鍵を非表示にすることができます。詳細は、鍵を非表示にする (p. 62) を参 照してください。
特定のユーザーのすべての鍵を表示するには、「ユーザーとコンピュータ」をク リックし、「鍵」タブを選択します。
すべての鍵を表示するには、SafeGuard Management Center で「鍵と証明書」をク リックして、「鍵」を選択します。「割り当てられた鍵」および「非アクティブな 鍵」の一覧を生成できます。
注:「割り当てられた鍵」の一覧には、「読み取り専用」または「フルアクセス権」
権限のあるオブジェクトに対して割り当て済みの鍵のみが表示されます。「鍵」
ビューには、アクセス可能かどうかに関わらず、鍵の総数が表示されます。「割り 当てられた鍵」の一覧には、アクセス権限に応じて使用可能な鍵の数が表示されま す。
1.
「ユーザーとコンピュータ」をクリックすると表示が開きます。2.
選択したオブジェクトの鍵が、処理ペインおよび個々のビューに表示されます。3.
処理ペインの内容は、ナビゲーション ペインでの選択内容に応じて表示されま す。選択したオブジェクトに割り当てられたすべての鍵が表示されます。4.
「使用できる鍵」で、使用できる鍵すべてが表示されます。選択したオブジェク トにすでに割り当てられている鍵はグレーアウト表示されます。「フィルタ」を 選択すると、オブジェクトに割り当て済みの鍵 (有効) とオブジェクトに未割り 当ての鍵 (無効) が切り替わります。インポート後、各ユーザーは、データの暗号化に使用できる鍵をいくつか受け取り ます。
9.1 データの暗号化に使用する鍵
「デバイス保護」タイプのポリシーを定義すると、特定のボリュームの暗号化に使 用する鍵がユーザーに割り当てられます。
「デバイス保護」タイプのポリシーで、メディアごとに「暗号化に使用される鍵」
を指定できます。
ここでは、ユーザーが暗号化に使用できる鍵または使用する必要がある鍵を定義し ます。
■ ユーザー鍵リング内の任意の鍵
Windows にログオン後、ユーザーは、個々のボリュームの暗号化に使用する鍵
を選択できます。ダイアログが表示され、ユーザーは必要な鍵を選択できます。
■ ユーザー鍵リング内の任意の鍵 (ユーザー鍵を除く)
ユーザーはデータの暗号化に自身の個人用の鍵を使用できません。
■ ユーザー鍵リング内の任意のグループ鍵
ユーザーは、自身のユーザー鍵リング内のグループ鍵を 1つだけ選択できます。
■ 定義済みのマシン鍵
定義済みのマシン鍵は、このコンピュータを初めて起動するときに、SafeGuard
Enterprise によってこのコンピュータ専用に生成される固有の鍵です。ユーザー
は他に選択することはできません。通常、定義済みのマシン鍵が、起動およびシ ステム パーティション、および、「Documents and Settings」が置かれているドラ イブに使用されます。
■ 一覧の定義済みの鍵
ユーザーが暗号化に必要な特定の鍵を定義できます。この方法でユーザーに対し て鍵を指定するには、「暗号化の定義済みの鍵」で鍵を定義する必要がありま す。このオプションは、「一覧の定義済みの鍵」を選択すると表示されます。
「暗号化の定義済みの鍵」の横にある「[...]」ボタンをクリックすると、ダイア ログが表示され、鍵を指定できます。ユーザーが対応する鍵を所有していること も確認します。
選択する鍵をハイライト表示し、「OK」をクリックします。選択した鍵は、エ ンドポイント コンピュータで暗号化に使用されます。
9.1.1 ユーザーとコンピュータで鍵を割り当てる
ユーザーに鍵を割り当てるには、対象オブジェクトに対する「フルアクセス権」が 必要です。
ユーザーに新しい鍵を割り当てる方法は次のとおりです。
1. SafeGuard Management Center で「ユーザーとコンピュータ」をクリックし ます。
2. ナビゲーション ペインで、対象のオブジェクト (ユーザー、グループ、コ ンテナなど ) を選択します。
3. 「鍵」タブで右クリックして、ショートカット メニューから「新しい鍵 を割り当てる」を選択します。
4. 「新しい鍵の割り当て」ダイアログで次の操作を行います。
a) 鍵の「シンボリック名」および「説明」を入力します。
b) ユーザーの鍵リングで鍵を非表示にするには、「鍵の非表示」チェッ ク ボックスを選択します。
5. 「
OK」をクリックします。
鍵が割り当てられ、「鍵」タブに表示されます。
9.1.2 鍵を非表示にする
エンドポイントでユーザーの鍵リングに表示する未使用のグループ鍵の数を制限す るため、鍵を非表示にすることができます。ユーザーの鍵リングに表示されていな い鍵を使用して暗号化されたファイルにアクセスすることはできますが、ファイル を新たに暗号化することはできません。
鍵を非表示にする方法は次のとおりです。
1. SafeGuard Management Center を開き、「鍵と証明書」をクリックします。
2. ナビゲーション ペインで、「鍵」をクリックし、「割り当てられた鍵」
をクリックします。
「割り当てられた鍵」ビューに「鍵を表示しない」列が表示されます。
3. 非表示にする鍵を指定する方法には、次の 2 とおりあります。
■ 該当する鍵に対して「鍵を表示しない」チェック ボックスを選択します。
■ 1つまたは複数の鍵を選択して右クリックして、ショートカットメニューを表
示します。
「ユーザーに鍵を表示しない」を選択します。
4. 変更内容をデータベースに保存します。
指定した鍵は、ユーザーの鍵リングに表示されなくなります。
エンドポイントにてユーザーの鍵リングを表示することに関する詳細は、SafeGuard Enterprise ユーザー ヘルプの「システム トレイ アイコンとツールチップ」の章を参 照してください。
注: 鍵を非表示にして暗号化することがポリシーで指定されている場合、エンドポ イントにおける暗号化で「鍵を表示しない」の設定内容は無視されます。
9.2 File Share を使ったファイル ベースの暗号化用の個人鍵
個人鍵は、特定のユーザーに対して作成される特別な暗号化鍵で、他のユーザーと 共有することはできません。特定のユーザーに対してアクティブな個人鍵は、「ア クティブな個人鍵」と呼ばれます。アクティブな個人鍵を他のユーザーに割り当て ることはできません。
「File Encryption」ポリシーでは、鍵名でなく、「個人鍵」プレースホルダを使用 して暗号化ルールを定義することができます。このようなルールでは、ユーザーの アクティブな個人鍵が使用されます。
パス C:\encryptを個人鍵を使って暗号化する暗号化ルールを定義すると、ユーザー
ごとに異なる鍵が使用されます。したがって、特定のフォルダ内の情報は、該当す
るユーザーごとに機密扱いできます。File Share の詳細は、File Share を使用した File Encryption (p. 181) を参照してください。
File Encryption ルールで、暗号化に使用する個人鍵が定義されている場合、アクティ ブな個人鍵を持っていない該当ユーザーに対して、個人鍵が自動的に作成されま す。
必要な権限のあるセキュリティ担当者は、SafeGuard Management Center で、一部の ユーザーや特定のグループ内のすべてのユーザーに対して、個人鍵を作成すること ができます。また、ユーザーが会社を辞めた場合など、アクティブな個人鍵を降格 することもできます。
9.2.1 個人鍵の自動作成
File Encryption ルールで、暗号化に使用する個人鍵が定義されている場合、アクティ
ブな個人鍵を持っていないユーザー用の個人鍵は、SafeGuard Enterprise Server で自 動的に作成されます。エンドポイントでポリシーを受信してから、必要となるアク ティブな個人鍵が使用可能になるまでの間、ユーザーは File Encryption ルールが適 用されているフォルダ内で新しいファイルを作成することができません。
個人鍵を使用するFile Encryptionポリシーを、多数のユーザー (数百人以上) に対し て初めて展開する場合は、SafeGuard Management Center で個人鍵を作成することを 推奨します (複数のユーザーに対して個人鍵を作成する (p. 64) を参照)。これによっ て、SafeGuard Enterprise Server に与える負荷が軽減されます。
9.2.2 ユーザー 1 人に対して個人鍵を作成する
個人鍵を作成するには、「鍵の作成」および「鍵を割り当てる」権限が必要です。
さらに、対象オブジェクトに対する「フルアクセス権」が必要です。アクティブな 個人鍵を置き換えるには、「個人鍵を管理する」権限が必要です。