用できるよう になり、システムに PGP NetShare クライアントをインストールしていなく ても、サーバーや他のファイルの格納場所で PGP NetShare に関連した作業 を実行できるようになりました。詳細については、『PGP NetShare コマン ド ライン ユーザーガイド』を参照してください。 PGP Portable PGP Portable ディスクのユーザーが初回使用時 (ユーザーが初めてシステ ムにデバイスを挿入するとき) にパスフレーズを変更するように設定でき ます。このオプションは、会議や展示会などの配布に PGP Portable ディス クを複数作成する場合に便利です。 デバイスでデータにアクセスする際に、[詳細情報] のリンクが[PGP Portable] ダイアログ ボックスで利用できるようになりました。ブラウザが 起動し、PGP Corporation サポート サイト ページが表示されます。 PGP Portable ディスクをマウントすると、使用可能なディスク領域と合計 サイズを表示できます。タスクバー アイテムの上にカーソルを移動させて 数秒待つと、PGP 通知機能メッセージが表示され、PGP Portable ディスク のマウント ステータス、および更新されたディスク領域の情報が表示され ます。 3 PGP Desktop for Windows PGP Desktop 10.1 for Windows について PGP Remote Disable & Destroy (PGP RDD) PGP Remote Disable & Destroy では、Intel® Anti-Theft テクノロジーを使用 して、モバイル環境でデータをセキュリティ保護し、データ セキュリティ およびプライバシーに関する規制がますます厳しくなるなか、その規制に準 拠できるよう対処します。PGP RDD では、ユーザーのラップトップが失わ れたり盗まれたりした場合でも、PGP Universal Server administrator 管理者 がラップトップをリモートで無効にしたり、データのアクセスを無効にして、 ラップトップをセキュアに廃止できます。 PGP Whole Disk Encryption Microsoft Windows システムで Intel® AES-NI (AES (Advanced Encryption Standard) Instructions) がサポートされている場合、この暗号アルゴリズム に関連付けられたハードウェアを使用して暗号化および復号化が行われま す。AES-NI では、暗号化および復号化の処理中のパフォーマンスが向上し、 ディスクが暗号化されているときの I/O が強化されています。 これにより、ポリシーによるブート ドライブの暗号化が強制されます。こ れには、ポリシーが変更された場合に (以前はブート ドライブを暗号化す る必要はなかったが、管理者が暗号化を必要とするようにポリシーを変更し た場合など)、暗号化を強制する場合も含まれます。 Windows システムの PGP BootGuard 詳細画面に、ご使用のシステム名が表 示されるようになりました。これは、パスワードを忘れた場合にディスク全 体リカバリ トークン (WDRT) を使用する必要がある際に、ヘルプ デスク にとって便利な情報です。 PGP BootGuard に改良が加えられ、PGP BootGuard 画面でタブレット PC の仮想キーボードを使用してパスフレーズを入力して認証できるようにな りました。システムをドックしている場合やシステムに外付けキーボードを 直接接続している場合は、そのキーボードを使用して認証することもできま す。サポートされているタブレット PC については、システム要件を参照し てください。 PGP Desktop for Windows に改良が加えられ、PGP BootGuard で USB 2.0 および EHCI コントローラーが完全にサポートされるようになりました。こ れにより、新しい Intel チップセットを搭載している新しいラップトップで、 スマート カード リーダーおよびトークンがサポートされます。 このユーザー ガイドの使い方 このユーザー ガイドでは、PGP Desktop 内のコンポーネントの構成および使用 方法について説明します。ユーザー ガイドの各章では、PGP Desktop のコンポ ーネントを 1 つだけ取り上げて重点的に説明します。 4 PGP Desktop for Windows PGP Desktop 10.1 for Windows について 「管理対象ユーザー」と「管理されていないユーザー」 PGP Universal Server を使用して、PGP Desktop のコンポーネントが使用するポ リシーと設定を制御できます。これは、PGP ソフトウェアを使用する企業でよ く行われます。PGP Desktop ソフトウェアで利用できる設定やポリシーを PGP 管理者が PGP Universal Server を使用して事前に構成および管理するため、この 構成の PGP Desktop ユーザーは管理されたユーザーと呼ばれます。ユーザーが 管理環境に属している場合は、会社が特定の使用条件を導入していると考えられ ます。たとえば、管理対象ユーザーは、プレーン テキストの電子メールの送信 を許可されたり、禁止されたりします。また、PGP ディスク全体暗号化でディ スクを暗号化することを要求される場合もあります。 PGP Universal Server の管理下にないユーザーは、管理されていないユーザーま たはスタンドアロン ユーザーと呼ばれます。 このドキュメントでは、両方の状況について PGP Desktop の動作の仕方を説明 します。ただし、管理対象ユーザーは製品使用時に、このドキュメントで説明す る設定の一部を使用環境で利用できないことがあります。詳細については、 「PGP Universal Server を介しての PGP Desktop の使い方 『ページ : 349』」 を参照してください。 PGP Universal Server 管理者によってカスタマイズされる機能 PGP Universal Server によって管理された環境の「管理対象」ユーザーとして PGP Desktop を使用している場合は、管理者が指定できる設定がいくつかあり ます。これらの設定によって、PGP Desktop での機能の表示方法が変わる場合 があります。 無効な機能。PGP Universal Server 管理者は、特定の機能を有効にしたり無 効にしたりできます。たとえば、PGP Zip アーカイブを作成する機能や、PGP NetShare で保護されたフォルダーを作成する機能を管理者が無効にする場 合があります (Windows システムの場合)。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対 するメニューが使用できなくなります。このユーザー ガイドに記載された 図は、すべての機能が有効になっているデフォルトのインストール環境を示 しています。管理者が使用可能な機能をカスタマイズしている場合は、PGP Desktop インターフェイスの外観が異なる場合があります。 カスタマイズされた BootGuard。 PGP Universal Server で管理された環境 で PGP Desktop を使用している場合、PGP 管理者が [PGP Whole Disk Encryption BootGuard] 画面をカスタマイズして、追加のテキストや組織の ロゴなどのカスタム イメージを組み込んでいる場合があります。このガイ ドに掲載されている図は、デフォルトのインストール環境を示しています。 管理者が画面をカスタマイズしている場合は、実際のログイン画面の外観が 異なる場合があります。 5 PGP Desktop for Windows PGP Desktop 10.1 for Windows について このユーザー ガイドで使用されている規約 メモ、注意、および警告は、次のように使用されています。 メモ : メモは、付加情報でありながら重要性を持ちます。メモは製品の重要 な側面への注意を喚起します。メモを読んでおくと、読まない場合に比べて製 品を有効に利用できます。 注意 :注意は、データの喪失または軽微なセキュリティ侵害の可能性があるこ とを示します。注意は予防措置を講じないと問題が発生するおそれがある状況 を知らせるものです。注意事項には留意する必要があります。 警告 :警告は、著しいデータの喪失または重大なセキュリティ侵害のおそれが あることを示します。警告は適切な措置を講じないと重大な問題が発生するお それがあることを示します。警告は特に重視する必要があります。 このユーザー ガイドの対象読者 このユーザー ガイドは、PGP Desktop for Windows ソフトウェアをデータ保護 の目的に使用するすべてのユーザーを対象としています。 メモ : 初めて暗号化に取り組むユーザーで、PGP Desktop の用語と概念の概 要について学びたい場合は、(PGP Desktop のインストール時にコンピュータ ー上にインストールされる) 『暗号技術の基礎』を参照してください。 PGP Desktop のライセンスについて PGP ソフトウェアでは、ライセンスを使用して、購入した機能を有効にしたり ソフトウェア有効期限を設定したりします。ユーザーのライセンスに応じて、 PGP Desktop ファミリーで一部またはすべてのアプリケーションが使用可能に なります。ライセンスを入力したら、手動またはオンラインで PGP Corporation にアクセスしてソフトウェアの承認を行う必要があります。 ライセンスには 3 つのタイプがあります。 評価版 :このタイプのライセンスは一般的に時間で区切られ、一部の PGP Desktop 機能を含んでいないこともあります。 サブスクリプション :このタイプのライセンスは一般的に 1 年間のサブス クリプション期間有効です。サブスクリプション期間中、PGP ソフトウェ アの現行版とすべてのアップグレード、この期間中にリリースされる更新版 を受け取ります。 6 PGP Desktop for Windows PGP Desktop 10.1 for Windows について 永久 :このタイプのライセンスは PGP Desktop を永久に使用することを許 可します。毎年更新する必要のある年間ソフトウェア保険ポリシーを追加す ることにより、すべてのアップグレードおよび、ポリシー期間中にリリース される更新版を受け取ります。 PGP Desktop for Windows のライセンス取得 PGP Desktop のライセンスを取得するには 次のいずれか 1 つを実行します。 管理対象ユーザーの場合、既にライセンスを受けた PGP Desktop のコピー を使用している可能性が高いので、「ライセンスの詳細の確認 『ページ : 7』」にある説明に従って、ライセンスの詳細を確認してください。質問に つきましては、PGP 管理者にお問い合わせください。 管理されていないユーザー、または PGP 管理者の場合は、「ライセンスの 詳細の確認 『ページ : 7』」にある説明に従って、ライセンスの詳細を確 認してください。PGP Desktop のコピーを承認する必要がある場合、「PGP Desktop for Windows の承認 『ページ : 8』」で記載される手順に従って ください。 ライセンスの詳細の確認 PGP Desktop ライセンスの詳細を確認するには、次の手順に従います。 1 システム トレイにある [PGP Desktop] アイコンをダブルクリックします。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイア ログ ボックスが表示されます。 このダイアログ ボックスには、次の詳細項目が表示されます。 項目 説明 ライセンスの種類 ライセンスされた製品の名前。 7 PGP Desktop for Windows PGP Desktop 10.1 for Windows について 項目 説明 ライセンス シート数 ライセンスで利用可能なシートの数。 ライセンスの有効期 限 ライセンスの期限が切れる日付。 製品情報 ライセンスによって有効になっているコンポー ネント。製品名の上にマウス ポインタを置く と、その製品に関する情報や、その製品の使用 が許可されているかどうかが表示されます。 メモ : PGP Desktop のコピーを承認しない場合、利用できる機能は PGP Zip と鍵に限定されます。 PGP Desktop for Windows の承認 ライセンス番号を新しい番号に変更する必要がある場合、または構成時にライセ ンス承認処理をスキップした場合は、次の手順に従ってソフトウェアを承認しま す。 PGP Desktop for Windows を承認するには PGP Desktop を購入したユーザーには、ライセンス情報が記載された受注確認 が送信されています。 1 システム トレイにある [PGP Desktop] アイコンをダブルクリックします。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイア ログ ボックスが表示されます。 3 [ライセンスの変更] をクリックします。[PGP ライセンス アシスタント] ダ イアログ ボックスが表示されます。 4 受注確認に記載されているとおり正確に、[名前] と [組織] を入力します。 5 製品のライセンス番号に関連付ける電子メール アドレスを入力します。 6 確認のために電子メール アドレスをもう一度入力します。 7 [次へ] をクリックします。 8 次のいずれか 1 つを実行します。 与えられたフィールドに、28 桁のライセンス番号を入力します (例 : DEMO1-DEMO2-DEMO3-DEMO4-DEMO5-ABC)。 8 PGP Desktop for Windows PGP Desktop 10.1 for Windows について メモ : タイプミスを防ぎながら認証を簡単に行うため、ライセンス番号を コピーし、カーソルを最初の [ライセンス番号] フィールドに置いて貼り 付けることをお勧めします。この操作によって、6 個の [ライセンス番号] フィールドのすべてにライセンス番号が正しく入力されます。 PGP Desktop をライセンスなしで使用するには、[ライセンスなしで使 用する (大半の機能は無効になります)] を選択します。ライセンスな しで使用できる PGP Desktop の機能は、PGP Zip と PGP 鍵のみです。 9 [次へ] をクリックして承認します。 10 PGP が承認されると、ライセンスによって有効になった機能が表示されま す。[次へ] をクリックした後、[完了] をクリックして処理を終了します。 ライセンス承認エラーの解決 ソフトウェアの承認中にエラー メッセージが表示された場合、この問題の解決 方法はエラー メッセージに応じて異なります。PGP サポート ポータル 『https://support.pgp.com』の「HOWTO : License PGP Desktop 10.1」セクシ ョンを参照してください。 ライセンスの有効期限が切れた場合 PGP Desktop ライセンスの有効期限が切れると、PGP Desktop を起動したとき に、PGP ライセンスの有効期限に関するメッセージが表示されます。ライセン スの期限が切れると PGP Desktop の機能にどのような影響が及ぶかについては、 この後のセクションを参照してください。 PGP Desktop Email 電子メールが暗号化された状態で送信されなくなります。 PGP NetShare PGP NetShare で保護されたフォルダーにアクセスできますが、保護された ファイルが暗号化されたままになります (暗号化されたファイルを表示す るには、フォルダーとファイルを手動で復号化してください)。 PGP NetShare で保護された新規フォルダーを作成できません。 保護されたフォルダーに移動されるファイルが暗号化されません。 PGP NetShare で保護されたフォルダーとの間で鍵の追加または削除を行え ません。 9 PGP Desktop for Windows PGP Desktop 10.1 for Windows について PGP Remote Disable & Destroy ディスクが PGP WDE で暗号化され、さらに Intel AT を搭載した PGP RDD が有効になっている場合、ライセンスの有効期限が切れても、そのディスク は暗号化され、Intel AT を搭載した PGP RDD は有効になったままの状態に なります。 PGP 仮想ディスク PGP 仮想ディスクには読み取り専用モードで引き続きアクセスできます。 読み取り専用モードでは、PGP 仮想ディスクからデータをコピーできます が、PGP 仮想ディスクにデータをコピーすることはできません。 PGP Whole Disk Encryption PGP Desktop で暗号化された固定ディスクは、ライセンスの有効期限が切 れてから 90 日後に自動的に復号化されます。しかし、PGP Remote Disable & Destroy が有効になっており、ご使用のシステムが PGP Universal Server 管理者によって“アクティブ” または “盗難” とマークされている場合は、 そのディスクはライセンスの有効期限が切れた時点で自動的に復号化され ます。 サポート情報 その他のリソースについては、次のセクションを参照してください。 製品情報の入手 特に断りのない限り、オンライン ヘルプは PGP Desktop 製品にインストールさ れ、利用できます。製品マニュアルに記載されていない応急対策情報を収録した、 リリース ノートも付属しています。Adobe Acrobat PDF ファイルで提供される ユーザー ガイドおよびクイック スタート ガイドは、PGP サポート ポータル の「マニュアル 『https://pgp.custhelp.com/app/docs』」セクションから入手で きます。 PGP Desktop のリリース以降、製品に関する追加情報は、PGP サポート ポータ ル Web サイト 『https://support.pgp.com』にあるオンラインのナレッジ ベー スに掲載されます。 10 PGP Desktop for Windows PGP Desktop 10.1 for Windows について 連絡先情報 技術サポートへのお問い合わせ PGP サポート オプションと PGP 技術サポートへのお問い合わせ方法の詳 細については、PGP Corporation サポート ホーム ページ 『https://support.pgp.com』を参照してください。 PGP サポート ナレッジベースにアクセスしたり、PGP 技術サポートにサポ ートを依頼したりするには、PGP サポート ポータル Web サイト 『https://support.pgp.com』を参照してください。 サポート契約がない場 合でも PGP サポート ナレッジベースの一部にアクセスできますが、技術サ ポートにサポートを依頼するには、有効なサポート契約が必要です。 PGP サポート フォーラムを利用するには、PGP サポート 『http://forums.pgp.com』にアクセスしてください。 PGP サポート フォ ーラムは、PGP Corporation 主催のユーザー コミュニティ向けフォーラム です。 カスタマー サービスへのお問い合わせ 注文、ダウンロード、およびライセンスに関するお問い合わせは、PGP Corporation カスタマー サービス 『https://pgp.custhelp.com/app/cshome』 にアクセスしてください。 他の部門へのお問い合わせ その他の PGP Corporation へのお問い合わせについては、PGP 連絡先ペー ジ 『http://www.pgp.com/about_pgp_corporation/contact/index.html を参 照』にアクセスしてください。 PGP Corporation の会社概要については、PGP Web サイト 『 http://www.pgp.com』にアクセスしてください。 11 2 PGP Desktop の基本 ここでは、PGP Desktop の用語について説明し、暗号化に関する高レベルの概 念情報を提供します。 この章の内容 PGP Desktop の用語................................................................................ 13 従来の暗号技術と公開鍵暗号化方式 ....................................................... 16 PGP Desktop を使用し始める前に .......................................................... 17 PGP Desktop の用語 PGP Desktop の機能を最大限に活用するために、次のセクションの用語につい て理解しておいてください。 PGP 製品コンポーネント PGP Desktop とその機能について説明します。ライセンスの種類によっては、 一部の機能が有効になっていない場合があります。詳細については、「PGP Desktop ライセンスについて 『ページ : 7の"PGP Desktop for Windows のラ イセンス取得"参照先 : 』」を参照してください。 PGP Desktop : 暗号技術を使用して不正アクセスからデータを保護するソ フトウェア ツール。PGP Desktop には、Mac OS X 版と Windows 版があ ります。 PGP メッセージング : PGP Desktop の機能の 1 つで、ユーザーが設定 するポリシーを使用して、すべての電子メール クライアントを自動的 かつ透過的にサポートします。PGP Desktop では、新しいプロキシ技 術を使用してこれを実現しますが、従来のプラグイン技術も利用可能 です。また PGP メッセージングでは、AIM や iChat など、数多くの IM クライアントも保護できます (ただし、双方のユーザーが PGP メッセ ージングを有効にする必要があります)。 13 PGP Desktop for Windows PGP Desktop の基本 PGP Whole Disk Encryption : PGP Desktop の機能の 1 つで、ブート レコードを含むハード ドライブ全体またはパーティション (Windows システムのみ) を暗号化することにより、その中のすべての ファイルを、使用していないときに保護します。PGP Whole Disk Encryption と PGP 仮想ディスク ボリュームは、同じコンピューター 上で使用できます。Windows システムでは、ディスク全体を暗号化し たドライブは、パスフレーズで保護するか、またはセキュリティを高 めるために USB トークン上の鍵ペアで保護できます。 PGP NetShare : PGP Desktop for Windows の機能の 1 つで、特定の ユーザー間で、セキュアな方法で透過的にファイルやフォルダーを共 有できるようにします。PGP NetShare では、保護対象として指定した フォルダーにファイルやフォルダーを移動するだけで、それらを保護 できます。 PGP 鍵 : PGP Desktop の機能の 1 つで、自分の PGP 鍵だけでなく、 電子メールをセキュアな方法でやり取りする相手の公開鍵も管理しま す。 PGP 仮想ディスク ボリューム : PGP Desktop の機能の 1 つで、ハー ド ドライブ領域の一部を暗号化された仮想ディスクとして使用でき るようにします。PGP 仮想ディスク ボリュームは、鍵またはパフスレ ーズで保護できます。また、ボリュームに対して追加ユーザーを作成 して、承認したユーザーがそのボリュームにアクセスできるようにす ることもできます。PGP 仮想ディスク機能は、ラップトップで特に有 用です。ラップトップの紛失や盗難が発生した場合でも、PGP 仮想デ ィスクに保存された機密データは不正アクセスから完全に保護されま す。 PGP 完全削除 : PGP Desktop の機能の 1 つで、データをコンピュータ ーから完全削除します。完全削除したファイルは上書きされるので、 ファイル復元用ソフトウェアを使用しても復元できません。 PGP Viewer : メール ストリーム外にあるメッセージを復号化、検証、 表示するには、PGP Viewer を使用します。 PGP Zip : PGP Desktop の機能の 1 つで、転送やバックアップが簡単 にできるように、ファイルやフォルダーを単一の暗号化された圧縮パ ッケージに格納します。PGP Zip アーカイブは、PGP 鍵またはパスフ レーズで暗号化できます。 PGP Universal Server : 社員の電子メールの送受信を自動的かつ透過的に セキュアにするための企業向けツール。PGP Universal Server で管理された 環境で PGP Desktop を使用している場合は、メッセージング ポリシーやそ の他の設定は、その組織の PGP 管理者によって制御されます。 14 PGP Desktop for Windows PGP Desktop の基本 PGP Global Directory : PGP Corporation がホストしている無料の公 開鍵サーバー。PGP Global Directory を使用すると、世界中の PGP 鍵 にすばやく簡単にアクセスできるようになります。この鍵サーバーに 採用されている次世代の鍵サーバー技術では、鍵に関連付けられた電 子メール アドレス宛てに (ユーザー本人が鍵を公開しようとしている ことを確認するための) 検証メッセージが送信されたり 、ユーザーが 自分の鍵を管理したりできます。PGP Global Directory を使用すると、 セキュアなメッセージを送信する相手の有効な公開鍵を見つけやすく なります。PGP Desktop は、PGP Global Directory と連動するように設 計されています。 PGP Desktop で使用される用語 PGP Desktop を使用する前に、次の用語をよく理解しておいてください。 復号化 :暗号化された (スクランブルがかけられた) データを、元の有意味 なデータに戻す処理。他のユーザーが公開鍵を使って暗号化したデータを受 信した場合、秘密鍵を使って復号化する必要があります。 暗号化 :データにアクセスした未承認ユーザーがデータを一切加工できな いよう、データにスクランブルをかける処理。データはかなりの程度までス クランブルされるため無意味になります。 署名 :秘密鍵を使用して、データにデジタル署名を添付する処理。送信者が 秘密鍵によって署名したデータは、その送信者の公開鍵によってしか検証で きません。したがって、署名されたデータを送信者の公開鍵で検証できれば、 送信者の秘密鍵でデータが署名されたことになり、その送信者がデータの送 信元として裏付けられます。 検証 :データのデジタル署名に送信者の秘密鍵が使用されたことを、その送 信者の公開鍵を使って証明する処理。秘密鍵によって署名されたデータは、 対応する公開鍵によってのみ検証できます。したがって、署名されたデータ を特定の公開鍵で実際に検証できれば、署名者が秘密鍵を保有していたとい う裏付けになります。 鍵ペア :秘密鍵 1 つと公開鍵 1 つの組み合わせ。PGP「鍵」を作成すると、 事実上鍵ペアを作成したことになります。鍵ペアには、送信者の秘密鍵と公 開鍵以外に送信者の名前と電子メール アドレスが含まれるため、鍵ペアは デジタル ID と考えた方がわかりやすいでしょう。実社会において運転手の 身分証明書となる運転免許証やパスポートと同じように、デジタル界におい て送信者の身元確認に使われるのが鍵ペアです。 秘密鍵 :他人に知られないように安全に保管しておく鍵。送信者の公開鍵を 使用して暗号化したデータは、その送信者の秘密鍵によってのみ復号化でき ます。また、送信者の公開鍵で検証できるデジタル署名を作成するときも、 送信者の秘密鍵が必要です。 15 PGP Desktop for Windows PGP Desktop の基本 注意 : 秘密鍵やその鍵のパスフレーズはだれにも教えないでください。ま た、秘密鍵は安全な場所に保管してください。 公開鍵 :他のユーザーに配布する鍵。公開鍵を配布したユーザーには、保 護メッセージ (送信者の秘密鍵でしか復号化できないメッセージ) を自分に 送信してもらったりデジタル署名の検証を代行してもらったりできます。 公開鍵は広く配布するためのものです。 公開鍵と秘密鍵は数学的に関連性がありますが、自分の公開鍵を持つだれ かがその対となっている秘密鍵を見抜くことはできません。 鍵サーバー :公開鍵の保管場所。一部の企業では、社員用公開の鍵サーバ ーを独自にホストすることによって、他の従業員が公開鍵を見つけて保護 メッセージを送信できるようにしています。PGP Global Directory 『 https://keyserver.pgp.com』 は、PGP Corporation によってホストされてい る無料の公開鍵サーバーです。 スマート カードとトークン :スマート カードとトークンは、PGP 鍵ペア の作成先またはコピー先の媒体として使用できるポータブル デバイスです 。スマート カードやトークン上に PGP 鍵ペアを作成しておくと、そのス マート カードやトークンを所有しない人は暗号化、署名、復号化または検 証を許可されないため、セキュリティを強化できます。自分のコンピュー ターに未承認ユーザーがアクセスできる場合でも、PGP 鍵ペアはユーザー のスマート カードやトークンに保存されるので、暗号化データはセキュリ ティ上安全です。PGP 鍵ペアをメイン システムから離れた場所で使用す る場合、PGP 鍵ペアのバックアップを作成する場合、および公開鍵を配布 する場合は、PGP 鍵ペアをスマート カードやトークンにコピーしておく のが得策です。PGP Desktop for Mac OS X での使用時、スマート カード とトークンは、鍵の格納場所としては使用できません 従来の暗号技術と公開鍵暗号化方式 従来の暗号技術では、データの暗号化と復号化に同じパスフレーズを使用しま す。従来の暗号技術は、すばやく暗号化や復号化ができるので、送受信せずに 一定の場所でのみ利用するデータに適しています。ただし、暗号化データの送 信先が不特定ユーザー (特に、面識のない相手) である場合、従来の暗号技術は 適していません。 公開鍵暗号化方式は、暗号化と復号化に鍵ペアと呼ばれる 2 つの鍵を使用しま す。これら 2 つの鍵のうち、1 つは秘密鍵と呼ばれます。名前のとおり、他人に は教えてはならない、秘密の鍵です。もう 1 つは公開鍵と呼ばれ、これも名前 からわかるとおり、他人と共有できる鍵です。実際は、共有することが前提に なります。 16 PGP Desktop for Windows PGP Desktop の基本 公開鍵暗号化方式は、次のように動作します。たとえば、遠方に住んでいる従 兄弟と個人的なメッセージを交換するとき、自分も従兄弟も PGP Desktop をイ ンストールしてあるとします。. まず、両者はそれぞれ自分の鍵ペアを作成し ます。鍵ペアとは、秘密鍵 1 つと公開鍵 1 つが対になったものです。秘密鍵は秘 密の安全な場所に保管しておきます。公開鍵は、鍵を配布するためのサーバー である公開鍵サーバー (PGP Global Directory など) に送信します (独自の公開 鍵サーバーを所有している企業もあります。) 両者の公開鍵が鍵サーバーに登録されると、自分も従兄弟も鍵サーバーからお 互いの公開鍵を取得できるようになります (公開鍵を交換する方法は他にもあ ります。詳細については、「PGP 鍵の使用 『ページ : 43』」を参照してくだ さい)。公開鍵の交換が重要である理由は、従兄弟にしか解読できない暗号化電 子メール メッセージを送信する際には、従兄弟の公開鍵を使用してメッセージ を暗号化することになるためです。従兄弟の公開鍵を使って暗号化されたメッ セージは、従兄弟の秘密鍵でしか復号化できません。つまり、従兄弟の公開鍵 を使ってメッセージを暗号化すると、暗号化した自分自身でも、従兄弟の公開 鍵を使ってそのメッセージを復号化することはできないのです。公開鍵を使っ て暗号化されたデータを復号化できるのは、それに対応する秘密鍵だけとなり ます。 公開鍵と秘密鍵は数学的に関連していますが、公開鍵だけからその対となって いる秘密鍵を見破ることはできません。 PGP Desktop を使用し始める前に PGP Desktop を使用し始めるには、次の手順で行うことを推奨します。 1 PGP Desktop をコンピューターにインストールします。 企業環境では、PGP 管理者がインストールに関する特別な指示を社員用に 用意している場合や、特定の設定を PGP インストーラーに事前に組み込ん でいる場合があります。いずれの場合でも、製品のインストールが最初の 手順となります。 2 セットアップ アシスタントを使用して作業を進めます。 PGP Desktop をインストールしてコンピューターを再起動すると、セット アップ アシスタントが表示されます。セットアップ アシスタントでは、 次の作業を簡単に行うことができます。 PGP Desktop のライセンス取得 鍵ペアの作成 - サブ鍵付き、またはサブ鍵なし (鍵ペアをまだ保有し ていない場合) PGP Global Directory への公開鍵の公開 PGP メッセージングの有効化 他の機能の概要を確認 17 PGP Desktop for Windows PGP Desktop の基本 PGP Desktop インストーラー アプリケーションが PGP 管理者によって構 成されている場合は、セットアップ アシスタントで他のタスクが実行され ることがあります。 3 自分の公開鍵を他のユーザーと交換します。 鍵ペアを作成した後、他の PGP Desktop ユーザーと公開鍵を交換すると、 その相手とセキュアなメッセージの送受信を開始できます。PGP Desktop のディスク全体暗号化機能を使用することもできます。 他のユーザーとの公開鍵の交換は、最初に行う重要な手順です。他のユー ザーにセキュアなメッセージを送信するには、相手の公開鍵を持っている 必要があります。また、相手がセキュアな返信メッセージを送信するには 、そのユーザーが返信先ユーザーの公開鍵を持っている必要があります。 セットアップ アシスタントで PGP Global Directory に公開鍵をアップロー ドしなかった場合は、この段階でアップロードしてください。メッセージ の送信相手の公開鍵を持っていない場合は、まず PGP Global Directory で 公開鍵を探します。PGP Desktop では電子メールの送信時に、相手側の PGP Desktop ユーザーの鍵が自動的に検索され、検証されます。次に、送 信メッセージは相手の公開鍵で暗号化され、送信されます。 4 信頼されていない鍵サーバーから入手した公開鍵を検証します。 信用されていない鍵サーバーから公開鍵を入手するときは、公開鍵が改ざ んされていないことや、公開鍵の所有者と名乗るユーザーが実際の所有者 であることを確認するようにしてください。これを確認するには、PGP Desktop を使用して、鍵サーバーから入手した公開鍵のフィンガープリン トを、所有者本人の手元にある公開鍵のフィンガープリントと比較します 。(公開鍵の所有者に電話をかけ、フィンガープリントを読み上げてもらっ て比較する方法を推奨します。)PGP Global Directory などの信用できる鍵 サーバーから取得した鍵は、既に検証されています。 5 電子メール、ファイル、インスタント メッセージ (IM: Instant Message) セッションをセキュアにします。 鍵ペアを作成して公開鍵を交換した後、電子メールやフォルダーの暗号化 、署名、復号化、および検証を開始できます。セキュアな IM チャット セ ッションの機能では、独自の鍵が自動的に生成されるため、鍵ペアを作成 する前でもこの機能を使用できます。ただし、チャット セッションをセキ ュアにするには、チャットの相手も PGP Desktop を使用していることを 条件とします。 6 PGP Desktop の通知機能によって表示される情報ボックスに注意しながら 作業します。 メッセージを送受信したときや、その他の PGP Desktop 機能を実行したと きに、指定した画面隅に PGP Desktop の通知機能の情報ボックスが表示さ れます。これらの PGP 通知機能のボックスには、PGP Desktop によって行 われた、または行われる予定の処理が示されます。メッセージの送受信処 理を理解したら、PGP 通知機能のオプションを変更したり、通知機能を無 効にしたりできます。 18 PGP Desktop for Windows PGP Desktop の基本 7 メッセージを数回送受信した後で、ログをチェックし、すべての機能が正 しく動作していることを確認します。 通知機能で表示される以上に詳細な情報が必要な場合は、PGP ログで、す べてのメッセージング処理に関する詳細情報を参照できます。 8 必要に応じてメッセージング ポリシーを編集します。 PGP Desktop のメッセージング ポリシーを正しく構成すると、電子メー ルの送受信が自動的かつ透過的に行われるようになります。メッセージの 受信者の鍵が PGP Global Directory 上にある場合は、デフォルトの PGP Desktop ポリシーによって、[暗号化できない場合はクリア テキストで送 信] のポリシーが適用されます。[暗号化できない場合はクリア テキストで 送信] のポリシーでは、暗号化に必要なもの (受信者の検証済みの公開鍵な ど) がある場合にのみ、PGP Desktop によってメッセージが自動的に暗号 化されます。受信者の検証済みの鍵がない場合は、メッセージが暗号化さ れずにクリア テキストで送信されます。デフォルトの PGP Desktop ポリ シーには、強制的な暗号化のオプションも用意されています。このポリシ ーを適用すると、件名に “[PGP]” というテキストが含まれるメッセージ の暗号化が必須となります。検証済みの公開鍵が見つからない場合は、メ ッセージは送信されず、通知機能によって警告が表示されます。 9 PGP Desktop のその他の機能を使用して、さらにセキュリティを高めます 。 PGP Desktop を使用すると、メッセージング機能だけでなく、使用してい るディスクをセキュアにすることもできます。 PGP Whole Disk Encryption を使用すると、ブート ディスク、ディ スク パーティション (Windows システムの場合)、外付けディスク、 または USB サム ドライブを暗号化できます。ディスクまたはパーテ ィション上のすべてのファイルがセキュアにされ、使用時に即時に暗 号化および復号化されます。この処理は完全に透過的に行われます。 PGP 仮想ディスクを使用すると、セキュアな「仮想ハード ディスク」 を作成できます。この仮想ディスクは、ファイルを保管する銀行の金 庫のように使用できます。PGP Desktop、Windows エクスプローラー 、または Mac OS X Finder で仮想ディスクをマウント解除およびロッ クするだけで、コンピューター自体がロックされていなくても、仮想 ディスクの中のファイルがセキュアになります。 PGP Zip を使用すると、圧縮および暗号化された PGP Zip アーカイブ を作成できます。これにより、ファイルを効率的かつセキュアに転送 または保管できます。 PGP シュレッダーを使用すると、不要になった機密ファイルを削除で きます。PGP シュレッダーは、それらのファイルを復元できないよう に完全に削除します。 PGPNetShare を使用すると、任意の人数でファイルとフォルダーを セキュアかつ簡単に共有でき、しかも高度なアクセス管理が可能です 。 19 PGP Desktop for Windows PGP Desktop の基本 20 3 PGP Desktop のインストー ル ここでは、PGP Desktop をコンピューターにインストールする方法と、インス トール後に起動する方法について説明します。 この章の内容 インストールの前に ................................................................................ 21 PGP Desktop のインストールと構成 ...................................................... 23 PGP Desktop のアンインストール .......................................................... 27 PGP Desktop のインストール環境を別のコンピューターに移動 ........... 28 インストールの前に ここでは、Windows コンピューターに PGP Desktop をインストールするための 最小システム要件について説明します。 システム要件 メモ :製品をさらに向上させ、より高度な機能とパフォーマンスを提供する ために、PGP Desktop 10.0 では Microsoft Windows 7 オペレーティング シ ステムのサポートを追加しました。これに伴い、PGP Desktop 10.1 以降では 、Microsoft Windows 2000 Professional、Microsoft Windows 2000 Server および Advanced Server の PGP Desktop サポートを終了します。 インストールを開始する前に、コンピューターが次のシステム要件を満たして いることを確認してください。 PGP Desktop は、次のバージョンの Microsoft Windows オペレーティング シス テムが実行されているシステムにインストールできます。 21 PGP Desktop for Windows PGP Desktop のインストール Windows XP Professional 32 ビット版 (Service Pack 2 または Service Pack 3)、Windows XP Professional 64 ビット版 (Service Pack 2)、Windows XP Home Edition (Service Pack 2 または Service Pack 3)、Microsoft Windows XP Tablet PC Edition 2005、Windows Vista (Service Pack 1 および 2 を含む すべての 32 ビット版および 64 ビット版)、Windows 7 (すべての 32 ビット 版および 64 ビット版)、Windows Server 2003 (Service Pack 1 および 2)。 メモ : 上記のオペレーティング システムがサポートされるのは、 Microsoft からのすべての最新のホット フィックスおよびセキュリティ パッチが適用されている場合に限られます。 Windows Server 上の PGP Whole Disk Encryption PGP Whole Disk Encryption (WDE) では、次の Windows Server バージョンに加 えて、すべてのクライアント バージョンに対応するようになりました。 Windows Server 2003 SP 2 (32 ビット版および 64 ビット版)、Windows Server 2008 SP 1 および SP 2 (32 ビット版および 64 ビット版)、Windows Server 2008 R2 (32 ビット版および 64 ビット版) Windows Server システムで PGP WDE を使用する場合の追加システム要件とベ ストプラクティスについては、「PGP ナレッジベース記事 1737 『 http://support.pgp.com/?faq=1737』」を参照してください。 タブレット PC 上の PGP Whole Disk Encryption PGP Whole Disk Encryption は、次の追加要件を満たすタブレット PC でサポー トされます。 Dell Latitude XT1 および XT2 タブレット PC タッチ スクリーン ラップトッ プ (アンドック) SVGA モードで実行されている 1024 x 768 x 16 画面ディスプレイ オプションのハードウェア キーボード ハードウェア要件 512 MB 以上の RAM 64 MB 以上のハード ディスク領域 互換性のある電子メール ソフトウェア、インスタント メッセージング ソフト ウェア、およびウイルス対策ソフトウェアについては、『PGP Desktop10.1 for Windows リリース ノート』を参照してください。 Citrix およびターミナル サービスとの互換性 PGP Desktop for Windows は、次のターミナル サービス ソフトウェアとの動 作が確認されています。 Citrix Presentation Server 4.0 22 PGP Desktop for Windows PGP Desktop のインストール Citrix Metaframe XP Windows 2003 ターミナル サービス PGP Desktop for Windows の次の機能が、ここで説明する環境および範囲で使 用できます。 電子メールの暗号化は完全にサポートされています。 PGP Zip 機能は完全にサポートされています。 PGP Shred 機能は完全にサポートされています。 PGP NetShare は完全にサポートされています。 PGP 仮想ディスクをドライブ文字で Citrix/TS にマウントすることはできま せんが、ディレクトリ マウント ポイントで NTFS ボリュームにマウント することは可能です。 PGP Whole Disk Encryption はサポートされていません。 スマート カードはサポートされていません。 Citrix サーバーに PGP Desktop をインストールする方法の詳細については、「 PGP サポート ナレッジベース記事 832 『https://support.pgp.com/?faq=832』 」を参照してください。 PGP Desktop のインストールと構成 ここには、PGP Desktop のインストールまたはアップグレードに関する情報と 、セットアップアシスタントに関する情報が記載されています。 ソフトウェアのインストール メモ : PGP Desktop をインストールするには、コンピューター上で管理者権 限が必要です。 PGP Desktop を Windows システムにインストールするには、次の手順に従 います。 1 PGP Desktop インストーラー プログラムの場所を探します。インストー ラー プログラムは、Microsoft SMS 導入ツールを使用して PGP 管理者から 配布された .msi ファイルです。 2 PGP Desktop インストーラーをダブルクリックします。 3 画面に表示される指示に従います。 4 再起動するための指示が表示されたら、コンピューターを再起動します。 23 PGP Desktop for Windows PGP Desktop のインストール メモ : PGP Universal Server で保護されているドメインに属している場合、 PGP 管理者が特定の機能や設定を PGP Desktop インストーラーに事前に組み 込んでいる場合があります。さらに、PGP 管理者がサイレント エンロール メントを設定している場合は、PGP Desktop のすべてのパスフレーズ条件に Windows ドメイン パスワードが使用されます。ポリシーで指定されている 場合、Windows パスワードが入力されると PGP Whole Disk Encryption が自 動的に開始され、ディスクが暗号化されます。 ソフトウェアのアップグレード メモ : PGP Desktop for Windows と PGP Universal Satellite for Windows の両 方を同一システムにインストールすることはできません。両方の製品のイン ストーラーで他方のプログラムの存在が検出され、インストールが中断され ます。 次の製品は、以前のバージョンから PGP Desktop for Windows にアップグレー ドできます。 PGP Desktop for Windows PGP Universal Satellite for Windows Microsoft Windows XP 搭載のコンピューターを使用している場合は、PGP Desktop 8.x からのみ PGP Desktop 9.6 以降にアップグレードできます。 Microsoft Windows 2000 搭載のコンピューターの場合は、PGP Desktop バージ ョン 6.x、7.x、または 8.x からアップグレードできます。 重要なメモ : オペレーティング システムを新しいバージョンにアップグレ ードして、このバージョンの PGP Desktop を使用する場合は、OS をアップ グレードする前に、PGP Desktop の以前のバージョンを確実にアンインスト ールしてください。また、アンインストールする前に鍵と鍵リングを確実に バックアップしてください。これまでに PGP Whole Disk Encryption を使用 したことがある場合は、PGP Desktop をアンインストールする前に、ディス クを復号化する必要があります。 PGP Desktop のアップグレード 次のいずれか 1 つを実行します。 PGP Desktop 8.x for Windows からのアップグレード : PGP Desktop 10.1 for Windows の標準インストール処理を行います。 PGP Desktop for Windows 8.x が自動的にアンインストールされた後、 PGP Desktop 10.1 for Windows がインストールされます。既存の鍵リング と PGP 仮想ディスク ファイルは、アップグレードした後も使用できます 。 24 PGP Desktop for Windows PGP Desktop のインストール バージョン 8.0 より前の PGP Desktop for Windows バージョンからのアッ プグレード : PGP Desktop 10.1 for Windows のインストールを開始する前 に、8.0 より前のバージョンの PGP Desktop を手動でアンインストールし ます。既存の鍵リングと PGP 仮想ディスク ファイルは、アップグレード した後も使用できます。 PGP Universal Satellite からのアップグレード 次のいずれか 1 つを実行します。 PGP Universal Satellite 1.2 for Windows またはそれ以前からのアップグ レード : PGP Desktop 10.1 for Windows の標準インストール処理を行いま す。 既存のバージョンの PGP Universal Satellite for Windows が自動的にアンイ ンストールされ、PGP Desktop 10.1 for Windows がインストールされます 。既存の設定は保持されます。 注意 : PGP Desktop 10.1 for Windowsの上にPGP Universal Satelliteのい ずれかのバージョンをインストールすることはできません。どちらのプロ グラムも正しく動作しません。両方のプログラムをアンインストールして から、PGP Desktopのみをインストールしてください。 PGP Desktop for Windows (バージョン 8.x) および PGP Universal Satellite からのアップグレード : PGP Desktop 10.1 for Windows の標準イ ンストール処理を行います。 PGP Desktop および PGP Universal Satellite for Windows が自動的にアンイ ンストールされ、PGP Desktop 10.1 for Windows がインストールされます 。既存の鍵リングと PGP 仮想ディスク ファイルは、アップグレードした 後も使用できます。 更新の確認 : メモ :PGP Desktop バージョン 10.1 以降、更新を自動的に確認するオプショ ンは利用できなくなりました。更新を確認またはインストールするには、フ ァイルを手動でダウンロードする必要があります。 シマンテック・コーポレーションによる PGP Corporation の買収により、現在 PGP の操作をシマンテックの操作に統合中です。更新があるかどうかを確認す る際、または更新をダウンロードする際に最初のリンクが動作しないように見 える場合は、2 つ目のリンクを使用してください。 PGP Desktop をアップグレードするには、次の手順に従います。 PGP License and Entitlement Management System (LEMS)(https://lems.pgp.com/account/login) からログインします。PGP Desktop の更新が見つからない場合は、次の手順に従います。 25 PGP Desktop for Windows PGP Desktop のインストール Symantec FileConnect (https://fileconnect.symantec.com/) から言語を選択 して、シリアル番号を入力します。 スタンドアロン インストールから管理された PGP Desktop インストールへのアップグレード スタンドアロン モードで PGP Desktop を使用していたユーザーが PGP Universal Server の管理対象になる場合は、既存のスタンドアロン インストー ル環境に、マーク付きのバインドされた PGP Desktop をインストールする必要 があります。また、登録プロセスを完了する必要もあります。マーク付きのバ インドされた PGP Desktop をインストールできるように、PGP 管理者からイン ストール ファイルが提供されます。 オペレーティング システム ソフトウェアのアップグレード コンピューターを新しいオペレーティング システムの新しい主要リリースにア ップグレードするには (Windows システムで Windows Vista に、Mac OS X で 10.4.x から 10.5.x)、以下を必ず行ってください。 1 アンインストール前に確実に鍵と鍵リングをバックアップしてください。 2 これまでに PGP Whole Disk Encryption を使用したことがある場合は、PGP Desktop をアンインストールする前に、ディスクを復号化してください。 3 新しいバージョンのオペレーティング システムにアップグレードする前に 、PGP Desktop の旧バージョンをアンインストールしてください。 4 オペレーティング システムのバージョンをアップグレードしてから、PGP Desktop を再インストールします。鍵/鍵リングをインポートし、必要に応 じて、ディスクを暗号化できます。 PGP Desktop のライセンス取得 このリリースのライセンス情報は、『PGP Desktop リリース ノート』を参照し てください。 セットアップアシスタントの実行 PGP Desktop のインストールを終了すると、コンピューターの再起動を求める メッセージが表示されます。コンピューターの再起動後、直ちに Windows Desktop で PGP Desktop セットアップアシスタントが自動的に開始されます。 セットアップアシスタントにより一連の質問画面が表示されます。セットアッ プアシスタントは、その回答を使用して PGP Desktop を設定します。 ご利用のシステムのセットアップアシスタントにより、さまざまな要素に基づ いて、インストール環境に適した画面のみが表示されます。 26 PGP Desktop for Windows PGP Desktop のインストール セットアップアシスタントによって、すべての PGP Desktop 設定が行われるわ けではありません。セットアップアシスタントの画面を完了してから、セット アップアシスタントに含まれない設定を行うことができます。 PGP Desktop のアンインストール PGP Desktop は、PGP Desktop アンインストーラー、または Windows の [プロ グラムの追加と削除] 機能を使用してアンインストールできます。ここでは、 PGP Desktop アンインストーラーを使用した手順を説明します。 PGP Desktop 8.x 以降をアップグレードする場合、最初に PGP Desktop をアン インストールする必要はありません。詳細については、「ソフトウェアのアップ グレード 『ページ : 24』」を参照してください。 メモ : PGP Desktop をアンインストールするには、システムの管理者権限が 必要です。 PGP Desktop をアンインストールするには、次の手順に従います。 1 [スタート] メニューをクリックして、[プログラム] > [PGP] > [PGP Desktop のアンインストール] を選択します。確認のダイアログ ボックス が表示されます。 2 [はい] をクリックしてアンインストール処理を続行します。PGP Desktop ソフトウェアがシステムから削除されます。 将来、PGP Desktop を再インストールする場合に備えて、鍵リング、PGP 仮想ディスク、および PGP Zip (.pgp) ファイルはシステムから削除されま せん。 3 再起動するための指示が表示されたら、コンピューターを再起動してアン インストールを完了します。 メモ : PGP Desktop をアンインストールする代わりに、PGP Desktop のバッ クグラウンド サービスを停止することもできます。この操作により、電子メ ールやインスタント メッセージが PGP Desktop によって保護されなくなり ますが、PGP 仮想ディスク ボリュームと PGP Whole Disk Encryption によっ て保護されているディスクまたはパーティションには引き続きアクセスでき ます。PGP Desktop の電子メール プロキシまたは IM プロキシのみを無効に するには、[PGP オプション] ダイアログ ボックスを使用します ([ツール] > [ オプション] を選択して、[メッセージング] タブにある適切なオプションを 選択解除します)。 27 PGP Desktop for Windows PGP Desktop のインストール PGP Desktop のインストール環境を別のコンピューターに移動 PGP Desktop のインストール環境を別のコンピューターに移動するのは、難し いプロセスではありませんが、正常に終了する必要のある重要な手順がいくつ かあります。このプロセスは、次の手順で構成されます。 PGP Desktop のインストール環境を別のコンピューターに移動するには 1 PGP Desktop をアンインストールします。これを行うには、[スタート] > [ プログラム] > [PGP] > [PGP Desktop のアンインストール] の順に選択し ます。Windows コントロール パネルのプログラムの追加と削除機能を使 用することもできます。古いバージョンのプログラムを実行している場合 は、これが PGP Desktop を削除する唯一の方法です。 この手順では、鍵リング ファイルは削除されません。 2 鍵リングを移動します。これを行うには、鍵リング ファイル (pubring.pkr と secring.skr の両方) を元のコンピューターからディ スケットまたはその他のリムーバブル メディアにコピーし、それらを新し いコンピューターにコピーします。 鍵リング ファイルのデフォルトの場 所は C:\Documents and Settings\<user>\My Documents\PGP\ です。 新しいコンピューターに PGP Desktop をインストールしたことがない場合 は、最初にこのフォルダーを作成してから、鍵リング ファイルをコンピュ ーターにコピーしてください。 3 PGP Desktop を新しいコンピューターにインストールします。これを行う には、最初の PGP Corporation の注文確認メールにあるダウンロード リン クをクリックして PGP Desktop をダウンロードします。 4 インストール プロセスを通じて、次の操作を行います。 新しいコンピューター上の PGP Desktop セットアップ ウィザードで 、[No, I have existing keyrings (いいえ、既存の鍵リングがあります )] を選択し、新しいコンピューター上で鍵リング ファイルをコピー した場所を指定します。 PGP Desktop の最初の承認時に使用したものと同じ名前、組織、およ びライセンス番号を使用します。 28 4 PGP Desktop のユーザー イ ンターフェイス ここでは、PGP Desktop のユーザー インターフェイスについて説明します。 この章の内容 PGP Desktop 機能へのアクセス ............................................................. 29 PGP Desktop 通知機能の警告 ................................................................. 35 PGP ログの表示 ....................................................................................... 40 PGP Desktop 機能へのアクセス PGP Desktop にアクセスするには、主に次の 4 つの方法があります。 PGP Desktop のメイン ウィンドウ 『ページ : 30の"PGP Desktop のメイ ン画面"参照先 : 』 PGP トレイ 先 : 』 Windows エクスプローラーのショートカット メニュー 『ページ : 33の "Windows エクスプローラのショートカット メニューの使用"参照先 : 』 [スタート] メニュー 『ページ : 』 アイコン 『ページ : 31の"PGP トレイ アイコンの使用"参照 29 35の"[スタート] メニューの使用"参照先 : PGP Desktop for Windows PGP Desktop のユーザー インターフェイス PGP Desktop のメイン画面 PGP Desktop のメイン画面は、この製品のプライマリ インターフェイスです。 PGP Desktop のメイン画面には、次の要素が含まれます。 1 メニュー バー PGP Desktop のコマンドにアクセスできます。メ ニュー バーのメニューは、選択されているコントロール ボック スに応じて変わります。 2 [PGP 鍵] コントロール ボックス。PGP 鍵を管理できます。 3 [PGP メッセージング] コントロール ボックス。PGP メッセージ ングを管理できます。 4 [PGP Zip] コントロール ボックス。PGP Zip を管理する機能や、 新しい PGP Zip アーカイブの作成を支援する PGP Zip アシスタン トを制御できます。 5 [PGP ディスク] コントロール ボックス。PGP ディスクを管理で きます。 6 [PGP Viewer] コントロール ボックス : メール ストリーム外に あるメッセージを復号化、検証、および表示できます。 7 [PGP NetShare] コントロール ボックス。PGP NetShare を管理 できます。 8 PGP Desktop 作業領域選択したコントロール ボックスに関する 情報と実行できる操作が表示されます。 30 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス 9 PGP 鍵の検索ボックス。 鍵リングにある鍵を検索するのに使用 します。ボックスにテキストを入力すると、PGP Desktop は名前 か電子メール アドレスによる検索結果を表示します。 各コントロール ボックスを展開すると、利用できるオプションが表示されます 。折りたたむと、スペースの節約になります (コントロール ボックスのバナー だけが表示されます)。 コントロール ボックスを展開するには、バナーをクリ ックします。 展開されたコントロール ボックスの内容は、操作の内容や選択した項目に応じ て適宜変化します。たとえば、[PGP 鍵] コントロール ボックスが選択されてい るときに公開鍵を選択すると、[この受信者に電子メールを送信する] および [ この鍵を電子メールで送信] の各オプションが [PGP 鍵] コントロール ボック スの下部に表示されます。 秘密鍵を選択した場合は、[この鍵を電子メールで 送信] だけが表示されます。鍵を選択しなければ、オプションは何も表示され ません。 PGP Desktop のメイン画面をナビゲートするには、Tab キーを使用します。ス ペース キーまたは Enter を使用して、オプションを選択します。 メモ : [この受信者に電子メールを送信する] をクリックすると、システムの デフォルトの電子メール クライアントが開き、選択した鍵のアドレスを使用 して新しい電子メールが作成されます。これにより、鍵リングに登録されて いる相手に簡単にメッセージを送信できます。[この鍵を電子メールで送信] をクリックすると、システムのデフォルトの電子メール クライアントが開き 、選択した公開鍵を添付した新しい電子メールが作成されますが、メッセー ジのアドレスは指定されません。これは、自分の公開鍵、または鍵リング上 の公開鍵を、その鍵を持っていない他のユーザーに送信する場合に便利です 。 PGP トレイ アイコンの使用 PGP Desktop の多くの機能にアクセスする方法の 1 つとして、PGP トレイ アイ コンがあります。 ヒント : PGP トレイ アイコンをダブルクリックすると、PGP Desktop を開 くことができます。 PGP トレイには、次の 4 つのアイコンのいずれかが表示されます。 通常動作 ( ) : PGP Desktop は通常に動作しています。パスフレーズはキ ャッシュされておらず、メッセージ プロキシが有効になっています。その 他の PGP 処理は実行されていません。 31 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス キャッシュされたパスフレーズ ( ) : PGP Desktop は通常に動作しており 、1 つまたは複数の秘密鍵パスフレーズがキャッシュされています。パス フレーズのキャッシュは時間を節約するためのオプション機能です。パス フレーズがキャッシュされていると、たとえば、鍵に署名する際にパスフ レーズを入力する必要がなくなります。ただし、セキュリティ上のリスク にもなります。パスフレーズがキャッシュされたままでコンピューターか ら離れた場合、そのシステムに近づける人なら誰でも、パスフレーズを入 力せずに PGP Desktop を使用できることになります。 メッセージプロキシが無効 ( ) : 電子メール メッセージのプロキシが無 効になっています。暗号化された受信メッセージは復号化および検証され ず、送信メッセージは暗号化および署名されません。メッセージ プロキシ は、PGP トレイ メニューや [PGP オプション] ダイアログ ボックスを使 用して有効な状態に戻すことができます。 ビジー ( ) : ディスクの暗号化など、PGP Desktop による処理が進行中で す。処理が終了すると、PGP トレイ アイコンは適切なアイコンに戻りま す。 PGP トレイ アイコンを右クリックまたは左クリックすると、様々なオプション にアクセスするためのメニューが表示されます。スタンドアロン インストール または管理されたインストールのどちらであるかによって、利用できないオプ ションもあります。 [PGP サービスの終了] : このコンピューター上の PGP Desktop サービスを 停止します。このコマンドを使用する場合は十分注意してください。電子 メールやインスタント メッセージング セッションの自動的な暗号化や復 号化が行われなくなります。 PGP サービスを停止した場合、コンピューターを再起動するか、または [ スタート] メニューから [PGP Desktop] を選択する ([[スタート] > [プログ ラム] > [PGP] > [PGP Desktop]] ことで再度サービスを開始できます。 [PGP Desktop バージョン情報] :ライセンス情報など、使用している PGP Desktop のバージョンに関する情報を表示します。 [ヘルプ] : PGP Desktop の統合オンライン ヘルプを開きます。 Options。[PGP Desktop オプション] ダイアログを開きます。 [通知機能の表示] : 最新の送受信メッセージに関する通知機能の情報を表 示します。 [PGP ログの表示] : PGP Desktop ログを表示します。PGP Desktop ログを 使用して、データをセキュアにするために PGP Desktop で実行されている アクションを確認します。 [PGP Viewer を開く] : メール ストリーム外で電子メールを復号化できる ように、PGP Viewer を開きます。 [PGP Desktop を開く]。PGP Desktop のメイン画面を開きます。また、 PGP Desktop トレイ アイコンをダブルクリックして PGP Desktop を開く こともできます。 32 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス [ポリシーの更新] : PGP Universal Server から手動でポリシーをダウンロー ドします。このオプションは、管理されたインストールでのみ使用できま す。 [キャッシュの消去] : パスフレーズやキャッシュされた公開鍵など、キャ ッシュされた情報をメモリからすべて消去します。 メモ : PGP NetShare で保護されたフォルダーにアクセスするため、スマ ート カードまたはトークンを使用した場合は、そのスマート カードまた はトークンを取り外しても、キャッシュされたパスフレーズは消去されま せん。キャッシュされたパスフレーズを消去するには、ホット キーを作 成します。詳細については、「詳細オプション 『ページ : 339』」を参 照してください。 [PGP 仮想ディスクのマウント解除] : マウントされているすべての PGP 仮 想ディスク ボリュームをマウント解除します。 [現在のウィンドウ] : 現在のウィンドウの内容に対して、PGP Desktop の 機能 ([復号化と検証]、[復号化と署名]、[署名]、[暗号化]) を使用できるよ うにします。 [クリップボード] :クリップボードの内容に対して、PGP Desktop の機能 ([ 復号化と検証]、[復号化と署名]、[署名]、[暗号化]) を使用できるようにし ます。また、クリップボードの内容の消去や編集を行うこともできます。 Windows エクスプローラのショートカット メニューの使用 PGP Desktop の機能には、Windows エクスプローラのショートカット メニュ ーを使用してアクセスすることもできます。Windows エクスプローラを開き、 操作する項目を右クリックしてショートカット メニューから [PGP Desktop] を選択します。 右クリックした項目に対応する PGP Desktop 機能に、Windows エクスプローラ からアクセスできます。 ドライブ。Windows エクスプローラでシステム上のドライブを右クリック し、表示されるメニューから [PGP Desktop] を選択すると、そのドライブ に対して次の操作を行うことができます。 PGP 空き領域細断処理 PGP 仮想ディスク。Windows エクスプローラでシステム上にマウントされ た PGP 仮想ディスクのドライブを右クリックし、表示されるメニューから [PGP Desktop] を選択すると、そのドライブに対して次の操作を行うこと ができます。 PGP 仮想ディスクのマウント解除 Windows エクスプローラで PGP 仮想ディスク ファイル(.pgd)の場所 を検索 33 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス PGP 仮想ディスクのプロパティの編集 Windows エクスプローラで、マウント解除されたディスクの PGP 仮想ディ スク ファイル(.pgd)を右クリックし、表示されるメニューから [PGP Desktop] を選択すると、次の操作を行うこともできます。 未使用領域の圧縮 PGP 細断処理を使用して PGP 仮想ディスクを安全に削除(この処理を 実行すると、ディスク上のすべてのデータも削除されます) PGP 仮想ディスクの再暗号化 フォルダー。Windows エクスプローラでフォルダーを右クリックし、表示 されるメニューから [PGP Desktop] を選択すると、そのフォルダーに対し て次の操作を行うことができます。 新規 PGP Zip への追加 フォルダーの内容の自己復号化アーカイブの作成 鍵またはパスフレーズによるセキュリティ保護 復号化と検証 PGP NetShare への追加 細断処理 ファイル。Windows エクスプローラでファイルを右クリックし、表示され るメニューから [PGP Desktop] を選択すると、ファイルの種類に応じて、 そのファイルに次の操作を行うことができます。 暗号化されていないファイルを選択した場合、鍵またはパスフレーズ によるセキュリティ保護、署名、細断処理、または自己復号化アーカ イブの作成を実行できます。 暗号化されたファイルを選択した場合、そのファイルの復号化や検証 、または細断処理を実行できます。 マウントされていない PGP 仮想ディスク(.pgd)を選択した場合、その 仮想ディスクのマウントや編集を実行できます。マウントされたボリ ュームを選択した場合は、そのマウントを解除できます。 PGP Zip (.PGP) ファイルを選択した場合、復号化と検証、表示、また は細断処理を実行できます。 PGP 鍵 ファイル(.asc)を選択した場合、復号化や検証、または細断 処理を実行できます。復号化や検証を選択すると、ファイルをインポ ートするオプションを利用できるようになります。 PGP の公開鍵または秘密鍵のファイル(それぞれ PKR ファイルと SKR ファイル)を選択した場合、その鍵を自分の鍵リングに追加したり、細 断処理を実行したりできます。 34 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス [スタート] メニューの使用 PGP Desktop は、Windows の [スタート] メニューからアクセスすることもで きます。これを行うには、[スタート] > [プログラム] > [PGP] を選択します。 [スタート] メニューからは、次の各機能にアクセスできます。 英語版、その他サポートされている言語の PGP Desktop のマニュアル PGP Desktop アプリケーション PGP Desktop のアンインストール PGP Desktop 通知機能の警告 PGP Desktop 通知機能では、送受信する電子メールのステータスと、インスタ ント メッセージング セッションのステータスを示す、小さな情報ボックスが 表示されます。 メモ : PGP Desktop 通知機能では、使用しているコンピューター上の PGP Whole Disk Encryption および PGP NetShare の各機能のステータスも表示さ れます。詳細については、「ディスク機能用 PGP Desktop 通知機能 『ページ : 38』」を参照してください。 PGP Universal Server で管理された環境では、管理者が特定の通知設定 (たとえ ば、通知を表示するかどうか、通知機能の場所など) を指定している場合があ ります。この場合、通知機能によるメッセージがまったく表示されない場合も あります。 メッセージング用 PGP Desktop 通知機能 メッセージング用の PGP Desktop 通知機能を使用すると、次の操作を実行でき ます。 受信する電子メールの復号化や署名が適切に行われているかどうかを確認 できます。 送信する電子メールの暗号化や署名が適切に行われているかどうかを確認 できます。 暗号化オプションが望ましくない場合、電子メール メッセージの送信を停 止できます。 電子メールの送信者、件名、および暗号化鍵の簡潔なサマリーを表示でき ます。 35 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス 現在の Windows セッション内の以前の受信メッセージや送信メッセージの ステータスを、いつでも参照できます。 他の PGP Desktop ユーザーとのチャット セッションがセキュアに保護さ れているかどうかを確認できます。 PGP Desktop の通知機能を使用して、受信電子メールのすべて、または一部を 監視できます。また同様に、送信メッセージについても、そのすべてまたは一 部を正確に管理できます。選択はユーザーの判断によります。さまざまな通知 オプションを設定でき、必要な場合は、PGP Desktop 通知機能を完全に無効に することもできます。 PGP Desktop 通知機能についての追加情報を、次に示します。 通知機能ボックスの右上にある右矢印ボタンと左矢印ボタンを使用して、 通知機能のメッセージを前後にスクロールできます。この方法により、現 在表示しているメッセージの前後に位置するメッセージを参照できます。 通知メッセージが最初に表示されるとき、画面上の他の部分が見えなくな らないように [通知機能] メッセージ ボックスが半透明に表示されます。 通知メッセージ ボックスは、その上にマウス ポインタを移動すると不透 明となり、離すと再度半透明になります。 マウス ポインタをボックスの上に移動しない限り、通知メッセージは 4 秒 間表示されます (このデフォルト設定は通知機能のオプションで変更でき ます)。通知内容を確認する時間がそれ以上必要な場合は、通知メッセージ の上にマウス ポインタを移動することによって、画面上に表示されたまま の状態を維持できます。 通知メッセージを完全に読みきれなかった場合や、以前に見た通知メッセ ージを再度確認する場合は、次の操作を行います。 Windows システムの場合は、PGP トレイ アイコンから [通知機能の 表示] を選択します。 Mac OS X システムの場合は、Mac OS X メニュー バーの [PGP Desktop] アイコンから [通知機能の表示] を選択します。 [X] (Windows システムではメッセージの右上、Mac OS X システムでは左 上にあります) をクリックして、通知メッセージを閉じます。 PGP Desktop 通知機能オプションの設定の詳細については、「通知機能オプシ ョン 『ページ : 337』」を参照してください。 受信 PGP Desktop 通知機能メッセージ 受信電子メールの通知では、電子メールが復号化および検証されたかどうか、 または、未検証の鍵や不明な鍵によって復号化および署名されたかどうかを確 認できます。 36 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス 送信 PGP Desktop 通知機能メッセージ 簡単な通知機能として、電子メール (すべての電子メール、または特定の条件 を満たす電子メールのみ) の送信時に PGP Desktop の通知メッセージが短時間 表示されるように設定します。 また、通知機能ボックスに [ブロック] ボタンと [送信] ボタンが含まれるよう に PGP Desktop を設定することもできます。 この通知機能で送信電子メールを管理するには、次の手順に従います。 1 2 PGP 送信メッセージ通知機能ボックスで、次の操作を行います。 この電子メールの送信を中止するには、[ブロック] をクリックします 。この操作でブロックされるのは、この送信電子メールのみです。そ の後、同じ受信者への電子メール メッセージは送信可能になります 。 受信者の公開鍵が見つからないまま、このメッセージを送信するには 、[送信] をクリックします。 メッセージの処理を引き続き遅延させるには、通知機能ボックス上に マウス ポインタを置きます。通知機能ボックスからマウス ポインタ を離すと、デフォルトのルールに従ってメッセージが処理されます。 通知オプションの [確認のために電子メール送信を遅延する時間] 設 定で、通知メッセージが表示されてから電子メールが送信されるまで の待機時間 (秒単位) を指定します。メールが送信されるまでの間、 通知メッセージの下に秒読みが表示されます。 アクション、受信者、ポリシー、署名鍵などの追加情報を表示するには、[ 詳細] をクリックします。 確認しない場合は、この追加情報を表示する必要はありません。再度非表 示にするには、[詳細を隠す] をクリックします。 オフライン ポリシーに関する送信 PGP Desktop 通知機能メッセージ PGP Universal Server で管理された環境で PGP Desktop を使用している場合は 、PGP Universal Server が使用可能でないときに送信メッセージに対して実行で きるアクションが管理者によって指定されていることがあります。送信通知機 能メッセージは、次のいずれかの状態を示します。 PGP Universal Server が使用できず、すべてのメッセージをブロックする ようにポリシーが設定されています。電子メール メッセージは送信ボック スに残り、PGP Universal Server に接続できるようになると送信されます 。 PGP Universal Server が使用できず、すべてのメッセージを平文で送信す るようにポリシーが設定されています。 37 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス PGP Universal Server が使用できず、ローカル ポリシーを優先するように ポリシーが設定されています。 2 番目と 3 番目のケースでは、他の送信メッセージの場合と同様に、送信メッセ ージを送信またはブロックすることを選択できます。 インスタント メッセージングの PGP 通知機能 PGP Desktop がコンピューターにインストールされており、インスタント メッ セージング用の通知を受信するように設定している場合 (PGP Desktop の [Preferences (環境設定)] の [Notifications (通知)] タブ)、他の PGP Desktop ユ ーザーとの AOL Instant Messenger (AIM) セッションが保護されているときに は PGP Desktop 通知機能のアラートが表示されます。 セキュアなインスタント メッセージング機能を使用するときは、インスタント メッセージング プログラムへのログオン時に通知機能が表示され、そのチャッ トがセキュリティ保護されていることが通知されます。また、AIM 互換のほと んどのインスタント メッセージング クライアントでは、「友だちの名前」の横 に錠前のアイコンが表示されます。 インスタント メッセージング プログラムからのログオフ時には、安全なセッ ションが終了したことを知らせる最後の通知メッセージが表示されます。 適切な設定方法や、セキュアなインスタント メッセージ チャット機能の使用 方法の詳細については、「インスタント メッセージングの保護」を参照してく ださい。 ディスク機能用 PGP Desktop 通知機能 ディスク機能用 PGP Desktop 通知機能により、PGP NetShare と PGP Whole Disk Encryption 機能を使用しているときに最新の情報を入手できます。 メモ : PGP Desktop 通知機能では、コンピューター上で送受信する電子メー ルのステータスも表示します。詳細については、「メッセージング用 PGP Desktop 通知機能 『ページ : 35』」を参照してください。 PGP NetShare PGP NetShare と PGP Desktop 通知機能を併用すると、次の情報が通知されま す。 共有フォルダーに対して実行されるアクション 影響を受けるフォルダーの場所 影響を受けるフォルダーの名前 アクションを実行したユーザー 38 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス PGP Whole Disk Encryption PGP Whole Disk Encryption と PGP Desktop 通知機能を併用すると、次の情報が 通知されます。 暗号化されているディスク ディスクのサイズと種類 暗号化処理のステータス 通知機能を有効または無効にする PGP Universal Server で管理された環境では、管理者が特定の通知設定 (たとえ ば、通知を表示するかどうか、通知機能の場所など) を指定している場合があ ります。この場合、[通知機能] タブは利用できず、表示もされません。 通知機能を有効または無効にするには 1 PGP Desktop を開いて、[ツール] > [PGP オプション] の順に選択します。 2 [通知機能] タブをクリックします。 3 [Usage (使用方法)] では、PGP 通知機能を使用するかどうか、また使用す る場合はその場所を指定します。PGP Desktop の通知は、画面の 4 つの隅 ([Lower Right (右下)]、[Lower Left (左下)]、[Upper Right (右上)]、または [Upper Left (左上)]) のいずれかに表示できます。PGP Desktop の通知を表 示する位置を選択します。デフォルトの位置は [Lower Right (右下)] です 。 4 PGP Desktop メッセージングを使用し、PGP Desktop 通知機能で電子メー ルの送信時に暗号や署名のステータスを表示する場合は、[Notify when processing outbound email (送信電子メールの処理時に通知する)] チェ ック ボックスをオンにします。メール送信時に PGP Desktop による通知 を表示しないようにするには、このチェック ボックスの選択を解除します 。 5 PGP Desktop は、送信した電子メール メッセージの各受信者の公開鍵を 探します。受信者の公開鍵が見つからない場合、デフォルトでは、電子メ ールは暗号化されることなくクリア テキストで送信されます。鍵が見つか らないときに通知を受け取り、電子メールが送信されないようにブロック できるようにする場合は、[Ask me before sending email when the recipient’s key is not found (受信者の鍵が見つからない場合、電子メール を送信する前に尋ねる)] を選択します。その際に次のオプションを指定し ます。 39 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス 電子メールの送信前に常に確認 : 送信するすべての電子メールを確認 する場合は、このチェック ボックスを選択します。通知機能で暗号 化のステータスを確認した後に、電子メールを送信するかブロックす るかを判断できます。 Delay outbound email for n second(s) to confirm (確認のために電 子メールの送信を n 秒遅延させる) : n は 1 ~ 30 の数で、デフォルト は 4 秒です。電子メールの送信を遅らせ、PGP Desktop の通知を表示 する時間の長さを変更するには、上矢印または下矢印をクリックしま す。遅延時間は、PGP Desktop から通知されるメッセージを確認する ために使用します。 PGP Desktop のデフォルト ポリシー設定の詳細については、「サービスと ポリシー 『ページ : 102』」を参照してください。 6 7 受信電子メールに対しては、到着時にステータスが通知される方法を指定 します。[Display notifications for incoming mail: (受信電子メールに対 する通知を表示 :)] に対して、次のいずれかを選択します。 [When receiving secured email (セキュリティ保護された電子メール を受信した場合)]— セキュリティ保護された電子メールを受信するた びに通知機能が表示されます。このボックスには、送信者、件名、暗 号化および検証のステータス、および送信者の電子メール アドレス が表示されます。 [Only when message verification fails (メッセージ検証に失敗した 場合のみ)] — PGP Desktop が受信電子メールの署名を検証できない場 合にのみ通知が表示されます。 [Never (無期限)] — メールの受信時に通知機能が表示されないように する場合は、このオプションを選択します。このオプションは、送信 メールに対する通知機能には影響を与えません。 セキュリティ保護されたインスタント メッセージ チャットの開始時に PGP Desktop の 通知を短時間表示し、チャットの終了時に再度、短時間 表示するように設定するには、[Notify for status of PGP Encrypted IM sessions (PGP 暗号化 IM セッションのステータスを通知する)] チェック ボックスをオンにします。 PGP ログの表示 PGP ログを使用して、データをセキュアにするために PGP Desktop で実行され ているアクションを確認します。 40 PGP Desktop for Windows PGP Desktop のユーザー インターフェイス PGP ログを表示するには 1 ログを表示するには、ログを有効にする必要があります。これには、PGP Desktop で [ツール] > [ロギングを有効にする] を選択します。 2 次のいずれか 1 つを実行します。 3 システム トレイの [PGP Desktop] アイコンをクリックし、ショート カット メニューから [View PGP Log (PGP ログの表示)] をクリック します。新しいウィンドウで [PGP Log (PGP ログ)] が開きます。 PGP Desktop で [ツール] > [ログを表示] の順に選択します。新しい ウィンドウで [PGP Log (PGP ログ)] が開きます。 PGP Desktop で、[PGP メッセージング] コントロール ボックスをク リックして、次に [PGP ログ] をクリックします。アプリケーション ウィンドウに PGP ログが表示されます。 特定のログ情報に関する表示オプションまたはフィルタを変更するには、 次の操作を実行します。 [表示するログの日] の矢印をクリックして、表示するログの日付を選 択します。 [表示トピック] の矢印をクリックして、表示するログの種類を選択し ます。[すべて]、[PGP]、[電子メール]、[IM]、[ディスク全体]、 [NetShare]、[Zip/SDA]、または [仮想ディスク] の中から選択します 。 [表示レベル] の矢印をクリックして、表示するログ エントリの重要 度レベルの最小値を選択します。[エラー]、[警告]、[情報]、または [ 詳細] から選択します。 [詳細] ログを表示するには、PGP ログの表示ウィンドウを開いたままに しておく必要があります。W ウィンドウを閉じると、ロギングのレベル がデフォルト レベル、[情報] に戻ります。[詳細] では、かなり大きな ログ ファイルが生成される場合があります。 4 ログの確認が完了したら、次の操作を実行します。 PGP ログのコピーを保存するには、[保存] をクリックします。 PGP ログのエントリを消去するには、[完全削除] をクリックします。 [PGP Log (PGP ログ)] ウィンドウを終了するには、[Close (閉じる)] をクリックします。 41 5 PGP 鍵の使用 PGP 鍵は、自分の鍵ペアや他の PGP Desktop ユーザーの公開鍵の作成や管理に 有用な PGP Desktop の機能です。 ここでは、鍵の表示、鍵ペアの作成、公開鍵の配布、他のユーザーの公開鍵の 取得、および鍵サーバーの使用について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 鍵の表示 .................................................................................................. 43 鍵ペアの作成 ........................................................................................... 44 秘密鍵の保護 ........................................................................................... 47 公開鍵の配布 ........................................................................................... 50 他のユーザーの公開鍵の取得 .................................................................. 53 鍵サーバーの使用 .................................................................................... 55 マスター鍵の使い方 ................................................................................ 57 鍵の表示 ローカルのコンピューター上の鍵リングにある鍵を表示するには、PGP Desktop を開き、PGP 鍵 コントロール ボックスをクリックします。 次のいず れかをクリックします。 すべての鍵 :鍵リングにあるすべての PGP 鍵を表示します。 自分の秘密鍵 : 鍵リングにある秘密鍵だけを表示します。 鍵の検索 : 指定した条件に従って鍵リングにある鍵を検索し、結果を表示 します。 43 PGP Desktop for Windows PGP 鍵の使用 スマート カード 鍵 :システムでスマート カードが使用されている場合は 、このオプションもあります。 PGP 鍵 コントロール ボックスまたは作業領域からも、より一般的なタスクを いくつか実行することができます。これらのタスクは、次のとおりです。 鍵リングにある PGP 鍵の表示で公開鍵を選択すると、PGP 鍵 コントロー ル ボックスで この受信者に電子メールを送信する というオプションが使 用できます。 検索した公開鍵の中からいずれかを選択し、その鍵がローカルの鍵リング にないときは、PGP 鍵 コントロール ボックスで 自分の鍵リングに追加 というオプションを使用できます。 作業領域に表示されている鍵のプロパティを表示する場合は、リストされ ている鍵の一部をダブルクリックするだけで、その鍵に対する 鍵のプロパ ティ ダイアログ ボックスが表示されます。 検索を実行すると、この鍵検索を保存 オプションを PGP 鍵 コントロール ボ ックスで利用できます。このオプションを使用すると、後でアクセスできるよ うに検索結果を保存できます。 鍵ペアの作成 PGP Desktop のセットアップ アシスタントや旧バージョンの PGP Desktop で PGP 鍵ペアを作成しなかった場合は、ここで鍵ペアを作成してください。PGP Desktop で行うほとんどの作業には、鍵ペアが必要です。 注意 : 自分用の新しい鍵を繰り返し作成することは推奨できません。PGP鍵 ペアは運転免許証やパスポートのようなもので、作りすぎると自分自身も、 また暗号化したメッセージを送信する相手も混乱することになります。使用 するすべての電子メール アドレスが含まれる鍵を1つだけ保持することを推 奨します。PGP Global Directoryでは電子メール アドレスにつき1つの鍵のみ を発行します。 PGP Universal Server 管理環境で PGP Desktop を使用している場合は、鍵ペア の作成を無効にした方がよいこともあります。 PGP 鍵ペアを作成するには 1 [PGP 鍵] コントロール ボックスが選択されていることを確認します。 2 [File (ファイル)] > [New PGP Key (新規 PGP 鍵)] を選択するか、Ctrl キー と N キーを同時に押します。PGP 鍵生成アシスタントの最初の画面が表示 されます。 3 この画面に表示される説明を読んでください。 44 PGP Desktop for Windows PGP 鍵の使用 4 トークンやスマート カードに新しい PGP 鍵ペアを生成するときは、トー クンまたはスマート カードがシステムに取り付けられていることを確認し 、[Generate Key on Token: (トークン上に鍵を生成 :) で [name of smart card or token on system (スマート カードまたはトークンの名前 )]] チェックボックスを選択します。スマート カードおよびトークンの詳 細については、「スマート カードおよびトークンへの鍵の保存 『ページ : 305』」を参照してください。 5 [次へ] をクリックします。すると [名前と電子メールの割り当て] 画面が表 示されます。 6 [フルネーム] フィールドに自分の実名を入力し、[一次電子メール] フィー ルドに正しい電子メール アドレスを入力します。実名や電子メール アド レスの入力は必須ではありません。しかし、実名を使うと、他のユーザー にとって公開鍵の所有者が識別しやすくなります。また、公開鍵を PGP Global Directory にアップロードして、他の PGP Desktop ユーザーが使用で きるようにする際には、実際の電子メール アドレスが必要になります。 7 作成する暗号鍵にさらに電子メール アドレスを追加するときは、[追加] をクリックし、表示される [その他のアドレス] フィールドにアドレスを入 力します。 8 作成する鍵の詳細設定を指定するには、[Advanced (詳細設定)] をクリッ クします。[鍵詳細設定] ダイアログ ボックスが表示されます。このダイア ログ ボックスを使用して、鍵の種類とサイズ、有効期限、およびその他の 設定を行います。 9 次のオプションを設定することができます。 鍵タイプ。[Diffie-Hellman/DSS] または [RSA] を選択します。 個別の署名サブ鍵の生成。署名用に個別のサブ鍵を生成する必要があ る場合に、このボックスを選択します。個別のサブ鍵は、新規の鍵ペ アとともに作成されます。新しい鍵の作成後はいつでも、追加の署名 サブ鍵や暗号化サブ鍵を作成することもできます。個別の署名サブ鍵 と暗号化サブ鍵の詳細については、「サブ鍵の使用 『ページ : 73』 」を参照してください。 鍵のサイズ 。1,024 ビットから 4,096 ビットまでの値を入力します。 鍵のサイズが大きいほど安全性が高くなりますが、生成に時間がかか ります。また、一部のスマート カードやトークンでは、鍵のサイズ が 1,024 ビットまでに制限されていることがあります。 有効期限。[無期限] を選択するか、作成する鍵ペアの期限終了日を指 定します。 使用可能な暗号。作成する鍵ペアでサポートされない暗号化アルゴリ ズムのチェック ボックスをオフにします。 使用する暗号。アルゴリズムが指定されていないときに使用する暗号 化アルゴリズムを選択します。許可されている暗号化アルゴリズムだ けを指定できます。 45 PGP Desktop for Windows PGP 鍵の使用 使用可能なハッシュ。作成する鍵ペアでサポートしないハッシュのチ ェック ボックスをオフにします。 使用するハッシュ 。ハッシュが指定されていないときに使用するハ ッシュを選択します。許可されているハッシュだけを選択できます。 10 [OK] をクリックして [鍵詳細設定] ダイアログ ボックスを閉じます。 11 [次へ] をクリックします。 12 PGP Universal によって管理された環境では、PGP 管理者が PGP Desktop のコピーに追加するように設定した鍵を示す [Organization Settings (組織 設定)] 画面が表示される場合があります (組織の予備復号化鍵 (付加鍵、 ADK) や組織鍵など)。 [パスフレーズの割り当て] 画面が表示されます。 13 作成する鍵ペアの秘密鍵に、自分以外のユーザーがアクセスできないよう にするためのパスフレーズを入力します。 14 入力確認のため、Tab キーを押して [確認] フィールドに移動し、同じパス フレーズを再入力します。パスフレーズの品質バーの詳細については、「パ スフレーズの品質バー 『ページ : 344』」を参照してください。 メモ : 通常、セキュリティ強化のため、入力するパスフレーズの文字は 画面に表示されません。ただし、覗き見られることがないことが確実で、 入力するパスフレーズの文字を表示したい場合は、[Show Keystrokes ( キー操作の表示)] チェック ボックスをオンにします。 警告 :なお、パスフレーズを忘れてしまうと、<cnlong< でも秘密鍵を復 元することはできませんので十分注意してください (会社のPGP管理者が PGP鍵再構築ポリシーを導入している場合を除きます)。 15 [次へ] をクリックすると、鍵生成処理が開始されます。新しい鍵ペアが生 成されます。 この処理には数分かかる場合があります。 16 鍵の生成が完了したら、[次へ] をクリックします。作成した鍵の公開鍵部 分を PGP Global Directory に追加するように求められます。 17 画面に表示される説明を読み、[次へ] をクリックして、新しい鍵を PGP Global Directory に追加します (推奨)。公開鍵を PGP Global Directory に登 録したくない場合は、[省略] をクリックします。 18 [完了] をクリックします。新しい PGP 鍵ペアが生成されました。生成され た鍵ペアは、PGP Keys 作業領域に表示されます。生成された PGP 鍵ペア が表示されない場合は、[PGP Keys (PGP 鍵)] コントロール ボックスで [All Keys (すべての鍵)] または [自分の秘密鍵] が選択されていることを 確認してください。 46 PGP Desktop for Windows PGP 鍵の使用 注意 : この時点で、秘密鍵を安全な場所にバックアップすることを検討 します。秘密鍵は極めて重要であり、秘密鍵を失うと、暗号化したデータ について深刻な事態を招く恐れがあります。「秘密鍵の保護 『ページ : 47』」を参照してください。 パスワードとパスフレーズ ファイルを暗号化した後で復号化できなくなることを防ぐため、パスフレーズ の選び方に注意してください。 ほとんどのアプリケーションは、3 ~ 8 文字のパスワードを必要とします。1 つの単語のみで作られたパスフレーズを使用することは、一般的に不適切であ り、推奨されません。1 つの単語は辞書を使った攻撃に弱いという欠点があり ます。これは、辞書中の全単語を使ってコンピューターでパスワードを見つけ るというものです。辞書にある単語を多少変更しても、広範囲にわたるパスワ ードを見つけることができる辞書攻撃への簡単な機能強化で、パスワードを見 つけることが可能になります。 この種の攻撃からデータを守るため、英字の大文字と小文字、数字、句読点、 スペースなどを組み合わせたパスワードを作成することが望ましいとされてい ます。このようなパスワードは見破られにくくなりますが、簡単に覚えること ができないという欠点もあります。 辞書による攻撃を阻止しようとして、英字以外の文字を多く含めると、パスフ レーズを思い出せなくなる可能性が高まり、ファイルの復号化ができずに重要 な情報を失ってしまうという問題に発展することも考えられます。複数単語の パスフレーズでは、辞書攻撃に対する脆弱性はより低くなります。覚えやすい パスフレーズを選ばないと、一字一句正確に覚えておくのは困難です。 また、思いつきで選んだパスフレーズは完全に忘れてしまう確率が高くなりま す。すでに記憶に残っているような単語を選ぶとよいでしょう。高度な技術や 知識を持つ攻撃者に見破られないようなパスフレーズを作るには、最近よく使 うような言い回しや有名な引用句は避けてください。自分の記憶に刻まれてい るようなものであれば、忘れることはないでしょう。もちろん、パスフレーズ をメモし、そのメモをモニタに貼り付けたり、机の引き出しにしまったりする ようなことは避けてください。 詳細については、「パスワードとパスフレーズの使用 『ページ : 343の"パス ワードおよびパスフレーズの使用"参照先 : 』」を参照してください。 秘密鍵の保護 鍵ペアを作成したら、直ちに次の操作を実行することを推奨します。 注意 : 次の操作を実行しないと、将来、壊滅的なデータの消失につながるこ とがあります。 47 PGP Desktop for Windows PGP 鍵の使用 秘密鍵ファイルを破損したり失くしたりした場合に備えて、別のコピーを 安全な場所にバックアップしてください。「秘密鍵のバックアップ 『ペー ジ : 49』」を参照してください。 パスフレーズの選択では、決して忘れない事柄を反映したものとなるよう にします。鍵の作成処理中に選択したパスフレーズを思い出せるかどうか に不安がある場合は直ちに、絶対に忘れない別のパスフレーズに変更して ください。パスフレーズの変更の詳細については、「パスフレーズの変更 『ページ : 66』」を参照してください。 秘密鍵ファイルは非常に重要です。いったん公開鍵で暗号化されたデータは、 対応する秘密鍵を使用しない限り復号化できないためです。秘密鍵ファイルに はパスフレーズも保存されます。秘密鍵やパスフレーズを消失すると、対応す る公開鍵で暗号化されたデータを復号化できなくなります。情報を暗号化する と、パスフレーズと公開鍵の両方に暗号化されます。暗号化されたデータを復 号化するには、この両方が必要になります。いったん暗号化されたデータは、 秘密鍵ファイルとパスフレーズがない限り、だれも (たとえ PGP Corporation で も) 復号化できません。 重要なデータを暗号化した後で、パスフレーズを忘れた、または秘密鍵を紛失 したとします。暗号化されたデータは、アクセスすることも、使用することも 、回復することもできなくなります。 鍵および鍵リングの保護 鍵はバックアップ コピーを作成すると同時に、秘密鍵の保管場所にも十分注意 を払ってください。秘密鍵は作成した自分にしかわからないパスフレーズで保 護されていますが、だれかにパスフレーズが検出されてしまい、秘密鍵を使っ た電子メールの解読やデジタル署名の偽造を被るおそれがあります。たとえば 、他人に肩越しに見られて、キーボード入力した文字を見られたり、ネットワ ークやインターネット上で傍受されることがあります。 パスフレーズを傍受した人に秘密鍵を悪用されることのないように、秘密鍵は 自分自身のコンピューターのみに保管してください。コンピューターがネット ワークに接続されている環境では、コンピューター全体のバックアップ時に秘 密鍵のファイルが自動的に含まれないように注意してください。コンピュータ ーがネットワーク経由で簡単にアクセスできてしまう場合、機密度の高い情報 を取り扱う際には、フロッピー ディスクに秘密鍵を保管しておくのが賢明です 。旧来型の鍵と同様、秘密情報の読み取りや署名が必要なとき随時に挿入して 利用できます。 もう 1 つのセキュリティ対策として、秘密鍵リング ファイルに別の名前を割り 当て、そのファイルをデフォルト以外の場所に保存することも検討してくださ い。これには、[オプション] ダイアログ ボックスの [鍵] タブで、秘密鍵リン グと公開鍵リングのファイルの名前と場所を指定してください。 48 PGP Desktop for Windows PGP 鍵の使用 秘密鍵と公開鍵は別々の鍵リング ファイルに格納されています。両方の鍵リン グ ファイルをハード ドライブ上の別の場所、またはフロッピー ディスクにコ ピーしてください。デフォルトで、秘密鍵リング (secring.skr) と公開鍵リ ング (pubring.pkr) は、他のプログラム ファイルと一緒に "PGP" フォルダ ーに格納されており、任意の場所にバックアップを保存できます。 スマート カード上に生成された暗号鍵については、鍵ペアの秘密鍵をエクスポ ートできないため、バックアップを作成できません (Windows システムの場合 のみ、鍵をスマート カード上に生成できます)。 PGP Desktop の終了後に自動的に鍵リングのバックアップを作成するようにも 構成できます。鍵リングのバックアップ オプションは、Windows の場合は [オ プション] ダイアログ ボックスの [鍵] タブで、Mac OS X の場合は [環境設定] ダイアログ ボックスの [鍵] セクションで設定できます。 秘密鍵のバックアップ 秘密鍵をバックアップするには 1 [PGP Keys] コントロール ボックスで、[自分の秘密鍵] をクリックします 。 2 自分の鍵ペアを表すアイコンを選択します。 3 ファイル>エクスポート を選択します。 4 ファイルの名前を入力します。 5 [Include Private Key(s) (秘密鍵を含める)] チェック ボックスをオンにし ます。これを行わないと公開鍵しかエクスポートされないため、この操作 は重要です。 6 [Save (保存)] をクリックします。 7 ファイル (拡張子は .asc) を安全な場所にコピーします。保存先としては 、慎重にアーカイブするコンパクト ディスク、別のコンピューター、安全 な場所に保管される USB フラッシュ ドライブなどがあります。このファ イルには秘密鍵と公開鍵の両方が含まれているため、自分以外のユーザー に配布しないように注意してください。 メモ : PGP Universal Server 管理環境にいる場合、鍵モードが SKM のときは 、この方法を使用して鍵をエクスポートできません。鍵ペアをエクスポート するには、管理コンソールからエクスポートするように PGP Universal Server 管理者に依頼してください。鍵モードを確認する際は、「鍵モード 『 ページ : 134』」を参照してください。 49 PGP Desktop for Windows PGP 鍵の使用 鍵を紛失した場合 鍵を紛失し、鍵を復元するためのバックアップ コピーがないと、通常、その鍵 で暗号化した情報は復号化できなくなります。ただし、PGP 管理者が PGP 鍵の 再構築ポリシーを施行している場合には、鍵を再構築できます。詳細について は、「PGP 鍵の再構築 『ページ : 85の"PGP Universal Server による鍵の復元" 参照先 : , ページ : 85の"鍵またはパスフレーズを失った場合"』」を参照し て 、PGP 管理者におたずねください。 公開鍵の配布 PGP Desktop の鍵ペアを作成したら、暗号化したメッセージをやり取りする相 手に公開鍵を渡す必要があります。 受信者の公開鍵は、他のユーザーが受信者に暗号化した情報を送る際に使用さ れます。また、他のユーザーが受信者のデジタル署名を確認するときにも使わ れます。同様に、送信者が他のユーザーに暗号化したメッセージを送るときに は、その相手の公開鍵が必要です。 公開鍵を配布するには、次のような方法があります。 PGP Global Directory に鍵を公開する 『ページ : 51の"鍵サーバーへの公 開鍵のアップロード"参照先 : 』。 一般に、このディレクトリに公開鍵を公開すると、その他の方法は一切不 要です。 電子メール メッセージに公開鍵を添付する 『ページ : 52の"公開鍵の電 子メール メッセージへの添付"参照先 : 』。 公開鍵をエクスポートするか、テキスト ファイルにコピーする 『ページ : 53の"公開鍵のファイルへのエクスポート"参照先 : 』。 Windows システムでは、次のような方法も可能です。 スマート カードから別のユーザーの鍵リングに直接コピーする 『ページ : 53の"スマート カードから直接別のユーザーの鍵リングへのコピー"参照先 : 』。 50 PGP Desktop for Windows PGP 鍵の使用 鍵サーバーへの公開鍵のアップロード 公開鍵を配布する最も良い方法は、公開鍵サーバー上に置くことです。公開鍵 サーバーは大規模な鍵データベースであり、だれでもアクセスできます。これ により、他のユーザーは暗号化メッセージを自分に送信するときに、鍵のコピ ーを自分に明示的に要求する手間が省けます。また、自分や他のユーザーがめ ったに使わない公開鍵を多数管理する手間も省けます。 PGP Global Directory など、鍵サーバーは世界中に多く設置されており、鍵サー バーにアクセス可能なユーザーならだれにでも自分の公開鍵を配布できます。 なお、PGP Universal Server で保護されているドメインで PGP Desktop を使用 するときは、PGP 管理者が適切な設定を使って、あらかじめ PGP Desktop の構 成を済ませているはずです。 公開鍵サーバーを使用するときは、公開鍵を送信する前に次の点に注意してく ださい。 使用する公開鍵に間違いがないかどうか。自分と通信しようとしている相 手が、重要な情報をその鍵で暗号化するおそれがあります。このため、他 のユーザーが使用を予定している鍵だけを鍵サーバーに保存することを強 く推奨します。 暗号化されたデータの取得や自分の公開鍵の失効に必要なパスフレーズを 覚えているかどうか。 PGP Global Directory 以外の鍵サーバーでは、公開鍵をいったんアップロー ドしたら、破棄できなくなることがあります。公開鍵サーバーによっては 、鍵の削除を禁止するポリシーを規定しているものや、鍵サーバー間で鍵 を複製する機能を備えたものがあります。そのため、1 つのサーバーから 公開鍵を削除できたとしても、削除したはずの公開鍵が複製されて後に残 ることがあります。 通常は、鍵ペアを作成した直後に公開鍵を PGP Global Directory に登録します。 一度 PGP Global Directory に公開鍵を登録したら、登録し直す必要はありません 。ほとんどの状況で、公開鍵を別の鍵サーバーに公開する必要はありません。 また、他の鍵サーバーでは公開鍵を検証できないので、他の鍵サーバー上の公 開鍵に対しては、公開鍵の所有者に連絡して指紋を検証する追加作業が必要と なる場合があります。 公開鍵を鍵サーバーに手動で送信するには 1 PGP Desktop を開きます。 2 [PGP 鍵] コントロール ボックスが選択されていることを確認します。 3 鍵サーバーに送信する公開鍵を含む鍵ペアを右クリックします。 51 PGP Desktop for Windows PGP 鍵の使用 4 送信先) ] を選択し、公開鍵を送信する鍵サーバーをリストから選択します 。公開鍵を送信する鍵サーバーがリストにない場合は、「鍵サーバーの使用 『ページ : 55』」を参照してください。公開鍵が鍵サーバーに正しく送信 されたかどうかが表示されます。 いったん鍵サーバーに登録した公開鍵のコピーは、他のユーザーが自分に暗号 化データを送信する際や、自分のデジタル署名を確認する際に役立てることが できます。他のユーザーに公開鍵の場所を明示的に通知しなくても、鍵サーバ ーで名前または電子メール アドレスを検索してもらうことで、公開鍵のコピー を取得させることができます。 電子メール メッセージの終端に公開鍵サーバーの Web アドレスを入れること は、ごく一般的になっています。ほとんどの場合、メールの受信者はそのアド レスをダブルクリックするだけで、サーバーにある公開鍵のコピーにアクセス できます。簡単に確認してもらえるように、名刺に PGP の指紋情報を印刷する のも良いアイディアでしょう。 公開鍵の電子メール メッセージへの添付 公開鍵をだれかに配布する便利な方法としては、上記以外にも、公開鍵を電子 メール メッセージに添付する方法があります。 公開鍵をだれかに送信する際には、必ず電子メールに署名を入れてください。 署名を入れることにより、受信者が送信者の署名を確認できると同時に、電子 メール メッセージの情報がだれにも改ざんされていないことも確認できます。 信頼できる紹介者が鍵に署名しなかった場合、署名が該当の送信者からのもの であるかどうかを確認するにはもちろん、署名の受信者が鍵の指紋を検証しか ありません。 公開鍵を電子メール メッセージに添付するには 1 PGP Desktop 上で [PGP 鍵] コントロール ボックスが選択されていること を確認します。 2 電子メール メッセージに添付するあなたの公開鍵を含む鍵ペアを右クリッ クします。 3 [Send To (送信先) ]を選択してから、[Mail Recipient (メールの受信者) ] を選択します。 メッセージにあなたの公開鍵情報のファイルが添付された 状態で、電子メール アプリケーションが開きます。 4 メッセージの送信先アドレスを入力して送信します。 この方法がうまくいかない場合は、PGP Desktop を開いて鍵ペアを選択し、 [Edit (編集) ] > [Copy (コピー) ] を選択します。次に電子メール アプリケーシ ョンで新規メッセージを作成し、コピーした公開鍵をメッセージの本文に貼り 付けます。電子メール アプリケーションによっては、PGP Desktop から電子メ ール メッセージのテキストに公開鍵をドラッグするだけで、その鍵の情報をコ ピーできるものもあります。 52 PGP Desktop for Windows PGP 鍵の使用 公開鍵のファイルへのエクスポート ファイルやメッセージを安全にやり取りしたい相手に公開鍵を配布するには、 その公開鍵をファイルにエクスポートして渡す方法もあります。 公開鍵をファイルにエクスポートまたは保存するには、次の 3 とおりの方法が あります。 鍵ペアを選択して、[ファイル] > [エクスポート] を選択します。ファイル の名前と保存場所を入力し、[保存] をクリックします。他のユーザーにフ ァイルを渡す際には、誤って自分の秘密鍵を一緒に保存しないよう注意し てください。 ファイルに保存する鍵を Ctrl キーを押しながらクリックし、一覧から [エ クスポート] を選択し、ファイルの名前と場所を入力して、[保存] をクリ ックします。他のユーザーにファイルを渡す際には、誤って自分の秘密鍵 を一緒に保存しないよう注意してください。 鍵ペアを選択し、[編集] > [コピー] を選択します。次に、テキスト エディ タを開き、[貼り付け] を選択して、鍵の情報をテキスト ファイルに挿入 し、ファイルを保存します。これでファイルを電子メールで送るか、任意 のユーザーに渡せるようになります。公開鍵の部分を取得するには、受信 者はシステム上で PGP Desktop を使用する必要があります。 スマート カードから直接別のユーザーの鍵リングへのコピー 公開鍵がスマート カードに保存されている場合は、スマート カードから別の ユーザーの鍵リングに公開鍵を直接コピーして配布する方法もあります。 この方法の詳細については、「スマート カードから直接別のユーザーの鍵リン グへの公開鍵のコピー 『ページ : 312の"スマート カードから鍵リングへの公 開鍵のコピー"参照先 : 』」を参照してください。 他のユーザーの公開鍵の取得 暗号化されたメールを送信してもらう、または自分のデジタル署名を検証して もらうには、自分の公開鍵を配布する必要があります。同様に、暗号化された メールを他のユーザーに送信したり、相手のデジタル署名を検証したりするに は、そのユーザーの公開鍵を入手する必要があります。 他のユーザーの公開鍵を入手するには、複数の方法があります。 検証された鍵を PGP Global Directory から自動的に取得する 53 PGP Desktop for Windows PGP 鍵の使用 公開鍵サーバーで手動で鍵を検索する 電子メール メッセージから公開鍵を、直接自分の鍵リングに自動的に追加 する エクスポートされたファイルから公開鍵をインポートする 自分の組織の PGP Universal Server から鍵を取得する 公開鍵は単なるテキストのブロックであるため、鍵リングへの追加に手間がか かりません。まずファイルからインポートするかまたは電子メール メッセージ からコピーして、PGP Desktop の公開鍵リングにペーストするだけです。 鍵サーバーからの取得 暗号化されたメールの送信相手が経験豊富な PGP Desktop ユーザーの場合、そ の人の公開鍵が PGP Global Directory または別の公開鍵サーバーに登録されてい ることがあります。その場合には、相手にメール送信する際に、常に最新の鍵 のコピーを簡単に取得できます。また、自分の公開鍵リングに大量の鍵を保存 する必要もなくなります。 PGP Corporation によって維持されている PGP Global Directory など、公開鍵サ ーバーは世界中に多く設置されており、ほとんどの PGP ユーザーの鍵を見つけ ることができます。受信者の公開鍵が保存されている Web アドレスを教えても らっていない場合は、任意の鍵サーバーにアクセスし、そのユーザー名または 電子メール アドレスを検索できます。すべての公開鍵サーバーが、他のすべて のサーバーに保存された鍵を含むように定期更新されているわけではないため 、この方法はうまくいく場合もあれば、いかない場合もあります。 PGP Universal Server で保護されたドメインにいる場合は、PGP Universal Server に組み込まれた鍵サーバーを使用するように PGP 管理者から指示を受け る場合があります。この場合、使用中の PGP Desktop ソフトウェアは、既に適 切な PGP Universal Server にアクセスするように構成されていることがありま す。 同様に、PGP Universal Server はデフォルトで PGP Global Directory と通信する ように構成されています。したがって、この PGP エコシステムによって鍵の検 索と検証の負荷が分散されます。 鍵サーバーから特定の相手の公開鍵を取得するには 1 PGP Desktop を開いて、[PGP 鍵] コントロール ボックスをハイライトし ます。 2 [PGP 鍵] コントロール ボックスで [鍵の検索] を選択します。 作業領域 に [鍵の検索] 画面が表示されます。 54 PGP Desktop for Windows PGP 鍵の使用 3 検索条件を指定して、[検索] をクリックします。特定の鍵サーバーだけを 検索する場合は、[検索] フィールドをクリックし、鍵サーバーを選択しま す。検索する鍵サーバーが、現在のリストに含まれていない場合は、 [Edit Keyserver List (鍵サーバー リストの編集) ] を選択して追加します 。 鍵の特徴を示す値を複数指定して、鍵サーバーで鍵を検索することもでき ます。ほとんどの操作は逆にも指定できます。たとえば、検索条件に「 User ID is not Charles」と指定して検索できます。 検索の結果が表示されます。 4 検索によって鍵リングに追加する公開鍵が見つかった場合は、[PGP 鍵] コ ントロール ボックスの [自分の鍵リングに追加] をクリックします。 選択 した PGP 鍵が鍵リングに追加されます。 ヒント : きわめて一般的な名前 (例えば「Name 」、「contains 」、「John 」) を検索する検索基準を設定すると、最初に一致するもののみが返されま す。これはフィッシング (鍵サーバーからの鍵取り) を防止するための仕様 です。一般的な名前やドメインは、正しい鍵を検索するために名前または電 子メール アドレス全体を入力する必要のある場合があります。 電子メール メッセージからの公開鍵の取得 だれかの公開鍵のコピーを入手する場合は、本人に電子メール メッセージに添 付してもらうと便利です。 公開鍵を電子メール メッセージの添付ファイルとして追加するには 1 電子メール メッセージを開きます。 2 公開鍵が含まれる .asc ファイルをダブルクリックします。ファイル形式 が PGP Desktop に認識され、[鍵の選択] ダイアログ ボックスが開きます 。 3 指示が表示されたら、ファイルを開くように指定します。 4 鍵リングに追加する公開鍵を選択し、[インポート] をクリックします。 鍵サーバーの使用 PGP Desktop では、次の種類の鍵サーバーが認識されます。 55 PGP Desktop for Windows PGP 鍵の使用 PGP Universal 鍵サーバー。PGP Desktop を PGP Universal Server で保護 されたドメインで使用している場合、関連する PGP Universal Server に組 み込まれている鍵サーバーとだけ通信するように、PGP Desktop は事前に 設定されています。PGP Desktop に対しては、これは信頼された鍵サーバ ーで、PGP Desktop は自動的にこの鍵サーバー上にあるすべての鍵を信頼 します。ただし、PGP Universal Server から PGP Desktop に対して、信頼 していない鍵の指定があった場合は除きます (この状況は発生する場合が あります。たとえば、リモート鍵の署名を検証する場合などです)。 PGP Universal 鍵サーバーのアドレスはhttps://keyserver.example.comのよ うなものです。 PGP Global Directory。PGP Universal Server で保護されているドメイン の外側で PGP Desktop を使用している場合は、PGP Desktop は、PGP Global Directory 『https://keyserver.pgp.com』 と通信するように事前に設 定されます。 PGP Global Directory は、PGP Corporation によってホストされている無料 の公開鍵サーバーであり、このサーバーを使用してさまざまな PGP の鍵へ 簡単にアクセスできます。これには、未使用の鍵、電子メール アドレスに 設定された複数の鍵、偽造された鍵のほか、古い鍵サーバーで発生してい たその他の問題で鍵サーバーが一杯にならないように、各電子メール アド レスに関連付けられた鍵を検証する次世代の鍵サーバー テクノロジが使用 されています。また、ユーザーは PGP Global Directory によって、鍵の置 き換え、鍵の削除、電子メール アドレスへの鍵の追加など、自分の鍵の管 理を行うことができます。PGP Global Directory を使用すると、セキュリテ ィ保護されたメッセージを送る相手の公開鍵を見つけやすくなります。 PGP Desktop にとって PGP Global Directory は信頼された鍵サーバーであ り、PGP Desktop は自動的に PGP Global Directory 上にあるすべての鍵を 信頼します。PGP Global Directory への初期接続の際に、PGP Global Directory の検証鍵がダウンロード後に署名され、ディレクトリに発行した 鍵によって信頼されます。PGP Global Directory の鍵はユーザーの鍵リング にも追加されます。そのため、PGP Global Directory で検証された鍵はすべ て、PGP Desktop で有効と見なされます。 PGP Universal サービス プロトコル : PGP Universal サービス プロトコル (USP) は、標準の HTTP/HTTPS 上で動作する SOAP プロトコル オペレーテ ィングシステムです。これはデフォルトの鍵検索メカニズムです。PGP Universal Server で管理された環境では、すべての鍵検索要求、および PGP Universal Server と PGP Desktop との間のすべての通信に PGP USP が使用 されます。. その他の鍵サーバー。ほとんどの場合、その他の鍵サーバーはその他の公 開鍵サーバーです。ただし、所属する企業経由やその他の方法で、秘密鍵 サーバーにアクセスできる場合もあります。 鍵サーバーの使用の詳細については、「鍵のオプション 『ページ : 322の"鍵 オプション"参照先 : 』」を参照してください。 56 PGP Desktop for Windows PGP 鍵の使用 マスター鍵の使い方 [マスター鍵] リストは、メッセージング、ディスク暗号化、PGP NetShare およ び PGP Zip 用の鍵を選択するときに毎回、デフォルトでセットとして追加され る鍵です。これにより、繰り返し使用する公開鍵を [Recipients (受信者)] フィ ールドにドラッグする手間が省けます。 メモ : セットアップ アシスタントを使用して鍵を生成すると、その鍵はマ スター鍵リストに自動的に追加されます。鍵の生成を省略して PGP Desktop に鍵をインポートした場合、鍵はマスター鍵リストに自動的には追加されま せん。 マスター鍵リストへの鍵の追加 マスター鍵リストに鍵を追加するには 1 PGP Desktop で [ツール] > [オプション] の順に選択します。 2 [マスター鍵] タブを選択します。 3 マスター鍵リストを使用するには、[Use Master Key List (マスター鍵リス トの使用)] チェック ボックスをオンにします。このボックスをオンにし なければ、マスター鍵リストの鍵の追加や削除はできません。 4 [追加] をクリックします。[マスター鍵の選択] ダイアログ ボックスが表示 されます。 57 PGP Desktop for Windows PGP 鍵の使用 5 左側の [鍵ソース] リストから、使用する鍵を選択します。鍵が複数ある場 合は、Shift キーまたは Ctrl キーを押しながら鍵をクリックして選択できま す。 6 使用する鍵を選択したら、[追加] をクリックします。 ヒント : 含めたくない鍵が右側の [追加する鍵] のリストに表示されてい る場合、それらを選択して [削除] をクリックします。 7 鍵の選択が終わったら、[OK] をクリックします。選択した鍵が [マスター 鍵リスト] に表示されます。 マスター鍵リストからの鍵の削除 マスター鍵リストから鍵を削除するには 1 PGP Desktop で [ツール] > [オプション] の順に選択します。 2 [Master Keys (マスタ鍵)] タブを選択します。 3 マスター鍵リストを使用するには、[Use Master Key List (マスター鍵リス トの使用)] チェック ボックスをオンにします。このボックスをオンにし なければ、マスター鍵リストの鍵の追加や削除はできません。 4 削除する鍵 (1 つまたは複数) を選択します。鍵が複数ある場合は、Shift キ ーまたは Cmd キーを押しながら鍵をクリックして選択できます。 5 [削除] をクリックします。鍵 (1 つまたは複数) が削除されます。 58 6 PGP 鍵の管理 ここでは、PGP Desktop アプリケーションで鍵を管理する方法について説明し ます。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 鍵のプロパティの確認と設定 .................................................................. 60 写真 ID の使用 ......................................................................................... 61 鍵のユーザー名と電子メール アドレスの管理 ....................................... 62 公開鍵と X.509 公開鍵証明書のインポート ............................................ 63 パスフレーズの変更 ................................................................................ 66 鍵、ユーザー ID、署名の削除 ................................................................ 67 公開鍵の有効化と無効化 ......................................................................... 68 公開鍵の検証 ........................................................................................... 69 公開鍵の署名 ........................................................................................... 70 鍵検証のための信頼度指定 ..................................................................... 72 サブ鍵の使用 ........................................................................................... 73 予備復号化鍵の使用 ................................................................................ 78 失効権限機能の使用 ................................................................................ 80 鍵の分割と再結合 .................................................................................... 81 鍵またはパスフレーズを失った場合 ....................................................... 85 鍵の保護 .................................................................................................. 90 59 PGP Desktop for Windows PGP 鍵の管理 鍵のプロパティの確認と設定 PGP 鍵作業領域には、鍵に関する以下の重要な詳細情報を表示することができ ます。 名前 電子メール アドレス 有効性 サイズ 鍵 ID 信頼 作成日 有効期限 予備復号化鍵 (ADK) ステータス 鍵の説明 鍵の使用方法 表示する詳細情報を選択するには、[Keys (鍵) ] 項目をクリックしたあと、 [View (表示) ]>[Columns (列) ] を選択して、表示する列を選択します。 ただし、鍵のプロパティを確認すると、さらに詳細な情報を表示したり、特定 の情報を変更したりすることができます。 メモ :PGP Universal Server で管理された環境で、鍵モードが SKM の場合、 鍵の情報は変更できません。また、SKM 鍵の有効期限は永久に切れないよう に設定されています。鍵モードを確認する際は、「鍵モード 『ページ : 134 』」を参照してください。 鍵のプロパティを表示するには、次の手順に従います。 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングに あるすべての鍵が表示されます。 60 PGP Desktop for Windows PGP 鍵の管理 2 プロパティを表示する鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 写真 ID の使用 Diffie-Hellman/DSS と RSA の鍵には、証明写真を含めることができます。 証明写真を暗号鍵に追加するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[ 自分の秘密鍵] を選択します。 2 PGP 鍵作業領域で、証明写真を追加する自分の秘密鍵をダブルクリックし ます。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボッ クスが表示されます。 3 プレースホルダの鍵と輪郭のアイコンを右クリックし、[Add Photo ID (証 明写真の追加) ] を選択します。[Add Photo (証明写真の追加) ] ダイアログ ボックスが表示されます。 4 写真を [Add Photo (証明写真の追加) ] ダイアログ ボックスにドラッグす るか貼り付けます。または、[Select File (ファイルの選択) ] をクリックし て写真を参照します。 5 [OK] をクリックします。[パスフレーズ] ダイアログ ボックスが開きます 。 6 変更している鍵のパスフレーズを入力してから、[OK] をクリックします 。証明写真が公開鍵に追加されます。 61 PGP Desktop for Windows PGP 鍵の管理 証明写真を削除するには [Key Properties (鍵のプロパティ) ] ダイアログですでに添付されている写 真を右クリックし、[Remove Photo ID (証明写真の削除) ] を選択します 。これで暗号鍵から証明写真が削除されます。 写真 ID をコピーするには、次の手順に従います。 [鍵のプロパティ] ダイアログ ボックスに既に添付されている写真を右クリ ックして、[Copy Photo ID (写真 ID のコピー)] を選択します。次に、写真 を別の鍵またはグラフィック プログラムに貼り付けます。 鍵のユーザー名と電子メール アドレスの管理 PGP Desktop では、1 つの鍵ペアにユーザー名と電子メール アドレスを複数追 加する機能がサポートされています。他のユーザーは、追加されたユーザー名 と電子メール アドレスを基に公開鍵を見つけて、暗号化メッセージを送信でき ます。 新しいユーザー名または電子メール アドレスを鍵に追加するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[ 自分の秘密鍵] を選択します。 2 PGP Key 作業領域で、ユーザ名または電子メールアドレスを追加する秘密 鍵をダブルクリックします。ダブルクリックした鍵の [Key Properties (鍵 のプロパティ) ] ダイアログ ボックスが表示されます。 3 [Add Email Address (電子メール アドレスの追加)] をクリックします。 [PGP New User Name (PGP 新規ユーザー名) ] ダイアログ ボックスが表示さ れます。 4 適切なフィールドに新しい名前と電子メール アドレスを入力し、[OK] を クリックします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレーズの 入力)] ダイアログ ボックスが表示されます。 5 変更するあなたの秘密鍵に設定したパスフレーズを入力し、[OK] をクリ ックします。 6 新しいユーザー名と電子メール アドレスをあなたの鍵の一次識別子 (プラ イマリ ネーム) として設定するには、[Key Properties (鍵のプロパティ) ] ダイアログ ボックスで現在のプライマリ鍵ホルダの名前をクリックし、追 加したユーザーを選択します。 62 PGP Desktop for Windows PGP 鍵の管理 7 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスを終了します。 PGP Desktop の鍵リストで、鍵に関連付けられたユーザー名リストの最後 に新しい名前が追加されます。 鍵に関連付けられたプライマリ ネームを変更するには 1 次のいずれか 1 つを実行します。 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで、現在のプ ライマリ鍵ホルダの名前をクリックし、表示されたリストからユーザ ーの名前を選択します。 PGP Desktop で、鍵リストからあなたの鍵を展開し、一次識別子とし て設定するユーザー名を右クリックしたあと、ショートカット メニ ューから [Set as Primary Name (プライマリ ネームとして設定) ] を選択します。 鍵ペアから名前/電子メール アドレスを削除するには 1 鍵のリストから、鍵名の左にあるプラス記号をクリックして鍵を展開しま す。 2 削除するユーザー ID を選択します。 3 キーボードの Delete キーを押します。確認のダイアログ ボックスが表示 されます。 ヒント : Windows システムの場合は [編集] > [削除]、Mac OS X システ ムの場合は [編集] > [Clear (クリア)] を選択することもできます。 4 [削除] をクリックします。ユーザー ID が削除されます。 公開鍵と X.509 公開鍵証明書のインポート PGP 公開鍵と PKCS-12 X.509 公開鍵証明書 (多くの Web ブラウザで使用されて いるデジタル証明書の形式) を PGP Desktop の鍵リングと PKCS-7 public X.509 証明書にインポートすることができます。また、コピーおよび貼り付け操作を 使って、Privacy Enhanced Mail (PEM) 形式の X.509 公開鍵証明書をブラウザか ら公開鍵リングにインポートすることもできます。 他のユーザーの PGP 公開鍵をインポートして鍵リングに追加する方法は多数あ ります。次の操作のいずれかを行ってください。 63 PGP Desktop for Windows PGP 鍵の管理 コンピューター上でファイルをダブルクリックする。PGP Desktop がファ イル形式を認識すると、ファイルを開き、そのファイルの公開鍵をインポ ートするかどうかを尋ねます。 PGP Desktop で公開鍵ファイルのインポートを選択する。 公開鍵を含むファイルを [PGP Keys (PGP 鍵) ] ウィンドウにドラッグする 。 PGP Desktop には、このタスクに役立つ証明書インポート アシスタントが用意 されています。詳細については、「証明書インポート アシスタントの使用 『ペ ージ : 64』」を参照してください。 メモ : PGP Desktop を PGP Universal Server 管理環境下で使用し、登録中に トークンで X.509 証明書をインポートした場合 (PGP 鍵として証明書のイン ポートを選択)、手動で鍵リングをトークンおよびスマート カードと同期オ プションを有効にする必要があります。これを行うには、PGP Desktop で [ ツール] > [オプション] を選択して、[鍵] タブをクリックします。鍵を PGP Whole Disk Encryption で正常に動作させるには、このステップが必要です。 証明書インポート アシスタントの使用 X.509 証明書はファイル、Windows 個人証明書ストア、スマート カードから PGP Desktop にインポートすることができます。Windows 個人証明書ストアに 表示されるスマート カード ベースの証明書もインポートすることができます 。証明書インポート アシスタントはインポート処理を順を追ってガイドします 。 ファイルから証明書をインポートする際は、PEM、PFX、P7b、P12 という拡張 子の付いたファイルのみ使用できます。 メモ :Windows 個人証明書ストアからの証明書を使用する場合、証明書のパ スワードまたは PIN を Windows 自体 (または、スマート カード ベースの Windows 個人証明書を使用している場合は、サードパーティのスマート カ ード ソフトウェア) から要求されます。 Windows 個人証明書ストアからの証明書を使用する場合、PGP Desktop 内で 証明書のパスワードを変更するなどの一部の操作は許可されていません。そ のような操作を実行するには、Windows (またはスマート カード) ソフトウ ェアを使用してください。 証明書インポート アシスタントを使用して証明書をインポートするには 始 める前に : インポートする証明書のパスフレーズを確認してください。 1 次のいずれかの操作で、アシスタントを起動します。 [File (ファイル) ] > [Open (開く) ] を選択する。 [File (ファイル) ] > [Import Personal Certificates (個人証明書のイン ポート) ] を選択する。 64 PGP Desktop for Windows PGP 鍵の管理 2 公開鍵を含むファイルを [PGP Keys (PGP 鍵) ] ウィンドウにドラッグ する。 PGP Universal で管理された環境で PGP Desktop を使用していて、管理者 が証明書をインポートできる方法を選択できるように指定している場合、 次のいずれかを選択します。 [Onto an existing key (既存の鍵上) ] : 証明書は、既に鍵リングにあ る鍵に追加されます。 [As new PGP key(s) (新しい PGP 鍵として) ] : インポート済みの証明 書を使用して新しい PGP 鍵が作成されます。 [As PGP X.509 wrapper key(s) (PGP X.509 ラッパー鍵として) ] : イ ンポート済みの証明書を使用して新しい PGP 鍵が作成されます。PGP Desktop により新しい鍵が X.509 証明書として処理されます。 3 選択したら、[次へ] をクリックします。[Certificate Passphrase Entry (証明 書のパスフレーズ エントリ) ] 画面または [PGP Enter Passphrase (PGP 鍵 のパスフレーズの入力) ] ダイアログ ボックスが表示されます。 4 証明書のパスワードを指定し、[次へ] をクリックします。 [既存の鍵上] オプションを使用して証明書をインポートした場合は、 [鍵の選択] 画面が表示されます。 次の手順に進みます。 [As new PGP key(s) (新しい PGP 鍵として) ] オプションを使用して 証明書をインポートした場合は、鍵が生成されます。[完了] をクリッ クします。処理が完了します。 [As PGP X.509 wrapper key(s) (PGP X.509 ラッパー鍵) ] オプション を使用して証明書をインポートした場合は、[Select key(s) (鍵の選択) ] ダイアログ ボックスが表示されます。鍵をクリックして選択し、[ インポート] をクリックすると、PGP X.509 ラッパー鍵が生成されま す。処理が完了します。 5 [Onto an existing key (既存の鍵上) ] オプションを使用して証明書のイン ポートを実行するには、[Select Key (鍵の選択) ] ダイアログ ボックスで 証明書のインポート対象の鍵を選択し、鍵のパスワードを入力します。 [ 次へ] をクリックします。 6 証明書が鍵にインポートされる際に、[Key Generation Progress (鍵生成の 進捗状況) ] ダイアログ ボックスが表示されます。 7 [完了] をクリックします。処理が完了します。 65 PGP Desktop for Windows PGP 鍵の管理 S/MIME 電子メールに含まれる X.509 証明書のインポート 送信された S/MIME 電子メール メッセージに X.509 証明書が含まれている場合 、PGP Desktop を使用して証明書を受信者の鍵リングにインポートできます。 公開鍵が見つかった場合に指定した設定と同じ設定がこれらの証明書に適用さ れます。指定した場合、PGP Desktop によって X.509 証明書が抽出され、受信 者の鍵リングにインポートされます。インポートされた証明書を使用して電子 メールを暗号化する場合は、証明書に手動で署名してください。 X.509 証明書をインポートするには、[ツール] > [オプション] を選択してから、 [鍵] タブを選択します。次に [鍵リングに保存するように指示] または [鍵を鍵 リングに保存する] を選択します。 パスフレーズの変更 パスフレーズは 3 か月おきなど、定期的に変更することを推奨します。特に、 パスフレーズの入力時に他人に肩越しにキーボードを見られたなど、パスフレ ーズが傍受されたと考えられる場合は、直ちにパスフレーズを変更してくださ い。 分割鍵のパスフレーズを変更するには、事前に分割鍵を再結合する必要があり ます。 ヒント :鍵のパスフレーズを変更しても、鍵のコピー (作成したバックアップ など) のパスフレーズは変更されません。鍵が傍受されたと考えられる場合 は、以前のバックアップ コピーを完全に細断処理してから、新規に鍵のバッ クアップを作成することを推奨します。 PGP Universal Server 管理環境にいる場合、鍵モードが SKM のときは、鍵のパ スフレーズを変更できません。SKM 鍵は、ランダムに生成された (つまり、そ れ自体保護された) パスフレーズで保護されているので、SKM 鍵のパスフレー ズを入力するための指示が表示されることはありません。鍵モードを確認する 際は、「鍵モード 『ページ : 134』」を参照してください。 秘密鍵のパスフレーズを変更するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[ 自分の秘密鍵] を選択します。 2 PGP 鍵作業領域で、パスフレーズを変更する自分の秘密鍵をダブルクリッ クします。[Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示 されます。 3 [パスフレーズの変更] をクリックします。PGP パスフレーズ アシスタン トが表示されます。 66 PGP Desktop for Windows PGP 鍵の管理 4 秘密鍵の現在のパスフレーズを入力し、[Next (次へ) ] をクリックします 。[Create Passphrase (パスフレーズの作成) ] ダイアログ ボックスが表示 されます。 5 最初のテキスト フィールドに新しいパスフレーズを入力し、[Re-Enter Passphrase (パスフレーズの再入力) ] フィールドにもう一度パスフレーズ を入力して新しいパスフレーズを確認します。 パスフレーズの入力時にキー操作を表示するには、[Show Keystrokes (キ ー操作の表示) ] チェックボックスをオンにします。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 344』」 を参照してくだ さい。 6 [完了] をクリックします。これで、パスフレーズが変更されます。 鍵、ユーザー ID、署名の削除 PGP Desktop では、鍵リングにある鍵だけでなく、鍵のユーザー ID や署名も 管理できます。 鍵リング上の公開鍵を使用すると、鍵全体、鍵に設定されたいずれかのユーザ ー ID、鍵の署名を一部または全部を削除できます。 また、鍵ペアを使用すると、鍵ペア全体や、いずれかまたはすべての署名を削 除でき、鍵ペア上のユーザー ID (ただし、鍵ペア上の唯一のユーザー ID を除 く) も削除できます。 ただし、唯一のユーザー ID である場合は、ユーザー ID を削除できません。ま た、鍵から自己署名を削除することもできません。 PGP 鍵リングから鍵、ユーザー ID、署名を削除するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングに あるすべての鍵が表示されます。 2 次のいずれか 1 つを実行します。 鍵を削除するには、鍵を右クリックして、表示されるコマンド一覧か ら [Delete (削除) ] を選択し、[Confirmation (確認) ] ダイアログ ボッ クスで [OK] をクリックします。鍵が鍵リングから削除されます。 67 PGP Desktop for Windows PGP 鍵の管理 ユーザー ID (公開鍵から) または署名を削除するには、鍵の左側にあ るプラス記号をクリックして、ユーザー ID と署名を表示します。削 除するユーザー ID または署名が表示されたら、それを右クリックし て、表示されるコマンド一覧から [Delete (削除) ] を選択し、 [Confirmation (確認) ] ダイアログで [OK] をクリックします。 ユー ザー ID または署名が削除されます。 公開鍵の有効化と無効化 公開鍵を後で使用するために保管しておくと、メールを送信するたびに鍵に送 信先のアドレスが追加され、受信者リストがいっぱいになることがあります。 このような場合には、鍵リングの公開鍵を一時的に無効にすることができます 。 「暗黙的に信頼される」鍵ペアを無効にすることはできません。暗黙的な信頼に 設定されている鍵を無効にするには、まず、信頼ステータスを [なし] に変更す る必要があります。 公開鍵を無効または有効にするには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングに あるすべての鍵が表示されます。 2 無効にする公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [Key Properties (鍵のプロパティ)] で [Enabled (有効)]フィールドを探しま す。 現在の [Enabled (有効)] 設定が [Yes (はい)] の場合は、公開鍵が有 効になっています。公開鍵を無効にするには、[Yes (はい)] を一度ク リックします。[Enabled (有効) ] フィールドが [No (いいえ) ] に変 わり、公開鍵が無効になります。 現在の [Enabled (有効)] 設定が [No (いいえ)] の場合は、公開鍵が 無効になっています。公開鍵を有効にするには、[No (いいえ)] を一 度クリックします。[Enabled (有効)] フィールドが [Yes (はい)] に変 わり、公開鍵が有効になります。 また、無効になった公開鍵は暗号化、署名などに使用できません。ただし、復 号化や検証には、無効になった公開鍵を使用できます。 68 PGP Desktop for Windows PGP 鍵の管理 ヒント : また、PGP Universal Server で鍵リングの鍵を同期できます。この オプションは鍵リングの公開鍵を有効/無効にするために主に使用されます。 これを行うには、鍵を右クリックして、[同期] を選択します。 公開鍵の検証 公開鍵をリムーバブル メディアなどに入れて手渡しで受け取るか、PGP Global Directory から取得した場合以外は、その公開鍵が特定の個人に属するものであ るかどうかを確認するのは困難です。公開鍵をリムーバブル メディアで交換す る方法は一般に、実用的ではありません。交換相手が遠方にいる場合は特にそ うです。 それでは、PGP Global Directory 以外の公開鍵サーバーから取得した公開鍵が、 その鍵にリストされている本人の公開鍵であることを確認するにはどうしたら よいのでしょうか。これには、鍵の指紋情報を確認する必要があります。 公開鍵の指紋情報を調べる方法は複数ありますが、本人に電話をかけて指紋情 報を読み上げてもらうのが一番安全です。本人でないユーザーがこの電話を傍 受して、その本人になりすます可能性は非常に低いと言えるからです (攻撃の 対象として狙われやすい人物である場合は除きます)。また、公開鍵のコピーに 添付されている指紋情報と、公開鍵サーバーにあるオリジナルの公開鍵の指紋 情報を比べる方法もあります。 フィンガープリントの表示形式には、他と重複しない単語リスト形式または 16 進数形式の、2 とおりがあります。 公開鍵のデジタル指紋を確認するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 指紋情報を調べる公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 指紋情報は 16 進数形式 (4 文字を 1 セットとする 10 セットの文字列) かバ イオメトリクス形式 (1 列につき 5 つの異なる単語を含む 4 列) で、名前と 電子メール アドレスの下に表示されます。 3 公開鍵の指紋情報をオリジナルのものと比べます。2 つの情報が同じであ れば、本物の公開鍵であることを意味します。この情報が異なる場合は、 本物の公開鍵ではありません。 バイオメトリクス形式の単語リストには PGP Desktop が使用している特殊 な認証用語が含まれており、音声学的な曖昧さがなく理解しやすい単語が 厳選されています。 69 PGP Desktop for Windows PGP 鍵の管理 たとえば軍隊のパイロットでは、雑音の多い通信でも情報を正しく理解で きるように特殊な単語がアルファベットの代わりに使用されています。 4 公開鍵が本物ではないことが判明したら、その鍵を削除してください。 5 Web ブラウザを開いて PGP Global Directory 『https://keyserver.pgp.com 』 に移動し、本物の公開鍵を検索します。 公開鍵の署名 鍵ペアを作成すると、鍵に署名が自動的に添付されます。同様に、他のユーザ ーの公開鍵が本人のものであると判明したら、その公開鍵を検証したことを示 すために、そのユーザーの公開鍵に署名を添付できます。他のユーザーの公開 鍵に署名すると、その公開鍵に対して、あなたのユーザー名とともに署名アイ コンが添付されます。 バックアップした鍵や別のコンピューターから鍵ペアをインポートした場合は 、インポート元の鍵にも署名してください。 メモ : PGP Universal Server で管理された環境で PGP Desktop を使用してい る場合、鍵の署名が無効になっている場合があります。 他のユーザーの公開鍵に署名するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングに あるすべての鍵が表示されます。 2 次のいずれか 1 つを実行します。 [Keys (鍵) ] メニューから [Sign (署名) ] を選択します。 署名する鍵を右クリックし、表示されるコマンド一覧から [Sign (署 名) ] を選択します。 [PGP 署名鍵] ダイアログ ボックスが表示され、テキスト ボックスにユー ザー名、電子メール アドレスおよび 16 進数指紋が表示されます。 3 この公開鍵とともに自分の署名をエクスポートできるよう、[Allow signature to be exported (署名のエクスポートを許可して他のユーザーが 自分の署名に依存できるようにする) ] チェック ボックスをオンにします 。 署名をエクスポートできるようにすると、サーバーに送信することができ るようになります。このチェック ボックスは、他のユーザーがあなたの署 名を確認し、あなたの公開鍵を安心して使用できるように、署名をエクス ポートしたいことを示す簡単な手段となります。 70 PGP Desktop for Windows PGP 鍵の管理 4 [More Choices (詳細設定) ] をクリックすると、署名の種類や有効期限な どのオプションを設定できます。 5 公開鍵に含める署名の種類を選択してください。オプションは次のとおり です。 エクスポート不可 : ある公開鍵が有効であると確信していても、他の ユーザーに対してその公開鍵が有効であることを保証したくないとき には、エクスポート不可の署名を使用します。この種の署名は、関連 付けられている鍵と一緒に鍵サーバーに送信したり、エクスポートし たりすることはできません。 エクスポート可能 : 他のユーザーが自分の署名を確認し、公開鍵を安 心して使用できるようにするために、署名を添付した公開鍵を鍵サー バーに送信する場合は、このオプションを選びます。これは [Sign Keys (鍵の署名) ] メニューで [Allow signature to be exported (署名 のエクスポートを許可して他のユーザーが自分の署名に依存できるよ うにする) ] チェック ボックスをオンにした状態と同じ結果になりま す。 メタ紹介者のエクスポート不可「信頼する紹介者による有効性表明」 のある公開鍵やその公開鍵で署名されたすべての公開鍵は、自分にと って完全に信頼できることを証明します。この署名タイプは、エクス ポート対象外です。 [Trusted Introducer Exportable (信頼する紹介者エクスポート可能)] :その公開鍵が有効であること、さらにその公開鍵の所有者が他の公開 鍵を保証するだけの信頼レベルがあると証明するときは、この署名を 使用します。この署名タイプは、エクスポート対象です。信頼する紹 介者が検証できる範囲を特定の電子メール ドメインに制限すること もできます。 6 [信頼の最大深度] オプションを使用すると、信頼する紹介者のレベルを数 値で指定できます。たとえば、このオプションを 1 に設定すると、上位紹 介者の公開鍵では紹介者レベルが 1 つだけ許可されます。 7 信頼する紹介者の公開鍵が特定のドメインのみを検証できるように指定す るには、[Domain Restriction (ドメインの制約)] テキスト ボックスにそ のドメイン名を入力してください。 8 [有効期限] フィールドで [無期限] を選択するか、この署名の期限が終了 する日を指定します。 9 [OK] をクリックします。[PGP Enter Passphrase for Key (PGP 鍵のパスフ レーズの入力)] ダイアログ ボックスが表示されます。 10 リストから署名する公開鍵を選択し、必要に応じて署名鍵のパスフレーズ を入力します。パスフレーズが既にキャッシュされている場合は、再度入 力する必要はありません。 11 [OK] をクリックします。これで公開鍵に署名が添付されます。 71 PGP Desktop for Windows PGP 鍵の管理 公開鍵からの署名の破棄 場合によっては、鍵リングの鍵から署名を破棄したいと思うことや、または破 棄する必要に迫られることがあるかもしれません。 署名を破棄するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングに あるすべての鍵が表示されます。 2 署名を破棄する鍵を展開して、署名した鍵を表示させます。 3 署名した鍵を右クリックして、表示されるコマンドのリストから [破棄] を選択します。[Revoke Signature (署名の失効) ] ダイアログ ボックスが表 示されます。 4 (署名を破棄するための)鍵の [鍵 ID] および [名前] が正しいことを確認 して、[OK] をクリックします。[PGP Enter Passphrase for Key (PGP 鍵の パスフレーズの入力)] ダイアログ ボックスが表示されます。 5 パスフレーズを入力して [OK] をクリックします。お使いの署名が鍵から 破棄されます。 メモ : あなたの署名がエクスポート可能で、エクスポート可能な署名を添付 した公開鍵を配布した場合は、他のユーザーが破棄を確認できるようになる 前に、破棄された署名を添付した公開鍵を配布する必要があります。 鍵検証のための信頼度指定 鍵の所有者を証明した後、さらに鍵の所有者に信頼レベルを割り当てることも できます。この信頼レベルは、今後他のユーザーから鍵を受け取ったときに、 鍵の所有者をそのユーザーの紹介者として信頼する度合いを示します。 つまり、鍵の所有者を自身で調べる以前に、信頼できると指定された個人によ って署名された鍵を妥当と見なすということです。 鍵は署名した後ではじめて、信頼レベルを設定できます。 公開鍵の信頼度は [なし]、[ある程度信頼する]、[信頼済み] のいずれかです。 また鍵ペアの信頼度は [なし] または [暗黙的な信頼] (自分で作成した鍵なので 信頼できるという意味) のいずれかです。他のユーザーの鍵ペアは、所有する 必要がありません。 鍵の信頼度の詳細については、『暗号技術の基礎』を参照してください。 72 PGP Desktop for Windows PGP 鍵の管理 メモ : PGP Universal Server で管理された環境で PGP Desktop を使用してい る場合は、公開鍵の信頼度を指定する機能が無効にされている場合がありま す。 公開鍵の信頼度を指定するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [すべての鍵] をクリックします。 鍵リングに あるすべての鍵が表示されます。 2 信頼度を指定する公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [信頼度] フィールドを確認します。 4 現在の設定をクリックし、リストから設定を選択します。 公開鍵で信頼度を指定する際には、[なし]、[ある程度信頼する]、[信 頼済み] のいずれかを選択できます。[None (なし) ] は公開鍵の所有 者を紹介者として信頼しない、[Marginal (ある程度信頼する) ] は全面 的ではないが信頼する、[Trusted (信頼済み) ] は完全に信頼するとい う意味です。 鍵ペアで信頼度を指定するときには、[なし] または [暗黙的に信頼す る] のいずれかを選択できます。 このオプションを設定しなければ ならないのは、バックアップや他のコンピューターからインポートし た鍵ペアだけです。 サブ鍵の使用 PGP Desktop の鍵ペアは、次の要素で構成されます。 マスター鍵 (署名専用) 1 つの必須のサブ鍵 (暗号化用) 1 つ以上のオプションの個別のサブ鍵 (署名、暗号化、または署名/暗号化 に使用) マスター鍵はデフォルトで署名に使用され、サブ鍵は常に暗号化に使用されま す。これにより、マスター鍵やマスター鍵の署名に影響を与えずに個別の暗号 化サブ鍵を失効、削除、または PGP Desktop 鍵ペアに追加できるので、PGP Desktop 鍵ペアのセキュリティが向上します。 マスター鍵と必須の暗号化サブ鍵に加えて、PGP Desktop 鍵ペアに追加のサブ 鍵を 1 つ以上作成することもできます。暗号化のみ、署名のみ、または暗号化 と署名の両方に使用できるサブ鍵の任意の組み合わせを作成できます。 73 PGP Desktop for Windows PGP 鍵の管理 鍵ペアのサブ鍵は、[鍵のプロパティ] ダイアログ ボックスから表示できます。 [Usage (使用方法)] 列には、サブ鍵が実行する機能が表示されます。 鍵 説明 暗号化サブ鍵には、青い錠前の記号が表示されます 。 署名用のサブ鍵には、青いペンの記号が表示されま す。 暗号化と署名の両方に使用するサブ鍵には、両方の 記号が表示されます。 デフォルトの暗号化サブ鍵には、左上隅に小さな緑 のチェックマークが表示されます。 デフォルトの署名用サブ鍵には、左上隅に小さな緑 のチェックマークが表示されます。 別のサブ鍵の使用 別のサブ鍵を追加しておくと便利なことを示した事例を、次にいくつか示しま す。 複数の暗号化サブ鍵 は、鍵ペアの有効期間の種々の部分で有効であるため 、セキュリティの補強に有効です。一度に 1 つの暗号化サブ鍵だけが有効 になるように、開始日と有効期限を設定した暗号化サブ鍵を作成できます 。たとえば、将来の 1 年間だけ有効な暗号化サブ鍵を、複数作成できます (日付は正しく指定してください)。使用される暗号化サブ鍵は、1 年ごとに 変更されます。このようにすると、新しい公開鍵の作成や配布を行う必要 なしに、定期的に新しい暗号化鍵に自動的に切り替えることができ、セキ ュリティ対策としての利便性が高まります。期限切れのサブ鍵には、赤い 時計の印がある鍵アイコンが表示されます。 法的な拘束力のあるデジタル署名として署名用に別のサブ鍵を要求される 地域では、別の署名サブ鍵が必要です。 作成できる別のサブ鍵は、使用している鍵ペアのタイプによって異なります。 RSA 鍵ペアの場合は、暗号化用、署名用、暗号化および署名用のサブ鍵を 作成できます。 Diffie-Hellman/DSS 鍵ペアの場合、暗号化用または署名用のサブ鍵は作成 できますが、暗号化と署名の両方の用途のサブ鍵は作成できません。 古い PGP レガシー鍵ペアでは、サブ鍵はサポートされていません。 74 PGP Desktop for Windows PGP 鍵の管理 サブ鍵の表示 自分の鍵ペアのサブ鍵情報は、表示したり変更したりできます。自分の鍵リン グにある公開鍵ペアのサブ鍵情報は、表示はできますが変更はできません。 サブ鍵およびサブ鍵のプロパティを表示するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[ すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 次のいずれかの操作を行って、鍵のプロパティを表示します。 プロパティを表示する鍵をダブルクリックする。 鍵を右クリックし、ショートカット メニューから [KeyProperties( 鍵のプロパティ) ] を選択する。 鍵リングで鍵をクリックして選択し、[Keys (鍵) ] > [KeyProperties ( 鍵のプロパティ) ] を選択する。 選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが 表示されます。 3 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで [Subkeys (サブ 鍵) ] という見出しをクリックします。 この鍵のサブ鍵が表示されます。 4 サブ鍵のプロパティを表示するには、表示するサブ鍵を右クリックし、シ ョートカット メニューから [サブ鍵のプロパティ] を選択します。 新しいサブ鍵の作成 通常は、ここで説明する方法で新しいサブ鍵を作成します。ただし、初めて PGP Desktop をインストールするときに、[New Key (新しい鍵) ] ウィザードを 使用してサブ鍵を作成することもできます。詳細については、「PGP Desktop の初めての使用 『ページ : 17の"PGP Desktop を使用し始める前に"参照先 : 』」を参照してください。 新しいサブ鍵を作成するには 1 [Key Properties (鍵のプロパティ) ] ダイアログの [Subkeys (サブ鍵) ] のセ クションにある [Add (追加) ] ボタンをクリックします。[新規ユーザーの 作成] ダイアログ ボックスが表示されます。 2 [Use this subkey for (このサブ鍵の使用対象) ] 領域で、新しいサブ鍵の用 途に応じて、[Encryption (暗号化) ]、[Signing (署名) ]、または [Encryption and Signing (暗号化と署名) ] を選択します。 75 PGP Desktop for Windows PGP 鍵の管理 3 [KeySize (鍵のサイズ) ] フィールドで、1024 から 4096 ビットの間の鍵サ イズを選択するか、1024 から 4096 ビットの間の鍵サイズを入力します。 4 [StartDate (開始日) ] フィールドに、作成するサブ鍵が有効になる日付を 入力するか、カレンダーから日付を選択します。 5 [Expiration (有効期限) ] 領域で、[Never (無期限) ] を選択するか、[Date (日付) ] を選択します。[Date (日付) ] を選択した際は、日付を指定するか 、カレンダーから日付を選択します。ここで指定する情報は、サブ鍵の期 限を制御します。 6 [OK] をクリックします。[Passphrase (パスフレーズ) ] ダイアログ ボック スが表示されます。 7 パスフレーズを入力し、[OK] をクリックします。これでサブ鍵が作成さ れます。 鍵の使用方法 (PGP メッセージングのみなど) を指定するには、「サブ鍵の鍵使 用方法の指定 『ページ : 76の"サブ鍵の使用方法の指定"参照先 : 』」を参照 してください。 サブ鍵の使用方法の指定 各サブ鍵には、独自の鍵使用方法プロパティを割り当てることができます。た とえば、あるサブ鍵を PGP WDE 専用に使用して、別のサブ鍵をその他のすべ ての PGP Desktop 機能に使用できます。 鍵の使用方法を設定する理由の例としては、ある鍵をディスク暗号化専用に使 用したいが、暗号化された電子メールは受け取りたくないという場合が挙げら れます。PGP メッセージングを許可しない公開鍵を配布した場合、他のユーザ ーから送信される電子メールはその公開鍵で暗号化されません。 メモ :PGP Universal Server で管理された環境で、鍵モードが SKM の場合、 鍵使用フラグは変更できません。鍵モードを確認する際は、「鍵モード 『ペ ージ : 134』」を参照してください。 鍵の使用方法を指定するには 1 PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックし、[ すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 次のいずれかの操作を行って、鍵のプロパティを表示します。 プロパティを表示する鍵をダブルクリックする。 鍵を右クリックし、ショートカット メニューから [KeyProperties( 鍵のプロパティ) ] を選択する。 鍵リングで鍵をクリックして選択し、[Keys (鍵) ] > [KeyProperties ( 鍵のプロパティ) ] を選択する。 76 PGP Desktop for Windows PGP 鍵の管理 選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが 表示されます。 3 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで [Subkeys (サブ 鍵) ] という見出しをクリックします。 この鍵のサブ鍵が表示されます。 4 サブ鍵のプロパティを表示するには、表示するサブ鍵を右クリックし、シ ョートカット メニューから [サブ鍵のプロパティ] を選択します。 5 [鍵の使用方法] セクションで、この鍵が使用できる PGP Desktop 機能を選 択します。項目の横のチェックは、その機能が使用できることを示します 。 6 [閉じる] をクリックしてサブ鍵のプロパティを保存します。 サブ鍵の破棄 サブ鍵を破棄するには 1 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスにある [Subkeys (サブ鍵) ] セクションで、破棄するサブ鍵を選択し、サブ鍵リストの上に ある [Revoke (破棄) ] をクリックします。[PGP Warning (PGP 警告) ] ダイ アログ ボックスが表示され、サブ鍵を破棄すると他のユーザーがこのサブ 鍵を使ってデータを暗号化できなくなるというメッセージが表示されます 。 2 [はい] をクリックしてサブ鍵を破棄するか、[いいえ] をクリックしてサブ 鍵の破棄をキャンセルします。[Passphrase (パスフレーズ) ] ダイアログ ボックスが表示されます。 77 PGP Desktop for Windows PGP 鍵の管理 3 パスフレーズを入力し、[OK] をクリックします。サブ鍵が破棄され、ア イコンが変わります。 サブ鍵の削除 サブ鍵を削除するには 1 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスにある [Subkeys (サブ鍵) ] セクションで、削除するサブ鍵を選択し、サブ鍵リストの上に ある [Remove (削除) ] をクリックします。[PGP 警告] ダイアログが表示 され、サブ鍵を削除するとこのサブ鍵を使って他のユーザーが暗号化した データを復号化することができなくなるというメッセージが表示されます 。 2 [はい] をクリックしてサブ鍵を削除するか、[いいえ] をクリックしてサブ 鍵の削除をキャンセルします。これでサブ鍵が削除されます。 予備復号化鍵の使用 通常、予備復号化鍵 (ADK) は、会社内で社員が送受信したメッセージを、会社 のセキュリティ管理者が復号化する際に使用します。 予備復号化鍵を含めた鍵で暗号化されるメッセージは、受信者の公開鍵と予備 復号化鍵で暗号化されます。これは、予備復号化鍵の所有者もメッセージを解 読できることを意味します。 予備復号化鍵は、PGP Universal Server 管理環境以外では使うことも必要になる こともめったにありません。PGP 管理者は、普段は予備復号化鍵を使う必要は ありませんが、社員の電子メールを復旧する必要が生じた場合に使用すること があります。たとえば、社員がけがで長期欠勤している場合や、法的機関が社 員の電子メールの記録の提出を求めたり、裁判で使用する証拠としてそのメー ルを復号化する必要がある、といった場合です。 ユーザーは、自分の鍵ペアに設定されている予備復号化鍵のみ変更できます。 鍵ペアへの予備復号化鍵の追加 予備復号化鍵を追加するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング 上にある秘密鍵が表示されます。 78 PGP Desktop for Windows PGP 鍵の管理 2 予備復号化鍵を追加する秘密鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [ADK (予備復号化鍵) ] の左に上矢印が表示されている場合は、それをクリ ックします (予備復号化鍵をすでに設定している秘密鍵にのみ上矢印が表 示されます) 。予備復号化鍵の情報が表示されます。 4 [予備復号化鍵] の右側にあるプラス記号のアイコン ([追加]) をクリックし ます。[Select key(s) (鍵の選択)] ダイアログ ボックスが表示されます。 5 予備復号化鍵として使用する秘密鍵を選択し、[OK] をクリックします。 選択した秘密鍵に予備復号化鍵を追加しても良いかどうかを確認する [PGP Warning (PGP 警告) ] ダイアログ ボックスが表示されます。 6 [はい] をクリックします。[PGP Enter Passphrase for Key (PGP 鍵のパスフ レーズの入力)] ダイアログ ボックスが表示されます。 7 予備復号化鍵を追加する秘密鍵のパスフレーズを入力し、[OK] をクリッ クします。[PGP 情報] ダイアログ ボックスが表示され、秘密鍵に予備復 号化鍵が追加されたというメッセージが表示されます。 8 [OK] をクリックします。 メモ : あなたの秘密鍵に予備復号化鍵を追加した場合、暗号化した電子メー ルをあなたに送信する人は、予備復号化鍵の公開鍵部分にアクセスできる必 要があります。 予備復号化鍵の更新 予備復号化鍵を更新するには 1 更新する予備復号化鍵をリストから選択します。選択した予備復号化鍵が ハイライトされます。 2 下矢印アイコンをクリックします。これで、予備復号化鍵が更新されます 。 予備復号化鍵の削除 予備復号化鍵を削除するには 1 削除する予備復号化鍵をリストから選択します。選択した予備復号化鍵が ハイライトされます。 2 マイナス記号のアイコン ([削除]) をクリックします。予備復号化鍵を削除 してもよいかどうかを確認する [PGP Warning (PGP 警告)] ダイアログ ボ ックスが表示されます。 79 PGP Desktop for Windows PGP 鍵の管理 3 [OK] をクリックし、予備復号化鍵を削除します。これで、予備復号化鍵 が削除されます。 失効権限機能の使用 パスフレーズを忘れたり、ラップトップの盗難やハード ドライブのクラッシュ により鍵ペアが失われる可能性は、決して皆無とは言えません。 鍵の復元オプションを使用して秘密鍵を復元できる場合を除き、秘密鍵を二度 と使用できなくなります。その秘密鍵は失効できないので、他のユーザーに暗 号化しないように伝えてください。このような事態を防ぐためには、第三者を 鍵の失効権限者として指定しておくとよいでしょう。暗号鍵の失効権限者とし て指定されたユーザーに、この暗号鍵の失効を代行してもらえます。 この機能は Diffie-Hellman/DSS と RSA の両方に対して利用できます。 ユーザーは、自分の鍵ペアに設定されている失効権限者情報のみ変更できます 。鍵リング上の公開鍵に失効権限者が指定されている場合、その失効権限者情 報の表示はできますが、変更はできません。 失効権限者の指定 指定された失効権限者を自分の鍵に追加するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング 上にある秘密鍵が表示されます。 2 失効権限者を追加する鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [破棄権限者] の左に下矢印が表示されている場合は、それをクリックしま す (破棄権限者をすでに指定している鍵にのみ下矢印が表示されます) 。失 効権限者の情報が表示されます。 4 [失効権限者] の右側にあるプラス記号アイコン ([追加]) をクリックします 。[Select key(s) (鍵の選択)] ダイアログ ボックスが表示されます。 5 失効権限者の鍵として使用する鍵を選択し、[OK] をクリックします 選択された鍵に失効者の権限を与えてもよいかどうかを確認する [PGP Warning (PGP 警告)] ダイアログ ボックスが表示されます。 6 [Yes (はい)] をクリックして続けるか、[No (いいえ)] をクリックして操作 をキャンセルします。[PGP Enter Passphrase for Key (PGP 鍵のパスフレー ズの入力)] ダイアログ ボックスが表示されます。 80 PGP Desktop for Windows PGP 鍵の管理 7 破棄者を追加する鍵ペアのパスフレーズを入力し、[OK] をクリックしま す。[PGP 情報] ダイアログ ボックスが表示されます。 8 [OK] をクリックします。これで、選択した鍵を使って、指定した破棄権 限者があなたの鍵を破棄できるようになります。鍵を効率的に管理するた め、鍵の現在のコピーを失効権限者 (複数可) に配布するか、鍵サーバーに アップロードします。 鍵の破棄 あなたの鍵ペアの信頼性が疑わしい場合は、あなたの暗号鍵を破棄すると同時 に、他のユーザーにあなたの公開鍵を使わないように通知することができます 。 鍵が破棄されたことを知らせる最善の方法は、最新の公開鍵のコピーを公開鍵 サーバーに公開することです。 鍵を破棄するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング 上にある秘密鍵が表示されます。 2 破棄する鍵を右クリックし、表示されるコマンド一覧から [Revoke (破棄) ] を選択します。この鍵を破棄するかどうかを確認する [PGP Warning (PGP 警告) ] ダイアログ ボックスが表示されます。 3 [はい] をクリックして選択した鍵の破棄を行うか、[いいえ] をクリックし て操作をキャンセルします。[PGP Enter Passphrase for Key (PGP 鍵のパス フレーズの入力)] ダイアログ ボックスが表示されます。 4 破棄する鍵ペアのパスフレーズを入力し、[OK] をクリックします。鍵を 破棄すると、鍵が無効になったことを示す、赤い斜線の入ったマークが付 きます。 5 他のユーザーに、その公開鍵が破棄されて使用できなくなったことを知ら せるには、破棄した鍵を同期してください。 鍵の分割と再結合 秘密鍵は、ブラックリー・シャミール鍵分割法 (秘密情報分散共有法) という暗 号化方法を使用して、複数の「シェア所有者」間で共有されるシェアに分割する ことができます。極めて強力なセキュリティを必要とする暗号鍵には、この分 割鍵を作成することをお勧めします。 81 PGP Desktop for Windows PGP 鍵の管理 たとえば、PGP Corporation では会社の暗号鍵を複数の個人に分割して管理して います。会社の暗号鍵で署名する必要があるときには、分割された鍵 (シェア) を一時的に再結合します。 分割鍵の作成 分割された暗号鍵は、それぞれの鍵の共有者 (シェア所有者) の公開鍵を使って 暗号化され、ファイルとして保存されます。暗号鍵の分割後は、その鍵を使っ て署名や復号化を行おうとすると、自動的に暗号鍵の再結合が開始されます。 複数のシェアに暗号鍵を分割するには 1 PGP Corporation を開いて [PGP 鍵] コントロール ボックスをクリックし 、コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング 上にある秘密鍵が表示されます。 2 分割する鍵ペアをクリックします。選択した鍵ペアがハイライトされます 。 3 [鍵] > [鍵の共有] > [共有する] を選択します。 [PGP 鍵の共有] ダイアログ ボックスが表示されます。 4 [シェア所有者] リストにシェア所有者の鍵をドラッグ アンド ドロップし て、分割鍵のシェア所有者を指定します。 公開鍵を持っていないユーザーをシェア所有者リストに追加するには、[追 加] をクリックして、表示されるテキスト ボックスにそのユーザーの名前 を入力します。そして、そのユーザーにパスフレーズを入力してもらいま す。この操作では、シェア所有者となるユーザーが自分のパスフレーズを 実際に入力する必要があります。 5 すべてのシェア所有者の一覧が表示されたら、この鍵を使って復号化や署 名を行う際に必要な鍵シェアの数を指定できます。 デフォルトでは、各シェア所有者がシェアを 1 つずつ管理します。各シェ ア所有者が制御するシェアの数を増やすには、シェア所有者のリストでユ ーザー名をクリックし、矢印を使用してシェアの数を調整します。 6 [鍵の分割] をクリックします。シェアの保存先ディレクトリを指定するダ イアログが表示されます。 7 鍵シェアを保存する場所を選択し、[OK] をクリックします。[パスフレー ズの作成] 画面が表示されます。 8 分割する鍵のパスフレーズを入力し、[OK] をクリックします。確認のダイ アログ ボックスが表示されます。 9 [はい] をクリックして、鍵を分割します。鍵が分割され、シェアは指定さ れた場所に保存されます。各鍵シェアは、シェア所有者の名前をファイル 名として持ち、SHF という拡張子が付いたファイルとして保存されます。 82 PGP Desktop for Windows PGP 鍵の管理 10 鍵シェアをシェア所有者に配布してから、シェアを保存したローカルのフ ァイルを削除します。 鍵を複数のシェア所有者間で分割すると、それ以降、その鍵を使って署名 や復号化を行うときに、PGP Desktop が自動的に鍵の再結合を開始します 。 分割したオリジナルの鍵は確実に保管してください。この鍵は、分割した鍵を 暗号化の目的で再結合する際に必要になります。 分割鍵の再結合 鍵を複数のシェア所有者間で分割すると、それ以降、その鍵を使って署名や復 号化を行うときに、PGP Desktop が自動的に鍵の再結合を開始します。分割鍵 は、ローカルとリモートのどちらでも再結合できます。 ローカルで鍵シェアを再結合するときは、結合を行うコンピューターの前に鍵 のシェア所有者が集まる必要があります。この操作では、各シェア所有者が自 分の鍵シェア用のパスフレーズを入力する必要があるためです。 リモートで鍵シェアを再結合するには、シェア所有者が各自の鍵を認証し、復 号化してからネットワークを介して送信します。鍵シェアを送信する際には、 PGP Desktop の TLS (Transport Layer Security) 機能によってセキュリティ保護 されたリンクが使用されるため、遠隔地にいる複数のユーザーが各自の鍵シェ アを使用して安全に署名や復号化を行うことができます。 注意 : ネットワークを介して他のユーザーの鍵シェアを受け取る前に、各シ ェア所有者の指紋情報を照合し、そのユーザーの公開鍵に署名をして、認証 鍵が正当であることを確認してください。 開始する前に、再結合を行うコンピューターで分割したオリジナルの鍵は確実 に保管してください。 分割鍵を再結合するには 1 分割鍵の各シェア所有者に連絡します。ローカルに鍵シェアを再結合する ときは、結合するコンピューターの前に鍵のシェア所有者が集まる必要が あります。 またネットワークを介して鍵シェアを集めるときには、リモートのシェア 所有者のコンピューターに PGP Desktop がインストールされていることと 、各自が鍵シェアのファイルを送信する準備ができていることを事前に確 認します。リモートのシェア所有者は、次のものを用意してください。 鍵シェアのファイルとパスワード 鍵ペア (鍵シェアを収集するコンピューターでの認証に使用されます) ネットワーク接続 83 PGP Desktop for Windows PGP 鍵の管理 2 鍵シェアを収集するコンピューターの IP アドレスまたは完全修飾ドメ イン名 (FQDN) 次のいずれか 1 つを実行します。 一時的に鍵を再結合するには、再結合を行うコンピューターで、 Windows エクスプローラを使用して、分割鍵で署名または復号化す るファイルを選択します。 ファイルの上で右クリックして、PGP ショートカット メニューから [ 署名または復号化] を選択します。 選択した分割鍵の [PGP Enter Passphrase for Selected Key (選択した鍵の PGP パスフレーズの入力)] 画面が表示されます。 [OK] をクリックして、選択した分割鍵の再結合を開始します。[鍵シェ アの収集] 画面が表示されます。 鍵を永久的に再結合するには、分割鍵を右クリックして、表示される メニューから [鍵のプロパティ] を選択します。 [鍵のプロパティ] ダイアログ ボックスで、[鍵の結合] をクリックしま す (分割されていない鍵では、このボタンのラベルは [パスフレーズの 変更] になっています) 。 [Passphrase (パスフレーズ) ] ダイアログ ボックスが表示されます。 3 次のいずれか 1 つを実行します。 ローカルで鍵シェアを集める際は、[Select Share File (シェア ファ イルの選択)] をクリックし、分割鍵に関連付けられているシェア フ ァイルを指定します。シェア ファイルは、ハード ドライブ、ディス ケット、またはマウントされたドライブから収集できます。続いて次 の手順に進みます。 ネットワークを介して鍵シェアを集める際は、[Start Network (ネッ トワーク接続の開始)] をクリックします。リモート ユーザーは PGP Desktop を開始し、[鍵] > [鍵の共有] > [鍵シェアの送信] を選択する 必要があります。これにより、シェア ファイルの選択、シェア ファ イルの復号化、承認鍵の選択、承認鍵のロック解除、および結合する コンピューターのホスト名/IP アドレスを入力する処理が開始されます 。 [署名鍵] フィールドで、リモート コンピューターでの認証に使用する 鍵ペアを選択し、パスフレーズを入力します。 [OK] をクリックすると、コンピューターで鍵シェアを受信する準備が 開始されます。 [ネットワーク共有] ボックスにトランザクションのステータスが表示さ れます。ステータスが「待ち受けています」に変わったら、PGP アプリ ケーションで鍵シェアを受信する準備が完了しています。 この時点で、シェア所有者は自分の鍵シェアを送信する必要があります 。 84 PGP Desktop for Windows PGP 鍵の管理 鍵シェアを収集するコンピューターがシェアを受信すると、[リモート 認証] ダイアログ ボックスが表示されます。リモートのコンピュータ ーを認証する鍵に署名をしていない場合は、認証鍵が無効であると見な されるので注意してください。無効な認証鍵でも分割鍵を再結合するこ とはできますが、この方法は推奨できません。各シェア所有者の指紋情 報を照合し、そのシェア所有者の公開鍵に署名をして、認証鍵が正当で あることを確認してください。 4 [Confirm (確認)] をクリックすると、シェア ファイルの指定が完了します 。 5 [Key Shares Collection (鍵シェアの収集)] 画面の [Total Shares Collected ( 収集されたシェア総数)] と [Total Shares Needed (必要なシェア総数)] が 一致するまで、分割鍵の収集を続けます。 6 [OK] をクリックします。 復号化または署名のために一時的に鍵を再結合することを選択した場 合、ファイルは分割鍵で署名または復号化され、再結合された鍵は廃 棄されます。 鍵を永久的に再結合することを選択した場合、完全に再結合された鍵 として保存され、分割鍵でなくなります。 鍵またはパスフレーズを失った場合 鍵を失った場合は、鍵を復元することで、引き続きデータの暗号化や復号化を 行えます。その方法は、PGP Desktop をスタンドアロン環境で使用しているか 、PGP Universal Server で管理された環境で使用しているかによって異なります 。 パスフレーズを忘れた場合は、パスフレーズをリセットできます。鍵のセット アップ時またはセキュリティ保護用の質問の作成時に答えた 5 つのセキュリテ ィ保護用の質問のうち、3 つに正しく答えることで、パスフレーズがリセット されます。 PGP Universal Server による鍵の復元 このセクションの内容は、PGP 管理者が鍵の復元サポートをユーザーの PGP Desktop に対して事前に設定している PGP Universal Server 管理環境で、PGP Desktop を使用している場合にのみ適用されます。 85 PGP Desktop for Windows PGP 鍵の管理 鍵を失ったりパスワードを忘れたりしたときに、鍵を復元するためのバックア ップ コピーがないと、通常、その鍵で暗号化した情報は復号化できなくなりま す。ただし、PGP 管理者が PGP 鍵の復元ポリシーを事前に設定していれば、鍵 を復元することができます。復元ポリシーを使用すると、鍵は暗号化され、そ の所有者だけが取り出せる方法で PGP Universal Server に保存されます。 鍵の復元データを格納している PGP Universal Server は、鍵の所有者本人だけ がアクセスできるように鍵を保管しています。PGP 管理者であっても、その鍵 を復号化することはできません。 PGP 管理者が鍵の復元サポートを設定していると、PGP Desktop のインストー ル時やセキュリティに関する質問の作成時に追加「秘密」情報を入力するように メッセージが表示されます。 鍵をサーバーに保存すると、Windows の場合は [鍵] > [鍵を喪失した場合]、ま たは [鍵] > [パスフレーズを忘れた場合]、Mac OS X の場合は [鍵] > [再構築] を選択すると、いつでも鍵を復元することができます。 ヒント : PGP Desktop のインストール中に PGP の質問を作成するように要 求されなかった場合、PGP Universal Server 管理者がローカル鍵の復元を許 可し、手動で質問を作成することができます。詳細については、「セキュリテ ィ保護用の質問の作成 『ページ : 86』」を参照してください。 鍵の復元データの作成 PGP セキュリティ用の質問に答えると、鍵の復元データが作成されます。スタ ンドアロン環境では、この情報はローカル ディスクの .krb ファイルに保存さ れます。管理された環境では、PGP Desktop をインストールしたりセキュリテ ィ保護用の質問を作成して答えたりする際に、鍵の復元データを会社の PGP Universal サーバーに送信します。 答えを忘れてしまう可能性の低い、個人的な質問を選びます。質問は 95 文字 (2 バイト文字では 47 文字) 以内で入力してください。「ビーチに連れて行って くれた人は誰ですか?」や「彼と別れた理由は?」などが良い例です。「母親の旧 姓は?」や「行っていた高校の名前は?」などは悪い例です。 PGP の質問 5 つをすべて作成して、回答を入力すると、ブラックリー シャミー ル鍵分割方式によって秘密鍵が 5 つに分割されます。鍵の再構築には、この 5 つのうち 3 つが必要です。5 つの鍵はそれぞれ 1 つの答えのハッシュ (固有の識 別番号) で暗号化されます。5 つのうち 3 つの答えが分かれば、鍵全体を再構築 できます。 セキュリティ保護用の質問の作成 パスフレーズを忘れた際に、鍵の再構築や新しいパスフレースの作成を行える ようにするためには、事前にセキュリティ保護用の質問を作成する必要があり ます。自分だけしか答えがわからないように、5 つのセキュリティ保護用の質 問をカスタマイズすることができます。 86 PGP Desktop for Windows PGP 鍵の管理 セキュリティ保護用の質問を作成するには 1 PGP Desktop で [PGP 鍵] コントロール ボックスをクリックし、自分の秘 を選択します。 2 [Keys (鍵)] > [Create My PGP Questions (自分の PGP の質問の作成)] を 選択します。PGP セキュリティ保護用の質問アシスタントが表示されます 。 3 鍵用のパスフレーズを入力し、[Next (次へ)] をクリックします。[Create Security Question 1 of 5 (セキュリティ保護用の質問 1 (5 個中) の作成)] ダ イアログ ボックスが表示されます。 4 最初の [Create Security Question (セキュリティ用の質問の作成)] 画面で、 最初のフィールドの矢印をクリックして、使用する質問を選択します。次 の手順で、質問の一部をカスタマイズすることができます。 質問を全面的にカスタマイズして独自の質問を作成する場合は、[Enter my own question (自分の質問を入力する)] を選択します。 5 [Personalize Your Question (質問の個別設定)] で、カスタマイズ可能な いずれかのテキストの横の矢印をクリックします。たとえば、最初の質問 を選択した場合は、「friend」を「boy」に、「had a crush on」を「held hands with」に変えることによって質問をカスタマイズできます。 独自の質問を作成する場合は、このフィールドに質問を入力します。必ず 、あなただけが答えられる質問を入力してください。 6 [ 質問の回答] に、このセキュリティ用の質問に対する答えを入力します 。答えの入力には、大文字と小文字を混ぜて使用することも、大文字また は小文字だけを使用することもできます (質問に答えるときには、大文字 小文字は関係ありません)。 87 PGP Desktop for Windows PGP 鍵の管理 このフィールドにはヒントが表示され、答えを入力し始めると消えます。 たとえば、「Who was the first boy that I ever held hands with?(私が最初 に手をつないだ男の子は?)」という質問に答える場合は「Enter first and last name (名字と名前を入力してください)」というヒントが表示されます。 7 質問を指定し、答えを入力したら、[Next (次へ)] をクリックして続行しま す。[Create Security Question 2 of 5 (セキュリティ保護用の質問 1 (5 個中) の作成)] ダイアログ ボックスが表示されます。 8 全部で 5 つのセキュリティ保護用の質問を作成し、答えを入力するように 求められます。引き続き上記の手順に従って、質問の選択、質問のカスタ マイズ、質問の答えの入力を行います。 5 つの質問と答えをすべて入力すると、[Completing the PGP Security Question Assistant (PGP セキュリティ保護用の質問アシスタントの終了)] 画面が表示されます。[Finish (完了)] をクリックしてアシスタントを終了 します。 5 つのセキュリティ保護用の質問の定義が完了しました。これで、鍵を紛失し た場合やパスフレーズを忘れた場合に、これら 5 つの質問のうちの 3 つに答える ことで、鍵を再構築するか、パスフレースをリセットすることができます。 鍵またはパスフレーズを失った場合に自分の鍵を復元 鍵を紛失したり、パスフレーズを忘れたりした場合でも、鍵を復元することで リカバリすることができます。そのためには、最初にあなただけが答えられる セキュリティ保護用の質問を作成しておく必要があります。詳細については、 「セキュリティ保護用の質問の作成 『ページ : 86』」を参照してください。 鍵を再構築するには 1 PGP Desktop で [PGP 鍵] コントロール ボックスをクリックし、自分の秘 を選択します。 88 PGP Desktop for Windows PGP 鍵の管理 2 [Keys (鍵)] > [I Lost My Key (パスワードを失くしました)] を選択します 。[PGP Passphrase Assistant:Answer Security Questions (PGP パスフレー ズ アシスタント : セキュリティ用の質問の答え)] ダイアログ ボックスが 表示されます。 ヒント : 表示された質問が自分の質問ではない場合は、[These are not my questions (これらは私の質問ではありません)] のリンクをクリックし てください。[PGP Passphrase Assistant:Select Key to Reconstruct (PGP パスフレーズ アシスタント : 復元する鍵の選択)] ダイアログ ボックス が表示されます。復元する鍵の鍵 ID を選択し、[Next (次へ)] をクリック します。 3 5 つのセキュリティ用の質問のうち、3 つに正しく答えて、[Next (次へ)] をクリックします。[PGP Passphrase Assistant: Success (PGP パスフレー ズ アシスタント : 成功)] ダイアログ ボックスが表示されます。 4 [次へ] をクリックし、新しいパスフレーズの作成に進んでください。[PGP Passphrase Assistant:Create Passphrase (PGP パスフレーズ アシスタント : パスフレーズの作成)] ダイアログ ボックスが表示されます。 5 パスフレーズの入力と再入力を行います。 入力時にパスフレーズの文字を確認するには、[キーボード入力の表示] を 選択します。ただし、入力する文字を誰にも見られないように注意してく ださい。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 344』」 を参照してくだ さい。 89 PGP Desktop for Windows PGP 鍵の管理 6 [完了] をクリックします。これで鍵が復元されます。 鍵の保護 鍵はバックアップ コピーを作成すると同時に、秘密鍵の保管場所にも十分注意 を払ってください。秘密鍵は作成した自分にしかわからないパスフレーズで保 護されていますが、だれかにパスフレーズが検出されてしまい、秘密鍵を使っ た電子メールの解読やデジタル署名の偽造を被るおそれがあります。たとえば 、他人に肩越しに見られて、キーボード入力した文字を見られたり、ネットワ ークやインターネット上で傍受されることがあります。 パスフレーズを傍受した人に秘密鍵を悪用されることのないように、秘密鍵は 自分自身のコンピューターのみに保管してください。コンピューターがネット ワークに接続されている環境では、コンピューター全体のバックアップ時に秘 密鍵のファイルが自動的に含まれないように注意してください。コンピュータ ーがネットワーク経由で簡単にアクセスできてしまう場合、機密度の高い情報 を取り扱う際には、フラッシュ ドライブに秘密鍵を保管しておくのが賢明です 。旧来型の鍵と同様、秘密情報の読み取りや署名が必要なとき随時に挿入して 利用できます。 もう 1 つのセキュリティ対策として、秘密鍵リング ファイルに別の名前を割り 当て、そのファイルをデフォルト以外の場所に保存することも検討してくださ い。 秘密鍵と公開鍵は別々の鍵リング ファイルに格納されています。両方の鍵リン グ ファイルをハード ドライブ上の別の場所、またはフロッピー ディスクにコ ピーしてください。デフォルトで、秘密鍵リング (secring.skr) と公開鍵リ ング (pubring.pkr) は、他のプログラム ファイルと一緒に "PGP" フォルダ ーに格納されており、任意の場所にバックアップを保存できます。 PGP Desktop の終了後に自動的に鍵リングのバックアップを作成するようにも 構成できます。鍵リングのバックアップ オプションは、Windows システムの 場合は [オプション] ダイアログ ボックス、Mac OS X システムの場合は [環境 設定] ダイアログ ボックスの [鍵] タブで設定できます。 ヒント :鍵のパスフレーズを変更しても、鍵のコピー (作成したバックアップ など) のパスフレーズは変更されません。鍵が傍受されたと考えられる場合 は、以前のバックアップ コピーを完全に細断処理してから、新規に鍵のバッ クアップを作成することを推奨します。 90 7 電子メールをセキュアにす る ここでは、PGP Desktop を使用して電子メールを自動的かつ透過的にセキュア にする方法について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP Desktop で電子メールをセキュアにする方法................................. 91 オフライン ポリシーの使用 .................................................................. 101 サービスとポリシー .............................................................................. 102 新規セキュリティ ポリシーの作成 ....................................................... 113 セキュリティ ポリシーのリストの使用................................................ 125 PGP Desktop と SSL ............................................................................. 132 鍵モード ................................................................................................ 134 PGP ログの表示 ..................................................................................... 137 PGP Desktop で電子メールをセキュアにする方法 セキュアな電子メール メッセージング機能を有効にすると、電子メール クラ イアントと電子メール サーバー間のトラフィックが PGP Desktop によって監 視されます。また、PGP Desktop はユーザーに代わってメッセージの暗号化、 署名、復号化、検証を状況に応じて実行します。 構成が正しく行われると (ほとんどの場合 PGP Desktop によって自動的に構成 されます)、送信メッセージの暗号化や署名、または受信メッセージの復号化や 検証を行うためのユーザー操作は必要ありません。PGP Desktop メッセージン グ プロキシによってすべての処理が行われます。 91 PGP Desktop for Windows 電子メールをセキュアにする 受信メッセージと送信メッセージで、この処理がどのように異なるかについて 説明します。 受信メッセージはすべて PGP Desktop が自動的に確認し、適切な処理を行いま す (後述)。 送信メッセージでは、構成したポリシーに基づいて、PGP Desktop でさまざま な処理が実行されます。ポリシーとは、「この状況では、これを実行する」のよ うに、特定の状況に対する PGP Desktop の動作の指示をまとめたものです。こ うした複数の指示を組み合わせることにより、ユーザーの電子メール セキュリ ティ要件を満たすようにポリシーをカスタマイズできます。PGP Desktop には 、最も一般的な要件に対応する、事前に構成されたポリシーが用意されていま す。これらのポリシーは必要に応じて変更し、きめ細かく制御することもでき ます。 PGP Desktop をスタンドアロンとして使用している場合、メッセージを送信す ると、デフォルトにより PGP Desktop はメッセージを暗号化するために信頼で きる鍵を検索します。最初に、デフォルトの鍵リング (Windows システムでは 「すべての鍵」と呼ばれます) またはローカルの鍵リング (Mac OS X システム では「鍵」と呼ばれます) で受信者の公開鍵が検索されます。公開鍵が見つから ない場合は、デフォルトにより、受信者の信頼する鍵が PGP Global Directory に ないか確認されます。信頼する鍵が見つからない場合は、メッセージは暗号化 されていないクリア テキストで送信されます。このポリシーは、「暗号化でき ない場合クリア テキストで送信」という、デフォルトのポリシーの 1 つで、送 信メッセージのセキュリティを可能な限り保護しながら、確実にメッセージが 送信されるようにします。 新しいポリシーの作成の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 113』」を参照してください。 PGP Universal で保護されているドメインでは、ローカルの PGP Desktop ポリシ ーによって、メッセージの暗号化方法と暗号化されるタイミングが決定されま す。詳細については、PGP Universal Server 管理者に問い合わせてください。 メモ : PGP Desktop ではデフォルトの鍵リングのみが確認されます。ローカ ル鍵リングに鍵を持つ受信者宛てに暗号化された電子メールを送信する場合 は、必ず、デフォルト鍵リングに鍵をインポートしてください。 複数の鍵リングがある場合、デフォルトの鍵リングは [PGP 鍵] コントロー ル ボックスに表示される最初の鍵リングです。デフォルト鍵リングとして別 の鍵リングを指定するには、[PGP 鍵] コントロール ボックスで目的の鍵リ ングを右クリックして、[プロパティ] をクリックします。次に、[デフォルト 鍵リング] チェック ボックスにチェックを入れます。 92 PGP Desktop for Windows 電子メールをセキュアにする 受信メッセージ PGP Desktop による受信メール メッセージの管理方法は、メッセージ内容によ って異なります。ここでは、PGP Universal Server によって保護されたドメイ ンに属していない、スタンドアロンの PGP Desktop を想定します (PGP Universal Server によって保護されたドメインに属する場合、PGP Universal Server 管理者が設定した電子メールのアクション ポリシーが適用されます)。 暗号化も署名もされていないメッセージ。メッセージの内容は処理されず 、電子メール クライアントにそのまま送られます。 暗号化されているが署名されていないメッセージ。暗号化された受信メッ セージが検知されると、PGP Desktop はその復号化を試行します。PGP Desktop はまず、メッセージを復号化できる秘密鍵がローカル鍵リングに ないか確認します。秘密鍵がローカル鍵リングにない場合、メッセージは 復号化できないため暗号化されたまま電子メール クライアントに送信され ます。ローカル鍵リングに秘密鍵が見つかった場合、そのパスフレーズが メモリに残っていれば (キャッシュされていれば) メッセージは直ちに復 号化されます。パスフレーズがキャッシュされていない場合、PGP Desktop はパスフレーズの入力を要求します。正しいパスフレーズを入力 するとメッセージが復号化されます。メッセージは復号化された後に電子 メール クライアントに送信されます。 PGP Desktop メッセージング プロキシがオフになっている場合、暗号化 された受信メッセージは復号化できないため、暗号化されたまま電子メー ル クライアントに送信されます。暗号化されたメッセージを送受信する場 合は、メッセージング プロキシを常時オンのままにしておくことを推奨し ます。デフォルトの設定はオンです。 署名されているが暗号化されていないメッセージ。PGP Desktop は署名を 検証するために使用できる公開鍵を、ローカル鍵リングで検索します。適 切な公開鍵がローカル鍵リングに見つからなかった場合、keys.domain (domain はメッセージ送信者のドメイン) の鍵サーバーで検索が行われ、 次に PGP Global Directory 『https://keyserver.pgp.com』 、最後にその他 の構成済み鍵サーバー、という順序で検索が行われます。正しい公開鍵が このいずれかの場所で見つかったら、署名が有効であるかどうかが検証さ れ (署名が壊れている場合は検証されません)、メッセージが署名情報の注 釈付きで電子メール クライアントに送信されます。情報は PGP ログにも 記録されます。適切な公開鍵が見つからなかった場合、メッセージは未検 証のまま電子メール クライアントに送信されます。 暗号化および署名されたメッセージ。PGP Desktop は前述の両方の処理を 行います。まず、メッセージを復号化する秘密鍵を検索し、次に署名を検 証する公開鍵を検索します。ただし、メッセージが復号化できない場合は 、検証できません。 93 PGP Desktop for Windows 電子メールをセキュアにする メッセージの復号化および検証ができない場合は、その送信者に連絡する必要 があります。メッセージを復号化できなかった場合は、正しい公開鍵が使用さ れたかどうかを送信者に確認してください。メッセージを検証できなかった場 合は、公開鍵を PGP Global Directory に公開するよう送信者に依頼してください 。PGP の古いバージョンや OpenPGP 製品を使用しているユーザーには、PGP GlobalDirectory の Web 版が PGP Global Directory 『https://keyserver.pgp.com 』 に用意されています。または、公開鍵を電子メールで直接送付するように送 信者に依頼してください。 メモ : PGP Desktop のデフォルト設定では、メッセージは検証済みの鍵での み暗号化されます。PGP Global Directory 以外からの鍵を使用するには、鍵の フィンガープリントが有効かどうかを所有者に確認し、署名することが必要 な場合があります。 受信メッセージの署名の検証 PGP Desktop バージョン 10.1 以降、管理された環境では、PGP Universal Server の管理者は、電子メール メッセージの署名を検証するかどうかをユーザ ーが決められるようにポリシーを設定できます。この設定が有効になっている 場合、Microsoft Outlook または Lotus Notes 電子メール クライアントに新しい ボタンまたはメニュー オプション、あるいはその両方が表示されます。ボタン またはオプションは、管理者が設定したデフォルトの状態になります。たとえ ば、ユーザーが署名検証機能の使用を選択でき、デフォルトの状態では常に検 証するように管理者が設定しているとします。この場合、ボタンまたはメニュ ー オプションを手動で選択してデフォルトの設定をオーバーライドし、署名検 証を無効にできます。署名検証がオフになっている場合、すべてのメッセージ に対して署名の検証がオフになります。 ヒント : 署名検証をオフに設定している場合に受信電子メールの署名ステ ータスを表示するには、[PGP 署名の検証] ボタンを選択する (強調表示され ている状態にする) か、またはメニュー オプションを選択します。電子メー ル メッセージを表示している場合は、メッセージを閉じるか、またはメッセ ージの [プレビュー] ペインからそのメッセージの署名検証画面に移動します 。 Microsoft Office のツールバーに [PGP 署名の検証] が追加されます。 ボタンが選択されていて、署名検証が有効になっている場合、ボタンは強 調表示 (色つきのボーダーがボタンの周囲に表示された) されます。署名検 証がオフになっている場合、ボタンの周囲にボーダーは表示されません。 Microsoft Office にも署名検証を有効または無効にするメニュー オプショ ンがあります ([アクション] > [PGP 署名の検証])。 94 PGP Desktop for Windows 電子メールをセキュアにする Microsoft Office 2003 でこの機能が有効になっている場合、[PGP 署 名の検証] ボタンはツールバーに追加されます。 Microsoft Office 2007 でこの機能が有効になっている場合、[PGP 署 名の検証] ボタンはツールバーに追加されます。 Microsoft Office 2010 でこの機能が有効になっている場合、[PGP 署 名の検証] ボタンはツールバーに追加されます。 Lotus Notes で署名検証が有効になっている場合、[PGP 署名の検証] メニ ュー オプションの横にチェックが表示されます。 注釈 電子メール メッセージの表示中、署名検証がオフになっている場合は、メッセ ージの注釈に開始ステートメント [PGP Signature not checked (PGP 署名 は確認されていません)] および終了ステートメント [Signature checking is off by policy (ポリシーによって署名確認はオフになっています)] が 含まれます。メッセージの復号化などその他のすべてのアクションは、注釈の 中に残されます。 95 PGP Desktop for Windows 電子メールをセキュアにする 通知 電子メール メッセージを受信したとき、署名検証がオフになっている場合は、 PGP 通知機能に [Signature checking is off by policy (ポリシーに よって署名確認はオフになっています)] というステートメントが含まれます。 受信メッセージの注釈について 受信電子メール メッセージが着信すると、暗号化されているすべての部分が PGP Desktop によって復号化され、すべての署名が検証されます。次に、処理 された電子メール メッセージに注釈と呼ばれる短いテキストが挿入されて、暗 号化および署名が使用されていることが示されます。少なくとも一部が保護さ れている (暗号化、署名、またはその両方が行われている) すべての電子メール メッセージに注釈が挿入されます。電子メール メッセージがまったく保護され ていない (たとえば電子メールが送信者によって暗号化も署名もされていない) 場合は、メッセージに注釈は挿入されません。 コメントのレベルは、以下の 3 つから選択できます。 最大 : 詳細なコメント。PGP Desktop によりメッセージ処理中に実行され たすべてのアクションの詳細情報が、受信電子メールに追加されます。 標準 : 不具合と成功。このオプションはデフォルトで選択されます。不明 な鍵や不明な署名者など処理上の不具合が発生すると、コメントを付与し ます。この設定では、復号化または署名、あるいはその両方が適用された すべての電子メールに注釈が挿入されますが、個別の添付ファイルはリス トされません。 最小 : 不具合のみ。不明な鍵や不明な署名者が検出された場合など、処理 が失敗した場合にのみ注釈が挿入されます。 使用する注釈のレベルを指定する方法については、「メッセージング オプショ ン 『ページ : 325』」を参照してください。 PGP Universal Server で管理された環境では、注釈の場所を管理者が指定してい る場合があります。注釈はメッセージ テキストを "囲む" (デフォルト設定) こ とも、メッセージ テキストの下に配置することもできます。 注釈の詳細については、「PGP ナレッジベース記事 2039 『 http://support.pgp.com/?faq=2039』」を参照してください。 96 PGP Desktop for Windows 電子メールをセキュアにする 送信メッセージ 送信する電子メール メッセージは、暗号化と署名のどちらか一方または両方を 行うか、どちらも行わないようにすることができます。通常、暗号化と署名を どのように組み合わせて使用するかは、電子メールの受信者やドメインごとに 異なるので、送信電子メール メッセージのあらゆる可能性を考慮に入れてポリ シーを作成する必要があります。正しいポリシーが適用されると、電子メール メッセージが自動的かつ透過的に保護されます。 PGP Universal Server で管理された環境では、PGP Desktop ポリシーは PGP Universal Server 管理者によって指定されたポリシーで制御されます。また、 PGP Universal Server が利用不可能な場合の送信メッセージ処理方法も、管理者 によって指定されていることがあります。これらのポリシーを「オフライン ポ リシー」(または「ローカル ポリシー」) と呼びます。 IMAP 電子メール サーバーで送信されたアイテムをセキュアにする IMAP 電子メール サーバーを使用している場合、[送信済みアイテム] フォルダ ーに含まれるメッセージは通常は電子メール サーバーに保存されます。送信済 みメッセージのコピーは、IMAP 電子メール クライアントによって、IMAP プ ロトコルを使用してネットワーク経由でフォルダーに送信されます。送信済み メッセージが暗号化されていない場合、メッセージが傍受される可能性があり ます。PGP Desktop には、送信メッセージが IMAP サーバーに送信されるとき に暗号化または署名、あるいはその両方が行われるようにする機能があります 。 PGP Universal で管理された環境では、[送信済みアイテム] フォルダーに含まれ るすべてのメッセージがセキュアにされるように管理者が指定している場合が あります。 スタンドアロン環境では、送信済みメッセージをセキュアにするかどうかユー ザーが指定できます。この操作を行うには、[ツール] > [オプション] (PGP Desktop for Windows の場合)、または [PGP] > [環境設定] (PGP Desktop for Mac OS X の場合) を選択して、[メッセージ] タブまたはアイテムをクリックし ます。次に、メッセージの暗号化、暗号化および署名、または署名のみのいず れを行うかを指定します。 電子メール メッセージは PGP 公開鍵を使用して暗号化されます。 [送信済みアイテム] フォルダーにアクセスしたときに鍵のパスフレーズがキャ ッシュされていない場合、パスフレーズを入力するよう指示するメッセージが 表示されます。 97 PGP Desktop for Windows 電子メールをセキュアにする フォルダーの名前が PGP Desktop で認識される名前でない場合 (たとえば、[送 信済みアイテム] の代わりに [送信メッセージ] という名前がフォルダーに付い ている場合) は、このフォルダー名がメッセージの送信先かつ通常の保存先で あることを確認するメッセージが表示されます。このフォルダーにコピーされ る最初のメッセージは暗号化も署名も行われませんが、それ以降にこのフォル ダーにコピーされるメッセージでは暗号化または署名、あるいはその両方が行 われます。 Microsoft Outlook を使用した MAPI 電子メールの送信 PGP Desktop バージョン 9.10 には、送信メッセージを "スプール" する機能が 新しく追加されています。これにより、PGP 通知機能メッセージが表示されな くなるまで待たなくても、電子メールの操作を続行することができます。 鍵が見つからない場合は、PGP 通知機能のメッセージが表示されてから、(受信 者を削除するなどの変更を加えられるように) 送信メッセージが表示される代 わりに、"鍵が見つかりません" という配信不能レポートが生成され、送信され ます。配信不能レポートは、受信電子メール メッセージの形式で "システム管 理者" から送信され、指定された受信者に電子メールが配信されなかった理由 などの情報を提供します。 配信不能レポートで報告される一般的なメッセージは次のとおりです。 PGP : メッセージはポリシーによってブロックされています。サーバーに アクセスできません。 PGP : メッセージはブロックされています。追加の予備復号鍵 (ADK) は見 つかりませんでした。 PGP : メッセージはブロックされています。署名鍵をロック解除できませ んでした。 PGP : メッセージはブロックされています。鍵 ID で鍵を見つけることがで きませんでした。 98 PGP Desktop for Windows 電子メールをセキュアにする PGP : メッセージはブロックされています。通知機能からブロックされて います。 PGP : メッセージはポリシーによってブロックされています。受信者の鍵 が見つかりません。 PGP : メッセージはポリシーによってブロックされています。 ポリシー関連の問題でサポートが必要な場合は、PGP Universal Server 管理者に 問い合わせてください。 Microsoft Outlook で署名ボタンと暗号化ボタンを使用 PGP Desktop for Windows 10.0 では、 Microsoft Exchange (MAPI) および SMTP 電子メール アカウントを使用する際に、Microsoft Outlook 2002 SP3、 2003 (XP) SP3、2007 で新しい機能を利用できます。この機能は、明示的に署 名、暗号化を行うか、電子メール メッセージの署名と暗号化を行うボタンを提 供します。この機能は、ユーザーに意識的に電子メール メッセージに署名する ことを求める欧州連合などの署名規制に準拠します。 署名ボタンと暗号化ボタンの両方を PGP Desktop の管理されたインストール環 境およびスタンドアロン インストール環境で利用できます。 スタンドアロン環境では、[オプション] ダイアログ ボックスで [署名] ボ タンと [暗号化] ボタンを有効または無効にします。これを行うには、[ツ ール] > [オプション] を選択し、メッセージング タブを選択し、[PGP暗 号化ボタンと署名ボタンを Outlook で有効にする] オプションを選択 (ま たは選択解除) します。これらのボタンはデフォルトで無効になっていま す。 管理された環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者がこの機能を利用できるか指定し、ポリシーでこの機能を無 効にしていることががあります。また、[署名] ボタンと [暗号化] ボタンの デフォルトの状態を管理者が指定している場合もあります (いずれも有効 の場合)。ボタンを選択してデフォルトの状態を切り替えることによって、 管理者が指定したデフォルトの状態をオーバーライドできます。たとえば 、デフォルトでボタンが有効になるよう管理者が指定していて、すべての メッセージが暗号化および署名された状態で送信されるように設定されて いる場合に、電子メール メッセージが署名されていない状態で送信される ようにするには、[署名] をクリックしてボタンをオフにします。メッセー ジは署名されず、暗号化された状態で送信されます。 Microsoft Outlook 2002/2003 で有効な場合、両方のボタンがツールバーに表示 されます。 99 PGP Desktop for Windows 電子メールをセキュアにする Microsoft Outlook 2007 で有効な場合、両方のボタンがメッセージ リボンに表 示されます。 送信メッセージ ポリシーが電子メール メッセージの送信方法を決定します。 これらのボタンをサポートするように PGP Desktop の新しいインストール環境 では、3 つの新しいデフォルトのポリシーがあります。既存のインストール環 境では、これらの 3 つのデフォルトのポリシーを作成する必要があります。ポ リシーの詳細については、「セキュリティ ポリシーの情報と例 『ページ : 120 』」を参照してください。 署名ボタンと暗号化ボタンはどの電子メールを暗号化、署名する必要があるか 管理する追加機能です。これらのボタンは PGP Desktop で使用する電子メール プロキシに代わるものではありません。 メモ : 暗号化、署名する電子メール メッセージに返信するか転送する場合 、適切なボタンを選択していることを確認してください。転送または返信は 新規メッセージとして扱われ、メッセージをセキュリティ保護するオプショ ンを明示的に選択する必要があります。 新規電子メール メッセージを作成するか、電子メール メッセージを転送また はメッセージに返信する場合には、以下の手順に従います。 管理された環境で PGP Desktop を使用している場合、PGP Universal Server の 管理者が [署名] ボタンと [暗号化] ボタンのデフォルトの状態を指定している ことがあります。ボタンを選択してデフォルトの状態を切り替えることによっ て、管理者が指定したデフォルトの状態をオーバーライドできます。 次の手順では、デフォルトのボタン アクションがオフに切り替えられている場 合にメッセージの暗号化または署名、あるいはその両方を行う方法について説 明します。 電子メール メッセージに署名、暗号化、または署名と暗号化を行うには 1 電子メールの作成を開始します。 2 次のいずれか 1 つを実行します。 署名のみの場合、[署名] ( ) をクリックします。署名のみを選択する 場合、電子メールはクリアテキストで送信されます。 暗号化のみの場合、[暗号化] ( 署名と暗号化の場合、[署名と暗号化 ( す。 100 ) をクリックします。 ) の両方をクリックしま PGP Desktop for Windows 電子メールをセキュアにする ヒント : 一つ以上のボタンを選択し、電子メール メッセージを下書き 保存した場合、メッセージを引き続き作成するとボタンは選択されたまま になります。 3 引き続き電子メール メッセージを作成して、送信します。PGP Desktop 通知機能は署名、暗号化処理の結果を表示します (通知機能の詳細につい ては、「送信 PGP Desktop 通知機能メッセージ 『ページ : 37』」を参照 してください)。 オフライン ポリシーの使用 PGP Universal で管理された環境で PGP Desktop を使用している場合は、オフラ イン メール ポリシーが PGP Universal Server 管理者によって定義されます。 このポリシーは、PGP Universal Server がオフラインのとき、または PGP Desktop からアクセスできないときに電子メール メッセージに対して行われる 処理を定義します。 送信メッセージをブロックする。送信メッセージは送信されません。メー ル クライアントがメッセージをキューに入れることができる場合、メッセ ージは、PGP Universal Server が使用可能になるまでキュー内にとどまり ます。メッセージをキューに入れることができない場合、電子メール メッ セージはブロックされます。 送信メッセージを平文で送信する。電子メール メッセージをセキュアでな いまま送信することを許可するかどうかを選択するための指示が表示され ます。送信することを選択した場合、メッセージは平文で送信されます。 送信しないことを選択した場合、メッセージはブロックされます。 スタンドアロン ポリシーに従う。スタンドアロン ポリシーに従って送信 メッセージが処理されます。詳細については、「サービスとポリシーの表示 『ページ : 103』」を参照してください。 上記のいずれかの場合に受信する通知については、「オフライン ポリシーに関 する送信 PGP Desktop 通知機能メッセージ 『ページ : 37』」を参照し てくだ さい。 PGP Universal Server 管理者は、メール ポリシーが PGP Desktop にダウンロー ドされる頻度を指定できます。オフライン モードの場合、最後にダウンロード されたオフラインのメール ポリシーが送信電子メール メッセージの処理で有 効となります。オフラインのスタンドアロン メール ポリシーが有効な猶予期 間よりもオフライン モードの期間が長い場合は、管理者が送信電子メールの処 理方法を指定することも可能です。この場合、管理者によるポリシーの定義方 法に応じて、送信メッセージのブロックを開始したり、送信メッセージの処理 に同じオフラインのスタンドアロン メール ポリシーを使用したりすることが できます。 101 PGP Desktop for Windows 電子メールをセキュアにする オフライン状態がしばらく続いた場合は、オンライン状態に戻った後で PGP Universal Server からポリシーをダウンロードするように手動で要求できます。 オンライン状態になったときにこの操作を行うには、トレイの PGP Desktop ア イコンを選択し、[ポリシーの更新] を選択します。最新のポリシーが PGP Universal Server からダウンロードされ、すべてのクライアント ログがサーバ ーにアップロードされます。ポリシーを手動で更新する場合に使用するこのオ プションは、管理対象ユーザーのみ使用できます。 PGP Universal Server 管理者がユーザーにスタンドアロン ポリシーの使用を許 可している場合は、「新規セキュリティ ポリシーの作成 『ページ : 113』」 を参照してください。 サービスとポリシー PGP Desktop で送信メッセージが自動的かつ透過的に保護される仕組みを理解 するには、サービスとポリシーという 2 つの用語を十分に理解する必要があり ます。サービスとポリシー。 サービス : コンピューター上の電子メール アカウント 1 つと、そのアカウ ントに適用するポリシーの両方に関する情報をまとめたもの。ほとんどの 場合、サービスは PGP Desktop によって、コンピューター上の各電子メー ル アカウントに対して自動的に作成および構成されます。状況に応じて、 サービスを手動で作成して構成することもできます。 ポリシー : 特定の状況における PGP Desktop の動作に関して 1 つまたは複 数の指示をまとめたもの。ポリシーは、サービス (通常は複数個) に関連付 けられています (ポリシーは別のサービスで再利用できます)。その逆に、 サービスに複数のポリシーを含めることもできます (通常は複数のポリシ ーを含めます)。 特定の送信電子メール メッセージを処理する際、PGP Desktop は、サービスに 構成されているポリシーを 1 つずつ、リストの上から下に向かって確認して、 そのメッセージの処理方法を決定します。適用するポリシーが見つかると、ポ リシーの確認が中止され、そのポリシーで処理が行われます。 新規に作成するサービスにはすべて、次のデフォルト ポリシーがあらかじめ設 定されます。 暗号化および署名ボタン。Outlook 2002、2003、2007 で [暗号化] ボタン と [署名] ボタンの両方が有効になっている場合に、メールに署名して暗号 化するように指定します。このポリシーは PGP Desktop for Windows での み使用できます。 署名ボタン。Outlook 2002、2003、2007 で [署名] ボタンが有効になって いる場合に、メールに署名するように指定します。このポリシーは PGP Desktop for Windows でのみ使用できます。 102 PGP Desktop for Windows 電子メールをセキュアにする 暗号化ボタン。Outlook 2002、2003、2007 で [暗号化] ボタンが有効にな っている場合に、メールを暗号化するように指定します。このポリシーは PGP Desktop for Windows でのみ使用できます。 [メーリング リストの管理要求] : メーリング リストへの管理要求が、ク リア テキスト (暗号化や署名なし) で送信されます。 [メーリング リストへの送信] :メーリング リストへの送信の際、認証用に 署名を行いますが、暗号化はされません。 暗号化が必要:[PGP] 機密。電子メール クライアント上で機密のフラグ が付いているか、件名に [PGP] というテキストが含まれているメッセージ は、受信者の有効な公開鍵で暗号化しない限り送信されません。 [暗号化できない場合はそのまま送信] : 暗号化する送信相手の公開鍵が見 つからないメッセージは、すべて暗号化なしで (クリア テキストで) 送信 されます。このポリシーをリストの最後に置いておくと、暗号化するため の送信相手の鍵が見つからない場合でも、メッセージは必ず送信されるよ うになります (ただし、クリア テキストで送信されます)。 PGP Desktop では、一致するポリシーが見つかると、検索が中止されその ポリシーが適用されます。そのため、「暗号化できない場合はクリア テキ ストで送信」ポリシーは必ずポリシー リストの最後に配置するようにして ください。このポリシーはどの検索条件とも一致するため、リストでこれ より下にあるポリシーが適用されなくなります。 メモ : デフォルト ポリシーは変更できますが、削除はできません。その代 わり、無効にできます。また、ポリシーのリスト内で上下に移動することも できます。 サービスとポリシーの表示 サービスとポリシーを表示するには 1 PGP Desktop を開きます。 2 [PGP メッセージング] コントロール ボックスをクリックします。[PGP メ ッセージング] コントロール ボックスがハイライトされます。[PGP メッ セージング] コントロール ボックスの一番上に現在設定されているサービ スがすべて表示されます。 103 PGP Desktop for Windows 電子メールをセキュアにする 3 サービスをクリックして、サービスの一部であるアカウントのプロパティ とセキュリティ ポリシーを表示します。このセクションでは、適用される セキュリティ ポリシーについて説明します。PGP Universal Server で管理 されている場合は、管理者がセキュリティ ポリシーを設定します。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合は 、ポリシーの設定方法により異なるメッセージ、オプションがポリシーのリス トの上に表示されることがあります。 PGP Universal Server ポリシ ーが次の場合: PGP Desktop でポリシーのリストに表示 されるメッセージが オフライン ポリシーがブロッ クに設定されている 「サーバーに接続できない場合は、メッ セージがブロックされます。」 オフライン ポリシーが [クリ ア テキストで送信] に設定さ れている 「サーバーに接続できない場合は、メッ セージがクリア テキストで送信されます 。」 オフライン ポリシーがスタン ドアロンに設定されている 「サーバーに接続できない場合は、スタ ンドアロン ポリシーが適用されます。」 スタンドアロン ポリシーの表示のチェッ ク ボックスが利用できます。 ポリシーがスタンドアロンに設 「次のスタンドアロン ポリシーが適用さ 定されている れます。」 管理者がポリシーをオーバーライドできるように指定している場合は、常にサ ーバー ポリシーをローカル ポリシーでオーバーライドするチェックボックス が利用できます。 104 PGP Desktop for Windows 電子メールをセキュアにする 新規メッセージング サービスの作成 サービスとは、電子メール アカウントと、その電子メール アカウントからの 送信メッセージに適用されるセキュリティ ポリシーに関する情報です。 重要 : サービスは通常、電子メール アカウントを使用してメッセージを送 受信するときにPGP Desktopで自動的に作成されます。サービスを手動で作 成する際は、次の手順をよく読んで理解してください。サービスの構成が間 違っていると、電子メール メッセージが正しく送受信されなくなる場合があ ります。 新規サービスを作成するには、次の手順に従います。 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスを クリックします。[PGP メッセージング] コントロール ボックスがハイラ イトされます。 2 [PGP メッセージング] コントロール ボックスの [新規メッセージング サ ービス] をクリックします。[メッセージング] > [新しいサービスの作成]を 選択することもできます。 PGP メッセージングの作業領域の上部に [新規サービス] というタイトル が表示され、値が指定されていない状態でアカウントのプロパティが表示 されます。また、[セキュリティ ポリシー] セクションには、デフォルトの セキュリティ ポリシーが表示されます。 3 [アカウントのプロパティ] セクションの [説明] フィールドに、サービスの 名前を入力します。 4 [電子メール アドレス] フィールドに電子メール アドレスを入力します。 5 受信電子メール サーバーと送信電子メール サーバーの名前を入力します 。または [サーバー設定] をクリックして、詳細オプションを設定します。 詳細オプションの設定を選択した場合は、[サーバー設定] ダイアログ ボッ クスが表示されます。 6 [サーバーの種類] で、新規サービスで使用するサーバーの種類を、次の中 から選択します。 [インターネット メール] : POP または IMAP でメールに接続するスタ ンドアロンの PGP Desktop ユーザーの場合。 [PGP Universal] : PGP Universal Server で管理された環境の PGP Desktop ユーザーの場合。正しい設定方法の詳細については、PGP Universal Server 管理者に問い合わせてください。 [MAPI/Exchange] : Microsoft Exchange/MAPI サーバーのクライアン トとして Microsoft Outlook を使用している PGP Desktop ユーザーの 場合。詳細な設定方法については、電子メールの管理者に問い合わせ てください。 105 PGP Desktop for Windows 電子メールをセキュアにする [Lotus Notes] : Lotus Domino サーバーの電子メール クライアントと して Lotus Notes を使用している PGP Desktop ユーザーの場合。正し い設定方法については、電子メールの管理者に問い合わせてください 。 [サーバー設定] ダイアログ ボックスの一部のフィールドは、選択したサー バーの種類に応じて変わります。 メモ : If you are manually connecting to a PGP Universal Server に手動で 接続する場合は、「PGP Universal Server への手動バインド 『ページ : 351』」を参照してください。 7 [受信電子メール サーバー] に次の情報を入力します。 [名前] : 受信するメッセージを処理する電子メール サーバーの名前を 入力します。 [プロトコル] : 受信電子メール サーバーからメッセージを受け取る際 に使用するプロトコルを選択します。 [自動] (サーバーの種類が [インターネット メール] または [ PGP Universal Server] の場合に選択可能) を選択すると、POP 接続または IMAP 接続が自動的に検出されます。 [ポート] : [自動] (デフォルト) を使用するか、受信電子メール サーバ ーからメッセージを受信する際に接続するポート番号を指定します ( サーバーの種類が [インターネット メール] または [ PGP Universal Server] で、プロトコルが [自動] ではなく、[POP] または [IMAP] の場合)。 [SSL/TLS] : PGP Desktop が電子メール サーバーと通信する方法を指 定します。次のいずれかを選択します。 [自動] : できるだけ SSL/TLS 保護が使用されるように、次の手順 が実行されます。最初に代替ポートへの接続が試行されます。次 に、(サーバーでサポートされている場合は) STARTTLS が試行さ れます。どちらも失敗した場合は、最終的に、保護されない状態 でサーバーと接続します。 [STARTTLS が必要] : PGP Desktop は、STARTTLS コマンドへの 応答をサーバーに要求します。 [SSL が必要] : PGP Desktop は、指定した代替ポートへの SSL 接 続に応答するように、サーバーに要求します。 [実行しない] : PGP Desktop は、電子メール サーバーと接続する 際に SSL/TLS 保護を試行しません。 [電子メール クライアントが SSL/TLS を試行すると警告を表示] : こ のオプションを選択すると、電子メール クライアントが SSL/TLS を 試行した場合に (PGP Desktop による電子メールのプロキシ処理と互 換性がないため) 警告ダイアログが表示されます。(このオプションは デフォルトで選択されています)。 106 PGP Desktop for Windows 電子メールをセキュアにする 注意 : このオプションは、電子メール サーバーでSSLが確実にサポート されている場合にのみ有効にしてください。このオプションを有効にする と、接続をSSLで保護しようとしている間に問題が発生しても、保護され ていない接続を経由してメッセージが送受信されることがありません。 ただし、電子メール サーバーでSSLがサポートされていないにもかかわ らず、このオプションを有効にした場合は、PGP Desktopでメッセージ を一切送受信できなくなります。 送信電子メール サーバー (SMTP) [名前] : 送信メッセージを処理する電子メール サーバーの名前を入力 します。 [ポート] : [自動 (465, 25)] をそのまま使用するか、メッセージを送信 する際に接続する送信電子メール サーバーの別ポートを指定します 。 このオプションは、受信電子メール サーバーに対してこの設定を選択 できた場合にのみ、送信電子メール サーバーに対しても使用できます 。 [SSL/TLS] : PGP Desktop が電子メール サーバーと通信する方法を指 定します。次のいずれかを選択します。 [自動] : PGP Desktop では、できるだけ SSL/TLS 保護が使用され るように、以下の手順が実行されます。最初に代替ポートへの接 続が試行されます。次に、(サーバーでサポートされている場合 は) STARTTLS が試行されます。どちらも失敗した場合は、最終 的に、保護されない状態でサーバーと接続します。 [STARTTLS が必要] : PGP Desktop は、STARTTLS コマンドへの 応答をサーバーに要求します。 [SSL が必要] : PGP Desktop は、指定した代替ポートへの SSL 接 続に応答するように、サーバーに要求します。 [実行しない] : PGP Desktop は、電子メール サーバーと接続する 際に SSL/TLS 保護を試行しません。 [電子メール クライアントが SSL/TLS を試行すると警告を表示] : こ のオプションを選択すると、電子メール クライアントが SSL/TLS を 試行した場合に (PGP Desktop による電子メールのプロキシ処理と互 換性がないため) 警告ダイアログが表示されます。(このオプションは デフォルトで選択されています)。 107 PGP Desktop for Windows 電子メールをセキュアにする 注意 : このオプションは、電子メール サーバーでSSLが確実にサポート されている場合にのみ有効にしてください。このオプションを有効にする と、接続をSSLで保護しようとしている間に問題が発生しても、保護され ていない接続を経由してメッセージが送受信されることがありません。 ただし、電子メール サーバーでSSLがサポートされていないにもかかわ らず、このオプションを有効にした場合は、PGP Desktopでメッセージ を一切送受信できなくなります。 8 完了したら、[OK] をクリックします。 9 [Universal Server] フィールドで、ユーザーが所属する電子メール ドメイ ンを保護している PGP Universal Server の名前を選択します。ユーザーが PGP Universal Server で保護された電子メール ドメインに所属していない 場合は、[<なし>] と表示されます。所属しているドメインが PGP Universal Server で保護されているにもかからわずリストに表示されていな い場合は、[<作成>] を選択し、その PGP Universal Server の名前を入力し ます。詳細については、PGP Universal Server 管理者に確認してください 。 10 [鍵モード] をクリックします。[鍵管理モード] ダイアログ ボックスが開き 、現在の鍵モードが表示されます。必要に応じて、[鍵のリセット] をクリ ックします。これにより、鍵セットアップ アシスタントが起動します。 11 [OK] をクリックします。 12 [ユーザー名] フィールドに、電子メール アカウントに設定するユーザー名 を入力します。 13 [デフォルト鍵] フィールドに、現在の鍵が表示されます。 14 PGP Desktop をスタンドアロン製品として使用している場合は、デフ ォルト鍵をそのまま使用するか、別の鍵が使用できる場合は、メニュ ーから選択します。 PGP Universal Server で管理された環境で PGP Desktop を使用してい る場合は、デフォルト鍵が表示されます。この設定値は変更できませ ん。鍵を変更する必要がある場合は、[鍵モード] をクリックして、 PGP Universal Server 上の鍵をリセットする必要があります。 選択した鍵ペアのパスフレーズをログイン時にキャッシュする場合、[ログ イン時にこの鍵のパスフレーズをキャッシュする] チェック ボックスをオ ンにして有効にします。 鍵のパスフレーズをキャッシュしない場合は、署名されたメッセージの送 信時や暗号化されたメッセージの受信時に、パスフレーズを入力するため の指示が表示されます。 108 PGP Desktop for Windows 電子メールをセキュアにする 15 [[サーバー名] が指定したセキュリティ ポリシー] セクションには、ユー ザーに適用される現在のポリシーが表示されます。PGP Desktop をスタン ドアロン製品として使用している場合は、デフォルト セキュリティ ポリ シーをそのまま使用するか、デフォルト セキュリティ ポリシーを無効に するか、または新規ポリシーを追加できます。PGP Universal Server で管 理された環境で PGP Desktop を使用している場合は、PGP Universal 管理 者がどのように指定したかによって、選択するオプションが異なることが あります。 16 いずれかのポリシーを編集した場合は、最後に [完了] をクリックする必要 があります。それ以外の場合は、セキュリティ ポリシーの設定が完了した 時点で、アカウントの準備も完了します。ボタンをクリックして入力した 情報を保存する必要はありません。情報は入力した時点で保存されていま す。 メッセージング サービスのプロパティの編集 注意 : 既存のメッセージング サービスになんらかの変更を行う前には必ず 、電子メール クライアントを終了してください。 既存サービスのアカウントのプロパティを変更するには 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスを クリックします。[PGP メッセージング] コントロール ボックスがハイラ イトされます。 2 アカウント プロパティを編集する対象のサービスの名前をクリックします 。選択したサービスの設定が PGP メッセージング作業領域に表示されます 。 3 サービスのアカウント プロパティに任意の変更を行います。詳細について は、「新規メッセージング サービスの作成 『ページ : 105』」を参照し てください。 サービスを無効または有効にする サービスの使用を停止するが将来再びそのサービスを使用する可能性があるた め削除しない場合は、そのサービスを無効にできます。これは PGP Desktop で 特定のアカウントの電子メールだけを処理する場合に役立ちます。サービスが 今後必要ではないことが明らかな場合は、サービスを削除できます。 109 PGP Desktop for Windows 電子メールをセキュアにする 既存のサービスを無効または有効にするには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、無効にするサービスの 名前をクリックします。そのサービスの設定が PGP メッセージングの作業 領域に表示されます。 2 次のいずれか 1 つを実行します。 サービスを無効にするには、[メッセージング] > [サービスを無効にす る] を選択します。これでサービスが無効になります。 サービスを有効にするには、[メッセージング] > [サービスを有効にす る] を選択します。これでサービスが有効になります。 電子メール クライアントを再起動するまで変更は有効にならない場合があ るという警告が表示されます。 ヒント : サービスは、[PGP メッセージング] コントロール ボックスでそ の名前を右クリックして、ショートカット メニューから無効または有効 にしたり、削除したりできます。 サービスの削除 メッセージング サービスが今後必要ではないことが明らかな場合は、PGP Desktop からサービスを削除できます。 サービスを削除するには 1 削除するサービスの名前をクリックします。そのサービスの設定が PGP メ ッセージングの作業領域に表示されます。 2 [メッセージング] > [サービスの削除] を選択します。これでサービスが削 除されます。 ヒント : [PGP メッセージング] コントロール ボックスで名前を右クリッ クして、目的のコマンドを選択することによって、サービスを削除できま す。 複数のサービス 電子メール サービスやインターネット サービス プロバイダーによっては、1 つの DNS 名に対して複数の電子メール サーバーが使用される場合があります 。その結果、各電子メール サーバーが PGP Desktop で別のサーバーとして認 識され、それぞれに独自のメッセージング サービスが必要になるため、1 つの 電子メール アカウントに複数のメッセージング サービスが作成されることが あります。 110 PGP Desktop for Windows 電子メールをセキュアにする PGP Desktop には、*.yahoo.com や *.mac.com などの一般的な電子メール サ ービスに対するワイルドカード サポートが出荷時に設定されています。ただし 、一般的でない電子メール サービスを使用している場合や、電子メール サー ビス側で電子メール サーバーの構成が変更された場合は、上記の問題が発生す ることがあります。 1 つの電子メール アカウントに対して PGP Desktop で複数のサービスが作成さ れる場合、最初のサービスの電子メール サーバーが mail1.example.com、2 番 目のサービスの電子メール サーバーが mail2.example.com、3 番目の電子メ ール サーバーが mail3.example.com などとなっていること以外は設定が同 じであると確認できた場合、サービスの 1 つを手動で編集する必要があります 。 最も適切な解決方法は、サービスの 1 つに指定されている電子メール サーバー の名前にワイルド カードを追加して、複数の電子メール サーバーが含まれる ようにすることです。上記の例では、[サーバー設定] ダイアログ ボックスでい ずれかのサービスのサーバー名を「mail*.example.com」に手動で変更して から、その他のサービスを削除できます。 構成が複雑な場合は、これとは多少異なる解決方法が必要になることがありま す。たとえば、PGP Desktop が pop.frodo.example.com、 smtp.bilbo.example.com、mail.example.com という電子メール サーバーでサ ービスを作成した場合、最適なワイルドカードは *.example.com となります 。 PGP メッセージング サービスのトラブルシューティング デフォルトでは、電子メール アカウントの設定が自動的に PGP Desktop によ って行われ、その電子メール アカウントのメッセージングをプロキシする PGP メッセージング サービスが作成されます。 電子メール アカウントの設定および電子メール サーバーの構成には膨大な種 類の組み合わせがあり得るため、自動的に作成されるメッセージング サービス が正しく動作しないことがあります。 自動的に作成されたメッセージング サービスが正しく動作しない場合は、次の うち 1 つまたは複数の項目を実行することで問題を修正できることがあります 。 PGP サービスを停止した状態で、インターネットに接続でき、電子メール の送受信が可能であることを確認します。これには、次の操作を実行しま す。 Windows システムの場合、[PGP Desktop] トレイ アイコンを右クリ ックして、コマンド一覧から [PGP サービスの終了] を選択します。 Mac OS X システムの場合、オプション キーを押さえたまま、メニュ ー バーの [PGP Desktop] アイコンから [終了] を選択します。 111 PGP Desktop for Windows 電子メールをセキュアにする メモ : PGP サービスを開始または停止したら、必ず電子メール クライア ントを再起動してください。 PGP Desktop のリリース ノートを参照し、問題が既知のものでないかど うか確認します。 (電子メール クライアントの) 電子メール アカウントで、SMTP 認証が有 効になっていることを確認します。この設定は、PGP Desktop でメッセー ジングをプロキシする際に推奨されます。電子メール アカウントが 1 つし かなく、PGP Universal Server で管理された環境で PGP Desktop を使用し ていない場合、SMTP 認証は必要ありません。PGP Universal Server を SMTP サーバーとして使用する場合、または同じ SMTP サーバー上に複数 の電子メール アカウントがある場合は、SMTP 認証が必要です。 PGP ログを開いて、問題の原因を突き止めるために役立つエントリがない かどうか確認します。 電子メール クライアントで SSL/TSL が有効になっている場合、PGP Desktop でメッセージングをプロキシするには、電子メール クライアント 側で SSL/TSL を無効にする必要があります。(SSL/TLS を無効にしても、電 子メール サーバーとの接続が保護されないわけではありません。PGP Desktop ではデフォルトにより、保護されていない接続を SSL で保護され た接続にアップグレードする試みが自動的に実行されます。接続が保護さ れるためには、電子メール サーバーで SSL/TLS がサポートされている必要 があります。) ([サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で) [STARTTLS が必要] または [SSL が必要] のどちらかが指定されていると、電子メール サーバーで SSL/TLS がサポートされていない場合に、PGP Desktop でメッ セージの送受信ができなくなります。 電子メール アカウントに標準以外のポートが使用される場合、メッセージ ング サービスにそのポート番号が設定されていることを確認してください 。 PGP Desktop で 1 つの電子メール アカウントに対して複数のメッセージン グ サービスが作成される場合、電子メール サーバー名にワイルド カード を使用します。詳細については、「複数のサービス 『ページ : 110』」を 参照してください。 正しく動作していない PGP メッセージング サービスを削除して、電子メ ールを送受信してみます。メッセージング サービスが再度作成されます。 以上の方法をすべて試しても問題が解決しないときは、次の操作を実行してく ださい。 1 正しく動作しない PGP メッセージング サービスを削除します。 2 PGP Desktop のすべてのサービスを停止し、PGP Desktop が開いている場 合は終了します。サービスを停止するには、次の操作を実行します。 112 PGP Desktop for Windows 電子メールをセキュアにする Windows システムの場合、[PGP Desktop] トレイ アイコンを右クリ ックして、コマンド一覧から [PGP サービスの終了] を選択します。 Mac OS X システムの場合、オプション キーを押さえたまま、メニュ ー バーの [PGP Desktop] アイコンから [終了] を選択します。 3 PGP メッセージング サービスが停止した状態で、インターネットに接続 できて電子メールの送受信が可能であることを検証します。 4 電子メール クライアントを開いて、電子メール アカウントの設定 (ユー ザー名、電子メール アドレス、受信および送信電子メール サーバー、受 信電子メール サーバーのプロトコル、標準以外の電子メール サーバー ポ ート番号) を書き留めます。 5 電子メール クライアントを閉じて、PGP Desktop を再起動します。これ で PGP サービスが再起動されます。 Windows システムの場合、コンピューターを再起動するか、 Windows の [スタート] メニューから PGP Desktop を開きます。 Mac OS X システムの場合、コンピューターを再起動するか、PGP Desktop を開きます。 6 書き留めたアカウント設定を使用して、PGP メッセージング サービスを 手動で作成します。 7 電子メール クライアントを開いて、メッセージの送受信を実行します。 8 PGP メッセージング サービスにまだ問題がある場合は、次の場所で解決 法を探してください。 PGP Corporation の Web サイト 『http://www.pgp.com』 PGP サポートの Web サイト 『https://support.pgp.com』 PGP サポート フォーラム 『Error! Hyperlink reference not valid.』 新規セキュリティ ポリシーの作成 セキュリティ ポリシーは、送信する電子メール メッセージの処理方法を指示 するためのものです。 メモ : 新しいセキュリティ ポリシーを作成すると、メーリング リスト ポ リシーではなく、メッセージング セキュリティ ポリシーが作成されます。 新しいメーリング リスト ポリシーを作成することはできませんが、デフォ ルトのメーリング リスト ポリシーを編集できます。 113 PGP Desktop for Windows 電子メールをセキュアにする 新しいセキュリティ ポリシーを作成するには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、新しいセキュリティ ポ リシーを作成するサービスの名前をクリックします。サービス設定と、既 存のセキュリティ ポリシーのリストが、PGP メッセージングの作業領域 に表示されます。 2 次のいずれか 1 つを実行します。 [PGP メッセージング] コントロール ボックスの [新規ポリシー] をク リックします。 [メッセージング] > [新規メッセージング ポリシー] を選択します。[ メッセージ ポリシー] ダイアログ ボックスが表示されます。 所属している電子メール ドメインが PGP Universal Server によって保護さ れている場合、PGP Universal Server からのポリシーに対する [メッセージ ポリシー] 設定の各フィールドが、上記のフィールドと異なることがあり ます。 3 [説明] フィールドに、作成するポリシーの説明的な名前を入力します。 4 最初のセクション (ポリシー条件の記述) では、[条件] フィールドで、以下 のいずれかを選択します。 [If any (いずれかに一致する)]。下記の 5、6、7 で指定された条件のう ち、いずれかが満たされていると、ポリシーが適用されます。 [If all (すべてが一致する)]。下記の 5、6、7 で指定された条件のうち 、すべてが満たされている場合にのみ、ポリシーが適用されます。 [If none (どれも一致しない)]。下記の 5、6、7 で指定された条件のう ち、満たされるものが 1 つもない場合にのみ、ポリシーが適用されま す。 114 PGP Desktop for Windows 電子メールをセキュアにする 5 最初の条件フィールドで、以下のいずれかを選択します。 受信者。指定した受信者宛てのメッセージにのみポリシーが適用され ます。 受信者のドメイン。指定した受信者ドメインの電子メール メッセー ジにのみポリシーが適用されます。 送信者。指定した送信者アドレスのメッセージにのみポリシーが適用 されます。 メッセージ。指定した署名や暗号化の状態を持つメッセージにのみポ リシーが適用されます。 メッセージの件名。指定した件名のメッセージにのみポリシーが適用 されます。 メッセージのヘッダー。ヘッダーと条件を指定します。この条件を満 たすメッセージにのみポリシーが適用されます。次のセクションで説 明されている条件 (is、is not、contains など) は、メッセージのヘッ ダー を選択した時に表示されるテキスト ボックスに入力したテキス トに適用されることに注意してください。 メモ : MAPI 電子メール システム内でメッセージ ヘッダーを検索する場 合、件名、秘密度、優先度、および重要度のヘッダーのみを検索できます 。 6 メッセージの本文。指定した本文を持つメッセージにのみポリシーが 適用されます。 メッセージのサイズ。指定したサイズ(バイト単位)のメッセージにの みポリシーが適用されます。 メッセージの優先度。指定した優先度のメッセージにのみポリシーが 適用されます。 メッセージの秘密度。指定した秘密度のメッセージにのみポリシーが 適用されます。 2 番目の条件フィールドで、以下のいずれかを選択します。 [is (等しい)]。最初の条件フィールドの内容が、テキスト ボックスに 入力したテキストと一致する場合に、条件が満たされます。 [is not (等しくない)]。最初の条件フィールドの内容が、テキスト ボ ックスに入力したテキストと一致しない場合に、条件が満たされます 。 [contains (含む)]。最初の条件フィールドの内容に、テキスト ボック スに入力したテキストが含まれている場合に、条件が満たされます。 [does not contain (含まない)]。最初の条件フィールドの内容に、テ キスト ボックスに入力したテキストが含まれていない場合に、条件 が満たされます。 115 PGP Desktop for Windows 電子メールをセキュアにする 7 [begins with (で始まる)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストで始まる場合に、条件が満たされます。 [ends with (で終わる)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストで終わる場合に、条件が満たされます。 [matches pattern (パターンと一致)]。最初の条件フィールドの内容 が、テキスト ボックスに入力したパターンと一致する場合に、条件 が満たされます。 [より大きい] : メッセージのサイズがこのテキスト ボックスに入力し たテキストより大きい場合に条件が満たされます。 [より小さい] : メッセージのサイズがこのテキスト ボックスに入力 したテキストより小さい場合に条件が満たされます。 3 番目の条件フィールドで、次のいずれかを選択します。 [テキスト入力ボックス] : 一致条件のテキストを入力します。たとえ ば [メッセージ サイズ] で [より大きい] を選択した場合は、メッセ ージのサイズを示す数字を入力します。 [標準] : [メッセージの秘密度] で一致条件を [標準] にします。 [なし] または [標準] : [メッセージの秘密度] で一致条件を [なし] (Mac OS X システムの場合) または [標準] (Windows システムの場合) にします。 [個人] : [メッセージの秘密度] で一致条件を [個人] にします。 [秘密] : [メッセージの秘密度] で一致条件を [秘密] にします。 [機密] : [メッセージの秘密度] で一致条件を [機密] にします。 [署名付き] : [メッセージ] で一致条件を [署名付き] にします。 [暗号化] : [メッセージ] で一致条件を [暗号化] にします。 [鍵 ID に暗号化] : 一致条件を [鍵 ID に暗号化] にします (その場合、 表示されるテキスト ボックスに鍵 ID を入力する必要があります)。 [低] : [メッセージの優先度] で一致条件を [低] にします。 [標準] : [メッセージの優先度] で一致条件を [標準] にします。 [高] : [メッセージの優先度] で一致条件を [高] にします。 追加の条件行を 作成するには、プラス記号のアイコンをクリックします。 8 [メッセージに実行するアクション] セクションの最初のアクション フィー ルドで、次のいずれかを選択します。 [Send In Clear (クリア テキストで送信)]。署名も暗号化もされてい ないクリア テキストでメッセージを送信します。 [署名]。メッセージに署名をします。 [Encrypt to (暗号化の対象)]。メッセージを暗号化します。 116 PGP Desktop for Windows 電子メールをセキュアにする 9 2 番目のアクション フィールドで、以下のいずれかを選択します。 検証された受信者の鍵。すでに検証された受信者の公開鍵を使ってメ ッセージを暗号化します。 検証されていない受信者の鍵。検証されていない受信者の公開鍵でも 暗号化を可能にします。検証済みの鍵が利用可能な場合は、その鍵で も暗号化されます。 検証された受信者の終端間鍵。すでに検証された受信者の終端間鍵を 使ってメッセージを暗号化します。エンド ツー エンド鍵は個々の受 信者の専有となる鍵です。PGP Universal で管理された環境では、こ れはクライアント鍵モード (CKM) の鍵であり、PGP Universal Server で鍵が保管されるサーバー鍵モード (SKM) の鍵とは異なります。 鍵が終端間鍵であるかどうかは、Windows システムの場合は [Key Properties (鍵のプロパティ)] ダイアログ ボックスに、Mac OS X シス テムの場合は [Key Info (鍵情報)] ダイアログ ボックスにある [Group ( グループ)] フィールドに表示されています。いいえ と表示されている 場合は終端間鍵であり(グループの一部ではありません)、はい と表示さ れている場合は終端間鍵ではありません。 検証されていない受信者の終端間鍵。検証されていない受信者の終端 間鍵でも暗号化を可能にします。検証済みの鍵が利用可能な場合は、 その鍵でも暗号化されます。 鍵のリスト。リストに含まれている公開鍵を使ってメッセージを暗号 化します。 アクション行を追加するには、プラス記号のアイコンをクリックします。 10 [優先するエンコード方式] フィールドで、以下のいずれかを選択します。 [automatic (自動)]。メッセージのエンコーディング方式を PGP Desktop が自動的に選択します。他のエンコーディング方式を使用す る必要がある場合を除いて、通常はこのオプションを使用することを お勧めします。 [PGP パーティション]。メッセージ エンコーディング方式として PGP パーティションを使用します。この方式は、旧バージョンの PGP およ び OpenPGP 製品との互換性に優れています。 [PGP/MIME]。メッセージ エンコーディング方式として PGP/MIME を使用します。PGP/MIME は、添付ファイルを含めメッセージ全体の 暗号化と署名を一括して行うため、すばやく忠実にメッセージを再現 できます。 [S/MIME]。メッセージ エンコーディング方式として S/MIME を使用 します。ユーザーが PGP 鍵を持っている場合でも、何らかの理由でメ ッセージを S/MIME にする必要がある場合、S/MIME を選択します。 117 PGP Desktop for Windows 電子メールをセキュアにする 11 12 13 [受信者の鍵がない場合] セクション (Mac OS X システムの場合は [受信者 の鍵が見つからない場合] セクション) の最初の [鍵が見つからない場合] フィールドで、次のいずれかを選択します。 [keys.domain の検索] : keys.domain のほか、指定した別のサーバー の両方が含まれる検索を指定します。 [検索] : 受信者の公開鍵がローカルの鍵リングで見つからないときに 、検索を行います。 [クリア署名メッセージ] : 署名付きのクリア テキストでメッセージを 送信します。 [メッセージをセキュアでないまま送信] : メッセージをクリア テキス トで送信します。 [メッセージをブロックする] : 鍵が見つからないときは、メッセージ を送信しないように指定します。 2 番目の [鍵が見つからない場合] フィールドで、以下のいずれかを選択し ます。 [All keyservers (すべての鍵サーバー)]。PGP Global Directory を含む すべての鍵サーバーで受信者の公開鍵を検索します。 [PGP Global Directory または keyserver.pgp.com]。PGP Global Directory のみを検索します。 [configured keyservers(指定した鍵サーバー)]。現在設定されている 鍵サーバーのうち、選択した鍵サーバーでのみ受信者の公開鍵を検索 します。なお、検証された受信者の公開鍵のみを検索するようポリシ ーで設定していても、PGP Global Directory 以外の鍵サーバーでは、 使用できない未検証鍵が検索結果に表示されることがあります。特定 の鍵サーバーを検索する必要があり、かつ必要に応じて手動で受信者 の公開鍵を見つけ検証できる場合を除き、PGP Global Directory のみ を検索するようにしてください。このオプションは Windows システ ムでのみ使用できます。 [Edit Keyserver List (鍵サーバー リストの編集)]。現在設定されてい るリストに鍵サーバーを追加できます。このオプションは Windows システムでのみ使用できます。 最後の [鍵が見つからない場合] フィールドで、以下のいずれかを選択しま す。 [temporarily cache found keys (見つかった鍵を一時的にキャッシュ する)]。このオプションを使用すると、見つかった受信者の公開鍵が 一時的にメモリに保存されます。このキャッシュ内の受信者の公開鍵 は、署名されたメッセージを検証する際に自動的に使用され、検証済 みの受信者の公開鍵であれば暗号化にも使用されます。 118 PGP Desktop for Windows 電子メールをセキュアにする 14 15 [ask to save found keys (見つかった鍵を保存するかどうか尋ねる)] 。見つかった受信者の公開鍵をローカルの鍵リングに保存するかどう かを尋ねるように指定します。 [save found keys (見つかった鍵を保存する)]。見つかった受信者の公 開鍵がローカルの鍵リングに自動的に保存されます。 [結果がない場合] フィールドで、以下のいずれかを選択します。 [クリア署名メッセージ] : 暗号化鍵が見つからなかったときに、署名 したメッセージをクリア テキストで送信します。 [メッセージをセキュアでないまま送信] : メッセージを暗号化しませ ん。 [メッセージをブロックする] : 暗号化鍵が見つからないときは、メッ セージは送信されません。 ポリシー設定が完了したら、[OK] をクリックします。セキュリティ ポリ シーのリストに新しいポリシーが表示されます。 ポリシーでの正規表現 PGP Desktop では、セキュリティ ポリシーのテキスト入力ボックスで、正規表 現の使用をサポートしています。正規表現を使用すると、1 つのテキスト文字 列を使用して複数のテキスト文字列を一致させることができます。 メモ : 次の例に加えて、PGP Desktop は、標準形式で使用できる広範な正規 表現もサポートしています。「一致パターン」条件は、実際には「正規表現と の一致」を意味します。 メール ポリシー ルール条件では、電子メールの一部がパターンに一致する必 要があります。条件のパターンは、「正規表現との一致」の形式になります。正 規表現は、一致する用語の形式を示す文字列です。正規表現の形式に適合する 用語は一致です。 正規表現の共通要素 : ? 前回の表現が一つあるか、まったくないことを示します + 前回の表現が最低一つあることを示します . 1 文字と一致します * 前回の表現がまったくないか、一つまたは任意の数あることを示 します [ ] 括弧内に含まれる 1 文字と一致します [a-z] A ~ Z の文字の小文字に一致します [1-9] 1 ~ 9 の数字に一致します 119 PGP Desktop for Windows 電子メールをセキュアにする 表現が正確に n 一致するシーケンス {n} 次は、電子メールの機密メッセージに表示される共通項目に一致する正規表現 の例です。 データ 例 通常の表現 電話番号 (555)555-4567 \(?[2-9][0-9]{2}[\]-.)[2-9][0 -9]{2}[-.][0-9]{4} 電子メール アドレス [email protected] [a-zA-Z0-9._%-]+@[a-zAZ0-9.-]+\.[a-zA-Z]{2,6} クレジットカードの番 号 1234 1234 1234 1234 [1-9][0-9]{3} ?[0-9]{4} ?[0-9]{4} ?[0-9]{4} 社会保障番号 123-45-6789 [0-9]{3}-[0-9]{2}-[0-9]{4} 市町村、県の略語 Palo Alto, CA .*, [A-Z][A-Z] 2 桁の州の略語 CA [A-Z][A-Z] 郵便番号 12345 [0-9]{5}(-[0-9]{4})? ドル金額、$ 記号が先 頭 $3.95 \$[0-9]+.[0-9][0-9] 日付、数字 2003-08-06 [0-9]{4}-[0-9]{2}-[0-9]{2} Jan 3, 2003 (Jan|Feb|Mar|Apr|May|J un|Jul|Aug|Sep|Oct|Nov| Dec)\.?(3[0-1]|[1-2][0-9]| 0?[0-9]), [0-9]{4} HTTP URL http://www.example.com https?://(([012][0-9]{0,2}\ .){3}[012][0-9]{0,2}|([a-zA -Z0-9]+\.)+[a-zA-Z0-9]{2, 6})(/.*)? IP アドレス 123.123.123.123 ([012][0-9]{0,2}\.){3}[012] [0-9]{0,2} 日付、英数字 ^$ 空白行 セキュリティ ポリシーの情報と例 サービスを作成すると、いくつかのデフォルト セキュリティ ポリシーが自動 的に追加されます。 「暗号化が必要 : [PGP] 社外秘 署名/暗号化ボタン* 署名ボタン* 120 PGP Desktop for Windows 電子メールをセキュアにする 暗号化ボタン* メーリング リストの管理要求 メーリング リストへの送信 [暗号化できない場合はクリア テキストで送信] : * これらのポリシーは PGP Desktop for Windows でのみ使用できます。 デフォルト ポリシー ルールの順序は重要です。順序が正確に前述のとおりに なるようにしてください。 このセクションでは、デフォルト セキュリティ ポリシーの仕組みについて説 明します。また、セキュリティ ポリシーの作成が推奨される状況の例を 2 つ示 し、その構成方法も説明します。 メモ : デフォルトのポリシーに変更を加えた後でデフォルトの設定を復元す るには、[メッセージ ポリシー] ダイアログ ボックスで、[デフォルトに戻す ] (Windows システムの場合)、または [戻す] (Mac OS X システムの場合) をク リックします。 暗号化ボタン デフォルト ポリシー 暗号化ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサービスを自動的に追加します。このデフォルトのポリシーの設定は、次の とおりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Encrypt-Button」には「selected (選択 )」が含まれます。 アクション : 検証された受信者の鍵での暗号化 優先するエンコード方式 :[自動] 受信者の鍵がない場合 :検索 : [keys.domain] および [keyserver.pgp.com] および [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このルールはデフォル ト ポリシーのリストに 4 番目に表示されます。 メモ : PGP Desktop for Windows バージョン 9.x からアップグレードした場合、このポリシーは自動 的には含まれず、手動で上記の設定でポリシーを作成する必要があります。 新規ポリシーの作成方法の詳細については、「新規セキュリティ ポリシーの 作成 『ページ : 113』」を参照してください。Microsoft Outlook で [暗号化 ] ボタンを使用しない場合、このポリシーを作成する必要はありません。 121 PGP Desktop for Windows 電子メールをセキュアにする 「メーリング リストの管理要求」デフォルト ポリシー 「メーリング リストの管理要求」はデフォルトのセキュリティ ポリシーの 1 つ で、サービスに自動的に追加されます。 このデフォルトのポリシーの設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者] / [が次のパターンと一致] / [.*-subscribe@.*], [.*-unsubscribe@.*], [.*-report@.*], [.*-request@.*], [.*-bounce@.*], アクション : [クリア テキストで送信] このルールはデフォルト ポリシーのリ ストに 5 番目に表示されます。 「メーリング リストへの送信」デフォルト ポリシー 「メーリング リストへの送信」はデフォルトのセキュリティ ポリシーの 1 つで 、サービスに自動的に追加されます。 このデフォルトのポリシーの設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者] / [が次のパターンと一致] / [.*-users@.*], [.*-bugs@.*], [.*-docs@.*], [.*-help@.*], [.*-news@.*], [.*-digest@.*], [.*-list@.*], [.*-devel@.*], [.*-announce@.*], アクション : [署名] 優先するエンコード方式 : [PGP パーティション] このルールはデフォルト ポリ シーのリストに 6 番目に表示されます。 「暗号化できない場合はクリア テキストで送信」デフォルト ポリシー 「暗号化できない場合はクリア テキストで送信」はデフォルトのセキュリティ ポリシーの 1 つで、サービスに自動的に追加されます。このデフォルトのポリ シーの設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [*] アクション : [署名] / [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [keyserver.pgp.com] / [見つかった鍵を一時的にキャッシュする] 122 PGP Desktop for Windows 電子メールをセキュアにする 鍵が見つからない場合 : [メッセージをセキュアでないまま送信] このルールは デフォルト ポリシーのリストに 7 番目 (最後) に表示されます。 「暗号化でき ない場合はクリア テキストで送信」を使用すると、検証済みの鍵が見つかった メッセージは署名および暗号化されて送信されます。検証済みの鍵が見つから ないメッセージは、暗号化されずに (クリア テキストで) 配信されます。これ によって、すべてのメッセージが必ず送信されますが、メッセージによっては クリア テキストで送信されるものもあります。 このポリシーは、送信されるすべてのメッセージと一致するため、必ずセキュ リティ ポリシーのリストの最後に配置してください。別のポリシーが下にある と PGP Desktop ではそのポリシーに到達できないため無視されてしまいます。 「暗号化が必要 : [PGP] 機密」デフォルト ポリシー 「暗号化が必要 : 「[PGP] 機密」はデフォルトのセキュリティ ポリシーの 1 つ で、サービスに自動的に追加されます。このデフォルトのポリシーの設定は、 次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [メッセージの件名] / [が次を含む] / [PGP] [メッセージの秘密度] / [が次と等しい] / [機密] アクション : [署名] / [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [すべての鍵 サーバー] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このルールはポリシーの リストの最初に表示されます。 「暗号化が必要 : [PGP] 機密」を使用すると、 件名に [PGP] が含まれているメッセージや、電子メール クライアントで機密 とマークされているメッセージを送信する際に、検証済みの鍵による暗号化が 要求されます。検証済みの鍵が見つからない場合、メッセージは送信されませ ん。 署名 + 暗号化ボタン デフォルト ポリシー 暗号化ボタンと署名ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサービスを自動的に追加します。このデフォルトのポリシーの 設定は、次のとおりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Sign-Button」には「selected (選択) 」が含まれます。メッセージ ヘッダー「X-PGP-Encrypt-Button」には「 selected (選択)」が含まれます アクション : 署名、検証された受信者の鍵での暗号化 123 PGP Desktop for Windows 電子メールをセキュアにする 優先するエンコード方式 :[自動] 受信者の鍵がない場合 :検索 : [keys.domain] および [keyserver.pgp.com] および [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このルールはデフォル ト ポリシーのリストに 2 番目に表示されます。 メモ : PGP Desktop for Windows バージョン 9.x からアップグレードした場合、このポリシーは自動 的には含まれず、手動で上記の設定でポリシーを作成する必要があります。 新規ポリシーの作成方法の詳細については、「新規セキュリティ ポリシーの 作成 『ページ : 113』」を参照してください。Microsoft Outlook で [暗号化 ] ボタンを使用しない場合、このポリシーを作成する必要はありません。 署名ボタン デフォルト ポリシー 署名ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop が サービスを自動的に追加します。このデフォルトのポリシーの設定は、次のと おりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Sign-Button」には「selected (選択) 」が含まれます。 アクション : [署名] 優先するエンコード方式 :[自動] このルールはデフォルト ポリシーのリストに 3 番目に表示されます。 メモ : PGP Desktop for Windows バージョン 9.x からアップグレードした場 合、このポリシーは自動的には含まれず、手動で上記の設定でポリシーを作 成する必要があります。新規ポリシーの作成方法の詳細については、「新規セ キュリティ ポリシーの作成 『ページ : 113』」を参照してください。 Microsoft Outlook で [暗号化] ボタンを使用しない場合、このポリシーを作 成する必要はありません。 暗号化が必要な <ドメイン> 用のポリシーの例 「暗号化できない場合はクリアテキストで送信」をデフォルト設定で使用して、 ポリシーのリストの最後に配置すると、検証済みの鍵が見つからないメッセー ジはクリア テキストで配信されます。これによってすべてのメッセージが必ず 送信されますが、中にはクリア テキストで送信されるものもあります。 124 PGP Desktop for Windows 電子メールをセキュアにする クリア テキストを送信してはならないドメインがある場合は、暗号化または署 名を試行した結果、いずれもできなかった場合にメッセージを送信しないとい うセキュリティ ポリシーを作成できます。このポリシーを作成するときは、こ のポリシーがリスト内で「暗号化できない場合はクリア テキストで送信」より も上にあることを確認してください。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [example.com] アクション : [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [すべての鍵 サーバー] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このセキュリティ ポリシーは、「暗号化が必要 : [PGP] 機密」と似ており、メ ッセージが暗号化されていないと送信されません。ただし、条件はメッセージ が機密とマークされているかどうかではなく、受信者の電子メール ドメインが example.com であることです。このポリシーを使用すると、example.com へ送 信されるメッセージはすべて検証済みの鍵で暗号化されます。暗号化されない 場合は、送信されません。 特定のドメイン宛てに署名してクリア テキストで送信するポリシーの例 特定のドメイン宛に、署名のみされ、暗号化はされていないメッセージを頻繁 に送る場合、そのドメイン用のポリシーを作成することを推奨します。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [example.com] アクション : [署名] 優先するエンコード方式 : [自動] セキュリティ ポリシーのリストの使用 セキュリティ ポリシーのリストでは、ポリシーの編集、新規ポリシーの追加 ( 「新規セキュリティ ポリシーの作成 『ページ : 113』」で説明)、ポリシーの 削除、リスト内のポリシーの順序変更など、セキュリティ ポリシーに対して重 要ないくつかの操作ができます。 125 PGP Desktop for Windows 電子メールをセキュアにする セキュリティ ポリシーの編集 既存のセキュリティ ポリシーを編集するには、次の手順に従います。 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスを クリックします。[PGP メッセージング] コントロール ボックスがハイラ イトされます。 2 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー を編集するサービスの名前をクリックします。選択したサービスのプロパ ティが PGP メッセージングの作業領域に表示されます。 3 [ポリシーの編集] をクリックします。 4 編集するセキュリティ ポリシーを選択し、次のいずれか 1 つを行います。 ポリシーを編集するには、[ポリシーの編集] をクリックします。[メ ッセージ ポリシー] ダイアログ ボックスが表示され、選択したポリ シーの現在の設定が表示されます。ポリシーに変更を加えます。[メッ セージ ポリシー] ダイアログ ボックスにあるフィールドの詳細につ いては、「新規セキュリティ ポリシーの作成 『ページ : 113』」を 参照してください。必要な変更を加えたら、[OK] をクリックして [メ ッセージ ポリシー] ダイアログ ボックスを閉じます。選択したセキ ュリティ ポリシーが変更されます。 ポリシーを削除するには、[ポリシーの削除] をクリックします。 ポリシーのコピーを作成 (新しいポリシーの基準として使用) するに は、[ポリシーの複製] をクリックします。 ポリシーをリスト内の上下に移動するには (ポリシーが適用される順 序の変更)、[上へ移動] または [下へ移動] をクリックします。 デフォルトのポリシーは表示や変更を行ったり、無効にしたりできますが 、削除はできません。 5 [完了] をクリックします。 メーリング リスト ポリシーの編集 デフォルトのメーリング リスト ポリシーを編集するには 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスを クリックします。[PGP メッセージング] コントロール ボックスがハイラ イトされます。 126 PGP Desktop for Windows 電子メールをセキュアにする 2 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー を編集するサービスの名前をクリックします。選択したサービスのプロパ ティが PGP メッセージングの作業領域に表示されます。 3 [ポリシーの編集] ボタンをクリックします。 4 セキュリティ ポリシーのリストで、編集するメーリング リスト ポリシー をクリックします。選択したポリシーがハイライトされます。 5 [ポリシーの編集] をクリックします。[メッセージ ポリシー] ダイアログ ボックスが表示され、選択したポリシーの現在の設定が表示されます。 デフォルトのポリシーは表示や変更を行ったり、無効にしたりできますが 、削除はできません。 6 7 ポリシーに変更を加えます。最初のフィールドで、以下のいずれかを選択 します。 [If any (いずれかに一致する)]。下記の 5、6、7 で指定された条件のう ち、いずれかが満たされていると、ポリシーが適用されます。 [If all (すべてが一致する)]。下記の 5、6、7 で指定された条件のうち 、すべてが満たされている場合にのみ、ポリシーが適用されます。 [If none (どれも一致しない)]。下記の 5、6、7 で指定された条件のう ち、満たされるものが 1 つもない場合にのみ、ポリシーが適用されま す。 最初の条件フィールドで、以下のいずれかを選択します。 受信者。指定した受信者宛てのメッセージにのみポリシーが適用され ます。 127 PGP Desktop for Windows 電子メールをセキュアにする 受信者のドメイン。指定した受信者ドメインの電子メール メッセー ジにのみポリシーが適用されます。 送信者。指定した送信者アドレスのメッセージにのみポリシーが適用 されます。 メッセージ。指定した署名や暗号化の状態を持つメッセージにのみポ リシーが適用されます。 メッセージの件名。指定した件名のメッセージにのみポリシーが適用 されます。 メッセージのヘッダー。ヘッダーと条件を指定します。この条件を満 たすメッセージにのみポリシーが適用されます。次のセクションで説 明されている条件 (is、is not、contains など) は、メッセージのヘッ ダー を選択した時に表示されるテキスト ボックスに入力したテキス トに適用されることに注意してください。 メモ : Lotus Notes と MAPI では電子メール システムのメッセージにヘッ ダーが含まれていないので、この 2 つのシステムでメッセージ ヘッダー を検索することはできません。 8 メッセージの本文。指定した本文を持つメッセージにのみポリシーが 適用されます。 メッセージのサイズ。指定したサイズ(バイト単位)のメッセージにの みポリシーが適用されます。 メッセージの優先度。指定した優先度のメッセージにのみポリシーが 適用されます。 メッセージの秘密度。指定した秘密度のメッセージにのみポリシーが 適用されます。 2 番目の条件フィールドで、以下のいずれかを選択します。 [is (等しい)]。最初の条件フィールドの内容が、テキスト ボックスに 入力したテキストと一致する場合に、条件が満たされます。 [is not (等しくない)]。最初の条件フィールドの内容が、テキスト ボ ックスに入力したテキストと一致しない場合に、条件が満たされます 。 [contains (含む)]。最初の条件フィールドの内容に、テキスト ボック スに入力したテキストが含まれている場合に、条件が満たされます。 [does not contain (含まない)]。最初の条件フィールドの内容に、テ キスト ボックスに入力したテキストが含まれていない場合に、条件 が満たされます。 [begins with (で始まる)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストで始まる場合に、条件が満たされます。 [ends with (で終わる)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストで終わる場合に、条件が満たされます。 128 PGP Desktop for Windows 電子メールをセキュアにする [matches pattern (パターンと一致)]。最初の条件フィールドの内容 が、テキスト ボックスに入力したパターンと一致する場合に、条件 が満たされます。 9 3 番目の条件フィールドのテキスト入力ボックスに、条件となるテキスト を入力します。 10 [メッセージに以下のアクションを実行します] セクションの最初のアクシ ョン フィールドで、以下のいずれかを選択します。 11 [Send In Clear (クリア テキストで送信)]。署名も暗号化もされてい ないクリア テキストでメッセージを送信します。 [署名]。メッセージに署名をします。 [Encrypt to (暗号化の対象)]。メッセージを暗号化します。 2 番目のアクション フィールドで、以下のいずれかを選択します。 検証された受信者の鍵。すでに検証された受信者の公開鍵を使ってメ ッセージを暗号化します。 検証されていない受信者の鍵。検証されていない受信者の公開鍵でも 暗号化を可能にします。 検証された受信者の終端間鍵。すでに検証された受信者の終端間鍵を使 ってメッセージを暗号化します。終端間鍵は個々の受信者の専有となる 鍵です。PGP Universal によって管理されている環境では、PGP Universal Server が鍵を保有するサーバー鍵モードとは異なり、これは クライアント鍵モードに当たります。 鍵が終端間鍵であるかどうかは、Windows システムの場合は [Key Properties (鍵のプロパティ)] ダイアログ ボックスに、Mac OS X シス テムの場合は [Key Info (鍵情報)] ダイアログ ボックスにある [Group ( グループ)] フィールドに表示されています。いいえ と表示されている 場合は終端間鍵であり(グループの一部ではありません)、はい と表示さ れている場合は終端間鍵ではありません。 12 検証されていない受信者の終端間鍵。検証されていない受信者の終端 間鍵でも暗号化を可能にします。 鍵のリスト。リストに含まれている公開鍵を使ってメッセージを暗号 化します。 [エンコードの選択] フィールドで、以下のいずれかを選択します。 [automatic (自動)]。メッセージのエンコーディング方式を PGP Desktop が自動的に選択します。他のエンコーディング方式を使用す る必要がある場合を除いて、通常はこのオプションを使用することを お勧めします。 [PGP パーティション]。メッセージ エンコーディング方式として PGP パーティションを使用します。この方式は、旧バージョンの PGP およ び OpenPGP 製品との互換性に優れています。 129 PGP Desktop for Windows 電子メールをセキュアにする 13 14 15 [PGP/MIME]。メッセージ エンコーディング方式として PGP/MIME を使用します。PGP/MIME は、添付ファイルを含めメッセージ全体の 暗号化と署名を一括して行うため、すばやく忠実にメッセージを再現 できます。 [S/MIME]。メッセージ エンコーディング方式として S/MIME を使用 します。ユーザーが PGP 鍵を持っている場合でも、何らかの理由でメ ッセージを S/MIME にする必要がある場合、S/MIME を選択します。 [Recipient's key is not available(受信者鍵が使用できません セクション の最初の 受信者の鍵が見つからない場合 フィールドで、以下のいずれか を選択します。 keys.domain の検索 : keys.domain のほか、指定した別のサーバーの 両方が含まれる検索を指定します。 [検索]。受信者の公開鍵がローカルの鍵リングで見つからないときに 、検索を行います。 クリア テキスト署名メッセージ :署名付きのクリア テキストでメッ セージを送信します。 セキュリティで保護されていないメッセージの送信 :メッセージをク リア テキストで送信します。 メッセージをブロックする :鍵が見つからないときは、メッセージを 送信しないように指定します。 2 番目の [受信者の鍵が見つからない場合] フィールドで、以下のいずれか を選択します。 [All keyservers (すべての鍵サーバー)]。PGP Global Directory を含む すべての鍵サーバーで受信者の公開鍵を検索します。 [PGP Global Directory または keyserver.pgp.com]。PGP Global Directory のみを検索します。 [configured keyservers(指定した鍵サーバー)]。現在設定されている 鍵サーバーのうち、選択した鍵サーバー上でのみ受信者の公開鍵を検 索します。なお、検証された受信者の公開鍵のみを検索するようポリ シーで設定していても、PGP Global Directory 以外の鍵サーバーでは 、使用できない未検証鍵が検索結果に表示されることがあります。特 定の鍵サーバーを検索する必要があり、かつ必要に応じて手動で受信 者の公開鍵を見つけ検証できる場合を除き、PGP Global Directory の みを検索するようにしてください。このオプションは Windows シス テムでのみ使用できます。 [Edit Keyserver List (鍵サーバー リストの編集)]。現在設定されてい るリストに鍵サーバーを追加できます。このオプションは Windows システムでのみ使用できます。 最後の [受信者の鍵が見つからない場合] フィールドで、以下のいずれかを 選択します。 130 PGP Desktop for Windows 電子メールをセキュアにする 16 17 [temporarily cache found keys (見つかった鍵を一時的にキャッシュ する)]。このオプションを使用すると、見つかった受信者の公開鍵が 一時的にメモリに保存されます。このキャッシュ内の受信者の公開鍵 は、署名されたメッセージを検証する際に自動的に使用され、検証済 みの受信者の公開鍵であれば暗号化にも使用されます。 [ask to save found keys (見つかった鍵を保存するかどうか尋ねる)] 。見つかった受信者の公開鍵をローカルの鍵リングに保存するかどう かを尋ねるように指定します。 [save found keys (見つかった鍵を保存する)]。見つかった受信者の公 開鍵がローカルの鍵リングに自動的に保存されます。 [結果がない場合] フィールドで、以下のいずれかを選択します。 クリア テキスト署名メッセージ :暗号化鍵が見つからなかったときに 、署名したメッセージをクリア テキストで送信します。 セキュリティで保護されていないメッセージの送信 :メッセージを暗 号化しません。 メッセージをブロックする :暗号化鍵が見つからないときは、メッセ ージは送信されません。 必要な変更を加えたら、[OK] をクリックして [メッセージ ポリシー] ダイ アログ ボックスを閉じます。選択したセキュリティ ポリシーが変更され ます。 セキュリティ ポリシーの削除 既存のセキュリティ ポリシーを削除するには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー を削除するサービスの名前をクリックします。選択したサービスのプロパ ティが PGP メッセージングの作業領域に表示されます。 2 [ポリシーの編集] をクリックします。 3 セキュリティ ポリシーのリストで、削除するポリシーをクリックします。 選択したポリシーがハイライトされます。 4 [ポリシーの削除] をクリックします。PGP Desktop の確認ダイアログ ボ ックスが表示されます。 5 [ポリシーの削除] をクリックしてポリシーを削除するか、[OK] をクリック してポリシーを無効にします。指定したセキュリティ ポリシーが削除され るか、無効になります。 6 [完了] をクリックします。 メモ : デフォルトのポリシーは無効にできますが、削除はできません。 131 PGP Desktop for Windows 電子メールをセキュアにする リスト内でのポリシーの順序変更 セキュリティ ポリシーのリストでポリシーの順序を変更するには 1 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー の順序を変更するサービスの名前をクリックします。選択したサービスの プロパティが PGP メッセージングの作業領域に表示されます。 2 [ポリシーの編集] をクリックします。 3 セキュリティ ポリシーのリストで、順序を変更するポリシーをクリックし ます。選択したポリシーがハイライトされます。 4 ポリシーがリスト内の目的の場所に移動するまで [上へ移動] または [下へ 移動] をクリックします。 [暗号化できない場合はクリア テキストで送信] は、常にリストの一番下に置いてください。その下にあるポリシーが実装 されなくなります。 5 [完了] をクリックします。 PGP Desktop と SSL PGP Desktop は、可能な限りデータを自動的に保護するように設計されていま す。電子メール クライアントと電子メール サーバーの間で交換されるデータ も保護の対象となります。 ヒント : SSL は Secure Sockets Layer (セキュア ソケット レイヤー) の略で あり、2 つのデバイス間の通信 (ここでは、電子メール クライアントまたは PGP Desktop と電子メール サーバーとの間) をセキュアにするための暗号プ ロトコルです。 電子メール サーバーとの間で送受信されるデータは、状況に応じてさまざまな 方法で保護されます。次の情報は、[サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で [自動] (デフォルト) を選択した場合にのみ当てはまります 。 接続が SSL で保護されていない場合 : 電子メール クライアントと電子メ ール サーバーとの間の接続が SSL で保護されていない場合、PGP Desktop では自動的にその接続の SSL へのアップグレードが試行されます (電子メ ール サーバーとのネゴシエーションが行われ、電子メール サーバーで SSL がサポートされている場合は接続がアップグレードされます)。 132 PGP Desktop for Windows 電子メールをセキュアにする 電子メール サーバーで SSL がサポートされていない場合、セッション中に PGP Desktop によって送受信されるメッセージは、保護されていない接続 を経由します。メッセージが PGP Desktop で暗号化または復号化されるか どうかにかかわらず、接続のアップグレードが試行されます。また、PGP Desktop によって暗号化されたメッセージは、SSL で保護されている接続 でも、SSL で保護されていない接続でも送受信できます。 メモ : PGP Desktop では、電子メール サーバーへの保護されていない接 続が SSL にアップグレードされるよう常に試行されます。その理由は、 SSL で保護されている接続では、PGP で暗号化されていないメッセージ を電子メール サーバーとの間で送受信する際にそのメッセージが保護さ れるだけでなく、電子メール サーバーの認証パスフレーズも電子メール サーバーに送信される際に保護されるからです。 接続が SSL で保護されている場合 : 電子メール サーバーとの接続に SSL を使用するように電子メール クライアントが設定されている場合、PGP Desktop でメッセージの暗号化または復号化を行うには、電子メール クラ イアント側で SSL の使用を無効にする必要があります。メッセージが SSL で既に保護されていると処理できません。 電子メール クライアントで SSL 保護を無効にしても、PGP によって暗号 化されていないメッセージを電子メール サーバーとの間で送受信する際に そのメッセージが保護されなくなるわけではありません。SSL で保護され ていない他の接続と同様、電子メール サーバーで SSL による保護がサポー トされていれば、PGP Desktop でも SSL で保護された接続へのアップグレ ードが自動的に試行されます ([サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で [自動] を選択した場合)。電子メール サーバーで SSL 接続がサポートされていない場合は、セッション中に PGP Desktop によっ て送受信されるメッセージは、保護されていない接続を経由します。 つまり、メッセージが保護されていない状態で電子メール サーバーに送信 される唯一の場合は、メッセージが PGP で暗号化されておらず、かつ電子 メール サーバーへの接続が SSL で保護された接続にアップグレードできな い場合、または SSL/TLS の設定で [試行を禁止] オプションを選択している 場合のみです。 クリア テキストでメッセージを送信してはならない場合 : 組織のセキュ リティ方針によっては、保護されたメッセージしか送信されないようにす る (保護されていないメッセージは決して送信してはならない) ことが要求 される場合があります。必要に応じて、このような要件を満たすように PGP Desktop を構成できます。 該当する PGP メッセージング サービスを選択し、(そのサービスのアカウ ントのプロパティにある [サーバー] フィールドに現在指定されている名前 をクリックして) [サーバー設定] ダイアログ ボックスを開き、[SSL/TLS] リストから [自動] 以外のオプションを選択します。 133 PGP Desktop for Windows 電子メールをセキュアにする このオプションを有効にすると、PGP Desktop と電子メール サーバーと の間の接続が SSL で保護されている場合にだけ、メッセージが送受信され ます。SSL で保護された接続が確立できない場合、PGP Desktop はサーバ ーと通信しません。 メモ : このオプションは、電子メール サーバーが確実に SSL をサポート している場合にのみ有効にしてください。このオプションを有効にすると 、接続を SSL で保護しようとしている間に問題が発生しても、保護され ていない接続を経由してメッセージが送受信されることがありません。た だし、電子メール サーバーで SSL がサポートされていないにもかかわら ず、このオプションを有効にした場合は、PGP Desktop でメッセージを 一切送受信できなくなります。 電子メール クライアント側で SSL を有効にする場合 : 電子メール クライ アント側で SSL を有効にした状態で PGP Desktop を使用するには、受信電 子メール サーバー、送信電子メール サーバー、またはその両方の設定で [電子メール クライアントが SSL/TLS を試行すると警告を表示] チェック ボックスをオフにする必要があります。このオプションを無効にすると、 接続が SSL で保護されている場合に、その接続を経由する受信および送信 のトラフィックが無視されます。 PGP Desktop は、このサーバーとの接続を監視し、SSL で保護された接続 による送受信のトラフィックを無視します。ただし、SSL で保護されてい ない接続が検出されると、トラフィックは保護されていないその他の接続 と同様に扱われ、(自動モードの場合) 接続を SSL にアップグレードしてメ ッセージに適切なポリシーを適用する試みが実行されます。 鍵モード PGP Universal で管理された環境で PGP Desktop を使用している場合、PGP Desktop には鍵モードが設定されています。 メモ : このセクションに記載された情報は、PGP Universal Server によって 保護された電子メール ドメインに所属する PGP Desktop のユーザーにのみ 該当します。 使用できる鍵モードは、次のとおりです。 サーバー鍵モード (SKM) : 鍵は PGP Universal Server によって生成および 管理されます。鍵は、PGP Desktop が実行されているコンピューターとの 間でのみ、必要に応じて共有されます。秘密鍵は PGP Universal Server 上 にのみ保存されます。PGP Universal Server では、秘密鍵のすべての管理 も実行されます。PGP Universal Server 管理者はユーザーの秘密鍵に完全 にアクセスできるため、ユーザーが暗号化したすべてのメッセージにもア クセスできます。この鍵モードは、スマート カードと互換性がありません (スマート カードは Windows システムでのみ使用できます)。 134 PGP Desktop for Windows 電子メールをセキュアにする PGP Desktop バージョン 10.0 から、今までメッセージングでしか使用でき なかった SKM 鍵をその他すべての PGP Desktop 暗号化処理で使用できる ようになりました。これには、ディスクおよびファイルの暗号化、オフラ イン時の MAPI 電子メール メッセージの復号化が含まれます。 SKM 鍵を使用している場合、認証のためにパスフレーズを入力する必要は ありません。SKM 鍵パスフレーズは PGP Desktop によりランダムに作成さ れ、暗号化された状態で保存されます。PGP Desktop がパスフレーズを必 要とする場合、PGP Desktop はユーザーとのやりとりなしにシステムから 暗号化されたパスフレーズを取得します。 クライアント鍵モード (CKM) : 鍵は、PGP Desktop が実行されているコン ピューター上で生成および管理されます。秘密鍵は、PGP Universal Server と共有されません。すべての暗号処理 (暗号化、復号化、署名、検証) もま た、PGP Desktop が実行されているコンピューター上で実行されます。 Windows システムでは、この鍵モードはスマート カードと互換性があり ます。 保護鍵モード (GKM) : CKM とよく似ていますが、秘密鍵の暗号化された コピーが PGP Universal Server に保存される点が CKM と異なります。この 鍵のコピーには、別のコンピューターからもアクセスできます。鍵のコピ ーは暗号化されているため、PGP Universal Server 管理者はこの秘密鍵に アクセスできません。アクセスできるのは、作成したユーザーだけです。 この鍵モードは、鍵がスマート カード上で直接生成されていない場合、つ まり鍵がスマート カードにコピーされている場合に、スマート カードと 互換性があります (Windows システムのみ)。 サーバー クライアント鍵モード (SCKM) : この鍵モードも CKM によく似 ていますが、秘密暗号化鍵のコピーが PGP Universal Server 上に保存され ることが異なります。秘密署名鍵は、PGP Desktop が実行されているコン ピューターだけに保存されます。この鍵モードを使用すると、署名秘密鍵 が常にユーザーの管理下にあることを要求する法律および企業方針が確実 に遵守される一方、緊急に備えて暗号化秘密鍵を保存できます。この鍵モ ードは、鍵がスマート カード上で直接生成されていない場合に、スマート カードと互換性があります (Windows システムのみ)。SCKM では個別の署 名サブ鍵を持つ鍵が必要です。この鍵は、PGP Desktop 9.5 以降を使用し て新規の鍵として作成するか、PGP Desktop 9.5 以降を使用して古い PGP 鍵に追加できます。 PGP 管理者が PGP Desktop をどのように構成したかによって、鍵モードを選択 できる場合とできない場合があります。また、鍵モードは変更できる場合とで きない場合があります。 鍵モードについて不明な点がある場合は、PGP 管理者に問い合わせてください 。 135 PGP Desktop for Windows 電子メールをセキュアにする 鍵モードの確認 PGP Universal Server で保護された環境の PGP Desktop ユーザーだけに鍵モー ドが設定されます。スタンドアロンの PGP Desktop ユーザーには、鍵モードは 設定されません。 鍵モードを確認するには、次の手順に従います。 PGP Desktop を開き、鍵モードを確認する PGP メッセージング サービス を選択します。選択されたサービスのアカウント プロパティとセキュリテ ィ ポリシーが表示されます。 [Universal Server] フィールドには、選択されたサービスの鍵モードが、 PGP Universal Server の名前の後ろのかっこ内に表示されます (たとえば、 keys.example.com (GKM)) 。この例では、選択されたサービス用の鍵モ ードが保護鍵モード (GKM) であり、関連付けられた PGP Universal Server が keys.example.com であることを示しています。 鍵モードの変更 PGP 管理者が PGP Desktop をどのように構成したかによって、鍵モードを変更 できない場合があります。 鍵モードを変更するには、次の手順に従います。 1 PGP Desktop を開き、鍵モードを変更する PGP メッセージング サービス を選択します。選択されたサービスのアカウント プロパティとセキュリテ ィ ポリシーが表示されます。 2 [鍵モード] をクリックします。[PGP Universal 鍵モード] 画面が開き、現在 の鍵管理モードが表示されます。 3 [鍵のリセット] をクリックし、次に表示された確認メッセージに対して [ はい] をクリックします。PGP 鍵セットアップ アシスタントが表示されま す。 4 表示されたテキストを読んでから、[次へ] をクリックします。[鍵管理の選 択] 画面が表示されます。 5 使用する鍵モードを選択します。PGP 管理者が PGP Desktop をどのように 構成したかによって、特定の鍵モードを使用できない場合があります。 6 [次へ] をクリックします。[鍵ソースの選択] 画面が表示されます。 7 以下のいずれかを選択します。 [新規の鍵] : メッセージングを保護するために使用する新しい PGP 鍵 を作成するための指示が表示されます。 136 PGP Desktop for Windows 電子メールをセキュアにする [PGP Desktop 鍵] : メッセージングの保護に使用する既存の PGP 鍵を 指定するための指示が表示されます。 [鍵のインポート] : メッセージングの保護に使用する PGP 鍵をインポ ートするための指示が表示されます。 8 必要な項目を選択して、[次へ] をクリックします。 9 [新規の鍵] を選択した場合は、次の操作を実行します。 10 11 鍵のパスフレーズを入力して、[次へ] をクリックします。 鍵が生成されたら、[次へ] をクリックします。 [完了] をクリックします。 [PGP Desktop 鍵] を選択した場合は、次の操作を実行します。 使用する鍵をローカルの鍵リングから選択して、[次へ] をクリックし ます。 [完了] をクリックします。 [鍵のインポート] を選択した場合は、次の操作を実行します。 インポートする PGP 鍵が含まれるファイル (秘密鍵が含まれている必 要があります) を見つけて、[次へ] をクリックします。 [完了] をクリックします。 ヒント : [PGP オプション] ダイアログ ボックスから鍵モードを変更するこ ともできます。[ツール] > [PGP オプション] の順に選択し、[詳細] タブを選 択します。[鍵のリセット] をクリックし、PGP 鍵セットアップ アシスタン トが表示されたら、上記の手順に従って操作を行います。このオプションは 、PGP Universal Server で管理されている環境で PGP Desktop を使用してい る場合に利用できます。 PGP ログの表示 PGP ログには、メッセージをセキュアにするために PGP Desktop で実行された アクションが記録されます。 PGP Desktop ログを表示するには、次の手順に従います。 1 ログを表示するには、ログを有効にする必要があります。これには、PGP Desktop で [ツール] > [PGP ロギング] を選択します。 2 PGP Desktop で、[PGP メッセージング] コントロール ボックスをクリッ クして、次に [PGP ログ] をクリックします。アプリケーション ウィンド ウに PGP ログが表示されます。 137 PGP Desktop for Windows 電子メールをセキュアにする 3 4 特定のログ情報に関する表示オプションまたはフィルタを変更するには、 次の操作を実行します。 [表示するログの日] の矢印をクリックして、表示するログの日付を選 択します。 [表示トピック] の矢印をクリックして、表示するログの種類を選択し ます。[すべて]、[PGP]、[電子メール]、[IM]、[ディスク全体]、 [NetShare]、[Zip/SDA]、または [仮想ディスク] の中から選択します 。 [表示レベル] の矢印をクリックして、表示するログ エントリの重要 度レベルの最小値を選択します。[エラー]、[警告]、[情報]、または [ 詳細] から選択します。[詳細] では、かなり大きなログ ファイルが生 成される場合があります。 ログの確認が完了したら、次の操作を実行します。 PGP ログのコピーを保存するには、[保存] をクリックします。 PGP ログのエントリを消去するには、[完全削除] をクリックします。 138 8 インスタント メッセージン グをセキュアにする このセクションでは、PGP Desktop を使用してインスタント メッセージング (IM) セッションをセキュアにする方法について説明します。IM セッションに影 響する PGP オプションの詳細については、「メッセージング オプション 『ペ ージ : 325』」を参照してください。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP Desktop のインスタント メッセージングとの互換性について ... 139 暗号化に使用される鍵について ............................................................ 141 IM セッションの暗号化 ......................................................................... 141 PGP Desktop のインスタント メッセージングとの互換性につい て 次の条件が満たされている場合は、PGP Desktop では、AOL および iChat の標 準的なインスタント メッセージング セッション、直接接続、およびファイル 転送が自動的に暗号化されます。 IM セッションの双方のユーザーが、IM を使用しているシステムに PGP Desktop 9.0 以降をインストール済みであり、実行中である。PGP Desktop 9.0 以降を使用していることを確認するには、PGP トレイ アイコンをクリ ックして、ショートカット メニューから [PGP バージョン情報] をクリッ クします (PGP Desktop ウィンドウ内では、[ヘルプ] > [PGP バージョン情 報] を選択)。 双方のユーザーが [インスタント メッセージの暗号化] の設定を有効にし ている。これには、次の操作を実行します。 139 PGP Desktop for Windows インスタント メッセージングをセキュアにする Windows システムの場合、[ツール] > [オプション] を選択し、[メッ セージング] タブをクリックしてから、[AOL インスタント メッセー ジの暗号化 (AIM)] チェック ボックスをオンにします。 Mac OS X システムの場合、[PGP] > [環境設定] を選択し、[メッセー ジング] アイコンをクリックしてから、[AOL インスタント メッセー ジ の暗号化 (AIM)] チェック ボックスをオンにします。 ヒント : Windows システムでは、PGP トレイ アイコンをクリックするこ とによって、インスタント メッセージングの暗号化が有効になっている ことをすばやく検証できます。有効になっている場合は、ショートカット メニューの [AIM プロキシの使用] の横にチェック マークが表示されま す。 双方のユーザーが、互換性のある IM クライアントを使用している。互換性 のある IM クライアントの詳細については、次のセクションを参照してくだ さい。 IM セッションを開始したユーザーの AIM アドレスが、セッションの受信側 の友だちリストに含まれている (含まれていない場合、セッションは暗号 化されません)。 セキュアな IM 機能は、AOL Instant Messenger、Trillian Pro、iChat、Gaim など 、AOL のインスタント メッセージング プロトコル OSCAR をサポートしてい る IM クライアントと互換性があります。 ファイル転送セッションと直接接続セッションを PGP Desktop で暗号化するに は、これらのクライアントの最近のバージョンが必要です。また、相手ユーザ ーが自分のコンピューターに直接接続できるようにするのではなく、ダイレク ト IM/ダイレクト メッセージおよびファイル転送の両方で、AOL プロキシが使 用されるように接続を設定することを推奨します。 メモ : オーディオおよびビデオ接続は、PGP Desktop で暗号化されません。 PGP Desktop のセキュアな IM 機能では、よりセキュリティ レベルの高い Perfect Forward Secrecy が使用されます。IM セッションをセキュアにする際 に使用する鍵はすべて接続の開始時に生成され、接続が解除されると破棄さ れます。つまり、IM セッションのたびに、新しい鍵が使用されます。この機 能により、IM セッションのセキュリティがより強固になります。 インスタント メッセージング クライアントとの互換性 PGP Desktop は、AIM インスタント メッセージ、ファイル転送、および直接接 続の暗号化を行う場合、以下のインスタント メッセージ クライアントと互換 性があります。 140 PGP Desktop for Windows インスタント メッセージングをセキュアにする AOL AIM 6.5.5 AIM 6.5 でインスタント メッセージを暗号化するには、AIM で使用さ れているデフォルトのポートを 493 から 5190 に変更する必要があり ます。 オーディオおよびビデオ接続は、PGP Desktop で暗号化されません。 PGP Desktop バージョン 10.1 のリリース後に AIM の基本プロトコル に変更が加えられた場合、AIM のサービスとの互換性が保たれなくな ることがあります。 Trillian 3.1 (Basic および Pro) その他のインスタント メッセージング クライアントも基本的なインスタント メッセージングには使用できる可能性がありますが、互換性は証明されていま せん。 暗号化に使用される鍵について 1024 ビットの RSA 鍵は、IM ソフトウェアへのログオン時に毎回生成され、ロ グアウト時に破棄されます。この鍵は、ランダムに生成されたシード データを 通信相手と交換するために使用されます。シード データは、特定の通信で使用 する対称鍵のセット (各方向に 1 つ) を、通信の参加者が各自で生成できるよう に、組み合わせてハッシュしたものです。対称鍵は、すべてのメッセージを AES256 で暗号化するために使用されます。 データの一部は、各メッセージ用にハッシュ ベース メッセージ認証コード (HMAC) を生成するために使用されます。これにより、メッセージの完全性を 確認できます。 メモ : セキュアな IM 通信で使用される鍵をユーザーは構成できません。 IM セッションの暗号化 「PGP Desktop のインスタント メッセージング互換性について 『ページ : 139の"PGP Desktop のインスタント メッセージングとの互換性について"参照 先 : 』」に記載されている条件がそろったら、通常どおりに IM セッションを 開始します。互換性のある IM クライアントを使用する他の PGP Desktop ユー ザーとの IM セッションは、自動的かつ透過的に保護されます。 IM セッションが保護されているかどうかを確認するには、次のような複数の方 法があります。 IM セッションを開始すると、PGP 通知機能が起動し、セキュアな IM セッ ションが開始されたという内容の通知が表示されます。 141 PGP Desktop for Windows インスタント メッセージングをセキュアにする IM セッションで相手から最初のメッセージを受け取ると、「Conversation encrypted by PGP Desktop(会話は PGP Desktop で暗号化されています。) 」というテキストがメッセージの下に表示されます。 友だちリストの名前の横に表示される錠アイコンは、そのユーザーがおそ らく PGP Desktop を使用して IM セッションをセキュアにしていることを 示します。 錠アイコンは、ユーザーが AIM に標準装備されているセキュリティを使用 していることを示す場合もあります。 IM セッションの開始後に PGP ログを開くと、IM セッションが暗号化され ているという内容のエントリがあります。以下がエントリの例です。 17:01:06 Info Initiating PGP Desktop encrypted AIM session with breynolds using your key with id 0xEFDDCE3C. (17:01:06 情報 ID が 0xEFDDCE3C の鍵で、PGP Desktop で暗号化された breynolds との AIM セッションを開始しています。) 142 9 PGP Viewer を使用した電子 メールの表示 ここでは、PGP Viewer を使用して暗号化されたメッセージを復号化、検証、表 示する方法について説明します。 メモ :PGP Viewer は、PGP Desktop がインストールされているコンピュータ ーでのみ動作します。PGP Viewer をスタンドアロンで使用することはできま せん。 この章の内容 PGP Viewer の概要 ................................................................................ 143 暗号化された電子メール メッセージまたはファイルを開く ............... 145 電子メール メッセージの受信箱へのコピー ........................................ 146 電子メールのエクスポート ................................................................... 147 追加のオプションの指定 ....................................................................... 147 PGP Viewer でオプションを指定 .......................................................... 148 PGP Viewer のセキュリティ機能 .......................................................... 149 PGP Viewer の概要 通常の環境では、PGP Desktop は、ユーザーの電子メール クライアント (たと えば、Mozilla Thunderbird) と会社の電子メール サーバーの間に位置し、PGP Desktop で送信メッセージの暗号化と署名、および受信メッセージ復号化と検 証を行います。PGP Desktop がこの作業を実行している間は、「メール ストリ ーム内にある」という言い方をします。 メール ストリーム外にあるメッセージを復号化、検証、表示するには、PGP Viewer を使用します。 メール ストリーム外にある暗号化されたメッセージを受信してしまう場合は数 通りあります。 143 PGP Desktop for Windows PGP Viewer を使用した電子メールの表示 暗号化されたメッセージがセキュアに保存されている場合 : 多くの組織で は、セキュリティ目的でメッセージを暗号化して保存します。メッセージ を保存するとメッセージはメール ストリーム外に出ますが、PGP Viewer を使用すれば、暗号化された元のメッセージを維持しつつ、メッセージを 復号化、検証、および表示できます。 暗号化されたテキストが Web メール メッセージ内にある場合 : Web メー ルのアカウントに送信された、暗号化されたメッセージは、PGP Desktop で復号化できません。しかし、PGP Viewer を使えば復号化できます。メッ セージ .pgp ファイルの添付を PGP Viewer で開くだけです。 暗号化されたテキストが PGP Desktop で復号化されていない場合 : PGP Desktop を実行していないとき、またはパスフレーズがキャッシュされて いないときに、電子メール クライアントによってメッセージが自動的にダ ウンロードされると、暗号化されたメッセージがメール ストリーム外に出 る可能性があります。 PGP Viewer では、複数の種類のメッセージング コンテンツが復号化、検証、 および表示されます。 最近の PGP で暗号化されたコンテンツ (PGP/MIME および PGP パーティシ ョン) レガシの PGP で暗号化されたコンテンツ (PGP/MIME および PGP パーティ ション) RFC-2822 準拠の暗号化されたコンテンツ PGP Viewer では、鍵を必要とする操作に PGP Desktop 鍵リングが使用されます 。 PGP Viewer では、パスフレーズ キャッシング オプションなどの PGP Desktop 環境設定が継承されます。 PGP Universal Server で管理された環境では、PGP Viewer では適用されるポリ シーごとに検証鍵が検索されます。 PGP Viewer では、復号化されたメッセージの署名情報が、メッセージ本文の中 にではなく、メッセージ ウィンドウに表示されます。これにより、完全な署名 情報にアクセスでき、インラインの署名注釈の改ざんを防止できます。 互換性のある電子メール クライアント PGP Viewer を使用して、復号化および検証されたメッセージのテキストを次の 電子メール クライアントにコピーします。 Windows Mail (Windows) Microsoft Outlook (Windows) Thunderbird (Windows および Mac OS X) Outlook Express (Windows) 144 PGP Desktop for Windows PGP Viewer を使用した電子メールの表示 Mail.app (Mac OS X) Lotus Notes のアーキテクチャ上の理由により、暗号化されたメッセージを Lotus Notes 電子メール クライアントからドラッグして PGP Viewer にドロップ する操作で復号化することはできません。 暗号化された電子メール メッセージまたはファイルを開く PGP Viewer を使用して、次のファイル形式の暗号化されたメッセージ暗号化さ れたメッセージを開き (復号化し、検証し、表示し) ます。 *.pgp:PGP アプリケーションにより作成されたファイル *.eml : Outlook Express または Thunderbird により作成されたファイル *.emlx : Mac OS X システムで Apple の Mail.app プログラムにより作成さ れたファイル *.msg : Microsoft Outlook により作成されたファイル PGP Viewer で暗号化されたメッセージを開く際、暗号化されたテキストは上書 きされません。元のメッセージは、そのまま保存されます。 ファイルから暗号化されたメッセージを復号化し、検証し、表示するには 1 PGP Viewer を開きます。この操作を実行するには、システム トレイにあ る PGP アイコンを選択してから PGP Viewer を選択するか、PGP Desktop 内で [PGP Viewer] コントロール ボックスを選択します。 145 PGP Desktop for Windows PGP Viewer を使用した電子メールの表示 2 [Open File in PGP Viewer (ファイルを PGP Viewer で開く)] をクリック するか、[Viewer] プルダウン メニューから [Open File in PGP Viewer ( ファイルを PGP Viewer で開く)] を選択します。 [Open Message File (メッセージ ファイルを開く)] ダイアログ ボックス が表示されます。 3 [Open Message File (メッセージ ファイルを開く)] ダイアログ ボックスで ファイルを検索して選択し、[開く] をクリックします。PGP Viewer は、メ ッセージを別のウィンドウで復号化、検証、表示します。 ヒント : 開くファイルを PGP Viewer ウィンドウの以下を表示する部分 にドラッグ & ドロップできます。電子メールまたはファイルをここにド ラッグ。PGP Viewer は、ファイルを開き、復号化および検証し、メッセ ージを表示します。 4 別のメッセージを開くには、ツールバーで [Open Message (メッセージを 開く)] をクリックし、目的のファイルまで移動し、選択して、[Open (開く )] をクリックします。PGP Viewer は、メッセージを復号化、検証して、表 示します。PGP Viewer 画面の左側にはペインが表示され、開いているすべ てのメッセージを確認できます。 5 PGP Viewer 画面の左側にペインを表示する、または既に開いているペイン を閉じるには、ツールバーの [ペイン] ボタンをクリックします。 電子メール メッセージの受信箱へのコピー PGP Viewer を使用して、復号化されたメッセージのプレーン テキスト版を電 子メール クライアントの受信箱にコピーします。 メッセージを電子メール クライアントの受信箱にコピーするには 1 メッセージが PGP Viewer ウィンドウに表示された状態で、[Copy to Inbox (受信箱にコピー)] をクリックします。[Copy to Inbox (受信箱にコピー)] 確 認ダイアログ ボックスには、メッセージのコピー先の電子メール クライ アントが表示されます。この設定を変更するには、「PGP Viewer でオプシ ョンを指定 『ページ : 148』」を参照してください。 2 [OK] をクリックして続行します。 メッセージを初めて Mozilla Thunderbird 電子メール クライアントにコピー する際に、アドオンをインストールする必要があるというダイアログ ボッ クスが表示されます。 アドオンをインストールするには、[Yes (はい)] をクリックして、画面の 指示に従うか、[No (いいえ)] をクリックします。アドオンをインストール するには、Thunderbird 2.0 以降を使用している必要があります。 146 PGP Desktop for Windows PGP Viewer を使用した電子メールの表示 3 PGP Viewer により電子メール クライアントが開かれ、メッセージのテキ スト版が受信箱にコピーされます。 電子メールのエクスポート PGP Viewer を使用して、復号化されたメッセージをファイルにエクスポートし ます。 メッセージを PGP Viewer からファイルにエクスポートするには、次の手順に 従います。 1 メッセージが PGP Viewer ウィンドウに表示された状態で、[エクスポート] をクリックします。[メッセージ ファイルのエクスポート] ダイアログ ボ ックスが表示されます。 2 [メッセージ ファイルのエクスポート] ダイアログ ボックスで、目的の場 所、ファイル名、ファイルのフォーマット形式を指定し、[保存] をクリッ クします。指定した場所にファイルが保存されます。 追加のオプションの指定 PGP Viewer ツールバー (右端) のツール ボタンを使用して、PGP Viewer 機能 を指定します。 テキスト エンコーディング :PGP Viewer により現在表示されているメッ セージのテキスト エンコーディング方式を指定します。 リモート画像の表示 :PGP Viewer で現在表示されているメッセージの外部 リソース (画像、CCS スタイル シート、iframe コンテンツなど) を表示し ます。PGP Viewer が自動的に環境設定で外部リソースを表示するように指 定できます。 メッセージ リソースの表示 :PGP Viewer により現在表示されているメッ セージのソースを表示します。メッセージに関する詳細を示すメッセージ のソースを表示します。 環境設定 :PGP Viewer 環境設定ダイアログ ボックスを表示します。 147 PGP Desktop for Windows PGP Viewer を使用した電子メールの表示 PGP Viewer でオプションを指定 PGP Viewer には一定の機能を制御するオプション (環境設定) が含まれていま す。 PGP Viewer の環境設定にアクセスするには、次の手順に従います。 1 PGP トレイから PGP Viewer を開くか、PGP Viewer を使用して、メッセー ジを復号化、検証、表示します。 PGP Viewer 画面が表示されます。 2 ツールバー アイコン (PGP Viewer ツールバーの右端) をクリックして、[ 環境設定] を選択します。[Preferences (環境設定) ] ダイアログ ボックス が表示されます。 3 [全般] タブを選択し、以下のオプションを指定します。 4 受信箱にコピーするかユーザーに確認するコマンド :テキストを PGP Viewer から電子メール クライアントの受信箱にコピーする際に、確 認メッセージを表示するかどうかを指定します。デフォルトでは、有 効になっています。 自動的にリモート画像を読み込み :イメージ、CSS スタイル シート 、iframe コンテンツなどの外部リソースを PGP Viewer で自動的に読 み込むかどうかを指定します。セキュリティ リスクがあるので、デ フォルトでは無効になっています。 電子メール クライアントの使用 :LPGP Viewer からコンテンツをコ ピーする先の電子メール クライアントを指定します。デフォルトは Windows デフォルト (電子メール)です。PGP Viewer はデフォルトの Windows 電子メールを判断し、デフォルトとして使用します。また 、Outlook、Outlook Express、Thunderbird を選択することもでき ます。 [テキスト] タブを選択し、以下のオプションを指定します。 [フォント] : PGP Viewer でテキストを表示するために使用するフォン トを指定します。 [Text Color (テキストの色)] : PGP Viewer で表示するテキストの色を 指定します。 [Background Color (背景色)] : PGP Viewer で表示する背景の色を指 定します。 148 PGP Desktop for Windows PGP Viewer を使用した電子メールの表示 PGP Viewer のセキュリティ機能 PGP Viewer では、予防型のセキュリティ保護が行われます。 メッセージング コンテンツ を表示する、PGP Viewer 埋め込みの Web ブ ラウザでは、JavaScript、Java Applets、およびプラグインが無効になって います。これは、セキュリティ機能がなければ PGP Viewer に読み込まれ てしまう、悪意のあるペイロードを攻撃者が配信するのを防ぐためです。 イメージ、CSS スタイル シート、iframe コンテンツ (別の文書を含んだイ ンライン フレーム) などの外部リソースは、[Automatically load remote images (リモート イメージを自動的に読み込む)] の指定に基づいて自動 的に読み込まれます。セキュリティ上の目的で、この指定はデフォルトで 無効になっています。この指定が無効になっている場合は、PGP Viewer か ら外部サイトへのネットワーク トラフィックは発生しません。 149 10 PGP ディスク全体暗号化に よるディスクの保護 PGP ディスク全体暗号化 (PGP WDE) は、ラップトップ、デスクトップ、外付 けドライブ、または USB フラッシュ ドライブの内容を、ブート セクター、シ ステム ファイル、スワップ ファイルなどを含めすべて保護する機能です。 PGP WDE を使用して、ブート パーティションや Windows パーティションだけ を暗号化することもできます。暗号化はユーザーが意識しないバックグラウン ド処理として実行され、追加の操作を行う必要がなく、重要なデータが自動的 に保護されます。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合 は、すべてのブート ドライブが暗号化されるように、PGP 管理者がポリシ ーで指定している場合があります。この場合、ドライブが暗号化されている かどうかが定期的に検証され、暗号化されていないブート ドライブの暗号化 によってポリシーが施行されます。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合 、PGP 管理者が [PGP Whole Disk Encryption BootGuard] 画面をカスタマイ ズして、追加のテキストや組織のロゴなどのカスタム イメージを組み込んで いる場合があります。このガイドに掲載されている図は、デフォルトのイン ストール環境を示しています。管理者が画面をカスタマイズしている場合は 、実際のログイン画面の外観が異なる場合があります。 151 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 この章の内容 PGP ディスク全体暗号化について ........................................................ 152 PGP Whole Disk Encryption のライセンス............................................ 154 PGP Remote Disable & Destroy の使用 ................................................ 155 ディスクを暗号化するための準備......................................................... 156 ディスクの認証方法の選択 ................................................................... 163 暗号化オプションの設定 ....................................................................... 167 ディスクまたはパーティションの暗号化 .............................................. 173 PGP WDE で暗号化されたディスクの使用 ........................................... 180 PGP WDE のシングル サインオンの使用............................................. 187 ディスクのセキュリティの維持 ............................................................ 191 リムーバブル ディスクの使用 .............................................................. 199 PGP Universal Server で管理された環境での PGP WDE の使用 .......... 203 暗号化されたドライブからのデータのリカバリ ................................... 206 PGP WDE で暗号化されたディスクの復号化 ....................................... 208 PGP Desktop によるセキュリティ確保のための特別な対策 ................ 209 Windows プレインストール環境の使用................................................ 212 PGP ディスク全体暗号化について PGP Whole Disk Encryption 機能を使用してディスク全体を暗号化すると、すべ てのセクターが対称鍵で暗号化されます。これには、オペレーティング システ ム ファイル、アプリケーション ファイル、データ ファイル、スワップ ファ イル、空き領域、一時ファイルを含む、すべてのファイルが含まれます。 以降の再起動時には、PGP WDE により正しいパスフレーズが要求されます。 正しいパスフレーズを入力すると、暗号化されたデータがアクセス時に復号化 されます。すべてのデータは、ディスクに書き込まれる前に PGP WDE によっ て暗号化されます。(PGP BootGuard 画面に正しいパスフレーズを入力した後) PGP ディスク全体暗号化で暗号化されたディスクで認証されれば、ファイルを 使用できます。システムをシャットダウンすると、ディスクは他のユーザーが 使用できないように保護されます。 システムで Intel® AES-NI (AES (Advanced Encryption Standard) Instructions) が サポートされている場合、この暗号アルゴリズムに関連付けられたハードウェ アを使用して暗号化および復号化が行われます。AES-NI では、暗号化および復 号化の処理中のパフォーマンスが向上し、ディスクが暗号化されているときの I/O が強化されています。 152 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP WDE でディスクを暗号化する前に、PGP WDE でディスクを暗号化して、 そのディスクを使用する手順を理解することは重要です。 1 「PGP Whole Disk Encryption のライセンス 『ページ : 154』」で説明す るとおり、PGP Desktop のライセンスで PGP Whole Disk Encryption の使 用がサポートされていることを確認します。 2 「ディスクを暗号化するための準備 『ページ : タスクを実行します。 3 「ディスクの認証方法の選択 『ページ : 163』」の説明に従って、ディス クを暗号化するために自分自身を認証する方法を選択します。 4 「暗号化オプションの設定 『ページ : 暗号化オプションを選択します。 5 「ディスクまたはパーティションの暗号化 『ページ : って、暗号化処理を開始します。 6 「PGP WDE で暗号化されたディスクの使用 『ページ : 化されたディスクの使用方法を学習します。 7 暗号化されたディスクの維持方法については、「ディスクのセキュリティの 維持 『ページ : 191』」を参照してください。 8 必要に応じて、ディスクを復号化する方法について、「PGP WDE で暗号化 されたディスクの復号化 『ページ : 208』」を参照してください。 9 「PGP Desktop による特別なセキュリティ予防措置」で、セキュリティの 問題を回避するための機能について理解します。 156』」の説明に従って、 167』」の説明に従って、使用する 173』」の説明に 従 180』」で、暗号 PGP Universal Server 管理者であるか、PGP Universal Server で管理された環境 で PGP WDE を使用している場合、「PGP Universal Server で管理された環境で の PGP WDE の使用 『ページ : 203』」で、詳細な情報を参照してください。 警告 :ディスクをロック解除すると、システムを物理的に利用できるすべて のユーザーが、そのディスクに格納されているファイルを利用できるように なります。これらのファイルは、コンピューターをシャットダウンして再び ロックするまでは、ロック解除された状態のままです。コンピューターの使 用中でもセキュリティで保護する必要があるファイルには、PGP 仮想ディス ク ボリュームを使用してください。詳細については、「PGP 仮想ディスクの 使用 『ページ : 215』」を参照してください。 PGP WDE と PGP 仮想ディスクの違い PGP 仮想ディスク機能は PGP WDE と異なり、システムに追加されたボリュー ムのように動作し、コンピューターが使用中でもロックできます。これらのボ リュームは、保護を必要とするファイルを保管する金庫のようなものです。実 際の物理的なディスクが存在するわけではなく、PGP 仮想ディスク機能によっ て作成および管理される仮想ディスクのみが存在します。 153 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP WDE では物理的なハード ディスク全体が保護されます。 2 つの機能はそれぞれ独立して動作するため、同時に使用できます。詳細につ いては、「PGP 仮想ディスクの使用 『ページ : 215』」を参照してください。 PGP Whole Disk Encryption のライセンス PGP Whole Disk Encryption 機能を使用するには、インストールした PGP Desktop ソフトウェアにこの機能をサポートするライセンスがある必要があり ます。 使用しているライセンスが PGP Whole Disk Encryption をサポートしている ことを確認するには、次の手順に従います。 1 PGP Desktop を開きます。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイア ログ ボックスが表示されます。 3 [製品情報] セクションで、[PGP Whole Disk Encryption] アイコンを見つ けます。製品名の上にマウス ポインタを置くと、その製品に関する情報や 、その製品の使用が許可されているかどうかが表示されます。 現在のライセンスで PGP WDE がサポートされていない場合は、次のいずれか の方法で PGP Desktop のライセンス取得に関する詳細情報を入手してください 。 PGP Universal Server で管理された環境で PGP Desktop を使用している場 合は、ライセンスに PGP WDE 機能が含まれているかどうか PGP 管理者に 問い合わせてください。詳細については、「PGP Universal Server を介して の PGP Desktop の使い方 『ページ : 349』」を参照してください。 PGP Universal Server で管理されていない環境で PGP Desktop を使用して いる場合は、PGP Corporation の Web サイト 『http://www.pgp.com』で PGP WDE 機能を追加する方法についての情報を参照してください。 ライセンスの有効期限 サブスクリプション方式のライセンスで使用する PGP WDE では、ブート ディ スクに対してのみ、ライセンスの有効期限が切れてから 90 日後にデータ復号化 機能が提供されます。サブスクリプション ライセンスの有効期限から 90 日が 経過すると (通知が送信された後に) PGP WDE 機能によってデータが復号化さ れるため、ユーザーはファイルを取得できます。 154 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Remote Disable & Destroy の使用 PGP Remote Disable & Destroy では、Intel® Anti-Theft テクノロジーを使用し て、モバイル環境でデータをセキュリティ保護し、データ セキュリティおよび プライバシーに関する規制がますます厳しくなるなか、その規制に準拠できる よう対処します。 PGP RDD では、ユーザーのラップトップが失われたり盗まれたりした場合でも 、PGP Universal Server administrator 管理者がラップトップをリモートで無効 にしたり、データのアクセスを無効にして、ラップトップをセキュアに廃止で きます。 ラップトップで PGP RDD が有効になっていると、PGP RDD サービスによって PGP Universal Server が定期的に診断され、システムがオンラインで接続されて いるかどうかが確認されます。これは、ランデブーと呼ばれます。システムが 指定された時間に PGP Universal Server とランデブーしない場合は、システム に盗難のフラグが付けられます。 休暇を取る場合や海外へ旅行に出かける場合、またはネットワーク アクセスが ない場合は、管理者に報告して、システムに紛失や盗難のフラグが付けられよ うにしてください。管理者は、ランデブー タイマーのポリシーを指定時間より も長く設定するように、システムをグループに追加する場合があります。ポリ シーに指定されている期間内に企業ネットワークに接続していないことが原因 で、盗難ポリシーがトリガーされた場合は、システムで復元アクションを実行 する必要がある場合があります。システムの復元については、次のセクション を参照してください。 ディスクの暗号化と復号化 管理者によって PGP RDD が有効にされている場合は、PGP WDE をインストー ルすると、ディスクの暗号化は自動的に開始されます。インストール中に、ア クティブ化が開始されたという PGP 通知機能のメッセージを受信する場合があ ります。PGP Universal Server 管理者は、PGP RDD 通知メッセージのみを無効 にする (そして、その他すべての通知の表示を許可する) 場合があることに注意 してください。 管理者によって PGP RDD の使用が指定されている場合は、ディスクはインスト ール中に自動的に暗号化され、PGP RDD のアクティブ化は透過的に完了し、 PGP RDD が有効の間はディスクを復号化できません。詳細については、管理者 に問い合わせてください。 ラップトップの紛失や盗難が発生した場合 ラップトップの紛失や盗難が発生した場合は、直ちに IT 管理者に問い合わせて ください。PGP Universal Server 管理者は、取るべき措置を決定し、システムは 盗難とマークされます。 155 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 システムの復元 システムに紛失や盗難のフラグが付けられた場合は、1 つまたは複数の復元作 業を実行してシステムにアクセスできるようにする必要がありませす。管理者 に問い合わせて、リカバリ パスフレーズとディスク全体リカバリ トークン (WDRT) の両方を依頼してください。 システムを復元するには メモ : 次の手順では、復元処理の基本的なガイドラインについて説明しま す。個々の復元手順は、ユーザーの企業が定義したセキュリティ ポリシー、 およびご使用のラップトップの種類やモデルによって異なります。 1 システムをオンにします。最初にパスフレーズの入力を要求するメッセー ジが表示されたら、管理者から提供されたハードウェア パスフレーズを入 力します。 2 PGP BootGuard 画面で、PGP WDE のパスフレーズを入力します。このパ スフレーズが承諾されなかった場合は、管理者から提供されたディスク全 体リカバリ トークン (WDRT) を入力します。 復元の処理中に、入力を要求するメッセージが表示されます。実際の復元処理 は、お使いのハードウェアによって異なります。PGP RDD が有効になっている と、ロックアウトを解除するには追加の手順が必要な場合があります。 ディスクを暗号化するための準備 ディスクを暗号化する前に、そのディスクの最初の暗号化が正常に実行される ようにするために必要ないくつかのタスクがあります。 対象のディスクがサポートされているかどうかを確認する。「サポートされ ているディスクの種類 『ページ : 157』」を参照してください。 キーボードの種類がサポートされていることを確認する。「サポートされて いるキーボード 『ページ : 158』」を参照してください。 暗号化する前にディスクの状態を確認する。PGP WDE による暗号化の実 行中にディスク エラーが検出された場合は、暗号化が一時停止するため、 ディスク エラーを修復できます。ただし、暗号化を始める前にエラーを修 復しておく方がより効率的です。「暗号化前のディスク状態の確認 『ペー ジ : 161』」を参照してください。 暗号化する前にディスクをバックアップする。ラップトップやコンピュー ターを失くしたり、盗まれたり、ディスクを復号化できなかったりした場 合にデータを喪失しないように、ディスクを暗号化する前に必ずバックア ップを作成してください。また、ディスクのバックアップも必ず定期的に 実行してください。 156 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 リカバリ ディスクを作成する。PGP Whole Disk Encryption によって保護 されているブート ディスクまたはパーティションでマスタ ブート レコー ドが損傷する可能性はきわめて低いと言えますが、ゼロではありません。 PGP Whole Disk Encryption を使用してブート ディスクまたはパーティシ ョンを暗号化する前に、リカバリ ディスクを作成してください。「リカバ リ ディスクの作成 『ページ : 206の"リカバリ ディスクの作成と使用"参 照先 : 』」を参照してください。 ディスクの暗号化にかかる時間を検討し、それを考慮して準備する。「暗号 化時間の計算 『ページ : 161』」を参照してください。 暗号化処理の実行中は AC 電源を使用するように注意します。「暗号化処理 中の電源供給 『ページ : 162』」を参照してください。 パイロット テストを実行し、ソフトウェアの互換性を確認する。優良なセ キュリティ プラクティスとして、少数のコンピューターで PGP WDE をテ ストし、PGP WDE がコンピューター上の他のソフトウェアと競合しない ことを確認してから多数のコンピューターに PGP WDE を展開することを 推奨します。この方法は、標準企業業務環境 (COE) イメージを使用する 環境では特に有効です。ある特定のディスク保護ソフトウェアは PGP WDE と互換性がなく、データの喪失を含む重大なディスクの問題を引き起 こす可能性があります。既に確認されている互換性の問題については、「ソ フトウェアの互換性を確認するパイロット テストの実行 『ページ : 163 』」を参照してください。このリストの最新情報については、『PGP Desktop リリース ノート』を参照してください。 正しいトークンとドライバーがあることを確認する。 PGP Whole Disk Encryption を使用して保護されている固定ディスクの認証に USB トークン を使用している場合は、正しいトークンを用意し、適切なドライバー ソフ トウェアがインストールされていることを確認してください。「認証に使用 するトークンの準備 『ページ : 168の"認証に使用するスマート カードま たはトークンの準備"参照先 : 』」を参照してください。 Windows サーバー ソフトウェアを使用する。Windows Server システム で PGP WDE を使用する場合の追加システム要件とベストプラクティスに ついては、「PGP ナレッジベース記事 1737 『 http://support.pgp.com/?faq=1737』」を参照してください。 サポートされているディスクの種類 PGP WDE 機能では、次の種類のディスクの内容が保護されます。 ソリッドステートのドライブを含む、デスクトップまたはラップトップの ディスク (ディスク全体またはパーティション)。 音楽デバイスおよびデジタル カメラを除く外付けディスク USB フラッシュ ディスク 157 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 FAT16、FAT32、および NTFS 形式でフォーマットされたディスクまたはパーテ ィションを暗号化できます。FAT 形式のディスクまたはパーティションで PGP Whole Disk Encryption を使用する場合は、暗号化後に NTFS 形式に変換できま す。 PGP WDE でサポートされるオペレーティング システム (Windows XP、 Windows 2000、Windows Vista など) から起動する場合は、PGP Whole Disk Encryption 機能をデュアルブート システムで使用できます。ただし、起動する オペレーティング システムに PGP Whole Disk Encryption がインストールされ ている必要があります。パーティション モードでは、Windows パーティショ ンだけを暗号化する場合に、他のオペレーティング システム (Linux など) との デュアルブートがサポートされます。他のオペレーティング システムは、別の 、暗号化されていないパーティションにある必要があります。 PGP WDE で暗号化されたディスクの容量に制限はありません。オペレーティ ング システム (ブート ディスクまたはパーティションの場合はハードウェア BIOS) でサポートされているディスクまたはパーティションは、PGP Desktop で暗号化できます。 PGP WDE で暗号化されているドライブのパーティションを作成し直す場合、 まずドライブを復号化する必要があります。ドライブを復号化したら、ドライ ブにパーティションを作成してパーティションを再暗号化できます。 Windows のすべての電源管理モード (休止状態、スタンバイ、サスペンド) が サポートされています。 サポートされていないディスクの種類 次の種類のディスクはサポートされていません。 ダイナミック ディスク ディスケットおよび CD-RW/DVD-RW 警告 :Windows XP では、ベーシック ディスクをダイナミック ディスクに 変換して、ベーシック ディスクにはない機能を利用できます。PGP Whole Disk Encryption を使用して既に保護されているシステムのブート ドライブ 上では、決してこの変換を実行しないでください。ベーシック ディスクをダ イナミック ディスクに変換すると、このドライブを使用できなくなります。 PGP WDE で使用される暗号アルゴリズム PGP WDE で使用される暗号アルゴリズムは AES-256、ハッシュ アルゴリズム は SHA-1 です。これらのオプションは変更できません。 サポートされているキーボード サポートされているいずれかの言語のキーボードを必ず使用してください。 158 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Whole Disk Encryption のログイン画面では、次のキーボード配列がサポー トされます。 ベルギー語 (ベルギー、コンマ) ベルギー語 (ベルギー、ピリオド) ボスニア語 (ボスニア) ボスニア語 (ボスニア、キリル) ブルガリア語 (ブルガリア) ブルガリア語 (ブルガリア、ラテン) ブルガリア語 (ブルガリア、タイプライター) カナダ マルチリンガル標準 (カナダ) 簡体字中国語 (中国、シンガポール) 繁体字中国語 (香港、台湾) クロアチア語 (クロアチア) チェコ語 (チェコ、QWERTY) デンマーク語 (デンマーク) オランダ語 (オランダ) 英語 (米国) 英語 (英国) 英語 (米国 - インターナショナル) エストニア語 (エストニア) フィンランド語 (フィンランド) フランス語 (ベルギー) フランス語 (カナダ) フランス語 (フランス) フランス語 (スイス) ドイツ語 (ドイツ、オーストリア) ドイツ語 (IBM) ドイツ語 (スイス) ヘブライ語 (イスラエル) ハンガリー語 (ハンガリー) ハンガリー語 (ハンガリー、101 キー) アイスランド語 (アイスランド) 159 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 アイルランド語 (アイルランド) イタリア語 (イタリア) イタリア語 (イタリア、142 キー) 日本語 (日本) 韓国語 (韓国) ノルウェー語 (ノルウェー) ポーランド語 (ポーランド、プログラマ) ポーランド語 (ポーランド、214 キーボード) ポルトガル語 (ブラジル、ABNT キーボード) ポルトガル語 (ブラジル、ABNT2 キーボード) ポルトガル語 (ポルトガル) ルーマニア語 (ルーマニア) ロシア語 (ロシア、キリル) セルビア語 (セルビア モンテネグロ、キリル) セルビア語 (セルビア モンテネグロ、ラテン) スロバキア語 (スロバキア) スロベニア語 (スロベニア) スペイン語 (スペイン) スペイン語 (中南米) スペイン語 (バリエーション) スウェーデン語 (スウェーデン) トルコ語 (トルコ、F) トルコ語 (トルコ、Q) ウクライナ語 (ウクライナ) 異なるキーボード配列では文字のマッピングが異なる場合があり、パスフレー ズを入力して認証する際に問題が発生することがあります。使用しているキー ボードの配列に最も類似したキーボート配列を選択して、認証するたびに同じ 配列を使用してください。 パスフレーズに使用できる文字については、「PGP Whole Disk Encryption のパ スフレーズでサポートされる文字 『ページ : 174の"PGP WDE のパスフレーズ でサポートされる文字"参照先 : 』」を参照してください。 160 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 暗号化前のディスク状態の確認 PGP Corporation は、ドライブを暗号化する際のデータ損失を防止するため、常 に変わらないスタンスを取っています。ハード ディスクを暗号化するときに巡 回冗長検査 (CRC : Cyclic Redundancy Check) エラーを検出することは珍しい ことではありません。PGP WDE でハード ディスク ドライブやパーティショ ンに不良セクターが検出されると、デフォルトでは、暗号化処理が一時停止し ます。これにより、問題を修復してから暗号化処理を続行することが可能にな り、ディスク障害やデータ損失が発生する可能性を排除しています。 暗号化中に中断されないようにするには、暗号化を行う前にディスク エラーを 修復し、正常な状態のディスクでプロセスを開始することを推奨します。 メモ : PGP Desktop を PGP Universal Server 管理環境下で使用している場合 、暗号化中に検出された不良セクターは PGP Universal Server にログされ、 暗号化処理が続行されます。 推奨する方法 最善の方法は、PGP WDE の使用前に、サードパーティ製スキャン ディスク ユーティリティを使用して、低レベルの完全性チェックを実行することです。 CRC エラーの原因となるドライブ不整合があれば修復できます。Microsoft Windows のチェック ディスク (chkdsk.exe) ユーティリティは、対象となる ハード ドライブでこうした問題を検出するためには十分ではありません。代わ りに、SpinRite や Norton Disk Doctor™ などのソフトウェアを使用してください 。これらのソフトウェアを使用すると、暗号化を中断するようなエラーを修復 できます。 注意 : ディスクの断片化が進んでいる場合は、暗号化する前に必ずデフラグ を実行してください。 PGP WDE を Windows Server システムにインストールする場合は、追加のベス トプラクティス情報について、「PGP ナレッジベース記事 1737 『 http://support.pgp.com/?faq=1737』」を参照してください。 暗号化時間の計算 暗号化は時間がかかると共に、CPU を集中的に使用する処理でもあります。暗 号化するディスクまたはパーティションの容量が大きいほど、暗号化処理に要 する時間は長くなります。この点については、ディスクの初回暗号化のスケジ ュール設定時に考慮してください。 暗号化の処理時間に影響を及ぼすと考えられる要因には、次のものがあります 。 ディスクまたはパーティションの容量 161 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 プロセッサの処理速度や台数 コンピューター上で実行しているシステム プロセスの個数 コンピューター上で実行している他のアプリケーションの個数 他のアプリケーションにかかるプロセッサ時間数 PGP Whole Disk Encryption で 80 GB のブート ディスクまたはパーティション を暗号化する場合、平均的な速度のコンピューターで約 3 時間かかります (他の アプリケーションが実行されていない場合)。一方、同じディスクまたはパーテ ィションを非常に高速なコンピューターで暗号化した場合、1 時間もかからな いことがあります。 暗号化を行っている間も、システムを使用できます。暗号化処理中も問題なく コンピューターを使用できますが、通常よりもパフォーマンスは低下します。 コンピューターが使用中であることが PGP Desktop に検出されると、暗号化処 理が自動的に減速されます。逆に、暗号化の初期段階でコンピューターを使用 しないようにすると、暗号化処理は加速されます。暗号化処理が完了すると、 通常のパフォーマンスに戻ります。 暗号化処理中に他のアプリケーションを実行すると、暗号化処理が完了するま でそのアプリケーションの実行速度は通常よりも若干遅くなります。 暗号化中にコンピューターを使用しない場合、[最大 CPU 使用率] オプションを 使用することによって最初の暗号化を加速できます (「暗号化オプションの設定 『ページ : 167』」を参照)。また、コンピューターで実行されている他の処理 よりも高い優先度を設定することによって、暗号化処理の速度を向上できます 。 暗号化処理中の電源供給 暗号化は CPU に負荷のかかる処理であるため、バッテリーで駆動しているラッ プトップ PC では暗号化は開始できません。AC 電源でコンピューターを駆動し ている必要があります。最初の暗号化プロセス (または、その後の復号化プロ セスや再暗号化プロセス) を実行している最中にラップトップ PC の電源がバッ テリーに切り替わると、PGP WDE の処理は一時停止されます。AC 電源が復旧 すると、暗号化や復号化、再暗号化プロセスが自動的に再開されます。 使用しているコンピューターの種類にかかわらず、[電源の瞬断に対する安全対 策] オプションを選択している場合を除いて、暗号化処理の最中にシステムの 電源が失われたり、予期しないシャットダウンが発生したりしないようにする 必要があります。暗号化プロセスが完了する前にコンピューターの電源コード を抜かないようにしてください。暗号化中に停電する可能性がある場合や、コ ンピューターに無停電電源装置 (UPS) が取り付けられていない場合は、「暗号 化オプションの設定 『ページ : 167』」で説明する [電源の瞬断に対する安全 対策] オプションを選択することを推奨します。 162 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 注意 : これは、USBデバイスなどのリムーバブル ディスクにも該当します 。[電源の瞬断に対する安全対策] オプションを選択していないと、暗号化中 にデバイスを取り外した場合にデバイスが破損することがあります。 ソフトウェアの互換性を確認するパイロット テストの実行 優良なセキュリティ プラクティスとして、少数のコンピューターで PGP WDE をテストし、PGP WDE がコンピューター上の他のソフトウェアと競合しない ことを確認してから多数のコンピューターに PGP WDE を展開することを推奨 します。この方法は、標準企業業務環境 (COE) イメージを使用する環境では特 に有効です。 ある特定のディスク保護ソフトウェアは PGP WDE と互換性がなく、データの 喪失を含む重大なディスクの問題を引き起こす可能性があります。既に確認さ れている次の互換性の問題に注意してください。このリストの最新情報につい ては、PGP Desktop リリース ノートを参照してください。 互換性のないソフトウェア : Faronics Deep Freeze (全バージョン) Utimaco Safeguard Easy 3.x Absolute Software 社の CompuTrace ラップトップ セキュリティおよび追 跡製品 : PGP Whole Disk Encryption は、CompuTrace の BIOS 構成とのみ 互換性があります。CompuTrace を MBR モードで使用する場合、互換性は ありません。 GuardianEdge Technologies 社のハード ディスク暗号化製品 : Encryption Anywhere Hard Disk および Encryption Plus Hard Disk 製品、旧 PC Guardian 製品 また、次の各アプリケーションは、PGP Desktop がインストールされたシステ ムでも正しく機能しますが、PGP Whole Disk Encryption 機能をブロックします 。 Safeboot Solo SecureStar SCPP ディスクの認証方法の選択 PGP Whole Disk Encryption でディスクまたはパーティションを暗号化する際に 、ディスクを復号化するために使用する認証方法を選択します。 次のオプションがあります。 パスフレーズとシングル サインオン認証 『ページ : 164』 163 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 公開鍵認証 『ページ : 164』 トークンを使用した認証 『ページ : 165』 USB フラッシュ デバイスを使用した 2 要素認証 『ページ : 165』 トラステッド プラットフォーム モジュール (TPM) 認証 『ページ : 166 』 メモ : 複数のユーザーが使用するコンピューターでは、各ユーザーに対して 個別の認証方法を設定してください。 メモ :Windows PE または BartPE を使用して認証を行うには、パスフレーズ ユーザーを使用する必要があります。トークンまたは TPM ユーザーはサポー トされません。 パスフレーズとシングル サインオン認証 パスフレーズ認証では、暗号化されたブート ディスクまたはパーティションか らコンピューターを再起動するとき、またはそれ以外の暗号化されたディスク またはパーティションにアクセスするときに使用するパスフレーズを指定しま す。この方法では追加のファイルやハードウェアが不要で、固定ディスクだけ でなくリムーバブル ディスクにも使用できます。 パスフレーズ認証には次の 2 つのオプションがあります。 PGP WDE にのみ使用するパスフレーズを選択できます。 PGP WDE のパスフレーズを Windows アカウントのログオンと同期できま す。これにより、パスフレーズを 1 度入力するだけで、暗号化されたディ スクやパーティションのロック解除と Windows へのログインを行えます。 Windows ログインと同期する場合、このオプションはシングル サインオ ン (SSO) として知られています。 シングル サインオンを設定する手順については、「PGP WDE のシングル サイ ンオンの使用 『ページ : 187』」を参照してください。 公開鍵認証 公開鍵認証では、PGP Whole Disk Encryption を使用してディスクまたはパーテ ィションを暗号化する際に公開鍵を指定します。その公開鍵に対応する秘密鍵 の所有者だけが、ディスクまたはパーティションのコンテンツにアクセスでき ます。このとき、秘密鍵のパスフレーズが必要になります。 公開鍵認証は、システムで使用しているリムーバブル ディスクでのみ使用でき ます。ブート ディスク、パーティション、USB エンクロージャに内蔵されたデ ィスクなどの固定ディスクでは公開鍵認証は使用できず、パスフレーズまたは トークンによる認証のどちらかを使用できます。 164 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 トークンを使用した認証 PGP WDE で固定ディスク (ブート ディスクまたはパーティションを含む) を 暗号化する際に、認証方法としてトークン上の PGP 鍵を使用する場合は、PGP WDE と互換性のあるトークンまたはスマート カードに保存した鍵ペアを使用 する必要があります。互換性のあるデバイスのリストについては、「スマート カードを使用した PGP BootGuard 画面での認証『ページ : 169の"スマート カ ードまたはトークンを使用した PGP BootGuard 画面での認証"参照先 : 』」を 参照してください。 トークン上の鍵ペアを使用すると、トークンを取り外せるため、セキュリティ を強化できます。 ディスクの暗号化を始める前に、使用するデバイスに適切なドライバーをイン ストールする必要があります。詳細については、「認証に使用するトークンの準 備 『ページ : 168の"認証に使用するスマート カードまたはトークンの準備" 参照先 : 』」を参照してください。 USB フラッシュ デバイスを使用した 2 要素認証 システム上のデータのセキュリティを高めるために、2 要素認証を使用するこ ともできます。2 要素認証では、「覚えているもの」(パスフレーズ) と「持って いるもの」(USB フラッシュ ドライブ) を使用して、本人であることが検証され 、ディスクへのアクセス権が与えられます。 2 要素認証を使用する場合は、パスフレーズ ユーザーを作成した後、そのユー ザーを識別する別のハードウェア形式を選択します。USB フラッシュ ドライブ の使用、または、お使いのシステム上でハードウェアが利用できる場合は Trusted Platform Module (TPM) の使用のいずれかを選択してください。 メモ :2 要素認証で USB フラッシュ デバイスを使用する場合は、この認証方 法を有効にするために、USB デバイスが挿入された状態でコンピューターを 再起動する必要があります。USB デバイスを挿入した状態でコンピューター を再起動しない限り、PGP BootGuard 画面での認証にはパスフレーズしか使 用できません。 USB フラッシュ デバイスを使用した 2 要素認証の作成の詳細については、「デ ィスクの暗号化 『ページ : 175』」を参照してください。 165 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 トラステッド プラットフォーム モジュール (TPM) 認証 お使いのシステム上で Trusted Platform Module (TPM) ハードウェアが利用でき る場合は、TPM を使用するオプションが可能です。TPM 認証を行うユーザーを 追加すると、ユーザーは、この特定システム上でのみディスクを認証できるよ うになります (ユーザーはシステムに「ロック」されます)。TPM はパスフレー ズ ユーザーにのみ使用でき、シングル サインオンと連動します。 PGP Whole Disk Encryption は TPM バージョン 1.1 または 1.2 と互換性がありま す。 TPM をサポートし、PGP WDE と互換性があるコンピューターは、次のとおり です。 Hewlett-Packard Compaq nx6325 (Infineon TPM、HP BIOS) Dell D630 (Broadcom TPM) Lenovo ThinkPad T60 (Atmel TPM) Fujitsu LifeBook T2010 (Infineon TPM、Phoenix BIOS) Panasonic Toughbook T5、W5、または Y5 (Infineon TPM、Matsushita BIOS) TPM 製造会社が、TPM の使用に影響を与えるセキュリティ機能を導入している 場合があります。詳細については、システムのマニュアルを参照してください 。 メモ : TPM を出荷時の設定にリセットして消去したり TPM を含むシステム ボードを交換したりすると、TPM に保存された資格情報にアクセスできなく なるため、TPM ユーザーを使用する際に暗号化されたディスクにアクセスで きません。暗号化されたディスクに別の方法でアクセスできるか確認してく ださい (「TPM を使用する際の特別な注意事項」の次のセクションを参照し てください)。 TPM を使用した 2 要素認証の作成の詳細については、「ディスクの暗号化 『ペ ージ : 175』」を参照してください。 TPM を使用する理由 TPM を搭載したコンピューターには、ランダム ビットの発生源としてクエリ および使用できる、オンボードのセキュアな乱数生成器が装備されています。 TPM では 2048 ビットの RSA 鍵を生成、ロード、および処理できます。また、 総当り攻撃対策の機能も備えています。間違ったパスフレーズが何度も入力さ れた場合、TPM はシステムをロックするか、レスポンスを大幅に低下させるこ とで、総当り攻撃によるパスフレーズの類推試行を、時間がかかりすぎて使用 できないようにします。これにより、パスフレーズで保護された TPM 鍵に、ソ フトウェアで実現されるよりも格段に高いレベルのセキュリティが与えられま す。 166 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 TPM を使用する際の特別な注意事項 ディスクを暗号化する前に、システムで TPM の所有権を設定し、TPM を 構成し、暗号化処理を開始する前にシステムを再起動してください。所有 権を取得したら、TPM を編集するために使用される TPM のパスフレーズ (PGP Desktop または Windows とは別) を設定します。所有権を設定する と、TPM で製品を構成して使用することができます。 暗号化されたディスクを認証する別の方法があることを確認してください 。PGP Universal Server で管理された環境で PGP WDE を使用している場合 、ディスク全体リカバリ トークンを使用できます (詳細については、「リ カバリ トークンの作成 『ページ : 204』」を参照してください)。スタン ドアロン環境で PGP WDE を使用している場合、バックアップとしてパス フレーズ ユーザーを作成するか、USB フラッシュ デバイスでパスフレー ズ ユーザーを作成して 2 要素認証を行えるようにします (詳細については 、「ディスクの暗号化 『ページ : 175』」を参照してください)。 暗号化オプションの設定 ディスクを暗号化する準備が完了したら、初期暗号化を開始する手順を確認す る必要があります。 1 暗号化する対象として、ディスク全体または特定のパーティションのどち らかを選択します。「パーティション レベルの暗号化 『ページ : 168』 」を参照してください。 2 暗号化処理中に使用するオプション (電源の瞬断に対する安全対策や暗号 化の高速化など) を選択します。「PGP Whole Disk Encryption オプション の使用 『ページ : 172』」を参照してください。 3 認証方法を選択します。「ディスクの認証方法の選択 『ページ : 163』」 を参照してください。 メモ : トークンを使用した認証を選択する場合、トークンを使用する準 備ができていることを確認してください。「認証に使用するトークンの準 備 『ページ : 168の"認証に使用するスマート カードまたはトークンの 準備"参照先 : 』」を参照してください。 4 「ディスクまたはパーティションの暗号化 『ページ : 手順に従って、ディスクを暗号化します。 173』」で説明す る メモ : PGP Universal Server で管理されたユーザーの場合、パスフレーズ を忘れた際にディスクをリカバリするためのリカバリ トークンが PGP WDE によって作成されます。 「リカバリ トークンの作成『ページ : 204 』」を参照してください。 167 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 パーティション レベルの暗号化 ディスクがパーティションに分割されている場合、ディスク全体を暗号化する のではなく、指定したパーティションを暗号化する方法を選択できます。パー ティションの暗号化は、次の単位で柔軟に行えます。 1 つのディスク パーティション 1 つを除くすべてのディスク パーティション その間の任意の数のパーティション 選択したパーティション上にあるファイル のみが暗号化されます。 パーティション モードでは、Windows パーティショ ンだけを暗号化する場合に、他のオペレーティング システム (Linux など) との デュアルブートがサポートされます。他のオペレーティング システムは、別の 、暗号化されていないパーティションにある必要があります。 メモ : ディスクまたはいずれかのパーティションが暗号化された後は、パー ティションの変更 (たとえば、パーティションの追加や削除、既存のパーテ ィションのサイズ変更) はできません。PGP Whole Disk Encryption でディス クを保護する前に、ディスクが正しいパーティションに分割されていること を確認してください。 認証に使用するスマート カードまたはトークンの準備 認証にスマート カードまたはトークンを使用する場合、互換性のあるデバイス を使用する必要があります (互換性のあるデバイスのリストについては、「スマ ート カードを使用した PGP BootGuard 画面での認証 『ページ : 169の"スマ ート カードまたはトークンを使用した PGP BootGuard 画面での認証"参照先 : 』」を参照してください)。 適切なトークンのモデルを使用してください。 トークンを紛失した場合に備えて、別のユーザー (パスフレーズ ユーザー など) を、暗号化するディスクに追加することを推奨します。 トークンを使用する前に、トークンを使用するシステムにトークンのドラ イバーをインストールしてください。 認証にスマート カードまたはトークンを使用するための要件 暗号化を行う前に、これらの要件を確認して、要件を満たすようにしてくださ い。 168 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 警告 :PGP Whole Disk Encryption を使用して暗号化されたディスクやパーテ ィションの認証にトークン上の鍵ペアを使用することで、セキュリティを強 化できます。ただし、トークンを紛失すると、PGP BootGuard ログイン画面 で認証できなくなり、ディスクまたはパーティション上のすべてのデータが 喪失します。このため、PGP Whole Disk Encryption を使用して暗号化されて いるディスクまたはパーティションに別のユーザー (パスフレーズ、トーク ン、または両方) を追加することを推奨します。これにより、トークンを紛 失したり盗まれたりした場合でも、追加ユーザーがディスクまたはパーティ ションを認証してロック解除できます。 トークン上に保存された鍵ペアのみを使用できます。Aladdin eToken 上に 鍵ペアを作成するか、右クリックによるショートカット メニューから [追 加先] を選択して、既存の鍵ペアをトークンに追加する必要があります。 トークン上に鍵ペアを作成するか、既存の鍵ペアをトークンに追加すると 、その鍵ペアの秘密鍵のパスフレーズはトークンの PIN に変更されます。 Aladdin eToken のデフォルトの PIN は 1234567890 です。これはよく知ら れたデフォルト PIN なので、鍵ペアのセキュリティが大きく損なわれない ようにするため、Aladdin の構成ツールを使用して PIN を直ちに変更する必 要があります。 スマート カードまたはトークンを使用した PGP BootGuard 画面での認証 このセクションでは、システム要件 (互換性のあるスマート カードやトークン およびリーダー) について説明し、PGP BootGuard 画面でスマート カードを使 用して認証する手順について説明します。 互換性のある PGP WDE 認証スマート カード リーダー 次のスマート カード リーダーは、プリブート時のスマート カードとの通信に 使用できます。これらのスマート カード リーダーは、互換性のある任意のリ ムーバブル スマート カードと併用できます (同じブランドのスマート カード とリーダーを使用する必要はありません)。 汎用スマート カード リーダー ほとんどの CCID スマート カード リーダーは互換性があります。次のリーダー が、PGP Corporation によって動作確認されています。 デスクトップ システム用 OMNIKEY CardMan 3121 USB (076b:3021) モバイル システム用 OMNIKEY CardMan 6121 USB (076b:6622) ActivIdentity USB 2.0 リーダー (09c3:0008) SCM Microsystem Smart Card Reader モデル SCR3311 169 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 CyberJack スマート カード リーダー Reiner SCT CyberJack ピンパッド (0c4b:0100)。 ASE スマート カード リーダー Athena ASEDrive IIIe USB リーダー (0dc3:0802) 組み込みスマ ート カード リーダー Dell D430 組み込みリーダー Dell D630 組み込みリーダー Dell D830 組み込みリーダー 互換性のある PGP WDE 認証用スマート カードまたはトークン PGP Whole Disk Encryption では、プリブート認証用として次のスマート カー ドと互換性があります。 ActiveIdentity ActivClientCAC カード、2005 モデル Aladdin eToken PRO 64K、2048 ビット RSA 対応 Aladdin eToken PRO USB 鍵 32K、2048 ビット RSA 対応 Aladdin eToken PRO (2048 ビット機能なしの旧型スマート カード) Aladdin eToken PRO Java 72K Aladdin eToken NG-OTP 32K メモ :フラッシュ付きトークンなどのその他の Aladdin eToken は、互換性 のあるトークンと APDU 互換であれば動作します。VeriSign 製などの Aladdin eToken の OEM バージョンは、互換性のあるトークンと APDU 互 換であれば動作します。 Athena ASEKey Crypto USB トークン Athena ASECard Crypto スマート カード メモ :Athena のトークンは信用されているストレージに対してのみ互換 性があります。 Axalto Cyberflex Access 32K V2 Charismathics CryptoIdentity plug 'n' crypt Smart Card only stick EMC RSA SecurID 800 Rev A、B、および D メモ :このトークンは鍵の格納場所に対してのみ互換性があります。 SecurID は互換性がありません。 EMC RSA Smart Card 5200 170 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 Marx CrypToken USB トークン Rainbow iKey 3000 S-Trust StarCOS スマート カード メモ :S-Trust SECCOS カードは互換性 がありません。 SafeNet iKey 2032 USB トークン SafeNet 330 スマート カード T-Systems Telesec NetKey 3.0 スマート カード T-Systems TCOS 3.0 IEI スマート カード 個人識別検証 (PIV) カ ード ActivClient version 6.1 クライアント ソフトウェアを使用した Oberthur ID-One Cosmo V5.2D 個人識別情報検証カード ActivClient version 6.1 クライアント ソフトウェアを使用した Giesecke お よび Devrient Sm@rtCafe Expert 3.2 個人識別情報検証カード Aladdin eToken に必要なドライバー Aladdin eToken を使用する前に、トークンを使用するシステムに最新のソフト ウェア ドライバーをインストールしてください。Microsoft Windows では、ソ フトウェア ドライバーをインストールしなくてもトークンが一般的なデバイス として認識されることがありますが、PGP Desktop では、適切なソフトウェア ドライバーがインストールされている必要があります。最新のソフトウェア ド ライバーは、Aladdin サポート Web サイト 『 http://www.aladdin.com/support/default.asp』から入手できます。 eToken PKI クライアント (RTE) ドライバー ソフトウェアの最新バージョン ( この文書が作成された時点ではバージョンは 4.5 が最新) をダウンロードして、 システムにインストールしてください。eToken PKI クライアントのドライバー ソフトウェアをシステムにインストールしたら、PGP Desktop を開いて、[PGP 鍵] コントロール ボックスをクリックします。ドライバー ソフトウェアが正 しくインストールされていれば、[PGP 鍵] コントロール ボックスに [スマート カード鍵] が表示されます。 PGP Whole Disk Encryption を使用して暗号化しているディスクまたはパーティ ションの認証方法として [トークン鍵ユーザー] を指定する際に、[鍵の選択] フ ィールドに「適切な鍵がありません」と表示される場合、次のいずれかの原因が 考えられます。 Aladdin eToken が挿入されていない。 ドライバー ソフトウェアのバージョンが正しくないか、正しくインストー ルされていない。 トークンの鍵ペアが使用できないか、eToken に鍵がない (eToken が空で ある)。 171 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Whole Disk Encryption オプションの使用 PGP Whole Disk Encryption 機能には、ディスクまたはパーティションを保護す る前に選択可能な次の 2 つのオプションがあります。 [最大 CPU 使用率] : PGP Whole Disk Encryption で最も高速かつ安全にディ スクの初期暗号化を行う方法です。高速化は、暗号化処理がコンピュータ ーで実行される他の処理よりも優先されることによって、主に実現されま す。暗号化処理中にコンピューターから離れる場合は、このオプションを 推奨します。 [電源の瞬断に対する安全対策] : コンピューターを適切にシャットダウン したり再起動したりすることによって初期暗号化処理をいつでも一時停止 できますが、予期しないシャットダウン (電源の瞬断、電源コードが外れ るなど) を回避することは特に重要です。このような事態が発生する可能 性がある場合や、コンピューターに無停電電源装置 (UPS) が取り付けられ ていない場合は、[電源の瞬断に対する安全対策] オプションを選択するこ とを推奨します。[電源の瞬断に対する安全対策] を選択すると、暗号化の ジャーナルが記録され、電源が瞬断した場合に暗号化処理が中断された時 点から安全かつ正確に再開されます。ただし、このオプションを選択する と、オプションを選択していない場合に比べて、初期暗号化が完了するの に数倍の時間がかかることがあります。 このオプションは、USB デバイスを暗号化する場合にも便利です。このオ プションを有効にしないで暗号化処理中に USB デバイスを取り外すと、デ バイスが破損して再フォーマットが必要になることがあります。[電源の瞬 断に対する安全対策] を有効にして暗号化すると、暗号化処理中に USB デ バイスを取り外しても、再度接続したときに暗号化を再開できます。 次の表を参考にして、使用している環境に最適なオプションを選択してくださ い。 オプション 利点 注意事項 選択なし (標準 処理速度と安全性のバラ 暗号化は普通の速度で実 ) ンスを保ちながら、ディ 行されます。 スクまたはパーティショ 暗号化処理中にコンピュ ンを暗号化します。 ーターの予期しないシャ ディスクまたはパーティ ットダウンが発生しない ションの暗号化中も、コ ように注意してください ンピューターを使用でき 。データが喪失する場合 があります。 ます。 ほとんどのユーザーにと って最適です。 172 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 オプション 利点 注意事項 [最大 CPU 使用 通常よりも高速にディス このオプションではコン 率] クまたはパーティション ピューターの処理能力が 最大限に使用されるため を暗号化します。 、ディスクまたはパーテ また、安全性についても ィションが暗号化されて 、標準の暗号化と同じレ いる間、コンピューター ベルの安全性が確保され の応答が通常よりかなり ます。 遅くなります。 [電源の瞬断に ディスクまたはパーティ 通常よりも時間が長くか 対する安全対策 ションの暗号化処理中に かります。 ] 電源の瞬断が発生した場 合でも、安全かつ簡単に 暗号化を再開できます。 電源異常が発生する可能 性のある環境に適してい ます。 両方のオプショ [電源の瞬断に対する安 ただし、通常の処理速度 ン 全対策] オプションの高 と比較すると、かなり低 度な安全機能によって、 くなります。 ディスクまたはパーティ ションを保護します。 [電源の瞬断に対する安 全対策] オプション単独 の場合よりも高速に暗号 化されます。 ディスクまたはパーティションの暗号化 ディスクの準備が完了して暗号化のオプションを指定したら、ディスクまたは パーティションを暗号化できます。開始する前に、次の点に注意してください 。 PGP Whole Disk Encryption を使用して保護されている固定ディスクの認証 に USB トークンを使用している場合は、正しいトークンを用意し、適切な ドライバー ソフトウェアがインストールされていることを確認してくださ い。詳細については、「トークンを使用した認証 『ページ : 165』」を参 照してください。 173 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 メモ : トークンを使用した認証では、シングル サインオンは使用できま せん。 暗号化処理中も問題なくコンピューターを使用できますが、通常よりもパ フォーマンスは低下します。暗号化処理が完了すると、通常のパフォーマ ンスに戻ります。 コンピューターが使用中であることが PGP Desktop に検出されると、暗号 化処理が自動的に減速されます。逆に、暗号化の初期段階でコンピュータ ーを使用しないようにすると、暗号化処理は加速されます。 暗号化が行われている間、PGP Desktop の画面表示を最小化しておくか、 閉じておくことができます。最小化しても処理には問題がなく、暗号化処 理の速度が向上します。 暗号化処理を一時的に停止するには、[停止] をクリックしてから、ダイア ログ ボックスで [一時停止] をクリックします。再開するには [再開] をク リックします。[再開] ボタンをクリックした後で認証が必要な場合もあり ます。 暗号化処理が完了する前にシステムをシャットダウンするには、通常のシ ャットダウン手順を実行してください。処理を一時停止する必要はありま せん。コンピューターを再起動すると、暗号化処理が中断された位置から 自動的に再開します。 暗号化、復号化、再暗号化は、一度に 1 つのディスクまたはパーティショ ンにのみ実行できます。1 つのディスクまたはパーティションで処理を開 始すると、その処理が完了するまで他のディスクまたはパーティションの 暗号化を開始できません。最初の処理を一時停止しても、次の処理は開始 できません。 PGP WDE のパスフレーズでサポートされる文字 PGP Whole Disk Encryption 機能では、パスフレーズを作成する際に、半角英数 字、句読点、標準のメタ文字、および拡張 ASCII 文字がサポートされます。タ ブおよび制御文字はサポートされません。パスフレーズを選択する際は、次の 点に注意してください。 サポートされている文字は、次のとおりです。 abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 `~!@#$%^&*()_+={}\|:;[]'"<>,.?/- 下表は、関連キーボードでパスフレーズの一部として入力された場合にサポー トされない文字のリストです。 174 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 キーボード サポートされていない文字 イタリア語 (イタリア) `~ ヘブライ語 (イスラエル) abcdefghijklmnopqrstuvwxyz` ロシア語 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRSTUVWXYZ`@#$^&{}|[]'<>~ (ロシア) ボスニア語 ( ボスニア、 キリル) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRSTUVWXYZ ブルガリア語 (ブルガリア) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRSTUWXYZ'[]<>{}@#$^&* ポーランド語 []| (ポーランド、 214 キー) セルビア語 (セルビア、 キリル) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRSTUVWXYZ[]{}|@^ ウクライナ語 (ウクライナ) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRSTUVWXYZ'[]`<>{}|~@#$^& ディスクの暗号化 ラップトップやコンピューターを失くしたり、盗まれたり、ディスクを復号化 できなかったりした場合にデータを喪失しないように、ディスクを暗号化する 前に必ずバックアップを作成してください。 暗号化、復号化、再暗号化は、一度に 1 つのディスクまたはパーティションに のみ実行できます。1 つのディスクまたはパーティションで処理を開始すると 、その処理が完了するまで他のディスクまたはパーティションの暗号化を開始 できません。最初の処理を一時停止しても、次の処理は開始できません。 注意 : ディスクが暗号化されている間は、オペレーティング システムの更 新が表示されても、インストールしないでください。もし、更新が自動的に インストールされた場合は、暗号化が完了するまで、コンピューターを再起 動しないでください。 175 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Whole Disk Encryption を使用してディスクまたはパーティションを保 護するには、次の手順に従います。 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリック します。[PGP ディスク] コントロール ボックスがハイライトされます。 2 [ディスク全体の暗号化] をクリックします。Partition)(ディスク全体(パーテ ィション)の暗号化 作業領域が表示され、PGP ディスク全体暗号化で保護 することができるコンピューター上のディスクの一覧 (ディスク、ディス ク パーティション、リムーバブル ディスクなど)が表示されます。 3 ディスク全体 (パーティション) の暗号化の作業領域で一番上にある [暗号 化するディスクまたはパーティションの選択] セクションで、PGP Whole Disk Encryption を使用して保護するコンピューター上のディスクまたはパ ーティションをクリックします。 4 [暗号化オプション] で、使用する項目があれば選択します。オプションの 詳細については、「PGP Whole Disk Encryption オプションの使用 『ペー ジ : 172』」を参照してください。 5 [ユーザー アクセス] セクションで、保護されたディスクまたはパーティシ ョンにアクセスする方法を指定します。 [トークン ベースの公開鍵ユーザー] : システム上の固定 (リムーバブ ルでない) ディスクを保護する場合は、次の操作を行います。 176 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 鍵に関連付けられたユーザー名または電子メール アドレスを入 力し、Enter キーを押して鍵を検索します。[ユーザー鍵の追加] も選択できます。鍵リング上の鍵ペアのリストが表示されます。 [鍵ソース] ボックスから、使用する公開鍵を 1 つまたは複数選択 します。[追加] をクリックして [追加する鍵] フィールドに鍵を 移動し、次に [OK] をクリックします。[暗号化] をクリックしま す。 [パスフレーズ ユーザー] : ディスクまたはパーティションを公開鍵で 保護する場合は、[新規パスフレーズ ユーザー] を選択します。PGP ディスク アシスタント : Whole Disk Encryption - [ディスク新規ユ ーザー] ダイアログ ボックスが表示されます。 暗号化されたディスクを、Windows アカウントのログオンを使 用してロック解除するには、[Windows パスワードを使用] を選 択してから、[次へ] をクリックします。PGP ディスク アシスタ ントの [2 要素認証] ダイアログ ボックスで、[パスフレーズ認 証のみで続行する] を選択して、[次へ] をクリックします。PGP ディスク アシスタントの [Windows アカウント ログオン] ダ イアログ ボックスで、Windows のユーザー名、ドメイン、お よびパスワードを入力して、[次へ] をクリックします。[完了] をクリックします。 [Windows パスワードを使用] オプションを選択する場合は、初期暗 号化の後、コンピューターが起動したときに [PGP BootGuard] 画面 が表示された時点で Windows パスワードを使用してください。PGP シングル サインオン (SSO) 機能によって、Windows に自動的にロ グインされるため、ユーザーはパスフレーズを 1 度入力するだけで 済みます。(これがシングル サインオン機能です。詳細については 、「PGP WDE シングル サインオンの使用 『ページ : 187の"PGP WDE のシングル サインオンの使用"参照先 : 』」を参照してくださ い。) 暗号化されたディスクまたはパーティションを、新規パスフレー ズを使用してロック解除するには、[新規パスフレーズを作成] を選択してから、[次へ] をクリックします。PGP ディスク アシ スタントの [2 要素認証] ダイアログ ボックスで、[パスフレー ズ認証のみで続行する] を選択して、[次へ] をクリックします。 PGP ディスク アシスタントの [ユーザー名とパスフレーズの作 成] ダイアログ ボックスで、新しいユーザーの名前と、そのユ ーザーに関連付けるパスフレーズを入力します。パスフレーズを [確認] フィールドに再度入力して、[次へ] をクリックします。[ 完了] をクリックします。 暗号化されたディスクまたはパーティションを、パスフレーズと USB フラッシュ ドライブで 2 要素認証を使用してロック解除す るには、[新規パスフレーズを作成] を選択してから、[次へ] を クリックします。 177 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP ディスク アシスタントの [2 要素認証] ダイアログ ボックスで 、[汎用 USB フラッシュ デバイス] を選択し、リストからデバイス を選択して、[次へ] をクリックします。PGP ディスク アシスタント の [ユーザー名とパスフレーズの作成] ダイアログ ボックスで、新 しいユーザーの名前と、そのユーザーに関連付けるパスフレーズを 入力します。パスフレーズを [確認] フィールドに再度入力して、[ 次へ] をクリックします。[完了] をクリックします。 暗号化されたディスクまたはパーティションを、パスフレーズと TPM で 2 要素認証を使用してロック解除するには、[新規パスフ レーズを作成] を選択してから、[次へ] をクリックします。PGP ディスク アシスタントの [2 要素認証] ダイアログ ボックスで 、[トラステッド プラットフォーム モジュール (TPM)] を選択 して、[次へ] をクリックします。PGP ディスク アシスタントの [ユーザー名とパスフレーズの作成] ダイアログ ボックスで、新 しいユーザーの名前と、そのユーザーに関連付けるパスフレーズ を入力します。パスフレーズを [確認] フィールドに再度入力し て、[次へ] をクリックします。[完了] をクリックします。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入 力した文字は画面に表示されません。ただし、誰にも見られていないこと が確実である (背後から覗かれたり、モニターから放射される無線波がス キャンされたりしていない) 場合、入力中にパスフレーズの文字を表示す るには、[キーボード入力の表示] チェック ボックスをオンにします。「パ スフレーズの品質バー 『ページ : 344』」を参照してください。 注意 : PGP Whole Disk Encryptionで保護されたディスクまたはパーティ ションに対してパスフレーズを作成する際は、サポートされているキーボ ード配列を使用することを強く推奨します (詳細については、「サポート されているキーボード 『ページ : 158』」を参照してください)。PGP BootGuardのログイン画面では、パスフレーズを入力して認証する際にこ れらのキーボード配列のいずれかを使用していることが想定されています 。異なるキーボード配列を使用すると、認証時に問題が発生する場合があ ります。詳細については、「PGP BootGuard画面での認証『ページ : 180 』」を参照してください。 6 必要なユーザー アクセスが設定されていることを確認して、[暗号化] をク リックします。 7 ダイアログ ボックスの情報を読んでから、[OK] をクリックします。 8 ディスクの何パーセントが暗号化されたかを確認するには、暗号化プログ レス バーを参照します。 9 暗号化処理を一時的に停止するには、[停止] をクリックしてから、表示さ れるダイアログ ボックスで [一時停止] をクリックします。再開するには 、[再開] をクリックします。適切なパスフレーズを入力するための指示が 表示される場合があります。 178 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 メモ : 暗号化処理が停止し、ディスクの読み取りまたは書き込みエラー が表示された場合、暗号化中にディスクまたはパーティションに不良セク ターが検出されたことを意味します。暗号化を続行するか、処理を中断し てエラーを修復できます。「暗号化中のディスク エラーの検出 『ページ : 179』」を参照してください。PGP Desktop を PGP Universal Server で管 理された環境で使用している場合、暗号化中に検出された不良セクターは PGP Universal Server にログされ、暗号化処理は続行されます。 暗号化処理が完了すると、ユーザー アクセス セクションにディスクを暗 号化するために使用したユーザーが表示され、新たなユーザーを追加した り、パスフレーズを変更したり、ユーザーを削除できるように、追加ユー ザーのアクセス オプションが利用できるようになります。 10 ディスクが暗号化されたら、リカバリ ディスクを作成することを推奨しま す。詳細については、「リカバリ ディスクの作成 『ページ : 206の"リカ バリ ディスクの作成と使用"参照先 : 』」を参照してください。 暗号化中のディスク エラーの検出 メモ : PGP Desktop を PGP Universal Server 管理環境下で使用している場合 、暗号化中に検出された不良セクターは PGP Universal Server にログされ、 暗号化処理が続行されます。 多くのハード ディスクには、不良セクターがあります。PGP WDE による暗号 化中にディスクの不良セクターが検出されると、暗号化が一時停止します。こ のとき、PGP WDE でディスク エラーが検出されたことを示す警告メッセージ が表示されます (このエラーは暗号化とは無関係であり、ハード ディスクの保 守が必要であることを示しています)。 次の操作のいずれかを実行できます。 [はい] をクリックして、暗号化を強制的に続行する。ディスク エラーが検 出されることは珍しくありませんが、問題がない場合もよくあります。[は い] をクリックすると、暗号化処理が続行され、以降のエラーは PGP WDE で無視されます。 [いいえ] をクリックして暗号化を中止し、ディスクを完全に復号化して、 次に SpinRite や Norton Disk Doctor などのツールを使用してディスク エラ ーを修復した後で、ディスクの暗号化を再試行する。ディスクの断片化が かなり進んでいる場合や、多くの不良セクターが存在することが判明した 場合は、そのディスクを暗号化する前にハード ディスクに必要な保守作業 を直ちに実行してください。 179 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP WDE で暗号化されたディスクの使用 PGP Whole Disk Encryption を使用してシステム上のブート ディスクまたはセ カンダリ固定ディスクを保護すると、コンピューターはそれまでとは異なる方 法で起動します。電源を入れると、最初に PGP BootGuard ログイン画面が表示 され、パスフレーズを入力するための指示が表示されます。 次に、PGP WDE によってディスクが復号化されます。シングル サインオン機 能を有効にしている場合 (つまり、PGP WDE のパスフレーズを Windows アカ ウントのログオンと同期している場合)、Windows にもログオンされます。 PGP WDE で暗号化されたディスクを使用すると、必要に応じて自動的に復号 化されて開きます。最近のほとんどのコンピューターでは、ディスクを完全に 暗号化しても、パフォーマンスが目立って低下することはありません。 ディスクまたはパーティションをロック解除すると、システムを物理的に使用 できるすべてのユーザーが、そのディスクまたはパーティションに保存されて いるファイルを使用できるようになります。これらのファイルは、コンピュー ターをシャットダウンして再びロックするまでは、ロック解除された状態のま まです。 警告 :ファイルは再度ロックするまでロック解除されたままになるため、コ ンピューターの使用中にもファイルをセキュアにする必要がある場合は、 PGP 仮想ディスク ボリュームを使用できます。「PGP 仮想ディスクの使用 『ページ : 215』」を参照してください。 暗号化されたブート ディスクまたはパーティションを持つシステムをシャット ダウンした場合や、暗号化されたリムーバブル ディスクをシステムから取り外 した場合は、そのディスクやパーティション上のファイルはすべて暗号化され て完全に保護されたままになります。ディスクやパーティションに、暗号化さ れていない形式でデータが書き込まれることはありません。ファイルに再びア クセスするには、適切な認証 (パスフレーズ、トークン、または秘密鍵) が必要 です。 PGP BootGuard 画面での認証 PGP BootGuard ログイン画面では、次の 2 つの理由のどちらかにより、保護さ れているディスクまたはパーティションに対して適切なパスフレーズを入力す るための指示が表示されます。 180 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 ブート ディスクまたはパーティションが PGP Whole Disk Encryption を使 用して保護されている場合、システムを起動するには正しく認証する必要 があります。これは、システムの起動を制御するオペレーティング システ ムのファイルが暗号化されており、システムの起動に使用する前に復号化 する必要があるためです。ブート ディスクまたはパーティションを初めて 暗号化したときにシングル サインオンのオプションを選択した場合、PGP シングル サインオン機能によって、ユーザーは自動的に Windows にログ インされます。 セカンダリ固定ディスクまたはパーティションが PGP Whole Disk Encryption を使用して保護されている場合、コンピューターの起動時に認 証すれば、後でそのセカンダリ ディスクまたはパーティション上のファイ ルを使用する際に認証する必要はありません。セカンダリ (ブート用でな い) ディスクまたはパーティション上のファイルはコンピューターの起動 に必要でないため、コンピューターの起動時には認証が要求されません。 管理者権限があり、PGP Universal Server ポリシーが許可している場合、 バイパス機能を使用すると、コンピューター起動時の認証を省略できます 。この場合、後でセカンダリ ディスクまたはパーティション上のファイル を使用する際に認証が要求されます。 メモ : PGP BootGuard ログイン画面では、暗号化されたドライブやパーティ ションに構成されているどのユーザーの認証情報も使用できます。たとえば 、同じシステム上で 2 人のユーザーがブート ディスクまたはパーティション に構成されていて、別の 2 人のユーザーがセカンダリ固定ディスクまたはパ ーティションに構成されている場合、セカンダリ ディスクまたはパーティシ ョンに構成されている 2 人のユーザーも含め、構成されている 4 人のユーザ ーのいずれも、システムの起動時に PGP BootGuard ログイン画面で自分のパ スフレーズを使用して認証できます。 PGP BootGuard のログイン画面では、次の操作を実行できます。 システム上の暗号化されたブートまたはセカンダリ ディスク、あるいはパ ーティションの認証 システム上のディスクまたはパーティションに関する情報の表示、および バイパス機能へのアクセス (PGP Universal Policy が許可している場合のみ 管理者権限のユーザーがバイパスを使用できます)。 キーボード配列の選択 PGP Universal Server で管理された環境で PGP Desktop を使用している場合、 PGP 管理者が [PGP Whole Disk Encryption BootGuard] 画面をカスタマイズし て、追加のテキストや組織のロゴなどのカスタム イメージを組み込んでいる場 合があります。このガイドに掲載されている図は、デフォルトのインストール 環境を示しています。管理者が画面をカスタマイズしている場合は、実際のロ グイン画面の外観が異なる場合があります。 181 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP BootGuard ログイン画面を使用して認証するには、次の手順に従います 。 1 PGP Whole Disk Encryption で保護されたディスクまたはパーティションを 持つシステムを起動または再起動します。システムの起動時に、PGP BootGuard ログイン画面が表示されます。 メモ :2 要素認証に USB デバイスを使用している場合、システムを起動ま たは再起動する前に、USB デバイスが正しく挿入されていることを確認 してください。 2 有効なパスフレーズまたは Windows パスワードを入力して、Enter キーを 押します。 注意 : PGP BootGuardログイン画面では、ユーザーがパスフレーズを入 力する際に、サポートされているキーボード配列のいずれかを使用してい ることが想定されています。異なるキーボード配列を使用してPGP Whole Disk Encryptionで保護されたディスクまたはパーティション用の パスフレーズを作成した場合、キーボード配列間のマッピングが異なるこ とが原因で認証時に問題が発生することがあります。「キーボード配列の 選択 『ページ : 185』」を参照してください。 入力する文字を表示するには、入力し始める前に Tab キーを押します。 間違って入力した場合、または間違って入力したと思われる場合は、Esc キーを押して文字をすべて消去してからやり直します。 182 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 ローカル自己修復が構成されていて、パスフレーズを忘れた場合、[パスフ レーズを忘れた場合] を選択します。詳細については、「ローカル自己修復 の使用 『ページ : 196の"パスフレーズを忘れた場合"参照先 : 』」を参 照してください。 メモ :PGP BootGuard のトークン認証では、Enter キー単独でなく Ctrl キ ーを押しながら Enter キーを押す必要があります。また、PGP BootGuard でトークンが認証されている間、わずかな遅延が生じることもあります。 3 正しいパスフレーズを入力した場合は、PGP BootGuard ログイン画面が閉 じて、システムが正常に起動します。 ブート ディスクを最初に暗号化したときに Windows アカウント ログオン を使用した認証を選択すると、PGP Whole Disk Encryption 機能によって自 動的に Windows にログインされます。パスフレーズは 1 度しか入力する必 要はありません。 無効なパスフレーズを入力した場合は、エラー メッセージが表示されます 。その場合は、パスフレーズを再度入力してください。 タブレット PC の仮想キーボードを使用した認証 このセクションでは、[PGP BootGuard] 画面でタブレット PC の仮想キーボード を使用してパスフレーズを入力して認証する方法を説明します。 次の手順では、[PGP BootGuard] 画面に表示される仮想キーボードの使用方法 を説明します。システムをドックしている場合やシステムに外付けキーボード を直接接続している場合は、そのキーボードを使用して認証することもできま す。 183 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 仮想キーボードを使用するには、次の手順に従います。 1 コンピューターを再起動すると、[PGP BootGuard] 画面が表示されます。 この画面には仮想キーボードが表示されます。 2 仮想キーボードを使用して (ペンまたは指先で) パスフレーズを入力します 。 3 完了したら、仮想キーボードの Enter キーを押します。 メモ :[PGP BootGuard] 画面に表示される [続行] および [詳細] メニュー ア イテムはボタンではないため、タブレット PC のタッチ スクリーンを使用し て選択することはできません。 認証時の音 PGP Universal Server で管理された環境で PGP Desktop を使用しており、PGP 管理者によってこのオプションが有効にされている場合は、PGP BootGuard 認 証時に音が鳴ります。パスフレーズの入力時、認証の成功時、または失敗時を 示す 3 種類のトーンの組み合わせがあります。 各状態を示す音は、中-高、中-中、または中-低の音の組み合わせです。 まず、パスフレーズや PIN の入力準備ができると、中-中 (準備完了) の音 が出ます。この音が聞こえたら、パスフレーズを入力して Enter キーを押 してください。 パスフレーズの入力後、パスフレーズ認証の成功または失敗によって異な るトーンの音が出ます。 パスフレーズ認証が成功した場合は、中-高の音が出て、コンピュータ ーは起動を続行します。 184 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 パスフレーズ認証が失敗した場合は、中-低の音が出ます。PGP BootGuard の認証画面が表示され、パスフレーズ フィールドがクリ アされているので、パスフレーズを再入力できます。 PGP 管理者は、これらの音をカスタマイズすることはできません。管理者は、 PGP BootGuard での認証中に音を有効にするかどうかのみ指定できます。 PGP BootGuard 画面でロックアウトされる PGP Universal で管理された環境で PGP Desktop を使用している場合は、PGP BootGuard ロックアウトが PGP 管理者によって指定されている可能性がありま す。PGP BootGuard 画面でのパスフレーズの入力試行回数が最大許容数を超え ると、"ロックアウト" されます。このことは、パスフレーズ ユーザーにのみ当 てはまります (トークンまたは TPM のユーザーは影響を受けません)。 ロックアウトを削除するには、PGP 管理者に問い合わせてください。 キーボード配列の選択 PGP Whole Disk Encryption のログイン画面では、次のキーボード配列がサポー トされます。 ベルギー語 (ベルギー、コンマ) ベルギー語 (ベルギー、ピリオド) ボスニア語 (ボスニア) ボスニア語 (ボスニア、キリル) ブルガリア語 (ブルガリア) ブルガリア語 (ブルガリア、ラテン) ブルガリア語 (ブルガリア、タイプライター) カナダ マルチリンガル標準 (カナダ) 簡体字中国語 (中国、シンガポール) 繁体字中国語 (香港、台湾) クロアチア語 (クロアチア) チェコ語 (チェコ、QWERTY) デンマーク語 (デンマーク) オランダ語 (オランダ) 英語 (米国) 英語 (英国) 英語 (米国 - インターナショナル) 185 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 エストニア語 (エストニア) フィンランド語 (フィンランド) フランス語 (ベルギー) フランス語 (カナダ) フランス語 (フランス) フランス語 (スイス) ドイツ語 (ドイツ、オーストリア) ドイツ語 (IBM) ドイツ語 (スイス) ヘブライ語 (イスラエル) ハンガリー語 (ハンガリー) ハンガリー語 (ハンガリー、101 キー) アイスランド語 (アイスランド) アイルランド語 (アイルランド) イタリア語 (イタリア) イタリア語 (イタリア、142 キー) 日本語 (日本) 韓国語 (韓国) ノルウェー語 (ノルウェー) ポーランド語 (ポーランド、プログラマ) ポーランド語 (ポーランド、214 キーボード) ポルトガル語 (ブラジル、ABNT キーボード) ポルトガル語 (ブラジル、ABNT2 キーボード) ポルトガル語 (ポルトガル) ルーマニア語 (ルーマニア) ロシア語 (ロシア、キリル) セルビア語 (セルビア モンテネグロ、キリル) セルビア語 (セルビア モンテネグロ、ラテン) スロバキア語 (スロバキア) スロベニア語 (スロベニア) スペイン語 (スペイン) スペイン語 (中南米) 186 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 スペイン語 (バリエーション) スウェーデン語 (スウェーデン) トルコ語 (トルコ、F) トルコ語 (トルコ、Q) ウクライナ語 (ウクライナ) 異なるキーボード配列では文字のマッピングが異なる場合があり、パスフレー ズを入力して認証する際に問題が発生することがあります。使用しているキー ボードの配列に最も類似したキーボート配列を選択して、認証するたびに同じ 配列を使用してください。 キーボード配列を選択するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されているディスクまたはパー ティションを持つコンピューターを起動または再起動します。システムの 起動時に、PGP BootGuard ログイン画面が表示されます。 2 [キーボード] がハイライトされるまで、キーボードの下矢印キーを押しま す。 3 Enter キーを押します。キーボード配列画面が表示されます。 4 Tab キーを押して、フォーカスをキーボード配列の一覧に移動します。次 に、キーボードの上矢印キーおよび下矢印キーを使用して、必要なキーボ ード配列を選択します。 5 Tab キーを再度押します。[戻る] オプションがハイライトされます。 6 Enter キーを押します。PGP BootGuard のログイン画面が再び表示されま す。 PGP WDE のシングル サインオンの使用 シングル サインオンを使用すると、既存の Windows パスフレーズを使用して 、PGP WDE で暗号化されたドライブの認証と Windows への自動ログインの両 方を行えます。 シングル サインオンのしくみ シングル サインオンでは、Windows のログイン動作をカスタマイズするため に Microsoft Windows に用意されている方法のうちの 1 つを利用します。ユー ザーがログインしようとすると、PGP WDE はそのユーザーが構成した認証情 報を使用して、特定のレジストリ エントリを動的に作成します。 187 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 メモ : Windows パスワードがレジストリに保存されたり、暗号化、クリア テキストのいずれの形式でもディスクに保存されたりすることは決してあり ません。 シングル サインオンを使用するための必要条件 PGP Whole Disk Encryption がインストールされている必要があります。 ローカル ユーザーとシングル サインオン コンピューターがドメインのメンバーでない場合に、シングル サインオン ユ ーザーがディスクに追加されると、PGP Whole Disk Encryption により「ようこ そ画面を使用する」や「ユーザーの簡易切り替え」(ようこそ画面に依存) などの 一部のユーザー アクセス機能が自動的に無効になります。これにより、Ctrl キ ーと Alt キーを押しながら Del キーを押すと [Windows セキュリティ] パネルが 使用可能になります。 これらの機能は、コンピューターがドメインのメンバーである場合は自動的に 無効になっています。 シングル サインオンを使用するディスクの暗号化 シングル サインオンを使用するディスクを暗号化するには、次の手順に従い ます。 1 [PGP ディスク] コントロール ボックスをクリックして、[ディスク全体の 暗号化] を選択します。 2 暗号化するディスクまたはパーティションを選択し、必要に応じて PGP Whole Disk Encryption のオプションを選択します。これらのオプションの 詳細については、「暗号化オプションの設定 『ページ : 167』」を参照し てください。 3 [ユーザー アクセス] セクションで、[新規パスフレーズ ユーザー] を選択 します。 4 [Windows パスワードを使用] を選択してから、[次へ] をクリックします 。 5 Windows のログイン パスワードを入力してから、[完了] をクリックしま す。 188 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Whole Disk Encryption によって、名前がドメイン全体で有効であるこ と、および Windows パスワードが正しいことが検証されます。また、PGP Whole Disk Encryption では、許可されている文字だけがパスワードに含ま れているかどうかも確認されます。許可されない文字がパスワードに含ま れている場合は、続行できません。使用できる文字の詳細については、「 PGP Whole Disk Encryption のパスフレーズでサポートされる文字 『ペー ジ : 174の"PGP WDE のパスフレーズでサポートされる文字"参照先 : 』 」を参照してください。 6 [暗号化] をクリックしてから、[OK] をクリックします。 複数ユーザーとシングル サインオン シングル サインオンには最高 28 ユーザーを構成できます。ただしシングル サ インオン ユーザーは、できるだけ少数の、システムを共有する必要があるユー ザーだけに制限することを推奨します。1 つの暗号化されたコンピューターを 多数のユーザーが共有することは、技術的には可能であっても安全な方法では ありません。このような使用はできるだけ避けてください。 メモ : シングル サインオン機能はパスフレーズのみです。シングル サイン オンにはユーザーの鍵は使用できません。また、この機能にはスマート カー ドやトークンとの互換性もありません。 シングル サインオンによるログイン シングル サインオンを構成してあると、システムの起動時に PGP BootGuard 画面が表示されます。正しいユーザー名とパスワードを入力すると、PGP WDE によって Windows セッションへのログインが行われ、PGP WDE で暗号化され たディスク パーティションにアクセスできるようになります。 シングル サインオンのパスフレーズの変更 Windows のパスワード変更を PGP WDE と同期するには、[Windows セキュリ ティ] ダイアログ ボックスの [パスワードの変更] 機能を使用して、シングル サインオンのパスワードを変更する必要があります。このダイアログ ボックス は、Ctrl キーと Alt キーを押しながら Del キーを押すと表示されます。 パスフレーズを変更するには、次の手順に従います。 1 Ctrl キーと Alt キーを押しながら Del キーを押します。 2 古いパスワードを入力します。 3 新しいパスワードを入力して、確認のため再度入力します。 189 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 4 [OK] をクリックします。 シングル サインオンによって、この新しいパスワードの同期が自動的かつ 透過的に行われます。次回のログインでは、新しいパスフレーズを直ちに 使用できます。 注意 : ドメイン コントローラー、Windowsのコントロール パネル、システ ム管理者、別のシステム経由などの他の方法でパスワードを変更すると、 PGP BootGuard画面での次回のログインに失敗します。その場合は、古い Windowsパスワードを入力する必要があります。古いWindowsパスワードを 使用してPGP BootGuard画面でログインに成功すると、Windowsログインの ユーザー名とパスワードの画面が表示されます。ここで新しいWindowsパス ワードを使用して正しくログインする必要があります。この時点でPGP WDE によって新しいパスワードとの同期が行われます。 Windows のログイン ダイアログ ボックスの表示 PGP WDE をシングル サインオン (SSO : Single Sign-On) と共に使用する場合 は、PGP BootGuard にパスフレーズを正しく入力すると、自動的にコンピュー ターにログインします。Windows が起動すると、まもなく Windows デスクト ップが表示されます。 ただし、自動的にログインするのではなく、Windows ログイン ダイアログ ボ ックスを使用してコンピューターにログインしなければならない場合もありま す。たとえば、SSO を使用するとバイパスされる、特定のネットワーク (企業 の VPN など) のダイアログ ボックスにアクセスする必要が生じる場合がありま す。 PGP WDE SSO によるログインをスキップし、Windows ログインを表示する には、次の手順に従います。 1 通常どおり、パスフレーズを入力して Enter キーを押し、PGP BootGuard 画面でコンピューターにログインします。 2 Microsoft Windows のスプラッシュ画面が表示されたら、Windows ログイ ン ダイアログ ボックスが表示されるまで Shift キーを押したままにします 。スプラッシュ画面が Windows 起動プロセスの半分程進んだら、Shift キ ーを押してください。 3 Windows ログイン ダイアログ ボックスが表示されたら、情報を入力して システムにログインします。 190 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 ディスクのセキュリティの維持 次のセクションでは、PGP WDE で暗号化したディスクの使用方法について説 明します。 ディスクまたはパーティションの情報の取得 PGP BootGuard の詳細ログイン画面で読み取り専用のディスクまたはパーテ ィションの情報を取得するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティ ションを持つシステムを起動または再起動します。システムの起動時に、 PGP BootGuard ログイン画面が表示されます。 2 キーボードの↓キーを押します。右下隅の [詳細] がハイライトされます。 3 Enter キーを押します。PGP BootGuard の詳細ログイン画面が表示されま す。 この画面には、次の情報が表示されます。 4 システム上のすべてのディスクおよびパーティション。PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティション の暗号化ステータスも表示されます。 コンピューターの名前 (PGP Universal Server のポリシーで許可され ている場合)。コンピューターの名前を変更した直後は、システムをロ グアウトまたは再起動するまで、この画面でコンピューターの名前は 更新されません。 コンピューター ID。 現在選択されているディスクまたはパーティション。さらに、選択さ れたディスクまたはパーティションでバイパス機能が有効かどうかの 情報も表示されます。(バイパス機能は PGP Universal Policy が許可し ている場合のみシステムで管理者権限のあるユーザーが使用できます) 。 PGP BootGuard ログイン画面に戻るには、画面の右下の [戻る] をハイラ イトしてから Enter キーを押します。 191 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 システム パーティションの変更 PGP WDE で暗号化されたブート ディスクでは、システム パーティションを 変更しないでください。変更すると、次回の起動が正常に行われなくなります 。暗号化されたディスクのパーティションを変更する必要がある場合は、先に ディスクを復号化してからパーティションの変更を行ってください。 バイパス機能の使用 メモ : この機能は、PGP Universal Server のポリシーで許可されている場合 にのみ、システムで管理者権限のあるユーザーが使用できます。 バイパス機能を使用すると、コンピューター起動時の認証をスキップできます 。ブート ディスクまたはパーティションは PGP Whole Disk Encryption を使用 して保護されていないがシステム上の別の固定ディスクまたはパーティション は保護されている場合、PGP BootGuard のログイン画面が起動時に表示されま す。このような場合はバイパス機能を使用して認証をスキップし、ブート ディ スクまたはパーティションから起動できます。 注意 : バイパス機能を使用できるのは、ブート ディスクまたはパーティシ ョンがPGP Whole Disk Encryptionで保護されていない場合だけです。ブート ディスクまたはパーティションが保護されている場合に認証を行わないと、 オペレーティング システムが読み込まれず、コンピューターは起動しません 。 バイパス機能を使用するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されているディスクまたはパー ティションがあるシステムを起動または再起動します。システムの起動時 に、PGP BootGuard ログイン画面が表示されます。 2 キーボードの↓キーを押します。右下隅の [詳細] がハイライトされます。 3 Enter キーを押します。PGP BootGuard の詳細ログイン画面が表示されま す。 4 キーボードの↓キーを再度押します。右下隅の [バイパス] がハイライトさ れます。 5 Enter キーを押します。PGP BootGuard の詳細ログイン画面が消え、シス テムが通常どおりに起動します。 192 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 暗号化されたディスクまたはパーティションへのユーザーの追加 暗号化されたディスクまたはパーティションを作成するユーザーは、そのディ スクまたはパーティションを他のユーザーが使用できるように設定できます。 追加されたユーザーは、自分用の一意のパスフレーズ、秘密鍵、またはトーク ン (PIV カード含む) を使用して、暗号化されたディスクまたはパーティション にアクセスできます。暗号化ディスクには最高 120 ユーザーを構成できます。 暗号化ディスクに関連付けられているユーザーの種類を確認するには、ユーザ ー アクセス リストのユーザーの名前にカーソルを移動します。「ヒント」が表 示され、ユーザーの種類を示します。トークン ユーザーを示すにはトークン鍵 アイコンが使用され、SSO ユーザーには Windows ドメイン/ユーザー名が表示 されます。 注意 : PGP Whole Disk Encryptionで保護されたディスクまたはパーティショ ンにアクセスできるユーザーを複数設定すると、1人のユーザーがパスフレー ズを忘れたり、認証トークンをなくしたりした場合に、代替策としての役割 を果たします。暗号化されたディスクまたはパーティションに構成されたユ ーザーは、PGP Whole Disk Encryptionのログイン画面で認証を行い、そのシ ステム上の、保護されたディスクまたはパーティションをどれでもロック解 除できます。 PGP Whole Disk Encryption で保護されたディスクまたはパーティションに ユーザーを追加するには、次の手順に従います。 1 PGP Desktop メイン画面の左側のペインにある [PGP ディスク] コントロ ール ボックスをクリックします。 2 ユーザーの追加先として、[PGP ディスク] 作業領域の一番上にあるディス クのリストから、暗号化されたディスクまたはパーティションを選択しま す。 3 [新規パスフレーズ ユーザー] をクリックします。ユーザーの種類を選択す るためのダイアログ ボックスが表示されます。 4 「ディスクの暗号化 『ページ : 示に従います。 175』」のユーザー アクセスの手順の指 メモ : PGP Whole Disk Encryption で暗号化されたディスクまたはパーティシ ョンに他のユーザーを追加する場合、次の理由により、公開鍵による暗号化 が最も安全な保護方法です。(1) パスフレーズを新しいユーザーに開示する 必要がないため、パスフレーズが傍受されたり、盗聴されたりする危険性が 最小限になります。(2) 他のユーザーが別のパスフレーズを覚えておく必要 がありません。(3) 各ユーザーが自分の秘密鍵を使用してディスクにアクセ スするため、ユーザーリストの管理が簡単になります。PGP Whole Disk Encryption でブート ディスクまたはパーティションを保護する場合、公開鍵 がトークンに保管されている必要があります。 193 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 暗号化されたディスクまたはパーティションからのユーザーの削除 暗号化されたディスクまたはパーティションへのアクセス権をユーザーから削 除することが必要になる場合があります。 暗号化されたディスクまたはパーティションからユーザーを削除するには、 次の手順に従います。 1 ディスク全体 (パーティション) の暗号化の画面で、PGP Whole Disk Encryption で保護された適切なディスクまたはパーティションを選択しま す。 2 [ユーザー アクセス] リストから、削除するユーザーの名前を選択します。 3 [ユーザーの削除] をクリックします。[パスフレーズ] ダイアログ ボックス が表示されて、認証するための指示が表示されます。 4 有効なパスフレーズを入力して、[OK] をクリックします。これで、代替ユ ーザーが削除されます。 ユーザー パスフレーズの変更 シングル サインオンを使用している場合、「シングル サインオン機能を使用し ている場合のパスフレーズの変更 『ページ : 195』」の説明に従って、パスワ ードを変更してください。 暗号化されたディスクまたはパーティションのユーザー パスフレーズを変更 するには、次の手順に従います。 1 ディスク全体 (パーティション) の暗号化の画面で、PGP Whole Disk Encryption で保護された適切なディスクまたはパーティションを選択しま す。 2 [ユーザー アクセス] リストで、パスフレーズを変更するユーザーの名前を 選択します。 3 [パスフレーズの変更] をクリックします。現在のパスフレーズを入力する ための指示が表示されます。 4 適切なパスフレーズを入力してから、[OK] をクリックします。[ユーザー パスフレーズの変更] ダイアログ ボックスが表示されます。 5 新しいパスフレーズを入力します。 6 [パスフレーズの確認] フィールドに新しいパスフレーズを再度入力してか ら、[OK] をクリックします。これで、パスフレーズが変更されます。 194 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 344』」 を参照してください。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入 力した文字は画面に表示されません。入力するパスフレーズの文字を確認 するには、[キーボード入力の表示] チェック ボックスをオンにします。 シングル サインオン機能を使用している場合のパスフレーズの変更 PGP Whole Disk Encryption のシングル サインオン機能を有効にした場合、 [Windows セキュリティ] ダイアログ ボックスの [パスワードの変更] 機能を使 用してパスフレーズを変更することを推奨します。 メモ : [Windows セキュリティ] ダイアログ ボックスは、Ctrl キーと Alt キー を押しながら Del キーを押すとアクセスできます。 シングル サインオン機能の使用中にパスフレーズを変更するには、次の手順 に従います。 1 Ctrl キーと Alt キーを押しながら Del キーを押します。[Windows セキュリ ティ] ダイアログ ボックスが表示されます。 2 古いパスフレーズを入力します。 3 新しいパスフレーズを入力し、確認のため再度入力します。 4 [OK] をクリックします。Windows のパスワードと PGP Whole Disk Encryption のパスフレーズが同時に変更されます。次回ログインするとき には、新しいパスフレーズを使用してください。 注意 : ここに記載されている以外の方法でパスフレーズを変更した場合、 PGP BootGuard画面での次回のログインは失敗します。その場合、古いパス フレーズを入力する必要があります。古いパスフレーズを使用してPGP BootGuard画面でログインに成功すると、Windowsログインのユーザー名と パスワードの画面が表示されます。ここでWindowsログイン画面を使用して 正しくログインする必要があります。この時点でPGP Whole Disk Encryption 機能によって新しいパスフレーズと同期されます。 ローカル ユーザーと PGP ディスク全体暗号化シングル サインオン機能 コンピューターがドメインのメンバーでない場合、PGP ディスク全体暗号化は 自動的に、CTRL キー、ALT キー、および DEL キーの組み合わせを使用してサイ ンインするようにします。 このため、シングル サインオン ユーザーが追加さ れると、ようこそ画面を使用する や CTRL キー、ALT キー、DEL キーの組み合 わせなど、一部の Windows ユーザー アクセス機能が無効になります。 195 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 これらの機能は、コンピューターがドメインのメンバーになっていると自動的 に無効になります。 暗号化されたディスクまたはパーティションの再暗号化 パスフレーズや認証トークンが侵害されたことが疑われる場合、または以前ア クセス権を持っていたユーザーが削除された場合は、保護されたディスクまた はパーティションを再暗号化することを推奨します。 ディスクまたはパーティションの再暗号化にあたり、PGP Whole Disk Encryption 機能では同じ暗号アルゴリズム (AES256) が使用されますが、基と なる暗号化鍵は別のものを使用してディスクまたはパーティションが再度暗号 化されます。結果はディスクまたはパーティションを復号化して再び暗号化す るのと同様ですが、処理に要する時間は大幅に短縮されます。 メモ : 再暗号化は、既に暗号化されているすべてのパーティションに適用さ れます。暗号化するパーティションを 1 つ選択すると、同じディスク上にあ る、既に暗号化されているすべてのパーティションが 1 つずつ再暗号化され ます。 暗号化されているディスクまたはパーティションを再暗号化するには、次の 手順に従います。 1 暗号化された適切なディスクまたはパーティションを選択します。 2 [ディスク] > [再暗号化] を選択します。認証するための指示が表示されま す。 3 適切なパスフレーズを入力してから、[OK] をクリックします。再暗号化処 理が開始します。 パスフレーズを忘れた場合 パスフレーズを忘れた場合、コンピューターが設定されている場合、5 つのセ キュリティに関する質問から 3 つに正解することによって、PGP BootGuard を バイパスできます。セキュリティに関する質問を 5 つ作成して回答します。こ れは、鍵を紛失したか鍵のパスフレーズを忘れた場合に鍵をリカバリするのと 似ています。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合 は、PGP Universal Server 管理者がローカル自己修復のオプションを無効に している場合があります。また、管理者がローカル自己修復を登録中に設定 するように指定していることもあります。この場合、PGP Desktop で設定し たセキュリティに関する質問を入力するように要求されます。 196 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 セキュリティ保護用の質問を作成するには 1 PGP Desktop を使用して内蔵ドライブを暗号化します。パスフレーズ ユ ーザーまたは Windows SSO ユーザーを使用できます。 2 PGP Desktop でユーザー名を右クリックし、[セキュリティに関する質問の 追加] を選択します。 メモ : WDE-Admin ユーザーまたは ADK にセキュリティに関する質問を 作成することはできません。 3 セキュリティに関する質問を 5 つ作成して回答します。右 (およびツール のヒント) にユーザー名が LSR で表示され、「ローカル自己修復」がその ユーザーに設定されたことを示します。 PGP BootGuard でパスフレーズをリカバリするには、次の手順に従います。 1 PGP BootGuard 画面で、矢印キーを使用して [パスフレーズを忘れた場合] を選択し、ENTER を押します。 2 表示された最初のセキュリティに関する質問に回答します。回答を入力し て、Enter キーを押します。 3 引き続き質問に回答します。5 つの質問のうち、3 つに正しく答える必要が あります。 4 質問に正解すると、Windows オペレーティング システムが起動します。 Windows ダイアログ ボックスへのログオンが表示されたら、Windows ロ グイン名とパスワードを入力します。 197 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 Windows が起動し終わったら、PGP ディスク - [ユーザー パスフレーズの 変更] ダイアログ ボックスが表示されます。 5 ユーザー用の新しいパスフレーズを入力して確認し、[OK] をクリックし ます。このユーザーに新しいパスフレーズが作成されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 344』」 を参照してください。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入 力した文字は画面に表示されません。入力するパスフレーズの文字を確認 するには、[キーボード入力の表示] チェック ボックスをオンにします。 再度パスフレーズを忘れると、セキュリティに関する質問が表示されます。セ キュリティに関する質問を変更する場合、ユーザー名を右クリックし、[セキュ リティに関する質問の変更] を選択します。 バックアップとリストア 最近のほとんどのバックアップ プログラムは、PGP WDE で暗号化されたディ スク上のデータを問題なくバックアップできますが、一部のバックアップ プロ グラムでは、問題が生じることがあります。これらのバックアップ プログラム では、PGP WDE によって使用される、PGPWDE01 というファイルが検出され るとエラーが発生します。この問題を解決するには、PGPWDE01 をバックアッ プ対象から除外するようにバックアップ プログラムに対して指定する必要があ ります (大半のバックアップ プログラムでは、個々のファイルを除外できます) 。これらのプログラムでバックアップを再び作成できるようになったら、バッ クアップが正常に機能することを確認してください。 PGP WDE で暗号化されたディスクに対する自動バックアップ ソフトウェアの使用 PGP ディスク全体暗号化で保護されたディスクまたはパーティションは、自動 的にバックアップできます。PGP WDE を使って暗号化する前に、必ずシステ ムのバックアップを行ってください。 ソフトウェアによるバックアップ時には、いずれのファイルも復号化されるこ とに注意してください。暗号化されたデータをバックアップするには、PGP Virtual Disk または PGP NetShare の保護フォルダーを使用します。 198 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 暗号化されたディスクまたはパーティションからの PGP Desktop のアンインス トール PGP Whole Disk Encryption で保護されたディスクまたはパーティションがシス テムにある場合は、PGP Desktop がアンインストールされると、これらのディ スクまたはパーティションにアクセスできなくなります。このため、PGP Whole Disk Encryption で保護されたディスクまたはパーティションがシステム にある場合は、安全機能によって PGP Desktop をアンインストールできないし くみになっています。この場合、暗号化されたディスクまたはパーティション を保護するためにアンインストール処理が中止されているというエラー メッセ ージが表示されます。 PGP Desktop をアンインストールするにはまず、システム上の、PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティションをすべて 復号化します。 リムーバブル ディスクの使用 このセクションでは、リムーバブル ディスクの使用方法について説明します。 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用し ている場合、リムーバブル ディスクの暗号化がセキュリティ ポリシーによっ て要求されることがあります。セキュリティ ポリシーによっては、リムーバブ ル ディスクを読み取り専用ディスクとしてマウントすることが要求される場合 もありますが、ディスクを暗号化するためのオプションが用意されています。 注意 : Microsoft Windowsの [ハードウェアの安全な取り外し] オプションを 必ず使用して、接続されたUSBデバイスを取り外す前に停止してください。 リムーバブル ディスクの暗号化 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用し ている場合、リムーバブル ディスクの暗号化がセキュリティ ポリシーによっ て要求されることがあります。リムーバブル ディスクを挿入すると、[PGP Desktop - 記憶装置が接続されました] ダイアログ ボックスが表示されます。 次のいずれか 1 つを実行します。 199 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 リムーバブル ディスクが USB フラッシュ ディスクや外付けハード ドラ イブなどの外付けドライブである場合、[暗号化] をクリックします。デバ イスは自動的にユーザーの鍵で暗号化されます。ブート ディスクが他のユ ーザーの鍵で暗号化されている場合は、その鍵の所有者がユーザーとして リムーバブル ディスクに追加されます。自分の鍵が見つからない場合、ま たは他のユーザーの鍵が見つからない場合は、パスフレーズ ユーザーを作 成するための指示が表示されます。 メモ :PGP Universal Server 管理者が、すべてのリムーバブル ディスクが 自動的に暗号化されるように指定していて、ブート ディスクが暗号化さ れていない場合、デバイスの暗号化にはユーザーの鍵リングにある最初の 鍵ペアが使用されます。 ディスクのサイズによっては、暗号化処理の完了までに時間がかかる場合 があります。ディスクが暗号化されている間も、リムーバブル ディスクは 引き続き使用できます。 警告 : ディスクを取り出す前に、暗号化処理が完了していることを確認 してください。 デバイスを暗号化しない場合は、[ロック] をクリックします。デバイスは ロックされ、読み取り専用になります。ファイルに変更を加えたりファイ ルをデバイスから削除したりしようとすると、Windows のエラー メッセ ージが表示されます。 リムーバブル ディスクが音楽デバイスまたはデジタル カメラの場合は、[ ロック] をクリックします。このタイプのデバイスは、デバイスのコンテ ンツが暗号化されていると動作しません。音楽デバイスやデジタル カメラ を間違って暗号化した場合は、復号化する必要があります。会社のセキュ リティ方針によっては、デバイスを復号化するために IT 部門または PGP 管 理者に問い合わせることが必要な場合があります。 すべてのリムーバブル ディスクの暗号化がセキュリティ ポリシーで要求され ていても、(機内にいるため会社のネットワークに接続していない場合など) PGP Universal Server を利用できないときには、リムーバブル デバイスを暗号 化できません。したがって、デバイスは「ロック」され、読み取り専用になりま す。次に PGP Universal Server に接続したときに、(まだ暗号化していない) デ ィスクのコンテンツを暗号化できます。 メモ :PGP 管理者が、すべてのリムーバブル ディスクが暗号化されるように 指定していると、PGP トレイ メニューの [PGP サービスの終了] オプション を使用できなくなります。 200 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 読み取り専用にロックされたディスクの使用 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用し ている場合、リムーバブル ディスクを読み取り専用デバイスとしてマウントす るように、セキュリティ ポリシーで設定されていることがあります。リムーバ ブル ディスクを挿入すると、[PGP Desktop - 記憶装置が接続されました] ダイ アログ ボックスが表示されます。リムーバブル ディスクはロックされており 、ディスクを暗号化しないと、データをディスクに書き込むことはできません 。デバイスを暗号化することを選択した場合は、ディスクを引き続き通常どお りに使用できます。 次のいずれか 1 つを実行します。 リムーバブル ディスクが USB フラッシュ ディスクや外付けハード ドラ イブなどの外付けドライブである場合に、ディスクに書き込めるようにす るには、[暗号化] をクリックします。デバイスは自動的にユーザーの鍵で 暗号化されます。ブート ディスクが他のユーザーの鍵で暗号化されている 場合は、その鍵の所有者がユーザーとしてリムーバブル ディスクに追加さ れます。自分の鍵が見つからない場合、または他のユーザーの鍵が見つか らない場合は、パスフレーズ ユーザーを作成するための指示が表示されま す。 ディスクのサイズによっては、暗号化処理の完了までに時間がかかる場合 があります。ディスクが暗号化されている間も、リムーバブル ディスクは 引き続き使用できます。 警告 : ディスクを取り出す前に、暗号化処理が完了していることを確認 してください。 デバイスを暗号化しない場合は、[ロック] をクリックします。デバイスは ロックされ、読み取り専用になります。ファイルに変更を加えたりファイ ルをデバイスから削除したりしようとすると、Windows のエラー メッセ ージが表示されます。 リムーバブル ディスクが音楽デバイスまたはデジタル カメラの場合は、[ ロック] をクリックします。このタイプのデバイスは、デバイスのコンテ ンツが暗号化されていると動作しません。音楽デバイスやデジタル カメラ を間違って暗号化した場合は、復号化する必要があります。会社のセキュ リティ方針によっては、デバイスを復号化するために IT 部門または PGP 管 理者に問い合わせることが必要な場合があります。 201 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 他のシステムへのリムーバブル ディスクの移動 PGP Whole Disk Encryption を使用して USB フラッシュ ディスクなどのリムー バブル ディスクを保護している場合、別の Windows コンピューターまたは Mac OS X コンピューターにそのディスクを移動して、フラッシュ ディスク上 の暗号化されたファイルにそのコンピューターからアクセスできます。Linux 上 で PGP WDE を使用して作成したリムーバブル ディスクには、PGP Desktop バ ージョン 10.0 以降を使用してアクセスできます。 ディスクのコンテンツにアクセスするには、認証する必要があります。 メモ : 暗号化されたリムーバブル ディスクを移動する際は、PGP Desktop のライセンスを付加することを推奨します。PGP Whole Disk Encryption 機能 を使用してディスクを保護するには、適切な PGP Desktop ライセンスが必要 です。ただし、リムーバブル ディスクを PGP Whole Disk Encryption で保護 した場合、PGP Desktop 9.5.2 またはそれ以降のバージョンがインストール されている別のコンピューターで、そのリムーバブル ディスクを使用できま す。この場合、別のコンピューターにはディスク全体暗号化をサポートする PGP Desktop ライセンスは必要ありません。 暗号化されたリムーバブル ディスクの再フォーマット リムーバブル ディスクを暗号化してから、Windows ディスク管理ユーティリ ティを使用してそのディスクを再フォーマットすると、次にディスクを挿入し たときにパスフレーズの入力を要求されます。 この要求を取り消すには、次の操作を行います。 1 [スタート] > [ファイル名を指定して実行] を選択して「cmd」と入力するこ とで、コマンド プロンプトを起動して、C:\Program Files\PGP Corporation\PGP Desktop にナビゲートします。 2 次のコマンドを入力します。 pgpwde --fixmbr --disk 1 暗号化されたディスクがコンピューター上に複数存在する場合は、まず、 pgpwde --enum コマンドを実行する必要があります。このコマンドを実行 すると、暗号化されたディスクの一覧が表示されます。USB ドライブがデ ィスク「1」ではなく、別の番号として情報が返された場合は、代わりにそ の番号を使用します。たとえば、USB ディスクがディスク「2」であれば、 pgpwde --fixmbr --disk 2 のように暗号化を削除するコマンドを入力 します。 これでディスクを挿入したときに、パスフレーズを要求されなくなります。 202 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Universal Server で管理された環境での PGP WDE の使用 PGP Whole Disk Encryption 機能は、PGP Universal Server で管理された環境の PGP Desktop ユーザーが使用できるように構成できます。管理者は、会社全体 のユーザーに PGP Desktop インストーラーを導入できます。 PGP ディスク全体暗号化の管理 PGP 管理者が管理できる機能は次のとおりです。 PGP ディスク全体暗号化機能をユーザーが利用できるようにするかどうか を設定できます。PGP Universal Server によって管理されている環境内で PGP ディスク全体暗号化機能が利用できない場合には、この機能がポリシ ーにより無効になっていないかどうかを PGP 管理者に確認してください。 PGP ディスク全体暗号化機能を使用するには、PGP Corporation から適切 なライセンスを取得しておく必要もあります。この機能がポリシーでは有 効であるにもかかわらず実際には使えない場合には、適切なライセンスを 取得しているかどうかを PGP 管理者に確認してください。 PGP ディスク全体暗号化(WDE) で保護しているディスクまたはパーティ ションを回復可能にするかどうかを設定できます。PGP ディスク全体暗号 化で暗号化されているディスクまたはパーティションのパスフレーズを忘 れた場合や、認証トークンを紛失した場合には、ディスクまたはパーティ ションにアクセスできません。ただし、PGP Universal Server によって管 理されている環境で PGP ディスク全体暗号化機能を使用している場合は、 ディスクまたはパーティションの回復オプションが利用可能であるかどう かを PGP 管理者に確認してください。 PGP Desktop をインストールするときに、ブート ディスクを PGP ディス ク全体暗号化により暗号化する必要があるかどうかを設定できます。 PGP Universal Server 管理環境で PGP Desktop を使用している場合は、詳 細を PGP 管理者に問い合わせてください。 コンピューターで PGP ディスク全体暗号化シングル サインオン (SSO) 機 能を利用するかどうかを設定できます。 この機能の詳細については、「PGP WDE シングル サインオンの使用 『 ページ : 187の"PGP WDE のシングル サインオンの使用"参照先 : 』」 を参照してください。 PGP ディスク全体暗号化機能で使用するモードを設定できます。 PGP 管理者が管理者鍵とスマート カードを使用して、暗号化されたディ スクまたはパーティションにアクセスできるかどうかを設定できます。 203 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 暗号化モードの詳細については、「ディスクに対する認証方法の決定 『ページ : 163の"ディスクの認証方法の選択"参照先 : 』」を参照してください。 PGP Universal Server によって管理されている環境で PGP Desktop をインスト ールした後で、WDE 機能によるブート ディスクまたはパーティションの暗号 化が必要になる可能性があります。また逆に、PGP 管理者が PGP WDE 機能を 無効にしている可能性もあります。 PGP Universal Server によって管理されている環境で PGP Desktop を使用して いる場合に、リムーバブル ディスクを挿入すると、そのディスクを暗号化する ように要求されることがあります。詳細については、「リムーバル ディスクの 暗号化 『ページ : 199の"リムーバブル ディスクの暗号化"参照先 : 』」を参 照してください。 ポリシーを別のポリシーに変更する必要がある場合、特にディスクの暗号化を 有効から無効にする場合でも、既にディスク全体暗号化によって暗号化されて いるドライブは使用できることに注意してください。ただし、それ以外のドラ イブを暗号化したり、暗号化された既存ドライブの再暗号化や、新規ユーザー を追加したりすることはできなくなります。 詳細については、「PGP Universal Server を介しての PGP Desktop の使い方 『 ページ : 349』」を参照してください。 リカバリ トークンの作成 PGP Universal Server で管理された環境では、ユーザーによるディスク全体リカ バリ トークンの作成がポリシーで許可されている場合は、そのユーザーがディ スク、Windows パーティション、またはリムーバブル ディスクを PGP Whole Disk Encryption で暗号化するたびに、リカバリ トークンが自動的に作成されま す。パスフレーズや認証トークンを紛失した場合、このリカバリ トークンを使 用してディスクまたは Windows パーティションにアクセスできます。 ポリシーによってリカバリ トークンの作成が許可されていない場合や、PGP Universal Server で管理された環境で使用していない場合は、ディスク全体リカ バリ トークンを使用できません。 このリカバリ トークンは、PGP Whole Disk Encryption によって保護されたデ ィスクまたは Windows パーティションのセキュリティを管理する PGP Universal Server に自動的に送信されます。 PGP Universal Server で管理された環境で、PGP Whole Disk Encryption でディ スクまたは Windows パーティションを保護するためのパスフレーズまたは認 証トークンを紛失してしまった場合は、リカバリ トークンの使用方法について PGP 管理者に問い合わせてください。 204 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 リカバリ トークンは、PGP Whole Disk Encryption を使用して保護されたディ スクまたは Windows パーティションにアクセスするために 1 度だけ使用できま す。リカバリ トークンが使用されると、新しいリカバリ トークンが自動的に 作成され、PGP Universal Server に送信されます。PGP Desktop ユーザーは、 ディスクまたはパーティション上で新しいユーザーを作成するか、または既存 のユーザーを維持するかを選択できます。 リカバリ トークンは、暗号化されたディスクまたは Windows パーティション へのアクセスにのみ使用します。リカバリ トークンはデータの暗号化や復号化 には使用できません。 注意 : パスフレーズの漏洩などでセキュリティが損なわれた場合や、認証ト ークンを紛失した場合は、PGP Whole Disk Encryptionで保護されたディスク またはWindowsパーティションを再度暗号化することを推奨します。この処 理では同じ暗号アルゴリズムでディスクまたはパーティションが再暗号化さ れますが、基となる暗号化鍵は異なります。結果としてはディスクまたはパ ーティションを復号化して再び暗号化する操作と同じですが、処理に要する 時間は大幅に短縮されます。 回復トークンの使用 PGP Universal 管理者から回復トークンを受け取った後は、次の手順に従ってデ ィスクをロック解除してください。 回復トークンを入力する際は、PGP Universal 管理者から渡されたとおりにすべ て大文字にしたり、ダッシュを入力したりする必要はありません。ダッシュを 省略し、すべて小文字で入力することもできます。 ブート ディスクで回復トークンを使用するには PGP BootGuard 画面のパスフレーズ フィールドに、回復トークンを入力 します。 リムーバブル ドライブで回復トークンを使用するには ディスクを挿入し、パスフレーズの入力を求めるメッセージが表示された ら回復トークンを入力します。 205 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 暗号化されたドライブからのデータのリカバリ まれに、破損または破壊した暗号化ドライブから、データをリカバリしなけれ ばならない場合があります。または、前の従業員が暗号化したドライブなど、 ドライブにアクセスするためのログイン情報がない場合があります。そのよう な場合は、次のような対処法があります。 1 回復ディスクを使用する。ディスクまたはパーティションを暗号化する前 に作成されたリカバリ ディスクを使用して、ディスクを復号化できます。 詳細については、「リカバリ ディスクの作成と使用 『ページ : 206』」 を参照してください。 2 別のシステムを使用してドライブを復号化する。詳細については、「PGP WDE で暗号化されたディスクの復号化 『ページ : 208』」を参照してく ださい。 3 ディスク全体リカバリ トークンを使用する。PGP Universal Server によっ て管理されている環境で PGP Desktop を使用している場合、ディスクを暗 号化するとリカバリ トークンが自動的に作成されます。詳細については、 「リカバリ トークンの使用 『ページ : 205の"回復トークンの使用"参照先 : 』」を参照してください。 リカバリ ディスクの作成と使用 PGP Whole Disk Encryption によって保護されているブート ディスクまたはパ ーティションでマスター ブート レコードが損傷する可能性はきわめて低いと 言えますが、ゼロではありません。これが発生すると、システムが起動しなく なります。 このような不測の事態に備えるため、PGP Whole Disk Encryption を使用してブ ート ディスクまたはパーティションを暗号化する前に、リカバリ CD またはデ ィスケット、あるいはその両方を作成します。 注意 : リカバリ ディスクは、そのリカバリ ディスクを作成したバージョン のPGP Desktopのみと互換性があります。たとえば、9.0.xリカバリ ディス クを使用して、PGP WDE 9.5ソフトウェアで保護されたディスクを復号化し ようとすると、PGP WDE 9.5ディスクが動作不能と表示されます。 このセクションでは、リカバリ CD およびディスケットの両方を作成する方法を 説明します。また、その使用方法についても説明します。 206 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 リカバリ CD を作成するには、次の手順に従います。 1 PGP Desktop for Windows および Roxio Easy Media Creator または Roxio Easy CD Creator (あるいは ISO イメージから CD を作成できるその他のソフ トウェア) がシステムにインストールされていることを確認します。 2 Roxio Easy Media Creator または Roxio Easy CD Creator を開き、データ CD プロジェクトの作成を選択します。 3 [ファイル] > [CD イメージから CD に記録] の順に選択します。[ハード デ ィスク イメージから CD を記録] 画面が表示されます。 4 [ファイルの種類] > [ISO イメージ ファイル (ISO)] を選択します。 5 PGP ディレクトリに移動します。デフォルトのディレクトリは、「 C:\Program Files\PGP Corporation\PGP Desktop\」です。 6 [bootg.iso] を選択して、[開く] をクリックします。[CD 記録の設定] 画 面が表示されます。 7 コンピューターの CD ドライブに新しい CD-R を挿入します。 8 CD 記録の設定画面で [記録開始] をクリックします。ISO ファイルが CD に 記録される間、[CD イメージ記録進行状況] 画面が表示されます。 9 ファイルの CD への記録が完了したら、[OK] をクリックします。PGP Whole Disk Encryption のリカバリ CD が作成されます。 10 ドライブからリカバリ CD を取り出し、適切なラベルを付けます。 リカバリ ディスケットを作成するには 1 PGP Desktop for Windows およびリカバリ ディスケットを作成できるア プリケーション (MagicISO など) がシステムにインストールされているこ とを確認します。 2 ディスク ドライブに新しいディスケットを挿入します。 3 MagicISO などの、リカバリ ディスケットを作成できるアプリケーション を起動します。 4 [ツール] > [フロッピー ディスク イメージの書き込み] を選択します。[開 く] ダイアログ ボックスが表示されます。 5 PGP ディレクトリに移動します。デフォルトのディレクトリは、「 C:\Program Files\PGP Corporation\PGP Desktop\」です。 6 [Bootg.img] を選択して、[開く] をクリックします。ファイルがディスケ ットに書き込まれます。 7 ドライブからリカバリ ディスケットを取り出し、適切なラベルを付けます 。 8 MagicISO を終了します。 207 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 リカバリ ディスクまたはディスケットを使用するには、次の手順に従います 。 注意 : リカバリ ディスクまたはディスケットを使用してディスクまたはパ ーティションの復号化を開始した後は、復号化処理を中止しないでください 。復号化されるディスクのサイズによっては、この処理に時間がかかる場合 があります。より迅速にドライブを復号化する方法は、同じバージョンの PGP Desktopがインストールされている別のシステムを使用する方法です。 詳細については、「PGP WDEで暗号化されたディスクの復号化 『ページ : 208』」を参照してください。 1 システムを再起動したときに PGP Whole Disk Encryption リカバリのログ イン画面が表示されなかったり、再起動時に PGP Whole Disk Encryption のリカバリ ディスクを挿入するための指示が表示されたりした場合は、シ ステムの CD ドライブにリカバリ CD を挿入するか、ディスク ドライブに リカバリ ディスクを挿入します。 2 システムを再起動します。リカバリ ディスクから PGP Whole Disk Encryption のログイン画面が表示されます。 3 PGP Whole Disk Encryption で保護されているブート ドライブまたはパー ティション用の適切なパスフレーズを入力します。次の操作のいずれかを 実行できます。 Enter キーを押して、システムの起動を試行する。 「D」と入力して、ディスクを復号化する。 PGP WDE で暗号化されたディスクの復号化 PGP Whole Disk Encryption で保護されたディスク上で何らかのディスク リカ バリ操作を実行する場合、ベスト プラクティスとして最初にディスクを復号化 することを推奨します。ディスクを復号化するには、次のいずれかの操作を行 います。 PGP Desktop の [ディスク] > [復号化] オプションを使用する (このオプシ ョンを使用してディスクを復号化する方法については、次の手順を参照し てください)。 用意してある PGP WDE リカバリ ディスクを使用する (リカバリ ディス クの作成方法については、「リカバリ ディスクの作成 『ページ : 206の "リカバリ ディスクの作成と使用"参照先 : 』」を参照してください)。 USB ケーブルでハード ディスクを別のシステムに接続し、そのシステム の PGP Desktop ソフトウェアから復号化する。 208 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 ディスクが復号化されたら、リカバリー アクティビティを実行してください。 PGP Desktop を使用してディスクを復号化するには、次の手順に従います。 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリック します。[PGP ディスク] コントロール ボックスがハイライトされます。 2 [ディスク全体またはパーティションの暗号化] をクリックします。 Partition)(ディスク全体(パーティション)の暗号化 作業領域が表示され、 PGP ディスク全体暗号化で保護することができるコンピューター上のディ スクの一覧 (ディスク、ディスク パーティション、リムーバブル ディス クなど)が表示されます。 3 ディスク全体 (パーティション) の暗号化の作業領域の一番上にある [暗号 化するディスクまたはパーティションの選択] セクションで、コンピュー ター上の、復号化するディスクまたはパーティションをクリックします。 4 [ディスク] > [復号化] を選択するか、または [復号化] をクリックします。 ディスクをロック解除するためのダイアログ ボックスが表示されます。 5 パスフレーズを入力してディスクをロック解除します。[PGP Desktop] ウ ィンドウに、復号化の進捗状況が表示されます。4 [PGP Desktop] ウィンドウに、ディスクの復号化が完了するまでの時間が 表示されます。復号化処理を一時停止またはキャンセルするには、[停止] をクリックします。必要な場合は、[スタート] > [シャットダウン] を選択 してコンピューターをシャット ダウンできます。電源オン/オフ ボタンを 押してコンピューターの電源を切らないでください。 別のシステムを使用して、PGP WDE で暗号化されたドライブを復号化するに は、次の手順に従います。 1 復号化するハード ドライブをコンピューターから取り外し、ドライブ エ ンクロージャに取り付けます。 2 PGP Desktop がインストールされているコンピューターに、ドライブ エ ンクロージャを USB ケーブルで接続します。 3 PGP Desktop がインストールされているコンピューターに表示されるパス フレーズ入力画面に、ドライブ エンクロージャに取り付けたドライブを復 号化するためのパスフレーズを入力します。 PGP Desktop によるセキュリティ確保のための特別な対策 PGP Desktop には、PGP Whole Disk Encryption 機能のセキュリティ上の問題を 回避するために役立つ機能が用意されています。セキュリティ確保のための対 策は、PGP 仮想ディスク ボリュームにも適用できます。 209 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 パスフレーズの消去 PGP Desktop は、入力されたパスフレーズを短時間だけ使用した後メモリから 消去し、パスフレーズのコピーも作成しません。つまり、通常パスフレーズが メモリ内に保存されるのはほんの一瞬です。この非常に重要な機能がない場合 は、ユーザーがコンピューターから離れた隙に、他のユーザーがコンピュータ ーのメモリに残っているパスフレーズを探し出してしまう可能性があります。 気づかないうちに、このパスフレーズで保護されているデータへの完全アクセ ス権限がパスフレーズ傍受者に付与してしまうことになります。 仮想メモリの保護 パスフレーズやその他の鍵は、仮想メモリ システムがメモリの内容をディスク にスワップする際に、ディスクに書き込まれる可能性があります。そこで PGP Desktop は、パスフレーズや鍵がディスクに書き込まれないよう対策を講じて います。この機能により、侵入者に仮想メモリ ファイルがスキャンされてパス フレーズを探し出されるのを未然に防止できます。 休止モードとスタンバイ モード Windows の休止モードでは、コンピューターのすべてのメイン メモリ領域の イメージがハード ディスク ドライブ上のファイルに書き込まれますが、パス フレーズは書き込まれません。PGP Corporation では、スタンバイ モードでは なく休止モードを常に使用することを推奨しています。休止モードでは、コン ピューターがオフになった後で、PGP BootGuard 画面で認証してログインし直 すことが必要となるためです。 メモリ静的イオン マイグレーションの防止 (Windows システム上で) PGP ディスク全体暗号化 (WDE) を使用してディスク またはパーティションを保護する場合、パスフレーズが鍵として使用されます 。この鍵は、暗号化ディスクまたは暗号化パーティション上のデータの暗号化 や復号化に使用されます。パスフレーズはメモリから直ちに消去されますが、 鍵 (ちなみにパスフレーズを鍵から取得することは不可能です) は、メモリ内に 残ります。 210 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 鍵はディスク上の仮想メモリに書き込まれないようになってはいますが、長期 間にわたって電源をオフまたはリセットせずにいた場合、同一データが保存さ れ続けた特定のメモリ箇所は静電気が帯電しがちになります。(Windows システ ム上で) 暗号化ディスクまたは暗号化パーティションが長期間繰り返し復号化 されると、時間の経過とともに、検出可能な鍵の形跡がメモリに残ることがあ ります。この現象を被った鍵を回復するための機器も存在します。そのような 機器は、一般電気店では購入できませんが、政府機関にはたいてい 2 ~ 3 基あ ります。 PGP Desktop では、鍵のコピー 2 つ (1 つは通常のコピー、もう 1 つはビットを 反転したコピー) を RAM 上に保持して 2 ~ 3 秒ごとに両方のコピーを反転さ せることで、鍵を保護しています。 その他のセキュリティ対策 一般的に、データの安全性は講じるセキュリティ対策により左右されるため、 ずさんな管理下では、どのような暗号化プログラムを使ってもセキュリティを 保護することはできません。たとえば、PGP ディスク全体暗号化を使用して (Windows システム上で) ディスクまたはパーティションを保護していても、コ ンピューターで機密ファイルを開いたままデスクから離れたりすると、誰でも その情報にアクセスできます。 最適なセキュリティを確保するには、次のヒントを参考にしてください。 パスワード保護機能が付いたスクリーン セーバーを使用すると、デスクを 離れた際に、他のユーザーが使用中のコンピューターにアクセスしたり、 画面を表示したりするのを防ぐことができます。 (Windows 上で) 暗号化されたディスクやパーティションを、ネットワーク 上の他のコンピューターから利用できないようにします。これについては 、ネットワーク管理者に相談してください。ディスクまたはパーティショ ンをロック解除すると、PGP ディスク全体暗号化(WDE) ではファイルを保 護できなくなります。それらのファイルに対するネットワーク アクセス権 を持つすべてのユーザーが、ファイルの内容にアクセスできるようになり ます。コンピューターの使用中でもロックしておく必要があるファイルの 保管については、PGP Virtual Disk 機能を使用することをお勧めします。 パスフレーズは、メモなどに書き留めないでください。パスフレーズは覚 えやすいものを選んでください。パスフレーズの記憶に問題がある場合は 、ポスター、歌詞、詩、ジョークなど、思い出しやすいものを使用すると よいでしょう。書き留めることだけはしないでください。 211 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Desktop を家庭で使用し、他のユーザーとコンピューターを共有して いる場合、PGP ディスク全体暗号化(WDE) を使用して保護されている (Windows システム上の) ディスクやパーティション上のファイルを開いた ままで放置すると、他のユーザーに見られてしまう可能性があります。デ ィスクまたはパーティションにディスク全体暗号化処理を行ったコンピュ ーターをシャット ダウンした場合、または暗号化されたリムーバブル ド ライブをコンピューターから取り外す場合、ディスクまたはパーティショ ンのすべてのファイルは暗号化されたまま完全に保護された状態になりま す。 Windows プレインストール環境の使用 カスタマイズされた Windows プレインストール (PE) CD/UFD (USB フラッシュ ドライブ) を作成すると、復旧目的で利用できる、起動可能リカバリ ツールが 提供されます。たとえば、DOS コマンドを使用すると、ファイルのコピー、編 集、バックアップ、および削除が可能になります。 また、Windows PE は、PGP WDE で暗号化されたコンピューターを Windows Vista にアップグレードする場合にも使用できます。 PGP WDE のドライバーとツールを取得するには、「ナレッジベース記事 807 『 https://support.pgp.com/?faq=807』」を参照してください。この KB 記事には、 このセクションで説明するすべての手順が記載された、ダウンロード可能な技 術資料も含まれています。 PGP Whole Disk Encryption の IBM Lenovo ThinkPad システムでの使用 PGP WDE ドライバーを IBM Lenovo ThinkPad Rescue and Recovery にプレイ ンストールして、Lenovo Rescue and Recovery 機能を自動的に検出するには、 Windows プレインストール環境 (PE) を使用します。 このオプションは、Rescue and Recovery バージョン 3.0 以降を実行している IBM Lenovo システムに対してのみ使用できます。このオプションを使用すると 、PGP WDE ドライバーが Lenovo Rescue and Recover にプレインストールさ れ、Lenovo Rescue and Recovery のサポートが自動的に検出されます。また、 PGP WDE ドライバーが \windows\system32\drivers ディレクトリから取得され ます。IBM Lenovo Rescue and Recovery にインストールされるファイルは、 PGP WDE ドライバー ファイル (pgpwded.sys) と PGPstart.exe ファイル ( このファイルの詳細については、次の手順を参照) の 2 つです。 PGP Whole Disk Encryption を IBM Lenovo Rescue and Recovery にインストー ルするには、次のファイルが必要です。 pgppe ツールに含まれているファイル : pgppe.exe、pgpstart.exe 212 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 PGP Desktop インストール プログラムに含まれているファイル : pgpwded.sys、pgpbootb.bin、pgpbootg.bin、pgpsdk.dll、 pgpsdknl.dll、pgpwd.dll、pgpwde.exe Windows Vista の場合にのみ必要なファイル : wimfltr ドライバーをインス トールする必要があります (Windows 自動インストール キットの一部)。 注意 : このオプションは、PGP Desktopがシステムにインストールされた後 でしか使用しないでください。 Lenovo Rescue and Recovery を有効にするには、次の手順に従います。 1 PGP Desktop をインストールします。 2 Window プレインストール環境ツールを「PGP サポート ナレッジベース記 事 807 『https://support.pgp.com/?faq=807』」から取得して、インストー ルします。 3 Zip ファイル内の PGPstart.exe ファイルと PGPpe.exe ファイルを PGP Desktop のインストール ディレクトリ (通常は c:\Program Files\PGP Corporation\PGP Desktop) にコピーします。 4 コマンド プロンプトを起動して、PGP Desktop のディレクトリに変更し ます。 5 pgppe コマンドを次のように実行します。 pgppe /recovery Lenovo Rescue and Recovery のサポートを削除するには、次の手順に従い ます。 pgppe コマンドを次のように実行します。 pgppe /recovery /remove Microsoft Windows XP 回復コンソールでの PGP Whole Disk Encryption の使 用 Windows XP 回復コンソールを管理目的で使用する場合は、ディスクが暗号化 されているときに、PGP WDE のドライバーを Microsoft Windows 回復コンソ ールにインストールする必要があります。そうしないと、回復コンソールは使 用できません。 メモ :Windows PE または BartPE を使用して認証を行うには、パスフレーズ ユーザーを使用する必要があります。トークンまたは TPM ユーザーはサポー トされません。 213 PGP Desktop for Windows PGP ディスク全体暗号化によるディスクの保護 注意 :PGP Desktopがインストールされ、ディスクがPGP WDEで暗号化され た後で、これらのドライバーをインストールしてください。 PGP WDE のドライバーを Windows XP 回復コンソールにインストールする には、次の手順に従います。 1 PGP Desktop をインストールします。 2 Window プレインストール環境ツールを「PGP サポート ナレッジベース記 事 807 『https://support.pgp.com/?faq=807』」から取得して、インストー ルします。 3 Zip ファイル内の PGPstart.exe ファイルと PGPpe.exe ファイルを PGP Desktop のインストール ディレクトリ (通常は c:\Program Files\PGP Corporation\PGP Desktop) にコピーします。 4 コマンド プロンプトを起動して、PGP Desktop のインストール ディレク トリに変更します。 5 pgppe コマンドを次のように実行します。 pgppe /cmdcons Windows XP 回復コンソールからドライバーを削除するには、次の手順に従 います。 pgppe コマンドを次のように実行します。 pgppe /cmdcons /remove 214 11 PGP 仮想ディスクの使用 PGP 仮想ディスクを使用して、作業の整理、類似した名前を持つファイルの隔 離、同じ文書やプログラムの異なるバージョンの隔離を行うことができます。 このセクションでは、PGP Desktop の PGP 仮想ディスク機能について説明しま す。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP 仮想ディスクについて ................................................................... 216 PGP 仮想ディスクの新規作成 ............................................................... 217 PGP 仮想ディスクのプロパティの表示................................................. 220 PGP 仮想ディスクの検索 ...................................................................... 221 マウント済み PGP 仮想ディスクの使用 ................................................ 221 代替ユーザーの使用 .............................................................................. 225 ユーザー パスフレーズの変更 .............................................................. 228 PGP 仮想ディスクの削除 ...................................................................... 229 PGP 仮想ディスクの管理 ...................................................................... 229 PGP 仮想ディスクの暗号化アルゴリズム ............................................. 232 PGP 仮想ディスクによる特別なセキュリティ措置............................... 232 メモ : 以前のバージョンの PGP Desktop では、PGP 仮想ディスクを PGP デ ィスクと呼んでいました。現在は、PGP Virtual Disk および PGP Whole Disk Encryption 両方の機能を PGP ディスクと呼んでいます。 215 PGP Desktop for Windows PGP 仮想ディスクの使用 PGP 仮想ディスクについて PGP 仮想ディスクは、コンピューターに接続されたディスク上に確保され、暗 号化された領域です。PGP 仮想ディスクは、銀行の金庫のように働き、機密フ ァイルの保護にきわめて有効です。一方、コンピューターの他の部分はロック 解除して作業用に使用できます。 PGP 仮想ディスクは外観と機能は増設ハード ディスクと同様ですが、実際には どのコンピューター ディスク上にも常駐できる 1 つのファイルです。ファイル の保存領域としての PGP 仮想ディスクには、アプリケーションのインストール やファイルの保存を行うことも可能ですが、同時に、コンピューターの他の部 分に影響を与えずにいつでもロックできます。PGP 仮想ディスクに保存されて いるアプリケーションやファイルを使用する必要がある場合は、ディスクをロ ック解除して、ファイルを再度アクセス可能にできます。 PGP 仮想ディスクのロック解除とロックは、コンピューターに対するマウント/ マウント解除によって行われます。PGP Desktop ではこの操作がほぼ自動的に 遂行されます。 PGP 仮想ディスクにはサイズの指定がありますが、動的にサイズ変更するディ スクを作成することもできます。この場合、ディスクは必要に応じてサイズが 大きくなります。ディスクの作成時に指定するサイズが、そのディスクの最大 サイズになります。 PGP 仮想ディスクをマウントし終えると、次の操作が行えます。 マウントされた PGP 仮想ディスクとの間のファイルの移動とコピー マウントされた PGP 仮想ディスクへのファイルの保存 マウントされた PGP 仮想ディスク内部へのアプリケーションのインストー ル PGP 仮想ディスク上のファイルやアプリケーションは、暗号化された状態で保 存されています。PGP 仮想ディスクがマウント解除されている際にコンピュー ターがクラッシュしても、ディスクの内容は暗号化されたまま保護されます。 PGP 仮想ディスクがマウント解除されていると、Windows エクスプローラーま たは Mac OS X Finder に表示されず、適切な認証のないユーザーはアクセスで きません。 すべてのデータは暗号化されたファイル内にセキュリティ保護されており、解 読されるのはユーザーがこれらのファイルの 1 つにアクセスするときだけであ るということに注意する必要があります。ボリュームのデータをこの方法で保 管すると、PGP 仮想ディスクを操作したり他のユーザーと交換したりするのが 容易になりますが、ファイルがなんらかの理由で削除された場合にはデータが 簡単に失われることにもなります。元のファイルが破損した場合にデータを復 旧できるように、暗号化されたファイルのバックアップを作成することを推奨 します。 216 PGP Desktop for Windows PGP 仮想ディスクの使用 PGP 仮想ディスク ボリュームに影響する PGP オプションについては、「ディス ク オプション 『ページ : 334』」を参照してください。 注意 : PGP Universal Serverで管理された環境でPGP Desktopを使用するとき には、PGP Desktopのインストール後にPGP仮想ディスクを作成する必要が ある場合があります。その場合、サイズ、ファイル システム、およびアルゴ リズムが指定されていることがあります。詳細については、「PGP Universal Serverを介してのPGP Desktopの使い方 『ページ : 349』」を参照してくだ さい。 PGP 仮想ディスクの新規作成 PGP 仮想ディスクを新しく作成するには 1 PGP Desktop を開きます。 2 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、[新規仮想ディスク] をクリックします。また は、[ファイル] > [新規] > [PGP 仮想ディスク] の順に選択します。画面の 右側のコントロール ボックスに [新規仮想ディスク] 画面が表示されます 。 3 [名前] フィールドに、新しい PGP 仮想ディスクの名前を入力します。 4 [ディスク ファイルの場所] フィールドで、PGP 仮想ディスク ボリューム が作成されるデフォルトの場所を使用するか、または [参照] をクリック して別の場所を指定します。 217 PGP Desktop for Windows PGP 仮想ディスクの使用 5 [マウントするドライブ文字] メニューから、新しい PGP 仮想ディスクをマ ウントするドライブ文字を選択します。 次の操作のいずれかを実行できます。 PGP Desktop が表示するドライブ文字を使用します。 [マウントするドライブ文字] メニューで、使用可能なドライブをリス トから選択します。 新しい PGP 仮想ディスクをドライブとしてではなくフォルダーとして マウントする場合は、[マウントするドライブ文字] メニューから [フ ォルダー] を選択します。[マウントするドライブ文字] メニューの横 にフィールドが表示されるので、フォルダーの場所を指定します。 6 新しい PGP 仮想ディスク ボリュームがコンピューターの起動時に自動的 にマウントされるようにするには、[起動時にマウント] をオンにします。 オンにすると、コンピューターの起動時に PGP 仮想ディスクのパスフレー ズの入力が求められます。 7 指定した時間 (分単位) コンピューターを使用しないと PGP 仮想ディスク がマウント解除されるようにするには、[次の期間アクティブでない状態が 続いたらマウント解除] を選択します。これは、頻繁にコンピューターか ら離れる場合に役立ちます。PGP 仮想ディスクをロックし忘れたときに備 えた、安全対策になります。 8 [容量] メニューから、PGP 仮想ディスクのタイプを選択します。オプショ ンは次のとおりです。 ダイナミック (サイズ変更可能) :このタイプのディスクは、追加の空 き領域が必要になるまでは小さな状態を保ち、ファイルが追加される につれて容量が増加します。PGP Desktop がこの処理を管理するため 、必要となるのはディスクの最大サイズの設定だけです。このディス クは、後で圧縮することもできます。この種類の PGP 仮想ディスクは FAT または FAT32 でフォーマットされたディスクでのみ使用できます 。 展開可能 :このタイプのディスクは、追加の空き領域が必要になるま では小さな状態を保ち、ファイルが追加されるにつれて容量が増加し ます。PGP Desktop がこの処理を管理するため、必要となるのはディ スクの最大サイズの設定だけです。このディスクは、後で圧縮するこ ともできます。この種類の PGP 仮想ディスクは NTFS でフォーマット されたディスクでのみ使用できます。 固定サイズ :このタイプのディスクは、追加されるファイル数に関係 なく同じサイズを保ちます。この種類の PGP 仮想ディスクはすべての 種類のフォーマットされたディスクで使用できます。 218 PGP Desktop for Windows PGP 仮想ディスクの使用 9 [容量] メニューから、新しい PGP 仮想ディスクのサイズ (ダイナミック ディスクの場合は最大サイズ) を設定します。使用できる数値は整数のみ で、小数は使用できません。メニューから、[KB] (キロバイト) 、[MB] (メ ガバイト) 、[GB] (ギガバイト) のいずれかを、入力した数値の単位として 指定します。 PGP 仮想ディスクに指定可能な最大サイズは、ハード ディスクのサイズ やフォーマット形式によって異なります。 10 11 12 ボリュームのファイルシステム形式を、以下の中から指定してください。 FAT。ボリュームは 100 KB 以上の容量が必要です。 FAT32 :ボリュームは 260 MB 以上の容量が必要です。 NTFS :ボリュームは 5 MB 以上、Windows Vista の場合は 12 MB の容 量が必要です。 データの保護に使用する暗号化アルゴリズムを、以下の情報を参照しなが ら指定してください。 AES (256 ビット) : AES (Advanced Encryption Standard) とは、128、 192、256 ビットで使用できるブロック暗号です。デフォルトでは、 PGP 仮想ディスク ボリュームの作成には安全性の高い 256 ビットが 使用されます。 EME2-AES (256 ビット) :EME2 (Encrypt-Mix-Encrypt v2) は各操作で 2 回暗号化する強力なアルゴリズムです。EME2 は IEEE 規格作業部会 が現在見直し中のワイドブロック モード アルゴリズムです。 CAST5 (128 ビット) : CAST5 は 128 ビット ブロック暗号です。CAST は、軍事用に匹敵する強力な暗号化アルゴリズムで、許可されていな いアクセスを阻止する能力が非常に優れています。 Twofish (256 ビット) : Twofish は、 256 ビット ブロック暗号 (対称 アルゴリズム) です。これは、米国標準技術局 (NIST: National Institute of Standards and Technology) が AES 用に検討した 5 つのアルゴリズムの 1 つです (Rijndael を選択) 。 新しい PGP 仮想ディスクにアクセスできるユーザーが少なくとも 1 人必要 です。[ユーザー アクセス] セクションで、アクセスを与えるユーザーと アクセスに使用する方法を指定します。 ユーザー鍵 : 公開鍵暗号化方式を使用して認証を行うユーザーを追加 するには次の操作を行います。 [ユーザー鍵の追加] をクリックします。鍵リングに現在含まれ ている鍵ペアを示す [鍵ユーザーの追加] ボックスが表示されま す。 [鍵ユーザーの追加] ボックスで、リストから選択する鍵ユーザ ーをダブルクリックします。または、リストされた鍵ユーザーを 左側から右側にをドラッグするか、選択してから [追加] をクリ ックします。完了したら、[OK] をクリックします。 219 PGP Desktop for Windows PGP 仮想ディスクの使用 パスフレーズ :[新規パスフレーズ ユーザー] をクリックします。[新 規ユーザーの作成] ダイアログ ボックスが表示されます。 新しいパスフレーズ ユーザーごとに、ユーザーの名前とそのユ ーザーのパスフレーズを入力します。確認のために、同じパスフ レーズをもう一度入力します。[OK] をクリックし、パスフレー ズ ユーザーを作成します。 他のパスフレーズ ユーザーを承認 する場合は、この手順を繰り返します。 パスフレーズ ユーザーのパスフレーズを変更するには、そのユ ーザーを選択し、[パスフレーズの変更] をクリックします。 効果的で高品質なパスフレーズの作成については、「強力なパスフレーズの 作成 『ページ : 345』」を参照してください。 13 [作成] をクリックすると、新しい PGP 仮想ディスクの作成が開始されます 。進行状況バーに、PGP 仮想ディスクの初期化とフォーマット作業の進行 状況が表示されます。完了すると、新しい PGP 仮想ディスクが PGP ディス ク管理領域に表示されます。 14 最初に作成したユーザーには管理者のステータスが与えられます。同時に 存在できる管理者は 1 人だけです。ただし、管理者のステータスは他のユ ーザーに与えることができます。これは、公開鍵ユーザーでも、パスフレ ーズ ユーザーでもかまいません。[ユーザー アクセス] リストでユーザー の名前をクリックし、[管理者にする] をクリックします。 15 管理者以外のユーザーは、名前を選択し、[ユーザーの削除] をクリックし て削除します。管理者を削除する場合は、管理者ステータスを別のユーザ ーに与えてから、前の管理者を削除してください。 PGP 仮想ディスクのプロパティの表示 PGP 仮想ディスクを作成した後は、[Disk Properties (ディスクのプロパティ)] 画面からそのディスクと変更可能な設定に関する情報にアクセスできます。 PGP ディスク ボリュームのプロパティを表示するには PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスで、ディスクの名前をクリックします。[Disk Properties (ディ スクのプロパティ)] は、メイン画面の右側に表示されます。PGP 仮想ディ スク ファイルの場所、ディスク容量、マウント ドライブの文字、ディス ク フォーマット、暗号化タイプ、ディスクのステータス (マウント、マウ ント解除) などが表示されます。 220 PGP Desktop for Windows PGP 仮想ディスクの使用 PGP 仮想ディスクの検索 以前にインストールした PGP Desktop を使用して PGP 仮想ディスクを作成した 場合、PGP ディスク検索アシスタントを使用するとこれらのボリュームを簡単 に検索できます。 コンピューター上の仮想ディスクを検索するには 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリック します。PGP ディスクのメイン画面が表示されます。 2 [ファイル] > [PGP ディスクのスキャン] の順に選択します。PGP ディスク 検索アシスタント ダイアログ ボックスが表示されます。 3 このダイアログ ボックスに表示される指示に従ってください。 ヒント : マウントされている特定の PGP 仮想ディスク ボリュームを検索す るには、PGP Desktop でボリュームの名前を右クリックし、エクスプローラ でディスクの場所を確認を選択します。Windows エクスプローラで、そのボ リュームの内容を表示する新しいウィンドウが開きます。 マウント済み PGP 仮想ディスクの使用 PGP 仮想ディスク上のファイルやフォルダーの作成、コピー、移動、および削 除は、コンピューター上の他のディスクに対して通常行う操作と同様です。 同じコンピューターから、またはネットワーク経由でボリュームにアクセスで きるユーザーは、そのボリューム上のデータにもアクセスできます。ただしデ ータはボリュームのマウントが解除されるまで保護されないので、注意が必要 です。 注意 : 各PGP仮想ディスク ファイルは、暗号化されているので適切な権限 がないとアクセスできませんが、コンピューターから削除することはできま す。システムにアクセスできるユーザーならだれでも、PGP仮想ディスクが 含まれた暗号化ファイルを削除できます。そのため、暗号化ファイルのバッ クアップ コピーを取っておくことは、コンピューターの近くから離れる際に ロックすることと同様に、重要な安全対策です。 PGP 仮想ディスクのマウント 新たに作成した PGP 仮想ディスクは自動的にマウントされ、ファイルの保存に 使用できるようになります。 221 PGP Desktop for Windows PGP 仮想ディスクの使用 ボリュームの内容をセキュリティで保護するには、マウント解除する必要があ ります。いったんマウント解除されたボリュームの内容は、暗号化ファイル内 でセキュリティ保護された状態に維持されます。ボリュームを再びマウントす るまで、ファイルにはアクセスできないためです。 PGP 仮想ディスクのマウントには、複数の方法があります。 PGP Desktop で、マウントする PGP 仮想ディスクを選択して、[ディスク] > [マウント] の順に選択します。 PGP Desktop で、マウントする PGP 仮想ディスクを選択します。続いて、 Windows システムの場合、右上隅にある [マウント] をクリックします。 Mac OS X システムの場合、ツールバーにある [マウント] アイコンをクリ ックします。 コンピューターの起動時に PGP 仮想ディスクがマウントされるように、 PGP 仮想ディスクのプロパティを変更します。 Windows システムのみ PGP 仮想ディスクの作成中に、[起動時にマウント] チェックボックスをオ ンにします。Windows を起動すると、ボリュームが自動的にマウントされ ます。PGP 仮想ディスクの作成時にこの指定をしなかった場合は、オプシ ョンとして後で設定できます。 Windows エクスプローラーで、PGP 仮想ディスク ファイルを右クリック して、ショートカット メニューから [PGP] > [PGP 仮想ディスクのマウン ト] の順に選択します。 マウントされた PGP 仮想ディスク ボリュームは、Windows エクスプローラー および Mac OS X Finder に空のドライブとして表示されます。 PGP 仮想ディスクのマウント解除 PGP 仮想ディスクをロックするには、マウント解除します。PGP 仮想ディスク のマウントが解除されると、そのボリュームの内容は暗号化ファイルとしてロ ックされます。ボリュームを再びマウントするまで、その内容にはアクセスで きません。 注意 : ファイルを開いている状態でPGP仮想ディスクをマウント解除すると 、そのファイルのデータが失われることがあるので、注意してください。デ ィスクのマウント解除オプションを指定するには、[ツール] > [PGP] を選択 して、[ディスク] タブをクリックします。 オプションの1つに [Allow PGP Virtual Disks to unmount even while files are still open (ファイルが開い ている状態でもPGP仮想ディスクのマウント解除を許可する)] があります。 このオプションを選択すると、[Don't ask before unmounting (マウント解 除の前に確認しない)] オプションも使用可能になります。これらのオプショ ンを理解していない場合は、使用しないでください。 これらのオプションは 定期的なバックアップでデータを保護している上級ユーザーにとっては役立 つ場合がありますが、多くのユーザーには推奨されません。 222 PGP Desktop for Windows PGP 仮想ディスクの使用 PGP 仮想ディスク ボリュームをマウント解除するには、次のようないくつかの 方法があります。 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、マウント解除するボリュームを選択します。右 上隅の [マウント解除] をクリックするか、 [ディスク] > [マウント解除] の順に選択します。 Windows エクスプローラで、PGP 仮想ディスクのファイルを右クリックし 、ショートカット メニューから [PGP] > [PGP 仮想ディスクのマウント解 除] の順に選択します。 すべての PGP 仮想ディスクをマウント解除するには、ホットキーを使用し ます。デフォルトのほーっとキーは Ctrl+Shift+U です。ホットキーは、最 初に有効にする必要があります。 PGP 仮想ディスクのマウントが解除されると、そのボリュームの内容はロック され、再びマウントされるまでアクセスできなくなります。 PGP 仮想ディスクの圧縮 PGP 仮想ディスクの空き領域を増やすには、ディスクを圧縮します。PGP 仮想 ディスクがマウントされている場合は、圧縮する前にディスクのマウントを解 除する必要があります。 メモ :FAT または FAT32 フォーマットの動的な (サイズが固定されていない) PGP 仮想ディスクのみが圧縮できます。NTFS フォーマットのディスクまた はサイズが固定されたディスクは圧縮できません。 PGP 仮想ディスクを圧縮するには 次のいずれか 1 つを実行します。 Windows エクスプローラで、.pgd ファイルの保存場所に移動します 。ファイルを右クリックして、[PGP Desktop] > [未使用領域の圧縮] の順に選択します。 PGP Desktop メイン画面左側の [PGP ディスク] コントロール ボック スをクリックして、圧縮する PGP 仮想ディスクを選択してから、[デ ィスク] > [Compact (圧縮)] の順に選択します。また、[PGP ディスク ] コントロール ボックスの [PGP 仮想ディスク] を右クリックし、シ ョートカット メニューから [Compact (圧縮)] を選択することもで きます。 223 PGP Desktop for Windows PGP 仮想ディスクの使用 PGP 仮想ディスクの再暗号化 PGP 仮想ディスクに保存されているデータはすべて再暗号化できます。再暗号 化を行う理由としては、次のいずれか、あるいは両方が考えられます。 現在ボリュームの保護に使用してる暗号化アルゴリズムを変更する場合 セキュリティの侵害が疑われる場合 再暗号化では、PGP 仮想ディスクを再び暗号化しますが、異なる基本暗号化鍵 を使用します。 注意 : 熟練したユーザーは、PGP仮想ディスクの基本暗号化鍵をコンピュー ターのメモリから検索することも可能です。このようなユーザーは、ユーザ ー リストから削除された後でも、鍵を使用してボリュームにアクセスできま す。ディスクの再暗号化によってこの基本鍵を変更し、このような侵入を予 防します。 PGP 仮想ディスク ボリュームを再暗号化するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、再暗号化する PGP 仮想ディスクを選択します 。 2 再暗号化する PGP 仮想ディスクがマウントされている場合は、マウントを 解除します。 3 再暗号化する PGP 仮想ディスク ボリュームを選択します。 4 [ディスク] > [再暗号化] を選択します。 5 ボリュームのパスフレーズを入力します。[PGP Re-Encryption Assistant (PGP 再暗号化アシスタント が表示されます。 6 この画面に表示される説明を読み、[次へ] をクリックします。次の内容を 示すダイアログ ボックスが表示されます。 PGP 仮想ディスクを保護している現在の暗号化アルゴリズム 最初に選択したもの以外に使用可能な暗号化アルゴリズム たとえば、PGP 仮想ディスクが現在 AES で暗号化されている場合、新規の アルゴリズム リストには [CAST5] オプションと [Twofish] オプション が表示されます。 7 次のいずれか 1 つを実行します。 現在のアルゴリズムを使用してボリュームを再暗号化するには、[同 じアルゴリズムに再暗号化する] チェックボックスをオンにして、[次 へ] をクリックします。 PGP 仮想ディスク ボリュームは、前回と同 じ暗号化アルゴリズムを使用して再暗号化されます。 224 PGP Desktop for Windows PGP 仮想ディスクの使用 別のアルゴリズムを使用してボリュームを再暗号化するには、新規の アルゴリズム メニューからアルゴリズムを選択し、[次へ] をクリッ クします。 PGP 仮想ディスク ボリュームは、選択した新規の暗号化 アルゴリズムを使用して再暗号化されます。 8 再暗号化の進行状況に [Done (完了)] と表示されたら、[次へ] をクリック します。 9 [完了] をクリックすると、再暗号化プロセスが終了します。 代替ユーザーの使用 このセクションでは、PGP 仮想ディスクに対して代替ユーザー アカウントを追 加、削除、および無効にする方法を説明します。また、管理者に付与された権 限も含め、ユーザーの権限を変更する方法についても説明します。 PGP 仮想ディスクへの代替ユーザー アカウントの追加 PGP 仮想ディスクの管理者は、他のユーザーも PGP 仮想ディスクを使用できる ように設定 (代替ユーザー アカウントを追加) することができます。各ユーザ ーがボリュームにアクセスするには、パスフレーズまたは秘密鍵を使用します 。 PGP 仮想ディスクが現在マウントされていないことを確認します。マウントさ れていると、代替ユーザー アカウントを追加できません。 代替ユーザー アカウントを PGP 仮想ディスクに追加するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、代替ユーザー アカウントを追加する PGP 仮想 ディスクを選択します。 2 次のいずれか 1 つを実行します。 3 新規の公開鍵ユーザーを追加するには、鍵ユーザーの追加 をクリッ クします。鍵ユーザーの追加 ダイアログ ボックスが表示されます。 新規のパスフレーズ ユーザーを追加するには、[新規パスフレーズ ユーザー] をクリックします。[PGP ディスク新規ユーザー] ダイアロ グ ボックスが表示されます。 次のいずれか 1 つを実行します。 鍵ユーザーの追加 を選択した場合は、鍵ユーザーの追加 ダイアログ ボックスで一覧から公開鍵を選択し、[OK] をクリックします。 225 PGP Desktop for Windows PGP 仮想ディスクの使用 [新規パスフレーズ ユーザー] を選択した場合は、[PGP ディスク新規 ユーザー] ダイアログ ボックスにユーザー名と、ユーザーを追加する PGP 仮想ディスクのパスフレーズを入力し、[PGP ディスク新規ユー ザー] ボックスに再びパスフレーズを入力してから、[OK] をクリッ クします。 以上で、代替ユーザー アカウントが追加されます。 PGP 仮想ディスクからの代替ユーザー アカウントの削除 任意の一時点で、代替ユーザーの PGP 仮想ディスク アクセス権限を削除する ことができます。 PGP 仮想ディスクが現在マウントされていないことを確認します。マウントさ れているボリュームの代替ユーザー アカウントは削除できません。 代替ユーザー アカウントを PGP 仮想ディスクから削除するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、ユーザー アカウントを削除する PGP 仮想ディ スクを選択します。 2 [ユーザー アクセス] リストで、アカウントを削除する代替ユーザーの名前 を選択します。管理者は削除対象外です。 3 [ユーザーの削除] をクリックします。[パスフレーズ] ダイアログ ボックス が表示され、管理者のパスフレーズまたは削除するユーザー アカウントの パスフレーズを入力するように求められます。 4 正しいパスフレーズを入力し、[OK] をクリックします。以上で、代替ユ ーザー アカウントが削除されます。 代替ユーザー アカウントの無効化および有効化 代替ユーザー アカウントを完全に削除せずに、PGP 仮想ディスクへアクセスで きないようにするには、アクセスを一時的に無効にします。 PGP 仮想ディスクが現在マウントされていないことを確認します。マウントさ れているボリュームの代替ユーザー アカウントを無効にしたり、有効にしたり することはできません。 PGP 仮想ディスクの代替ユーザー アカウントを無効または有効にするには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディ スクを選択します。 2 [ユーザー アクセス] リストで、次のいずれかの操作を行います。 226 PGP Desktop for Windows PGP 仮想ディスクの使用 ユーザーを無効にするには、対象となる代替ユーザー アカウントの 名前を右クリックし、[Disable (無効)] を選択します。[パスフレー ズ] ダイアログ ボックスが表示され、管理者のパスフレーズまたは無 効にするユーザー アカウントのパスフレーズを入力するように求め られます。正しいパスフレーズを入力し、[OK] をクリックします。 以上で、代替ユーザー アカウントが無効になります。 以前に無効にしたユーザーを有効にするには、対象となる代替ユーザ ー アカウントの名前を右クリックし、有効 を選択します。[パスフレ ーズ] ダイアログ ボックスが表示され、管理者のパスフレーズまたは 無効にするユーザー アカウントのパスフレーズを入力するように求 められます。正しいパスフレーズを入力し、[OK] をクリックします 。以上で、代替ユーザー アカウントが有効になります。 読み取り/書き込みおよび読み取り専用ステータスの変更 PGP 仮想ディスクのユーザーには、読み取り/書き込みの両方の全権限か、読み 取り専用の権限を割り当てることができます。ユーザーに割り当てたこれらの 権限はいつでも変更できます。 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マ ウントされているボリュームの権限は変更できません。 PGP 仮想ディスクに対するユーザーの権限を変更するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディ スクを選択します。 2 [ユーザー アクセス] リストで、ステータスを変更するユーザーの名前を選 択します。 3 次のいずれか 1 つを実行します。 ユーザーの権限を読み取り専用アクセスに変更するには、ユーザー名 を右クリックし、[Read-Only (読み取り専用)] を選択します。 ユーザーの権限を読み取り/書き込みアクセスに変更するには、ユーザ ー名を右クリックし、[Read/Write (読み取り/書き込み)] を選択しま す。 パスフレーズの入力 ダイアログ ボックスが表示されます。 4 PGP 仮想ディスクの管理者パスフレーズを入力し、[OK] をクリックしま す。これで、選択したユーザーの権限が変更されます。 227 PGP Desktop for Windows PGP 仮想ディスクの使用 代替ユーザーへの管理者ステータスの付与 ユーザー アカウントのステータスを代替ユーザーから管理者に変更できます。 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マ ウントされているボリュームで、代替ユーザーを管理者にすることはできませ ん。 管理者ステータスを付与するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディ スクを選択します。 2 [ユーザー アクセス] リストから、PGP 仮想ディスクの管理者にするユー ザーを選択します。パスフレーズ ユーザー、または (現在管理者でない場 合は) 自分のユーザー名を選択してください。公開鍵ユーザーを PGP 仮想 ディスクの管理者にすることはできません。 3 左側のオプション バーの 管理者の作成 をクリックします。これで、選択 したユーザー アカウントが管理者になります。 メモ : 一度に管理者のステータスを与えられるユーザー アカウントは 1 人だ けです。管理者のステータスは、いったん 1 人のアカウントに付与されると 、別のアカウントからは削除されます。 ユーザー パスフレーズの変更 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マ ウントされているボリュームのパスフレーズは変更できません。 PGP 仮想ディスク ボリュームのユーザー パスフレーズを変更するには 1 PGP Desktop メイン画面左側のペインにある [PGP 仮想ディスク] コント ロール ボックスをクリックし、ユーザーとして登録している PGP 仮想デ ィスクを選択します。 2 [ユーザー アクセス] リストで、パスフレーズ ユーザーの名前を選択し、[ パスフレーズの変更] をクリックします。パスフレーズの入力 ダイアログ ボックスが表示されます。 ヒント : また、ユーザーの名前を右クリックして、ショートカット メニ ューから ユーザー パスフレーズの変更 を選択することもできます。 3 ユーザーの現在のパスフレーズを入力し、[OK] をクリックします。PGP 確認用パスフレーズの入力 ダイアログ ボックスが表示されます。 228 PGP Desktop for Windows PGP 仮想ディスクの使用 4 新しいパスフレーズを入力し、確認用に同じパスフレーズを再入力して、 [OK] をクリックします。これで、パスフレーズが変更されます。 PGP 仮想ディスクの削除 特定の PGP 仮想ディスクが必要なくなった場合は、そのディスクを完全に削除 することもできます。 注意 : PGP仮想ディスクを削除すると、そのディスク上のすべてのデータも 削除されます。 PGP仮想ディスクを削除するとその中のデータは復元できな くなります。.他の場所に保存しておく必要があるデータは、PGP仮想ディス クを削除する前にコピーしてください。 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マ ウントされている PGP 仮想ディスク ボリュームは削除できません。 PGP 仮想ディスクを削除するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックし、削除する PGP 仮想ディスクを選択します。 2 [ディスク] > [削除] の順に選択します。確認のダイアログ ボックスが表示 されます。 3 次のいずれか 1 つを実行します。 [OK] をクリックして、PGP 仮想ディスクを PGP Desktop のリストか ら削除します。PGP 仮想ディスクは、コンピューターに残ったままに なります。 [PGP ディスクの削除] をクリックして、PGP 仮想ディスクを PGP Desktop のリストから削除し、ハード ディスク ドライブからも削除 します。 PGP 仮想ディスクの管理 このセクションでは、お使いのコンピューターで使用する PGP 仮想ディスクの 適切な扱い方について説明します。 229 PGP Desktop for Windows PGP 仮想ディスクの使用 リモート サーバー上の PGP 仮想ディスク ボリュームのマウント PGP 仮想ディスク ボリュームは、どの種類のサーバー (Windows または UNIX) にも配置できます。そのボリュームは、Windows コンピューターおよび PGP Desktop を使用してだれでもマウントできます。 メモ : PGP 仮想ディスク ボリュームを最初にローカルにマウントしたユー ザーには、そのボリュームの読み取りと書き込みの両方の権限が与えられま す。マウント中のボリュームには、他のユーザーが同じ権限でアクセスする ことはできません。自分以外のユーザーにボリューム内のファイルへのアク セスを許可するには、ボリュームを読み取り専用モードでマウントしておく 必要があります (FAT および FAT32 ファイル システム形式にのみ適用可能) 。そうすることで、ボリュームの全ユーザーが読み取り専用アクセス権を持 つようになります。 PGP 仮想ディスクが Windows サーバー上に保存されると、ボリュームをリモー トでサーバーにマウントでき、他のユーザーと共有することもできます。ただ しこの方法では、ボリューム内のファイルがセキュリティで保護されなくなる ことに注意してください。 PGP 仮想ディスク ボリュームのバックアップ ハードウェアの障害やその他の損失からデータを保護する最良の手段として、 PGP 仮想ディスクの内容をバックアップしておくことをお勧めします。 マウントされている、つまり復号化されている PGP 仮想ディスクの内容を、他 のボリュームと同様にバックアップすることはお勧めできません。マウントさ れているディスクの内容は暗号化されず、バックアップを復元できれば誰でも アクセスできます。代わりに、暗号化されたボリュームのバックアップ コピー を作成してください。 PGP 仮想ディスクをバックアップするには 1 PGP 仮想ディスクのマウントを解除します。 2 マウント解除されている暗号化ファイルを、通常のファイルをバックアッ プするときと同じように、ディスケットやテープ、リムーバブル カートリ ッジにコピーします。この方法を取ると、他のユーザーがバックアップに 不正にアクセスできたとしても、暗号化ファイルの内容を解読することは できません。 暗号化ファイルのバックアップを作成するときは、次の点に注意してください 。 230 PGP Desktop for Windows PGP 仮想ディスクの使用 脆弱なパスフレーズを使用して暗号化したファイルをネットワーク ドライ ブにバックアップすると、他のユーザーがそのファイルを入手し、パスフ レーズを見破る危険性が高まることを常に念頭に入れておいてください。 セキュリティを高めるには、物理的に取り外し安全な場所に保管できるデ バイスにのみバックアップしてください。 冗長で複雑なパスフレーズを使用すると、データのセキュリティがさらに 高まります。 ネットワークに接続している場合は、マウントされている PGP 仮想ディス クのファイルがネットワーク バックアップ システムによってバックアッ プされないことを確認します。詳しくはシステム管理者にお尋ねください 。マウントされている PGP 仮想ディスクのファイルは復号化されており、 そのままネットワーク バックアップ システムにコピーされるおそれがあ ります。 PGP 仮想ディスクの交換 PGP Desktop がコンピューターにインストールされている他のユーザーと、 PGP 仮想ディスクを交換できます。この交換を行うには、ボリューム データが 保存されている PGP 仮想ディスク データ ファイルのコピーを送信します。 PGP 仮想ディスクを他のユーザーと交換するには、次のような方法があります 。 電子メールの添付ファイル リムーバブル ディスクまたは CD ネットワーク経由 他のユーザーは PGP 仮想ディスク ファイルを受け取ったら、そのファイルを PGP Desktop が稼働中のシステムにマウントして、適切なパスフレーズを使用 してアクセスできます。ボリュームが公開鍵で暗号化されている場合は、アク セス用の秘密鍵を使用します。 メモ : 次のような理由から、公開鍵は、PGP 仮想ディスクに代替ユーザーを 追加する際の最も安全な保護手段です。(1) パスフレーズを代替ユーザーと やり取りする必要がありません。やり取りする方法によっては、パスフレー ズが傍受されたり、他人に聞かれたりするおそれがあります。(2) 代替ユー ザーは新たなパスフレーズを覚えておく必要がないため、パスフレーズを忘 れてしまうという事態が起こりません。(3) 代替ユーザーが各自の秘密鍵を 使用してボリュームのロックを解除するように設定すると、ユーザーリスト の管理が簡単になります。 231 PGP Desktop for Windows PGP 仮想ディスクの使用 PGP 仮想ディスクの暗号化アルゴリズム 暗号化は、データを他人に使用されないように数式でスクランブルする技術で す。正しい数学的鍵を適用すると、スクランブルされたデータを元のデータに 復元できます。PGP 仮想ディスク ボリュームの暗号化式では、暗号化処理の一 部でランダムなデータを使用します。 PGP Desktop アプリケーションは、PGP 仮想ディスク ボリュームを保護するた めに、次のような強力なアルゴリズムを備えています。AES-256、CAST、およ び Twofish。 Advanced Encryption Standard (AES) は、NIST が承認している暗号化の標 準規格です。この基本になる暗号化方式は、Joan Daemen 氏と Vincent Rijmen 氏が開発したブロック暗号方式の Rijndael です。AES は、従来の標 準規格である Data Encryption Standard (DES) に取って代わるものです。 PGP 仮想ディスク ボリュームは、この AES の中でも最も強力な AES-256 ( 鍵サイズが 256 ビットの AES) で保護できます。 CAST は、処理速度が速く解読が非常に難しいため、優れたブロック暗号 方式であると評価されています。CAST は、Northern Telecom (Nortel) 社 の設計者である Carlisle Adams 氏と Stafford Tavares 氏のイニシャルを取っ て名付けられました。Nortel 社では CAST の特許を申請中ですが、一般ユ ーザーは特許権使用料なしで CAST を使用できるようにすると公約してい ます。CAST は暗号化の分野で定評のある人々によって設計された、優れ た暗号化方式です。 この方式は非常にオーソドックスな方法に基づいて設計されているだけで なく、これまでに証明されてきた多くの理論を取り入れています。そのた め、この 128 ビット鍵の解読は不可能であると言われています。つまり、 CAST には事実上脆弱な鍵というものは存在しません。また、CAST は線形 および微分を用いた暗号分析にも耐えると言われています。この 2 つは既 刊文献において最も強力な形式の暗号分析とされており、両方ともデータ 暗号化標準 (DES) の解読に有効です。 EME2-AES (256 ビット) は、各操作で 2 回暗号化する強力なアルゴリズム です。EME2 (Encrypt-Mix-Encrypt v2) は IEEE 規格作業部会が現在審査中 のワイド ブロック モード アルゴリズムです。 PGP 仮想ディスクによる特別なセキュリティ措置 PGP Desktop は、PGP 仮想ディスク ボリュームのセキュリティ対策として、他 社の製品にはない特別な機能を備えています。 これらのセキュリティ対策は、ディスク全体暗号化を行ったドライブにも適用 されます。 232 PGP Desktop for Windows PGP 仮想ディスクの使用 パスフレーズの消去 PGP Desktop は、入力されたパスフレーズを短時間だけ使用した後メモリから 消去し、パスフレーズのコピーも作成しません。つまり、通常パスフレーズが メモリ内に保存されるのはほんの一瞬です。この非常に重要な機能がない場合 は、ユーザーがコンピューターから離れた隙に、他のユーザーがコンピュータ ーのメモリに残っているパスフレーズを探し出してしまう可能性があります。 気づかないうちに、このパスフレーズで保護されているデータへの完全アクセ ス権限がパスフレーズ傍受者に付与してしまうことになります。 仮想メモリの保護 パスフレーズやその他の鍵は、仮想メモリ システムがメモリの内容をディスク にスワップする際に、ディスクに書き込まれる可能性があります。そこで PGP Desktop は、パスフレーズや鍵がディスクに書き込まれないよう対策を講じて います。この機能により、侵入者に仮想メモリ ファイルがスキャンされてパス フレーズを探し出されるのを未然に防止できます。 休止状態 Windows の休止モードでは、PGP 仮想ディスク情報を含む、コンピューターの すべてのメイン メモリ領域のイメージが、ハード ディスク ドライブ上のファ イルに書き込まれます。休止を実行したときに PGP 仮想ディスクを開いていた 場合は、セッション鍵を含む機密データがハード ディスク ドライブに書き込 まれますが、パスフレーズは書き込まれません。 休止は元々セキュアでないため、休止を使用する場合は PGP Whole Disk Encryption 機能を使用するか、または [PGP オプション] の [ディスク] タブに ある [コンピューターがスリープ状態に入るときにマウント解除する] および [ ディスクをマウント解除できない場合はスリープ状態にしない] の PGP 仮想デ ィスク オプションを有効にすることを推奨します。 メモリ静的イオン マイグレーションの防止 PGP 仮想ディスク ボリュームをマウントすると、パスフレーズが鍵に置き換え られます。この鍵は、PGP 仮想ディスク ボリューム上のデータの暗号化や復号 化に使用されます。前述のように、パスフレーズはメモリから直ちに消去され ますが、鍵 (ちなみにパスフレーズを鍵から取得することは不可能です) はディ スクがマウントされている間、メモリ内に残ります。 233 PGP Desktop for Windows PGP 仮想ディスクの使用 鍵はディスク上の仮想メモリに書き込まれないようになってはいますが、長期 間にわたって電源をオフまたはリセットせずにいた場合、同一データが保存さ れ続けた特定のメモリ箇所は静電気が帯電しがちになります。このように、 PGP 仮想ディスク ボリュームが長期間マウントされていると、時間の経過と共 に、検出可能な鍵の形跡がメモリに残ることがあります。この現象を被った鍵 を回復するための機器も存在します。そのような機器は、一般電気店では購入 できませんが、政府機関にはたいてい 2 ~ 3 基あります。 PGP Desktop では、鍵のコピー 2 つ (1 つは通常のコピー、もう 1 つはビットを 反転したコピー) を RAM 上に保持して 2 ~ 3 秒ごとに両方のコピーを反転さ せることで、鍵を保護しています。 その他のセキュリティ対策 一般的に、データの安全性は講じるセキュリティ対策により左右されるため、 ずさんな管理下では、どのような暗号化プログラムを使ってもセキュリティを 保護することはできません。たとえば、コンピューターで機密ファイルを開い たままデスクから離れたりすると、だれでもその情報にアクセスできます。 最適なセキュリティを確保するには、次のヒントを参考にしてください。 コンピューターから離れるときは、PGP 仮想ディスク ボリュームのマウ ントを解除します。これにより、ボリュームの内容は、次回アクセスする まで、保存した暗号化ファイル内に安全に保管されます。 パスワード保護機能付きのスクリーン セーバーを使用すると、自分がデス クを離れている間に他のユーザーが自分のコンピューターにアクセスした り画面を表示したりするのが困難になります。 PGP 仮想ディスク ボリュームを、ネットワーク上の他のコンピューター から見られないようにします。これを確実に行うためには、必要に応じて ネットワーク管理者に相談してください。マウントされている PGP 仮想デ ィスク ボリューム内のファイルがネットワーク上で見えると、だれでもこ のファイルにアクセスできてしまいます。 パスフレーズは決して書き留めないでください。パスフレーズは覚えやす いものを選んでください。パスフレーズを覚えづらい場合は、ポスター、 歌詞、詩、ジョークなどを使用することを推奨します。ただし、書き留め るのは厳禁です。 自宅で PGP Desktop を使用していてコンピューターを家族と共有している なら、通常は家族も PGP 仮想ディスク ボリューム ファイルを見ることが できます。PGP 仮想ディスク ボリュームを使用後に必ずマウント解除し ておきさえすれば、自分以外の家族にボリュームの内容を読み取れずに済 みます。 234 PGP Desktop for Windows PGP 仮想ディスクの使用 自分が使用しているコンピューターに別のユーザーが物理的にアクセスで きる状態だと、PGP 仮想ディスクのファイル、その他のファイルやボリュ ームを削除されてしまうおそれがあります。物理的アクセスの問題に対処 するには、PGP 仮想ディスク ファイルをバックアップしておくか、自分 だけが別の場所に保管できる外付けデバイスに保存してください。 PGP 仮想ディスク ボリュームのコピーには、コピー元のボリュームと同 じ基本暗号化鍵が使用されることに注意してください。ボリュームのコピ ーを他のユーザーと交換し、両者がマスター パスワードを変更しても、デ ータの暗号化には交換前と同じ鍵が使用されます。ボリュームから鍵を探 し当てるのは技術的に不可能ではありません。 ボリュームを再暗号化し、暗号化に使用した鍵を変更しておくことを推奨 します。 235 12 PGP Portable でのモバイル データの作成とアクセス PGP Desktop ソフトウェアを持たないユーザーに暗号化されたファイルを配布 するために、PGP Portable を使います。PGP ソフトウェアをインストールして いないまたはインストールできない他のシステムへファイルを安全に転送する ために PGP Portable を使います。 PGP Portable により以下が提供されます。 セキュリティ保護された文書の可搬性 セキュリティ保護された文書の配布の容易さ PGP Portable のユーザーには次の 2 つのタイプがあります。セキュリティ保護 されたデータが入っている PGP Portable ディスクを作成するユーザー、および PGP ソフトウェアを持たないがセキュリティ保護されたデータにアクセスする 必要があるユーザーです。 両方のタイプのユーザであることもあるでしょう。 たとえば、顧客側でコンピューターに取り込み使用することができる PGP Portable ディスクを作成します。 Windows システムで、暗号化されたデータにアクセスできるほか、PGP Portable ディスクを作成できます。 この章の内容 PGP Portable ディスクの作成 ................................................................ 237 PGP Portable ディスクのデータへのアクセス.......................................241 PGP Portable ディスクの作成 PGP Portable ディスクは次の 2 つのうちのいずれかの方法で作成することがで きます。Windows エクスプローラのショートカット メニューを使用するか、 またはコマンド ライン ツールを使用します。このセクションでは通常のショ ートカット メニューについて説明します。コマンド ラインの説明については 、「PGP Portable コマンド ライン ツールの使用」を参照してください。 PGP Portable ディスクを作成するには、次のことを確認してください。 PGP Desktop を実行している Windows システム上に PGP Portable がイン ストールされている。 237 PGP Desktop for Windows PGP Portable でのモバイル データの作成とアクセス PGP Universal Server にバインドされた PGP Desktop のインストールに対 して適切にライセンス供与を受けている。 PGP Portable ディスクは次の 2 つの対象のうちの 1 つで作成することができま す。 ローカル ドライブのフォルダー、リモート ファイルの共有または CD/DVD。 128 GB を超えない、USB フラッシュ ドライブなど、ローカルでマウント されるリムーバブル デバイス。 PGP Portable ディスクを作成する場合は、PGP Universal Server ポリシーもパス フレーズの強度を高めます。PGP Universal Server ポリシーを満たさないパスフ レーズを使用する場合、エラー メッセージが表示されます。 フォルダーから PGP Portable ディスクを作成 PGP Portable ディスクを含む CD または DVD に最終的に記録する場合、このオ プションを使ってください。 メモ :保護し、フォルダーに共有したいデータをコピーしたことを確認して ください。 フォルダーから PGP Portable ディスクを作成するには、次の手順に従います 。 1 ソース フォルダーを探して右クリックし、ショートカット メニューから [PGP Portable ディスク フォルダーを作成] を選択します。 2 [PGP Portable ディスクを作成] ダイアログ ボックスに、パスフレーズを入 力し確認します。このパスフレーズは PGP Portable ディスクのデータにア クセスするために必要です。 3 [作成] をクリックします。 PGP Portable ディスクを作成するために使用しているフォルダーが読 み取り専用デバイス (CD または DVD など) 上にある場合、[名前を付 けて保存] ダイアログ ボックスが表示されます。 作成する PGP Portable ディスクの保存先フォルダーがあるローカル ドライブの保存 場所を参照して指定し、[保存] をクリックします。 完了すると、保存先フォルダーが作成されます。フォルダー名はソース フ ォルダー名の後ろに "-PGP Portable" を追加したものです。 4 保存先フォルダーの内容全体を CD/DVD に記録します。PGP Portable ディ スクの保存先フォルダーには次のものが入っています。 PGP Portable Windows 実行可能ファイル (pgpportable.exe) PGP Portable Mac OS X 実行可能ファイル (PGP Portable App) 238 PGP Desktop for Windows PGP Portable でのモバイル データの作成とアクセス Windows 自動実行ファイル (autorun.inf) PGP Portable ディスク ファイル (pgpportable.pgd) PGP Portable ディスク ファイル (pgpportable.pgd) にはその中に、元 のターゲット フォルダーにあるすべてのファイルが含まれています。PGP Portable ディスク ファイルは で指定されたパスフレーズで暗号化されま す。 PGP Portable ディスクからこれらのファイルを削除しないでください。 ヒント : フォルダー自体ではなく、フォルダーの内容のみをディスクに 記録するようにしてください。フォルダーをディスクに記録する場合、 PGP Portable は自動実行が有効になっているシステムにおいても、自動 的には起動しません。 リムーバブル USB デバイスから PGP Portable ディスクを作成 PGP Portable ディスクをフラッシュ ドライブなどのリムーバブル USB デバイ スに直接作成する場合、このオプションを使います。 4 GB を超える、フラッシュ ドライブなどのリムーバブル USB デバイスは NTFS としてフォーマットする必要があります。Mac OS X システムで NTFS ド ライブにアクセスする場合、(NTFS-3G for Mac OS X などのサード パーティ プログラムを読み取り/書き込みアクセスに使用する場合以外は) そのドライブ は読み取り専用として扱われます。4 GB 以下のリムーバブル USB デバイス上に 作成された PGP Portable ディスクは FAT または NTFS でフォーマットできます 。 FAT 形式のリムーバブル デバイスで PGP Portable ディスクを作成することを推 奨します。4 GB 以上の PGP Portable ディスクを作成すると、リムーバブル デ バイスのファイルシステムは、FAT に類似している NTFS パーミッションをもつ NTFS に自動的に変換されます。NTFS 形式のリムーバブル デバイスで PGP Portable ディスクを作成するには、作成者のみ変更可能なディスクを作成する 場合があるので、NTFS のパーミッションを理解していることを確認してくださ い。 メモ :リムーバブル USB デバイスは 128 GB (137438953472 バイト) 未満に する必要があります。128 GB を超えるリムーバブル USB デバイスに PGP Portable ディスクを作成しようとすると、エラー メッセージが表示されます 。 メモ : 256 MB 以下の USB ドライブに PGP Portable ディスクを作成する場合 、ディスクに作成したフォルダーの名前を、Mac OS X システムを使用して 変更することはできません。Mac OS X ユーザーがフォルダー名を変更する 必要がある場合は、256 MB より大きな USB ドライブに PGP Portable ディス クを作成してください。 239 PGP Desktop for Windows PGP Portable でのモバイル データの作成とアクセス リムーバブル USB デバイスから PGP Portable ディスクを作成するには、次の 手順に従います。 1 マウントされたリムーバブル USB デバイスを探して右クリックし、ショー トカット メニューから [PGP Portable ディスクを作成] を選択します。 2 PGP Portable ディスク作成アプリケーションが、ドライブの内容が消去さ れるという警告と共に表示されます。 3 [PGP Portable ディスクの作成] ダイアログ ボックスで、デバイス上にある すべてのデータをセキュアに消去するには、[ディスクのコンテンツをセキ ュアに消去する] チェック ボックスをオンにします。 4 PGP Portable ディスクのユーザーが初回使用時 (ユーザーがデバイスを初 めてシステムに挿入するとき) にパスフレーズを変更するように設定する には、[Change passphrase on first use (初回使用時にパスフレーズを変 更する)] チェック ボックスをオンにします。このオプションは、会議や 展示会などの配布に PGP Portable ディスクを複数作成する場合に便利です 。 5 パスフレーズを再度入力して確認します。このパスフレーズは PGP Portable ディスクのデータにアクセスするために必要です。 6 [フォーマットする] をクリックします。完了すると、PGP Portable ディス クが作成されます。PGP Portable ディスク ファイルは指定されたパスフレ ーズへ暗号化されます。 7 パスフレーズの入力を求めるメッセージが表示され、PGP Portable ディス クがマウントされます。通知メッセージはシステム トレイから表示され、 マウントされた PGP Portable ディスクのドライブ番号の通知を表示します 。 8 必要に応じて、保護したいデータをマウントされた PGP Portable ディスク にコピーします。PGP Portable ディスクが最初に作成されたときには、そ のディスクにはファイルが入っていません。 9 PGP Portable ディスクのマウント解除 (システム トレイにある [PGP Portable] アイコンをクリックし、[マウント解除および終了] を選択します )。PGP Portable ディスクにマウントされていたドライブがマウント解除さ れます。 10 USB デバイスを適切に取り出し、コンピューターからデバイスを取り外し ます。PGP Portable をサポートする他のシステムの PGP Portable ディスク の内容にアクセスできます。 警告 : リムーバブルUSBデバイスを物理的にシステムから取り外す前に 、適切にマウント解除するようにしてください。適切に行わないとファイ ルの内容が破損する可能性があります。 リムーバブル デバイスには次のファイルが含まれています。 PGP Portable Windows 実行可能ファイル (pgpportable.exe) 240 PGP Desktop for Windows PGP Portable でのモバイル データの作成とアクセス PGP Portable Mac OS X 実行可能ファイル (PGP Portable.app) Windows 自動実行ファイル (autorun.inf) PGP Portable ディスク ファイル (pgpportable.pgd) PGP Portable ディスクからこれらのファイルを削除しないでください。 読み取り/書き込みまたは読み取り専用の PGP Portable ディスクの作成 PGP Portable ディスクへの読み取り/書き込みアクセス権を設定するには、PGP Portable ディスクが読み取り/書き込みメディア (フラッシュ ドライブまたは他 のリムーバブル ディスクなど) に保存されている必要があります。読み取り/書 き込みアクセスは、アクセスが作成されたリムーバブル デバイス上にあるとき にのみ、PGP Portable ディスクに対して有効です。 読み取り専用のメディアに作成された PGP Portable ディスクはディスク自 体が読み取り専用です (たとえば CD-ROM)。 作成されたリムーバブル デバイスでアクセスされた PGP Portable ディス クは読み取り/書き込み用です (たとえば、読み取りおよび書き込みとして マウントされている USB ドライブ)。 PGP Portable ディスクのデータへのアクセス PGP Portable ディスクの内容は次の 3 とおりの方法でアクセスすることができ ます。 CD、DVD またはリムーバブル USB ドライブを Windows システムにマウン トし、PGP Portable ディスク アプリケーション (自動実行が可能な場合、 自動的に起動) を実行させます。 CD、DVD またはリムーバブル USB ドライブを Mac OS X システムにマウ ントし、PGP Portable ディスク アプリケーションを実行させます。 PGP Portable ディスク上のデータにアクセスする場合、次の 2 つの項目を実際 にマウントします。PGP Portable ディスクがあるリムーバブル デバイス、およ び PGP Portable ディスク自体 (別の項目としてマウントされています)。終了し たら、リムーバブル デバイスを安全に取り外す前に、必ず PGP Portable ディス クをマウント解除してください。 PGP Portable ディスクのデータにアクセスする手順は Windows および Mac OS X システムで同様です。 警告 : リムーバブル デバイスを物理的にシステムから取り外す前に、それ が適切にマウント解除されることを確認してください。適切に行わないとフ ァイルの内容が破損する可能性があります。 241 PGP Desktop for Windows PGP Portable でのモバイル データの作成とアクセス T Windows システムを使って、PGP Portable ディスク上のデータにアクセス するには、次の手順に従います。 1 PGP Portable ディスクが保存されているリムーバブル デバイスを挿入しま す。CD/DVD またはフラッシュ ドライブやリムーバブル ドライブを使用 できます。 2 次のいずれか 1 つを実行します。 自動実行が可能な Windows システムでは、[PGP Portable ディスクを マウント] を選択します。 自動実行が不可能な Windows システムでは、マウントされたリムー バブル デバイスを起動し、PGP Portable アプリケーション (pgpportable.exe) を参照します。アプリケーションをダブルクリ ックします。 Windows 7 システムで、Window エクスプローラの USB ディスク ア イコンをダブルクリックしてディスクを開きます。 [PGP Portable] ダイアログ ボックスが表示されます。 3 PGP Portable ディスクのパスフレーズを入力します。PGP Portable ディス クがマウントされます。 メモ : 初回使用時にパスフレーズを変更するよう PGP Portable ディスク の作成者が設定している場合、作成後にディスクを初めてドライブに挿入 した際に、現在のパスフレーズを入力し、次にそのパスフレーズを変更し て新しいパスフレーズを確認するよう指示するダイアログ ボックスが表 示されます。 通知メッセージはシステム トレイに表示され、マウントされた PGP Portable ディスクのドライブ番号と、使用済みおよび使用可能なディスク 領域の量が表示されます。PGP Portable ディスクが読み取り/書き込みデバ イスとしてマウントされている場合は、データを追加することができます 。PGP Portable ディスクが読み取り専用デバイスとしてマウントされてい る場合は、データを追加することができません。 メモ : PGP Portable ディスクのボリューム名は PGP Portable 固有のもの で、作成された時のボリュームの名前とは一致しないことがあります。 242 PGP Desktop for Windows PGP Portable でのモバイル データの作成とアクセス 4 PGP Portable ディスクを使用し終わったら、PGP Portable ディスクをマウ ント解除してください (システム トレイで PGP Portable アイコンをクリッ クし、[マウント解除および終了] をクリックします)。PGP Portable ディス クにマウントされていたドライブがマウント解除されます。 5 USB デバイスまたはディスクをコンピューターから適切に取り出します。 使用可能なディスク領域を表示するには、次の手順に従います。 ディスクがマウントされた後で、PGP Portable ディスクの使用可能なディ スク領域と合計サイズを表示するには、タスクバー アイテムにマウス カ ーソルを重ねて数秒間待ちます。通知メッセージが再度表示され、PGP Portable ディスクのマウント ステータス、および更新されたディスク領域 の情報が表示されます。 PGP Portable に関する追加情報を入手するには、次の手順に従います。 PGP Portable に関する詳細情報を入手するには、[PGP Portable] ダイアロ グ ボックスの左下隅にある [詳細情報] のリンクをクリックします。ブラ ウザが起動し、PGP Corporation サポート サイト ページが表示されます。 PGP Portable ディスクのパスフレーズの変更 PGP Portable ディスクに関連付けられたパスフレーズを変更することが必要な 場合もあります。読み取り専用の PGP Portable ディスク上のパスフレーズは変 更することができません (CD/DVD メディアに記録された PGP Portable ディス クを含む)。 Windows システムを使って、PGP Portable ディスク上のパスフレーズを変 更するには、次の手順に従います。 1 PGP Portable ディスクが保存されているリムーバブル デバイスを挿入しま す。CD/DVD またはフラッシュ ドライブやリムーバブル ドライブを使用 できます。 2 次のいずれか 1 つを実行します。 自動実行が可能な Windows システムでは、[PGP Portable ディスクを マウント] を選択します。 自動実行が不可能な Windows システムでは、マウントされたリムー バブル デバイスを起動し、PGP Portable アプリケーション (pgpportable.exe) を参照します。アプリケーションをダブルクリ ックします。 Windows 7 システムで、Window エクスプローラの USB ディスク ア イコンをダブルクリックしてディスクを開きます。 243 PGP Desktop for Windows PGP Portable でのモバイル データの作成とアクセス 3 要求されたら、PGP Portable ディスクのパスフレーズを入力します。PGP Portable ディスクがマウントされます。通知メッセージはシステム トレイ から表示され、マウントされた PGP Portable ディスクのドライブ番号の通 知を表示します。 4 [システム トレイ] アイコンを右クリックして [PGP Portable を開く] を選 択し、PGP Portable を開きます。 5 [PGP Portable] ダイアログ ボックスにある [パスフレーズの変更] をクリ ックします。 6 現在のパスフレーズを入力し、新しいパスフレーズを入力して確認し、[変 更] をクリックします。これで、パスフレーズが変更されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 344』」 を参照してください。 PGP Portable ディスクのマウント解除 リムーバブル デバイスを物理的にシステムから取り外す前に、適切にマウント 解除するようにしてください。適切に行わないとファイルの内容が破損する可 能性があります。 PGP Portable ディスクをマウント解除するには、次の手順に従います。 1 PGP Portable を開きます。これには、次のいずれかの操作を行います。 Windows システム上の PGP Portable を開くには、[システム トレイ] アイコンを右クリックして、[マウント解除および終了] を選択します 。 Mac OS システム上の PGP Portable を開くには、ドック上のアイコン をクリックして、[マウント解除および終了] を選択します。 PGP Portable ディスクがマウント解除されます。 2 システムからデバイスを安全に外に出し、押し出します。 244 13 PGP NetShare の使用 PGP NetShare は、共有ファイル保存領域の終端間の暗号化を透過的に行います 。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP NetShare について ........................................................................ 246 PGP NetShare のライセンス取得 .......................................................... 249 承認されたユーザーの鍵 ....................................................................... 250 PGP NetShare 管理者 (所有者) の設定................................................. 250 "ブラックリスト" または "ホワイトリスト" に記載されたファイル、フォ ルダー、およびアプリケーション......................................................... 251 保護フォルダーの使用 ........................................................................... 254 PGP NetShare ユーザーの使用 ............................................................. 263 PGP NetShare アクセス リストのインポート ...................................... 267 Active Directory グループの使用 ........................................................... 268 PGP NetShare 保護フォルダーの復号化 ............................................... 270 フォルダーの再暗号化 ........................................................................... 270 パスフレーズのクリア ........................................................................... 271 保護フォルダーの外にあるファイルの保護 .......................................... 272 PGP NetShare で保護されたファイルのバックアップ ......................... 274 ショートカット メニューを使用した PGP NetShare 機能へのアクセス275 PGP Universal Server によって管理された環境にある PGP NetShare . 276 保護されたファイルまたはフォルダーのプロパティへのアクセス ...... 277 PGP Desktop の PGP NetShare メニューの使用................................... 278 245 PGP Desktop for Windows PGP NetShare の使用 PGP NetShare について PGP NetShare を使用すると、会社のファイル サーバー、保護フォルダー、 USB ドライブのようなリムーバブル メディアなどの共有場所にある保護された ファイルを特定のユーザー間で共有することができます。 メモ : 簡単にアクセスできる共有場所がない場合には、USB リムーバブル ドライブを使用することも PGP NetShare ファイルを共有する方法の 1 つです 。 ファイルは暗号化によって保護されますが、共有後も、Notepad、Microsoft Word、HTML、Microsoft Excel などの通常のアプリケーション ファイルと同 様に表示されます。アプリケーションからはファイルの読み書きを直接行うこ とが可能で、ファイルが保護されていることはアプリケーションからは分かり ません。共有場所にアクセスするとファイルの存在は特定のユーザー以外でも 確認できますが、読み取ったり使用したりすることはできません。 PGP NetShare はクライアント専用のソフトウェアです。ファイル サーバーに インストールしても意味を成さず、既存のストレージ インフラストラクチャが 使用されます。保護されたファイルとフォルダーの暗号化および復号化が行わ れるのは、クライアントのみです。サーバーをバックアップすると、暗号化さ れたファイル (暗号テキスト) がアーカイブに保存されます。この暗号化ファイ ルは、ファイルの表示を承認されていないユーザーは読み取ることができませ ん。 保護されたファイルへのアクセスを許可されたユーザーは承認されたユーザー と呼ばれ、保護されたファイルを格納するフォルダーは保護フォルダーと呼ば れます。 ユーザーには、そのユーザーが実行できるアクションのタイプを指定した役割 が割り当てられます。役割の詳細については、「PGP NetShare における役割 『 ページ : 248の"PGP NetShare ロール"参照先 : 』」を参照してください。 保護フォルダーは、保護されたファイルを格納するように指定されたフォルダ ーです。保護フォルダーに変換されるフォルダー内のファイルは自動的に暗号 化され、保護フォルダーの作成後に保護フォルダーに移動されるファイルは追 加時に暗号化されます。[ツール] > [PGP オプション] の [NetShare] タブで [個 々のファイルの保護] を選択することで、個々のファイルを保護することもで きます。 246 PGP Desktop for Windows PGP NetShare の使用 注意 : PGP NetShareでは保護フォルダー内のファイルのアクセス制御は行わ れません。これはファイルレベルのアクセス制御であるため、保護フォルダ ー内のファイルへのアクセス権を持つユーザーは、暗号化されていない新規 ファイルを追加したり、暗号化された既存のファイルを削除したりすること ができます。そのため、保護フォルダーは安全な共有場所に作成することが 重要です。ただし、上記の場合には、ネットワークの管理者が保護フォルダ ー内のファイルをバックアップする際に読み取りの権限がいらないことも意 味します。 PGP NetShare では、PGP Desktop の PGP 仮想ディスクと PGP ディスク全体暗 号化の両方の機能を使用できます。つまり、PGP 仮想ディスクに保護フォルダ ーを作成することも、ドライブが PGP WDE によって暗号化されている場合に 保護フォルダーを作成することもできます。PGP NetShare の保護は、通常はネ ットワーク経由で共有して使用する環境のファイルのために設計されています 。PGP 仮想ディスクと PGP ディスク全体暗号化では、ローカル システムの個 々のドライブやドライブの一部が保護されます。これらの 3 つの機能は、それ ぞれ異なった状況に合わせて設計された重要なセキュリティ製品です。実際に は、同じシステム上で 3 つの機能をすべて使用して、データに対する強力なセ キュリティを実現することができます。 以下に、PGP NetShare の使用方法を理解するのに役立つ事例を示します。 あなたは、2 つの主要製品を持つ、小さなファイナンス企業の副社長です 。社長はあなたを自分のオフィスに呼び出し、別の主要製品の追加が問題 なく達成できるかどうかの判断を陣頭指揮を取って開始するようにあなた に指示します。 あなたや、マーケティング、営業、設計、製造、サポートの各部門の代表 者は、各側面から問題を検討し、改善提案を作成するように要求されてい ます。プロジェクト全体を秘密裏に遂行する必要があります。 幸いなことに、企業の全員が PGP Universal Server によって管理された環 境で PGP Desktop を使用しているので、必要となるファイルの作成、共有 、更新、および安全な保管のための手段は既に用意されています。それが PGP NetShare です。 プロジェクト メンバーは物理的に離れた場所にいるので、誰でもアクセス できる場所にプロジェクト用の保護フォルダーを設定する必要があります 。たとえば、企業ネットワークに保護フォルダーを作成すると、プロジェ クト メンバー全員がそのフォルダーにアクセスできます。 保護フォルダーの作成が完了すると、プロジェクト メンバーは、暗号化で ファイルが保護されるということを意識せずに、新たにファイルを追加し たり、既存のファイルを開いて作業したり、またはファイルを削除したり することができます。暗号化や復号化は自動的に行われます。 247 PGP Desktop for Windows PGP NetShare の使用 PGP NetShare のもう 1 つの利点は、承認されたユーザー以外にもファイルが通 常どおりに表示されることで、これにより、ネットワークの管理者が、企業ネ ットワークの他のすべてのファイルと同じように保護フォルダー内のファイル をバックアップできます。バックアップされるファイルも暗号化によって保護 されます。 メモ :PGP NetShare 追跡エンジンは、EFS で保護されたオブジェクトを無視 します。これは、EFS が NTFS と密接に連携していることに起因する問題を 回避するための正常な動作です。EFS によって暗号化されているファイルま たはフォルダーは、PGP NetShare で保護されたフォルダーにすべて移動また はコピーされますが、EFS 暗号化の状態を保持して、PGP NetShare で保護さ れた状態にはなりません。これらのオブジェクトを PGP NetShare で保護す るには、フォルダーに移動/コピーする前に EFS 暗号化を削除してください。 PGP NetShare では、保護フォルダー内のファイルに対する完全なセキュリティ が確保されます。保護フォルダーにアクセスしているときも、保護フォルダー をプロジェクト メンバ間で受け渡ししているときも、データは常に暗号化され ています。 注意 : 保護されたファイルに対して 名前を付けて保存 を選択し、保護フォ ルダーの外に保存すると、新たに保存したファイルは保護されません。 PGP NetShare ロール 管理者 : これは保護されたフォルダーの「所有者」です。管理者は、ユー ザーを追加および削除したり、ユーザーのロールとグループ管理者のロー ルを変更したりできます。管理者は、保護されたフォルダーに対する読み 取りと書き込みのすべての権限を持ちます。保護されたフォルダーごとに 管理者は 1 人だけ設定でき、作成者により自動的に作成されますが、保護 されたフォルダーに管理者を手動で指定する必要はありません。フォルダ ーごとの管理者は一人だけです。 管理者になるには、保護されたフォルダーを作成し、自分自身をメンバー として追加して管理者のロールを適用します。一度に複数の管理者セット のメンバーになることができます。 グループ管理者は管理者ロールを削除できませんが、管理者はそのロール を別のメンバーに再割り当てすることができます。 管理者は、保護されたフォルダーに対するすべての書き込みアクセス権が 必要です。 248 PGP Desktop for Windows PGP NetShare の使用 グループ管理者 : 保護されたフォルダーの「管理者」です。管理者はユー ザーの追加や削除、ユーザーからグループ管理者への昇格、およびグルー プ管理者からユーザーへの降格を行うことができます。必要なだけグルー プ管理者を設けることができます。グループ管理者は、保護されたフォル ダーに対する読み取りと書き込みのすべての権限を持ちます。PGP NetShare で保護フォルダーごとに複数のグループ管理者を指定することが 可能です。 グループ管理者は、保護されたフォルダーに対するすべての書き込みアク セス権を持っている必要があります。 ユーザー : 共有場所にある保護されたファイルへのアクセスを許可された ユーザーで構成されます。保護されたフォルダー内のファイルは、ユーザ ーの鍵で暗号化されます。保護されたフォルダーが作成され、ある人が PGP NetShare に追加されて、管理者またはグループ管理者がその人にユー ザーのロールを割り当てると、その人はユーザーになります。保護された フォルダーに対しては、すべてのユーザーが同じ読み取り/書き込み権限を 持ちます。ユーザーには、他のユーザーのロールを変更する権限はありま せん。一度に複数のユーザー セットのメンバーになることが可能です。ユ ーザーには、ファイルまたはフォルダーを復号化する権限はありません。 これは制限されているので、ユーザーはファイルを復号化して、新しい役 割分担でファイルを再暗号化することはできません。 メモ :以前のバージョンの PGP Desktop で保護されているフォルダーがある 場合は、既存のユーザー用の新しいロールを手動で選択する必要があります 。詳細については、「ユーザーのロールの変更 『ページ : 265の"ユーザー の役割の変更"参照先 : 』」を参照してください。 PGP NetShare のライセンス取得 PGP NetShare を使用するには、PGP Desktop 9.5 以降を実行していること、お よび PGP NetShare をサポートするライセンスを所有していることが条件となり ます。 PGP Desktop のコピーが PGP NetShare をサポートしているかどうかを確認 するには 1 PGP Desktop を開きます。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktop ライセンス] ダイア ログ ボックスが表示されます。 3 [製品情報] セクションで、[PGP NetShare] アイコンを見つけます。 製品 名の上にマウス ポインタを置くと、その製品に関する情報や、その製品の 使用が許可されているかどうかが表示されます。PGP NetShare がサポート されていない場合は、PGP NetShare をサポートするライセンスの取得につ いて PGP 管理者に問い合わせてください。 249 PGP Desktop for Windows PGP NetShare の使用 1 つまたは複数の保護フォルダーを作成するのに使用した PGP NetShare ライセ ンスが期限切れとなった場合、新しい保護フォルダーの作成、現在保護フォル ダーにあるファイルの使用、既存の保護フォルダーへのファイルの追加はでき ません。また、新しい保護フォルダーの承認されたユーザーのメンバーに加わ ることもできません。 既存の保護フォルダーから復号化したファイルへのアクセス権を取り戻すには 、新規の PGP NetShare ライセンスを取得するか、[PGP NetShare から <file name> を削除します] コマンドを使用して、保護フォルダー内のファイルまた はフォルダーを復号化する必要があります。詳細については、「ショートカット メニューを使用した PGP NetShare 機能へのアクセス 『ページ : 275』」を参 照してください。 承認されたユーザーの鍵 PGP NetShare は、指定されたユーザーの PGP 鍵を使用して、保護フォルダー 内の復号化されたファイルを使用するアクセス権を制御します。また、承認さ れたユーザーの秘密鍵を使用して、保護フォルダーに追加された新規ファイル の署名を行います。 メモ : PGP NetShare では、パスフレーズを使用したファイルの保護はサポ ートしていません。ファイルの保護には、PGP 鍵を使用する必要があります 。 ユーザーの作成時に、保護フォルダー内のファイルを使用できるユーザーの公 開鍵が作成者によって指定されます。それらのファイルを使用するには、ファ イルを復号化してアクセスできるように、ユーザーが自分のコンピューター上 に対応する秘密鍵を保管している必要があります。 PGP NetShare 管理者 (所有者) の設定 保護フォルダーの PGP NetShare 管理者は必須ではありませんが、承認されたユ ーザーまたはグループ管理者の中から選定することをお勧めします。管理者の 役割は、保護フォルダー内のファイルやフォルダーを監視し、ユーザーおよび グループ管理者の追加や削除を行い、保護フォルダー内での活動が計画どおり に行われているかどうかを確認することです。 すべての承認されたユーザーがファイルやフォルダー、場合によってはユーザ ーの追加や削除を行えるため、時間の経過とともに、保護フォルダー内でファ イルの追加や削除が不適切に行われたり、ユーザーの追加や削除が不適切に行 われたりする可能性があります。 保護フォルダーの管理者は、ユーザーや保護フォルダーでこれらの問題を監視 し、発生した問題を解決する必要があります。 250 PGP Desktop for Windows PGP NetShare の使用 I "ブラックリスト" または "ホワイトリスト" に記載されたファイ ル、フォルダー、およびアプリケーション ファイル、フォルダー、およびアプリケーションによっては、"ブラックリスト" または "ホワイトリスト" に記載されている場合があります。ブラックリストま たはホワイトリストに記載された項目は、強制的に保護されるか、決して保護 されないかのいずれかになります。 「ブラックリスト」のファイルとその他の保護できないファイル PGP NetShare では、特定のファイルとフォルダーを保護できません。PGP NetShare でファイルまたはフォルダーを保護する前に、この「ブラックリスト 」をチェックしてください。ファイルまたはフォルダーがブラックリストに載っ ていることがわかったら、PGP NetShare は引き続き保護フォルダーを作成しま すが、これらのファイルやフォルダーはスキップされ、PGP NetShare アシスタ ントの[進捗状況] 画面に項目がブラックリストにあるというメッセージが表示 されます。 ブラックリストに記載されているファイルは次のとおりです。 ファイルの拡張子が *.skr、*.pkr、および *.pgd のすべてのファイル (鍵または PGP 仮想ディスクの暗号化を妨げます) 。 PGP Desktop インストール フォルダーとその中にあるすべてのファイル ( デフォルトの格納場所は C:\Program Files\PGP Corporation\PGP Desktop です) 。 PGP 環境設定フォルダーとその中にあるすべてのファイル (デフォルトの 格納場所は、 C:\Documents and Settings\[your user name]\Application Data\PGP Corporation\PGP のユーザー フォル ダーです) 。 PGP のデフォルトの鍵リング フォルダー (デフォルトの格納場所は [マイ ドキュメント] フォルダーです) 。 PGP NetShare で保護フォルダーに追加できないその他のファイルは、システム 属性が設定されているファイルまたはフォルダー、および Windows インストー ル ディレクトリ内にあるすべてのファイルとフォルダー (デフォルトの格納場 所は C:\Windows および C:\Windows\System32 です)、さらに Windows エ クスプローラでサムネイル画像を表示する際に作成される Thumbs.db ファイル です 。 システム ファイルまたはシステム フォルダーが PGP NetShare に追加 されると、これらのファイルやフォルダーはスキップされ、PGP NetShare アシ スタントの [進捗状況] 画面に項目がシステム ファイルまたはシステム フォル ダーであるというメッセージが表示されます。 251 PGP Desktop for Windows PGP NetShare の使用 PGP Universal Server によって指定される「ブラックリストに記載された」フォ ルダーおよび「ホワイトリストに記載された」フォルダー PGP Universal Server で管理された環境で PGP Desktop を使用している場合は 、PGP 管理者が特定のフォルダーを「ブラックリストに記載された」または「 ホワイトリストに記載された」と指定している場合があります。 ブラックリストに記載されたフォルダー ブラックリストのフォルダーは、PGP NetShare に追加されることも暗号化され ることもありません。 ブラックリストに記載されたフォルダーの例は、 C:\Program Files フォルダーや C:\Windows\Temp フォルダーなどです。 PGP 管理者がフォルダーをブラックリストに記載されたものとして指定した場 合で、そのフォルダーが存在しない場合、そのフォルダーはユーザーのコンピ ューター上に作成されません。 メモ : PGP NetShare で保護されたフォルダーまたはファイル、あるいはそ の両方が (PGP Universal Server のポリシーにより) ブラックリストに記載さ れている場合、自動的に復号化されることはありません。PGP NetShare の保 護を無効にするには、フォルダーやファイルを手動で復号化します。ブラッ クリストに記載された保護されたフォルダーに追加された新しいオブジェク トには、PGP NetShare 暗号化は適用されません。 ホワイトリストに記載されたフォルダー ホワイトリストのフォルダーは、PGP NetShare に必ず追加され、その内容は暗 号化されます。PGP 管理者がフォルダーをホワイトリストに記載されたものと して指定している場合で、そのフォルダーが存在しない場合、そのフォルダー はユーザーのコンピューター上に作成されます。たとえば、PGP 管理者が C:\Documents and Settings\[user name]\My Documents\secured を ホワイトリストに記載されたフォルダーに指定した場合、サブフォルダー \secured が存在しない場合は作成されます。ホワイトリストに記載されたフ ォルダーは、PGP NetShare から削除できません。 メモ : ホワイトリストに記載されたものとして PGP Universal 管理者が指定 したフォルダーを削除すると、次に PGP NetShare にアクセスしたり、PGP Desktop を再起動したりするときに、そのフォルダーが自動的に再作成され ます。 252 PGP Desktop for Windows PGP NetShare の使用 アプリケーション ベースの暗号化リストと復号化バイパス リスト PGP Universal Server によって管理された環境で PGP Desktop を使用している 場合は、一部のアプリケーションによって作成されたファイルが決して復号化 されないか、または常に暗号化されるように、PGP Universal Server によって指 定されている可能性があります。 アプリケーション ベースの暗号化リスト このリストに含まれているアプリケーションは、そのアプリケーションによっ て作成されたファイルが強制的に暗号化されることを意味します。アプリケー ション ベースの暗号化リスト内のアプリケーションによって作成されたファイ ルは、ユーザーの鍵で自動的に暗号化され、一時ファイルやシステム キャッシ ュなどの場所にかかわらず常に暗号化されます。このリストに含まれるアプリ ケーションの種類の例としては、Microsoft Office、Microsoft Excel、Adobe Acrobat などがあります。 他の種類の暗号化 (ホワイトリストに記載されたフォルダーなど) は、アプリケ ーション ベースの暗号化リストに含まれているアプリケーションによって作成 されたファイルより優先されます。 たとえば、PGP 管理者は、Microsoft Excel をアプリケーション ベースの暗号化 リストに含めるように指定することで、財務部門によって作成されるすべての スプレッドシートが確実に保護されるようにすることができます。 復号化バイパス リスト このリストに含まれているアプリケーションは、そのアプリケーションによっ て作成されたファイルが自動的には復号化されなくなることを意味します。こ れらのアプリケーションは、PGP NetShare ヘッダーやファイル暗号化テキスト など、オンディスク ファイル コンテンツとして提供されます。復号化バイパ ス リスト内のアプリケーションは、ファイルが暗号化されたまま読み取られる ように、ファイルの読み取り時に PGP NetShare フィルターを事実上バイパスし ます。そのため、暗号化されたデータを他のアプリケーションに渡すことがで きます。このリストに含まれるアプリケーションの種類の例としては、バック アップ プログラムや FTP プログラムなどがあります。 他の種類の暗号化 (ブラックリストに記載されたフォルダーなど) は、復号化バ イパス リストに含まれているアプリケーションによって作成されたファイルよ り優先されます。 たとえば、企業のバックアップ プログラムを復号化バイパス リストに含める ように、PGP 管理者が指定した場合、このアプリケーションによって作成され たバックアップ ファイルはすべて保護され、暗号化を保持したまま別の場所に 送信されます。 253 PGP Desktop for Windows PGP NetShare の使用 保護フォルダーの使用 保護フォルダーは、保護されたファイルを格納するように指定されたフォルダ ーです。保護フォルダーに変換されるフォルダー内のファイルは自動的に暗号 化され、保護フォルダーの作成後に保護フォルダーに移動されるファイルは追 加時に暗号化されます。[ツール]-[PGP オプション] の [NetShare ] タブで [個 々のファイルの保護] を選択することで、個々のファイルを保護することもで きます。 PGP NetShare バージョン 9.10 から、WebDAV プロトコルをサポートする Web サーバー上のフォルダー (Microsoft SharePoint など) は、PGP NetShare で保護 できるようになります。.mht ファイルなどの一定の種類のファイルは、正常に 機能するには SharePoint が必要であり、そのように使用される場合は、PGP NetShare で暗号化できません。SharePoint ファイルの保護に関する技術的詳細 については、「PGP Corporation サポート ナレッジベース記事 #1120 『 http://support.pgp.com/?faq=1120』」を参照してください。 PGP NetShare を Sharepoint で使用する場合、[チェックアウトが必要] のオプシ ョンを Sharepoint に対して [いいえ] に設定しているか確認してください。これ により、承認されているすべてのユーザーは PGP NetShare フォルダーにより管 理されているすべてのファイルにアクセスすることができます。 ヒント : 必ず適切なバックアップ戦略を設定し、PGP NetShare 保護フォル ダーすべてを定期的にバックアップしてください。 保護されたフォルダーの場所の選択 PGP Corporation は、PGP NetShare 保護フォルダーを作成する際は、すべての 承認されたユーザーがアクセスでき、それ以外のユーザーからはアクセスでき ない場所に作成することをお勧めします。 保護フォルダーは誰からもアクセスできる場所に作成できますが、PGP NetShare では保護フォルダー内のファイルのアクセス制御は行われません。 保護フォルダー内のファイルにどのような操作を行うのか、また各ファイルに 誰がアクセスできるのかということが、PGP NetShare で提供できる保護に影響 を及ぼします。PGP NetShare 保護フォルダーの場所を選択する際には、次の状 況を考慮する必要があります。 一般的な使用方法 『ページ : 255』 ファイル アクセス 『ページ : 255』 暗号テキストへの直接アクセス 『ページ : 255の"暗号化されたデータ ( 暗号テキスト) への直接アクセス"参照先 : 』 破損、削除、または上書きからのファイルの保護 『ページ : 256』 254 PGP Desktop for Windows PGP NetShare の使用 「ブラックリスト」のファイルとその他の保護できないファイル 『ページ : 251』 一般的な使用方法 承認されたユーザーによる通常の使用では、PGP NetShare は保護フォルダー内 のファイルを完全に保護します。通常の使用とは、保護されたファイルを開い て変更を加えてから保存すること、保護フォルダーに新しいファイルを作成す ること、または保護フォルダーにファイルを移動またはコピーすることを意味 します。 PGP NetShare 保護フォルダーとの間でファイルの移動やコピーを行うと、PGP NetShare はファイルを保護された状態のまま維持しようとします。これにより 、たとえば、保護フォルダーから USB ドライブにファイルをコピーでき、かつ ファイルの保護は維持されます。保護フォルダーからファイルの移動またはコ ピーを行う場合は、ロック状態を示す表示の確認やファイルのプロパティの検 査を行って、移動先やコピー先のファイルが引き続き保護されていることを常 に確認する必要があります。 ファイル アクセス PGP NetShare で保護されたファイルの復号化したデータは、使用しているすべ てのアプリケーションから完全にアクセスできます。これには PGP Zip など、 PGP Corporation の他のアプリケーションも含まれます。そのため、PGP Zip ア ーカイブを作成して、PGP NetShare で保護されたファイルを格納すると、PGP Zip アーカイブにはそのファイルを復号化したものが格納されます。 保護されたファイルに対して [名前を付けて保存] を選択し、保護フォルダーの 外に保存すると、新たに保存したファイルは保護されないことに注意してくだ さい。 暗号化されたデータ (暗号テキスト) への直接アクセス PGP NetShare をバイパスして、暗号化されたファイルの暗号化データ (暗号テ キスト) に直接アクセスできる場合があります。 これにより、たとえば、保護されたファイルに物理的アクセスができても PGP Desktop がインストールされていないユーザー (ネットワーク管理者など) が、 ファイルサーバー上の保護されたファイルのバックアップ、移動、コピー、ま たは FTP 転送を行うことができます。この場合、保護されたファイルの暗号テ キストが、バックアップ、移動、コピー、または FTP 転送されます。 255 PGP Desktop for Windows PGP NetShare の使用 破損、削除、または上書きからのファイルの保護 PGP NetShare では、ファイルへのアクセス制御を行いません。適切な承認のな いユーザーは保護フォルダー内のファイルを開けませんが、ファイルにアクセ スすることは可能です。つまり、PGP NetShare で保護されたファイルでも、ア クセス権を持つユーザーによって破損、削除、または上書きされるおそれがあ ります。PGP NetShare はファイルの内容を保護しますが、ファイル自体は保護 できません。 PGP NetShare で提供される暗号によるアクセス制御と保護に加えて、標準の強 力なファイル アクセス制御も引き続き使用することをお勧めします。 新規 PGP NetShare 保護フォルダーの作成 保護フォルダーは、PGP NetShare で保護されたファイルを保存するフォルダー です。 ヒント : PGP NetShare 保護フォルダーを新規作成すると、既にフォルダー に入っているファイルの最終変更日付が PGP NetShare 操作の日付に変更さ れます。変更日付を変えたくない場合は、最初に空の PGP NetShare フォル ダーを作成してから、次にファイルを追加してください。 メモ : PGP NetShare の保護フォルダーを作成するには、書き込み許可が必 要です。 256 PGP Desktop for Windows PGP NetShare の使用 PGP NetShare 保護フォルダーを新規作成するには 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリック します。PGP NetShare の作業領域が表示されます。 2 次のいずれか 1 つを実行します。 保護フォルダーにするフォルダーを「Drag and Drop Folder Here (ここ にフォルダーをドラッグ アンド ドロップしてください) 」と表示され ているフィールドにドラッグすると、PGP NetShare アシスタントが 開き、保護フォルダーを指定する手順を省略できます。 [PGP NetShare] コントロール ボックスで [フォルダーの追加] をク リックするか、または [NetShare] > [フォルダーの追加] の順に選 択します。PGP NetShare アシスタントの [フォルダーの選択] 画面が 表示されます。 3 [参照] をクリックします。[フォルダーの参照] ダイアログ ボッ クスが表示されます。 作成中の保護フォルダーに保存するファイルが入ったフォルダー に移動します。保護フォルダーに保存するファイルを入れる空の フォルダーを作成するには、[フォルダーの新規作成] をクリッ クします。 [OK] をクリックして、[フォルダーの参照] ダイアログ ボックス を閉じます。 [フォルダーの選択] 画面が再び表示されます。 (オプション) [説明] フィールドに、作成中の保護フォルダーの説明を 入力することもできます。 [次へ] をクリックします。[ユーザーの追加] 画面が表示されます。 257 PGP Desktop for Windows PGP NetShare の使用 4 作成する保護フォルダーのユーザーを追加するには、下向きの矢印アイコ ンをクリックします。鍵リング上の鍵リストが表示されます。 5 ユーザーを選択し、[追加] をクリックします。 メモ : 保護フォルダー内のファイルにアクセスする場合は、自分の鍵を 忘れずに追加してください。これを行わないと、保護フォルダー内のファ イルを使用できなくなります。 また、[追加] をクリックして、承認されたユーザーを追加することもでき ます。[ユーザーの選択] ダイアログ ボックスが表示されます。 6 次のいずれか 1 つを実行します。 [鍵ソース] 列から [追加する鍵] 列に鍵をドラッグします。 [鍵ソース] 列で鍵をクリックし、[追加] をクリックします。 [鍵ソース] 列で鍵をダブルクリックします。 PGP Global Directory から鍵を追加するには、[PGP Global Directory] アイコンをクリックします。[検索] フィールドに検索する文字列を入 力し、拡大鏡をクリックして検索を開始します。[鍵ソース] 列に表示 された検索結果から [追加する鍵] 列に鍵を追加します。 メモ : PGP NetShare からは、承認ユーザーとして保護フォルダーに追加 されたことがその新規メンバに通知されません。通常は、保護フォルダー が作成され、その承認ユーザーになったことをメンバーに連絡するのは、 新しい保護フォルダーの作成者の責任です。 7 [ユーザー選択] 画面の手順が完了したら、[OK] をクリックします。[ユー ザーの追加] 画面が表示されます。 8 各ユーザーに役割を割り当てるには、ユーザー名を右クリックし、次の中 から役割を選択します。 管理者 : PGP NetShare 保護フォルダーごとに 1 人の管理者のみを作 成します。この役割は、フォルダーに対する完全な読み込み/書き込み 権限を持ち、ユーザーの追加や削除、および他のユーザーへの役割の 割り当てを行うことができます。また、別のユーザーを管理者に昇格 させることもできます。 グループ管理者 : 各 PGP NetShare 保護フォルダーに対して、必要な 数のグループ管理者を作成します。この役割は、フォルダーに対する 完全な読み込み/書き込み権限を持ち、ユーザーの追加や削除を行うこ とができ、別のユーザーを管理者に昇格させることができます。 ユーザー :各 PGP NetShare 保護フォルダーに対して、必要な数のユ ーザーを作成します。この役割は、フォルダーに対する完全な読み取 り/書き込み権限を持ちます。 258 PGP Desktop for Windows PGP NetShare の使用 ユーザーの役割は、保護フォルダーの作成後にいつでも変更できます。役 割を変更するには、PGP Desktop で保護フォルダーをクリックし、ユーザ ー名を右クリックします。ユーザー名を選択して [ロールの変更] をクリッ クすることもできます。 9 [次へ] をクリックします。[署名者の選択] 画面が表示されます。 10 ローカルの鍵リングから秘密鍵を 1 つ選択します。この鍵は、ファイルが 保護フォルダー内で暗号化によって保護される際の署名に使用されます。 11 [パスフレーズ] に、鍵のパスフレーズを入力します。 12 [次へ] をクリックします。[進捗状況] 画面が表示されます。 これで、指定した保護フォルダー内のファイルが暗号化され、ユーザーが 承認ユーザーとして追加されました。 メモ : 暗号化プロセスを取り消すと、既に暗号化されたファイルはその まま保持されます。ファイルを元の暗号化されていない状態に戻す方法に ついては、「フォルダーの削除 『ページ : 270の"PGP NetShare 保護フ ォルダーの復号化"参照先 : 』」を参照してください。 13 このプロセスが完了したら、[完了] をクリックします。 新規 PGP NetShare 保護フォルダー内のファイルの使用 PGP NetShare の承認されたユーザーになると、保護フォルダー内のファイルを 次の 3 通りの方法で使用できるようになります。 保護フォルダーをダブルクリックして開き、使用する特定のファイルをダ ブルクリックします。 使用したいファイルの作成元アプリケーションからファイルを開きます。 ハイパーテキスト リンクとして表示されるパスをクリックして保護フォル ダーを開き、使用する特定のファイルをダブルクリックします。 PGP NetShare 保護フォルダーのメンバシップ用の秘密鍵のパスフレーズがコン ピューター上でキャッシュされている場合は、ファイルを開くために特別な操 作をする必要はなく、自動的に開きます。 パスフレーズがキャッシュされていない場合は、保護フォルダーはロックされ ます。保護フォルダー内のファイルを開く前に認証が必要になります。詳細に ついては、「保護フォルダーのロック解除 『ページ : 260』」を参照してくだ さい。 メモ : PGP NetShare で保護されたテキスト文書を Windows Vista で Notepad を使用して開くと、ファイルがロックされていないことを示す通知が 2 回表 示されます。これは、Notepad がどのようにファイルにアクセスするかの結 果です。 259 PGP Desktop for Windows PGP NetShare の使用 保護フォルダーのロック解除 [ロック解除] ボタンは、アクセスできないがロック解除できる可能性のあるフ ォルダーにアクセスする場合、またはフォルダーを手動でロック解除する必要 のある場合に使用できます。次のいずれかの理由によって保護フォルダーがロ ックされている場合、保護フォルダーを手動でロック解除する必要があります 。 [パスフレーズ] ダイアログ ボックスの入力タイマーが時間切れになった。 有効なパスフレーズを入力することなく、[パスフレーズ] ダイアログ ボッ クスで [キャンセル] がクリックされた。 これ以降に保護フォルダーにアクセスしようとすると、[アクセスが拒否されま した] ダイアログ ボックスが表示されます。保護フォルダー内のファイルを使 用できるようにするには、保護フォルダーのロックを解除する必要があります 。 保護フォルダーのロックを解除するには 1 保護フォルダーを右クリックし、[<prod] > > [PGP NetShare プロパティ] を選択します。 2 [プロパティ] ダイアログ ボックスで、[PGP NetShare] タブを選択します 。 3 [ロック解除] をクリックします。[ロック解除します] ダイアログ ボック スが表示されます。 4 適切なパスフレーズを入力してから、[OK] をクリックします。[ロック解 除します] ダイアログが消えます。パスフレーズがキャッシュされ、保護 フォルダー内のすべてのファイルにアクセスできるようになります。 260 PGP Desktop for Windows PGP NetShare の使用 メモ : PGP Universal Server 管理者がオプションを有効にしている場合、 PGP トレイ メニューから [NetShare ロックの再スキャン] を選択できます 。フォルダーにアクセスしようとした時に挿入しなかったスマート カードま たはトークンに鍵がある場合、このオプションを使用して PGP NetShare で 保護されたフォルダーのロック解除を行います。 保護フォルダー内のファイルの確認 保護フォルダーのメンバーになると、保護フォルダー内のすべてのファイルに 対して完全なアクセス権が与えられます。保護フォルダーの作成者であれば、 多くの場合はそこに保存されているファイルが分かっています。ただし、保護 フォルダーの他のメンバーによって追加されたユーザーの場合は、保護フォル ダー内で自分が使用できるファイルがすぐには分からない場合があります。 保護されたフォルダー内のファイルを確認するには、次の手順に従います。 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリック します。 2 保護フォルダーへのパスをクリックします。これはハイパーリンクとして 表示されます。保護フォルダーに保存されたファイルやフォルダーが、新 規ウィンドウに表示されます。 アクセスが拒否される場合は、保護フォルダーがロックされています。アクセ スできるようにするには、ロックされたフォルダーの [プロパティ] 画面で [PGP NetShare] タブを開いてそのフォルダーをロック解除するか、コンピュー ターを再起動する必要があります。保護フォルダーをロック解除する操作の詳 細については、「新規 PGP NetShare 保護フォルダー内のファイルの使用 『ペ ージ : 259』」を参照してください。 保護フォルダーへのサブフォルダーの追加 PGP NetShare を使用して、作成後の保護フォルダーにファイルとフォルダーの 両方を追加できます。 保護フォルダーに追加したフォルダー内のすべてのファイルは、保護フォルダ ーに追加された時点で自動的に保護されます。これにより、フォルダーとフォ ルダー内のファイルは承認されたユーザーしか使用できなくなります。 別の一連の承認されたユーザー用の保護フォルダーとして既に設定されている フォルダーを追加しないように注意してください。そうしないと、親フォルダ ーに設定されている別の一連の承認されたユーザーが、新しく追加されたサブ フォルダーにも設定されてしまう可能性があります。 261 PGP Desktop for Windows PGP NetShare の使用 メモ :PGP NetShare 追跡エンジンは、EFS で保護されたオブジェクトを無視 します。これは、EFS が NTFS と密接に連携していることに起因する問題を 回避するための正常な動作です。EFS によって暗号化されているファイルま たはフォルダーは、PGP NetShare で保護されたフォルダーにすべて移動また はコピーされますが、EFS 暗号化の状態を保持して、PGP NetShare で保護さ れた状態にはなりません。これらのオブジェクトを PGP NetShare で保護す るには、フォルダーに移動/コピーする前に EFS 暗号化を削除してください。 フォルダー ステータスの確認 NetShare フォルダーの作業領域、[PGP NetShare] コントロール ボックス、ま たは [NetShare] メニューから利用できる [フォルダーのステータスを確認] コ マンドは、指定した PGP NetShare フォルダーのステータスに関する最新の情報 を提供します。 保護フォルダーのフォルダー ステータスを確認するには、 1 PGP NetShare の作業領域の [フォルダーのステータス] セクションで、[フ ォルダーのステータスを確認] をクリックします。PGP NetShare フォルダ ーを選択しておく必要があります。 2 選択したフォルダーのステータスについては、[フォルダーのステータスを 確認] ボタンの左に表示されるテキストを参照してください。(たとえば、 すべてのフォルダーとファイルが暗号化されています。) 262 PGP Desktop for Windows PGP NetShare の使用 ヒント :保護フォルダーを最後に更新した日時とそのユーザーの鍵 ID が 、ユーザー リストの下に表示されます。 保護フォルダーの他の場所へのコピー 常に保護フォルダー内で作業することにより、最大のセキュリティが実現され ます。そのため、フォルダーをコピーする必要があるときは、最初に移動先と して保護フォルダーを作成することをお勧めします。保護フォルダーから別の 保護フォルダーへファイルを移動するときは常に、環境は保護された状態のま まになります。 PGP NetShare では、保護フォルダーが他の場所に移動された場合でも、ファイ ルの暗号化が維持されます。ただし、ファイルをコピーする方法と場所によっ ては、フォルダーが保護されなくなる可能性があります。フォルダー内のファ イルは保護された状態が保たれますが、フォルダーは PGP NetShare の情報を失 う場合があり、この場合、PGP のアイコンが表示されなくなります。 保護されていない場所にフォルダーをコピーした場合は、最善の方法として、 フォルダーとファイルが暗号化されていることを確認するために、「フォルダー ステータスの確認 『ページ : 262』」の説明に従ってフォルダーのステータス を確認してください。 フォルダーが暗号化されていない場合は、次の操作を行います。 1 PGP NetShare で保護フォルダーを作成するアクセス許可がある場合は、「 新規 PGP NetShare 保護フォルダーの作成 『ページ : 256』」の説明に 従 って、移動先に新しい保護フォルダーを作成します。 2 保護されなくなっているフォルダーの内容を、新しい保護フォルダーにコ ピーします。 3 「PGP NetShare アクセス リストのインポート 『ページ : 267』」の説 明に従って、元のフォルダーのアクセス リストを新しいフォルダーにイン ポートします。 PGP NetShare ユーザーの使用 PGP Desktop 9.5 またはそれ以降を使用しており PGP Desktop に適切な鍵ペア があるユーザーは、PGP NetShare の保護フォルダーのユーザーになれます。 以下の鍵ペアを使用できます。 PGP Desktop で作成 OpenPGP アプリケーションで作成され、PGP Desktop にインポートされ た鍵ペア 263 PGP Desktop for Windows PGP NetShare の使用 PGP Desktop にインポートされた X.509 証明書 ユーザーになるには、次の 2 つの方法があります。 PGP Desktop を使用して保護フォルダーを作成し、自分自身を承認された ユーザーのメンバーとして追加できます。 既存のユーザーに自分を追加してもらうことができます。 ユーザーになると、 他のすべてのメンバーと同じ権限が与えられます。 PGP NetShare ユーザーの追加 保護フォルダーの作成時に PGP NetShare のほとんどのユーザーが追加されます が、その保護フォルダーの管理者またはグループ管理者であれば、作成した後 にいつでもメンバーを追加できます。 注意 : PGP NetShareへのユーザーの追加は慎重に行ってください。追加した ユーザーには、他のユーザーと同じアクセス権とユーザー権限がすべて与え られます。追加したメンバーは保護フォルダーに新しいファイルを追加した り、保護フォルダーの既存のファイルを削除したりすることができます。 新しい PGP NetShare ユーザーを追加するには 1 新規ユーザーを追加する PGP NetShare フォルダーを選択します。 2 [ユーザー アクセス] セクションで、[ユーザーの追加] をクリックします。 [ユーザーの選択] ダイアログ ボックスが表示されます。 3 次のいずれか 1 つを実行します。 [鍵ソース] 列から [追加する鍵] 列に鍵をドラッグします。 [鍵ソース] 列で鍵をクリックし、[追加] をクリックします。 PGP Global Directory から鍵を追加するには、[PGP Global Directory] アイコンをクリックします。[検索] フィールドに検索する文字列を入 力し、拡大鏡をクリックするか、Enter キーを押して検索を開始しま す。 [鍵ソース] 列に表示された検索結果から [追加する鍵] 列に鍵を 追加します。 メモ : PGP NetShare からは、承認されたユーザーとして追加されたこと がその新規メンバーに通知されません。通常は、現在承認されていること を新規ユーザーに連絡するのは、そのユーザーを追加した管理者の責任で す。 4 [OK] をクリックします。ユーザーのリストにユーザーが追加されます。 5 [適用] をクリックします。[署名者の選択] 画面が表示されます。 264 PGP Desktop for Windows PGP NetShare の使用 6 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用 します。この鍵は、ファイルを暗号化する際の署名に使用されます。ユー ザーが追加されると、セキュリティ確保のために保護フォルダー内のファ イルが自動的に再暗号化されます。 7 選択した鍵のパスフレーズがキャッシュにない場合は入力して、[次へ] を クリックします。[進捗状況] 画面が表示され、指定した保護フォルダー内 のファイルが再暗号化されます。 8 [完了] をクリックします。 ユーザーの役割の変更 ユーザーの役割は、保護フォルダーの作成後にいつでも変更できます。役割の 詳細については、「PGP NetShare における役割 『ページ : 248の"PGP NetShare ロール"参照先 : 』」を参照してください。 役割を「ユーザー」から「管理者」または「グループ管理者」に変更するには、 そのユーザーが保護フォルダーに対してすべての権限を所有していることを確 認してください。 ユーザーの役割を変更するには 1 PGP Desktop で、新規ユーザーを追加する PGP NetShare フォルダーを選 択します。 265 PGP Desktop for Windows PGP NetShare の使用 2 [ユーザー アクセス] セクションで、ユーザー名を選択し、[ロールの変更] をクリックします。 ヒント : ユーザー名を右クリックし、ロールを選択することもできます 。 3 4 表示されるリストからこのユーアーに適用するロールを選択します。 管理者 : PGP NetShare 保護フォルダーごとに 1 人の管理者のみを作 成します。この役割は、フォルダーに対する完全な読み込み/書き込み 権限を持ち、ユーザーの追加や削除、および他のユーザーへの役割の 割り当てを行うことができます。また、別のユーザーを管理者に昇格 させることもできます。 グループ管理者 : 各 PGP NetShare 保護フォルダーに対して、必要な 数のグループ管理者を作成します。この役割は、フォルダーに対する 完全な読み込み/書き込み権限を持ち、ユーザーの追加や削除を行うこ とができ、別のユーザーを管理者に昇格させることができます。 ユーザー :各 PGP NetShare 保護フォルダーに対して、必要な数のユ ーザーを作成します。この役割は、フォルダーに対する完全な読み取 り/書き込み権限を持ちます。 [適用] をクリックして、変更を保存します。 266 PGP Desktop for Windows PGP NetShare の使用 保護フォルダーからのユーザーの削除 PGP NetShare 保護フォルダーのメンバを削除するには、そのユーザーを削除す る必要があります。 PGP NetShare 保護フォルダーからユーザーを削除するには 1 [PGP NetShare] 画面で、ユーザーを削除する保護フォルダーを選択します 。 2 画面下の [ユーザー アクセス] リストで、削除するユーザーの名前をクリ ックし、[ユーザーの削除] をクリックします。ユーザーがリストから削除 されます。 3 [適用] をクリックします。[署名者の選択] 画面が表示されます。 4 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用 します。この鍵は、ファイルを暗号化する際の署名に使用されます。保護 フォルダーからメンバーが削除されると、セキュリティ確保のために PGP NetShare によって保護フォルダー内のファイルが自動的に再暗号化されま す。 5 再暗号化を行うメッセージが表示されたら、選択した鍵のパスフレーズを 入力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した 保護フォルダー内のファイルが再暗号化されます。 6 [完了] をクリックします。削除したユーザーは保護フォルダーのメンバー ではなくなるため、そのフォルダー内のファイルにアクセスできません。 PGP NetShare アクセス リストのインポート アクセス リストをインポートすると、自分がメンバーになっている特定の承認 されたユーザーの集合から、やはり自分がメンバーになっている別の承認され たユーザーの集合に、メンバーの集合と各メンバーの鍵をインポートできます 。 このオプションは、保護フォルダーが複数ある場合にのみ使用できます。 アクセス リストをインポートするには 1 [PGP NetShare] 画面で、別の保護フォルダーのメンバーをインポートする 保護フォルダーを選択します。 2 画面下の [ユーザー アクセス] リストで、[アクセス リストのインポート] をクリックします。 [PGP ユーザー アクセス リストのインポート] ダイ アログ ボックスが表示されます。 267 PGP Desktop for Windows PGP NetShare の使用 3 インポートするメンバーが格納されている既存の保護フォルダーの名前を クリックし、[インポート] をクリックします。 4 [適用] をクリックします。[署名者の選択] ダイアログ ボックスが表示され ます。 5 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用 します。この鍵は、ファイルを暗号化する際の署名に使用されます。保護 フォルダー内のメンバー構成が変更されると、セキュリティ確保のために 保護フォルダー内のファイルが自動的に再暗号化されます。 6 再暗号化を行うメッセージが表示されたら、選択した鍵のパスフレーズを 入力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した 保護フォルダー内のファイルが再暗号化されます。 7 [完了] をクリックします。保護フォルダーに新しいメンバーが追加されま す。 Active Directory グループの使用 PGP NetShare は Active Directory と統合されるため、Active Directory のグルー プを利用して、保護フォルダーにユーザーを容易に追加できます。PGP NetShare では LDAP (Lightweight Directory Access Protocol) を使用して、組織 内の Active Directory からグループ情報を取得します。 グループを利用するための PGP NetShare の設定 グループ情報を取得するためには、PGP Universal Server にバインドし、[グル ープの展開への使用] オプションを有効にする必要があります。次の手順では 、スタンドアロン環境に PGP Desktop をインストールした場合について説明し ます。PGP Desktop がインストールされ、PGP Universal Server 環境と統合さ れている場合、LDAP の統合は自動で行われるため、この手順に従う必要はあ りません。 メモ :PGP NetShare フォルダーに一度に追加できるユーザー数は限られてい ます (50 人)。このハードコード化された制限をカスタマイズすることは可能 ですが、そうすることによる影響が少なからずあるため、PGP Corporation か らのサポートを必ず受けてください。詳細については「PGP サポート ナレッ ジベース記事 830 『https://support.pgp.com/?faq=830』」を参照してくださ い。 268 PGP Desktop for Windows PGP NetShare の使用 グループを利用するために PGP NetShare を設定するには 1 PGP Universal Server を優先鍵サーバーのリストに追加します。追加する には、新しいメッセージング サービスを作成し、PGP Universal Server の 名前を指定します。詳細については、「サービスの作成とアカウント プロ パティの編集 『ページ : 105の"新規メッセージング サービスの作成"参照 先 : 』」を参照してください。 2 PGP Universal Server にバインドします。これには、「Lotus Notes および MAPI を使用したメッセージング 『ページ : 353の"PGP Desktop と IBM Lotus Notes の併用"参照先 : 』」の説明に従って、PGP Universal Server に手動バインドしてください。 3 PGP 鍵生成アシスタントで、鍵モードに [GKM]、[CKM]、または [SCKM] を選択します。[SKM] は選択しないでください。 4 PGP Universal Server 上で鍵が利用可能かどうかを確認します。確認する には、PGP Desktop で [PGP 鍵] コントロール ボックスを選択します。次 に、[鍵の検索] をクリックします。PGP Universal Server の名前を選択し 、自身の名前を入力して、[検索] をクリックします。 5 グループの展開を有効にします。確認するには、PGP Desktop で [PGP メ ッセージング] コントロール ボックスを選択します。 6 [メッセージング] > [グループの展開への使用] を選択します。有効であ ることを示すチェックが、メニュー項目の横に表示されます。 グループの更新 PGP Universal Server で管理された環境で PGP NetShare を使用しており、PGP 管理者が Active Directory グループを確立している場合、PGP NetShare を使用 して、グループのメンバー構成が最新の状態かどうかを確認できます。 Active Directory グループを更新するには 1 [PGP NetShare] 画面で、Active Directory グループを更新する保護フォル ダーを選択します。 2 [ユーザー アクセス] セクションで、[グループの更新] をクリックします 。 PGP NetShare によって Active Directory のグループ メンバー構成がチ ェックされ、必要に応じて更新されます。 269 PGP Desktop for Windows PGP NetShare の使用 PGP NetShare 保護フォルダーの復号化 [フォルダーの削除] コマンドは、保護フォルダー内のファイルを、通常の復号 化された状態に戻します。 保護フォルダーに格納されているフォルダーとファイルはすべて復号化され、 ファイルの上に表示されていた PGP アイコンはなくなります。 PGP NetShare 保護フォルダーからファイルの保護を削除するには 1 [PGP NetShare] 画面で、ファイルの保護を削除する保護フォルダーを選択 します。 2 PGP Desktop ウィンドウの左側にある PGP NetShare コントロール ボック スで [フォルダーの削除] をクリックします。[復号化の確認] ダイアログ ボックスが表示されます。 3 保護が削除されるのが指定したフォルダーであることを確認し、[次へ] を クリックします。パスフレーズがキャッシュされていない場合、[保護フォ ルダーのロック解除] ダイアログ ボックスが表示されます。 4 ファイルの暗号化の際に使用した鍵のいずれかに設定されたパスフレーズ を入力し、[OK] をクリックします。一定の時間内に適切なパスフレーズを 入力する必要があります。入力しないと、復号化プロセスがキャンセルさ れます。[進捗状況] 画面が表示され、ファイルが復号化されます。 5 [完了] をクリックします。これで、保護フォルダー内にあるファイルは、 暗号化によって保護されなくなり、PGP NetShare 保護フォルダーのリスト から削除され、ロック アイコンが表示されなくなります。 ヒント : Windows エクスプローラでフォルダーを右クリックし、ショート カット メニューから [PGP NetShare からフォルダーを削除] を選択して、 フォルダーを復号化できます。 フォルダーの再暗号化 フォルダーを再暗号化すると、指定した保護フォルダー内のファイルが再暗号 化されます。再暗号化では、基本暗号化鍵を変更できるので、現在の鍵を特定 できた可能性があるユーザーからのアクセスを防止できます。そのフォルダー を再暗号化できるのは、フォルダーのグループ管理者または管理者である必要 があります。 [フォルダーの再暗号化] コマンドを使用すると、必要なときにいつでも再暗号 化を実行できます。たとえば、不正なユーザーが保護フォルダー内のファイル へのアクセスを取得したと考えられる場合です。 270 PGP Desktop for Windows PGP NetShare の使用 再暗号化が必要になる理由として、次のことが挙げられます。 保護されたフォルダーに、暗号化されていないファイルが含まれているこ とが疑われる場合。たとえば、承認されていないユーザーが保護されたフ ォルダーにファイルを配置した場合などです。 承認されたユーザーの鍵情報が漏洩した場合。 承認されたユーザーが新たに追加され、保護フォルダーへのアクセスを必 要とする場合。この場合、アクセスは自動的に許可されません。 保護フォルダーを再暗号化するには、次の操作を実行します。 1 [PGP NetShare] 画面で、再暗号化する保護フォルダーを選択します。 2 PGP Desktop ウィンドウの左側にある PGP NetShare コントロール ボック スで [フォルダーの再暗号化] をクリックします。[ユーザーの追加] 画面 が表示されます。 再暗号化中に保護フォルダーにメンバを追加することも、そのフォルダー から既存のメンバーを削除することもできます。 3 [次へ] をクリックして続行します。[署名者の選択] 画面が表示されます。 4 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用 します。この鍵は、ファイルを暗号化する際の署名に使用されます。 5 再暗号化を行うメッセージが表示されたら、パスフレーズを入力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護フォルダー 内のファイルが再暗号化されます。 6 [完了] をクリックします。再暗号化プロセスが完了します。 パスフレーズのクリア デフォルトでは、[PGP Desktop オプション] の [全般] タブの設定に応じて、 PGP NetShare はパスフレーズをキャッシュします。これにより、保護フォルダ ー内の保護されたファイルを使用するためにパスワードを入力する必要がなく なるため、PGP NetShare を使用しやすくなります。 ただし、コンピューターのそばを離れる場合は、許可されていないユーザーが パスフレーズを入力せずに PGP Desktop を使用できてしまうため、パスフレー ズがキャッシュされた状態のままにしないようにする必要があります。 パスフレーズをクリアするには 1 Windows のシステム トレイにある PGP のアイコンをクリックします。 271 PGP Desktop for Windows PGP NetShare の使用 2 表示されるメニューから [キャッシュのクリア] を選択します。このコマン ドが有効になるには少なくとも 1 つのパスフレーズがキャッシュされる必 要があります。キャッシュされているパスフレーズがクリアされます。 保護フォルダーの外にあるファイルの保護 PGP NetShare には、PGP NetShare の保護フォルダーの外にある個々のファイ ルを保護できるようにする詳細オプションが用意されています。このオプショ ンはデフォルトで無効になっています。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を 使用している場合は、PGP 管理者がこのオプションを使用できないようにし ている場合があります。 PGP NetShare 保護フォルダーの外にある個々のファイルを保護するには、まず 、[PGP オプション] の [NetShare] タブにある 個々のファイルの保護 を選択 する必要があります。詳細については、「PGP NetShare オプション 『ページ : 332』」を参照してください。このオプションを有効にするまでは、PGP NetShare の保護フォルダーの外にあるファイルは保護できません。 [個々のファイルを保護します] オプションを選択すると、Windows エクスプロ ーラーの PGP Desktop ショートカット メニューを使用して、保護フォルダー の外にある個々のファイルを保護できます。 個別に保護されたファイルは、 PGP Desktop ユーザー インターフェイスの PGP NetShare 作業領域には表示さ れません。 注意 : PGP NetShareは個別に保護されたファイルを保護しようとしますが、 一部のアプリケーション (Microsoft Wordなど) には、保護されたファイルが 削除されたとPGP NetShareに認識される方法で、変更したファイルを保存す るものがあります。こうした環境では、PGP NetShareはこれらのファイルの 保護を続行できません。これが当てはまるのは、保護フォルダー内にない個 別に保護されたファイルだけで、PGP NetShareの保護フォルダー内のファイ ルには当てはまらないことに注意してください。保護対象ファイルが保護さ れない状態になることを回避するため、PGP Corporationは、保護するファイ ルをPGP NetShareの保護フォルダーに保管することを強く推奨します。 [個々のファイルを保護します] オプションを有効にするには 1 [ツール] > [PGP オプション] の順に選択します。 2 [NetShare] タブをクリックします。 3 [NetShare] タブで、[個々のファイルを保護します] オプションを選択しま す。デフォルトの設定では、オフになっています。 272 PGP Desktop for Windows PGP NetShare の使用 PGP NetShare を使用して個々のファイルを保護するには 1 エクスプローラーで、PGP NetShare を使用して保護するファイルを右クリ ックします。 2 ショートカット メニューで、[PGP Desktop] > [PGP NetShare に <filename> を追加します] の順に選択します。 3 PGP NetShare アシスタントが表示されたら、承認されたユーザーを追加し 、署名用の秘密鍵を選択します。 4 暗号化処理が完了したら、[完了] をクリックします。Windows エクスプロ ーラーでは、保護されたファイルに PGP NetShare アイコンが表示されま す。 ショートカット メニューを使用して、保護されたファイルの PGP NetShare プ ロパティを表示したり、保護フォルダーの外にある個別に保護されたファイル を再暗号化したり、各ファイルの保護を無効にしたりすることもできます。 ショートカット メニューを使用して、保護されたファイルの PGP NetShare プロパティを表示するには 1 エクスプローラーで、PGP NetShare プロパティを表示する保護されたファ イルを右クリックします。 2 ショートカット メニューで、[<PGP Desktop] > > [PGP NetShare プロパ ティ] の順に選択します。選択したファイルのプロパティ ウィンドウが表 示されます。 3 プロパティを確認したら、[OK] をクリックします。 ショートカット メニューを使用して、保護されたファイルを再暗号化するに は 1 エクスプローラーで、再暗号化する保護されたファイルを右クリックしま す。 2 ショートカット メニューで、[<PGP Desktop] > > [再暗号化] の順に選択 します。 3 PGP NetShare アシスタントが表示されたら、承認されたユーザーを追加ま たは削除し、署名用の秘密鍵を選択します。 4 再暗号化処理が完了したら、[完了] をクリックします。 273 PGP Desktop for Windows PGP NetShare の使用 ショートカット メニューを使用して、個別に保護されたファイルから保護を 削除するには 1 エクスプローラーで、保護を無効にする保護されたファイルを右クリック します。 2 ショートカット メニューで、[<prod] > > [PGP NetShare から [file name] を削除します] の順に選択します。 3 PGP NetShare アシスタントが表示されたら、[次へ] をクリックすることで 、そのファイルの保護を無効にする確認を行います。 4 ファイルが復号化されたら、[完了] をクリックします。 PGP NetShare で保護されたファイルのバックアップ PGP NetShare で保護されたファイルとフォルダーはバックアップできます。 バックアップ プロセス時にファイルがどのように処理されるかは、PGP Universal Server によって管理された環境で PGP NetShare を使用しているかど うかによって決まります。 管理されていないクライアントを使用したファイルのバックアッ プ 保護されたファイルとフォルダーが、管理されていない (スタンドアロン) クラ イアントによってバックアップされる場合、保護されたファイルはバックアッ プ時に透過的に復号化され、バックアップ メディアに平文で保存されます。 暗号化された元の状態にこれらのファイルを戻す場合も、暗号化は透過的に行 われます。 PGP Universal Server で管理されたクライアントを使用したファ イルのバックアップ 管理されたクライアントを使用して、保護されたファイルとフォルダーをバッ クアップする場合、暗号化の処理方法は、バックアップ アプリケーションが PGP Universal Server 管理者によってアプリケーション バイパスとして設定さ れているかどうかによって決まります。 バックアップ アプリケーションが復号化バイパス リストに含まれている 場合、保護されたファイルは、バックアップされた後もバックアップ メデ ィアで暗号化されたままになります。 これらのファイルを元の場所に復元 するときも、暗号化された状態は保たれます。 274 PGP Desktop for Windows PGP NetShare の使用 バックアップ アプリケーションが復号化バイパス リストに含まれていな い場合は、管理されていないクライアントを使用してファイルをバックア ップする場合と同様になります。 この場合、保護されたファイルはバック アップ時に透過的に復号化され、バックアップ メディアに平文で保存され ます。 暗号化された元の状態にこれらのファイルを戻す場合も、暗号化は 透過的に行われます。 メモ : PGP Corporation では、データをバックアップする際とリストアする 際に方法を統一することを推奨しています。 たとえば、管理されていないク ライアントを使用してファイルをバックアップする場合は、ファイルをリス トアする際にも、管理されていないクライアントを使用する必要があります 。 ショートカット メニューを使用した PGP NetShare 機能へのア クセス いくつかの PGP NetShare 機能は、Windows エクスプローラー内で項目を右ク リックして表示されるショートカット メニューから利用できます。 Windows エクスプローラーで項目を右クリックして、そのフォルダー、および [個々のファイルを保護します] オプションを有効にしている場合はファイルを 保護できます。表示されるショートカット メニューから [PGP Desktop] > [PGP NetShare に <filename> を追加します] の順に選択して、その項目を PGP NetShare の保護対象として指定する処理を開始します。 PGP NetShare を使用して、保護フォルダーの外にある個別のファイルを保護す る操作の詳細については、保護フォルダーの外にあるファイルの保護 『ページ : 272』を参照してください。 ファイルやフォルダーを PGP NetShare で保護すると、エクスプローラー内のシ ョートカット メニューから、次の 3 つのコマンドを実行できるようになります 。 PGP NetShare プロパティ : このコマンドを使用すると、ファイルまたは フォルダーのプロパティ画面の [PGP NetShare] タブが開きます。このタ ブでは、保護されたファイルを使用できるユーザーの表示、ロックされて いるファイルやフォルダーのロック解除、および保護されたファイルを使 用できるユーザーの追加を行うことができます。 再暗号化 : このコマンドを使用すると、指定したフォルダーやファイルが 新しい基本暗号化鍵で再暗号化されます。 この<file name>を PGP NetShare から削除してください。このコマンド を使用すると、指定したフォルダーやファイルの PGP NetShare 保護が無 効となります。 適用可能な手順については、「保護フォルダーの外にあるファイルの保護 『ペ ージ : 272』」を参照してください。 275 PGP Desktop for Windows PGP NetShare の使用 PGP Universal Server によって管理された環境にある PGP NetShare PGP Universal Server で管理された環境で PGP NetShare を使用している場合、 PGP 管理者はコンピューター上での PGP NetShare の動作に影響を与える設定 を構成できます。 これらの設定は次のとおりです。 ユーザーによる PGP NetShare フォルダーの作成および管理を許可。 この 設定が有効になっている場合、PGP NetShare 保護フォルダーを作成できま す。無効になっている場合、他の人が作成した保護フォルダーを使用でき ますが、保護フォルダーを作成することはできません。この設定はデフォ ルトで有効になっています。 ユーザーによる上級ユーザー モードの有効化を許可。 この設定が有効に なっている場合、[PGP オプション] の [上級ユーザー モード] を有効にで きます。これにより、保護フォルダーから移動された個々のファイルを保 護できるようになります。この設定はデフォルトで無効になっています。 Force the encryption of files in the following folders (次のフォルダーに あるファイルの暗号化を実施) 。 これらのフォルダーは、「ホワイトリス ト」のフォルダーと呼ばれます。ホワイトリストのフォルダーは、PGP NetShare に必ず追加され、その内容は暗号化されます。詳細については、 「PGP Universal によって指定される「ブラックリスト」および「ホワイト リスト」のフォルダー 『ページ : 252の"PGP Universal Server によって指 定される「ブラックリストに記載された」フォルダーおよび「ホワイトリス トに記載された」フォルダー"参照先 : 』」を参照してください。 Prevent the encryption of files in the following folders (次のフォルダー あるファイルの暗号化を防止)。 これらのフォルダーは、「ブラックリスト 」のフォルダーと呼ばれます。ブラックリストのフォルダーは、PGP NetShare に追加されることも暗号化されることもありません。 詳細につ いては、「PGP Universal によって指定される「ブラックリスト」および「 ホワイトリスト」のフォルダー 『ページ : 252の"PGP Universal Server によって指定される「ブラックリストに記載された」フォルダーおよび「ホ ワイトリストに記載された」フォルダー"参照先 : 』」を参照してください 。 これらの設定について質問がございましたら、PGP 管理者に問い合わせてくだ さい。 276 PGP Desktop for Windows PGP NetShare の使用 保護されたファイルまたはフォルダーのプロパティへのアクセス PGP NetShare によって保護されているすべてのファイルのプロパティ画面には [PGP NetShare] タブがあり、ファイルに関する情報が表示されます。 ファイルの [プロパティ] ダイアログ ボックスの [PGP NetShare] タブにア クセスするには 1 Windows エクスプローラーで、次のいずれかの操作を行います。 ファイルを右クリックし、一覧から [プロパティ] を選択します。 リストから、[ファイル] > [プロパティ] を選択します。 2 [PGP NetShare] タブをクリックします。 3 ファイルの [PGP NetShare] タブに、暗号化されたファイルを使用できる ユーザーの名前が表示されます。このタブでは、次の操作を実行できます 。 ロック解除 : ロックされている保護フォルダーをロック解除します。 編集 : [ユーザーの追加] 画面を表示し、選択したファイルやフォルダ ーを使用できるユーザーの追加/削除を行うことができます。ユーザー が追加または削除された場合、ファイルやフォルダーは再暗号化され ます。 ユーザー名を右クリックすると、各ユーザーの役割が表示されます。 このタブでは、ユーザーの役割を変更できません。ユーザーの役割の 変更については、「ユーザーの役割の変更 『ページ : 265』」を参 照してください。 277 PGP Desktop for Windows PGP NetShare の使用 4 [プロパティ] ダイアログを閉じるには、[OK] をクリックします。 PGP Desktop の PGP NetShare メニューの使用 PGP Desktop のメニューのうち、[ファイル]、[編集]、および [NetShare] の 3 つのメニューには、NetShare に関連するコマンドが含まれています。 [ファイル] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、[ファイル > 新規 PGP NetShare フォルダー] の順に選択すると、新しい保護フォルダーを 作成できます。 操作手順は、「新規 PGP NetShare 保護フォルダーの作成 『ページ : と同じです。 256』」 [編集] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、PGP Desktop の [編集] メニューの [名前の変更] コマンドでは、保護フォルダーの名前を変 更できます。 [編集] メニューを使用して PGP NetShare 保護フォルダーの名前を変更する には 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリック します。 2 複数の保護フォルダーがある場合は、名前を変更する保護フォルダーの名 前をクリックします。 3 [編集] > [名前の変更] の順に選択します。 4 保護フォルダーの新しい名前を入力します。 5 Enter キーを押すか、保護フォルダー名以外の場所をクリックします。こ れで、保護フォルダーの名前が変更されます。 [編集] メニューの [エクスプローラーでファイルを表示...] オプションは、保護 フォルダーのパスをクリックした場合と同等です。このオプションを選択する と、選択したフォルダーが Windows エクスプローラー内で開きます。 278 PGP Desktop for Windows PGP NetShare の使用 [NetShare] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、[NetShare] メ ニューでは次のコマンドを選択できます。 フォルダーの追加 : このコマンドを選択して、保護フォルダーを新規作成 できます。操作手順は、「新規 PGP NetShare 保護フォルダーの作成 『ペ ージ : 256』」と同じです。このコマンドをアクティブにするには、[PGP NetShare] コントロール ボックスを選択する必要があります。 フォルダーの削除 : このコマンドを選択して、保護フォルダーを通常の復 号化された状態に戻す処理を開始できます。保護フォルダーに格納されて いるフォルダーとファイルはすべて復号化され、ファイルの上に表示され ていた PGP アイコンはなくなります。このコマンドをアクティブにするに は、保護フォルダーを選択する必要があります。 フォルダーの再暗号化 : このコマンドを選択して、保護フォルダー内にあ るファイルを再暗号化できます。再暗号化では、基本暗号化鍵を変更でき るので、現在の鍵を特定できた可能性があるユーザーからのアクセスを防 止できます。保護フォルダーへのユーザーの追加や削除を行うと、再暗号 化が自動的に実行されます。[フォルダーの再暗号化] コマンドを使用する と、必要なときにいつでも再暗号化を実行できます。たとえば、許可され ていないユーザーが保護フォルダー内のファイルへのアクセスを取得した と考えられる場合です。このコマンドをアクティブにするには、保護フォ ルダーを選択する必要があります。 フォルダーのステータスを確認 : このコマンドを選択して、選択した保護 フォルダーのステータスに関する最新情報を取得できます。このコマンド をアクティブにするには、保護フォルダーを選択する必要があります。 最近使ったフォルダーのクリア : このコマンドを選択して、フォルダーを 保護フォルダーのリストから削除できます。[フォルダーの削除] コマンド とは異なり、[最近使ったフォルダーのクリア] では保護フォルダー内のフ ァイルを復号化しません。このコマンドをアクティブにするには、保護フ ォルダーを選択する必要があります。 279 14 PGP Zip の使用 PGP Zip を使用すると、PGP Zip アーカイブと呼ばれる暗号化された圧縮パッケ ージを作成、開封、および編集できます。このセクションでは、PGP Desktop の PGP Zip 機能の使用方法について説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 概要 ........................................................................................................ 281 PGP Zip アーカイブの作成 .................................................................... 282 PGP Zip アーカイブの開封 .................................................................... 293 PGP Zip SDA の開封 .............................................................................. 294 PGP Zip アーカイブの編集 .................................................................... 294 署名済み PGP Zip アーカイブの検証 ..................................................... 296 概要 PGP Zip アーカイブ パッケージは、配布やバックアップを容易にするために、 暗号化と圧縮処理を施した単一のファイルです。これらのアーカイブ ファイル には、さまざまなファイルやフォルダーの組み合わせを保存でき、特に、セキ ュリティを保護して配布やバックアップを行うときに便利です。 PGP Zip アシスタントを使用して、新規の PGP Zip アーカイブ パッケージを作 成します。このアシスタントを利用すると、アーカイブ用のファイルまたはフ ォルダーの選択と、次に示す暗号化またはパッケージの作成を段階的に行うこ とができます。 1 人または複数の受信者の PGP 鍵を使用して、ファイルやフォルダーの暗 号化とパッケージの作成を行います。受信者のコンピューターには PGP Desktop が必要です。 281 PGP Desktop for Windows PGP Zip の使用 パスフレーズを使用して、ファイルやフォルダーの暗号化とパッケージの 作成を行います。受信者のコンピューターには PGP Desktop が必要です。 パスフレーズで保護された自己復号化アーカイブ (PGP Zip SDA) として、 ファイルやフォルダーの暗号化とパッケージの作成を行います。受信者の コンピューターには PGP Desktop は必要ありませんが、Microsoft Windows が実行されている必要があります。 暗号化なしで、パッケージも作成しませんが、受信者に送信して、そのフ ァイルの送信者であることを検証できるようにファイルを作成します。 PGP Zip アシスタントを使用して PGP Zip アーカイブ ファイルを作成するとき は、元のファイルを自動的に PGP シュレッダに送るオプションを使用すると、 それらのファイルをコンピューターから安全かつ永久に削除できます。 PGP Zip アーカイブ ファイルを受信すると、次の操作を行うことができます。 アーカイブ内のファイルやフォルダーをすべて抽出します。 アーカイブ内の一部のファイルやフォルダーを抽出します。 アーカイブ内の一部のファイルやフォルダーを抽出し、同時に他のファイ ルやフォルダーを追加します。 アーカイブにファイルやフォルダーを新しく追加します。 アーカイブを以下のように編集します。 暗号化のタイプを変更します。 署名鍵を変更します。 受信者を変更します。 PGP Zip アーカイブは、PGP Desktop (PGP Universal Server 管理者により構 成されている場合) の目的の暗号、または AES256 に暗号化されます。PGP Zip アーカイブは、Mac OS X と Windows プラットフォーム間で移動できます。 PGP Zip アーカイブの移動先のコンピューターには、PGP Desktop がインスト ールされている必要があります。 PGP Zip アーカイブの作成 PGP Zip アーカイブを作成するには 1 [PGP Zip] コントロール ボックスをクリックして、[新規 PGP Zip] をクリ ックします。PGP Zip アシスタントが表示されます。 2 次のいずれかを実行します。 アシスタントで指定される領域にファイルをドラッグ アンド ドロッ プします。 282 PGP Desktop for Windows PGP Zip の使用 作成する PGP Zip アーカイブにディレクトリ全体を追加するには、[デ ィレクトリの追加] 作成する PGP Zip アーカイブにファイルを追加するには、[ファイルの 追加] をクリックします。 をクリックします。 作成する PGP Zip アーカイブからファイルまたはディレクトリを削除 するには、[選択したファイルの削除] をクリックします。 作成する PGP Zip ファイルの追加オプションを選択するには、 をクリックします。ほとんどのユーザ [PGPZip 詳細オプション] ーには、デフォルト設定が適切です。 メモ : ファイルとフォルダーを組み合わせて追加するには、 と の両方のボタンを使用します。 ディレクトリをファイル リストに追加 すると、PGP Zip アシスタントで全ファイルが別々に表示され、それらの ファイルを確認しやすくなります。PGP Zip アーカイブに多数のファイル を追加する必要がある場合は、まずディレクトリ全体を PGP Zip アーカイ ブのファイル リストに追加してから、追加しないファイルだけを削除す ると効率的です。この操作を行う場合は、処理を続行する前に、PGP Zip アーカイブに格納しないファイルをすべて削除したことを確認します。 PGP Zip ファイルにファイルを追加する場合、一度に 600 を超えるファイ ルを追加することはできません。この数字は、追加するファイル名の文字 数によって異なります。この問題を回避するには、一度に追加するファイ ルの数を増やし、数回にわたって追加します。 3 PGP Zip アーカイブを作成した後、元のファイルを完全に削除するには、[ 作業が終了したら、元のファイルを PGP シュレッダに送信します] を選択 します。 注意 : PGP Zipアーカイブの作成後に、元のファイルをPGPシュレッダに 送信した場合、それらのファイルは回収できなくなります。ファイル復元 ユーティリティを使用しても回収はできません。ファイルは恒久的に削除 され、復元不可能になります。このオプションを使用する際には注意して ください。 4 特別オプションを指定するには、[PGP Zip 詳細オプション します。 ] をクリック すべてのファイルを単一の暗号化ファイルに格納する PGP Zip アーカ イブ パッケージではなく、個別の暗号化ファイルを作成するには、[ (出力ファイルを個々に) Zip 処理しないでください] を選択します 。 テキスト ファイルのみのジップ アーカイブを作成するには、[テキス ト ファイルの改行を変換します] を選択します。 283 PGP Desktop for Windows PGP Zip の使用 組織のセキュリティ ポリシーで指定されているとおりに PGP Secure Viewer を必要とする Zip アーカイブを作成するには、[復号化時に PGP Secure Viewer を必要とする] を選択します。このモードを選択する と、ファイルが復号化されたとき、そのファイルは [PGP Secure Viewer] ウィンドウに表示されます。このオプションを使用すると、 旧式の電波傍受による攻撃から保護されます。 旧タイプの電子メール アプリケーションを使用して、この Zip アーカ イブをバイナリ ファイルとして電子メールで送るには、[テキストの 出力] を選択します。ファイルを ASCII テキストとして保存すると、 暗号化ファイルのサイズがおよそ 30% 増えます。このオプションは 、PGP Universal Server で管理されていない環境で PGP Desktop を使 用している場合は、利用できません。 これらの PGP Zip オプションの設定を後日使用できるように保存する には、[これらの設定を次回復元する] を選択します。 特別なオプションの選択が終わったら、[OK] をクリックします。こ れらのいずれのオプションも変更しない場合は、[キャンセル] をクリ ックします。 [新規 PGP Zip] ダイアログ ボックスが再び表示されます。 5 PGP Zip アーカイブに格納するファイルの選択が完了したら、[次へ] をク リックします。 6 必要な暗号化のタイプを選択し、[次へ] をクリックします。 ヒント : 各オプションの上にカーソルを移動させると、オプション リス トの下にある情報フィールドに詳細が表示されます。 受信者鍵 : ファイルを受信者の公開鍵に暗号化して、PGP Zip アーカ イブを作成します。これにより、この受信者のみが PGP Desktop を使 用してアーカイブを開くことができます。これは最も安全なオプショ ンです。「受信者鍵による暗号化 『ページ : 285』」を参照してく ださい。 パスフレーズ : アーカイブの保存時に指定するパスフレーズでファイ ルを暗号化して、PGP Zip アーカイブを作成します。パスフレーズを 知っていて、PGP Desktop を使用しているユーザーのみがアーカイブ を開くことができます。「パスフレーズを使用した暗号化 『ページ : 287』」を参照してください。 PGP 自己復号化アーカイブ : アーカイブの保存時に設定したパスフ レーズで PGP 自己復号化アーカイブを作成します。PGP 自己復号化 アーカイブを復号化する場合、PGP Desktop は必要ありませんが、 受信者が Microsoft Windows オペレーティング システムを使用して いる必要があります。「PGP 自己復号化アーカイブ (SDA) の作成」 を参照してください。 284 PGP Desktop for Windows PGP Zip の使用 署名のみ : PGP 署名を暗号化されていない Zip ファイルに追加します 。受信者は、PGP Desktop を使用してこの Zip アーカイブを開くこと ができます。また、この署名により、Zip アーカイブが署名者本人か ら送られてきたものであり、転送中に変更が加えられていないことが 証明されます。詳細については、署名のみ 『ページ : 291の"署名の みのアーカイブの作成"参照先 : 』を参照してください。 メモ : PGP Universal によって管理されている環境で PGP Desktop を使用 している場合、パスフレーズ (共通鍵) 暗号方式は無効になっている場合 もあります。 受信者鍵による暗号化 [受信者鍵] は、次の場合に使用できます。 ファイルに対して最大のセキュリティを提供する場合 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得している場合 パスフレーズをファイルの受信者に開示しない場合 受信者の公開鍵を使用した PGP Zip アーカイブの暗号化は、最大のセキュリテ ィを実現できる方法です。これは、最も強力なセキュリティが必要で、かつ必 要条件が満たされる場合には最善の方法です。 いずれの方法でもファイルのセキュリティ保護が完了してから、作成した PGP Zip アーカイブ ファイルを受信者に送信します。受信者は PGP Desktop を使用 して PGP Zip アーカイブ ファイルを開きます。ファイルの暗号化を行った際に 使用した鍵を持つユーザーは、誰でもその PGP Zip アーカイブ ファイルを開く ことができ、それら全員が同じ項目にアクセスできます。受信者によっては一 部の項目しかアクセスできないようにする必要がある場合は、受信者ごとに別 の PGP Zip アーカイブ ファイルを作成する必要があります。 受信者鍵で暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ペー ジ : 282』」の説明にあるように、PGP Zip アーカイブの作成を開始しま す。 2 [暗号化] ダイアログ ボックスで、[受信者鍵] を選択します。 3 [次へ] をクリックします。ユーザー鍵の追加 ダイアログ ボックスが表示 されます。 4 PGP Zip アーカイブの受信者を選択します。次のいずれかを実行します。 鍵リングにある鍵のリストから選択するには、矢印をクリックします 。 285 PGP Desktop for Windows PGP Zip の使用 鍵リングにない鍵を所有している受信者にファイルを送信するには、[ 追加] をクリックします。[受信者の選択] ダイアログ ボックスが表示 されます。 追加分の名前の選択が完了したら、[OK] をクリックし、[ユーザー鍵の追 加] パネルに戻ります。 鍵を削除するには、受信者名を選択し、[削除] をクリックします。 5 [次へ] をクリックします。[署名と保存] 画面が表示されます。 6 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘 密鍵を指定することもできます。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付する ために使用されます。アーカイブの受信者は、対応する公開鍵を使用して デジタル署名を検証すると、送信者を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リストから [なし] を選択します。 PGP Zip アーカイブへの署名を選択した場合は、署名鍵 リストから鍵 を選択してから、その鍵の署名用のパスフレーズを入力します。これ は、Zip の安全性を高めるために使用するパスフレーズとは異なりま す。パスフレーズの入力時にキー操作を表示するには、[キー操作の 表示] を選択します。 PGP Desktop を使用したセッション中にパスフレーズを既に入力した場合 は、[オプション] 設定によってはパスフレーズがキャッシュされているこ とがあります。この場合には、[パスフレーズがキャッシュされています] というメッセージが表示されます。パスフレーズがキャッシュされている 場合でも、PGP Zip アーカイブ ファイルを署名しないように選択すること は可能です。 7 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどう かを確認します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選 択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保 存場所を変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納され た PGP Zip アーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納された PGP Zip アーカ イブのファイル名は、格納されたいずれかの項目の名前の後ろに .pgp を 追加したものになります。必要に応じて、PGP Zip アーカイブ ファイル名 を変更してください。 286 PGP Desktop for Windows PGP Zip の使用 8 [署名のみ] オプションを選択した場合は、[分離署名の保存] をクリックし ます。 9 [次へ] をクリックします。PGP Zip アーカイブが作成されます。 10 [完了] をクリックします。これで、暗号化に使用した鍵を所有している受 信者に PGP Zip アーカイブを送信する準備ができました。暗号化に使用し た鍵の 1 つがあなたの鍵であれば、そのファイルはどの場所にでも保管で きます。 パスフレーズを使用した暗号化 パスフレーズは、次の場合に使用します。 受信者の鍵を使用せずに、PGP Zip アーカイブを作成する場合。これは、 受信者の鍵を使用して暗号化するよりも安全性は劣りますが、十分に安全 性の高い方法です。 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 パスフレーズをファイルの受信者に開示しない場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得していない場 合 ヒント : パスフレーズを使用した暗号化は、従来型の暗号化とも呼ばれます 。 PGP Zip アーカイブをパスフレーズで暗号化すると、特に強力なパスフレーズ を使用した場合は大変強力なセキュリティを実現できます。ただし、受信者の 鍵で暗号化すれば、さらに強力なセキュリティが得られます。受信者の鍵で暗 号化した場合、PGP Zip アーカイブの受信者がファイルを復号化するには、秘 密鍵とパスフレーズが必要です。各受信者の秘密鍵にもパスフレーズがありま す。 パスフレーズで暗号化した場合は、全員が同じパスフレーズを使用してファイ ルを開き、秘密鍵を必要としません。ファイルの受信者は、PGP Desktop を使 用し、ファイルを復号化できるパスフレーズを知っている必要があります。 注意 : セキュリティ対策に抜けがないように、PGP Zipアーカイブに対する パスフレーズがファイルの受信者以外には開示されていないことを確認して ください。承認されていないユーザーにパスフレーズが開示された場合は、 別のパスフレーズを使用して新規のPGP Zipアーカイブを作成してください。 ただし、元のアーカイブ ファイルとその内容の安全性を取り戻すことはでき ません。 287 PGP Desktop for Windows PGP Zip の使用 いずれの方法でもファイルのセキュリティ保護が完了してから、作成した PGP Zip アーカイブ ファイルを受信者に送信します。受信者は PGP Desktop を使用 して PGP Zip アーカイブ ファイルを開きます。ファイルとパスフレーズを持つ ユーザーは、その PGP Zip アーカイブ ファイルを開くことができ、それら全員 が同じ項目にアクセスできます。複数の受信者がそれぞれ別の項目にアクセス できるようにする必要がある場合は、受信者ごとに別の PGP Zip アーカイブ フ ァイルを作成する必要があります。 注意 : PGP Universalによって管理されている環境でPGP Desktopを使用して いる場合、パスフレーズでの暗号化は無効になっている場合もあります。 パスフレーズを使用して暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ペー ジ : 282』」の説明にあるように、PGP Zip アーカイブの作成を開始しま す。手順 6 の説明に従って作業を行い、完了したらこのセクションに戻り ます。 2 [暗号化] ウィンドウで、[パスフレーズ] を選択します。 3 [次へ] をクリックします。パスフレーズの作成 ダイアログ ボックスが表 示されます。 4 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選 択します。 5 使用するパスフレーズを [パスフレーズ] フィールドに入力します。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 344』」 を参照してくだ さい。 6 [確認] フィールドにパスフレーズをもう一度入力します。 7 [次へ] をクリックします。[署名と保存] ダイアログ ボックスが表示されま す。 8 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘 密鍵を指定することもできます。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付する ために使用されます。アーカイブの受信者は、対応する公開鍵を使用して デジタル署名を検証すると、送信者を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リストから [なし] を選択します。 288 PGP Desktop for Windows PGP Zip の使用 PGP Zip アーカイブへの署名を選択した場合は、署名鍵 リストから鍵 を選択してから、その鍵の署名用のパスフレーズを入力します。これ は、Zip の安全性を高めるために使用するパスフレーズとは異なりま す。パスフレーズの入力時にキー操作を表示するには、[キー操作の 表示] を選択します。 PGP Desktop を使用したセッション中にパスフレーズを既に入力した場合 は、[オプション] 設定によってはパスフレーズがキャッシュされているこ とがあります。この場合には、[パスフレーズがキャッシュされています] というメッセージが表示されます。パスフレーズがキャッシュされている 場合でも、PGP Zip アーカイブ ファイルを署名しないように選択すること は可能です。 9 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどう かを確認します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選 択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保 存場所を変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納され た PGP Zip アーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納された PGP Zip アーカ イブのファイル名は、格納されたいずれかの項目の名前の後ろに .pgp を 追加したものになります。必要に応じて、PGP Zip アーカイブ ファイル名 を変更してください。 10 [次へ] をクリックします。PGP Zip アーカイブが作成されます。 11 [完了] をクリックします。これで、暗号化に使用した鍵を所有している受 信者に PGP Zip アーカイブを送信する準備ができました。受信者がアーカ イブを開封できるように、パスフレーズを忘れずに伝えてください。 PGP 自己復号化アーカイブ (SDA) の作成 PGP 自己復号化アーカイブは、次の場合に使用します。 受信者の鍵を使用せずに、PGP Zip 自己復号化アーカイブを作成する場合 。これは、受信者の鍵を使用して暗号化するよりも安全性は劣りますが、 十分に安全性の高い方法です。 受信者のコンピューターに PGP Desktop がインストールされておらず、す べての受信者が Windows システムを使用している場合 パスフレーズをファイルの受信者に開示しない場合 289 PGP Desktop for Windows PGP Zip の使用 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得していない場 合 PGP 自己復号化アーカイブ (SDA) は、PGP Desktop がインストールされてい なくても Windows コンピューターであれば開封できる PGP Zip アーカイブです 。PGP Zip SDA ファイルは、Windows 標準の実行可能 (.exe) ファイルで、ダ ブルクリックするだけで開封することができます。 自己復号化のメカニズムでは一定量の領域 (通常は 100KB 程度) が余分に必要 となるため、PGP Zip SDA ファイルは一般的な PGP Zip アーカイブよりも若干 大きくなります。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を 使用している場合、PGP Zip SDA 作成は無効になっている場合もあります。 PGP Zip SDA を作成したら、どのような受信者にもファイルを送信できます。 ファイルとパスフレーズを持つユーザーは、その PGP Zip アーカイブ ファイル を開くことができ、それら全員が同じ項目にアクセスできます。複数の受信者 がそれぞれ別の項目にアクセスできるようにする必要がある場合は、受信者ご とに別の PGP Zip アーカイブ ファイルを作成する必要があります。 注意 : セキュリティ対策に抜けがないように、PGP Zip SDAに対するパスフ レーズがファイルの受信者以外には開示されていないことを確認してくださ い。承認されていないユーザーにパスフレーズが開示された場合は、別のパ スフレーズを使用して新規のPGP Zip SDAを作成してください。ただし、元 のアーカイブ ファイルとその内容の安全性を取り戻すことはできません。 PGP Zip SDA を作成するには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ペー ジ : 282』」の説明にあるように、PGP Zip アーカイブの作成を開始しま す。手順 6 の説明に従って作業を行い、完了したらこのセクションに戻り ます。 2 [暗号化] ダイアログ ボックスで、[PGP 自己復号化アーカイブ] を選択し ます。 3 [次へ] をクリックします。パスフレーズの作成 ダイアログ ボックスが表 示されます。 4 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選 択します。 5 使用するパスフレーズを [パスフレーズ] フィールドに入力します。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予 測量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と比較した結果を基に、そのパスフレーズの強度が表示されます。詳細に ついては、「パスフレーズの品質バー 『ページ : 344』」 を参照してくだ さい。 290 PGP Desktop for Windows PGP Zip の使用 6 [確認] フィールドにパスフレーズをもう一度入力します。 7 [次へ] をクリックします。 8 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどう かを確認します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選 択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保 存場所を変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納され た PGP Zip アーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納された PGP Zip アーカ イブのファイル名は、格納されたいずれかの項目の名前の後ろに .pgp を 追加したものになります。必要に応じて、PGP Zip アーカイブ ファイル名 を変更してください。 9 [次へ] をクリックします。PGP Zip SDA が作成されます。 10 [完了] をクリックします。これで、受信者に PGP Zip SDA を送信する準備 ができました。 署名のみのアーカイブの作成 署名のみは、次の場合に使用します。 ファイルを暗号化する必要がない場合。この場合、受信者にパスフレーズ を開示せずに済みます。 受け取った PGP Zip アーカイブの確認に受信者が使用できる署名ファイル を生成する場合。各ファイルは個別に処理され、ファイルごとに別個の分 離署名が作成されます。 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 ファイルを送信したことを確認し、ファイルが送信中に変更されていない ことを受信者に保証する場合。 受信者に対してファイルを暗号化する必要がない場合は、[署名のみ] オプショ ンを選択できます。ファイルを暗号化して 1 つの PGP Zip アーカイブに圧縮する 代わりに、このオプションでは、それらの圧縮のみを行います。 291 PGP Desktop for Windows PGP Zip の使用 [署名のみ] オプションで暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zip アーカイブの作成 『ペー ジ : 282』」の説明にあるように、PGP Zip アーカイブの作成を開始しま す。手順 6 の説明に従って作業を行い、完了したらこのセクションに戻り ます。 メモ : 圧縮し、署名するファイルを選択すると、[元のファイルを PGP シ ュレッダに送信します] オプションを選択していても無視されます。 2 [暗号化] ダイアログ ボックスで、[署名のみ] を選択します。 3 [次へ] をクリックします。[署名と保存] パネルが表示されます。 4 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘 密鍵を指定します。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付する ために使用されます。アーカイブの受信者は、対応する公開鍵を使用して デジタル署名を検証すると、送信者を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リストから [なし] を選択します。 PGP Zip アーカイブへの署名を選択した場合は、署名鍵 リストから鍵 を選択してから、その鍵の署名用のパスフレーズを入力します。これ は、Zip の安全性を高めるために使用するパスフレーズとは異なりま す。パスフレーズの入力時にキー操作を表示するには、[キー操作の 表示] を選択します。 PGP Desktop を使用したセッション中にパスフレーズを既に入力した場合 は、[オプション] 設定によってはパスフレーズがキャッシュされているこ とがあります。この場合には、[パスフレーズがキャッシュされています] というメッセージが表示されます。パスフレーズがキャッシュされている 場合でも、PGP Zip アーカイブ ファイルを署名しないように選択すること は可能です。 5 PGP Zip アーカイブの保存場所を変更する必要があるかどうかを確認しま す。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windows の [ファイル] ダイアログで場所を選 択して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保 存場所を変更します。 署名のみの PGP Zip アーカイブのデフォルト ファイル名は、その名前の後 ろに .sig を追加したものになります。 6 PGP Zip アーカイブと一緒に署名ファイルを個別に保存する場合は、[分離 署名の保存] をクリックしてオンにします。 292 PGP Desktop for Windows PGP Zip の使用 7 [次へ] をクリックします。署名のみの PGP Zip アーカイブが作成されます 。 8 [完了] をクリックします。 PGP Zip アーカイブの開封 PGP Zip アーカイブを開封するコンピューターには、PGP Desktop がインスト ールされている必要があります。 PGP ジップ アーカイブを開封するには 1 PGP ジップ アーカイブ ファイルをダブルクリックします。ファイルの拡 張子は、.pgp です。 PGP ジップ アーカイブが鍵を使用して暗号化されている場合は、 PGP の [Enter Passphrase for Listed Key (表示されている鍵のパスフ レーズを入力してください)] ダイアログ ボックスが表示されます。 PGP ジップ アーカイブがパスフレーズを使用して暗号化されている 場合は、PGP の [Enter Passphrase (パスフレーズを入力してください )] ダイアログ ボックスが表示されます。 PGP Desktop に PGP ジップ アーカイブの内容が表示されます。PGP Desktop アプリケーションを開いていない場合は、PGP ジップの項目がア クティブな状態で PGP Desktop が開きます。 2 項目を抽出するには、次の操作を行います。 単一の項目を抽出するには、その項目を右クリックして、ショートカ ット メニューから [抽出] を選択します。 複数の項目を抽出するには、項目を選択し、いずれか 1 つを右クリッ クしてショートカット メニューから [抽出] を選択します。 [フォルダーの参照] ダイアログ ボックスが表示されます。 3 ファイルの抽出先とするフォルダーを指定し、[OK] をクリックします。フ ォルダーを新規作成するには、[New Folder (新規フォルダー)] を選択し ます。ファイルが、指定した保存場所に抽出されます。 PGP ジップ アーカイブから復号化したファイルを元のファイルと同じ保 存場所に抽出すると、元のファイルは上書きされます。上書きを防止する ため、ファイルごとに、既存のファイルを上書きするかどうかを確認する メッセージが表示されます。 293 PGP Desktop for Windows PGP Zip の使用 PGP Zip SDA の開封 PGP Zip SDA を開封するには、PGP Desktop がインストールされている必要は ありません。 PGP Zip SDA を開封するには 1 PGP Zip SDA ファイルをダブルクリックします。ファイルの拡張子は、 .exe です。[PGP Self Decrypting Archive - Enter Passphrase (PGP 自己復 号化アーカイブ - パスフレーズを入力してください)] ダイアログ ボック スが表示されます。 2 目的の保存場所に出力が抽出されることを確認します。抽出先が異なる場 合は、[参照] をクリックして適切な保存場所を選択するか、フィールドに 入力します。 メモ : PGP Zip SDA から復号化したファイルを元のファイルと同じ保存 場所に抽出すると、元のファイルは上書きされます。上書きを防止するた め、ファイルごとに保存場所の変更を促すメッセージが表示されます。フ ァイル名を変更することもできます。保存場所またはファイル名を変更せ ずに [保存] をクリックすると、警告ダイアログ ボックスが表示されま す。この警告をバイパスすると、PGP Zip SDA を復号化したファイルに元 のファイルは上書きされます。 3 PGP Zip SDA のパスフレーズを入力して、[OK] をクリックします。PGP Zip SDA が復号化されます。 PGP Zip アーカイブの編集 PGP Zip アーカイブは固定化されたファイルではありません。いつでも、次の 操作を行うことができます。 ファイルを抽出する。 ファイルを追加する。 アーカイブ自体の設定を編集する。 PGP Zip アーカイブを編集するには 1 PGP Desktop を開き、[PGP Zip] コントロール ボックスをクリックします 。[PGP Zip] コントロール ボックスがハイライトされます。 294 PGP Desktop for Windows PGP Zip の使用 2 [PGP Zip] コントロール ボックスの上部にある PGP Zip アーカイブのリス トで、編集する PGP Zip アーカイブの名前をクリックします。アーカイブ の設定と、アーカイブ内のファイルやフォルダーが表示されます。 目的の PGP Zip アーカイブがリストにない場合は、[PGP Zip を開く] をク リックして、.pgp ファイルに移動します。次に、そのファイルを選択して [開く] をクリックしてください。 3 PGP Zip アーカイブの設定を編集するには、[編集] をクリックし、次のよ うに必要な変更を行います。 PGP Zip アーカイブにファイルを追加するには、[PGP Zip] コントロ ール ボックスの [ファイルの追加] をクリックし、追加するファイル を選択して、[開く] をクリックします。 ファイルがアーカイブに追 加されます。 アーカイブにフォルダーを追加し、そのフォルダーにファイルを入れ るには、[PGP Zip] コントロール ボックスの 新規フォルダー をクリ ックし、新しいフォルダーに必要に応じて説明的な名前を入力します 。新しいフォルダーを選択し、[PGP Zip] コントロール ボックスの [ ファイルの追加] をクリックします。次に、フォルダーに追加するフ ァイルを選択し、開く をクリックします。 ファイルがアーカイブの フォルダーに追加されます。 アーカイブからファイルを抽出するには、抽出するファイルを右クリ ックし、表示されるショートカット メニューから [抽出] を選択しま す。ファイルの場所を指定し、[OK] をクリックします。 指定した場 所にファイルのコピーが作成されます。PGP Zip アーカイブには元の ファイルが残ります。 295 PGP Desktop for Windows PGP Zip の使用 4 アーカイブからファイルまたはフォルダーを削除するには、削除する 項目を選択し、キーボードの Delete キーを押します。[編集] > [削除] の順に選択しても同じです。指定した項目が削除されます。 変更内容を PGP Zip アーカイブに保存するには、画面右上の [保存] をクリックするか、[PGP Zip] コントロール ボックスの [PGP Zip の 保存] をクリックします。 保存場所とファイル名を指定します。指 定した名前のファイルがその場所に既に存在する場合は、既存のファ イルを上書きするかどうかを尋ねるメッセージが表示されます。アー カイブを保護しているパスフレーズを入力し、[OK] をクリックしま す。 署名鍵を変更するには、変更する PGP Zip ファイルを [PGP Zip] コン トロール ボックス内で選択し、[編集] をクリックします。次に、新 しい署名鍵を選択します。 完了したら、[保存] をクリックします。 暗号化の種類 (鍵または従来型) を変更するには、変更する PGP Zip ファイルを [PGP Zip] コントロール ボックス内で選択し、[編集] を クリックします。次に、暗号化の種類 (鍵または従来型) を選択しま す。 完了したら、[保存] をクリックします。 PGP Zip アーカイブに受信者を追加するには、変更する PGP Zip ファ イルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリ ックして、[受信者の追加] をクリックします。[受信者の追加] ダイア ログ ボックスで、追加する受信者を選択し、[OK] をクリックします 。完了したら、[保存] をクリックします。 アーカイブから受信者を削除するには、変更する PGP Zip ファイルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリックしま す。次に、削除する受信者を選択し、[受信者の削除] をクリックしま す。 完了したら、[保存] をクリックします。 完了したら、[保存] をクリックします。変更を行った PGP Zip アーカイブ は、上書きするか、または別名で保存できます。 署名済み PGP Zip アーカイブの検証 署名済み PGP Zip アーカイブを受信したら、送信者の確認や、受け取る前にア ーカイブが改ざんされていないことの確認のために、署名を検証する必要があ ります。 PGP Zip アーカイブを検証するには 1 [PGP Zip] コントロール ボックスをクリックして、[PGP Zip を開く] をク リックします。[開く] ダイアログ ボックスが表示されます。 296 PGP Desktop for Windows PGP Zip の使用 2 検証する署名済み .pgp ファイルに移動し、ファイルをクリックして、[開 く] をクリックします。 (署名に加えて) メッセージが暗号化されている場合は、あなたの秘密鍵の パスフレーズか、メッセージの暗号化に使用された公開鍵に対応するいず れかの秘密鍵のパスフレーズを求めるメッセージが表示されます。 秘密鍵が鍵リングにない場合は、メッセージを復号化できないことが示さ れます。残念ですが、この場合はアーカイブの検証もできません。[キャン セル] をクリックして検証を終了してください。 3 秘密鍵のパスフレーズを入力し、[OK] をクリックします。 メモ : 秘密鍵のパスフレーズがキャッシュされている場合は、パスフレ ーズを求めるメッセージは表示されません。 PGP Zip アーカイブと同じ場所にアーカイブの内容が保存され、検証した アーカイブに関する情報が [検証履歴] 画面に表示されます。 4 検証済みのアーカイブのリストを削除するには、[検索履歴のクリア] をク リックします。[検証履歴] 画面にリストされていたすべての履歴が削除さ れます。 297 15 PGP シュレッダを使用した ファイルの細断処理 データの断片を残さずに機密ファイルを完全に破棄するには、PGP シュレッダ ユーティリティを使用してください。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP シュレッダによるファイルおよびフォルダーの恒久的な削除 ..... 299 PGP 空き領域細断処理アシスタントの使用 ......................................... 302 PGP シュレッダによるファイルおよびフォルダーの恒久的な削除 機密ファイルまたはフォルダーを完全に破棄するには、PGP シュレッダ機能を 使用します。PGP シュレッダを使用してファイルまたはフォルダーを削除する と、その項目のすべての痕跡が削除されます。 PGP シュレッダは、ランダムなテキストでデータを上書きすることによって機 能します。この処理が複数回繰り返されますが、これをパスと呼びます。ファ イルを削除する際は、PGP シュレッダ機能が実行するパスの数を設定できます 。これには、[環境設定] 画面の [ディスク] パネルを開きます。オプションの設 定と環境設定の詳細については、「ディスクのオプション/環境設定 『ページ : 334の"ディスク オプション"参照先 : 』」を参照してください。 細断処理セッションは、指定したパスの数、プロセッサの速度、実行している 他のアプリケーションの数などの要因によって時間がかかることがあります。 299 PGP Desktop for Windows PGP シュレッダを使用したファイルの細断処理 メモ : PGP シュレッダを 3 パスに設定すると、米国国防総省 5220.22-M 標準 に指定されているのメディア抹消処理要件を上回ります。これ以上のパスも 許可されていますが、最近のディスク ハードウェアでは 2 パス以上は必要あ りません。また、28 パス前後までは、細断処理による効果は上がり続けます 。PGP シュレッダ機能は、49 パスまで設定できますが、パスが多いほど確実 に削除するために必要な時間が長くなります。 PGP シュレッダには、次のように複数の使用方法があります。 デスクトップの [PGP シュレッダ] アイコンを使用する。このアイコンは 、PGP Desktop をインストールすると作成されます。 [ツール] > [ファイルの細断処理] の順に選択し、細断処理するファイルま たはフォルダーを参照して指定する。 Windows エクスプローラのショートカット メニューを使用する。これに は、ファイルを右クリックし、PGP Desktop > [PGP Shred [file name] (PGP 細断処理 <file name>) ] の順に選択します。 PGP 細断処理は次の項目は削除しません。 読み取り専用の Windows システム ファイル。 Windows エクスプローラでサムネイル グラフィックスを表示する際に作 成される Thumbs.db ファイルは、特別で、ファイルがシステム属性を持っ ていても細断処理できます。 WebDav または Sharepoint ファイル。 削除できるファイルは、ローカル ファイルで CIFS 共有ファイルです。 削除できないファイルを含むディレクトリ。 すでにファイルやプログラムのデータを削除した後では、その空きディスク領 域に対して PGP Desktop の PGP 空き領域細断処理アシスタントを使うことによ り、ファイルの痕跡を消去することができます。 NTFS などのジャーナリング ファイル システムでは、PGP 空き領域抹消アシス タントを使用することをお勧めします。このようなファイル システムで、ファ イル システム ジャーナル内のディスクに書き込まれたすべての内容に対して コピーが作成されるためです。このコピー機能は、損傷したディスクの修復時 には役立ちますが、機密データを削除するときには注意が必要になります。フ ァイルを細断処理しても、作成されたジャーナルのエントリは削除されないか らです。特に NTFS では、内部データ構造に 1K 未満の小さなファイルが保存さ れることがあります。これは、PGP 空き領域抹消アシスタントの [NTFS 内部デ ータ構造の完全削除] オプションを使用しないと適切に削除できません。 ヒント : このほか、一時ファイルなど、ディスクの別の場所に留まる可能性 があるデータの存在も考慮する必要があります。このことから、PGP Whole Disk Encryption を使用して、コンピューター上のすべてのデータを保護する ことを検討してください。 300 PGP Desktop for Windows PGP シュレッダを使用したファイルの細断処理 デスクトップの [PGP シュレッダ] アイコンを使用したファイルの細断処理 デスクトップの [PGP シュレッダ] アイコンを使用してファイルを細断処理す るには 1 細断処理するファイルまたはフォルダーをドラッグし、[PGP シュレッダ] アイコンにドロップします。選択したファイルやフォルダーを細断処理 ( 完全削除) するかどうかをたずねる確認ダイアログ ボックスが表示されま す。 2 [はい] をクリックします。これで、ファイルが完全に削除されます。 PGP Desktop 内のファイルの細断処理 PGP Desktop でファイルを完全削除するには、次の手順に従います。 1 PGP Desktop のメイン アプリケーション ウィンドウで、[ツール] > [ファ イルの完全削除] を選択します。[開く] ダイアログ ボックスが表示されま す。 2 細断処理するファイルを選択し、[開く] をクリックします。選択したファ イルやフォルダーを細断処理 (完全削除) するかどうかをたずねる確認ダイ アログ ボックスが表示されます。 3 [はい] をクリックします。これで、ファイルが完全に削除されます。 Windows エクスプローラでのファイルの細断処理 Windows エクスプローラで右クリックしてファイルを細断処理するには 1 Windows エクスプローラで、細断処理するファイルまたはフォルダーを右 クリックします。選択したファイルやフォルダーを細断処理 (完全削除) す るかどうかをたずねる確認ダイアログ ボックスが表示されます。 2 [はい] をクリックします。これで、ファイルが完全に削除されます。 301 PGP Desktop for Windows PGP シュレッダを使用したファイルの細断処理 PGP 空き領域細断処理アシスタントの使用 ディスクの空き領域を完全削除するには、次の手順に従います。 1 PGP Desktop が開いている場合、[ツール] > [PGP 空き領域の完全削除] を 選択します。PGP 空き領域細断処理アシスタントの最初の画面が表示され ます。 2 情報に目を通し、[次へ] をクリックしてください。[Gathering Information (情報を収集しています) ] ダイアログ ボックスが表示されます。 3 [ドライブの細断処理] フィールドで、細断処理するディスクまたはボリュ ームと、PGP 空き領域細断処理で実行するパスの数を選択します。 デー タを確実に削除するには、PGP 細断処理の 3 パスで十分ですが、パス数は 49 まで指定できます。パス数を選択する際には、次のガイドラインを参考 にしてください。 4 個人ユーザーで 3 パス。 商用で 10 パス。 軍事用で 18 パス。 最大限のセキュリティ : 26 パス NTFS 内部データ構造を細断処理するかどうかを選択してください。この オプションは、一部のコンピューターでは使用できません。 注意 : すでに選択したパーティションがブート パーティションではない 場合は、内部 NTFS データ構造を上書きして細断処理を行うオプションを 選択できます。NTFS 内部データ構造には、データの削除後も、その痕跡 が残る可能性があるためです。空き領域細断処理操作の進行中はパーティ ションの容量がすべて使用されるため、ディスクを使用する操作は一切行 わないでください。また、NTFS 内部データ構造に空きがある場合、その 一部はドライブの空き領域として認識されないことがありますが、このオ プションを使うとそのような空き領域のデータも細断処理できます。なお 、この細断処理操作に伴うディスクへの悪影響は、一切ありません。 5 [次へ] をクリックします。 選択したドライブまたはボリュームに関する 統計情報を含む [完全削除の実行] ダイアログ ボックスが表示されます。 6 次のいずれか 1 つを実行します。 空き領域細断処理をすぐに開始するには、[Begin Shred (細断処理の 開始) ] をクリックします。PGP 空き領域完全削除アシスタントが、 指定されたディスクまたはボリュームをスキャンし、消されたデータ の痕跡を細断処理します。 302 PGP Desktop for Windows PGP シュレッダを使用したファイルの細断処理 完了すると、[Perform Shred (細断処理の実行) ] 画面の最下部に、選択 したドライブのデータが細断処理されたことを示すメッセージが表示さ れます。 空き領域細断処理の実行時間を設定するには、[スケジュール] をクリ ックします。PGP 空き領域細断処理のスケジュールを設定するときに Windows タスク スケジュールを使用すること、また、ジョブの実行 には Windows ログイン パスワードが必要であることを示すメッセー ジが表示されます。 ジョブのスケジュールを設定するには、[OK] をクリックし、[PGP Enter Confirmed Passphrase (PGP 確認パスフレーズの入力) ] ダイアロ グ ボックスに Windows ログイン パスワードを入力して、スケジュー ル設定情報を入力します。 ジョブを取り消し、[Perform Shred (細断処理の実行) ] ダイアログ ボッ クスに戻るには、[キャンセル] をクリックします。 7 [次へ] をクリックします。[Completing (完了) ] ダイアログ ボックスが表 示されます。 8 [完了] をクリックします。 空き領域の細断処理のスケジュール設定 Windows タスク スケジューラを使用すると、コンピューターの空き領域にあ るデータを定期的に細断処理するように設定できます。 空き領域の細断処理のスケジュールを設定するには 1 [Perform Shred (細断処理の実行) ] ダイアログ ボックスが表示されるまで 、「PGP 空き領域完全削除アシスタントの使用 『ページ : 302の"PGP 空 き領域細断処理アシスタントの使用"参照先 : 』」の手順に従ってください 。 2 [スケジュール] をクリックします。 3 PGP 空き領域細断処理のスケジュールを設定するときに Windows タスク スケジュールを使用すること、また、ジョブの実行には Windows ログイン パスワードが必要であることを示すメッセージが表示されます。続行する には、[OK] をクリックします。[PGP Enter Confirmed Passphrase (PGP 確 認パスフレーズの入力) ] ダイアログ ボックスが表示されます。 4 最初のフィールドに Windows ログイン パスワードを入力し、確認用に同 じパスワードを 2 番目のフィールドに入力してから、[OK] をクリックしま す。[Windows タスク スケジュール] ダイアログ ボックスが表示されます 。 5 次に示す [Schedule Task (タスクのスケジュール) ] 領域で、タスクを実 行する頻度を指定します。 303 PGP Desktop for Windows PGP シュレッダを使用したファイルの細断処理 日単位 : 指定した日時にタスクが 1 回実行されます。[OK] をクリッ クしてダイアログ ボックスを閉じ、各指定日でタスクを実行する時 刻を [開始時刻] テキスト ボックスに入力します。 週単位 : 数週間おきに、指定した曜日と時刻にタスクが実行されます 。表示されているテキスト ボックスに、何週間おきに細断処理を実 行するかを入力し、[タスクのスケジュール (週単位) ] から曜日を選 択します。 月単位 : 数カ月おきに、指定した日時にタスクが実行されます。表示 されているテキスト ボックスに時刻を入力し、タスクを実行する日 を次に入力します。[実行する月の選択] をクリックし、タスクを実行 する月を指定します。 1 回だけ実行 : 指定した日時に 1 回だけタスクが実行されます。表示 されているテキスト ボックスに時刻を入力し、[開始日] テキスト ボ ックスのリストから月と日を選択します。 コンピューター起動時 : コンピューターの起動時にのみ、タスクが実 行されます。 ログオン時 :コンピューターにログオンしたときにタスクが実行され ます。 アイドル状態時にタスクを実行 : [分] テキスト ボックスに指定した 間コンピューターがアイドル状態になったときに、タスクが実行され ます。 6 [開始時刻] フィールドに、タスクを開始する時刻を入力します。 7 [タスクのスケジュール (日単位) ] フィールドに、タスクを実行する頻度を 指定します。 8 [詳細設定] をクリックすると、タスクの開始日や終了日、期間などの追加 オプションを選択するためのダイアログ ボックスが開きます。 9 [OK] をクリックします。確認のダイアログ ボックスが表示されます。 これで、新しい PGP フォルダーまたは空き領域の抹消タスクのスケジュールが 設定されました。タスクを編集または削除するには、Windows タスク スケジ ューラを使用してください。 304 16 スマート カードおよびトー クンへの鍵の保存 PGP Desktop 環境下では、スマート カードまたはトークン上に PGP 鍵ペアを 作成したり、コピーしたりすることができます。このような持ち運び可能なデ バイスに PGP 鍵ペアを保管しておくと、コンピューター内に鍵ペアを保存する 必要がありません。また、移動先でも PGP 鍵ペアを手元に置いておけるので、 鍵ペアの脆弱性を軽減し、より強固なセキュリティを確保することができます 。このセクションでは、PGP Desktop とスマート カードを併用する方法につい て説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 スマート カードおよびトークンについて ............................................ 306 スマート カードのプロパティの確認 ................................................... 309 スマート カード上での PGP 鍵ペアの生成 .......................................... 310 スマート カードから鍵リングへの公開鍵のコピー ............................. 312 鍵リングからスマート カードへの鍵ペアのコピー ............................. 312 スマート カードからの鍵の抹消 .......................................................... 314 複数のスマート カードの使用 .............................................................. 314 トークンの特別使用 .............................................................................. 316 305 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 スマート カードおよびトークンについて PGP Desktop でスマート カードを使用するには、互換性のあるスマート カー ド リーダーを用意します。また、スマート カードとトークンのいずれを使用 する際にも、適切なソフトウェア ドライバをあらかじめコンピューターにイン ストールしておいてください。ドライバには PKCS-11 (暗号化トークン インタ ーフェイス規格) ライブラリが含まれている必要があります。 ソフトウェア ドライバには、使用するスマート カードまたはトークンの製造 会社が提供しているものを使用してください。 PGP Desktop は、さまざまな種類のスマート カードを認識します。たとえば、 Athena、AET SafeSign、Axalto (旧 Schlumberger) 、SafeNet (旧 Rainbow) 、 Aladdin、GemPlus 製のスマート カードをサポートしています。また、 ActivCard Gold 2.0 プロファイルを含む米国国防総省共通アクセス カードもサ ポートしています。 上記以外にも、ソフトウェア ドライバに標準規格に基づいた PKCS-11 ライブラ リを備えている製造会社のスマート カードも使用できます。ある製造会社の PKCS-11 ライブラリがコンピューターにインストールされており、これが Mozilla Firefox や Thunderbird などの他の PKCS-11 対応アプリケーションで正し く使用できれば、PGP Desktop でも使用できる可能性があります。 PGP 鍵ペアを作成してスマート カードに保存した際には、パスフレーズではな くスマート カードの PIN を使用して秘密鍵にアクセスします。また PGP Desktop は、キーパッドやバイオメトリック デバイスなどを使用して、認証を 独自に処理するスマート カードもサポートします。PGP Desktop でパスフレー ズのダイアログ ボックスが表示されたら、パスフレーズを入力せずに [OK] を クリックしてください。これにより、デバイス独自の認証方法が使用されます 。 メモ : スマート カード上に鍵ペアを生成すると、その秘密部分はエクスポ ートすることができないので、デバイス内にのみ留まります。復号化と署名 はデバイス上で直接行われます。スマート カード上に直接鍵ペアを生成する のではなく、コンピューター上で鍵ペアを生成してからその鍵ペアをスマー ト カードにコピーする場合は、鍵ペアの秘密部分もコンピューターからエク スポートできます。 米国国防総省共通アクセス カード 米国国防総省共通アクセス カード (CAC) の仕組みは、他のスマート カードと は多少異なります。これらのカードは読み取り専用であり、署名用と暗号化用 に別個の証明書が用意されています。PGP Desktop は、使用目的に基づいてこ の 2 つの証明書を選別します。たとえば、ファイルの署名用の鍵を選択するよ うに求めるメッセージが表示された場合は、CAC の署名用証明書のみが一覧表 示されます。 306 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 JavaCard Axalto スマート カードは JavaCard です。このカード上では、Java アプレット と呼ばれる小さな Java モジュールが実行されます。また、スマート カードの 動作や設定を変更するさまざまなアプレットを実行するよう設定することがで きます。これをパーソナライゼーションと呼びます。JavaCard を PGP Desktop で使用する際は、使用できるパーソナライゼーション プロファイルは数が限ら れています。 また、これらのパーソナライゼーション プロファイルを PGP Desktop で使用 するには、多少の変更が必要です。以下に具体的に説明します。 プロファイルは PKCS-11 サポートを有効にしている必要があります。ほと んどの場合、PKCS-11 をサポートするプロファイルのタイトルには、「 Netscape」または「Entrust」という名前が表示されます。 PGP Desktop 鍵 1 つにつき、PKCS-11 秘密鍵は少なくとも 2 つ使用されま す。そのため PGP Desktop で正しく使用できるようにするには、プロファ イルで利用できる秘密鍵の最大数を 2 つ以上に設定してください。 詳細については、お使いの JavaCard のマニュアルを参照してください。 互換性のあるスマート カード PGP Desktop は以下のカードを識別し、動作します。 ActivCard Gold 2.0 プロファイルを備えた米国国防総省共通アクセス カー ド (CAC) : ActivCard Gold 2.0 プロファイルの詳細については、ActivCard の Web サイト 『www.activcard.com』を参照してください。 ASEKey 1.0 を含む AET SafeSign スマート カード。AET SafeSign が提供 するスマート カードの詳細については、Cryptoshop の Web サイト 『 www.cryptoshop.com』を参照してください。 eToken PRO USB 16K、32K、および 64K などの Aladdin スマート カー ド、Aladin eToken NG-OTP 32K、eToken PRO Java :Aladdin eToken 製品 の詳細については、Aladdin Support の Web サイト 『 http://www.aladdin.com/support/default.asp』を参照してください。 ASEKey USB トークンなどの Athena Smart Card Solutions スマート カ ード :Athena Smart Card Solutions が提供するスマート カードの詳細につ いては、Athena Smart Card の Web サイト 『www.athena-scs.com』を参 照してください。 Cryptoflex 32K などの Axalto (旧称 Schlumberger) スマート カード : Axalto が提供するスマート カードの詳細については、Axalto の Web サイ ト 『www.axalto.com』を参照してください。 Axalto Cyberflex Access 32K V2 :Axalto が提供するスマート カードの詳 細については、Axalto の Web サイト 『www.axalto.com』を参照してくだ さい。 307 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 EMC RSA SecurID 800 (Rev A、B、および D) : EMC が提供するトークン の詳細については、EMC/RSA の Web サイト 『http://www.rsa.com/』を参 照してください。 Gemalto .NET v2 スマート カード :Gemalto スマート カードの詳細につ いては、Gemalto の Web サイト 『http://www.gemalto.com』を参照して ください。 SafesITe および GemXpresso Pro など、GemSafe Libraries 4.2.0-015 (Gold) を使用する GemPlus スマート カード。GemPlus が提供するスマート カ ードの詳細については、GemPlus の Web サイト 『www.gemplus.com』 を参照してください。 ActivClient バージョン 6.1 クライアント ソフトウェアを使用した Giesecke and Devrient Sm@rtCafe Expert 3.2 個人識別確認カード :G&D の PIV カー ドの詳細については、Giesecke and Devrient Web サイト 『 http://www.gi-de.com/』を参照してください。 ActivClient バージョン 6.1 クライアント ソフトウェアを使用した Oberthur ID-One Cosmo V5.2 個人識別確認カード :Oberthur が提供する PIV カード の詳細については、Oberthur の Web サイト 『 http://www.oberthurcs.com/index.aspx』を参照してください。 iKey 2032 を含む SafeNet スマート カード (PGP Desktop は SafeNet iKey 1000 または 4000 とは互換性がありません) :SafeNet が提供するスマート カードおよび USB トークンの詳細については、SafeNet の Web サイト 『 www.safenet-inc.com/products/tokens/index.asp』を参照してください。 T-Systems Telesec NetKey 3.0 および TCOS 3.0 IEI カード :T-Telesec NetKey スマート カードの詳細については、T-Systems の Web サイト 『 www.t-systems.com』を参照してください。 PGP Desktop では、ソフトウェア ドライバーに標準規格に基づいた PKCS-11 ライブラリを備えている他の製造会社のスマート カードも使用できます。 標 準規格以外のスマートカードが PGP Desktop で正しく動作しない場合は、スマ ート カードをコンピューターに接続しても [PGP 鍵] コントロール ボックスに [スマート カード鍵] と表示されません。 スマート カードの認識 PGP Desktop で使用したいスマート カードのプロパティを調べたり、スマート カード上に PGP 鍵ペアを生成する前に、システムで使用できるスマート カー ドを PGP Desktop が認識することを確認する必要があります。 以下は、そのための一般的な要件です。 スマート カードの PKCS-11 をサポートするソフトウェア ドライバが、コ ンピューターにインストールされていることを確認します。 308 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 スマート カードがコンピューターに装着されていることを確認します。 USB トークンを使用する際は、通常 USB ポートに挿入します。またスマー ト カードは、適切なスマート カード リーダーに挿入してください。 ドライバをインストールし、スマート カードを装着したら、PGP Desktop がシ ステムを認識するかどうかを検証します。検証する方法は、次の 2 とおりです 。 PGP Desktop でスマート カードが認識されるかどうかを調べるには、PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックします。 [PGP 鍵] コントロール ボックスの [すべての鍵] の下に [スマート カード 鍵] が表示されると、コンピューター上のスマート カードが認識されてい ることを示しています。 上の方法より少し複雑になりますが、PGP Desktop を開いて [PGP 鍵] コ ントロール ボックスをクリックし、[ファイル] メニューの [新規 PGP 鍵] から選択する方法もあります。[PGP 鍵生成アシスタント] 画面が表示され たら、画面の下部を確認します。トークンに鍵を生成の場合 :<smart card information> チェックボックスが使用できる状態になっていれば (アクテ ィブになっていれば)、コンピューター上のスマート カードが認識されて います。この方法では、PGP Desktop がコンピューター上で認識したスマ ート カードに関する情報も確認でき、最初に述べた方法より便利です。 スマート カードのプロパティの確認 PGP Desktop 画面では、スマート カードに保存されている PGP 鍵は、カード 上に鍵が表示された特別なアイコンで示されます。この PGP 鍵のプロパティを 表示すると、製造会社名、シリアル番号、サポートされている鍵の種類など、 スマート カードに関する情報を確認することができます。 スマート カードのプロパティを表示するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 プロパティを表示する鍵をハイライトします。 [鍵] > [スマート カードのプロパティ] の順に選択します。[PGP スマート カードのプロパティ] ダイアログ ボックスに、鍵が保存されているスマー ト カードについて以下の情報が表示されます。 製造会社名 スマート カードのモデル 309 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 4 スマート カードのシリアル番号 カードに保存できる PGP 鍵の種類や PIN に含めることのできる文字数 などのスマート カードの機能 現在スマート カードに保存されている、サブ鍵を含む秘密鍵の合計 数 [OK] をクリックします。 スマート カード上での PGP 鍵ペアの生成 スマート カード上に PGP 鍵ペアを生成するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 [PGP 鍵] コントロール ボックスをクリックします。スマート カードが検 出されると、[PGP 鍵] コントロール ボックスに [スマート カード鍵] が 表示されます。 4 [ファイル] > [新規 PGP 鍵] の順に選択します。PGP 鍵生成アシスタントの [Introduction (ようこそ)] ダイアログ ボックスが表示されます。 PGP Desktop が一度に認識できるソフトウェア ドライバは、同一のスマ ート カード製造会社の製品に限られます。複数の製造会社のソフトウェア ドライバがコンピューターにインストールされている場合は、PGP Desktop で使用する製造会社のスマート カードを指定する必要があります 。詳細については、「複数のスマート カードの使用 『ページ : 314』」 を参照してください。 5 [トークン上に鍵を生成 : [スマート カードまたはトークンの名前]] チェッ クボックスをオンにして [次へ] をクリックします。名前と電子メールの 割り当て ダイアログ ボックスが表示されます。 6 [フルネーム] フィールドに自分の名前を入力し、[一次電子メール] フィー ルドに電子メール アドレスを入力します。この暗号鍵に電子メール アド レスを複数設定する場合は、[詳細] をクリックし、[その他のアドレス] フ ィールドに電子メール アドレスを入力してください。 ヒント : 実名や電子メール アドレスの入力は必須ではありません。実名 と電子メール アドレスを使うと、他のユーザーにとって公開鍵の所有者 が識別しやすくなります。 310 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 7 詳細な鍵設定を指定するには、[Advanced (詳細設定)] をクリックします 。[鍵詳細設定] ダイアログ ボックスが表示されます。次の設定を指定しま す。 鍵タイプ : RSA (Diffie-Hellman/DSS 鍵はサポートされていません) 鍵のサイズ : 1028 から 2048 まで 有効期限 : 無期限または日付を指定 使用可能アルゴリズム : AES、CAST、TripleDes、IDEA、Twofish 優先アルゴリズム : 使用可能アルゴリズムのいずれかを選択 使用可能なハッシュ : SHA-2-256、SHA-2-384、SHA-2-512、 RIPEMD-160、SHA-1、MD-5 使用するハッシュ : 使用可能ハッシュのいずれかを選択 設定によっては、使用するスマート カードでサポートしていないために使 用できない場合があります。 [OK] をクリックして設定を保存し、[鍵詳細設定] ダイアログ ボックスを 終了します。 8 [次へ] をクリックします。 9 [パスフレーズの割り当て] ダイアログ ボックスで、スマート カードに対 応する PIN を入力します。PIN が暗号鍵のパスフレーズとなります。通常 、セキュリティ強化のため、入力するパスフレーズの文字は画面に表示さ れません。ただし、入力時に誰にも見られていないことがわかっていれば 、[キー操作の表示] チェックボックスをオンにして、パスフレーズの文字 を表示できます。 10 [次へ] をクリックすると、鍵生成処理が開始されます。新しい鍵ペアが、 スマート カード上に直接生成されます。この処理には数分かかる場合があ ります。 11 鍵の生成が完了したら、[次へ] をクリックします。作成した鍵の公開鍵部 分を PGP Global Directory に追加するように求められます。 12 画面上のメッセージを読み、次のいずれかの操作を行います。 13 公開鍵を PGP Global Directory に通知するには、[次へ] をクリックし ます。 公開鍵が PGP Global Directory に通知されないようにするには、[省略] をクリックします。 [完了] をクリックします。以上で、新しい鍵ペアが、スマート カード上に 直接生成されます。 鍵ペアの秘密部分はスマート カードのみに保存されるため、スマート カード をコンピューターから取り外すと、公開鍵のみが鍵リングに残ります。このた め、鍵ペアのアイコンが 1 つの鍵に変化し、鍵ペアの秘密部分がコンピュータ ー上にないことを示します。 311 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 スマート カードから鍵リングへの公開鍵のコピー 暗号鍵をスマート カードに保存しておくと、実際にコンピューターまで行き、 システムの PGP Desktop 鍵リングに、鍵ペアの公開部分を自動的にコピーでき ます。なおコピー先のコンピューターには、互換性のあるスマート カード リ ーダーまたは USB 空きポートが装備されており、PGP Desktop と適切なドライ バがインストールされている必要があります。 公開鍵をスマート カードから別のユーザーの鍵リングにコピーするには、次 の操作を行います。 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 暗号鍵が PGP Desktop に表示されるまで待ちます。公開鍵がコンピュータ ーに自動的にコピーされると、その公開鍵が PGP Desktop 内に表示されま す。 4 スマート カードをコンピューターから取り出します。これで、公開鍵がそ のコンピューターに保存されます。 鍵リングからスマート カードへの鍵ペアのコピー PGP Desktop を使うと、既存の鍵ペアをコンピューターからスマート カードに コピーできます。この機能は、鍵ペアのバックアップ作成や公開鍵の配布時に 便利です。スマート カードにコピーできるのは、RSA 鍵のみです。 メモ : ただし、Diffie-Hellman/DSS 鍵をスマート カードにコピーすることは できません。 スマート カードに鍵ペアをコピーする操作は、スマート カード上に鍵ペアを 直接作成する操作とは異なります。直接作成する操作は、スマート カードでは 利用できません。鍵ペアを直接スマート カード上に作成した場合、秘密鍵を使 用するには、その鍵ペアが入っているカードをコンピューターに差し込む必要 があります。 スマート カードにコピーする既存の鍵ペアがある場合、鍵ペアの秘密部分は、 コンピューターから削除しない限りスマート カードとコンピューターの両方に 保存されます。 既存の鍵ペアをスマート カードにコピーする主な理由は次の 2 つです。 312 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 コンピューター上の鍵ペアをバックアップしたり、公開鍵をスマート カー ドから他のユーザーの鍵リングにコピーしたりする。この場合、同じ秘密 鍵のコピーを 2 つ持つことになります。1 つは最初に作成したコンピュータ ー上に、もう 1 つはスマート カード上に保存されます。 スマート カード上に直接作成したときのように、これを唯一の秘密鍵とし て使用する。この場合は、PGP Desktop のオプションを使用して、秘密鍵 をコンピューターから削除してください。PGP 鍵ペアをコンピューター上 に作成した後で、セキュリティ強化のためにスマート カードを使用して鍵 ペアを管理する場合において、かつ新しい鍵ペアの作成を行わないときに 、コンピューターから秘密鍵を削除するオプションを選択します。 PGP 鍵ペアをスマート カードにコピーすると、スマート カード上の鍵ペアの パスフレーズは、自動的にスマート カードの PIN になります。ただし、コンピ ューター上にあるコピー元の鍵ペアのパスフレーズは変わりません。パスフレ ーズがそれぞれ異なる同一の鍵ペアが、2 つ存在することになります。 コンピューターから秘密鍵を削除し、スマート カード上の秘密鍵のみを保持し ておく際には、その秘密鍵のパスフレーズとしてスマート カードの PIN を使用 します。 既存の PGP 鍵ペアをスマート カードにコピーするには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 コピーする鍵ペアを右クリックし、[追加先] >[スマート カード鍵] の順に 選択します。コピー後、コピーした鍵ペアの PGP パスフレーズが、スマー ト カードの PIN に自動的に変更されるという警告ダイアログ ボックスが 表示されます。 4 [OK] をクリックして続行します。[PGP Enter Passphrase (PGP パスフレー ズの入力)] ダイアログ ボックスが表示されます。 5 暗号鍵のパスフレーズを入力し、[OK] をクリックします。[PGP Enter Passphrase (PGP パスフレーズの入力)] ダイアログ ボックスが表示されま す。 6 スマート カードの PIN を入力し、[OK] をクリックします。鍵ペアがスマ ート カードにコピーされます。コンピューター上の鍵ペアの秘密鍵を鍵リ ングから削除して、スマート カード上にのみ保存するかどうかを尋ねるダ イアログが表示されます。 7 次のいずれか 1 つを実行します。 鍵リングから鍵ペアの秘密部分を削除するには、[はい] をクリックし ます。鍵ペアの秘密部分がコンピューター上の鍵リングから削除され 、スマート カード上にあるものが唯一の秘密鍵になります。 313 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 鍵リングに鍵ペアの秘密部分を残すには、[いいえ] をクリックします 。秘密部分は削除されません。この場合、同じ鍵ペアが 2 つ、コンピ ューター上とスマート カード上に 1 つづつ存在することになります 。 スマート カードからの鍵の抹消 スマート カードに保存されているすべてのデータを削除するには、[PGP スマ ート カードのプロパティ] ダイアログ ボックスから[Wipe Contents (データ の抹消)] 機能を使用します。 スマート カード上のデータを抹消するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 [PGP 鍵] ボックスで、[スマート カード鍵] を選択します。スマート カー ド上の PGP 鍵が表示されます。 4 データを抹消するスマート カードまたはトークンを選択します。 5 [鍵] > [Wipe Smart Card (スマート カードからのデータの抹消)] の順に 選択します。スマート カードまたはトークン上にある鍵をすべて削除する かどうかを確認するメッセージが表示されます。 6 [OK] をクリックします。[PGP Enter Passphrase (PGP パスフレーズの入力 )] ダイアログ ボックスが表示されます。 7 このスマート カードの PIN を入力します。通常、セキュリティ強化のため 、入力するパスフレーズの文字は画面に表示されません。ただし、入力時 に誰にも見られていないことがわかっていれば、[キー操作の表示] チェッ クボックスをオンにして、パスフレーズの文字を表示できます。 8 [OK] をクリックします。これで、スマート カード上に保存されている鍵 がすべて削除されます。 複数のスマート カードの使用 PGP Desktop は、さまざまな製造会社のスマート カードをサポートしています 。ただし、同時に使用できるのは、同じ製造会社のスマート カードだけです。 314 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 PGP Desktop を起動すると、特定の製造会社のスマート カードをサポートする ソフトウェア ドライバがコンピューター上で検索されます。条件に合ったソフ トウェア ドライバが見つかると、その製造会社のスマート カードを使用する ものとして、見つかったドライバが読み込まれます。 ある製造会社のソフトウェア ドライバだけがコンピューターにインストールさ れている場合は、何も問題はありません。PGP Desktop によってそのソフトウ ェア ドライバが自動的に検出され、対応する製造会社のスマート カードが使 用できるようになります。カードの認識とドライバの検索は自動的に行われる ので、特別な操作は必要ありません。 ただし、場合によっては、複数の製造会社によるスマート カードを使用するこ とが必要になることがあります。こうした状況が発生し、複数の製造元による ソフトウェア ドライバがコンピューターにインストールされている場合、使用 するスマート カードを PGP Desktop に伝える必要があります。そうしないと 、PGP Desktop はどのソフトウェア ドライバを使用したらよいか判断できず、 希望のものが選択されるとは限りません。 使用するスマート カードのソフトウェア ドライバを指定するには 1 PGP Desktop を開きます。 2 [ツール] > [PGP オプション] の順に選択します。[PGP オプション] ダイア ログ ボックスが表示されます。 3 [鍵] タブをクリックします。 4 [同期化] セクションで、[スマート カードおよびトークンに同期] リスト から使用するソフトウェア ドライバの製造会社を選択します。 コンピューター上に 1 つの製造会社のソフトウェア ドライバしかイ ンストールされていない場合は、デフォルト設定の [自動的] を使用 します。 スマート カードをまったく使用しないようにするには、[なし] を選 択します。 リストにない製造会社を指定するには、[その他] を選択します。[ス マート カード ドライバの選択] 画面が開きます。この画面で、適切 なスマート カードの製造会社のソフトウェア ドライバである DLL フ ァイルを選択し、[開く] をクリックします。これで、選択したソフト ウェア ドライバがサポートしているスマート カードを使用できるよ うになります。 この時点で PGP Desktop では、選択された製造会社のスマート カードが使用 されるものと判断します。製造会社の異なるスマート カードをコンピューター に追加した場合、PGP Desktop にはそのスマート カードは認識されません。別 のスマート カード製造会社に変更するには、上記の手順を実行する必要があり ます。 315 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 トークンの特別使用 コンピューターのブート ドライブがディスク全体暗号化で保護されている場合 、PGP Desktop では起動時の認証に Aladdin eToken Pro USB トークンが使用さ れます。PGP ディスク全体暗号化を使用したブート ドライブの保護の詳細につ いては、「PGP ディスク全体暗号化によるディスクの保護 『ページ : 151』」 を参照してください。このときに使用できるのは Aladdin eToken Pro USB トー クンのみです。このトークンの設定方法については、「Aladdin eToken の設定 『ページ : 316』」を参照してください。 Aladdin eToken の設定 PGP Desktop for Windows の PGP ディスク全体暗号化機能でトークンを使用す るときは、PGP 鍵ペアを格納した Aladdin eToken Pro USB トークンが必要です 。 PGP ディスク全体暗号化で使用する Aladdin eToken Pro USB トークンを作 成するには 1 Aladdin eToken Pro USB トークンを入手します。ディスク全体暗号化に使 用できるのはこのトークンだけです。対応しているモデルは、16K、32K、 64K の 3 つです。16K モデルと 32K モデルは 1,024 ビットの鍵を、64K モ デルは 2,048 ビット以下の鍵をそれぞれサポートしています。 2 Aladdin の適切なドライバー ソフトウェアがコンピューターにインストー ルされていることを確認してください。Aladdin ドライバーの詳細について は、「Aladdin eToken に必要なドライバー 『ページ : 171』」を参照して ください。 ドライバー ソフトウェアをインストールすると、PGP Desktop の [PGP 鍵 ] コントロール ボックスに [スマート カード鍵] と表示されます。 3 PGP Desktop for Windows を開く 4 Aladdin eToken に鍵ペアを作成するか、ショートカット メニューの [追加 先] を使用してトークンに既存の鍵ペアをコピーします。鍵ペアの作成手 順については、「スマート カード上での PGP 鍵ペアの作成 『ページ : 310の"スマート カード上での PGP 鍵ペアの生成"参照先 : 』」を参照して ください。また、鍵ペアのコピー手順については、「鍵リングからスマート カードへの鍵ペアのコピー 『ページ : 312』」を参照してください。 既存の鍵ペアをトークンに送信する場合は、1024 ビットまたは 2048 ビッ トの RSA 鍵であることが必要です。Aladdin eToken Pro トークンでは、現 在その他の鍵サイズおよび DH/DSS 鍵をサポートしていません。 316 PGP Desktop for Windows スマート カードおよびトークンへの鍵の保存 トークン上に鍵ペアを作成するか、既存の鍵ペアをトークンにコピーする と、鍵ペアのパスフレーズがトークンの PIN に変わります。Aladdin eToken Pro トークンのデフォルトの PIN は 1234567890 です。この PIN は 事前に設定されたものなので、Aladdin ソフトウェアで必ず変更してくださ い。 5 これで、PGP のディスク全体暗号化で Aladdin eToken 上の PGP 鍵ペアを使 用できます。 317 A PGP Desktop オプションの 設定 PGP Desktop は、多様なニーズを満たすように設定されていますが、必要に応 じて一部の設定を調整することもできます。このセクションでは、PGP Desktop で設定できるオプションについて説明します。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 この章の内容 [PGP オプション] ダイアログ ボックスへのアクセス ......................... 319 全般オプション...................................................................................... 320 鍵オプション ......................................................................................... 322 マスター鍵オプション ........................................................................... 325 メッセージング オプション .................................................................. 325 PGP NetShare オプション ..................................................................... 332 ディスク オプション ............................................................................ 334 通知機能オプション .............................................................................. 337 詳細オプション...................................................................................... 339 [PGP オプション] ダイアログ ボックスへのアクセス [PGP オプション] にアクセスするには 1 次のいずれか 1 つを実行します。 Windows のシステム トレイの [PGP トレイ] アイコンをクリックし 、[オプション] を選択します。 319 PGP Desktop for Windows PGP Desktop オプションの設定 PGP Desktop を開いて、[ツール] > [PGP] [オプション] の順に選択し ます。 2 タブを選択して、必要な変更を加えます。特定のタブで操作を終えたら、 別のタブを選択します。 3 変更を保存して終了するには、[OK] をクリックします。また、変更を取 り消すには、[キャンセル] をクリックします。 全般オプション [全般] タブでは、PGP Desktop 全体に関わるさまざまな設定を行います。 [環境設定] ダイアログ ボックスの [全般] タブには、次のオプションがありま す。 PGP アイコンを Windows システム トレイに表示。このチェック ボック スをオンにすると、PGP Desktop がアクティブになっているとき、 Windows システム トレイに [PGP] アイコンが表示されます。[PGP トレ イ] アイコンからは、PGP Desktop のさまざまな機能にすばやくアクセス することができます。[PGP] アイコンが Windows システム トレイに表示 されないようにするには、このチェックボックスをオフにしてください。 [PGP] アイコンを復元するには、PGP Desktop を起動し、[ツール] メニュ ーから [PGP オプション] を選択します。[全般] タブにアクセスし、チェ ックボックスをオンにします。 メモ :PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが必要になることがあります。 Windows システム トレイから [PGP トレイ] アイコンを削除しても、PGP Desktop サービスはシャット ダウンされません。Windows システム トレ イから [PGP トレイ] アイコンを削除しても、PGP Desktop サービスは継 続されます。 PGP サービスを停止するには、[PGP トレイ] アイコンをクリックします。 表示されるコマンドの一覧から [StopPGPServices (PGP サービスの停止 )] を選択します。警告ダイアログ ボックスが表示されます。ここで、PGP サービスを停止することを確認する必要があります。 メモ : 必要がないかぎり、PGP Desktop サービスを停止しないでくださ い。 [My Passphrase (マイ パスフレーズ)] : パスフレーズを保存するオプショ ンがあります。 320 PGP Desktop for Windows PGP Desktop オプションの設定 [Save my passphrase for the current Windows session (パスフレ ーズを現在の Windows セッションで保存する)] : コンピューターを ログオフするまで、パスフレーズがメモリに自動的に保存されます。 これをパスフレーズのキャッシュといいます。このオプションを有効 にすると、公開鍵ごとに 1 回、パスフレーズの入力を要求するメッセ ージが表示されます。その後は、コンピューターをログオフするまで 、同じ鍵のためにパスフレーズを入力する必要はありません。 注意 : このオプションをオンにしたら、コンピューターから離れるとき には必ずログオフしてください。ログオフしないと、パスフレーズがキャ ッシュに残ったままになる可能性があります。そのため、コンピューター から離れている間に、他のユーザーに鍵を使用され、暗号化したメッセー ジを解読されたり、メッセージを暗号化されたりする可能性があります。 コンピューターに長時間ログオンすることが多い場合は、他のパスフレー ズ キャッシュ オプションを選択してください。 [Save my passphrase for X (hh:mm:ss) (パスフレーズを保存する期 間 (時 : 分 : 秒))] : パスフレーズが指定した期間だけメモリに保存 されます。このオプションをオンにすると、初回だけ署名と復号化の 際にパスフレーズを入力するよう求めるメッセージが表示されます。 その後は、指定した期間が経過するまで、パスフレーズを入力する必 要がなくなります。デフォルト設定は、00:02:00 (2 分) です。 [Do not save my passphrase (自分のパスフレーズを保存しない)] : パスフレーズがメモリに保存されなくなります。このオプションを有 効にすると、パスフレーズが必要となる操作を実行するたびにパスフ レーズの入力が必要になります。 パスフレーズを保存しないと選択した場合でも、PGP NetShare に追加 されたフォルダー内のすべてのファイルにアクセスするためにパスフレ ーズを一度だけ入力するように求められるだけです。 製品の言語。このオプションを使用すると、PGP Desktop ユーザー イン ターフェイスの言語を選択することができます。ドロップダウン リストか ら、次のオプションを選択してください。英語 (デフォルト)、ドイツ語、 フランス語、日本語、およびスペイン語 メモ : 言語を変更したら、コンピューターからログオフし、再度ログイ ンしてください。 [PGP Universal 同期] : PGP Universal Server で管理された環境では、ポリ シーが最後に更新された日時とログが最後に送信された日時がこのフィー ルドに表示されます。 321 PGP Desktop for Windows PGP Desktop オプションの設定 鍵オプション [鍵] タブでは、PGP Desktop 鍵の設定を行うことができます。 [鍵] タブでは、以下のオプションを変更できます。 [同期化] :これらの設定では、鍵リングの鍵を共用サーバーとどのように同 期化するかを指定します。 [Synchronize with keyservers daily (毎日、鍵サーバーと同期する)] :このオプションを選択すると、PGP Desktop は、鍵リング上の公開 鍵を鍵サーバーのリストとの間で同期する処理を毎日実行します。こ のリストには、PGP Global Directory が含まれます。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションが必要になることがあります。 このオプションがオンのときは、公開鍵が変更されると、新しい公開鍵 が自動的にダウンロードされます。また、鍵サーバーから削除された公 開鍵は、ローカルの鍵リング上でも自動的に無効になります。 322 PGP Desktop for Windows PGP Desktop オプションの設定 PGP Desktop を使用して鍵リング上の鍵ペアに変更を加えても、使用し ているコンピューターから鍵サーバーにその変更が自動的にアップロー ドされることはありません。変更した鍵は鍵サーバーに手動でアップロ ードする必要があります。PGP Desktop を終了する際に、変更した鍵を アップロードするよう指示が表示されます。別な方法で鍵を鍵サーバー に送信するには、変更した鍵を右クリックし、表示されるショートカッ ト メニューから [Send To (送信)] を選択して、リストから適切な鍵サ ーバーを選択します。 署名の検証時に自動的に鍵を検索する :このオプションを有効にする と、公開鍵がローカル鍵リングで入手できない場合に、PGP Desktop が設定済みの鍵サーバーから検証された鍵を検索するように指定でき ます。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合、このオプションは使用されません。PGP Universal Server では、鍵が検索されるかどうか、また、検出された場合にキャッ シュされるかどうかが定義されます。PGP Universal Server によって管理 されている環境で検索された鍵は、鍵リングに保存されません。 [鍵の検出時] : 公開鍵が見つかった場合、次の 3 つのオプションがあ ります。 鍵リングに保存しない。設定されている鍵サーバーで見つかった 公開鍵は、現在対処している署名を検証するために、1 回だけ使 用されます。鍵はその後も鍵リングに保存されません。 鍵リングに保存するかどうか尋ねる。見つかった公開鍵をローカ ルの鍵リングに保存するかどうかを尋ねるように指定します。 鍵を鍵リングに保存する。 見つかった受信者の公開鍵がローカ ルの鍵リングに自動的に保存されます。 これらのオプションは S/MIME 電子メール メッセージに含まれる X.509 証明書にも適用されます。指定した場合、PGP Desktop によって X.509 証明書が抽出され、受信者の鍵リングにインポートされます。インポー トされた証明書を使用して電子メールを暗号化する場合は、証明書に手 動で署名してください。 鍵リングをトークンおよびスマート カードと同期する。スマート カ ードおよびトークンと同期する方法を以下のように指定できます。 自動。コンピューター上で最初に見つかったスマート カード/ト ークン製造会社の PKCS-11 ドライバーが自動的に読み込まれ、 使用されます。1 つの製造会社の PKCS-11 ドライバーしかコンピ ューターにインストールされていない場合は、この設定を選択し てください。 323 PGP Desktop for Windows PGP Desktop オプションの設定 スマート カード/トークン製造会社のリスト。リストから選択し たスマート カード/トークン製造会社の PKCS-11 ドライバーが読 み込まれ、使用されます。複数の製造会社の PKCS-11 ドライバ ーがコンピューターにインストールされている場合は、ドロップ ダウン リストから使用する製造会社のスマート カード/トーク ンを指定してください。 その他。このオプションを選択すると、[スマート カード ドラ イバーの選択] ダイアログ ボックスが表示され、PKCS-11 ドラ イバーを選択できるようになります。ドライバーを選択すると、 その製造会社のスマートカード/トークンが認識され、使用され ます。使用したいスマート カード/トークンの製造会社がリスト に含まれていないときに、この設定を使用してください。 ある製造会社の PKCS-11 ライブラリがコンピューターにインストー ルされており、これが Mozilla Firefox や Thunderbird などの他の PKCS-11 対応アプリケーションで正しく使用できれば、PGP Desktop でも使用できる可能性があります。 まれに標準規格以外のスマートカードが PGP Desktop で正しく動作 しない場合は、スマート カードをコンピューターに接続しても [PGP 鍵] コントロール ボックスに [スマート カード鍵] と表示され ません。 なし。コンピューターに接続されているスマート カードまたは トークンは検出されず、使用もできません。 鍵サーバー。このオプションをクリックすると、[PGP 鍵サーバー リ スト] ダイアログ ボックスが表示されます。このダイアログ ボック スでは、鍵を自動的に検索する際に使用する鍵サーバーのリストを追 加、編集、または削除できます。 バックアップ。これらの設定では、鍵をバックアップする時間と場所を指 定します。 PGP の終了時に鍵をバックアップ。 このオプションをオンにすると 、指定した場所に鍵が自動的にバックアップされます。 鍵リング フォルダー (デフォルト)。 コンピューター上のデフ ォルトの鍵リング フォルダーに鍵がバックアップされます。デ フォルトの場所は "マイ ドキュメント" フォルダーです。 バックアップする場所。 コンピューター上の指定した場所に、 鍵をバックアップします。フルパスを入力するか、[参照] をク リックして場所を指定します。 324 PGP Desktop for Windows PGP Desktop オプションの設定 マスター鍵オプション [マスター鍵] リストは、メッセージング、ディスク暗号化、PGP NetShare、お よび PGP Zip 用の鍵を選択するときに毎回、デフォルトでセットとして追加さ れる鍵です。これにより、繰り返し使用する公開鍵を [Recipients (受信者)] フ ィールドにドラッグする手間が省けます。 マスター鍵リストを使用するには、[Use Master Key List (マスター鍵リストの 使用)] チェック ボックスをオンにします。このボックスをオンにしなければ、 マスター鍵リストの鍵の追加や削除はできません。 マスター鍵の追加方法については、「マスター鍵リストへの鍵の追加 『ページ : 57』」を参照してください。マスター鍵の削除方法については、「マスター鍵リ ストからの鍵の削除 『ページ : 58』」を参照してください。 メモ : セットアップ アシスタントを使用して鍵を生成すると、その鍵はマ スター鍵リストに自動的に追加されます。鍵の生成を省略して PGP Desktop に鍵をインポートした場合、鍵はマスター鍵リストに自動的には追加されま せん。 メッセージング オプション [メッセージング] タブでは、電子メールと IM メッセージングの設定を行います 。 325 PGP Desktop for Windows PGP Desktop オプションの設定 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 [メッセージング] タブでは、以下のオプションを設定することができます。 セキュア電子メール : PGP Desktop ですべての電子メール アカウントを 自動的にセキュリティ保護するには、[セキュア電子メール] チェック ボッ クスをオンにします。オンにすると、受信および送信電子メール メッセー ジの両方が PGP Desktop を通るようになり、適切なポリシーに基づいてメ ッセージがセキュリティ保護されます。 PGP Desktop でメッセージが自動的に保護されないようにするには、[セキ ュア電子メール] チェックボックスをオフにしてください。 [セキュア電子メール] チェック ボックスをオンにすると、以下のオプショ ンが追加で選択できます。 326 PGP Desktop for Windows PGP Desktop オプションの設定 新しいアカウントを検出 : このチェックボックスをオンにすると、 電子メールに関する活動が PGP Desktop によって監視され、新しい電 子メール アカウントも自動的に検出されます。新しいアカウントが 検出されると、そのアカウントから送信されるメッセージをセキュリ ティ保護するかどうかを尋ねるメッセージが PGP Desktop で表示され ます。 メモ : PGP Universal によって管理されている環境で PGP Desktop を使用 している場合に、ワイルドカード (*) バインディングを使用すると、す べてのメール サービスが「*」のバインディングに一致するので、このオ プションは機能しなくなります。そのため、このオプションを選択しなく ても、すべての新規アカウントが自動的にポリシーにそって作成されます 。 自分の電子メール アドレスを鍵に自動的に追加する : このチェッ クボックスをオンにすると、メッセージを送信するために使用する電 子メール アドレスが自分の鍵に PGP Desktop によって自動的に追加 されます。このオプションはデフォルトで選択されています。PGP Universal Server によって管理されている環境で PGP Desktop を使用 している場合、このオプションが無効になる可能性があります。 このチェックボックスをオフにすると、電子メール アドレスは自分の 鍵に自動的には追加されません。自分の電子メール アドレスを知られ たくない場合など、プライバシーを保護する場合に使用します。 受信メールに注釈を付けてください。このチェック ボックスをオン にすると、PGP Desktop が入力メッセージを処理した際に行ったアク ションの詳細な説明テキストを、受信電子メールに付けることができ ます。コメントのレベルは、以下の 3 つから選択できます。 最大 : 詳細なコメント。PGP Desktop によりメッセージ処理中 に実行されたすべてのアクションの詳細情報が、受信電子メール に追加されます。 標準 : 不具合と成功。このオプションはデフォルトで選択され ます。不明な鍵や不明な署名者など処理上の不具合が発生すると 、コメントを付与します。この設定では、復号化または署名、あ るいはその両方が適用されたすべての電子メールに注釈が挿入さ れますが、個別の添付ファイルはリストされません。 最小 : 不具合のみ。不明な鍵や不明な署名者が検出された場合 など、処理が失敗した場合にのみ注釈が挿入されます。 [セキュアなメッセージにコメントを追加] : 有効になっている場合、 暗号化または署名するメッセージにここで入力するテキストが毎回挿 入されます。入力したコメントは、セキュリティ保護されたメッセー ジの [--PGP メッセージ ブロックの開始--] テキスト ヘッダーと PGP Desktop バージョン番号の下に表示されます。これらのコメント は、復号化された電子メールでは表示されません。 327 PGP Desktop for Windows PGP Desktop オプションの設定 [IMAP アカウントの送信済みメッセージのコピーを保護する] : このオ プションはスタンドアロン インストール環境でのみ使用できます。 IMAP の [送信済みアイテム] フォルダーにコピー中に電子メール メ ッセージを保護する場合に、このチェックボックスをオンします。こ のオプションではセキュリティが強化されるため、IMAP アカウント を使用して送信した機密電子メールを保護できます。 このオプションを選択した場合、送信済みメッセージのコピーをセキュ アにする方法を次から選択します。 [暗号化のみ (推奨)] : このオプションはデフォルトで選択されま す。[送信済みアイテム] フォルダーにメッセージをコピー中に暗 号化する場合に、このオプションを選択します。 [暗号化と署名] : [送信済みアイテム] フォルダーにメッセージを コピー中に暗号化および署名する場合に、このオプションを選択 します。 署名のみ :[送信済みアイテム] フォルダーにメッセージをコピー 中に署名 (暗号化しない) する場合に、このオプションを選択し ます。 フォルダーの名前が PGP Desktop で認識される名前でない場合 (たとえ ば、[送信済みアイテム] の代わりに [送信メッセージ] という名前がフ ォルダーに付いている場合) は、このフォルダー名がメッセージの送信 先かつ通常の保存先であることを確認するメッセージが表示されます。 このフォルダーにコピーされる最初のメッセージは暗号化も署名も行わ れませんが、それ以降にこのフォルダーにコピーされるメッセージでは 暗号化または署名、あるいはその両方が行われます。 PGP 暗号化ボタンと署名ボタンを Outlook で有効にする。Microsoft Outlook で PGP Desktop 暗号化ボタンと署名ボタンを使用する場合に 、このチェック ボックスをオンにします。このオプションはデフォ ルトでは選択されていません。暗号化ボタンと署名ボタンの詳細につ いては、「Microsoft Outlook で署名ボタンと暗号化ボタンを使用 『 ページ : 99』」を参照してください。 メモ :PGP Desktop によって管理された環境では、あらかじめテキストが 入力されていることがあります。 AOL® インスタント メッセージ (AIM®) の暗号化 : PGP Desktop と互 換性のあるインスタント メッセージング ソフトウェアを使用したメッセ ージのやり取りが、自動的に暗号化されるようになります。 AOL® Instant Messenger™ および互換性のあるソフトウェア アプリケー ションがサポートされています。 328 PGP Desktop for Windows PGP Desktop オプションの設定 AIM ユーザー情報に「PGP 有効化」を表示する : このオプションをオ ンにすると、[AIM 友だちリスト] や [友だちの情報を見る] コマンド などのスクリーン ネームに [PGP 有効化] が表示されます。このオプ ションがオフの場合、スクリーン ネームに [PGP 有効化] は表示され ません。この文字列の表示形態は、ご使用のインスタント メッセー ジング クライアントにより異なります。 友だちアイコン上に PGP ロック アイコンを表示します。このオプシ ョンをオンにすると、PGP 固有のロック アイコンが友だちアイコン とともに表示され、IM セッションが保護されていることを示します 。このオプションをオフにすると、通常のアイコンが表示されます。 プロキシ オプション 詳細なメッセージング オプションにアクセスするには、[プロキシ オプション] ボタンをクリックします。 [電子メール] タブ 電子メールの送受信にコンピューターでプロキシを手動で構成する必要がある 場合、このタブを使用します。 PGP Desktop は、電子メール アプリケーションと電子メールを配信するメール サーバーの間に「存在」します。この構成により、PGP Desktop が電子メール ト ラフィックを自動的にフィルタしたり、プロキシ処理したりすることが可能に なります。また、ユーザーの作業を中断させることなく、適切なポリシーに基 づいてメッセージを保護することができます。 通常、PGP プロキシ設定を変更する必要はありません。ただし、特定の環境で は、プロキシ設定を手作業で指定する必要があります。ネットワーク管理者の 推奨する設定を選択してください。 自動 : これがデフォルトの推奨設定です。この設定では、電子メールは 自動的かつ透過的に保護されます。手動プロキシ設定を使用するように指 示されている場合以外は、このオプションを使用してください。 329 PGP Desktop for Windows PGP Desktop オプションの設定 手動プロキシ。 このオプションは、コンピューターでメールに SSH トン ネリングを使用している場合や、PGP Desktop を実行しているコンピュー ターをメール サーバーとして使用している場合に選択します。詳細につい ては、「手動モードの設定 『ページ : 330』」を参照してください。 [インスタント メッセージング] タブ コンピューターがネットワーク ファイアウォールで保護されている場合、IM チャット セッション用に AIM で使用されるネットワーク ポートの変更が必要 となることがあります。通常、この設定を変更する必要はありません。 手動プロキシの使用 このチェックボックスをオンにして、IM チャット セ ッション用に AIM で使用されるネットワーク ポートを変更します。デフ ォルト (5190) 以外のポート番号に値を変更します。この設定を変更する 必要がある場合はネットワーク管理者からの指示があります。また、その 場合は、正しいポート番号についても指示があります。 手動モードの設定 電子メール プロキシに対して手動を指定した場合、電子メール クライアント 内の設定同様、[PGP メッセージング] 設定も構成する必要があります (使用す る値については、システム管理者に問い合わせてください)。 1 [PGP メッセージング] コントロール ボックスで、手動モードにするサー ビスを選択します。[新規サービス] パネルが表示されます。 2 [サーバー設定] をクリックします。指定したサービスの [サーバー設定] 画 面が表示されます。 3 新しいサービスで使用するサーバー タイプを選択します。 [インターネット メール] : POP または IMAP でメールに接続するスタ ンドアロンの PGP Desktop ユーザーの場合。 [PGP Universal] : PGP Universal Server で管理された環境の PGP Desktop ユーザーの場合。正しい設定方法の詳細については、PGP Universal Server 管理者に問い合わせてください。 330 PGP Desktop for Windows PGP Desktop オプションの設定 4 [MAPI/Exchange] : Microsoft Exchange/MAPI サーバーのクライアン トとして Microsoft Outlook を使用している PGP Desktop ユーザーの 場合。正しい設定方法については、電子メールの管理者に問い合わせ てください。 [Lotus Notes] : Lotus Domino サーバーの電子メール クライアントと して Lotus Notes を使用している PGP Desktop ユーザーの場合。正し い設定方法については、電子メールの管理者に問い合わせてください 。 [受信メール サーバー] セクションで、[ローカル ポートをリダイレクト] フィールドにポート番号を入力します。 PGP Desktop は、メール サーバーからメール クライアントに送信される 電子メール メッセージを、このポートで監視します。 5 [送信メール サーバー (SMTP)] セクションで、[ローカル ポートをリダイ レクト] フィールドにポート番号を入力します。 PGP Desktop は、メール クライアントからメール サーバーに送信される 電子メール メッセージを、このポートで監視します。 6 [OK] をクリックします。[サーバー設定] ダイアログ ボックスが閉じます 。 7 電子メール クライアントを開いて、電子メール アカウントの設定を開き ます (アカウントが複数ある場合は、各アカウントをそれぞれ設定してく ださい)。 8 Microsoft Outlook の [受信メール サーバー (POP3 または IMAP)] と [送信 メール サーバー (SMTP)] の両方の設定に、「127.0.0.1」と入力します。 9 [詳細設定] をクリックします。 331 PGP Desktop for Windows PGP Desktop オプションの設定 10 [インターネット電子メール設定] ダイアログ ボックスで [詳細設定] をク リックします。[インターネット電子メール設定] ダイアログ ボックスの [ 詳細] タブが表示されます。 11 受信メール サーバー (POP3 または IMAP) のボックスに、[ローカル ポー トをリダイレクト] フィールドで受信メール サーバーに対して指定したポ ート番号 (手順 7) を入力します。 12 送信メール サーバー (SMTP) のボックスに、[ローカル ポートをリダイ レクト] フィールドで送信メール サーバーに対して指定したポート番号 ( 手順 8) を入力します。 13 [OK] をクリックして、アカウントの設定を完了します。以上で、選択した サービスに対して手動モードが設定されます。 14 コンピューターでサービスに対する手動モードの設定が完了したら、コン ピューターを再起動してください。 PGP NetShare オプション 共有のネットワーク ファイルを保護する際に、[NetShare] オプションのタブ を使用して設定を変更します。 332 PGP Desktop for Windows PGP Desktop オプションの設定 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 フォルダーの概観 : PGP NetShare で保護されているファイルやフォルダ ーに小さい PGP ロック アイコンが表示されるようにするには、[セキュリ ティ保護されたファイルとフォルダーに PGP アイコンを重ねる] を選択し ます。 詳細 : [個々のファイルを保護する] を選択して、保護フォルダーの外に ある個々のファイルを PGP NetShare を使用して保護します。 メモ : PGP Universal Server によって管理されている環境で PGP Desktop を使用している場合は、PGP 管理者がこのオプションを使用できないよ うにしている場合があります。 PGP NetShare を使用して、保護フォルダーの外にある個別のファイルを保護す る操作の詳細については、「保護フォルダーの外にあるファイルの保護 『ペー ジ : 272』」を参照してください。 333 PGP Desktop for Windows PGP Desktop オプションの設定 ディスク オプション [ディスク] タブには、PGP 仮想ディスク機能を使用して保護されたボリューム に適用される設定が含まれます。[ディスク] タブには、PGP シュレッダのオプ ションも表示されます。 メモ : PGP Universal Server 管理環境で PGP Desktop を使用している場合は 、PGP Universal Server 管理者が特定の機能を無効にしている場合がありま す。機能が無効にされると、左側の制御項目が表示されなくなり、その機能 に対するメニューやその他のオプションが使用できなくなります。このユー ザー ガイドに記載された図は、すべての機能が有効になっているデフォルト のインストール環境を示しています。PGP Universal Server 管理者がこの機 能を無効にしている場合は、ここに記載された説明は当てはまりません。 メモ : PGP Universal によって管理されている環境で PGP Desktop を使用し ている場合、これらのオプションはすでに設定されている場合もあります。 PGP ディスクのマウント解除 PGP 仮想ディスク ボリュームのオプションには以下のものがあります。 ファイルが開いている状態でも PGP 仮想ディスクのマウント解除を許可す る。 通常、PGP 仮想ディスク ボリューム上のファイルを開いていると、 そのボリュームのマウントを自動的に解除することはできません。しかし このオプションをオンにすると、ファイルが開いていてもマウントを解除 できるようになります (「強制マウント解除」と呼びます)。 334 PGP Desktop for Windows PGP Desktop オプションの設定 マウント解除の前にこのメッセージを表示しないを選択すると、ファ イルが開いている可能性があるというメッセージを表示せずに、PGP 仮想ディスク ボリュームのマウントを強制的に解除できるようにな ります。 警告 : ファイルを開いている状態でPGP仮想ディスク ボリュームのマウ ントを強制解除すると、データが失われることがあるので、注意してくだ さい。 コンピューターがスリープ状態に入るときにマウント解除する。このチェ ック ボックスをオンにすると、コンピューターがスリープ モード (スタ ンバイ、休止状態などあらゆるスリープ モードに適用されます) に切り替 わるときに、PGP 仮想ディスク ボリュームのマウントがすべて自動的に 解除されます。 PGP 仮想ディスクのマウントが解除できないときは、ディスクをマウ ント解除できない場合はスリープ状態にしない を選択して、コンピ ューターがスリープ状態にならないようにします。このオプションは 、Microsoft Windows Vista システムでは使用できません。Windows Vista では、アプリケーションによるスリープ状態の防止が許可されて いません。 警告 :休止処理が呼び出されたときにPGP仮想ディスクが開いていると、 Windowsによって機密性の高いデータがディスクに書き込まれるため、 Windowsの休止は本質的に安全ではありません。PGP Corporationでは、 休止を使用する場合はPGPディスク全体暗号化機能を使用するか、または [コンピューターがスリープ状態に入るときにマウント解除する] オプシ ョンおよび [ディスクをマウント解除できない場合はスリープ状態にしな い] オプションを有効にしておくことを推奨しています。 完全削除 PGP シュレッダ機能を使用すると、機密ファイルを安全に削除できます。他の 設定同様、PGP シュレッダ機能では提供されるセキュリティ レベルの調整が可 能です。 PGP シュレッダ機能のオプションには以下のものがあります。 パスの数。 ファイルを通常通り削除すると、PGP シュレッダの機能によ り、そのファイルは安全に削除されます。削除したファイルが使用してい たディスク領域は、数字の「0」により上書きされます。 この方法を使用すると、数回の上書き「パス」だけで非常に安全にファイル を削除できます。このため、3 の設定がデフォルトで、非常に高いレベル のセキュリティが提供されますが、この設定を変更することによって、希 望するセキュリティ レベルを反映させることができます。設定可能な最大 パス数は 49 です。 335 PGP Desktop for Windows PGP Desktop オプションの設定 セキュリティを強化すると、コンピューターのプロセッサのスピードなど が原因となって、ファイルの共有に要する時間が長くなることがあるので ご注意ください。 パス数を選択する際には、次のガイドラインを参考にしてください。 個人ユーザーで 3 パス。 商用で 10 パス。 軍事用で 18 パス。 最大限のセキュリティで 26 パス。 Windows のごみ箱を空にするときに自動的に完全削除する。 このチェッ ク ボックスをオンにすると、Windows のゴミ箱を空にした際には、PGP シュレッダ機能によって常にその内容が細断処理されるようになります。 機密性の有無にかかわらず、PGP シュレッダ機能によってゴミ箱内のすべ てのファイルの細断処理が行われるため、非常に大きなファイルが含まれ ていると処理に時間がかかる可能性があります。そのため、このオプショ ンの使用には注意が必要です。 またこのオプションは、(Shift キーを押しながらアイテムを削除して)ご み箱をバイパスすることで削除したファイル、オペレーティング システム によって自動的に削除されたシステムおよびアプリケーションの「temp」 ファイルを自動的にシュレッダにかけます。 この自動細断では、選択済みの PGP シュレッダ機能の設定が、手動でファ イルを細断する場合と同様に使用されます。 Windows デスクトップ上に [PGPシュレッダ] アイコンを置きます。PGP シュレッダ機能を便利に使用できるアイコンをコンピューターのデスクト ップに置く場合は、このチェック ボックスをオンにします。このアイコン は、Windows のごみ箱アイコンと同様に、ファイルをアイコンの上にドラ ッグする方法で使用できます。このオプションはデフォルトで選択されて います。 細断処理する前に常に警告を表示する。細断処理を実行する前に確認用の ダイアログ ボックスを表示するには、このチェックボックスをオンにしま す。これにより、細断されるのが細断処理の対象とするファイルだけであ ることの確認が二重に行えます。このオプションはデフォルトで選択され ています。 ヒント : このほか、一時ファイルなど、ディスクの別の場所に留まる可能性 があるデータの存在も考慮する必要があります。このことから、PGP ディス ク全体暗号化を使用して、コンピューター上のすべてのデータを保護するこ とを検討してください。 336 PGP Desktop for Windows PGP Desktop オプションの設定 通知機能オプション [通知機能] タブでは、PGP Desktop 通知機能のオプションを設定します。この 通知機能は、電子メール メッセージを送受信する際に画面の隅にステータス メッセージを表示します。また、PGP ディスク全体暗号化機能と PGP NetShare 機能を使用する際にも、ステータス メッセージを表示します。 PGP Universal Server で管理された環境では、管理者が特定の通知設定 (たとえ ば、通知を表示するかどうか、通知機能の場所など) を指定している場合があ ります。この場合、[通知機能] タブは利用できず、表示もされません。 PGP Desktop 通知機能の詳細については、「PGP Desktop 通知機能の警告 『ペ ージ : 35』」を参照してください。 使用オプション 通知機能を有効にするには、[Use PGP Notifier (PGP 通知機能の使用)] を 選択し、[画面位置] を指定します。 画面の位置 : PGP Desktop の通知は、画面の 4 つの隅 ([Lower Right (右下 )]、[Lower Left (左下)]、[Upper Right (右上)]、または [Upper Left (左上 )]) のいずれかに表示できます。PGP Desktop の通知を表示する位置を選択 します。デフォルトの位置は [Lower Right (右下)] です。 メッセージング オプション PGP Desktop の通知機能の設定には、次のようなものがあります。 337 PGP Desktop for Windows PGP Desktop オプションの設定 送信電子メールの処理時に通知 : このチェックボックスをオンにすると、 電子メールを送信する際に PGP Desktop 通知機能が表示され、暗号化およ び署名処理のステータスが通知されます。メール送信時に PGP Desktop に よる通知を表示しないようにするには、このチェック ボックスの選択を解 除します。 受信者の鍵が見つからない場合、電子メールを送信する前に確認 : PGP Desktop は、送信した電子メール メッセージの各受信者の公開鍵を探しま す。受信者の公開鍵が見つからない場合、デフォルトでは、電子メールは 暗号化されることなくクリア テキストで送信されます。この通知機能オプ ションをオンにすると、受信者の公開鍵が見つからないことが通知され、 送信するかどうかが尋ねられます。 PGP Desktop のデフォルト ポリシー設定の詳細については、「サービスと ポリシー 『ページ : 102』」を参照してください。 電子メールの送信前に常に確認 : このチェックボックスをオンにする と、電子メールを送信するたびに確認を求めるメッセージが表示され ます。通知機能で暗号化のステータスを確認した後に、電子メールを 送信するかブロックするかを判断できます。 Delay outbound email for n second(s) to confirm (確認のために電 子メールの送信を n 秒遅延させる) : n は 1 ~ 30 の数で、デフォルト は 4 秒です。電子メールの送信を遅らせ、PGP Desktop の通知を表示 する時間の長さを変更するには、上矢印または下矢印をクリックしま す。遅延時間は、PGP Desktop から通知されるメッセージを確認する ために使用します。 受信電子メールの各通知を表示 : 受信電子メールに対しては、受信時に通 知するステータスの種類を選択できます。オプションは次のとおりです。 [When receiving secured email (セキュリティ保護された電子メール を受信した場合)]— セキュリティ保護された電子メールを受信するた びに通知機能が表示されます。このボックスには、送信者、件名、暗 号化および検証のステータス、および送信者の電子メール アドレス が表示されます。 [Only when message verification fails (メッセージ検証に失敗した 場合のみ)] — PGP Desktop が受信電子メールの署名を検証できない場 合にのみ通知が表示されます。 [Never (無期限)] — メールの受信時に通知機能が表示されないように する場合は、このオプションを選択します。このオプションは、送信 メールに対する通知機能には影響を与えません。 PGP で暗号化されたインスタント メッセージについて通知する — セキ ュリティ保護されたインスタント メッセージ チャットの開始時と終了時 に、PGP Desktop の通知機能がわずかの間表示されるようにする場合にこ のチェックボックスを選択します。 338 PGP Desktop for Windows PGP Desktop オプションの設定 詳細オプション [PGP オプションの詳細設定] タブでは、非常に詳細な設定を行えます。ほとん どのユーザーはこの設定を変更する必要はありません。 339 PGP Desktop for Windows PGP Desktop オプションの設定 [キーボード ホット キー] : PGP Desktop では、よりすばやく簡単に作業を 行うためのカスタム ホット キーをさまざまな方法で作成できます。ホッ ト キーのセットが PGP Desktop に添付されていますが、ニーズに合わせ てホット キーの割り当てを変更できます。[編集] をクリックすると、 [PGP Hotkeys (PGP ホットキー)] ダイアログ ボックスが表示されます。 PGP Universal。 PGP Universal との通信に HTTPS プロキシを使用する ネットワーク管理者の指示がない限り、これらの設定を変更しないでくだ さい。 PGP Universal Server のインストールで、プロキシ経由のセキュリティ保 護されたクライアントとサーバー間の接続が必要な場合、これらのオプシ ョン設定を使用して指定できます。ネットワーク管理者の指示に従って、 正しいサーバー名、通信ポート、ユーザー ID およびパスワードを指定し てください。 鍵または鍵モードを変更するには、[鍵のリセット] をクリックします。鍵 モードの詳細については、「鍵モード 『ページ : 134』」を参照してくだ さい。このオプションは、PGP Universal Server で管理されていない環境 で PGP Desktop を使用している場合のみ、利用できます。 FIPS 140-2 の動作確認と完全性確認を有効にする。 ユーザーまたは組織 で FIPS 140-2 検証を必要とする場合には、このオプションを選択します。 ただし、コンピューターの性能が低下することを認識しておく必要があり ます。この設定を有効にするには、コンピューターを再起動する必要があ ります。このオプションはスタンドアロン インストール環境でのみ使用で きます。 340 PGP Desktop for Windows PGP Desktop オプションの設定 暗号化するときには、組み込みの推奨ファイル名を無視してください。フ ァイルを暗号化する際に PGP Desktop が行う提案を無視する場合に、この オプションを選択します。 (日本などの) 英語以外の環境で PGP Desktop バージョン 8.1 を使用してい る場合、PGP Desktop では推奨されたファイル名が間違ってエンコードさ れます。PGP Desktop 8.1 で暗号化されたファイルを PGP Desktop 9.x で復 号化するときに PGP Desktop 8.1 と 9.x との間で処理が正しく行われるよう に、この設定をオンにしてください。 341 B パスワードおよびパスフレ ーズの使用 パスワードとパスフレーズは、ものを保護するために使用されます。一般的に 、パスフレーズはパスワードより長く、使用できる文字の種類も豊富です。 単純なパスワードの例は、4 文字の単語 2 つを連結した「whenjobs」です。パ スワードを強度を上げるには、「WhenJobs」のように大文字を使用するのも 1 つの方法です。「When9Jobs4」のように数字を追加すると、パスワードを一段 と破られにくいものにすることができます。 パスフレーズはパスワードと比べて長く、使用できる文字の種類も豊富です。 単純なパスフレーズの例は、引用符なしでピリオドを含めた「Mb&1a>ttA」で す。このパスフレーズは、覚えづらいように思われるかもしれませんが、実際 には覚えやすい単純なフレーズに基づいています。 パスフレーズは、よく読む本から引用した短いフレーズに句読点を加えたり、 大文字/小文字の区別をしただけのものでもかまいません。たとえば、"Because that's not golf, I replied" などが考えられます。ここでは引用符も含まれます。 これは強力なパスフレーズには見えないかもしれませんが、実際には、上記の 他の例と比較すると 2 倍以上の強度があります。 このセクションでは、パスワードとパスフレーズの違いや、PGP Desktop にあ るパスフレーズの品質バーについて説明します。また、強力なパスフレーズを 作成するためのいくつかのガイドラインも記載しています。 この章の内容 パスワードまたはパスフレーズの使用の選択 ...................................... 343 パスフレーズの品質バー ....................................................................... 344 強力なパスフレーズの作成 ................................................................... 345 パスフレーズを忘れた場合 ................................................................... 347 パスワードまたはパスフレーズの使用の選択 パスワードとパスフレーズのどちらを使用するかは、保護する内容によって決 めるとよいでしょう。情報の価値が高いほど、保護も強化する必要があります 。 343 PGP Desktop for Windows パスワードおよびパスフレーズの使用 ほとんどの Word 文書はまったくセキュリティ保護されていませんが、それは 、そのような手間を掛けるほど重要な内容ではないからです。銀行口座にオン ラインでアクセスする際に、一部の銀行では 4 桁の PIN (暗証) 番号しか必要と しませんが、口座の金額によっては、きわめてレベルの低いセキュリティ保護 だと言えます。また、それほど重要でない日常的な通信には、Hotmail などの無 料の電子メール アカウントが使用されることがありますが、機密度が低ければ 、単純なパスワードでも十分です。一方、製品、顧客、財務などに関する重要 な情報の送受信には、通常より高レベルのセキュリティを備えた会社の電子メ ール アカウントが使用されるのが普通です。 PGP Desktop では、PGP 鍵ペアと PGP 仮想ディスク ボリュームの両方に対し てパスフレーズを作成しますが、PGP 鍵ペアのパスフレーズが脆弱だと、秘密 鍵ファイルに物理的にアクセスできた攻撃者は、パスフレーズさえ推測できれ ば、メッセージを読んだり本人になりすましてメッセージを送信したりできま す。 パスフレーズの品質バー PGP Desktop でパスフレーズを作成すると、作成しているパスフレーズの強度 に関する基本ガイドラインが、パスフレーズの品質バーに表示されます。この 強度はあくまで目安ですが、文字数だけで判断するより信頼性があります。 一般的に、パスフレーズの品質バーが長いほどパスフレーズの強度は高くなり ます。このバーの長さは実際には何を意味しているのでしょうか。 パスフレーズの品質バーは、入力されたパスフレーズの無作為性の量 (エント ロピー) を真の 128 ビット ランダム文字列 (AES128 鍵と同量のエントロピー) と比較したものです。これは、128 ビットのエントロピーと呼ばれます。 エントロピーとは、パスワードまたは鍵の解読の難しさを表す測定単位です。 つまり、パスフレーズの品質バーの約半分の長さに相当するパスフレーズのエ ントロピーは、およそ 64 ビットです。また、品質バーが最大値を示すパスフレ ーズのエントロピーはおよそ 128 ビットです。 それでは、128 ビットのエントロピーの強度とはどの程度なのでしょうか。 1990 年代後半、あらゆる可能性の鍵値を試すことによって DES 鍵を数時間で突 き止める、特殊な「DES クラッカー」コンピューターが構築されました。 DES 鍵 1 つを 1 秒で突き止めるコンピューターを構築したと仮定すると (このコ ンピューターは 1 秒あたり 255 個の鍵を試すことができることになります)、こ のコンピューターが 128 ビットの AES 鍵を 1 つ探り当てるまでに約 149 兆年か かります。ちなみに、宇宙が誕生してからまだ 200 億年しか経っていないと言 われていますので、実際には鍵を突き止めることはできないと言っても過言で はないでしょう。 次に、各文字のエントロピーはどのように測定されるのでしょうか。選択肢 ( この場合は文字の種類) が大きいほど、選択された文字に割り当てられるエン トロピーは大きくなります。 344 PGP Desktop for Windows パスワードおよびパスフレーズの使用 たとえば、数字を使った PIN では、0 ~ 9 の数字、つまり合計 10 文字からしか 選択できません。この場合の文字の種類はかなり少ないので、この中から選択 された文字のエントロピーも比較的低くなります。 英語バージョンの PGP Desktop を使用する場合、パスフレーズに選択できる文 字はこれとは異なります。この場合は、3 とおりの文字セット、つまり、大文 字と小文字 (計 52 文字)、0 ~ 9 の数字 (10 文字)、標準キーボードに備わった 句読点文字 (32 文字) を使用してパラフレーズを作成できます。 PGP Desktop で文字を入力すると、それがどの文字セットに属するかに基づい てエントロピー値が自動的に決定され、その値がパスフレーズの品質バーに適 用されます。 文字セットが大きいほど各文字のエントロピーも大きくなるのは、英語以外の 言語でも同じです。そのため、アルファベットより多いアジアやアラブ圏の文 字セットを使用すると、選択された文字のエントロピーの量はそれに呼応して 大きくなり、パスフレーズの品質バーが最大値になりやすいのです。 強力なパスフレーズの作成 パスフレーズは、使い勝手と強度をバランス良く兼ね備えたものを作成するの が理想的です。大文字、小文字、数字、句読点を組み合わせた長いものを作成 すると、パスフレーズとしては強力になりますが、覚えにくくなるという欠点 があります。 覚えにくいパスフレーズは書き留められることが多い、という研究報告があり 、それでは強力なパスフレーズを作成しても役に立ちません。書き留めないと 覚えられないかすぐに忘れてしまうような長いパスフレーズを作成するよりも 、短くても推測されにくいものを作成した方が賢明です。 強力なパスフレーズを作成するには、複数の単語からなるフレーズを選び、そ れを文字単位に短縮するという方法を利用するとよいでしょう。たとえば、次 のフレーズを考えてみましょう。 My brother and I are greater together than apart. このフレーズから各単語の頭文字をとると、次のパスフレーズができます。 Mb&1a>ttA. このパスフレーズは、大文字と小文字、数字、句読点を組み合わせた 10 文字か ら成ります。10 文字のパスフレーズは、比較的短いと言えます。10 文字では十 分でないと感じる場合は、同じ方法でもう 1 つ別のパスフレーズを作成し 2 つの パスフレーズをつなげて使用するか、初めから長いフレーズを選択してパスフ レーズを作成するとよいでしょう。 また、句読点と大文字/小文字を使用した単純なパスフレーズを作成するのも効 果的です。以下に例を示します。 Edited by John Doe (not John Doe, Editor) 345 PGP Desktop for Windows パスワードおよびパスフレーズの使用 このパスフレーズは長すぎることもなく、複雑でもないうえ、ある程度の強度 も持っています。なお、お気に入りの本からの引用を使用するようなときは、 その本を紛失しないように注意してください。 PGP Desktop でパスフレーズを作成する際には、スペースも含め、最高 255 文 字まで使用できます。 パスフレーズの強度を上げる方法として、上記以外に、短い一般的な単語を複 数つなげる方法もあります。ダイスウェア (Diceware™) と呼ばれるこの方法 では、7,776 個の短い英単語、略語、覚えやすい文字列で構成される、ダイスウ ェア単語リストという特殊なリストから、サイコロを使って無作為に単語が選 択されます。こうして選択した単語を十分な数だけつなげると、推測されにく い強力なパスフレーズを作成できます。ダイスウェアの FAQ によると、10 語か らなるダイスウェア パスフレーズでは 128 ビットのエントロピーを実現するこ とが可能です。 ダイスウェアの詳細については、ダイスウェア パスフレーズのホーム ページ 『http://world.std.com/~reinhold/diceware.html』を参照してください。 パスフレーズの作成時に考慮すべき点は、次のとおりです。 長年記憶に残っているフレーズを使用してください。そのようなフレーズ は、忘れる可能性が低いためです。 パスフレーズは 8 文字以上で指定してください。長さは強力なパスフレー ズの最も重要な要件ではありませんが、短くするよりは安全です。 大文字と小文字、数字、句読点を組み合わせて使用してください。 注意 : できるだけASCII文字だけを使用してください。パスフレーズでは 「§」などの一部の特殊文字がサポートされていないので、このことは国 際キーボードを使用する際は特に重要です。 パスフレーズを定期的に変更してください (目安としては 3 か月に一度)。 パスフレーズは同じものを長く使用するほど、攻撃者に推測されてしまう 確率が高まります。 パスフレーズの作成時に避けたいことは、次のとおりです。 パスフレーズを書き留めるのは避けてください。 パスフレーズは他人に教えないでください。 パスフレーズを入力しているところをだれにも見られないように気をつけ てください。 「password」または「passphrase」を使用することは厳禁です。 「abcdefgh」、「12345678」、「qwertyui」、「88888888」、「AAAAAAAA 」 などのパターンを使用しないでください。 一般的な単語を使用しないでください。熟練した攻撃者のほとんどは通常 、一般的な単語を集めたパスワード解読辞書を使用しています。また、一 般的な単語 2 つの組み合わせ、複数形、先頭文字だけ大文字にしたものな ども使用を避けてください。 346 PGP Desktop for Windows パスワードおよびパスフレーズの使用 自分に関連した数字を使用しないでください。この数字が自分以外のだれ かに知られていると、攻撃者にそれを見破られるおそれがあります。生年 月日、電話番号、社会保障番号、住所などを使用しないでください。 名前は使用しないでください。たとえば、人の名、架空のキャラクタの名 前、ペットの名前、昨冬に休暇で訪れた場所、自分のログイン名、勤め先 の名前、好きなチームの名前、体の部位、本の題名、特に聖書などは避け てください。 上記の単語を逆さに並べたり、前後に 1 桁の数字を付けただけのパスフレ ーズも使用しないでください。 パスフレーズを忘れた場合 パスフレーズを忘れると、その鍵で暗号化した情報は復号化できなくなります 。ただし、PGP 管理者が PGP 鍵の再構築ポリシーを施行している場合には、鍵 を再構築できます。詳細については、「PGP 鍵の再構築 『ページ : 85の"PGP Universal Server による鍵の復元"参照先 : , ページ : 85の"鍵またはパスフレ ーズを失った場合"』」を参照して、PGP 管理者におたずねください。 347 C PGP Universal Server を介 しての PGP Desktop の使い 方 PGP Universal Server を導入すると社内全体のセキュリティ対策として、PGP 管理者が設定するポリシーに基づき、電子メール メッセージを自動的かつ (エ ンド ユーザーに対して) 透過的に保護できるようになります。また PGP 管理者 は、社内の PGP Desktop の導入を管理する際にも PGP Universal を使用するこ とができます。PGP Universal Server の詳細については、「PGP Web サイト上 の PGP Universal Server 『http://www.pgp.com/products/universal/index.html 』」を参照してください。 PGP Universal Server によって管理された環境で PGP Desktop を使用すると、 立証済み PGP 暗号化技術を各ユーザーのコンピューターでも活用できるほか、 PGP Desktop の他のセキュリティ機能を利用できます。その他の主要なセキュ リティ機能には、PGP ディスク全体暗号化機能、PGP ジップ アーカイブ、およ び PGP 細断処理などがあります。 PGP Universal Server の管理環境で PGP Desktop を使用するには、PGP 管理者 からインストーラー アプリケーションを入手して、PGP Desktop をインストー ルする必要があります。 自宅用に購入した PGP Desktop のバージョンを使用しており、企業環境では使 用しない場合は、おそらくスタンドアロン バージョンを使用しているので、こ のセクションは適用されません。 注意 :企業環境でPGP Desktopを使用しており、PGP管理者以外からPGP Desktopインストーラーを入手した場合は、そのPGP Desktopバージョンを インストールまたは使用する前にPGP管理者に確認してください。 このセクションでは、PGP Universal Server が管理している電子メール ドメイ ンで PGP Desktop を使用する場合の違いについて説明します。 この章の内容 概要 ........................................................................................................ 350 PGP 管理者の方へ ................................................................................. 351 PGP Universal Server への手動バインド............................................... 351 349 PGP Desktop for Windows PGP Universal Server を介しての PGP Desktop の使い方 概要 PGP Desktop のインストーラーは、PGP 管理者が以下のいずれかの設定をすで に行っています。 ポリシー設定なし : あなたの PGP Desktop には、組み込まれている設定は 一切ありません。ライセンスでサポートされているすべての機能を使用で きます。 ポリシー設定の自動検出 : PGP Desktop は、インストーラーを作成した PGP Universal Server に接続し、設定のダウンロードを行います。設定に よっては、PGP Desktop を指定された方法で使用しなければならない可能 性があります。 ポリシー設定のプリセット : PGP Desktop のコピーには、適切な設定が組 み込まれています。設定によっては、PGP Desktop を指定された方法で使 用しなければならない可能性があります。 PGP Universal Server から設定を取り込んだ PGP Desktop では、指定された方 法で使用することが必要になる場合があります。たとえば、 PGP Desktop をインストールする際に、ブート ドライブに対するディス ク全体暗号化処理や PGP 仮想ディスク ボリュームの作成などを行う必要 がある場合があります。 PGP Desktop の一部の機能では、使用許可が必要になったり、特定の手順 に従わなければならないことがあります。たとえば、AIM インスタント メ ッセージング セッションを必ず暗号化する、ファイルを削除するときに細 断処理が自動的に行われるなど、設定によってさまざまです。 PGP Desktop の一部の機能を使用できないことがあります。たとえば、従 来型の暗号化の使用や、自己復号化アーカイブ (SDA) の作成ができないよ うな設定になっているかもしれません。 特定のメッセージング ポリシーに従うように要求されることがあります。 たとえば、一部の電子メール ドメインに対してメッセージの暗号化と署名 をつねに行わなければならないことがあります。 PGP メッセージングや PGP NetShare などの特定の機能が無効になってい る場合や、Windows システムで [PGP Whole Disk Encryption BootGuard] 画面がカスタマイズされている場合があります。詳細については、「PGP Universal 管理者による機能のカスタマイズ 『ページ : 5の"PGP Universal Server 管理者によってカスタマイズされる機能"参照先 : 』」を参照して ください。 PGP Universal Server の管理環境で管理可能な PGP Desktop の機能については 、このユーザー ガイドを参照してください。 350 PGP Desktop for Windows PGP Universal Server を介しての PGP Desktop の使い方 お使いの PGP Universal Server の管理環境下の PGP Desktop が、スタンドアロ ンの PGP Desktop とどのように異なるのかについては、PGP 管理者にお問い合 わせください。 PGP 管理者の方へ PGP Corporation は、組織内の一部あるいはすべてのユーザーへの PGP Desktop の導入を管理する PGP 管理者の方には、PGP Desktop ユーザーが各自の暗号鍵 を管理するクライアント鍵モードを使用することをお勧めします。 PGP 管理者が PGP Universal Server 上で PGP Desktop インストーラーを作成す るときに、PGP Desktop ユーザーが鍵を自分で管理するクライアント鍵モード か、PGP Universal Server が鍵を管理するサーバー鍵モードのどちらかを指定す ることができます。 これらの設定は、内部ユーザーのデフォルト ユーザー グループ ポリシー設定 ([ユーザー グループ] > [ポリシー オプション] > [鍵の設定 : デフォルト]) の一 部である [鍵の設定 : デフォルト] 画面の [鍵管理] セクションで行うことがで きます。 PGP Desktop ユーザーに対して、クライアント鍵モードには次のようなメリッ トがあります。 PGP Desktop 機能の多くは、ユーザーが各自の秘密鍵を管理しているとき にのみ使用できます。そのため、PGP Universal Server がユーザーの秘密 鍵を管理している環境では、PGP Desktop ユーザーはそれらの機能を使用 できなくなります。 管理者が PGP Desktop ユーザーに使用を許可できるオプションのうち、サ ーバー鍵モードではその一部が使用できなくなります。たとえば、PGP 仮 想ディスクの自動作成を行うことはできません。 PGP Universal Server への手動バインド PGP Desktop を使用して PGP Universal Server に手動でバインドし (メッセージ ング サービスを表示する場合には、サーバー設定 をクリック)、 登録する場 合、消費者ポリシーではなく電子メール ポリシーのみをダウンロードします。 PGP Universal Server 管理者は消費者ポリシー (鍵モード、ディスクの暗号化の 強制など) で、その他のオプションを指定していることがあります。完全に消 費者ポリシーを管理して施行するには、PGP Universal Server の「マーク付き」 インストールを使用する必要があります。マーク付きのインストールがない場 合に取得するには、管理者に問い合わせてください。 351 PGP Desktop for Windows PGP Universal Server を介しての PGP Desktop の使い方 さらに、PGP Universal Server に手動でバインドする場合、 PGPtrustedcerts.asc ファイルは C:\Documents and Settings\AllUsers\Application Data\PGPCorporation\PGP には存在しません。手 動で PGP Universal Server にバインドするには、このファイルを作成し、その ファイルで組織の鍵のユーザー ID が PGPSTAMP により指定されるサーバーに 確実に一致させる必要があります (ドメイン名および IP アドレスが一致する必 要があります)。 352 D PGP Desktop と IBM Lotus Notes の併用 このセクションでは、PGP Desktop と Lotus Notes および MAPI の併用について 説明します。 この章の内容 Lotus Notes および MAPI の互換性 ...................................................... 353 PGP Desktop と Lotus Notes の併用 .................................................... 354 PGP Universal Server へのバインド ...................................................... 355 Notes アドレス ...................................................................................... 357 Notes クライアントの設定 .................................................................... 357 Lotus Notes ネイティブ暗号化の使用 .................................................. 358 Lotus Notes および MAPI の互換性 「電子メール メッセージのセキュリティ保護 『ページ : 91の"電子メールを セキュアにする"参照先 : 』」の説明にあるように、PGP Universal によって保 護された環境では、PGP Desktop メッセージングと Lotus Notes または MAPI 電子メール クライアントを併用できるように正しく設定すると、POP または IMAP 電子メール クライアントと併用するときと同じように PGP Desktop メッ セージングを使用することができるようになります。ここには、第 4 章の説明 を補足する情報が記載されています。 Lotus Notes は、メッセージングやカレンダー設定、スケジュール設定の機能を 持つグループウェア アプリケーションです。Lotus Notes 電子メール クライア ントについての情報は、『PGP Desktop for Windows リリース ノート』を参照 してください。 MAPI (Messaging Application Programming Interface) は、Microsoft Exchange 環境でクライアント インターフェイスとして使用されるメッセージング アー キテクチャです。 PGP Desktop は Lotus Notes および MAPI と互換性があるため、電子メールに対 して PGP のメッセージング保護機能が使用できるほか、Lotus Notes と MAPI の各種機能も利用することができます。 353 PGP Desktop for Windows PGP Desktop と IBM Lotus Notes の併用 PGP Desktop インストールでは、Lotus Notes のシングルユーザーとマルチユー ザーの両方のインストールに対応しています。 PGP Desktop と Lotus Notes の併用 このセクションでは、Lotus Notes 環境における PGP Desktop と PGP Universal の相互運用性の概要について説明します。 Lotus Notes 組織内の受信者への電子メールの送信 Lotus Notes 環境内では、PGP Desktop は SMTP と Notes の両方のアドレッシ ングを使用できます。 Notes アドレスの使用 PGP Desktop を使用する Notes クライアントでは、鍵の検索に Notes アドレス を使用できます。Lotus Notes 電子メール クライアントが電子メールを送信す ると、PGP Desktop クライアントがこの送信を認識し、その Notes アドレスに 自動的に鍵を追加します。この鍵は PGP Universal に同期されるので、Notes ア ドレスによる鍵の検索が容易になります。 すべての PGP Universal Server 鍵には、たとえば[email protected]のような SMTP 電子メール アドレスが関連付けられています。内部の Lotus Notes 電子 メール クライアント ユーザーの鍵に、SMTP 電子メール アドレスのほか、 CN=josem/O=notes6@notes6 のような Notes アドレスも添付することができま す。外部ユーザーとの連絡には常に SMTP 電子メール アドレスが使用されるの で、外部ユーザーの鍵に Notes アドレスが添付されることはありません。PGP Universal Satellite for Windows からは、SMTP 電子メール アドレスか Notes ア ドレスのいずれかを指定して鍵が要求されるので、内部の Lotus Notes 電子メ ール クライアント ユーザーの鍵には、この両方のアドレスが添付されます。 PGP Desktop を使用する受信者に対する SMTP アドレスの使用 PGP Desktop を使用する Lotus Notes クライアントでは、組織内の鍵の検索に SMTP ID を使用できます。Lotus Notes を使用する一部の企業ではすべての内 部通信に SMTP ID を使用しますが、その他の企業は従業員の選択に任せていま す。PGP Desktop はどちらの設定でも相互運用します。このシナリオでは通常 、Lotus Notes で MIME を使用して電子メールが作成され、PGP Desktop プロ キシで S/MIME が実行されます。 354 PGP Desktop for Windows PGP Desktop と IBM Lotus Notes の併用 Lotus Notes 組織外の受信者への電子メールの送信 PGP Desktop を使用する Lotus Notes クライアントでは、組織外の電子メール ルーティングおよび鍵の検索に SMTP ID が使用されます。PGP Desktop はどち らの設定でも相互運用します。このシナリオでは通常、Lotus Notes で MIME を 使用して電子メールが作成され、PGP Desktop プロキシで S/MIME または PGP/MIME が実行されます。受信者は電子メールを受信し、復号化します。 PGP Universal Server へのバインド Lotus Notes や MAPI 電子メール クライアントはそれぞれ Domino または Exchange メール サーバーに直接接続する必要があるため、PGP Universal によ って保護された環境で PGP Desktop と併用するには、特別な設定を要すること があります。 ここで説明する内容は、PGP Desktop をスタンドアロンのプログラムとして使 用している、つまり PGP Universal Server によって管理されていない環境であ る場合には当てはまりません。 Lotus Notes や MAPI 電子メール クライアントは、それぞれのメール サーバー との通信に加え、PGP Universal Server との接続も確立する必要があります。そ のため、各メール サーバーに関するポリシーのほかに、メール サーバーと PGP Universal Server の両方に適用されるポリシーをもう 1 つ別に作成しなけれ ばなりません。 このように、メール サーバーと PGP Universal Server が、協調しながら処理を 行うよう設定することをバインドと呼びます。バインドを行うと、電子メール クライアントは、各メール サーバーにアクセスしてメールの送受信をしながら 、PGP Universal Server からメッセージ送信相手の公開鍵とポリシーも取得でき るようになります。前述のように、適切な PGP Desktop メッセージング ポリ シーを作成することにより、バインドが行われます。 バインドを行うのに必要な PGP Desktop メッセージング ポリシーは、プリバ インドと手動バインドという 2 つの方法で作成することができます。 プリバインド プリバインドでは、PGP 管理者が、バインドを行う際に必要な PGP Desktop メ ッセージング ポリシーを事前に作成して PGP Desktop のインストーラーを設 定します。そのため、PGP Desktop をインストールした時点で、適切なポリシ ーがすでに設定されています。 355 PGP Desktop for Windows PGP Desktop と IBM Lotus Notes の併用 手動バインド 手動バインドでは、PGP 管理者は、PGP Desktop のインストーラを作成する際 に、バインドを行う際に必要な PGP Desktop メッセージング ポリシーを設定 しません。そのため、ユーザーが自分でポリシーを作成する必要があります。 メール サーバーと PGP Universal Server を手動でバインドするには、まず PGP Universal Server に関するサービスを作成します。その後 PGP Universal Server への参照を含む別のサービスをメール サーバーに対して作成します。 PGP Desktop メッセージング ポリシーを使用し、メール サーバーと PGP Universal Server に対して手動バインドを行うには、次の操作を実行します 。 1 PGP Desktop を開きます。 2 [PGP メッセージング] コントロール ボックスをクリックします。 3 既存のスタンドアロン サービスの下で、[Universal Server <none>] をク リックし、[新規作成] を選択します。 4 [新規 PGP Universal サービス] メニューで Universal Server 名を入力し、 [OK] をクリックします。 5 電子メール クライアントを使用して、自分のアドレスにメッセージを送信 します。MAPI ユーザーには、この操作は必要ない場合があります。必要 ない場合は、手順 8 に進みます。 6 [操作はユーザーによって中止されました] ダイアログ ボックスで [OK] を クリックします。 7 受信箱にある「PGP Universal」からの電子メールを読みます。PGP 鍵生成 ウィザード ダイアログ ボックスが表示されます。 8 [次へ] をクリックします。 9 [鍵管理の選択] から [鍵モード] を選択し、[次へ] をクリックします。 10 PGP Desktop をスタンドアロン アプリケーションとして使用している場 合は、[鍵ソースの選択] で [PGP Desktop の鍵] を選択します。それ以外 の場合は、[新しい鍵] または [鍵のインポート] を選択します。 11 [次へ] をクリックします。 12 鍵セットを選択し、[次へ] をクリックします。 13 [完了] をクリックします。 356 PGP Desktop for Windows PGP Desktop と IBM Lotus Notes の併用 Notes アドレス 通常、PGP Desktop の暗号鍵には、次の例のような、SMTP 電子メール アドレ スが少なくとも 1 つ関連付けられています。[email protected] PGP Universal Server 管理環境では、Lotus Notes 電子メール クライアント ユ ーザーの PGP Desktop 鍵に、SMTP 電子メール アドレスのほか、次の例ような Notes アドレスも添付することができます。 CN=josem/O=notes6@notes6(PGP Desktop をスタンドアロンで使用してい るユーザーの鍵には Notes の ID はなく、常に SMTP 電子メール アドレスだけ が使用されます。) PGP Universal Server の管理環境下で PGP Desktop と Lotus Notes 電子メール クライアントを併用するための詳細な情報については、PGP 管理者にお問い合 わせください。 Notes クライアントの設定 PGP Desktop を Lotus Notes 電子メール クライアントと併用するには、電子メ ール クライアントの場所レコードの [Home/Mail Server Setting (自宅/メール サーバーの設定)] フィールドで、[サーバー] タブに WINS ホストだけでなく、 完全な Notes 名 (host/orgName) も表示されているかどうか確認してください 。 PGP Corporation は、現在の [保存場所] ドキュメントの [基本設定] タブにある [インターネット メール アドレス] フィールドに値を入力することをお勧めし ます。OCNOTES では、ユーザーの SMTP 電子メール アドレスを判断する際に 、このフィールドを使用します。このフィールドを空欄にすると、PGP Desktop は Domino Server のグローバル ドメイン文書に基づいて、ユーザーの SMTP 電子メール アドレスを作成します。 「アイランド モード」で操作中に PGP Desktop が一部またはすべての受信者の 鍵の検索に失敗すると、PGP Desktop はレプリケーターから自宅サーバーにメ ッセージがプッシュされる際に鍵を検索することでメッセージの再暗号化を試 みます。 PGP Desktop が一部の受信者の鍵の検索に失敗し、Notes ネイティブの暗号化 オプションがオンになっている場合、PGP Desktop は Lotus Notes クライアン トに対して、暗号化に失敗した受信者へのメッセージを暗号化することを許可 します。 357 PGP Desktop for Windows PGP Desktop と IBM Lotus Notes の併用 Notes.ini 設定ファイル PGP Desktop によって、notes.ini の構成が更新され、次のエントリが追加さ れます。 EXTMGR_ADDINS=nPGPNote.dll このエントリは変更したり、削除したりしないでください。PGP Desktop の起 動時には notes.ini ファイルが毎回スキャンされます。このエントリが見つか らない場合は、再び追加されます。 Lotus Notes ネイティブ暗号化の使用 Lotus Notes ネイティブ暗号化を使用すると、Notes ユーザーは Notes 鍵で暗号 化された内部電子メールを送信することができます。PGP Desktop が Notes ネ イティブ暗号化を使用するように設定されている場合、メッセージを作成する 際にチェックボックスを選択することで、内部ユーザー向けに機密情報を暗号 化して送信できます。すべての Lotus Notes ユーザーに Notes 鍵があります。 To (宛先): フィールドの電子メール アドレスが Lotus Notes 形式 (CN=Alice Cameron/O=Example Corp) に一致し、Notes ネイティブ暗号化が有効な場合、 PGP Desktop は Lotus Notes を使用して電子メールを暗号化して送信すること を認めます。To (宛先): フィールドの電子メール アドレスが SMTP アドレス ([email protected]) の場合、PGP Desktop は電子メールを PGP 鍵で暗号化し ます。 Notes ネイティブ暗号化は、PGP Universal Server で管理されていない環境とス タンドアロン環境の両方で利用できます。スタンドアロン環境で Notes ネイテ ィブ暗号化を有効にするには、「PGP サポート ナレッジベース記事 #1613 『 https://support.pgp.com/?faq=1613』」を参照してください。 PGP Desktop は、署名と暗号化を行うオプションが選択されている場合、すべ ての送信 Lotus Notes メッセージに署名ボタンと暗号化ボタンのメッセージン グ ポリシーを適用します。これらのポリシーの詳細については、「セキュリテ ィ ポリシーの情報と例 『ページ : 120』」を参照してください。ポリシーが スタンドアロン環境に存在しない場合、作成する必要があります。 Lotus Notes ネイティブ暗号化を使用するには 1 Lotus Notes でメッセージを作成します。 2 メッセージ ツールバーで [署名]、[暗号化] のボックスを選択します (テン プレートで利用できる場合)。そうでない場合、配信方法オプションを選択 し、セキュリティ オプション セクションで、[署名]、[暗号化] のボック スを選択します。 358 PGP Desktop for Windows PGP Desktop と IBM Lotus Notes の併用 メモ : Notes ネイティブ暗号化を使用して電子メールを送信するたびにこ れらのボックスを選択する必要があります。 3 メッセージを送信します。 メール ポリシーが暗号化に設定され、メール受信者が Notes ユーザ ーの場合、メッセージが Notes ネイティブ暗号化を使用して暗号化さ れ、送信されます。メッセージが処理され、Lotus Notes を使用して 暗号化されていることを確認するには、通知機能メッセージで [詳細] をクリックします。受信者がメッセージを開くと、PGP 注釈は含まれ ていません。 メール ポリシーが暗号化に設定され、メール受信者が SMTP アドレ スの場合、PGP Desktop は PGP 鍵を検索し、PGP Desktop を使用し てメッセージが暗号化され、送信されます。受信者がメッセージを開 くと、標準 PGP 注釈が含まれています。 メール ポリシーが暗号化に設定され、メール受信者が SMTP アドレス で Lotus Notes Domino サーバーに接続されている場合、Lotus Notes は SMTP アドレスを Lotus Notes アドレスに分解しようとします。成 功すると、メッセージが Notes ネイティブ暗号化を使用して送信され ます。メッセージが処理され、Lotus Notes を使用して暗号化されてい ることを確認するには、通知機能メッセージで [詳細] をクリックしま す。受信者がメッセージを開くと、PGP 注釈は含まれていません。 メール ポリシーが署名に設定され、Lotus Notes が送信者の Notes 鍵 でメッセージを署名します。Lotus Notes または PGP Desktop を使用 した暗号化は行われません。メッセージを署名するボックスが選択さ れていない場合、PGP Desktop は送信者の PGP 鍵を使用してメッセー ジを署名します。 359 索引 Microsoft Outlook の暗号化ボタンと署名ボタ ン - 99, 121, 123, 124 Microsoft Outlook の署名ボタンと暗号化ボタ ン - 99, 121, 123, 124 A Advanced Encryption Standard Instructions See AES-NI AES、PGP 仮想ディスクのアルゴリズム 232 AES-NI - 175, 208 Aladdin eToken Pro USB トークン - 165, 168, 171, 325 N NetShare - See PGP NetShare Notes ID - See Lotus Notes 電子メール クラ イアント Notes ネイティブの暗号化 - 366 B P BartPE、PGP WDE での使用 - 212 BootGuard - See PGP BootGuard 画面 bypass, PGP WDE SSO login - 190 PGP BootGuard 画面 - 174, 180, 184, 185 PGP Desktop PGP Universal によって管理された環境 358 PGP トレイ アイコン - 31 SSL/TLS サポート - 132 アップグレード - 24 アンインストール - 27 インストール - 23 システム要件 - 21 セットアップ アシスタント - 26 ポリシーの説明 - 102 メイン画面 - 29, 30 説明 - 13 PGP Desktop のインストール - 21 PGP Desktop ログ - 40 PGP Desktop を別のコンピューターに移動 28 PGP Global Directory - 13, 55 PGP NetShare - 13, 245, See 保護されたフォ ルダー C CAC - 306 CAST、PGP 仮想ディスクのアルゴリズム 232 CPU 使用率、暗号化中 - 172 F FIPS - 347 I IBM Lenovo Rescue and Recovery - 212 IM セッションの暗号化 - 91, 139, 145, See PGP メッセージング J JavaCards - 306 L Lotus Notes 電子メール クライアント - 361, 365, 366 M MAPI - 361 Microsoft Outlook、署名ボタンと暗号化ボタ ン - 99, 121, 123, 124 361 PGP Desktop for Windows 索引 オプション - 147 概要 - 143 PGP WDE のリムーバブル ドライブ - 199, 201, 202 PGP WDE の言語サポート - 185 PGP Whole Disk Encryption セキュリティ確保のための対策 - 209 PGP Whole Disk Encryption での認証 - 163, 184, 192 PGP WDE でのバイパス - 192 音声 - 184 使用される方法、特定 - 163 PGP Zip - 13, 281 アーカイブ、作成 - 282 アーカイブの暗号化 - 285, 287 アーカイブの編集 - 294 アーカイブを開く - 293, 294 アーカイブ後のファイルの細断処理 282 ファイルの抽出 - 294 ファイルまたはフォルダーの削除 - 294 ファイルまたはフォルダーの追加 - 294 自己復号型アーカイブ - 289, 294 署名のみ - 291 署名付きアーカイブの検証 - 296 詳細オプション、アーカイブの作成 282 変更内容の保存 - 294 PGP ディスク全体暗号化 - 13, 151 Active Directory グループ - 268, 269 Netshare メニュー オプション - 279 PGP Universal によって管理された環境 276 PGP 仮想ディスクまたは PGP WDE、使用 - 246 アプリケーション ベースの暗号化リス ト - 253 オプション - 272 コーディネータ、設定 - 250 パスフレーズ、消去 - 271 ファイル メニュー オプション - 278 ファイルまたはフォルダーのプロパティ - 275 フォルダー ステータス、確認 - 262 ブラックリストのファイル - 251, 252 ホワイトリストのフォルダー - 252 ユーザー - 263, 267, 268 ライセンス - 249 通知機能 - 38 破損、削除、または上書きされたファイ ルの使用 - 256 復号化バイパス アプリケーション - 253 別のフォルダーからのアクセス リスト のインポート - 267 編集 メニュー オプション - 278 保護されたファイルのバックアップ 274 役割 - 248, 265 PGP NetShare における Active Directory グル ープ - 268, 269 PGP NetShare のコーディネータ - 250 PGP Portable - 237 PGP RDD - See PGP Remote Disable and Destroy PGP Remote Disable and Destroy - 155 PGP Universal - 85, 357 PGP Universal Server - 5, 13, 44, 55, 85, 86, 203, 276, 347, 357, 359, 362 PGP Universal サービス プロトコル (USP) 55 PGP Viewer - 143, 145, 146, 147, 148, 149 362 PGP Desktop for Windows 索引 セキュリティ確保のための対策 - 232 パスフレーズ、変更 - 228 バックアップ - 230 マウント - 217, 221 マウント解除 - 221, 222 暗号アルゴリズム - 232 維持 - 229 検索 - 221 交換 - 231 再暗号化 - 224 新規作成 - 217 代替ユーザー - 225 PGP 仮想ディスク ボリュームのマウント 221 PGP 仮想ディスク ボリュームの自動マウン ト - 217 PGP 完全削除 - 13, 299 PGP Zip、使用 - 282 ファイル、完全に削除 - 301 空き領域の細断 - 302, 303 PGP 管理者 - 203, 357, 358 PGP 鍵 - See 鍵 鍵ペアの作成 - 44 PGP 鍵サーバー リスト - See 鍵サーバー PKCS-11 ライブラリ - 306 PKCS-12 X.509 証明書、インポート - 63 PGP BootGuard 画面 - 180, 184 PGP Universal Server、管理された - 203 アンインストール - 199 キーボード配列 - 185 サードパーティ アプリケーションとの 互換性 - 163 サポートされているディスクの種類 157 シングル サインオン、使用 - 164, 187, 189, 190 セキュリティ確保のための対策 - 209 ディスク、セキュリティの維持 - 191 ディスク、暗号化済みの使用 - 180 ディスクの暗号化 - 175 ディスクの種類、サポート - 157 ディスクの準備 - 156 ディスク暗号化時のオプション - 162, 167, 172 トークンを使用した認証 - 165, 168 パーティション - 168 パスフレーズ - 164, 174, 189, 194, 196 ユーザー、操作 - 193, 194 ライセンス - 154 リカバリ ディスク、作成 - 206 リカバリ トークン - 204 リムーバブル ドライブ - 199, 202 暗号化オプション - 167, 172 暗号化されたディスクの再暗号化 - 196 暗号化されたディスクの復号化 - 208 暗号化時間、計算 - 161 暗号化中のディスク エラー - 175, 179 公開鍵認証 - 164 使用される暗号アルゴリズム - 158 自動バックアップ ソフトウェア - 198 通知機能 - 39 電源、暗号化中 - 162 認証オプション - 163, 192 PGP トレイ アイコン - 31 PGP メッセージング - 13, 91, 137 サービスとポリシー - 102 サービスの説明 - 102 PGP ログ - 40 PGP 仮想ディスク - 13, 215, 232 R Remote Disable and Destroy - See PGP Remote Disable and Destroy Rescue and Recovery - See IBM Lenovo Rescue and Recovery S S/MIME 電子メール、証明書のインポート 66 signature verification - 94 SSL/TLS サポート - 132 T Tablet PC, using in PGP WDE - 183 TPM - See トラステッド プラットフォーム モジュール (TPM) 認証 363 PGP Desktop for Windows 索引 Twofish、PGP 仮想ディスクのアルゴリズム - 232 PGP NetShare - 272, 340 PGP Viewer - 147, 148 インスタント メッセージング - 333, 338 ディスク - 342 プロキシ - 337 マスター鍵 - 333 メッセージング - 333 暗号化 - 167, 172 鍵 - 330 詳細 - 347 全般 - 328 通知機能 - 340 オフライン ポリシー - 37, 97, 101, 103 U Unversal Server - See PGP Universal USP - See PGP Universal サービス プロトコ ル (USP) W Windows Preinstallation Environment、PGP WDE での使用 - 212 Windows エクスプローラー - 33 Windows ログイン ダイアログ ボックス、 表示 - 190 WINS ホスト - 365 か キーボード ホット キー - 347 キーボード、PGP WDE でサポートされてい る - 158, 185 クライアント鍵モード (CKM) - 134 コントロール ボックス - 30 X X.509 証明書 - 63, 66 あ アーカイブ - 281 開く - 293, 294 作成 - 282 自己復号型 - 289, 294 署名のみ - 291 署名済みの検証 - 296 詳細オプション - 282 編集 - 294 アクセス リスト、PGP NetShare 内でのイン ポート - 267 アップグレード - 24, 26 アプリケーション ウィンドウ - 30 アプリケーション、暗号化を強制またはバ イパス - 253 アンインストール - 27, 199 インスタント メッセージング - 139 オプション - 338 セッションの暗号化 - 141 インポート、秘密鍵と証明書 - 63 オプション - 327 さ サードパーティ ソフトウェア、互換性 163, 198 サーバー クライアント鍵モード (SCKM) 134 サーバー鍵モード (SKM) - 134 サービス - 102 サービス、メッセージング - 102, 103, 105, 110 サブスクリプション ライセンス - 6 サブ鍵 - 73 364 PGP Desktop for Windows 索引 アイコン - 73 サイズ - 73 サイズの設定 - 75 サブ鍵の使用方法 - 76 プロパティ - 73 暗号化 - 75 暗号化と署名 - 75 確認 - 75 記号 - 73 個別 - 73 削除 - 78 失効 - 77 署名 - 75 新規作成 - 75 操作 - 73 表示 - 73 有効期限 - 73, 75 有効性 - 73 サブ鍵の表示 - 73 サポート、お問い合わせ - 10, 11 システム要件 - 21, 157, 163, 168, 171 ショートカット メニュー、PGP Netshare 275 シングル サインオン - 164, 187 PGP WDE でのログイン - 189 PGP WDE での使用 - 187, 188, 189 バイパス、PGP WDE - 190 パスフレーズ、変更 - 189, 195 スタート メニュー - 35 スタンバイ、PGP WDE - 210 スマート カード - 15, 305 JavaCards - 306 PKCS-11 - 306 カード、PGP WDE でサポートされてい る - 170 パーソナライゼーション - 306 パスフレーズの変更 - 312 プロパティ - 309 リーダー、PGP WDE でサポートされて いる - 169 鍵の抹消 - 314 鍵ペア、新規作成 - 310 鍵ペアのコピー - 312 公開鍵のコピー - 312 認証、PGP BootGuard で - 169 スリープ、Mac OS X と PGP WDE - 211 セキュアなインスタント メッセージング (IM) - 139 セキュリティ確保のための対策 - 209, 232 セットアップ アシスタント - 26 た タスク、スケジュール設定された空き領域 抹消 - 303 ディスク PGP WDE でサポートされている - 157 オプション - 342 スケジュール設定された抹消 - 303 リカバリ、作成 - 206 リムーバブル - 199, 202 暗号化 - 173, 175 暗号化されたディスクへのユーザーの追 加 - 193 暗号化済みの使用 - 180 暗号化中のエラー - 179 ディスクの読み取り/書き込みエラー - 175 ディスク通知機能 - 38 データ リカバリ - 206 デジタル署名 - 50, 51, 53, 67, 74, 90, 285, 287, 291 デフォルトのポリシー - 102, 120, 121, 122, 123, 124 トークン - 168, 305 365 PGP Desktop for Windows 索引 PGP NetShare のブラックリスト - 251 ファイル、完全に削除 - 301 プロパティ、PGP NetShare - 275 公開鍵のエクスポート - 53 保護されたフォルダーで使用 - 259, 260, 261 保護フォルダーの外にあるファイルの保 護 - 272 ファイル、完全に削除 - 301 ファイルの細断処理 - 299 ファイルの抹消 - See ファイルの細断処理, See 空き領域の細断 フィンガープリント、デジタルの検証 - 69 フォルダー、PGP NetShare での保護 - 246 フォルダーの抹消 - 301, 303 フォレンジック、データのリカバリ - 206 プライマリ名、鍵 - 62, 63 フラグ、サブ鍵の使用方法の指定 - 76 ブラックリストに記載された、PGP NetShare - 251, 253 プロパティ - 60, 277, 309 ポリシー - 102 デフォルトのポリシー - See デフォルト のポリシー メッセージングの作成 - 113 メッセージングの例 - 120 削除 - 131 順序変更 - 132 ポリシーの更新 - 31, 101 ホワイトリストに記載された、PGP NetShare - 252, 253 PGP WDE でサポートされているトーク ン - 170 PGP WDE での認証 - 165 PGP Whole Disk Encryption、使用 - 165, 168 コピー - 312 プロパティ - 309 鍵の抹消 - 314 鍵ペアの新規作成 - 310 ドライブ、PGP WDE のリムーバブル - 202 トラステッド プラットフォーム モジュー ル (TPM) 認証 - 166 トラブルシューティング - 9, 111, 179 トレイ アイコン - See PGP トレイ アイコ ン は パーティション、暗号化 - 157, 168, 173, 192 バイオメトリック単語リスト、説明 - 60 バインディング、PGP Universal Server に対 して手動 - 359 パスフレーズ - 47, 233, 351 PGP WDE でサポートされている文字 174 PGP WDE での認証 - 164 PGP Zip での認証 - 287 PGP ディスク全体暗号化 - 164 PGP 仮想ディスクの代替ユーザーの追加 - 193 オプション - 328 キャッシュの消去 - 271 シングル サインオン - 164 強力、作成 - 353 設定 - 44 代替、追加 - 193, 225 変更 - 66, 189, 194, 228, 243, 312 忘れた - 85, 355 パスフレーズの品質バー - 352 パスフレーズの変更 - 66 パスワード - See パスフレーズ バックアップ ソフトウェア、使用 - 198, 274 ファイル ま マウント解除 - 244 PGP Portable ディスク - 244 PGP 仮想ディスク ボリューム - 221, 222 マスター鍵オプション - 57, 58, 333 メーリング リスト ポリシー - 120, 121, 122, 123, 124, 126 メッセージング - 102 366 PGP Desktop for Windows 索引 暗号化 PGP WDE からのユーザーの削除 - 194 PGP WDE でのパーティション - 168 PGP WDE で暗号化されたディスクの使 用 - 180, 203 PGP WDE のオプション - 167 PGP WDE の所要時間の計算 - 161 PGP Zip のパスフレーズ - 287 PGP Zip の受信者鍵 - 285 インスタント メッセージング セッショ ン - 141 ディスクまたはパーティション - 173, 175 ディスクまたはパーティションの再復号 化 - 196 パイロット テスト - 163 ユーザーの追加 - 193 最大 CPU 使用率 オプション - 161, 172 使用されるアルゴリズム - 158, 232 実行中のディスク エラー - 175, 179 初期の時間の短縮 - 161, 172 電源の瞬断に対する安全対策 オプショ ン - 162, 172 暗号化されたドライブからのデータの回復 - 206 暗号化されたリムーバブル ディスクの再フ ォーマット - 202 永久ライセンス - 6 音、PGP WDE 認証中 - 184 音声、PGP WDE 認証 - 184 仮想ディスク - See PGP 仮想ディスク 仮想ディスクの交換 - 231 仮想ディスクの配布 - 231 概要、PGP Desktop - 1 管理されたユーザー - 5 管理されていないユーザー - 5 技術サポート - 11 技術サポート、お問い合わせ - 10 休止 - 210, 233, See スリープ、Mac OS X と PGP WDE 共通アクセス カード (CAC) - 306 強力なパスフレーズ - 353 Lotus Notes - 361 MAPI - 361 オプション - 333 トラブルシューティング - 111 メッセージング ログ - 137 既存の編集 - 109 削除 - 109 新規作成 - 105 通知機能 - 35 複数 - 110 無効化と有効化 - 109 モバイル データ - See PGP Portable や ユーザー - 225, 263 PGP NetShare、アクセス リストのインポ ート - 267 PGP Whole Disk Encryption、追加または 削除 - 193, 194 保護されたフォルダー、承認された 246, 263, 264, 267 ユーザー インターフェイス、メイン ウィ ンドウ - 30 ユーザー名、鍵 - 62 ら ライセンス - 6, 7, 26, 154, 249 リカバリ ディスク、PGP WDE での作成 206 リカバリ トークン - 204 ローカル ポリシー - See オフライン ポリ シー ローカル ユーザー - 188, 195 ログ、メッセージング - 40, 137 ログイン、PGP BootGuard 画面 - 180 ロックアウトされた、PGP BootGuard 画面 185 わ ワイルドカード、ポリシー - 119 漢字 圧縮、PGP 仮想ディスク - 223 367 PGP Desktop for Windows 索引 鍵のバックアップ - 49 鍵の検証 - 72 鍵の再構築 - 50, 85, 196 鍵の復元 - 85, See 鍵の再構築 鍵の分割 - 81 鍵の保護 - 90 鍵ペア - 15 スマート カード - 310, 312 作成 - 44 鍵ペアの生成 - 44, 310 鍵モード - 134, 347 鍵モードのリセット - 134, 347 鍵リング - 43, 48, 67 個別の署名サブ鍵 - 13 公開鍵 - 15 PGP WDE での認証 - 164 PGP ディスク全体暗号化 - 164 スマート カードからのコピー - 312 その他の取得 - 53 ファイルへのエクスポート - 53 ファイルへの保存 - 53 検証 - 69 鍵サーバーの検索 - 54 鍵サーバーへの送信 - 51 鍵サーバーへの送信の利点 - 51 署名 - 70 他のユーザーへの配布 - 50 電子メール メッセージ、添付 - 52 電子メール メッセージからのコピー 55 無効化と有効化 - 68 再暗号化 - 196, 270 作成 - 44, 105, 113, 217, 282, 353 PGP Zip アーカイブ - 282 PGP 仮想ディスク ボリューム - 217 パスフレーズ、強力 - 353 メッセージング サービス - 105 メッセージング ポリシー - 113 鍵ペア - 44, 310 削除 - 61, 78, 314 空き領域の完全削除 - See 空き領域の細断 空き領域の細断 - 13, 301, 302, 303 空き領域の細断処理のスケジュール設定 303 警告 - See 通知機能 鍵 - 43, 59 インポート - 63 エクスポート - 53, 312 オプション - 330 サブ鍵 - 73 プロパティ - 60 マスター鍵 - 57 検証のための信頼度指定 - 72 鍵サーバー、アップロード - 52 鍵リングからの削除 - 67 公開の検証 - 69 公開鍵のファイルへの保存 - 53 作成 - 44 失効 - 80, 81 写真 ID の置換 - 61 署名 - 70, 72 電子メール、添付 - 52 配布、公開 - 50 表示 - 43 復元 - 85 複数のユーザー名と電子メール アドレ ス - 62 分割 - 81, 82 分割鍵の再結合 - 81, 83 紛失 - 85 保護 - 90 無効化 - 68 有効化 - 68 鍵 ID - 60 鍵サーバー - 15, 55 リスト - 330 検索 - 54 鍵の失効を知らせるために使用 - 81 公開鍵の送信 - 51 別のユーザーの公開鍵の取得 - 54 鍵サーバーの検索 - 54 鍵と署名の失効 - 72, 77, 81 368 PGP Desktop for Windows 索引 PGP Viewer で暗号化済みを表示 - 145 PGP Viewer で受信箱にコピー - 146 エクスポート PGP 仮想ディスク - 229 サブ鍵 - 78 ファイル、完全に削除 - 301 メッセージング ポリシー - 131 ユーザー - 226, 267 ユーザー ID - 67 鍵 - 67, 314 公開鍵からの署名 - 72 使用する基本ステップ - 17 使用フラグ、サブ鍵 - 76 使用フラグ、指定 - 76 指定された失効権限者 - 80 自己復号型アーカイブ - 289, 294 自動バックアップ ソフトウェア、PGP WDE ディスクに対して使用 - 198 失効権限者、鍵 - 80 写真 ID、鍵 - 61 受信電子メール - 93 受信電子メールの通知機能 - 36 署名 - 67 PGP Zip アーカイブ - 291, 294 鍵 - 67, 70 公開鍵 - 70 署名、鍵からの削除 - 67, 72 署名付き PGP Zip アーカイブの検証 - 296 承認されたユーザー、PGP NetShare 内 246, 263 信頼度、鍵検証のための指定 - 72 信頼度指定 - 72 全般オプション - 328 送信電子メール - 97 送信電子メールの通知機能 - 37 単語リスト、バイオメトリック - 60 通知機能 - 35, 345 インスタント メッセージング - 38 説明 - 35 電源の瞬断に対する安全対策 オプション 172 電子メール - 91 PGP Viewer からの電子メール - 147 スマート カードからの鍵 - 312 鍵をファイルへ - 53 オプション - 337 サービスとポリシー - 102 セキュリティ保護 - 91 メッセージング ログ - 137 鍵モード - 134 公開鍵のコピー - 55 公開鍵の添付 - 52 通知機能 - 35 複数のアカウント - 110 電子メール サーバー、「メッセージング サ ービス」を参照 - See メッセージング 電子メール メッセージのエクスポート 147 読み取り/書き込みエラー - 175 読み取り専用のディスクまたはパーティシ ョンの情報 - 191 秘密鍵 - 15, 44, 47, 63 評価ライセンス - 6 復号化 - 208 複数のメッセージング サービス - 110 分割鍵の再結合 - 81, 83 紛失した鍵またはパスフレーズ - 85 文字、PGP WDE でサポートされている 174 保護されたフォルダー - 254, 277, See 保護 されたフォルダー 369 PGP Desktop for Windows 索引 Active Directory グループ - 268 アクセス リスト、インポート - 267 サブフォルダー - 261 ステータス - 262 ファイル、外にあるファイルの使用 272 ファイル、使用 - 259, 261 ファイルとフォルダーのバックアップ 274 ファイルの表示 - 261 ブラックリストのファイル - 251 プロパティ - 277 ユーザー、保護されたフォルダー - 249, 250, 263, 267, 268 ライセンス - 249 ロック解除 - 260 再暗号化 - 270 作成 - 256 削除 - 270 場所、特定 - 254 保護フォルダーのロック解除 - 260 保護鍵モード (GKM) - 134 忘れたパスフレーズ - 85 抹消、スマート カードからの鍵 - 314 役割、PGP NetShare - 248, 265 予備復号鍵 (ADK) - 78 用語 - 5, 13, 16, 102, 134, 246 370