デバイス保護

「デバイス保護」タイプのポリシーには、SafeGuard Data Exchange および SafeGuard Portable の設定も含まれます。多様な鍵およびアルゴリズムを使用して、ボリュー ム ベースまたはファイル ベースの暗号化を実行できます。「デバイス保護」タイ プのポリシーには、SafeGuard Data Exchange、SafeGuard Cloud Storage および SafeGuard Portable の設定も含まれます。SafeGuard Data Exchange の詳細は、SafeGuard Data Exchange (p. 195) を参照してください。SafeGuard Cloud Storage の詳細は、Cloud Storage (p. 207) を参照してください。エンドポイント上の SafeGuard Data Exchange、SafeGuard Cloud Storage および SafeGuard Portable の詳細は、「SafeGuard Enterprise ユーザーヘ ルプ」を参照してください。

デバイス保護のポリシーを作成するときは、まずデバイス保護の対象を指定する必 要があります。次の対象を選択できます。

■

大容量記憶装置 ( ブート ボリューム / 他のボリューム )

■

リムーバブル メディア

■

光学式ドライブ

■

記憶デバイス モデル

■

特有の記憶デバイス

■

Cloud Storage の定義

対象ごとに、異なるポリシーを作成します。

注

:

リムーバブル メディア : リムーバブル メディアのボリューム ベースの暗 号化を指定し、一覧からユーザーに鍵の選択 ( 例 : 「ユーザー鍵リング内の任 意の鍵」) を許可するポリシーが指定されている場合、ユーザーは、鍵を選 択しないことでこのポリシーを迂回することができます。リムーバブル メ ディアが常に暗号化されているようにするには、ファイルベースの暗号化ポ リシーを使用するか、ボリュームベースの暗号化ポリシーで鍵を特定してく ださい。

説明 ポリシー設定

デバイス (デスクトップ PC、ノート PC など) や、各 種のリムーバブル メディアを保護するために使用さ れます。

注: この設定は必須です。

メディアの暗号化モード

その主な目的は、ローカルまたは外付けの記憶デバイ スに格納されているすべてのデータを暗号化すること

説明 ポリシー設定

です。透過的に実行されるため、ユーザーは、

Microsoft Office などの通常のアプリケーションをいつ もどおりに使用し続けることができます。

透過的な暗号化とは、暗号化されたすべてのデータが (暗号化されたディレクトリ内かボリューム内かを問 わず)、プログラムで開かれるとすぐにメイン メモリ 内で自動的に復号化されることを意味します。ファイ ルは、保存されるときに自動的に再暗号化されます。

以下のオプションから選択できます。

■ 暗号化なし

■ ボリューム ベース (透過的なセクタベースの暗号 化)

ユーザーが通常の操作手順を変更したり、セキュ リティを考慮したりしなくても、すべてのデータ が暗号化されます (起動ファイル、スワップファイ ル、アイドル ファイル/ハイバネーション ファイ ル、一時ファイル、ディレクトリ情報などを含む)。

■ ファイル ベース (透過的なファイル ベースの暗号 化 (スマート メディアの暗号化))

すべてのデータが暗号化されます (起動メディアお よびディレクトリ情報以外)。CD/DVD などの光学 式メディアも暗号化され、(ポリシーで許可されて いれば) SafeGuard Enterprise がインストールされて いない外部コンピュータとデータを交換できると いう利点があります。

注:ホワイトリストのデバイスを保護対象にした場合、

「暗号化なし」または「ファイル ベース」のみ選択 できます。

全般設定

暗号化アルゴリズムを設定します。

使用できるすべてのアルゴリズムとその規格を以下に 示します。

暗号化に使用されるアルゴ リズム

AES256:32バイト (256ビット) AES128:16バイト (128ビット)

説明 ポリシー設定

暗号化に使用される鍵を定義します。特定の鍵 (マシ ン鍵や定義済みの鍵など) を定義することや、ユーザー 暗号化に使用される鍵

が鍵を選択できるようにすることが可能です。また、

ユーザーが使用できる鍵を制限することもできます。

以下のオプションから選択できます。

■ ユーザー鍵リング内の任意の鍵

ユーザーの鍵リングのすべての鍵が表示され、ユー ザーは任意の鍵を選択できます。

注: SafeGuard Enterprise (スタンドアロン型) で保護 された非管理対象エンドポイントでファイル ベー スの暗号化に対するポリシーを定義する場合は、

このオプションを選択する必要があります。

■ ユーザー鍵リング内の任意の鍵 (ユーザー鍵を除く) ユーザー鍵を除き、ユーザーの鍵リングのすべて の鍵が表示され、ユーザーは任意の鍵を選択でき ます。

■ ユーザー鍵リング内の任意のグループ鍵

ユーザーの鍵リングのすべてのグループ鍵が表示 され、ユーザーは任意の鍵を選択できます。

■ 定義済みのマシン鍵

マシン鍵が使用されます。ユーザーは鍵を選択で きません。

注: SafeGuard Enterprise (スタンドアロン型) で保護 された非管理対象エンドポイントでボリュームベー スの暗号化に対するポリシーを定義する場合は、

このオプションを選択する必要があります。ただ し、「ユーザー鍵リング内の任意の鍵」を選択し、

かつユーザーがボリューム ベースの暗号化のため のローカルで作成された鍵を選択した場合、この ボリュームへのアクセスは拒否されます。

■ 鍵リング内の任意の鍵 (ローカルで作成された鍵を 除く)

ローカルで生成された鍵を除いて、鍵リングのす べての鍵が表示され、ユーザーは任意の鍵を選択 できます。

説明 ポリシー設定

■ 一覧の定義済みの鍵

管理者は、Management Center でポリシーの設定時 に使用可能な任意の鍵を選択できます。

鍵は「暗号化の定義済みの鍵」で選択する必要があり ます。

「定義済みのマシン鍵」オプションを使用する場合: SafeGuard Data Exchange のみがエンドポイントにイン ストールされている場合 (SafeGuard POA なし、ボ リューム ベースの暗号化なし)、定義済みのマシン鍵 をファイル ベースの暗号化に使用する鍵として定義 するポリシーは、このエンドポイントで有効になりま せん。定義済みのマシン鍵は、このタイプのエンドポ イントでは使用できません。データは暗号化できませ ん。

SafeGuard Enterprise (スタンドアロン型) で保護された 非管理対象エンドポイントのポリシー:

注: 非管理対象エンドポイント コンピュータのポリ シーを作成する場合、「ユーザー鍵リング内の任意の 鍵」オプションしか使用できないことに注意してくだ さい。また、ローカル鍵の作成がこのタイプのエンド ポイント コンピュータに許可されている必要があり ます。

非管理対象エンドポイントではグループ鍵が使用でき ないため、非管理対象エンドポイントでメディア パ スフレーズ機能がアクティブ化されている場合は、メ ディア暗号化鍵が「暗号化の定義済みの鍵」として自 動的に使用されます。非管理対象エンドポイントのリ ムーバブル メディア ポリシーを作成するときに「暗 号化の定義済みの鍵」で別の鍵を選択しても無効にな ります。

このフィールドは「暗号化に使用される鍵」フィール ドで「一覧の定義済みの鍵」オプションを選択した場 暗号化の定義済みの鍵

合のみにアクティブになります。「[...]」をクリック して「鍵の検索」ダイアログを表示します。「今すぐ 検索」をクリックして鍵を検索し、表示された一覧か ら鍵を選択します。

説明 ポリシー設定

対象が「リムーバブル メディア」である「デバイス 保護」タイプのポリシーの場合、メディアパスフレー ズ機能が有効になっていると (「ユーザーはデバイス に対してメディア パスフレーズを定義できる」:「は い」)、メディア暗号化鍵を暗号化するためにこの鍵 が使用されます。

したがって、リムーバブル メディアのデバイス保護 ポリシーでは、次の設定

■ 暗号化に使用される鍵

■ 暗号化の定義済みの鍵

を互いに独立に指定する必要があります。

SafeGuard Enterprise (スタンドアロン型) で保護された 非管理対象エンドポイントのポリシー:

非管理対象エンドポイントではグループ鍵が使用でき ないため、非管理対象エンドポイントでメディア パ スフレーズ機能がアクティブ化されている場合は、メ ディア暗号化鍵が「暗号化の定義済みの鍵」として自 動的に使用されます。

この設定は、ユーザーが自らのコンピュータでローカ ル鍵を生成できるかどうかを指定します。

ローカル鍵は、ユーザーが入力するパスフレーズに基 づいて、エンドポイント上で生成されます。パスフ ユーザーはローカル鍵を作

成できる

レーズの要件は、「パスフレーズ」タイプのポリシー で設定できます。

これらの鍵はデータベースにも保存されます。ユー ザーはログオンした任意のエンドポイントでそれらの 鍵を使用します。

ローカル鍵は、SafeGuard Data Exchange (SG DX) を介 した安全なデータ交換に使用します。

ボリュームベースの設定

はい:エンドポイントのユーザーが、鍵リングに鍵を 追加または削除できます。ダイアログは、ショート ユーザーは暗号化されたボ

リュームの鍵を追加または

削除できる カット メニューのコマンドの「プロパティ > 暗号化」

タブを選択すると表示されます。

説明 ポリシー設定

いいえ:エンドポイントのユーザーは鍵を追加できま

せん。

暗号化されていないメディアを SafeGuard Enterprise で 処理する方法を定義します。

以下のオプションから選択できます。

暗号化されていないボ リュームに対する反応

■ 拒否 (テキスト メディアは暗号化されません)

■ 空のメディアのみを承諾して暗号化する

■ すべてのメディアを承諾して暗号化する

ユーザーに、Windows エクスプローラのショートカッ ト メニューのコマンドを使用したボリュームの復号 化を許可します。

ユーザーはボリュームを復 号化できる

ボリューム ベースの暗号化に対する高速初期暗号化 が有効になります。このモードは、エンドポイントで 行う初期暗号化に必要な時間を短縮します。

注: このモードを使用すると安全性が低下する場合が あります。詳細は、高速初期暗号化 (p. 166) を参照し てください。

高速初期暗号化

不良セクタが検出された場合に暗号化を続行するかど うかを指定します。デフォルト設定は「はい」です。

不良セクタを無視する

ファイル ベースの設定

ユーザーのログオン開始後、ボリュームの初期暗号化 が自動的に開始されます。ユーザーは事前に鍵リング から鍵を選択する必要があります。

すべてのファイルの初期暗 号化

ユーザーによる初期暗号化のキャンセルを可能にしま す。

ユーザーは初期暗号化を キャンセルできる

ユーザーがボリューム上の暗号化されていないデータ にアクセスできるかどうかを指定します。

ユーザーは暗号化されてい ないファイルにアクセスす ることを許可されている

ユーザーは個々のファイルまたはディレクトリ全体を 復号化できます (Windows エクスプローラの拡張機能

「右クリック」を使用します)。

ユーザーはファイルを復号 化できる

ドキュメント内 SafeGuard Enterprise 管理者ヘルプ (ページ 148-155)