リムーバブルドライブ全体の暗号化

リムーバブルドライブ全体を暗号化すると、ドライブごとに個別のマスターキーが作成され、次の 3 か所に保存され ます。

1. 管理サーバー

2. ユーザーのコンピューター（ユーザーのプライベートキーを使って暗号化されます）

3 .リムーバブルドライブ上のデータファイルのヘッダー（管理サーバーの公開キーを使って暗号化されます）

鍵の抽出は内部で自動的に行われるため、使用時に鍵の保存場所を意識する必要はありません。ただし、管 理サーバーに接続できない環境の場合、既に使用したことのあるコンピューターからのみ使用可能となります。認証さ れているコンピューターでデータの読み書きを行う際には、特別なドライバーによってリムーバブルドライブが即座に復 号化・暗号化されるので、ユーザーは暗号化を意識することなく利用できます。

管理サーバーに接続できないコンピューターでは、ドライブ全体が暗号化されたリムーバブルメディアを使って作業 することはできないため、外部ユーザーとのデータ交換に使用することはできません。外部のユーザーや、暗号化コン ポーネントを導入していないコンピューターとリムーバブルメディアを共有する場合は、ファイル単位の暗号化を行い、

「ポータブルモード（P. 80）」を使用してください。

なお、FDEの場合、元のコンテンツはセクター別に暗号化され、認証されていないコンピューターではマウントもでき なくなりますが、リムーバブルドライブの場合、特別なヘッダーを持つ暗号化されたファイルに置き換えられます。リムー バブルドライブ全体が暗号化されているメディアは、認証されていないコンピューターではマウントはできますが、

“FDE_PR.BINというファイルだけが存在する空き領域0のメディア”として認識されるので、メディアに保存されてい

るファイルの名前や容量は読み取れなくなります。

＜ドライブ全体が暗号化されたリムーバブルメディア（参考）＞

どのようなファイルが保存されているかは一切わからなくなります。

空き領域0の状態なのでファイルの追加などはできません。

70 リムーバブルドライブ全体を暗号化する（管理サーバー側）

リムーバブルドライブ全体を暗号化するには、KES ポリシーの「リムーバブルドライブの暗号化」セクションで「リムー バブルドライブ全体の暗号化」を設定します。

①暗号化を実施するグループ（ここでは「暗号化グループ」）の「ポリシー」タブで、KES10のポリシーをダブルクリック します。

②「プロパティ」画面が開く ので、「リムーバブルドラ イブの暗号化」セクション を選択します。

71

③リムーバブルメディア全 般を暗号化したい場合 は、「既定のルール」で

「リムーバブルドライブ全 体の暗号化」を選択し ます。

メディアごとに設定したい 場合は「変更しない」の ままにして「カスタムルー ル」で設定します。

④メディアごとに設定したい 場合、あるいは、暗号 化の対象外としたいリム ーバブルメディアがある 場合は、「カスタムルー ル」の「追加」で追加し ます。

追加方法には次の2つ があります。

72 (A)信頼するデバイスのリストから追加する方法

「追加」－「このポリシーの信 頼するデバイスから指定する」

を選択します。

「エンドポイントコントロール」の

「デバイスコントロール」で「信 頼するデバイス」として登録さ れているデバイス（接続を許 可されたデバイス）が一覧表 示されるので、「すべて選択」

をクリック、または暗号化したく ないメディアを個別に選択して

「OK」をクリックします。

(B)KSCの管理下にあるすべてのメディアから追加する方法

「追加」－「KSC のデバイスリ ストから指定する」を選択しま す。

「更新」をクリックすると KSC 管理下で使用されたことのあ るデバイスがリストアップされる ので、「すべて選択」をクリッ ク、または暗号化したくないメ デ ィ ア を 個 別 に 選 択 し て

「OK」をクリックします。

73 追加したメディアに対

し、「ルール」を設定し ます。

ここでは、リムーバブル メディア全般で「リムー バブル全体の暗号化」

を実施し、例外として 暗号化しない（変更 しない）メディアを追 加しています。

⑤「OK」をクリックして設定 を反映させます。

⑥KSC の設定のバックアップを取るよう促すメッセージが 表示されるので、内容を確認して「OK」をクリックしま す。メニューからバックアップを取得し他のマシン、媒体 に保管して下さい。

74 リムーバブルドライブの暗号化の開始（ユーザー側）

ポリシーが適用されたコンピューターに、まだ暗号化されてい ないリムーバブルメディアを接続すると、「リムーバブルドライブの 暗号化」というメッセージが表示されます。

まだ暗号化したくない場合は「リムーバブルドライブを暗号化 しない」を選択します。この場合、メディアは読み取りのみとなり ます。

「リムーバブルドライブを暗号化する」を選択した場 合、ただちに暗号化が開始されます。

暗号化が完了すると、リムーバブルメディアが使用でき るようになります。この後の暗号化/復号化は自動で行 われるため、特別な操作は不要です。

75