Sophos Disk Encryption ライセンス移行ガイド

(1)

Sophos Disk Encryption

ライセンス移行ガイド

5.61 製品バージョン

:

2012年 6月

ドキュメント作成日

_:

(2)

1 このガイドについて...3

2 既存のソフォスのセキュリティソリューションへの暗号化機能の追加...5

3 SDE/SGE 4.x から Sophos Disk Encryption 5.61 への移行...11

4 SDE/SGE 5.5x または 5.6x から Sophos Disk Encryption 5.61 への移行...21

5 Sophos Disk Encryption 5.61 から SafeGuard Enterprise への移行 ...29

6 テクニカルサポート...30

(3)

1 このガイドについて

このガイドは、Enterprise Console やソフォスの暗号化ソフトのライセンス変更に伴う移行手順について説明するものです。エンドポイント用とサーバー用の両方のソフトウェアを移行する方法について説明します。

ここでの説明は Sophos Enterprise Console、Sophos SafeGuard Disk

Encryption/Sophos SafeGuard Easy、および SafeGuard Enterprise について十分な知識を持っていることを前提としています。

対象となる移行シナリオは次のとおりです。

■ _{既存のソフォスのセキュリティソリューションに暗号化機能を追加する。}

■ _{ソフォスの非管理型暗号化機能 (SDE 4.6x/SGE 4.5x) を Sophos Disk Encryption} 5.61 に移行する。

■ _{ソフォスの非管理型暗号化機能 (SDE 5.5x/5.6x、または SGE 5.5x/5.6x) を} Sophos Disk Encryption 5.61 に移行する。

■ _{Sophos Disk Encryption 5.6.1 (Sophos Enterprise Console 5.1 による暗号化の管} 理が可能) を SafeGuard Enterprise (管理型暗号化) に移行する。

このガイドで対象外の移行シナリオ

次の移行シナリオは対象外です。

■ _{SafeGuard Enterprise 6 /SafeGuard Easy 6 から、SEC 5.1 で管理される Sophos} Disk Encryption 5.61 にエンドポイントを移行する。この場合、まず、エンドポイントを復号化して、暗号化エージェントのソフトウェアをアンインストールする必要があります。その後、SEC 5.1 で管理される Sophos Disk Encryption 5.61 をエンドポイントにインストールする必要があります。 ■ _{SafeGuard Enterprise を、SEC 5.1 で管理される Sophos Disk Encryption 5.61}

に移行する。

ヒント: Enterprise Console 5.1 を使用して Sophos Disk Encryption 5.61 を管理 する場合以外は、SafeGuard Enterprise と同一のサーバーに Enterprise Console をインストールできます。これには特有の設定が必要になります。詳細は、http://www.sophos.com/ja-jp/support/knowledgebase/117632.aspxを参照してください。

■ _{管理型暗号化機能を非管理型暗号化機能に移行する。この場合、エンドポ}

(4)

このガイドで使用する製品名

説明 製品名

ソフォスのセキュリティソフトを管理・アップデートするコンソール。バージョン Sophos Enterprise Console

5.1 から暗号化管理機能が追加されています。

Sophos Enterprise Console で管理する暗号化ソフト。

Sophos Disk Encryption 5.61

Sophos Enterprise Console の暗号化機能の名前。認証されていないユーザーによる、エフルディスク暗号化

ンドポイントコンピュータ上のハードディスクドライブの読み取りや変更を防止する機能です。

Endpoint Security and Data Protection (ESDP) バンドルに付属する SafeGuard のスタンド Sophos SafeGuard Disk Encryption (SDE)

アロン型暗号化ソフト。バージョン 5.50 以降、スタンドアロンコンピュータ用ポリシーは SafeGuard Policy Editor を使用して構成するようになっています。

SafeGuard の暗号化ソフトウェア。バージョン 5.50 以降、SafeGuard Enterprise Standalone Sophos SafeGuard Easy (SGE)

ソリューションは、Sophos SafeGuard Easy に製品名が変わりました。バージョン 5.50 以降、スタンドアロンコンピュータ用ポリシーは SafeGuard Policy Editor を使用して構成するようになっています。モジュール型の総合暗号化ソリューション。ロールベースの一元管理機能で、認証 SafeGuard Enterprise されていないユーザーによるエンドポイントコンピュータのデータの読み取りや、変更を防止します。 ソフォス製品ドキュメント ソフォスの製品ドキュメントは次のサイトから入手可能です。 http://www.sophos.co.jp/support/docs/

(5)

2 既存のソフォスのセキュリティソリューションへの

暗号化機能の追加

既存のソフォスのセキュリティソリューションに暗号化機能を追加するには、Sophos Enterprise Console をアップグレードして暗号化機能を追加し、エンドポイントコンピュータに暗号化エージェントのソフトウェアを新規インストールする必要があります。 ヒント: 暗号化機能はライセンスで使用が許諾されている場合のみ使用可能 です。既存のソフォスのセキュリティソリューションに暗号化機能を追加する方法は次のとおりです。 ■ _{以前のバージョンの Enterprise Console がインストールされている場合は、} 暗号化機能を含む最新バージョンにアップグレードしてください。最新バージョンの Enterprise Console が暗号化機能なしでインストールされている場合は、再インストールして暗号化機能を追加してください。 ■ _{エンドポイントコンピュータで、暗号化エージェントのソフトウェアを設} 定します。

2.1 Sophos Enterprise Console をアップグレードする

Sophos Enterprise Console バージョン 5.1 より前のバージョンがコンピュータにインストールされている場合は、暗号化機能を含む Sophos Enterprise Console の最新バージョンにアップグレードしてください。アップグレードするには、インストーラに表示される手順を参照するか、またはアップグレードセンター (http://www.sophos.co.jp/support/upgrades/) にアクセスして表示される指示に従います。 ヒント: インストールウィザードで、Enterprise Console を使用して暗号化機 能を管理することを選択する必要があります。

これで Sophos Enterprise Console がアップグレードされ、フルディスク暗号化が使用できるようになりました。

(6)

Sophos Enterprise Console バージョン 5.1 が、暗号化機能なしでコンピュータにインストールされている場合は、再インストールして暗号化機能を追加してください。 1. Enterprise Console をインストールするコンピュータに管理者権限でログオンします。 ■ _{サーバーがドメインに属している場合は、ローカル管理者権限を持つ} ドメインアカウントを使用してください。 ■ _{サーバーがワークグループに属している場合は、ローカル管理者権限} を持つローカルアカウントを使用してください。 2. 先にダウンロードした Enterprise Console のインストーラを参照します。 3. インストーラをダブルクリックします。 4. 「変更」ボタンが表示されたらクリックします。 インストールファイルがコンピュータにコピーされ、ウィザードが起動します。 5. ウィザードの指示に従ってインストールを行います。次の手順を実行してください。 a) 可能な限り、デフォルトの設定をそのまま選択します。 b) 「コンポーネントの選択」ページで、すべてのコンポーネントが選択 されていることを確認します。 c) 「データベースの詳細」ページで、 Enterprise Console をインストール するコンピュータにアクセスできるアカウントの詳細を入力します。管理者アカウントは使用しないでください。 d) 「暗号化の管理」ページで、「暗号化の管理」をクリックします。 e) 「Sophos Encryption」ページで、「新規インストール」をクリックしま す。証明書のバックアップを保管する場所にパスワードを設定するようメッセージが表示されます。このパスワードを書き留めておいてください。 6. インストールが完了すると、再起動するようメッセージが表示されること があります。「はい」または「完了」をクリックします。

2.3 各コンピュータで暗号化ソフトを設定する

(7)

ヒント: Sophos Disk Encryption は、Windows XP、Windows Vista、および Windows 7 ベースのコンピュータにインストールできますが、Mac にはインストールできません。

各コンピュータ上の Sophos Disk Encryption を設定する方法は次のとおりです。 ■ _{インストール後、管理者に各コンピュータへのアクセスを与える。} ■ _{暗号化ソフトをインストールする前に事前準備する。} ■ _{自動で暗号化ソフトをインストールする。} ■ _{手動で暗号化ソフトをインストールする。}

2.3.1 インストール後、管理者に各コンピュータへのアクセスを与える

暗号化ソフトのインストール後、他のソフトウェアをインストールするなど、管理者はコンピュータにアクセスして事前構成しなくてはならないこともあります。しかしながら、インストール後の初回ログオンでは Power-on Authentication が起動します。これを避けるため、各管理者に対して例外の設定を追加する手順は次のとおりです。 1. 「Enterprise Console」の「ポリシー」ペインで、「フルディスク暗号化」 をダブルクリックします。「デフォルト」ポリシーをダブルクリックして 編集します。

2. 「Power-on Authentication (POA)」の「Power-on Authentication を有効に する」の横にある「例外」をクリックします。 3. 「例外」で「追加」をクリックして適切な Windows アカウント (複数可) の「ユーザー名」と「コンピュータ名やドメイン名」を入力し、「OK」 をクリックします。 文字列の先頭と末尾にワイルドカード文字を使用できます。「ユーザー 名」フィールドへの入力で、「?」は使用できません。「コンピュータ名 やドメイン名」フィールドへの入力で、/ \ [ ] : ; | = , + ? < > " などの文字は 使用できません。 4. 「デフォルト」ポリシーダイアログで「OK」をクリックします。 5. 「ポリシー」ペインで、選択したポリシーをクリックして、適用するグ ループ上にドラッグ & ドロップします。確認メッセージが表示されたら、続行することを指定します。

(8)

2.3.2 インストール前にコンピュータの事前準備をする

お使いのライセンスにフルディスク暗号化機能の使用権が含まれている場合は、暗号化ソフトをコンピュータにインストールする前に次の手順を実行してください。 ■ _{フルディスク暗号化機能をインストールする前に、コンピュータにソフォ} スのウイルス対策ソフト (バージョン 10) がインストール済みであることを確認します。 ■ _{フルディスク暗号化機能をインストールする前に、他社製暗号化ソフトが} 復号化およびアンインストール済みであることを確認します。 ■ _{ユーザーアカウントが設定済みであること、およびアクティブ化されて} いることを確認します。ユーザーはパスワードの入力が必要となります。 ■ _{暗号化するドライブが適切にフォーマットされていること、ドライブ文字} が割り当てられていることを確認します。

■ _{「PROnetworks Boot Pro」や「Boot-US」などの、サードパーティ製ブート} マネージャをアンインストールします。 ■ _{データのフルバックアップを作成します。} ■ _{次のコマンドを実行してハードディスクにエラーがないかチェックしま} す。 chkdsk %ドライブ% /F /V /X コンピュータを再起動して chkdsk をもう一度実行するようメッセージが 表示される場合があります。詳細は次の文章を参照してください。 http://www.sophos.co.jp/support/knowledgebase/article/107081.html Windows のイベントビューアで結果 (ログファイル) を確認できます。 Windows XP の場合:「アプリケーション - Winlogon」を選択します。 Windows 7、Windows Vista の場合:「Windows ログ - アプリケーション - Wininit」を選択します。 ■ _{Windows 付属のデフラグツールを使用して、ローカルドライブ上で断片} 化されているブートファイル、データファイル、およびフォルダを検出し、最適化します。 defrag %ドライブ% 詳細は次の文章を参照してください。 http://www.sophos.co.jp/support/knowledgebase/article/109226.html

(9)

■ _{コンピュータでイメージング/クローンツールを使用したことがある場合} は、マスタブートレコード (MBR) を修復してください。Windows の DVD からコンピュータを起動し、Windows 回復コンソールで FIXMBR コマン ドを実行します。詳細は次の文章を参照してください。 http://www.sophos.co.jp/support/knowledgebase/article/108088.html ■ _{コンピュータのブートパーティションを FAT から NTFS に変換した場合} で、その後、コンピュータを再起動していない場合は、一度再起動してください。この操作を実行しないと、インストールが正しく終了しないことがあります。

2.3.3 自動で暗号化ソフトをインストールする

エンドポイントコンピュータにフルディスク暗号化機能をインストールするための準備が完了していることを確認します。特に、バージョン 10 のソフォスのウイルス対策ソフトがインストール済みであり、他社製暗号化ソフトがアンインストール済みであることを確認してください。詳細はインストール前にコンピュータの事前準備をする (p. 8) を参照してください。暗号化ソフトを自動でインストールする方法は次のとおりです。 1. Enterprise Console で、フルディスク暗号化機能をインストールするコンピュータを選択します。 2. コンピュータを右クリックして「コンピュータの保護」をクリックしま す。「コンピュータの保護ウィザード」が表示されます。 3. 「ようこそ」ページで、「次へ」をクリックします。 4. 「インストールの種類」ページで「暗号化ソフト」を選択します。 5. 暗号化のサブスクリプションやインストーラの場所が複数ある場合は、 「暗号化する場所」ページが表示されます。「暗号化のサブスクリプショ ン」を選択し、「アドレス」にインストール元を入力します。 6. 「暗号化のサマリー」ページで、インストール中に発生した問題の有無を 確認します。 7. 「アカウント情報」ダイアログボックスで、各コンピュータへのソフト ウェアのインストールに使用できるアカウントの詳細を入力します。インストールはすべてのコンピュータで同時に開始されないので、操作がすべて完了するまで時間がかかることがあります。コンピュータに暗号化ソフトをインストールすると、約 30分後にコンピュータが自動的に再起動します。ポリシーで暗号化機能を有効化する場合、コンピュータを再起動するまで有効になりません。

(10)

コンピュータの起動時の動作、インストール後の初回ログオン、および暗号 化機能の有効化について、詳細は、Sophos Disk Encryption 5.61 ヘルプを参照 してください。

2.3.4 手動で暗号化ソフトをインストールする

自動保護できないコンピュータがある場合は、暗号化ソフトがダウンロードされている共有フォルダ内のインストーラを手動で実行して保護します。この共有フォルダの通称は「インストーラの場所」です。エンドポイントコンピュータにフルディスク暗号化機能をインストールするための準備が完了していることを確認します。特に、バージョン 10 のソフォスのウイルス対策ソフトがインストール済みであり、他社製暗号化ソフトがアンインストール済みであることを確認してください。フルディスク暗号化機能をインストールしている間は、エンドポイント上でアクティブなユーザーセッションが 1つだけであることを確認してください。このようになっていない場合、インストールが正しく終了しません。保護するコンピュータには Windows 管理者としてログオンする必要があります。暗号化ソフトを手動でコンピュータにインストールする方法は次のとおりです。 1. Enterprise Console を開き、「表示」メニューから「インストーラの場所」 を選択して、インストーラが保存されているディレクトリを確認します。 「インストーラの場所」ダイアログボックスの「場所」カラムに各プラッ トフォーム用のインストーラの場所が表示されます。パスをメモします。 2. インストーラの場所に指定されたコンピュータで、読み取り専用のユーザーアカウントを作成します。 3. 各コンピュータに移動し、ローカル管理者権限でログオンします。 4. 「インストーラの場所」にある setup.exe という暗号化機能のセットアッププログラムをダブルクリックします。暗号化機能のセットアッププログラムは、通常、次のフォルダに保存されています。 \\<サーバー名>\SophosUpdate\CIDs\<サブスクリプション名 >\ENCRYPTION 5. ウィザードの指示に従って暗号化ソフトをインストールします。インストールを完了するため、コンピュータが自動的に再起動します。

(11)

3 SDE/SGE 4.x から Sophos Disk Encryption 5.61 へ

の移行

このセクションでは、Sophos SafeGuard Disk Encryption (SDE) 4.6x/SafeGuard Easy (SGE) 4.5x から Sophos Disk Encryption 5.61 に移行する方法について説明します。また、移行が可能/不可能な機能とその詳細についても説明します。 SDE 4.x/SGE 4.x から Sophos Disk Encryption 5.61 に移行する方法は次のとおりです。

■ _{最新の Sophos Enterprise Console を設定する。}

■ _{コンピュータを移行する。}

Sophos Disk Encryption 4.6x や SafeGuard Easy 4.5x ベースのエンドポイントは、ソフォスの暗号化エージェントのインストールパッケージをエンドポイントにインストールすると、直接 Sophos Disk Encryption 5.61 に移行できます。ハードドライブの暗号化は維持されるため、ハードドライブを復号化したり再暗号化したりする必要はありません。移行する前にソフォスの暗号化ソフトをアンインストールする必要はありません。

3.1 Sophos Enterprise Console を設定する

Enterprise Console のインストールが済んでいない場合は、暗号化機能を含む最新バージョンをインストールしてください。以前のバージョンの Enterprise Console がインストールされている場合は、暗号化機能を含む最新バージョンにアップグレードしてください。最新バージョンの Enterprise Console が暗号化機能なしでインストールされている場合は、再インストールして暗号化機能を追加してください。最新バージョンをインストールしたら、フルディスク暗号化ポリシーを構成します。

ヒント: SafeGuard Policy Editor を使用した Enterprise Console 5.1 のデータベー スの管理には対応していません。

3.1.1 Enterprise Console をインストールする

Enterprise Console をインストールする方法は次のとおりです。 1. ソフォスから届いたダウンロードに関するメールに記載されている Web ページを開きます。ユーザー名とパスワードを入力します。適切なインストーラをダウンロードします。

(12)

2. Enterprise Console をインストールするコンピュータに管理者権限でログオンします。 ■ _{サーバーがドメインに属している場合は、ローカル管理者権限を持つ} ドメインアカウントを使用してください。 ■ _{サーバーがワークグループに属している場合は、ローカル管理者権限} を持つローカルアカウントを使用してください。 3. 先にダウンロードした Enterprise Console のインストーラを参照します。 4. インストーラをダブルクリックします。 5. 「インストール」ボタンが表示されたらクリックします。 インストールファイルがコンピュータにコピーされ、ウィザードが起動します。 6. ウィザードの指示に従ってインストールを行います。次の手順を実行してください。 a) 可能な限り、デフォルトの設定をそのまま選択します。 b) 「コンポーネントの選択」ページで、すべてのコンポーネントが選択 されていることを確認します。 c) 「データベースの詳細」ページで、 Enterprise Console をインストール するコンピュータにアクセスできるアカウントの詳細を入力します。管理者アカウントは使用しないでください。 d) 「暗号化の管理」ページで、「暗号化の管理」をクリックします。 e) 「Sophos Encryption」ページで、「新規インストール」をクリックしま す。証明書のバックアップを保管する場所にパスワードを設定するようメッセージが表示されます。このパスワードを書き留めておいてください。 7. インストールが完了すると、再起動するようメッセージが表示されること があります。「はい」または「完了」をクリックします。

3.1.2 Sophos Enterprise Console をアップグレードする

Sophos Enterprise Console バージョン 5.1 より前のバージョンがコンピュータにインストールされている場合は、暗号化機能を含む Sophos Enterprise Console の最新バージョンにアップグレードしてください。

(13)

アップグレードするには、インストーラに表示される手順を参照するか、またはアップグレードセンター (http://www.sophos.co.jp/support/upgrades/) にアクセスして表示される指示に従います。

ヒント: インストールウィザードで、Enterprise Console を使用して暗号化機 能を管理することを選択する必要があります。

3.1.3 Sophos Enterprise Console に暗号化機能を追加する

Sophos Enterprise Console バージョン 5.1 が、暗号化機能なしでコンピュータにインストールされている場合は、再インストールして暗号化機能を追加してください。 1. Enterprise Console をインストールするコンピュータに管理者権限でログオンします。 ■ _{サーバーがドメインに属している場合は、ローカル管理者権限を持つ} ドメインアカウントを使用してください。 ■ _{サーバーがワークグループに属している場合は、ローカル管理者権限} を持つローカルアカウントを使用してください。 2. 先にダウンロードした Enterprise Console のインストーラを参照します。 3. インストーラをダブルクリックします。 4. 「変更」ボタンが表示されたらクリックします。 インストールファイルがコンピュータにコピーされ、ウィザードが起動します。

(14)

5. ウィザードの指示に従ってインストールを行います。次の手順を実行してください。 a) 可能な限り、デフォルトの設定をそのまま選択します。 b) 「コンポーネントの選択」ページで、すべてのコンポーネントが選択 されていることを確認します。 c) 「データベースの詳細」ページで、 Enterprise Console をインストール するコンピュータにアクセスできるアカウントの詳細を入力します。管理者アカウントは使用しないでください。 d) 「暗号化の管理」ページで、「暗号化の管理」をクリックします。 e) 「Sophos Encryption」ページで、「新規インストール」をクリックしま す。証明書のバックアップを保管する場所にパスワードを設定するようメッセージが表示されます。このパスワードを書き留めておいてください。 6. インストールが完了すると、再起動するようメッセージが表示されること があります。「はい」または「完了」をクリックします。

3.1.4 フルディスク暗号化ポリシーを設定する

移行前に暗号化されたコンピュータでは、ハードドライブは暗号化されたままになります。このような暗号化済みのハードドライブには移行前と同様にアクセスできます。

Sophos Enterprise Console で、フルディスク暗号化ポリシーを設定します。暗号化と認証の設定があらかじめ定義されているデフォルトのフルディスク暗号化ポリシーが用意されているため、ポリシーをすばやく簡単に展開できます。デフォルトのポリシーで暗号化するボリュームを選択し、適宜構成します。移行後、コンピュータにフルディスク暗号化ポリシーを適用します。同じ設定内容が各コンピュータに適用されます。

詳細は Sophos Enterprise Console ヘルプを参照してください。

3.2 コンピュータを移行する

Sophos Disk Encryption (SDE) 4.6x/SafeGuard Easy 4.5x がインストールされているコンピュータを Sophos Disk Encryption に移行する方法は次のとおりです。

■ _{コンピュータの事前準備を行う。}

(15)

■ _{移行後、コンピュータにログインする。}

■ _{暗号化済みリムーバルディスク用の鍵を変換する。}

3.2.1 前提条件

■ _{Sophos SafeGuard Disk Encryption 4.6x と SafeGuard Easy 4.5x は直接 Sophos} Disk Encryption にアップグレードできます。また、SafeGuard Easy バージョン 4.3x とバージョン 4.4x からも直接アップグレードできます。4.3x よりも古いバージョンの SafeGuard Easy は、まず SafeGuard Easy 4.50 にアップグレードする必要があります。

■ _{SafeGuard Easy/Sophos SafeGuard Disk Encryption は、次の OSで稼働してい} る必要があります。

Windows XP Professional SP2/SP3

■ _{Windows インストーラのバージョン 3.01 以降がインストールされている} 必要があります。

■ _{Sophos Disk Encryption 5.61 暗号化エージェントのハードウェア要件を満た} している必要があります。

■ _{Lenovo のミドルウェアなど特殊なソフトウェアを使っている場合は、}

Sophos Disk Encryption 5.61 暗号化エージェントのシステム要件を満たしている必要があります。

■ _{ハードディスクが AES128、AES256、3DES、IDEA のいずれかのアルゴリ} ズムで暗号化されている場合のみアップグレードが可能です。

■ _{ユーザーは有効なWindows アカウントとパスワードが必要です。ユーザー} が SAL (Secure Automatic Logon) を使って Windows にログオンしており、 Windows のパスワードがわからない場合は、移行する前に Windows のパスワードをリセットし、新しいパスワードをユーザーに通知する必要があります。

3.2.2 制限

■ _{次の環境は移行できません。また、移行を試みないでください。} ヒント: 次の環境で移行を開始すると、エラーメッセージが表示されます (エラー番号 5006)。デュアルブート環境

(16)

Compaq スイッチがアクティブ化されている環境 Lenovo Computrace 環境ブートセクタのみの暗号化など、部分的に暗号化されているハードドライブ非表示のパーティションを含むハードドライブ次のいずれかのアルゴリズムで暗号化されているハードドライブ: XOR、 STEALTH、DES、RIJNDAEL、Blowfish-8、Blowfish-16 セカンダリパーティションに Windows または Linux があるマルチブートシナリオ ■ _{XOR、STEALTH、DES、RIJNDAEL、Blowfish-8、Blowfish-16 のいずれかの} アルゴリズムで暗号化されているリムーバブルメディアは、移行できません。 ヒント: これらの環境ではデータが消失する危険性があります。移行後、リムーバブルメディア上のデータに Sophos Disk Encryption からアクセスすることはできません。

■ _{Super Floppy ボリュームを含むリムーバブルメディアは、移行後に変換で} きません。

3.2.3 移行される機能

移行される機能と Sophos Disk Encryption における変更点については以下の表を参照してください。

Sophos Disk Encryption 移行

Sophos SafeGuard Disk Encryption/SafeGuard Easy ハードドライブ鍵は Power-on Authentication によって保護されます。そのため、ハードはい暗号化済みハードドライブドライブ鍵は表示されません。SafeGuard Easy で「ブートプロテクション」モードが選択されている場合、現在のバージョンをアンインストールする必要があります。ハードドライブの暗号化アルゴリズムは移行しても変更されません。そのため、この種類の移行されたハードドライブの実際のアルゴリズムは、一般的なポリシーと異なる場合があります。

(17)

Sophos Disk Encryption 移行

Sophos SafeGuard Disk Encryption/SafeGuard Easy 暗号化済みのリムーバルメディアは暗号化されたまま残ります。データをコピーするはい暗号化されたリムーバブルメディア (SafeGuard Easy から移行する場合のみ) と暗号化されます。暗号化されたデータにはアクセスできます。移行前に復号化されたリムーバブルメディアは、移行後も復号化されたまま残ります。 Windows のユーザー名とパスワードが使用されます。いいえ Sophos SafeGuard Disk

Encryption/SafeGuard Easy のユーザー名とパスワードすべての設定の整合性を確保するため、自動アップグレードは実行されません。いいえポリシー Enterprise Console でポリシーを再設定する必要があります。

起動前認証 (PBA) は Power-on Authentication (POA) に置き換えられます。

いいえ起動前認証

エンドポイント上の Sophos Disk Encryption 5.61 はトークン/スマートカードに対応していいえトークン/スマートカード (SafeGuard Easy から移行する場合のみ対象) いません。ユーザー名/パスワード認証または指紋認証でのみログオンできます。ユーザーが Windows のログオン情報を把握していることを必ず確認してください。そうでない場合、ユーザーがログオンできません。指紋認証によるログオンは引き続き使用できます。Sophos Disk Encryption 5.61 でサポーある程度まで可能 Lenovo 指紋リーダーによるログオントされる指紋認証リーダーのハードウェアとソフトウェアが必要です。また指紋ユーザーデータを再度配布する必要があります。指紋認証によるログオンの詳細については、

Sophos Disk Encryption ヘルプを参照してく

ださい。

3.2.4 コンピュータの事前準備を行う

■ _{エンドポイントに暗号化ソフトウェアをインストールする前の事前準備を} 行います。詳細はインストール前にコンピュータの事前準備をする (p. 8) を参照してください。 ■ _{有効なカーネルのバックアップを作成し、このバックアップをネットワー} ク上など常にアクセス可能な場所に保存することをお勧めします。詳細は SafeGuard Easy 4.5x/Sophos SafeGuard Disk Encryption 4.6x ヘルプの「Saving

(18)

the system kernel and creating emergency media (システムカーネルの保存と 緊急用メディアの作成)」という章を参照してください。 ■ _{データ損失のリスクを減らすために、はじめてアップグレードする際はテ} スト環境を用意することをお勧めします。 ■ _{古いバージョンの SafeGuard Easy から移行するときは、まずバージョン} 4.50 にアップグレードしてください。 ■ _{各コンピュータはアップグレード処理のはじめから終りまで起動したまま} にしてください。 ■ _{ヒント: ユーザーは有効な Windows アカウントとパスワードが必要です。} ユーザーが SAL (Secure Automatic Logon) を使って Windows にログオンしており、Windows のパスワードがわからない場合は、移行する前にWindows のパスワードをリセットし、新しいパスワードをユーザーに通知する必要があります。管理者はアップグレード後にユーザーが Windows パスワードを忘れた場合に備えて、ユーザーの Windows のアカウント情報を手元に用意しておく必要があります。

3.2.5 移行を開始する

ヒント:

インストールは、動作中の Sophos SafeGuard Disk Encryption/SafeGuard Easy 上で実行できます。暗号化済みハードドライブを復号化する必要はありません。

移行を開始する方法は次のとおりです。

1. アップグレードするエンドポイントコンピュータで、Sophos SafeGuard Disk Encryption/SafeGuard Easy のプログラムフォルダにある WIZLDR.exe をダブルクリックします。これにより移行ウィザードが開始します。 2. 移行ウィザードで、「SYSTEM」パスワードを入力して「次へ」をクリッ クします。「移行先フォルダ」で「次へ」、「完了」の順にクリックしま す。移行構成ファイル SGEMIG.cfg が作成されます。 3. Windows エクスプローラで、このファイルの名前を SGEMIG.cfg から SGE2SGN.cfg に変更します。 注: このファイル、およびこのファイルがアップグレード中に保存される パスに対して、所有者/作成者権限を設定する必要があります。設定しな いと、アップグレードに失敗し、SGE2SGN.cfg が見つからないというメッ セージが表示されることがあります。

(19)

4. 移行構成ファイルのパスを指定したパラメータ MIGFILE を付けて CID (セントラルインストールディレクトリ) から setup.exe を実行し、Sophos Disk Encryption エージェントをインストールします。

例:

\\<サーバー名>\SophosUpdate\CIDs\<サブスクリプション >\ENCRYPTION\Setup.exe /migfile \\Server\Share\SGE2SGN.cfg

5. Enterprise Console で、先に作成したフルディスク暗号化ポリシーを移行したコンピュータに適用します。

■ _{移行に成功すると、Sophos Disk Encryption エージェントがコンピュータで} 使用できるようになります。

■ _{移行に失敗した場合でも、Sophos SafeGuard Disk Encryption/SafeGuard Easy} を引き続きコンピュータで使用できます。この場合、新しい暗号化エージェントは自動的に削除されます。

3.2.6 移行後コンピュータにログインする

移行したコンピュータにログオンする方法は次のとおりです。 1. エンドポイントコンピュータを再起動します。初回ログオンはこれまでと同様に自動ログオンできます。新しい鍵と証明書がユーザーに割り当てられます。 2. もう一度エンドポイントコンピュータを再起動します。Power-on Authentication でログオンします。各コンピュータは再起動を二回行うまで保護が再開しません。 3. Windows にログオンして新しい鍵とログオン情報を取得します。 4. ハードドライブにアクセスするには、もう一度コンピュータを再起動します。

3.2.7 暗号化されたリムーバブルメディア用の鍵を変換する

変換を開始する前に適切な暗号化用ポリシーがコンピュータに適用されている必要があります。そうでない場合、鍵は変換されません。暗号化されたリムーバブルメディアは変わらず暗号化されたままですが、鍵は互換性のある形式に変換する必要があります。 ヒント:

(20)

変換後、暗号化されたデータメディアは、移行中に変換を行ったエンドポイントコンピュータで Sophos Disk Encryption を使用してのみ読み取りが可能です。 1. コンピュータからメディアを取り外して挿入し直します。こうすることで、確実にリムーバブルディスクを復号化したり、リムーバブルメディア暗号化用の鍵を追加・削除できます。 2. Windows エクスプローラでアクセスするメディアをダブルクリックします。 3. 互換性のある形式に暗号化鍵を変換するか確認メッセージが表示されます。 ■ _{変換を確認すると、移行データへのフルアクセスが可能になります。} ■ _{変換を拒否した場合でも、移行データは読み取り/書き込み権限で開け} ます。

(21)

4 SDE/SGE 5.5x または 5.6x から Sophos Disk

Encryption 5.61 への移行

Sophos SafeGuard Disk Encryption (SDE)/SafeGuard Easy (SGE) 5.5x または 5.6x を、Enterprise Console からの一元管理が可能な Sophos Disk Encryption 5.61 に移行して、包括的に管理を行うことができます。

SDE/SGE 5.5x または 5.6x から Sophos Disk Encryption 5.61 に移行する方法は次のとおりです。

■ _{Enterprise Console を設定する。}

■ _{コンピュータをアップグレードする。}

4.1 Sophos Enterprise Console を設定する

Enterprise Console のインストールが済んでいない場合は、暗号化機能を含む最新バージョンをインストールしてください。以前のバージョンの Enterprise Console がインストールされている場合は、暗号化機能を含む最新バージョンにアップグレードしてください。最新バージョンの Enterprise Console が暗号化機能なしでインストールされている場合は、再インストールして暗号化機能を追加してください。最新バージョンをインストールしたら、フルディスク暗号化ポリシーを構成します。

ヒント: SafeGuard Policy Editor を使用した Enterprise Console 5.1 のデータベー スの管理には対応していません。

4.1.1 Enterprise Console をインストールする

SafeGuard Policy Editor を使用する SafeGuard Disk Encryption 5.5x/5.6x、または SafeGuard Easy 5.5x/5.6x から Sophos Enterprise Console 5.1 に移行するには、次の要件を満たす必要があります。

■ _{対象の SafeGuard Disk Encryption 5.x/SafeGuard Easy 5.x 環境の MSO 証明書} とプライベート鍵 ( .p12) にアクセスできること、また対応するパスワードを利用できること。

■ _{対象の SafeGuard Disk Encryption 5.5x/5.6x、または SafeGuard Easy 5.5x/5.6x} 環境の企業証明書のバックアップ ( .p12) にアクセスできること。

(22)

■ _{Sophos Enterprise Console のサーバーコンポーネントは、SafeGuard Policy} Editor または Sophos SafeGuard Client がインストールされているコンピュータにはインストールできません。 1. ソフォスから届いたダウンロードに関するメールに記載されている Web ページを開きます。ユーザー名とパスワードを入力します。適切なインストーラをダウンロードします。 2. Enterprise Console をインストールするコンピュータに管理者権限でログオンします。 ■ _{サーバーがドメインに属している場合は、ローカル管理者権限を持つ} ドメインアカウントを使用してください。 ■ _{サーバーがワークグループに属している場合は、ローカル管理者権限} を持つローカルアカウントを使用してください。 3. 先にダウンロードした Enterprise Console のインストーラを参照します。 4. インストーラをダブルクリックします。 5. 「インストール」ボタンが表示されたらクリックします。 インストールファイルがコンピュータにコピーされ、ウィザードが起動します。 6. ウィザードの指示に従ってインストールを行います。次の手順を実行してください。 a) 可能な限り、デフォルトの設定をそのまま選択します。 b) 「コンポーネントの選択」ページで、すべてのコンポーネントが選択 されていることを確認します。 c) 「データベースの詳細」ページで、 Enterprise Console をインストール するコンピュータにアクセスできるアカウントの詳細を入力します。管理者アカウントは使用しないでください。 d) 「暗号化の管理」ページで、「暗号化の管理」をクリックします。 e) 「Sophos Encryption」ページで、「既存のインストール」をクリックし ます。 f) 「証明書のインポート」ページで、「インポート」をクリックして、 前回の Sophos Encryption インストールの証明書のバックアップを参照します。各バックアップ用のパスワードを入力します。 7. インストールが完了すると、再起動するようメッセージが表示されること があります。「はい」または「完了」をクリックします。

(23)

4.1.2 Sophos Enterprise Console をアップグレードする

Sophos Enterprise Console バージョン 5.1 より前のバージョンがコンピュータにインストールされている場合は、暗号化機能を含む Sophos Enterprise Console の最新バージョンにアップグレードしてください。アップグレードするには、インストーラに表示される手順を参照するか、またはアップグレードセンター (http://www.sophos.co.jp/support/upgrades/) にアクセスして表示される指示に従います。 ヒント: インストールウィザードで、Enterprise Console を使用して暗号化機 能を管理することを選択する必要があります。

4.1.3 Sophos Enterprise Console に暗号化機能を追加する

Sophos Enterprise Console バージョン 5.1 が、暗号化機能なしでコンピュータにインストールされている場合は、再インストールして暗号化機能を追加してください。 1. Enterprise Console をインストールするコンピュータに管理者権限でログオンします。 ■ _{サーバーがドメインに属している場合は、ローカル管理者権限を持つ} ドメインアカウントを使用してください。 ■ _{サーバーがワークグループに属している場合は、ローカル管理者権限} を持つローカルアカウントを使用してください。 2. 先にダウンロードした Enterprise Console のインストーラを参照します。 3. インストーラをダブルクリックします。 4. 「変更」ボタンが表示されたらクリックします。 インストールファイルがコンピュータにコピーされ、ウィザードが起動します。

(24)

5. ウィザードの指示に従ってインストールを行います。次の手順を実行してください。 a) 可能な限り、デフォルトの設定をそのまま選択します。 b) 「コンポーネントの選択」ページで、すべてのコンポーネントが選択 されていることを確認します。 c) 「データベースの詳細」ページで、 Enterprise Console をインストール するコンピュータにアクセスできるアカウントの詳細を入力します。管理者アカウントは使用しないでください。 d) 「暗号化の管理」ページで、「暗号化の管理」をクリックします。 e) 「Sophos Encryption」ページで、「既存のインストール」をクリックし ます。 f) 「証明書のインポート」ページで、「インポート」をクリックして、 前回の Sophos Encryption インストールの証明書のバックアップを参照します。各バックアップ用のパスワードを入力します。 6. インストールが完了すると、再起動するようメッセージが表示されること があります。「はい」または「完了」をクリックします。

4.1.4 フルディスク暗号化ポリシーを設定する

移行前に暗号化されたコンピュータでは、ハードドライブは暗号化されたままになります。このような暗号化済みのハードドライブには移行前と同様にアクセスできます。

Sophos Enterprise Console で、フルディスク暗号化ポリシーを設定します。暗号化と認証の設定があらかじめ定義されているデフォルトのフルディスク暗号化ポリシーが用意されているため、ポリシーをすばやく簡単に展開できます。デフォルトのポリシーで暗号化するボリュームを選択し、適宜構成します。移行後、コンピュータにフルディスク暗号化ポリシーを適用します。同じ設定内容が各コンピュータに適用されます。

詳細は Sophos Enterprise Console ヘルプを参照してください。

4.2 コンピュータをアップグレードする

Sophos Disk Encryption 5.61 のエージェントソフトウェアをインストールし、 Sophos SafeGuard Disk Encryption (SDE)/SafeGuard Easy (SGE) 5.5x または 5.6x がインストールされているコンピュータを、Sophos Disk Encryption 5.61 に

(25)

アップグレードします。以前のバージョンのソフォスの暗号化ソフトをアンインストールする必要はありません。

この操作は自動または手動で実行できます。

ヒント: SafeGuard Data Exchange がインストールされているエンドポイント を移行することはできません。必ず SafeGuard Data Exchange をアンインストールしてから移行してください。

4.2.1 自動で暗号化ソフトをインストールする

エンドポイントコンピュータにフルディスク暗号化機能をインストールするための準備が完了していることを確認します。特に、バージョン 10 のソフォスのウイルス対策ソフトがインストール済みであり、他社製暗号化ソフトがアンインストール済みであることを確認してください。詳細はインストール前にコンピュータの事前準備をする (p. 8) を参照してください。暗号化ソフトを自動でインストールする方法は次のとおりです。 1. Enterprise Console で、フルディスク暗号化機能をインストールするコンピュータを選択します。 2. コンピュータを右クリックして「コンピュータの保護」をクリックしま す。「コンピュータの保護ウィザード」が表示されます。 3. 「ようこそ」ページで、「次へ」をクリックします。 4. 「インストールの種類」ページで「暗号化ソフト」を選択します。 5. 暗号化のサブスクリプションやインストーラの場所が複数ある場合は、 「暗号化する場所」ページが表示されます。「暗号化のサブスクリプショ ン」を選択し、「アドレス」にインストール元を入力します。 6. 「暗号化のサマリー」ページで、インストール中に発生した問題の有無を 確認します。 7. 「アカウント情報」ダイアログボックスで、各コンピュータへのソフト ウェアのインストールに使用できるアカウントの詳細を入力します。インストールはすべてのコンピュータで同時に開始されないので、操作がすべて完了するまで時間がかかることがあります。コンピュータに暗号化ソフトをインストールすると、約 30分後にコンピュータが自動的に再起動します。ポリシーで暗号化機能を有効化する場合、コンピュータを再起動するまで有効になりません。コンピュータの起動時の動作、インストール後の初回ログオン、および暗号 化機能の有効化について、詳細は、Sophos Disk Encryption 5.61 ヘルプを参照 してください。

(26)

4.2.2 手動で暗号化ソフトをインストールする

自動保護できないコンピュータがある場合は、暗号化ソフトがダウンロードされている共有フォルダ内のインストーラを手動で実行して保護します。この共有フォルダの通称は「インストーラの場所」です。エンドポイントコンピュータにフルディスク暗号化機能をインストールするための準備が完了していることを確認します。特に、バージョン 10 のソフォスのウイルス対策ソフトがインストール済みであり、他社製暗号化ソフトがアンインストール済みであることを確認してください。フルディスク暗号化機能をインストールしている間は、エンドポイント上でアクティブなユーザーセッションが 1つだけであることを確認してください。このようになっていない場合、インストールが正しく終了しません。保護するコンピュータには Windows 管理者としてログオンする必要があります。暗号化ソフトを手動でコンピュータにインストールする方法は次のとおりです。 1. Enterprise Console を開き、「表示」メニューから「インストーラの場所」 を選択して、インストーラが保存されているディレクトリを確認します。 「インストーラの場所」ダイアログボックスの「場所」カラムに各プラッ トフォーム用のインストーラの場所が表示されます。パスをメモします。 2. インストーラの場所に指定されたコンピュータで、読み取り専用のユーザーアカウントを作成します。 3. 各コンピュータに移動し、ローカル管理者権限でログオンします。 4. 「インストーラの場所」にある setup.exe という暗号化機能のセットアッププログラムをダブルクリックします。暗号化機能のセットアッププログラムは、通常、次のフォルダに保存されています。 \\<サーバー名>\SophosUpdate\CIDs\<サブスクリプション名 >\ENCRYPTION 5. ウィザードの指示に従って暗号化ソフトをインストールします。インストールを完了するため、コンピュータが自動的に再起動します。

4.3 2つの SDE/SGE 5.5x または 5.6x 環境を Sophos Disk

Encryption 5.61 に統合する

(27)

ここでの手順は、異なる企業証明書を持つ 2つの Sophos SafeGuard Disk Encryption (SDE) 5.5x/5.6x 環境、または SafeGuard Easy (SGE) 5.5x/5.6x 環境を使用している場合で、それらを 1つの環境 (Sophos Disk Encryption) に移行するときだけ実行する必要があります。

ヒント: SDE/SGE 5.5x または 5.6x から Sophos Disk Encryption 5.61 への移行手 順を完了している必要があります。詳細は、SDE/SGE 5.5x または 5.6x から Sophos Disk Encryption 5.61 への移行 (p. 21) を参照してください。

SDE/SGE で保護するコンピュータは、1つの SafeGuard Policy Editor で管理される単一の SDE/SGE 環境に移動する必要があります。このため、移動元 (移動する必要のあるコンピュータ) と移動先 (コンピュータの移動先である SDE/SGE 環境) を決める必要があります。

4.3.1 企業証明書を置き換える

次の前提条件を満たす必要があります。どちらの Policy Editor 環境をもとに統一するか (つまり置き換え元と置き換え先) を決定してください。移動するエンドポイントの構成パッケージを作成したときに使用した Policy Editor は置き換え元になります。エンドポイントの移動先にある Policy Editor は置き換え先になります。企業証明書を置き換える方法は次のとおりです。

1. Sophos Disk Encryption (SafeGuard Policy Editor バージョン 5.61 搭載) に統合する、2つの環境の SafeGuard Policy Editor の各インスタンスをアップグレードします。必要に応じて、有効なライセンスファイルをインポートするか、または新しいバージョンの SafeGuard Policy Editor と共にダウンロードできるライセンスファイルを使用します。詳細については、SafeGuard Disk Encryption または SafeGuard Easy の管理者ヘルプ」を参照してくださ い。 2. 置き換え先の Policy Editor で企業証明書を出力します。「ツール」メニュー で「オプション」をクリックします。「証明書」タブを選択し、「企業証 明書」の「エクスポート」ボタンをクリックします。証明書のバックアッ プ用パスワードを入力・確認入力して、出力先ディレクトリとファイル名を選択します。企業証明書が出力されます (P12 ファイル)。

(28)

3. 置き換え元 Policy Editor の「ツール」メニューで、「オプション」をク リックして「署名付きの Company Certificate Change Order (CCO) を作成す る」の横にある「作成...」を選択します。「CCO の作成」ダイアログで、 置き換え先 Policy Editor で出力した企業証明書 (ステップ 2) を参照します。 正しい証明書が選択されていることを確認します。「作成」をクリックし て .cco ファイルの出力先ディレクトリとファイル名を選択します。Company Certificate Change Order (CCO) を作成することを確認します。

4. 置き換え先の Policy Editor で構成パッケージを作成します。「ツール」メ ニューで「構成パッケージツール」をクリックして、新しい構成パッケー ジを追加します。ポリシーグループと POA グループの設定は「未構成」 のままにします。鍵のバックアップの作成場所を指定しないでください。 「Company Certificate Change order (CCO) を含む」を選択して出力先を指 定します。「構成パッケージの作成」をクリックします。選択画面が表示 されたら、作成した .cco ファイルを選択します。「開く」を選択します。 指定した場所に構成パッケージが作成されます。 ヒント: Enterprise Console で必要なため、既存の構成パッケージを削除し たり、変更したりしないでください。 5. この構成パッケージを、移行するすべてのエンドポイントにインストールします。

(29)

5 Sophos Disk Encryption 5.61 から SafeGuard

Enterprise への移行

Sophos Disk Encryption 5.61 を SafeGuard Enterprise に移行する方法は次のとおりです。

■ _{次の要領で SEC の企業証明書を出力します。Enterprise Console の「ツー} ル」メニューで、「暗号化の管理」をクリックし、「企業証明書のバック アップ」を選択します。出力先フォルダとファイル名を選択し、画面の指 示に従って .P12 ファイルのパスワードを入力します。

■ _{SafeGuard Management Center と SafeGuard Enterprise Server をインストール} します。

ヒント: 暗号化機能を含む SEC 管理サーバーをサーバーにインストール済 みの場合は、SafeGuard Enterprise を別のサーバーにインストールしてください。

■ _{SafeGuard Management Center 構成ウィザードで、データベースを新規作成} するオプションを選択し、エクスポート済みの企業証明書をインポートします。

■ _{SafeGuard Management Center で次のようにしてエンドポイント構成パッ} ケージを作成します。「ツール」メニューで、「構成パッケージツール」 をクリックします。「管理型クライアント用パッケージ」を選択し、詳細 を指定して、構成パッケージを作成します。

■ _{構成パッケージをエンドポイントに展開します。パッケージを取得する}

と、エンドポイントが SafeGuard Enterprise Server に接続できるようになります。以後、エンドポイントを SafeGuard Management Center で管理できます。

■ _{SafeGuard Management Center で必要に応じてポリシーを作成・適用しま} す。

移行したエンドポイントは、SafeGuard Enterprise の「管理対象」として Enterprise Console に表示されます。暗号化に関連するタスク以外は移行前と同様に実行できます。

SafeGuard Enterprise のインストールの詳細は、「SafeGuard Enterprise インス トールガイド」を参照してください。

(30)

6 テクニカルサポート

ソフォス製品のテクニカルサポートは、次のような形でご提供しております。 ■ _{「SophosTalk」ユーザーフォーラム (英語) (}_{http://community.sophos.com/}₎ のご利用。さまざまな問題に関する情報を検索できます。 ■ _{ソフォスサポートデータベースのご利用。}_{http://www.sophos.co.jp/support/} ■ _{製品ドキュメントのダウンロード。}_{http://www.sophos.co.jp/support/docs/} ■ _{メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および} 適用しているパッチの種類、エラーメッセージの内容などを、 [email protected]までお送りください。

(31)

7 ご利用条件

Copyright © 1996 - 2012 Sophos Group.All rights reserved.SafeGuard は Sophos Group の登録商標です。この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可されている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。

Sophos、Sophos Anti-Virus および SafeGuard は、Sophos Limited、Sophos Group および Utimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、各社の登録商標または商標です。

サードパーティコンポーネントの著作権に関する情報は、製品ディレクトリ 内の「Disclaimer and Copyright for 3rd Party Software」(英語) というドキュメ ントをご覧ください。