セキュリティ機能（TPM）設定ガイド

セキュリティ機能（TPM）設定ガイド

ຊॻͰ͸ɺηΩϡϦςΟνοϓʢҎ߱ɺ51.ʣͷηΩϡϦςΟػೳͷઃఆํ๏ʹͭ

͍ͯઆ໌͠·͢ɻ

51.ͷηΩϡϦςΟػೳ͸؅ཧऀ޲͚Ͱ͢ɻ಺༰Λॆ෼ʹཧղ͠ɺ͓٬༷ͷ੹೚ʹ

͓͍ͯ࢖༻͍ͯͩ͘͠͞ɻಡΈऴΘͬͨ͋ͱ͸ɺ͍ͭͰ΋औΓग़ͤΔ৔ॴʹอ؅ͯ͠

͍ͩ͘͞ɻ

マニュアル中の表記について

本書では次のような記号を使用しています。

一般情報に関する記号

名称の表記

本書では、コンピュータで使用する製品の名称を次のように略して表記します。

オペレーティングシステムに関する記述

本書では、オペレーティングシステムの名称を次のように略して表記します。 制限事項です。 機能または操作上の制限事項を記載しています。 参考事項です。 覚えておくと便利なことを記載しています。 『　　』 本書とは別のマニュアルを示します。 例）『ユーザーズマニュアル』：本機に添付の『ユーザーズマ ニュアル』を示します。 参照ページを示します。 操作手順です。 ある目的の作業を行うために、番号に従って操作します。 HDD ハードディスクドライブ

Windows Vista Windows Vista® Ultimate Windows Vista® Enterprise Windows Vista® Business Windows Vista® Home Premium Windows Vista® Home Basic Windows Vista x64 Windows Vista® Ultimate 64-bit

Windows Vista® Business 64-bit Windows XP Microsoft® Windows® XP Professional

Microsoft® Windows® XP Home Edition

Windows XP x64 Microsoft® Windows® XP Professional x64 Edition

マニュアル中の表記について ... 2 TPMの概要 ... 4 TPMとは ... 4 TPMのセキュリティ機能 ... 5 使用時の注意 ... 6 使い始めるまでの準備 ... 8 作業の流れ ... 8 BIOSの設定 ... 9 セキュリティチップユーティリティのインストール ... 9 Security Platformのセットアップ ... 11 セットアップ終了後の作業 ... 16 Security Platform設定ツールの操作 ... 19 Security Platform設定ツールを使う ... 19 Windowsを再インストールする場合は ... 23 Windowsを再インストールする前に ... 23 Windowsの再インストール後の作業 ... 23 Security Platformの設定を復元する ... 24 緊急時復元を実行する前に ... 24 緊急時復元方法 ... 25 こんなときは ... 26 付録 ... 27

TPMの概要

本機のメインボード上には、TCG（Trusted Computing Group）の仕様に準拠し たセキュリティチップ（TPM：Trusted Platform Module）が搭載されています。 本章では、TPMの機能について説明します。

`

TPMとは

TPMとは、コンピュータのセキュリティを保護する機能を持ったメインボード 上のチップです。TPMはOSやほかのハードウェアから独立して機能するため、 ファイルの暗号化を行う場合、従来はHDDで格納していた暗号鍵をTPM内で格 納します。HDDが盗難などによる被害にあったり、なりすましで不正コピーさ れたりしても、解読の暗号鍵がないためTPMを使用した暗号化データは読み取 ることができません。このため、TPMを使用したファイルの暗号化では、より 安全にデータを保護できます。 ＜TPM未搭載PC（従来）の場合＞ ＜TPM搭載PCの場合＞ 暗号鍵 暗号データ 暗号データ 暗号鍵 セキュリティチップ（TPM）

`

TPMのセキュリティ機能

次の機能でTPMのセキュリティ機能を利用すると、TPMの暗号鍵を利用して ファイル認証を行うため、より高いセキュリティを確保することができます。 TPMのセキュリティ機能を利用するには、セキュリティチップユーティリティ 「Security Platform」のインストールが必要です。

電子メールの保護

WindowsメールやOutlook Expressなどの電子メールソフトでメールを送受信す る際、第三者に内容を見られないようにメールを暗号化したり、デジタル証明 書による署名を添付したりするなどしてなりすましを防止することができま す。 ＊この機能を利用するには、第三者認証機関からデジタル証明書を取得する必 要があります。

暗号化ファイルシステム（EFS）によるファイルとフォルダの暗号化

Windows標準のEFSをTPMと組み合わせて利用すると、ファイルやフォルダを 暗号化して保護することができます。暗号化されたファイルやフォルダを利用 するには、パスワード入力に加え、暗号化されたときと同一のハードウェア環 境が必要です。このため、データの改ざんや情報の漏洩などを防止できます。

Personal Secure Drive（PSD）によるファイルとフォルダの暗号化

PSDとは、高度な暗号化技術によって保護された仮想ドライブです。第三者の ユーザーアカウントでWindowsにログインした場合、仮想ドライブのファイル やフォルダは表示されません。

BitLockerによる暗号化

＜Windows Vista Ultimate、Windows Vista Enterpriseをお使いの場合＞

Windows Vistaの機能「BitLocker」を利用すると、Windowsがインストールされ ているドライブ全体（通常はCドライブ）を暗号化して保護することができま す。

BitLockerの概要や使用方法は、Windowsのヘルプをご覧ください。

Windows Vista Home Premium、Windows Vista Home Basic、Windows XP Home Edition をお使いの場合、暗号化ファイルシステム（EFS）は利用で きません。

使用時の注意

TPMを使用する際には、次のような注意事項があります。TPMを使用する前に、 必ず確認してください。

TPM使用上の注意

TPMのセキュリティ機能は、データやハードウェアの保護を保障するものでは ありません。TPMの使用によって障害や損害が発生した場合、当社では責任を 負いかねますので、あらかじめご了承ください。お客様自身の判断と責任にお いて、TPMをご使用ください。また、TPMに関する操作は慎重に行ってくださ い。 万一、パスワードを忘れたり、セキュリティ機能の設定の復元用データを紛失 するなどして、暗号化されたデータを利用できなくなった場合、当社では、デー タの暗号化を解除することはできません。

パスワードに関する注意

TPMのセキュリティ機能を使用するために、いくつかのパスワードを設定しま す。設定したパスワードは、紙などに記入し安全な場所に保管するなどして、 絶対に忘れないようにしてください。

セキュリティ機能の設定復元時の注意

Windowsの再インストール後、TPMのセキュリティ機能の設定を復元する場合 は、バックアップアーカイブや復元用トークンが必要です。これらは、「Security Platform」の初期設定で作成します。作成したバックアップアーカイブや復元 用トークンは、USB外部記憶装置などの外部メディアに保存して、安全な場所 に保管しておいてください。 パスワードを忘れた場合には、いかなる方法を用いても TPM のセキュリティ機 能の設定を復元することはできません。 バックアップアーカイブや復元用トークンがないと、いかなる方法を用いても TPM のセキュリティ機能の設定を復元することはできません。

BitLocker使用時の注意

＜Windows Vista Ultimate、Windows Vista Enterpriseをお使いの場合＞

BitLockerはコンピュータ起動時にシステムのチェックを行っており、TPMと組 み合わせて使用している場合に次の操作を実行すると、Windowsがロックされ 起動できなくなります。 次の操作を行う必要がある場合には、あらかじめBitLockerを解除しておくこと をおすすめします。 z BIOS上でTPMの情報の初期化（クリア） z BIOSのアップデート z BIOSで起動デバイスの順番を変更 z HDDの不具合 z HDDをほかのコンピュータに装着 Windowsがロックされてしまった場合、ロックを解除するにはBitLockerの回復 パスワードが必要です。BitLocker使用時は、必ず回復パスワードを作成してお いてください。

使い始めるまでの準備

本章では、TPMを使用できるようになるまでの作業について説明します。 TPMを使用する場合は、次の作業を行ってください。

`

作業の流れ

TPMを使用できるようになるまでの作業の流れは、次のとおりです。 ここで設定するパスワードとファイルの一覧は、 p.27 「付録」 をご覧ください。 ＜作業の流れ＞ ＜設定するパスワード＞ ＜設定するファイル＞

BIOSの設定 p.9 BIOS Supervisor Password −

「BIOS Setupユーティリティ」で、TPMを有効に設定 します。 セキュリティチップユーティリティの インストール p.9 − − セキュリティチップユーティリティ「Security Platform」 をインストールします。 Security Platformの 初期設定 p.11 ・所有者パスワード ・復元用トークンのパス ワード ・パスワードリセット用の パスワード ・バックアップアーカイブ ・復元用トークン ・パスワードリセットトー クン 本機の所有者のパスワードを設定したり、Security Platformの設定を復元できるようにするためのバック アップを作成したりします。 Security Platformの基本ユーザーの設定 p.14 基本ユーザーのパスワード 個人シークレット TPMを使用する基本ユーザーのパスワードやセキュ リティ機能の設定を行います。 セットアップ終了後の作業 p.16 − − 各機能ごとに必要な設定を行います。

`

BIOSの設定

最初に、BIOSの設定を行います。

機能を有効にする

購入時、TPMは無効に設定されています。「BIOS Setupユーティリティ」で、 TPMを有効に設定します。 『ユーザーズマニュアル』－「セキュリティチップ（TPM）によるデータ の暗号化」

管理者パスワードを設定する

BIOSの設定内容を第三者に変更されないように、BIOSに管理者パスワード （Supervisor Password）を設定し、User Access Levelを制限することをおすすめし

ます。 『ユーザーズマニュアル』－「Passwordの設定」または「パスワードを設 定する」

`

セキュリティチップユーティリティのインストール

セキュリティチップユーティリティのインストールを行います。 セキュリティチップユーティリティの収録場所によって、インストール画面の 表示方法は異なります。 z アプリケーションCD とドライバCD が添 ：アプリケーションCDから表示 付されている場合 z ドライバCDのみが添付されている場合 ：ドライバCDから表示 z ドライバCDが添付されていない場合 ：リカバリツールから表示 セキュリティチップユーティリティ「Security Platform」のインストール手順は、 次のとおりです。

1

インストールを開始します。 ＜アプリケーションCDまたはドライバCDから表示＞ (1) アプリケーションCD またはドライバCD を光ディスクドライブにセットし ます。

使い始めるまでの準備 (2)「自動再生」画面が表示されたら、「Install.exeの実行」をクリックします。 Windows XPをお使いの場合、正しくセットされると自動的に「ドライ バ・ソフトウェアのインストール」画面が表示されます。 画面が表示されない場合は、［スタート］－「（マイ）コンピュータ」－ 「EPSON_CD」をダブルクリックします。 (3)「ユーザーアカウント制御」画面が表示された場合は、［許可］をクリックし ます。 (4)「ドライバ・ソフトウェアのインストール」画面が表示されたら「セキュリ ティチップユーティリティ」をクリックします。 ＜リカバリツールから表示＞ (1) デスクトップ上の「リカバリツール」アイコンをダブルクリックします。 (2)「ユーザーアカウント制御」画面が表示された場合は、［続行］をクリックし ます。 (3)「リカバリツール」画面が表示されたら、［インストール］をクリックします。 (4) 本体ドライバやソフトウェアの一覧が表示されたら、一覧から「アプリケー ションCD」を選択して［インストール］をクリックします。 (5)「アプリケーションのインストール」画面が表示されたら、一覧から「セキュ リティーチップユーティリティー」をクリックします。

2

「Infineon TPM Professional Package − InstallShield Wizard」画面 が表示されたら、［次へ］をクリックします。

3

「使用許諾契約」画面が表示されたら、内容をよくお読みになり、「使用許諾 契約の条項に同意します」を選択し、［次へ］をクリックします。

4

「ユーザ情報」画面が表示されたら、「ユーザ名」と「所属」を入力して［次 へ］をクリックします。 コンピュータを個人でお使いの場合には、「所属」は入力しなくてもかまい ません。

5

「セットアップタイプ」画面が表示されたら、「すべて」が選択されているこ とを確認し、［次へ］をクリックします。

6

「プログラムをインストールする準備ができました」と表示されたら、［イン ストール］をクリックします。 インストールが開始されます。インストールには、約3～4分かかります。

7

「InstallShield ウィザードを完了しました」と表示されたら、［完了］をク リックします。

8

「Readme」が表示されたら、内容をよくお読みになり、読み終えたら画面 右上の をクリックして画面を閉じます。

9

「Infineon TPM Professional Packageに対する・・・」と表示された ら、［はい］をクリックします。 コンピュータが自動的に再起動します。 ドライバCDからインストールを行った場合、再起動時に「Kernel Loading...」 画面が表示されます。そのまま10秒程待つとWindowsが起動するので、起動 後にドライバCDを取り出してください。 これで、セキュリティチップユーティリティ「Security Platform」のインストー ルは完了です。

`

Security Platformのセットアップ

「Security Platform」をセットアップして、次の設定を行います。 zSecurity Platformの初期設定 zSecurity Platformの基本ユーザーの設定 セットアップする項目の詳細については、ヘルプを参照してください。ヘルプ は各画面で［ヘルプ］をクリックすると表示されます。

Security Platformの初期設定

ここでは、次の設定を行います。 z コンピュータの所有者の設定 z バックアップの設定 z バックアップを復元するための復元用トークンとそのパスワード 途中で、USB外部記憶装置などの外部メディアが必要になるため、あらかじめ 準備をしておいてください。

1

通知領域（タスクトレイ）の「Security Platform」アイコンを右クリッ Security Platform の セ ッ ト ア ップ で 設 定 す るパ ス ワ ー ド やフ ァ イ ル は、 Security Platform の設定を復元する際に必要になります。パスワードを忘れ たり、ファイルを紛失したりしないようにしてください。これらの情報がない と、万一の場合に設定を復元することができません。

使い始めるまでの準備

2

表示されたメニューから「Security Platformの初期化」をクリックします。

3

「ユーザーアカウント制御」画面が表示された場合は、［続行］をクリックし ます。

4

「Infineon Security Platform初期化ウィザード」画面が表示されたら、［次 へ］をクリックします。

5

［初期化］画面が表示されたら、「Security Platformの初期化」にチェック が付いていることを確認して［次へ］をクリックします。

6

「Security Platform所有者を作成します。」と表示されたら、「パスワード」 と「パスワードの確認入力」に、所有者のパスワードを入力して、［次へ］ をクリックします。 所有者パスワードは、コンピュータの所有者を認証するものです。緊急時に 設定を復元する際に使用します。パスワードは絶対に忘れないようにしてく ださい。

7

「機能」画面が表示されたら、［次へ］をクリックします。

8

「自動バックアップ」画面が表示されたら、Security Platform設定のバッ クアップアーカイブを保存する場所と、自動バックアップのスケジュールを 指定して［次へ］をクリックします。 ［参照］をクリックすると、デフォルトのファイル名「SPSystemBackup.xml」 が指定されます。 バックアップアーカイブには、Security Platformの設定や証明書の情報などが 保存され、設定を復元する際に使用します。

9

「緊急時復元」画面が表示されたら、次の復元用トークンの設定をして［次 へ］をクリックします。 復元用トークンは、緊急時に設定を復元する際に使用します。 (1)「新しい復元用トークンを作成する」にチェックを付けます。 (2)「ファイルの場所」に復元トークンの保存先を指定します。 ［参照］をクリックすると、デフォルトのファイル名「SPEmRecToken.xml」 が指定されます。 万一、HDDが破損した場合に備えて、USB外部記憶装置などを指定する ことをおすすめします。また、復元トークンを保存したメディアは紛失 したり、盗難にあったりしないように、安全な場所に保管してください。 (3)「パスワード」と「パスワードの確認入力」に、復元トークン用のパスワー ドを入力します。

10

「パスワードリセット」画面が表示されたら、次のパスワードリセットトー クンの設定をして［次へ］をクリックします。 パスワードリセットトークンは、基本ユーザーパスワードを忘れてしまった 場合に、基本ユーザーのパスワードをリセットするために使用します。 (1)「新しいトークンを作成する」にチェックを付けます。 (2)「ファイルの場所」にパスワードリセットトークンの保存先を指定します。 ［参 照］を ク リ ッ ク す る と、デ フ ォ ル ト の フ ァ イ ル 名「SPPwdReset Token.xml」が指定されます。 パスワードリセットトークンは、HDDが破損した場合に備えて、USB外 部記憶装置などを指定することをおすすめします。また、パスワードリ セットトークンを保存したメディアは紛失したり、盗難にあったりしな いように、安全な場所に保管してください。 (3)「パスワード」と「パスワードの確認入力」に、パスワードリセットトーク ンのパスワードを入力します。 「パスワードリセットトークンのパスワード」は、パスワードリセット トークンを使用する際に必要になります。パスワードは絶対に忘れないよ うにしてください。

11

「サマリー」と表示されたら、画面の内容を確認して［次へ］をクリックし ます。

12

「ウィザードが正常に終了しました。」と表示されたら、「Security Platform ユーザー初期化ウィザードを起動する」にチェックを付けて［完了］をク リックします。 「自動バックアップを今すぐ起動」にはチェックを付けないでください。 ここで実行した自動バックアップでは、すべてのSecurity Platformの設定を バックアップできません。次項「Security Platformの基本ユーザーの設定」が 終了してから、初回の自動バックアップを実行してください。 これで、「Security Platformの初期設定」は完了です。 続いて、「Security Platformの基本ユーザーの設定」を行います。

使い始めるまでの準備

Security Platformの基本ユーザーの設定

ここでは、次の設定を行います。 z基本ユーザーのパスワード zSecurity Platformの機能 • 電子メールの保護 • 暗号化ファイルシステム（EFS）によるファイルとフォルダの暗号化 • Personal Secure Drive（PSD）によるファイルとフォルダの暗号化 基本ユーザーの設定手順は、次のとおりです。

1

「Infineon Security Platformユーザー初期化ウィザード」画面が表示され たら、［次へ］をクリックします。

2

「基本ユーザーパスワード」画面が表示されたら、「パスワード」と「パス ワードの確認入力」に基本ユーザーのパスワードを入力して、［次へ］をク リックします。 基本ユーザーのパスワードは、本機能を利用する基本ユーザーを認証するた めのものです。暗号化したデータにアクセスする際に使用します。パスワー ドは絶対に忘れないようにしてください。

3

「基本ユーザーパスワードリセット」画面が表示されたら、「緊急時の基本 ユーザーパスワードのリセットを有効にする」にチェックが付いていること を確認し、個人シークレットを保存する場所を指定して［次へ］をクリック します。 ［参照］をクリックすると、デフォルトのファイル名「SPPwdResetSecret.xml」 が指定されます。 個人シークレットは、基本ユーザーのパスワードをリセットする際に必要で す。個人シークレットファイルは、安全な場所に保管してください。

4

「パスワードと認証」画面が表示されたら、画面の内容を確認して［次へ］ をクリックします。

5

「Security Platformの機能」画面が表示されたら、セキュリティを設定し たい機能にチェックを付けて、［次へ］をクリックします。 各機能の詳細は、 p.5 「TPMのセキュリティ機能」を参照してください。 これらの設定は、あとから追加したり変更したりすることができます。 p.19 「Security Platform設定ツールの操作」

6

手順 5で「電子メールの保護」を選択した場合には、「電子メールの保護の 設定をしてください。」と表示されます。画面の内容をよく読んでから、［次 へ］をクリックします。

7

「暗号化証明書」画面が表示された場合は、次の手順で証明書を選択します。 (1)［選択］をクリックします。 (2)「選択した目的の証明書を表示します」と表示されたら、証明書リストから 使用する証明書を選択して［選択］をクリックします。 証明書リストに証明書が表示されていない場合は、［作成］をクリック して自己署名付き証明書を作成してから選択します。外部の認証機関の 証明書をインポートして選択することもできます。 (3)「暗号化証明書」画面が表示されたら、［次へ］をクリックします。

8

手順5で「Personal Secure Drive（PSD）によるファイルとフォルダの 暗号化」を選択した場合には、「・・・Personal Secure Driveを設定し てください。」と表示されます。次の設定を行ってください。

(1)「Personal Secure Driveに割り当てるドライブ文字」に任意のドライブレ

ター、「Personal Secure Driveのドライブラベル」にドライブ名を入力し て、［次へ］をクリックします。

ドライブレターは、ドライブの識別記号になります。

(2)「Personal Secure Driveの容量を…」と表示されたら、次の項目を設定し

て［次へ］をクリックします。

zPSDの容量

PSDに割り当てる容量を指定します。「システムの復元」機能を利用 するには、最低でも200MB以上を割り当ててください。

zPersonal Secure Driveが保存される既存のドライブ

PSDを保存する内蔵ドライブを指定します。ドライブ内には、上記で 指定したPSDの容量以上の空き容量が必要です。 (3)「ユーザーアカウント制御」画面が表示された場合は、［続行］をクリックし ます。

9

「設定を確認してください。」と表示されたら、画面の内容を確認して［次 へ］をクリックします。

10

PSD 機能を選択して「ユーザー認証」画面が表示された場合は、基本ユー ザーパスワードを入力して［OK］をクリックしてください。 PSDの設定が行われます。

11

「ウィザードが正常に終了しました。」と表示されたら、［完了］をクリック

使い始めるまでの準備 Windows XPをお使いの場合、［スタート］－「終了オプション」－［再起動］ をクリックします。 Windowsが再起動したら、セットアップは完了です。 続いて、選択した機能ごとに必要な設定を行ってください。 p.16 「セットアップ終了後の作業」 基本ユーザーを追加で設定する Windowsを複数のユーザーアカウントで使用している場合には、ユーザーアカ ウントごとに、基本ユーザーの設定が必要です。設定を行うユーザーアカウン トでWindows にログオンしてから、通知領域（タスクトレイ）の「Security Platform」アイコンを右クリックし、表示されたメニューから「Security Platform のユーザーの初期化」を選択してください。 p.14 「Security Platformの基本ユーザーの設定」

`

セットアップ終了後の作業

「Security Platform」のセットアップが終了したら、選択したセキュリティ機能 によって次の作業を行います。 z 電子メールの保護：電子メールソフトの設定 z EFS機能によるファイルとフォルダの暗号化：EFSによるファイルとフォルダの 暗号化

z Personal Secure Drive（PSD）によるファイルとフォルダの暗号化：PSDの ロード 各機能の詳細は、「Security Platform」のヘルプをご覧ください。ヘルプを表示 するには「Security Platform」アイコンを右クリックし、表示されたメニューか ら「ヘルプ」を選択します。

電子メールソフトの設定

「電子メールの保護」機能を選択した場合は、電子メールソフト側の設定が必 要です。 第三者認証機関よりデジタル証明書を取得し、指定された手順でインストール を行ってから、電子メールソフト側でメール保護に関する設定を行ってくださ い。設 定 の 詳 細 や 電 子 メ ー ル を 暗 号 化 し て 送 受 信 す る 方 法 は、「Security Platform」のヘルプをご覧ください。

EFSによるファイルとフォルダの暗号化

「暗号化ファイルシステム（EFS）によるファイルとフォルダの暗号化」機能を 選択した場合には、Windows標準のEFSによる暗号化を、本機能でより強化し ます。 WindowsのEFSを使用してファイルやフォルダを暗号化する手順は、次のとお りです。

1

（マイ）コンピュータやエクスプローラで暗号化したいファイルやフォルダ を選択します。

2

右クリックして表示されたメニューから「プロパティ」をクリックします。

3

「プロパティ」画面が表示されたら、「全般」タブの［詳細設定］をクリック します。

4

「属性の詳細」画面が表示されたら、「内容を暗号化してデータをセキュリ ティで保護する」にチェックを付けて［OK］をクリックします。

5

「プロパティ」画面が表示されたら、［OK］をクリックします。

6

「暗号化に関する警告」画面が表示された場合には、暗号化を適用する範囲 を選択して［OK］をクリックします。

7

「ユーザーアカウント制御」画面が表示された場合は、［続行］をクリックし ます。 暗号化されたファイルやフォルダを利用する際は、基本ユーザーのパスワード の入力が必要です。 WindowsのEFSによる暗号化の詳細は、Windowsのヘルプもあわせて参照してく

z Windows Vista Home Premium、 Windows Vista Home Basic、Windows XP Home Editionをお使いの場合、EFSによるファイルとフォルダの暗号化 は利用できません。

z EFS でファイルやフォルダを暗号化するときは、暗号化するファイルやフォ ルダを新規に作成してください。「C:￥Documents and Settings」フォル ダなど、既存のファイルやフォルダを暗号化するとアプリケーションが正常 に動作しなくなる可能性があります。

z EFS を利用して、ネットワークドライブ上のファイルやフォルダを暗号化す ることはできません。

使い始めるまでの準備

PSDのロード

「Personal Secure Drive（PSD）によるファイルとフォルダの暗号化」機能を選択 した場合、WindowsでPSDを利用できるようにPSDをロードする（読み込む）必 要があります。WindowsでPSDをロードする方法は、次のとおりです。

1

「Security Platform」アイコンを右クリックして、表示されたメニューか ら「Personal Secure Drive」−「ロードする」をクリックします。

2

「ユーザーアカウント制御」画面が表示された場合は、［続行］をクリックし ます。

3

「ユーザー認証」画面が表示されたら、基本ユーザーパスワードを入力して ［OK］をクリックします。 PSDが読み込まれて、ドライブが選択された状態でエクスプローラが起動し ます。 いったんPSDをロードすると、以降は通常のドライブと同様に（マイ）コン ピュータやエクスプローラからPSDを利用できます。 Windows起動時にPSDを自動的にロードする Windows 起動時に、自動的にPSD をロードすることができます。「Security Platform」アイコンを右クリックして、表示されたメニューから「Personal Secure Drive」－「ログオン時にロードする」をクリックします。これで、次回Windows を起動時から、PSDが自動的にロードされるようになります。

本章では、Security Platformの設定内容を確認したり変更したりする方法につい て説明します。設定内容の確認や変更は、「Security Platform設定ツール」で行 います。

`

Security Platform設定ツールを使う

Security Platform設定ツールは、Security Platformの所有者ユーザーと標準ユー ザーで確認・変更できる項目が異なります。各ユーザーが確認・変更できる項 目は、次の2つがあります。 z管理タスク Security Platformの所有者ユーザーが確認・変更できます。管理タスクの項目 を確認・変更する場合は、「（コンピュータの）管理者」権限を持つユーザー アカウントでSecurity Platform設定ツールを実行してください。確認・変更で きる項目は次のとおりです。 • システムバックアップ • すべてのユーザーに対するパスワードリセットトークンの作成 など zユーザータスク 現在の基本ユーザー（標準ユーザー）が確認・変更できます。所有者ユー ザーも確認・変更が可能です。確認・変更できる項目は次のとおりです。 • 手動バックアップ • 現在のユーザーに対するパスワードリセットの有効/無効 など

Security Platform設定ツールの起動

Security Platform設定ツールの起動方法は、次のとおりです。

1

管理タスクの項目を設定・変更する場合は、「（コンピュータの）管理者」権 限を持つユーザーアカウントでWindowsにログオンします。

2

通知領域（タスクトレイ）の「Security Platform」アイコンを右クリッ クします。

3

表示されたメニューから、「Security Platformを管理する」を選択します。 Windows Vistaで管理タスクを設定・変更する場合は、「 Security Platform を管理する」を選択してください。

Security Platform設定ツールの操作 次の画面が表示されます。ユーザータスクで実行した場合、管理タスクの項目 は、確認・変更できません。 「全般」タブでは、現在の設定内容が確認できます。 「Security Platform設定ツール」の詳細はヘルプもあわせて参照してください。ヘ ルプは各画面で［ヘルプ］をクリックすると表示されます。

セキュリティ機能を追加・変更する（「ユーザー設定」タブ）

「ユーザー設定」タブでは、基本ユーザーのパスワードを変更したり、基本ユー ザーごとに設定しているセキュリティ機能を、追加・変更したりすることがで きます。 セキュリティ機能を追加・変更するには、「Security Platformの機能」の［設定］ をクリックし、「Security Platformユーザー初期化ウィザード」を実行します。 p.14 「Security Platformの基本ユーザーの設定」手順5以降

Security Platformデータをバックアップする（「バックアップ」タブ）

「バックアップ」タブでは、システムバックアップで自動バックアップの設定を 変更したり、手動でバックアップを作成したりすることができます。また、バッ クアップした設定を復元することもできます。

Security Platform のバックアップでは、電子メールソフトのデータや EFS に

システムバックアップ（管理タスク） システムバックアップでは、Security Platformの設定をシステムバックアップ アーカイブに保存したり、バックアップから設定を復元したりできます。 システムバックアップアーカイブは、セキュリティチップの情報を誤って初期 化してしまったり、Windowsを再インストールした場合などに、Security Platform の設定を復元するために必要です。 システムバックアップアーカイブの保存先をCドライブに指定している場合 は、Windowsの再インストールを行う前にCドライブ以外にコピーしておいてく ださい。また、万一に備えて、システムバックアップアーカイブは、定期的に 外部メディアにバックアップすることをおすすめします。 手動バックアップ（ユーザータスク） 手動バックアップでは、各基本ユーザーの設定をバックアップしたり、バック アップから設定を復元したりできます。自動バックアップではサポートしてい ないPSDデータのバックアップも作成できます。PSDを利用している場合には、 必要に応じて、手動バックアップを行ってください。バックアップするユー ザーアカウントでWindowsにログオンしてから、バックアップを実行してくだ さい。 手動バックアップで作成したバックアップアーカイブについて 緊急時復元の際には、システムバックアップで作成したシステムバックアップ アーカイブがあれば、すべての基本ユーザーの設定を復元できます。手動バッ クアップで作成したユーザーバックアップアーカイブは、特定の基本ユーザー の設定だけを復元したい場合に使用します。 PSD のイメージデータのバックアップは、PSD を読み込んでいない（アンロー ドしている）状態で行ってください。

Security Platform設定ツールの操作

基本ユーザーのパスワードをリセットする（「パスワードリセット」タブ）

「パスワードリセット」タブでは、基本ユーザーのパスワードを忘れてしまっ たときに、パスワードをリセットして再設定することができます。 パスワードのリセットには、次の情報が必要です。 z パスワードリセットトークンファイル z パスワードリセットのパスワード z 個人シークレットファイル 特定のユーザーのパスワードをリセットするには、「パスワードリセット」タ ブの［準備］をクリックします（管理タスク）。現在の基本ユーザーのパスワー ドをリセットするには、［リセット］をクリックします（ユーザータスク）。 「Security Platformパスワードリセットウィザード」が起動したら、以降は画面 の指示に従って、操作を行ってください。

本章では、Windowsを再インストールする前の確認事項や、再インストール後 の設定について説明します。

`

Windowsを再インストールする前に

Windowsを再インストールすると、Security Platformの再設定が必要になります。 あらかじめ次のデータをバックアップしておいてください。 z Security Platformの設定とPSDのデータのバックアップ Security Platformの設定とPSDデータをバックアップします。Windowsを再イ ンストール後にこれらのデータを利用できるように、CD-Rなどのメディア にバックアップしておいてください。 p.20 「Security Platformデータをバックアップする（「バックアップ」 タブ）」 z Security Platformで保護しているデータのバックアップ 『ユーザーズマニュアル』－「データのバックアップ」を参照して、メール データなどをCD-Rなどのメディアにバックアップしてください。暗号化 メールのデジタル証明書のバックアップについては、証明書の発行元にご確 認ください。 EFSで暗号化しているデータは、暗号化を解除してからバックアップしてく ださい。詳細については、Windowsのヘルプを参照してください。

`

Windowsの再インストール後の作業

Windowsの再インストールを行ったら、「セキュリティチップユーティリティ」 を再インストールしてから、Security Platformの設定とPSDのデータを復元しま す。 p.9 「セキュリティチップユーティリティのインストール」 p.24 「Security Platformの設定を復元する」 Security Platformの設定を復元後、メールデータなどは、「ユーザーズマニュア ル」－「データのバックアップ」を参照して復元します。

Security Platformの設定を復元する

本章では、Security Platformの設定を復元する方法について説明します。 HDD内の暗号化に関する情報が破損してしまったり、Windowsを再インストー ルした場合やセキュリティチップを初期化した場合などは、「緊急時復元」で 設定を復元します。

`

緊急時復元を実行する前に

緊急時復元では、パスワードやファイルが必要になります。あらかじめ準備を しておいてください。使用するパスワードやファイルは、お使いの環境や復元 する設定により異なります。 p.27 「付録」 緊急時復元で必要なパスワードやファイルは次のとおりです。 必要なパスワード • 所有者のパスワード • 復元用トークンのパスワード • 基本ユーザーのパスワード 必要なファイル • システムバックアップアーカイブファイル（自動バックアップで作成） • 復元用トークンファイル • PSDバックアップアーカイブファイル（PSD使用時のみ） z コンピュータや HDD など、ハードウェアそのものに不具合があった場合に は、緊急時復元では設定を復元できません。『サポート・サービスのご案内』 （別冊）をご覧になり、テクニカルセンターまでご連絡ください。 z HDD に不具合があって暗号化メールデータやEFS で暗号化したデータが破 損した場合、緊急時復元を行ってもデータは復元されません。PSDデータが 破損した場合には、PSDバックアップアーカイブを作成していれば、データ を復元できます。ただし、PSDバックアップアーカイブ作成後に変更したデー タについては反映されません。 緊急時復元で使用するパスワードを忘れてしまったり、ファイルを紛失してし まった場合には、設定の復元ができません。また、暗号化されたデータも利用で きなくなります。

`

緊急時復元方法

復元する設定手順は、次の場合でそれぞれ異なります。 zHDD内の設定を復元する Windowsを再インストールした場合や、HDDに不具合が発生して証明書や暗 号鍵などが消失してしまった場合などには、HDD内のSecurity Platformに関 する設定を復元します。 zセキュリティチップ内の情報を復元する 誤ってセキュリティチップ内の情報を初期化してしまった場合などは、セ キュリティチップの情報を復元します。 緊急時復元の手順は、次のとおりです。

1

Windowsを再インストールした場合には、次の設定を行います。 (1) 基本ユーザーを複数設定していた場合には、あらかじめ設定を復元する Windowsのユーザーアカウントをすべて作成します。 (2) セキュリティチップユーティリティを再インストールします。 p.9 「セキュリティチップユーティリティのインストール」

2

バックアップアーカイブを外部メディアに保存している場合には、HDD に コピーします。

3

通知領域（タスクトレイ）の「Security Platform」アイコンを右クリッ クし、表示されたメニューから「Security Platformを復元する」を選択 します。 復元方法については、ヘルプを参照してください。ヘルプを表示するには、 通知領域（タスクトレイ）の「Security Platform」アイコンを右クリックし、 表示されたメニューから「Security Platformの復元方法」をクリックします。 また、各画面の［ヘルプ］をクリックして表示されるヘルプもあわせて参照 してください。

こんなときは

本章では、TPMに関して困ったときの確認事項と対処方法を説明します。 現象 セキュリティチップの情報を初期化して、購入時の状態に戻したい。 確認と対処 セキュリティチップの情報の初期化は「BIOS Setupユーティリティ」で行いま す。 『ユーザーズマニュアル』－「困ったときに」－「セキュリティチップの セキュリティ機能（TPM）の不具合」 セキュリティチップの初期化を行ったら、再度Security Platformのセットアップ を行ってください。 p.11 「Security Platformのセットアップ」 現象

「システムの復元」機能を利用したいが、Personal Secure Drive（PSD） をロードする度に復元ポイントが削除されてしまう。

確認と対処

「システムの復元」機能を利用するには、Personal Secure Drive（PSD）に最低 80MBの空き容量が必要です。ドライブの空き容量が少ない場合には、不要な ファイルやフォルダを削除したり別のメディアにコピーするなどして、空き容 量を増やしてください。

z セキュリティチップの情報を初期化すると、暗号化されたデータを利用でき なくなります。

z Windows Vista UltimateまたはWindows Vista EnterpriseでBitLocker を使用している状態で初期化を行った場合は、Windowsが起動できなくな り、暗号化していたHDD内のデータも使用できなくなります。

本機能を使用するために設定するパスワードやデフォルトのファイル名は次のとおりです。

パスワード

ファイル

項目 設定する場所 使用するタイミング

BIOS管理者パスワード BIOS Setupユーティリティ BIOSの設定変更 所有者パスワード Security Platformの初期設定 設定の復元 復元用トークンのパスワード Security Platformの初期設定 設定の復元 基本ユーザーのパスワード Security Platformの基本ユーザーの設定 暗号化データにアクセス時、 設定の復元 パスワードリセットトークンの パスワード Security Platformの初期設定 基本ユーザーのパスワードの リセット 項目 （デフォルトのファイル名） 作成する場所 使用するタイミング システムバックアップアーカイブ （SPSystemBackup.xml） 自動バックアップ 設定の復元 復元用トークン

（SPEmRecToken.xml） Security Platformの初期設定 設定の復元 ユーザーバックアップアーカイブ （SpBackupArchive.xml） 手動バックアップ 個々の基本ユーザーの設定の 復元 PSDバックアップアーカイブ （SpPSDBackup.fsb） 手動バックアップ 設定の復元（PSD使用時のみ） パスワードリセットトークン

（SPPwdResetToken.xml） Security Platformの初期設定

基本ユーザーのパスワードの リセット

個人シークレット

（SPPwdResetSecret.xml） Security Platformの基本ユーザーの設定

基本ユーザーのパスワードの リセット

セキュリティ機能（TPM）設定ガイド

ຊॻͰ͸ɺηΩϡϦςΟνοϓʢҎ߱ɺ51.ʣͷηΩϡϦςΟػೳͷઃఆํ๏ʹͭ

͍ͯઆ໌͠·͢ɻ

51.ͷηΩϡϦςΟػೳ͸؅ཧऀ޲͚Ͱ͢ɻ಺༰Λॆ෼ʹཧղ͠ɺ͓٬༷ͷ੹೚ʹ

͓͍ͯ࢖༻͍ͯͩ͘͠͞ɻಡΈऴΘͬͨ͋ͱ͸ɺ͍ͭͰ΋औΓग़ͤΔ৔ॴʹอ؅ͯ͠

͍ͩ͘͞ɻ