目次 1. はじめに 本資料の目的 導入の流れ 暗号化導入の種類 暗号化を設定するには 暗号化を実施するグループの作成 暗号化コンポーネントのインストール

1

Kaspersky Security Center 10

Kaspersky Endpoint Security 10

暗号化機能インストール・設定ガイド

2016/09/23

株式会社カスペルスキー コーポレートビジネス本部

セールス エンジニアリング部

2

目次

1. はじめに ... 3 1.1. 本資料の目的 ... 3 1.2. 導入の流れ ... 4 1.2.1. 暗号化導入の種類 ... 4 1.3. 暗号化を設定するには ... 6 1.4. 暗号化を実施するグループの作成 ... 8 1.5. 暗号化コンポーネントのインストール ...10 1.5.1. KES を新規インストールする場合 ... 10 1.5.2. KES がインストールされている環境に暗号化コンポーネントを追加する場合 ... 19 1.5.3. インストール状況を確認するには ... 35 1.6. グループポリシーの作成 ...37 2. 目的別設定方法 ...45 2.1. フルディスク暗号化（FDE） ...45 2.1.1. FDE で使用されるキーの種類 ... 46 2.1.2. ディスク全体を暗号化するには... 47 2.1.3. 暗号化の状態を確認するには ... 55 2.1.4. 複数のユーザーで使用するコンピューターの場合 ... 59 2.1.5. 認証エージェントのアカウントを追加するには ... 60 2.1.6. ディスク全体の暗号化を解除（復号化）するには ... 66 2.2. リムーバブルメディアの暗号化 ...68 2.2.1. リムーバブルドライブ全体の暗号化 ... 69 2.2.2. リムーバブルメディアのファイル単位の暗号化 ... 75 2.2.3. ポータブルモード ... 81 2.2.4. リムーバブルメディアの暗号化の解除 ... 87 2.3. 付録 ...89 2.3.1. 外部の相手と暗号化されたファイルをやり取りするには ... 89 2.3.2. 特定のリムーバブルメディアのみ暗号化/復号化するには ... 93 2.3.3. 暗号化されたディスクやファイルが使用できなかった場合（要求ファイルによる認証）... 96 2.3.4. 認証エージェントで認証できなかった場合（チャレンジ/レスポンスによる認証） ... 102 2.3.5. ドライブにアクセスできなくなった場合（暗号化されたデバイスの復元） ... 109 2.3.6. リムーバブルメディアのデータの復元 ... 117 2.3.7. OS をアップグレードするには... 119

3

1.

はじめに

1.1. 本資料の目的

暗号化は不正アクセスからデータを保護するのに有効な手段であり、特にネットワーク通信において必須の機能と 言えるでしょう。しかし、暗号化が必要なのは通信だけではありません。コンピューターが使用するデータを暗号によっ て守ることで、セキュリティをより一層強化できます。

Kaspersky Endpoint Security for Business Advanced のデータ暗号化機能は、この「セキュアな保存」 を提供し、デバイスの紛失や盗難、データ搾取を行うマルウェアによる不正アクセスからデータを保護します。

＜セキュアな保存＞

Kaspersky Endpoint Security for Business Advanced では、Kaspersky Security Center の管理 サーバーによる管理のもと、ディスク全体を対象としたフルディスク暗号化（FDE: Full Disk Encryption）と、ファ イルやフォルダーレベルの暗号化（FLE: File Level Encryption）を行います。

本資料では、Kaspersky Endpoint Security（以下 KES）への暗号化コンポーネントのインストールと Kaspersky Security Center（以下 KSC）における暗号化の設定方法について説明します。

保存中のデータ オペレーティングシ

ステム

暗号化ドライバー アプリケーション

4

1.2. 導入の流れ

暗号化はグループのポリシーで設定します。 設定に先立ち、暗号化を実施するクライアントに暗号化コンポーネントをインストールします。続いて、必要に応じ、 グループやグループポリシーを作成します。 なお、システムディスク全体を暗号化する際には、導入時にクライアント側での設定も必要となるため、先に小規 模なグループのコンピューターで試験導入することをお勧めします。

1.2.1. 暗号化導入の種類

暗号化は、ハードディスクやリムーバブルメディアごとに設定します。 ハードディスクを暗号化する方法は、「ディスク全体の暗号化」と「ファイルレベルの暗号化」があります。 ハードディスク全体の暗号化 指定したディスクの全体を暗号化します。認証されたユーザー以外からは、ディスクがマウントできなくなり、内部へ のアクセスが完全にできなくなります。 コンピューターそのものの盗難に備える必要のあるモバイルコンピューターで特に有効です。 ファイルレベルでの暗号化 フォルダー単位、あるいはファイルの種類（拡張子）の単位で暗号化します。 他のコンピューターから暗号化されたディスクを直接参照した場合、フォルダーやファイルの所在はわかりますが、内 暗号化ポリシーの設定 グループポリシーの作成 暗号化コンポーネントのインストール （必要に応じ）暗号化用のグループを作成 暗号化ポリシーの設定 グループポリシーの作成 暗号化コンポーネントのインストール テスト用のグループを作成

5 容は暗号化された状態となります。 ファイルレベルでの暗号化については、ここでは取扱いません。 USB メモリなどのリムーバブルメディアの暗号化も、「ディスク全体の暗号化」と「ファイルレベルの暗号化」が選択で きます。ファイルレベルの暗号化の場合、暗号化コンポーネントを導入していないコンピューターや、KSC に接続する ことのない外部のコンピューターでも利用するための「ポータブルモード」があります。 リムーバブルドライブ全体の暗号化 リムーバブルメディア全体を暗号化します。ドライブ全体の暗号化を行っている場合、認証されていないコンピュー ターからは、リムーバブルメディア内にどのようなファイルやファイルが存在しているか、保存されているファイルのサイズは どのくらいかといった情報が読み取れなくなります。 なお、リムーバブルドライブ全体が暗号化されている場合、企業内のコンピューター（KSC に接続できるコンピュー ター）ではメディアを使用できますが、外部のコンピューター（KSC 管理下にないコンピューター）では新規ファイル の追加も含めた一切のファイル操作ができなくなるため、外部のコンピューターとメディアを共有することはできません。 リムーバブルメディア内のファイルレベルでの暗号化 リムーバブルメディアに保存されているすべてのファイルを、個別に暗号化します。外部のコンピューター（KSC 管 理下にないコンピューター）からアクセスすると、フォルダーやファイルの所在はわかるので、ファイルのコピー等は行えま すが、ファイルの内容は暗号化されているので判読できない状態となります。 ポータブルモード 外部のコンピューター（KSC 管理下にないコンピューター）でも暗号化したリムーバブルメディアを使用できるよう にします。 ポータブルモードの場合、リムーバブルメディア内はファイル単位で暗号化し、さらに、暗号化されたファイルにアクセ スするためのモジュールを格納します。リムーバブルメディア内のファイルへのアクセスはそのモジュールを経由して行いま す。 ドライブ全体を暗号化した場合、ディスクからファイルを読み込んだ時点で復号化されるため、暗号化されていな いリムーバブルメディアやネットワークドライブなどにファイルをコピーした場合、ファイルは復号化された状態で保存され ます。 ファイル単位で暗号化した場合は、暗号化されたままでコピーされます。 なお、メールなど、アプリケーションを経由して転送する場合は、暗号化の方法を問わず、ファイルは常に復号化さ れます。暗号化した状態でファイルをやりとりしたい場合は、上記のポータブルモードまたは「暗号化パッケージ」を使う 方法があります（付録 P.89 参照）。

6

1.3. 暗号化を設定するには

暗号化の設定を行うには、管理サーバーの設定で「データ暗号化と保護機能の表示」を有効にする必要があり ます。以下の手順で設定します。暗号化を使用するには Advanced のライセンスが必要です。 ①管理コンソールを起動し、左側のコンソールツリーで「管理サーバー」を選択して「監視」タブを開き、「管理サーバ ー」グループにある「ユーザーインターフェイスに表示する機能の設定」をクリックします。 ②「インターフェイスの設定」画面が開くので、「データ暗 号化と保護機能の表示」および「セキュリティ設定タ ブの表示」を有効にして「OK」をクリックします。 ③確認メッセージが表示されるので「OK」をクリックしま す。

7 表示の設定は、管理コンソールを再起動すると有効になります。

＜設定前＞ ＜設定後（管理サーバーの詳細にデータ暗号化と保護機能が表示される）＞

8

1.4. 暗号化を実施するグループの作成

暗号化はグループのポリシーで設定します。まず、小規模のグループで試験的に運用することをおすすめします。 グループは以下の手順で作成します。なお、グループおよびグループポリシーについて、詳しくは「ポリシータスク設定 ガイド」をご参照ください。 ①左側のコンソールツリーで親グループ（ここでは「管理対象コンピューター」）を選択し、右側の詳細ウィンドウで 「コンピューター」タブにある「新規グループ」をクリックします。 ②「グループ名」を入力して「OK」をクリックします。 ここでは「暗号化グループ」としています。

9 ③グループが作成されたことを確 認します。 続いて、グループに端末を追 加します。 ④移動元の端末の「コンピュータ ー」タブを開き、暗号化を実施 したい端末を一覧から移動先 のグループへドラッグします。 ここでは「管理対象コンピュー ター」のコンピュータータブから、 「暗号化グループ」へドラッグし ています。 ⑤移動先グループの「コンピュー ター」タブで、端末が移動され ていることを確認します。

10

1.5. 暗号化コンポーネントのインストール

データの暗号化には、フルバージョンの KES とネットワークエージェントのほか以下の２つが必要です。  KES 暗号化コンポーネント（ドライブの暗号化・ファイルとフォルダーの暗号化）  AES 暗号化モジュール（256 ビット） これらは KES の基本構成には含まれていないので、コンポーネントを追加する必要があります。 追加に際しては、KES をこれからインストールする場合と、KES を既にインストールしている環境に追加する場合 で方法が異なります。 KES をまだインストールしていない端末に新規でインストールする場合 P.10 KES をインストールしてある環境に暗号化コンポーネントを追加する場合 P.19

1.5.1. KES を新規インストールする場合

KES のインストールパッケージをカスタマイズして、暗号化コンポーネント（ドライブの暗号化・ファイルとフォルダーの 暗号化）を有効にしたインストールパッケージを作成してインストールします。AES 暗号化モジュールも同時にインス トールされます。 まず、カスタマイズの元となるパッケージの場所を確認します。 ①管理サーバーの「詳細」→「リモートインストール」にある「インストールパッケージ」を開き、KES のパッケージをダブル クリックしてプロパティ画面を開きます。

11 ②「全般」セクションでアプ リケーションのパスを確 認します。メモ帳などに コピーしておくとよいでし ょう。 確認したら「OK」をクリ ックしてプロパティ画面 を閉じます。 続いて、パッケージを作成します。 ③先ほどと同じ「リモートインストール」の画面で、「インストールパッケージの作成」をクリックします。

12 ④「新規パッケージウィザード」が開くの で、「インストールパッケージの種別の 選択」で「カスペルスキー製品のイン ストールパッケージを作成する」を選 択します。 ⑤「インストールパッケージ名の定義」で 新しく作るパッケージの名前を入力し ます。ここでは「KES10_暗号化機 能入りパッケージ」としています。

13 ⑥「インストールする配信パッケージの 選択」が開くので「参照」をクリックし ます。 ⑦ファイルを選択する画面が開くので、 ②で確認したインストールパッケージ のパスを開いて「Kes10win.kpd」 を選択し、「開く」をクリックします。

14 ⑧「インストールする配信パッケージの 選択」画面に戻り、製品のバージョン などが表示されるので、「次へ」をクリ ックします。 ⑨「使用許諾契約書」の画面が開くの で、内容を確認の上「使用許諾所 に同意する」にチェックマークを入れて 「次へ」をクリックします。

15 （「次へ」をクリックすると、インストー ルパッケージのコピーが始まります） ⑩「リモートアプリケーションインストール 設定」が開いたら、この段階では「標 準インストール」を選択したまま「次 へ」をクリックします。

16 ⑪「完了」をクリックします。

⑫インストールパッケージの一覧に今回作成したパッケージが追加されるので、ダブルクリックでプロパティ画面を開き ます。

17 ⑬「プロパティ」セクション で、「ドライブの暗号 化」と「ファイルフォルダ ーの暗号化」にチェック を付けます。 設定したら「OK」をクリ ックしてプロパティ画面 を閉じます。 コンポーネントを有効化すると、暗号化モジュール 使用に際しての「使用許諾契約書」が表示される ので、内容を確認の上「同意する」をクリックしてくだ さい。

18 暗号化コンポーネント入りのインストールパッケージが作成できたら、クライアントにインストールします。 クライアントの一般的なインストール方法としては、まず、ネットワークエージェントをインストールし、「リモートインスト ール」のタスクを使って KES を一括インストールします。その際、上で作成した暗号化コンポーネント入りのパッケージ を選択します。 ⅰ) インストールガイドの「Step2.ネットワークエージェントのインストール」に従い、ネットワークエージェントをインスト ールします。また、Step3 に従い他社製アンチウイルス製品の有無を確認します。 ⅱ) 必要に応じ、暗号化モジュールをインストールするグループを作成します（インストールガイド Step4. Kaspersky Endpoint Security10 のインストール「b.グループ別インストールパターン」 手順①~④）。 ⅲ) グループを選択して、「タスク」タブの「タスクの作成」でパッケージをリモートインストールするタスクを作成します。 「タスク種別」は「アプリケーションのリモートインストール」を選択します（同 手順⑤・⑥）。 ⅳ) 「インストールパッケージの選択」で、 先の手順で作成した「暗号化コンポ ーネント入りインストールパッケージ」 を選択します。 ⅴ) リモートインストールするタスクが作成できたら、タスクを選択して「開始」をクリックしてインストールします（インス トールガイド「b.グループ別インストールパターン」 手順⑫）。

19

1.5.2. KES がインストールされている環境に暗号化コンポーネントを追加する場合

暗号化を実施するクライアントのグループで、KES 暗号化コンポーネントをインストールするタスクを作成・実施し、 AES 暗号化モジュールをインストールするタスクを作成・実施します。

暗号化実施用のグループがない場合、インストールガイドの「Step4. Kaspersky Endpoint Security 10 の インストール」の「2.2.グループ別インストールパターン」手順①~④を参考に、暗号化を実施するグループを作成し てください。全クライアントにインストールする場合は「管理対象コンピューター」グループで、各タスクを作成・実施しま す。 KES 暗号化コンポーネントのインストール P.19 AES 暗号化モジュールのインストール P.24 KES 暗号化コンポーネントのインストール ①暗号化を実施するグループ（ここでは「暗号化グループ」）を選択し、「タスク」タブを開いて「タスクの作成」をクリ ックします。

20 ②「新規タスクウィザード」が開くの で、「タ スク 種別の選択」で、 KES の「コンポーネントの変更」を 選択して「次へ」をクリックします。 ③コンポーネント構成変更タスクの 設定」が開くので「標準インストー ル」のまま「次へ」をクリックします。

21 ④「タスクスケジュール」の設定が開 くので「次へ」をクリックします。 ⑤タスクの名前を付けて「次へ」をク リックします。 例） 暗号化コンポーネントの追加

22 ⑥「完了」をクリックします。

23 ⑧「プロパティ」セクションで 「インストールするコンポ ーネント」の「ドライブの 暗号化」および「ファイル とフォルダーの暗号化」 を有効にします。 設定したら、「OK」をク リックします。 ⑨「OK」でプロパティ画面を閉じると、グループタスクの画面に戻ります。 ⑩タ スク を選 択 して 「開 始」をクリックすると、イン ストールが始まります。

24 AES 暗号化モジュールのインストール 続いて、AES 暗号化モジュールのリモートインストールパッケージを作成して導入します。先に、インストールする AES パッケージの保存場所を確認し、続いて「インストールパッケージの作成」を実施します。 ①管理サーバーの「詳細」→「リモートインストール」にある「インストールパッケージ」を開き、KES のパッケージをダブル クリックします。 ②「プロパティ」画面が開く ので「全般」セクションで 「パス」を確認します。メ モ帳などにコピーをして おくとよいでしょう。 確認したら「OK」をクリッ クしてプロパティ画面を 閉じます。

25 ③続いて、同じ「インストールパッケージ」の画面で「インストールパッケージの作成」をクリックします。 ④「新規パッケージウィザード」が開始 されるので、「インストールパッケージ の種別の選択」で「指定した実行フ ァイルのインストールパッケージを作 成する」をクリックします。

26 ⑤「インストールパッケージ名の定義」 が表示されるので名前をつけて、 「次へ」をクリックします。 例） AES リモートインストールパッケージ ⑥「インストールする配信パッケージの 選択」が表示されるので「参照」をク リックします。

27 ⑦②で確認した KES パッケージのパスを 開き、その中の「exec」フォルダーを選択 します。 ⑧「aes_encryption_module」を選択 して「開く」をクリックします。 ⑨「インストールする配信パッケージの 選択」画面に戻るので、実行ファイ ルのコマンドラインに以下を入力しま す。 /qn EULA=”1” 入力したら「次へ」をクリックします。

28 ⑩「管理サーバーにインストールパッケ ージをアップロード中」というメッセー ジが表示されます。 ⑪アップロードが終わるとメッセージが 表示されるので「完了」をクリックしま す。 ⑫「インストールパッケージ」画面に戻るので、パッケージが作成されているのを確認します。

29 続いて、インストールタスクを作成します。

30 ②「新規タスクウィザード」が開くの で、「タ スク 種別の選択」で、 KSC の「アプリケーションのリモー トインストール」を選択して「次 へ」をクリックします。 ③ 「インストールパッケージの選択」 画面が開くので、⑫で作成した AES 暗号化モジュールのインスト ールパッケージを選択します。

31 ④「設定」画面が表示されるので 「次へ」をクリックします。 ⑤「オペレーティングシステム再起動 方法の選択」が表示されるので 再起動の選択をします。 ここでは、「コンピューターを再起 動しない」を選択して「次へ」をク リックします。

32 ⑥「タスクを実行するアカウントの選 択」が表示されるので、「アカウン トが不要」のまま「次へ」をクリック します。 ⑦「タスクスケジュールの設定」が表 示されるので「次へ」をクリックしま す。

33 ⑧タスクに名前を付けて「次へ」をク リックします。 例）AES モジュールのリモートイ ンストール ⑨「完了」をクリックします。

34 ⑩作成したタスクが一覧に追加されます。 ⑪タ ス ク を 選 択 し て 「開始」をクリックす ると、インストールが 始まります。

35

1.5.3. インストール状況を確認するには

クライアントに暗号化コンポーネントがインストールされているかは、以下の 2 か所で確認します。 (1)コントロールパネルの「プログラムと機能」に「AES 暗号化モジュール」が追加されているかを確認します。 (2)続いて、タスクトレイのアイコンをクリックして KES の画面を開きます。 KES の画面では、「ファイルとデバイスへのアクセスステータス」が使用できるようになります。また、「レポート」の画 面に「暗号化」セクションが追加されています。レポート画面は右上の「レポート」で確認できます。 ＜暗号化なし＞ ＜暗号化あり＞

36 レポート画面は右上の「レポート」で確認できます。

暗号化コンポーネントがインストールされていると、「暗号化」セクションが表示されます。

37

1.6. グループポリシーの作成

グループのコンピューターに暗号化コンポーネントを導入できたら、ポリシーを作成します。 通常は、親グループのポリシーは親グループに属するサブグループ（子グループ）へ継承されます。したがって、暗 号化用のグループのみで暗号化を実施するには、グループ用のポリシーを作成し、親グループのポリシーを継承しな いように設定する必要があります。 ①「ポリシーの作成」をクリックします。

38 ②「新規ポリシーウィザード」が開くの で、ポリシーの名前をつけて「次へ」を クリックします。 例） KES10 ポリシー（暗号化あり） ③「グループポリシー作成対象のアプリ ケーションを選択」で Kaspersky Endpoint Security を選択して 「次へ」をクリックします。

39 ④「設定のインポート」が表示されるの で「次へ」をクリックします。 ⑤「コントロールの設定」が表示される ので「次へ」をクリックします。 ※この画面は管理サーバーの「インタ ーフェイスの設定」で「エンドポイン トコントロールの設定の表示」が有 効になっている場合に表示されま す。

40 ⑥「暗号化の設定」が表示されるので この段階では設定を変更せず「次 へ」をクリックします。 ※この画面は管理サーバーの「インタ ーフェイスの設定」で「データ暗号 化と保護機能の表示」が有効な 場合に表示されます。ここで「暗 号化の設定」が表示されていなく ても、作成後にポリシーのプロパテ ィ画面で設定できます。 ⑦「プロテクションの設定」が表示される ので「次へ」をクリックします。

41 ⑧「信頼リスト」が表示されるので「次 へ」をクリックします。 ⑨KSN 声明が表示されるので、内容 を確認し「参加条件に同意する」を 選択して「次へ」をクリックします。

42 ⑩「インターフェイス」が表示されるので

「次へ」をクリックします。

⑪「パスワードによる保護」が表示され るので「次へ」をクリックします。

43 ⑫「完了」をクリックします。

44 ⑭ポリシーのプロパティが 開くので「全般」セクショ ンで「親ポリシーから設 定を継承する」をオフに して、「OK」をクリックし ます。 ※この画面で設定項目がグレー表示で変更できない状態になっていた場合は、親グ ループのポリシーで、「設定を子ポリシーへ強制的に継承させる」をオフにします。 「OK」でプロパティ画面をいったん閉じて、あらためてプロパティ画面を開くと、設定が変更できるようになります。 ＜設定前（継承しているので設定を変更できない）＞ ＜設定後（設定できるようになった）＞

45

2.

目的別設定方法

2.1. フルディスク暗号化（FDE;Full Disk Encryption）

フルディスク暗号化（FDE）では、ブートセクター以外のすべてのデータを暗号化します。ファイル内のデータだけ でなく、システムのオペレーティングシステムの種別、ディレクトリの構造、ファイルの場所に関するメタ情報まで秘匿さ れます。 FDE では、OS に統合されている特別なドライバーによって、内部で自動的に復号化および暗号化されます。した がって、ユーザーは、システムを起動した後は暗号化されていることを意識することなく、普段通りに端末を利用でき ます。また、保存されたデータは常に暗号化された状態であるため、予期しないシステムシャットダウンが発生した場 合でもデータを保護できます 暗号化/複合化に際して、サーバーに接続する必要がないのも FDE のメリットです。 サーバーへの接続は、最初に FDE を適用するときと、後でパスワードを復元することが必要になったときのみ必 要になります。普段は企業ネットワークの境界外で使用し、管理サーバーに長時間接続しないことがあるモバイルコ ンピューターで特に便利です。 注意：複数の OS がインストールされているハードディスクでは FDE を使用しないでください。 システムドライブの暗号化ではマスターブートレコードが変更されます。このため、複数の OS がインストールされてい るコンピューターでハードディスクの暗号化を使用すると、KES がインストールされている OS 以外のシステムは起動で きなくなります。 ディスク オペレーティングシステム アプリケーション 暗号化ドライバー （AES 256） ここですべてを暗号化/複合化 暗号化を意識することなく 利用できる

46

2.1.1. FDE で使用されるキーの種類

FDE を有効にすると、物理ドライブごとに個別の「マスターキー」が作成されます。暗号化されているディスクでは、 このマスターキーを使用してデータを複合化/暗号化されることになります。 マスターキーは、KSC に保存されていますが、暗号化された状態でクライアント端末側にも保存されます。したがっ て、KSC に接続できないモバイル環境でも暗号化されたディスクを問題なく使用できます。 “マスターキーの暗号化”にもキーが使用されます。この時のキー（中間キー）は、暗号化の対象がシステムドライ ブかそれ以外かで保存方法が異なります。 FDE では、特別なドライバーを経由してディスクを読み書きすることになりますが、システムドライブの場合、OS の 起動に必要なファイルも暗号化されるため、OS が起動する前にマスターキーが使える状態になっている必要がありま す。このため「認証エージェント」を使用します。 認証エージェントはシステムの起動領域にインストールされ、認証エージェントに対してユーザー名とパスワードを入 力し、認証に成功すると、中間キーが複合化されて、マスターキーが使用できる状態となり、OS が起動します。認 証エージェントの役割はここまでで、OS が起動した後は、複合化/暗号化を行う特別なドライバーを経由してのアク セスとなります。 システムドライブ以外の場合は、“OS が起動する前にアクセスが必要”ということがないので、認証エージェントは 使用しません。管理サーバーが提供するマスターキーか、管理サーバーに接続できないときはクライアント端末側に 保存されているマスターキーのコピーを使用します。マスターキーのコピーを複合化するのに使われる中間キーは、OS へのログオン時に入力した認証データを元に生成されます。 このため、ユーザーが OS のパスワードを変更すると、次に管理サーバーに接続するまでは、端末に保存されている マスターキーが使用できなくなります。パスワードの変更は、管理サーバーに接続できるときに行うようにしてください。 ハードディスクの ID と、この ID 用に作られたマスターキーが管理サーバーに転送されると、暗号化がはじまります。 暗号化と複合化を処理するドライバーが OS に転送され、インストールされると、ハードディスクのデータはブロック 単位で徐々に暗号化されたデータに置き換えられていきます。この作業はバックグラウンドで実行されるので、ユーザ ーは普段の作業をそのまま続けることができます。 注意事項 OS を再インストールやアップグレードする際には、システムディスクを復号化する必要があります。これは、OS のローダーが暗号化ドライブを読み取ることができないためです。 FDE が有効になっているコンピューターで OS のインストーラーを起動するだけで、認証エージェントのローダーが自 動的に置き換えられて、コンピューターが使用できなくなります。かならず、先にドライブを復号化してください。

47

2.1.2. ディスク全体を暗号化するには

FDE の設定は KES のポリシーで行います。設定項目は大きく分けて以下の 3 つです。 システムディスクを暗号化する場合、クライアント側では、認証エージェントのパスワードを設定します。 認証エージェントのパスワード設定 P.53 認証エージェントの設定認証エージェントの設定（システムディスクを暗号化する場合） P.47 暗号化しないハードディスクの登録 P.50 暗号化の開始 P.52 システムディスクを暗号化する場合、クライアント側では、認証エージェントのパスワードを設定します。 認証エージェントのパスワード設定 P.53 認証エージェントの設定 認証エージェントはシステムディスクを暗号化する際にクライアント端末にインストールされ、OS の起動に先立ちユ ーザーを認証しマスターキーを復元するのに使われます。 ①暗号化を実施するグループ（ここでは「暗号化グループ」）の「ポリシー」タブで、KES10 のポリシーをダブルクリック します。

48 ②プロパティ画面が開くの で、「暗号化の共通設 定」セクションで「パスワ ードの設定」の「設定」 をクリックします。 ③「暗号化パスワードの設定」が開きます。 ここでは、パスワードの設定方法と設定時 の強度を設定します。 デフォルト（推奨設定）では、「シングルサ インオン(SSO)技術を使用」と「アクティブ なユーザーにパスワードを要求する」が有効 になっています。 設定内容は以下の通りです。 ・ シングルサインオン（SSO）の技術を使用する … システムを起動する前に認証エージェントによって 1 回だ け認証すればすむようにします。オフにした場合、認証エージェントと Windows とで別々に認証を行います。 ・ パスワードの強度パラメーター …ユーザーがパスワードを設定する際に、単純すぎるパスワードを設定させない ようにします。SSO を使用する設定になっている場合は Windows 側の設定が適用されるため、ここでの設定 は無視されます。 ・ アクティブなユーザーにパスワードを要求する …端末を利用しているユーザーにメッセージを表示して、認証エ ージェントのパスワードを設定するよう促します。オンのまま使用してください。なお、そのほかのユーザーについて は Windows のパスワードで自動生成されます。

49 続いて、自動生成する認証エージェントアカウントを設定します。認証エージェントのアカウントには、Windows ア カウントが使用されます。 ④「ドライブの暗号化」セク ションを開き、「認証エー ジェントの自動作成」が 有効になっていることを 確認し、「設定」をクリッ クします。 ⑤「認証エージェントの自動生成設定」画面が開きます。 デフォルトでは「コンピューター上のすべてのアカウント」が有効に なっており、過去 30 日間にサインインしたすべてのローカルアカ ウントが認証エージェントのアカウントに自動で追加されます。 Active Directory を使っている場合は「コンピューター上のす べてのドメインアカウント」もオンにしてください。 詳しくはヘルプを参照してください。 続いて、「暗号化しないハードディスクの登録（信頼リスト）」へ進みます。すべてのディスクを暗号化する場合は P.52「暗号化の開始」へ進んでください。

50 暗号化しないハードディスクの登録（信頼リスト） 暗号化実施に先立ち、複数の OS をインストールしているなどで FDE を使用できないハードディスクや、ディスク全 体を暗号化する必要のないディスクを登録します。 すべてのハードディスクを暗号化する場合はここでの設定は不要なので P.52「暗号化の開始」へ進んでください。 KES ポリシーのプロパティ画面が開いていない場合は、暗号化を実施するグループ（ここでは「暗号化グルー プ」）の「ポリシー」タブで、KES10 のポリシーをダブルクリックしてプロパティ画面を開きます。 ⑥「ドライブの暗号化」セク ションの「次のハードディ スクを暗号化しない」で 「追加」をクリックします。 ⑦「デバイスの追加」画面 が開くので、「更新」をク リックします。

51 ⑧ディスクが一覧表示され るので、FDE で暗号化 しないハードディスクにチ ェ ッ ク マ ー ク を 入 れ て 「OK」をクリックします。 コンピューター名を指定 して更新を押すことによ り、ハードディスクを検索 しやすくなります。 ⑨ディスクが追加されてい ることを確認します。 続いて、「暗号化の開 始」へ進みます。

52 暗号化の開始 ここまでの設定が完了したら、暗号化を有効にします。 KES ポリシーのプロパティ画面が開いていない場合は、暗号化を実施するグループ（ここでは「暗号化グルー プ」）の「ポリシー」タブで、KES10 のポリシーをダブルクリックしてプロパティ画面を開きます。 ⑩「ドライブの暗号化」セク ションで、「既定の暗号 化ルール」を「暗号化す る」に変更し、「OK」をク リックします。 暗号化ルールは、現在使用しているハードディスクに加え、今後追加されるディスクにも影響します。 「変更しない」 … 暗号化されたディスクは暗号化されたまま、暗号化されていないディスクはそのままとなります。 ポリシーのデフォルト設定です。 「すべてのハードディスクを暗号化する」 … 現在使用しているディスクおよび今後追加されるディスクもすべて暗 号化します。ただし、“次のハードディスクを暗号化しない“に登録したディスクは除きます。シス テムディスク（起動が可能なディスク）の場合、ディスクの起動領域が認証エージェントに置 き換わります。 「すべてのハードディスクを復号化」 … 暗号化されているハードディスクが復号化されます。システムディスクの場 合は認証エージェントも削除されます。暗号化が不要になった際や、OSの再インストールやア ップグレードを行う際に使用します。 ⑪「OK」をクリックすると、複数の OS がインストールされ ているディスク場合についての警告メッセージが表示さ れます。該当しない場合は「はい」をクリックします。

53 ⑫「ドライブの暗号化」セク ションの画面に戻るので 「OK」をクリックします。 ⑬KSC の設定のバックアップを取るよう促すメッセージが 表示されるので、内容を確認して「OK」をクリックしま す。メニューからバックアップを取得し他のマシン、媒体 に保管して下さい。 システムディスクを暗号化する場合、暗号化を有効にすると、まず、認証エージェントがインストールされます。 認証エージェントによって最初にユーザー認証が行われて OS が起動した時点で暗号化処理が開始されます。 システムディスク以外の場合、端末が起動していればただちに暗号化が開始されます。バックグラウンドで処理され るため、利用者には影響ありません。 認証エージェントのパスワード設定（ユーザー側） ①「アクティブなユーザーにパスワードを要求する」が 有効になっている場合、端末でシステムディスク の暗号化が有効になって、最初に OS が起動す ると、最初にサインインしたユーザーに、パスワード を入力するよう促す画面が表示されます。SSO を有効にしている場合は Windows アカウントで 使用しているパスワードを入力して「OK」をクリッ クします。この画面を入力せず閉じてしまった場 合、付録 2.3.8 をご覧ください。

54 ②認証エージェントのパスワードを元に、暗号化の 際のマスターキーが作成されます。 マスターキーが KSC に保存されると、バックグラウ ンドで暗号化がスタートします。 ③確認メッセージが表示されるので「OK」をクリック します。 これで認証エージェントの設定が完了しました。 次回の起動からは、システムの起動時に「Authentication agent」画面が表示されるようになり、認証エージェ ントによる認証が行われるようになります。 Active Directory を使用している場合は、ドメイン名とユーザー名とパスワードを入力、使用していない場合 は、ドメインとしてコンピューター名を入力し、ユーザー名とパスワードを入力して「CONTINUE」をクリックします。 認証に成功すると、Windows が起動します。SSO（シングルサインオン）が有効になっている場合、認証エー ジェントの画面で入力したユーザー名とパスワードで Windows にサインイン（ログイン）します。

55

2.1.3. 暗号化の状態を確認するには

暗号化の状態は、コンピュータータブの「データ暗号化ステータス」で確認できます。デフォルトでは後ろの方に表示 されているため右へスクロールする必要がありますが、以下の手順で「データ暗号化ステータス」の表示位置を変更す ることができます。なお、表示位置の設定は「管理対象コンピューター」全体で共通となります。 ①いずれかのグループの「コンピューター」タブで、「列の追加と削除」をクリックします。 ②「暗号化ステータ ス」を選択し、矢 印キーで移動し て「OK」をクリック します。

56 「暗号化ステータス」欄の表示位置が変わります。 暗号化が完了すると、「ポ リシーに適合」に変わります。 ハードディスクの暗号化を 設定していない場合は「暗 号化ポリシーが指定されてい ません」になります。 暗号化が終わっていない場合のステータスを「警告」にするには 暗号化がエラーなどによって中断されているとステータスが「警告」になりますが、再起動していないので暗号化が 開始されていなかったり、暗号化の最中であるなどという場合は警告にはなりません。適用が終わっていないものも 「警告」にしたい場合は、以下の手順で設定します。

57 ①管理コンソールを起動し、左側のコンソールツリーで暗号化ステータスを確認したいグループ（ここでは「暗号化グ ループ」）を右クリックして「プロパティ」を選択します。 ②「コンピューターのステー タス」セクションを開き、 「コンピューターのステー タスを「警告」にする条 件の「継承」をオフにし て、「データ暗号化の指 定ステータス」をダブルク リックします。

58 ③「条件の編集」画面が開くので「ポリシーの適用中 - 再起動が必要 です」および「ポリシーの適用中」にチェックを入れて「OK」をクリックしま す。 「OK」をクリックして設定が反映されると、暗号化ポリシーの適用中はステータスが「警告」になります。 クリックすると詳細が表示されます。 （暗号化ステータスの表示 位置を変更している場合）

59

2.1.4. 複数のユーザーで使用するコンピューターの場合

複数のユーザーが登録されているコンピューターの場合、暗号化開始時に「暗号化されたシステムハードディスクに アクセスするためのパスワード」画面でパスワードを設定したユーザー以外についても、認証エージェントのアカウントが 自動で生成されます。 認証エージェントアカウントが自動で生成されるのは、デフォルトでは、ディスクの暗号化開始時点から 30 日以内 のアカウントです。追加方法は KES ポリシーの「ドライブの暗号化」セクションで設定できます。 暗号化開始後に追加したユーザーについては、P.60「認証エージェントのアカウントを追加するには」の方法 で追加します。 SSO（シングルサインオン）の場合、認証エージェントの画面で別のユーザー名とパスワードを入力して 「CONTINUE」をクリックすると、そのまま Windows にサインインできます。 ＜入力例＞

60

2.1.5. 認証エージェントのアカウントを追加するには

「アカウントの管理」タスクで認証エージェントのアカウントを追加できます。 ①アカウントを追加したい PC のプロパティを開きます。 タスクから、暗号化（アカウント管理）のプロパティを開きます。 ②さらにプロパティを開きます。

61 ③処理から、アカウントの追加を 選択します。 ④「ユーザーアカウントの追加」 画面が開くので、アカウントを 入力し、初期パスワードを設 定します。このパスワードは Windows サインインのパス ワードと一致しなくても構いま せん。SSO の場合、後で一 致させます。

62 ⑤コマンドが設定できたら「OK」 をクリックします。 ⑥タスクを選択して水色のアイコ ンをクリックし開始します。完了 すると、アカウントが追加されま す。

63 ⑦クライアント側で追加したアカウ ントでサインインします。 先に設定した初期パスワード を入力し、CONTINUE をクリ ックします。 ⑧「初回認証時にパスワードを 変更します」の設定になってい るため、パスワード変更を求め られます。 CONTINUE をクリックします。

64 ⑨新しくパスワードを登録します。 ここでもまだ Windows サイン インのパスワードではありませ ん。強度設定は認証エージェ ントの強度設定です。 要件を満たさない場合、警告 が出ます。

65 ⑩パスワードが登録出来たら、そ

のまま続行します。

SSO の場合、Windows サイ ンインパスワードと同期します。

66

2.1.6. ディスク全体の暗号化を解除（復号化）するには

ディスク全体の暗号化を解除するには、「既定の暗号化ルール」で「すべてのハードディスクを復号化する」に変更 するか、復号化したいディスクを「次のハードディスクを暗号化しない」に追加します。 ①暗号化を実施するグループ（ここでは「暗号化グループ」）の「ポリシー」タブで、KES10 のポリシーをダブルクリック します。 ②プロパティ画面が開くの で、「ドライブの暗号化」 セクションの「既定の暗 号化ルール」「すべての ハードディスクを復号化 する」を選択します。 特定のディスクだけを復 号化したい場合は、「追 加」で暗号化しないハー ドディスクを登録してくだ さい。

67 ③「OK」をクリックして設定 を反映させます。 復号化の状態を確認するには 復号化が開始されると、コンピューターの「暗号化ステータス」が「ポリシーの適用中」になり、復号化が完了すると 「ポリシーに適合」、すべてのハードディスクが復号化されると「暗号化ポリシーが指定されていません」に変わります。 「暗号化ステータス」の表示については、P.55「暗号化の状態を確認するには」を参照してください。 なお、起動ディスクを復号化した場合は、認証エージェントもアンインストールされます。復号化が完了すると、認 証エージェントは起動せず、Windows のサインイン（ログイン）画面となります。

68

2.2. リムーバブルメディアの暗号化

リムーバブルメディアの暗号化には、「リムーバブルドライブ全体の暗号化」と「ファイル単位の暗号化」があり、「ファ イル単位の暗号化」は、さらに、すべてのファイルを暗号化する方法と、新しいファイルだけを暗号化する方法、また、 KSC に接続しない外部のコンピューターや暗号化コンポーネントを導入していないコンピューターでも暗号化ファイル を利用できるようにするための「ポータブルモード」があります。これらは、リムーバブルメディアによって使い分けることが できます。 リムーバブルメディアの暗号化は、グループポリシーの「リムーバブルドライブの暗号化」セクションで設定します。設 定には「既定のルール」と「カスタムルール」の 2 種類があります。 「既定のルール」と「カスタムルール」は組み合わせて使用できます。両方設定されている場合はカスタムルールの 方が優先されます。たとえば、“原則としてすべてのリムーバブルドライブはリムーバブルドライブ全体を暗号化するが、 一部、外部のユーザーと共有するメディアだけはポータブルモードを利用するためファイル単位で暗号化する”という場 合は、以下のようにします。  「既定のルール」を「リムーバブルドライブ全体の暗号化」にする  「カスタムルール」で共有したいリムーバブルメディアを追加し、「すべてのファイルの暗号化」と「ポータブルモ ード」を設定する 特定のリムーバブルメディアのみ暗号化を設定したい場合は以下のようにします。  _{「既定のルール」を「変更しない」にする}  「カスタムルール」に暗号化したいリムーバブルメディアを追加し、ルールを設定する

69

2.2.1. リムーバブルドライブ全体の暗号化

リムーバブルドライブ全体を暗号化すると、ドライブごとに個別のマスターキーが作成され、次の 3 か所に保存され ます。 1. 管理サーバー 2. ユーザーのコンピューター（ユーザーのプライベートキーを使って暗号化されます） 3 .リムーバブルドライブ上のデータファイルのヘッダー（管理サーバーの公開キーを使って暗号化されます） 鍵の抽出は内部で自動的に行われるため、使用時に鍵の保存場所を意識する必要はありません。ただし、管 理サーバーに接続できない環境の場合、既に使用したことのあるコンピューターからのみ使用可能となります。認証さ れているコンピューターでデータの読み書きを行う際には、特別なドライバーによってリムーバブルドライブが即座に復 号化・暗号化されるので、ユーザーは暗号化を意識することなく利用できます。 管理サーバーに接続できないコンピューターでは、ドライブ全体が暗号化されたリムーバブルメディアを使って作業 することはできないため、外部ユーザーとのデータ交換に使用することはできません。外部のユーザーや、暗号化コン ポーネントを導入していないコンピューターとリムーバブルメディアを共有する場合は、ファイル単位の暗号化を行い、 「ポータブルモード（P. 80）」を使用してください。 なお、FDE の場合、元のコンテンツはセクター別に暗号化され、認証されていないコンピューターではマウントもでき なくなりますが、リムーバブルドライブの場合、特別なヘッダーを持つ暗号化されたファイルに置き換えられます。リムー バブルドライブ全体が暗号化されているメディアは、認証されていないコンピューターではマウントはできますが、 “FDE_PR.BIN というファイルだけが存在する空き領域 0 のメディア”として認識されるので、メディアに保存されてい るファイルの名前や容量は読み取れなくなります。 ＜ドライブ全体が暗号化されたリムーバブルメディア（参考）＞ どのようなファイルが保存されているかは一切わからなくなります。 空き領域 0 の状態なのでファイルの追加などはできません。

70 リムーバブルドライブ全体を暗号化する（管理サーバー側） リムーバブルドライブ全体を暗号化するには、KES ポリシーの「リムーバブルドライブの暗号化」セクションで「リムー バブルドライブ全体の暗号化」を設定します。 ①暗号化を実施するグループ（ここでは「暗号化グループ」）の「ポリシー」タブで、KES10 のポリシーをダブルクリック します。 ②「プロパティ」画面が開く ので、「リムーバブルドラ イブの暗号化」セクション を選択します。

71 ③リムーバブルメディア全 般を暗号化したい場合 は、「既定のルール」で 「リムーバブルドライブ全 体の暗号化」を選択し ます。 メディアごとに設定したい 場合は「変更しない」の ままにして「カスタムルー ル」で設定します。 ④メディアごとに設定したい 場合、あるいは、暗号 化の対象外としたいリム ーバブルメディアがある 場合は、「カスタムルー ル」の「追加」で追加し ます。 追加方法には次の 2 つ があります。

72 (A)信頼するデバイスのリストから追加する方法 「追加」－「このポリシーの信 頼するデバイスから指定する」 を選択します。 「エンドポイントコントロール」の 「デバイスコントロール」で「信 頼するデバイス」として登録さ れているデバイス（接続を許 可されたデバイス）が一覧表 示されるので、「すべて選択」 をクリック、または暗号化したく ないメディアを個別に選択して 「OK」をクリックします。 (B)KSC の管理下にあるすべてのメディアから追加する方法 「追加」－「KSC のデバイスリ ストから指定する」を選択しま す。 「更新」をクリックすると KSC 管理下で使用されたことのあ るデバイスがリストアップされる ので、「すべて選択」をクリッ ク、または暗号化したくないメ デ ィ ア を 個 別 に 選 択 し て 「OK」をクリックします。

73 追加したメディアに対 し、「ルール」を設定し ます。 ここでは、リムーバブル メディア全般で「リムー バブル全体の暗号化」 を実施し、例外として 暗号化しない（変更 しない）メディアを追 加しています。 ⑤「OK」をクリックして設定 を反映させます。 ⑥KSC の設定のバックアップを取るよう促すメッセージが 表示されるので、内容を確認して「OK」をクリックしま す。メニューからバックアップを取得し他のマシン、媒体 に保管して下さい。

74 リムーバブルドライブの暗号化の開始（ユーザー側） ポリシーが適用されたコンピューターに、まだ暗号化されてい ないリムーバブルメディアを接続すると、「リムーバブルドライブの 暗号化」というメッセージが表示されます。 まだ暗号化したくない場合は「リムーバブルドライブを暗号化 しない」を選択します。この場合、メディアは読み取りのみとなり ます。 「リムーバブルドライブを暗号化する」を選択した場 合、ただちに暗号化が開始されます。 暗号化が完了すると、リムーバブルメディアが使用でき るようになります。この後の暗号化/復号化は自動で行 われるため、特別な操作は不要です。

75

2.2.2. リムーバブルメディアのファイル単位の暗号化

ファイルレベルの暗号化では、以下の 4 種類のキーが使用されます。  _{管理サーバーの公開キー ··· マスターキーを暗号化するのに使用される}  _{ユーザーのプライベートキー ··· マスターキーを取り出すのに使用される}  マスターキー ··· ファイルのキーを取り出すのに使用される（デバイスごとに作成される）  ファイルを暗号化するためのキー（ファイルごとに生成される） リムーバブルメディアのマスターキーは、ファイルの暗号化が開始される前に生成され、リムーバブルメディア内、アク ティブなユーザーのコンピューター内、および管理サーバーの 3 か所に保存されます。 ユーザーが、リムーバブルメディア内の暗号化されたファイルを使用する場合、特別なドライバーによって内部で即 座に復号化/暗号化されますが、ユーザーのコンピューターにマスターキーがない場合は管理サーバーからマスターキ ーを取得します。管理サーバーにアクセスできない場合は、FLE 同様、チャレンジ/レスポンス手段でキーを取得しま す。取得したマスターキーはユーザーのコンピューター内に自動的に保存され、次からはこのマスターキーが使用されま す。 なお、リムーバブルメディアをファイル単位で暗号化している場合、他のコンピューターで暗号化したファイル、つまり、 別のマスターキーで暗号化したファイルがそのリムーバブルメディアにコピーされていることがあります。この場合、別途マ スターキーを取得する必要がありますが、KSC に接続されている場合は自動的に処理されます。

76 リムーバブルメディアをファイル単位で暗号化する（管理サーバー側） リムーバブルドライブ全体を暗号化するには、KES ポリシーの「リムーバブルドライブの暗号化」セクションで、「既定 のルール」を「すべてのファイルの暗号化」または「新しいファイルのみ暗号化」に設定します。 「すべてのファイルの暗号化」の場合、 例外なしにドライブのすべてのファイルが暗号化されます 「新しいファイルのみ暗号化」の場合、ドライブの新しいファイルまたは変更のあったファイルのみ暗号化されます。 ファイル単位の暗号化は、以下の手順で設定します。 ① 暗号化を実施するグループ（ここでは「暗号化グループ」）の「ポリシー」タブで、KES10 のポリシーをダブルクリッ クします。 ②「プロパティ」画面が開く ので、「リムーバブルドラ イブの暗号化」セクション を選択します。

77 ③リムーバブルメディア全 般を暗号化したい場合 は、「既定のルール」で 「すべてのファイルの暗号 化」または「新しいファイ ルのみ暗号化」を選択 します。 メディアごとに設定したい 場合は「変更しない」の ままにして「カスタムルー ル」で設定します。 ④メディアごとに設定したい 場合、あるいは、暗号 化の対象外としたいリム ーバブルメディアがある 場合は、「カスタムルー ル」の「追加」で追加し ます。 追加方法には次の 2 つ があります。

78 (A)信頼するデバイスのリストから追加する方法 「追加」－「このポリシーの信 頼するデバイスから指定する」 を選択します。 「エンドポイントコントロール」の 「デバイスコントロール」で「信 頼するデバイス」として登録さ れているデバイス（接続を許 可されたデバイス）が一覧表 示されるので、「すべて選択」 をクリック、または暗号化したく ないメディアを個別に選択して 「OK」をクリックします。 (B)KSC の管理下にあるすべてのメディアから追加する方法 「追加」－「KSC のデバイスリ ストから指定する」を選択しま す。 「更新」をクリックすると KSC 管理下で使用されたことのあ るデバイスがリストアップされる ので、「すべて選択」をクリッ ク、または暗号化したくないメ デ ィ ア を 個 別 に 選 択 し て 「OK」をクリックします。

79 追加したメディアに対 し、「ルール」を設定し ます。 ここでは、リムーバブル メディア全般で「リムー バブル全体の暗号化」 を実施し、例外として 暗号化しない（変更 しない）メディアを追 加しています。 ※外部のコンピューターや暗号化コンポーネントを導入していない端末でも暗号化されたファイルを使用したい場 合は「ポータブルモード」（P.81）にチェックマークを入れます。 ⑤「OK」をクリックして設定 を反映させます。 ⑥KSC の設定のバックアップを取るよう促すメッセージが 表示されるので、内容を確認して「OK」をクリックしま す。メニューからバックアップを取得し他のマシン、媒体 に保管して下さい。

80 リムーバブルドライブの暗号化の開始（ユーザー側） リムーバブルドライブでファイル単位の暗号化を有効にしている場合、コンピューターにメディアを接続すると、接続 ごとに暗号化をするかどうかの確認メッセージが表示されます。 「すべてのファイルの暗号化」の場合 「新しいファイルのみ暗号化」の場合 「ファイルを暗号化しない」をクリックした場合、リムーバブルメディアは読み取り専用モードとなります。 「ファイルを暗号化する」をクリックすると、暗号化の準備がはじまります。 「すべてのファイルの暗号化」の場合、「ファイルを暗号 化する」をクリックすると、即座に暗号化が開始されま す。 このとき、メディア内のファイルがすべてチェックされ、暗 号化されていないファイルはすべて暗号化されます。した がって、メディアに保存されているファイルの量によっては 時間がかかることがあります。既に暗号化されているファ イルはそのままなので、2 回目以降は高速化されます。 なお、暗号化の途中もメディアへのアクセスは可能で すが、接続は切断しないようにしてください。 すべてのファイルの暗号化が終わるとメッセージが表示 されます。 「新しいファイルのみ暗号化」の場合、この時点では処理はなにも行われません。新しいファイルを保存する際に、 ファイルが自動的に暗号化されます。なお、メディアに保存されている既存のファイルについては、参照した段階では 何も行われず、更新すると、その時点で自動的にファイルが暗号化した状態で保存されます。

81

2.2.3. ポータブルモード

「すべてのファイルを暗号化」あるいは「新しいファイルのみ暗号化」で、リムーバブルメディアをファイル単位で暗号 化する場合、「ポータブルモード」を使用することができます。なお、ファイル単位の暗号化を行っている場合は、後で ポータブルモードに変更することも可能です。 ※ファイル単位の暗号化および「すべてのファイルを暗号化」あるいは「新しいファイルのみ暗号化」の違いについて、 詳しくは、P.75「2.2.2 リムーバブルメディアのファイル単位の暗号化」をご参照ください。 ポータブルモードが有効になっている場合、ポータブルマネージャー（pmv.exe）がリムーバブルメディアにコピーさ れます。外部のコンピューターなど、KSC に接続できないコンピューターや暗号化コンポーネントが導入されていないコ ンピューターでも、このポータブルマネージャーを経由してファイルにアクセスすることで、暗号化/復号化を行うことがで きます。 ポータブルモードを有効にする（管理サーバー側） ① 暗号化を実施するグループ（ここでは「暗号化グループ」）の「ポリシー」タブで、KES10 のポリシーをダブルクリッ クします。

82 ②プロパティ」画面が開くので、「リムーバブルドライブの暗号化」セクションを選択します。

リムーバブルメディア全般で「ポータブルモード」を使用する場合は、「既定のルール」で「すべてのファイルを暗号化」 あるいは「新しいファイルのみ暗号化」を選択して、「ポータブルモード」にチェックマークを入れて有効にします。

83 ポータブルモードでは、ポータブルモード専用の暗号化パスワードを設して使用します。パスワードの最小文字数な どは「暗号化の共通設定」で設定します。デフォルト（推奨設定）は、大文字・数字・記号を含む最低 8 文字で、 30 日ごとに変更するように設定されています。 ③「暗号化の共通設定」 セクションで「パスワード の設定」の「設定」をクリ ックします。 ④「暗号化パスワードの設定」が開くので、「ポ ータブルファイルマネージャー」タブをクリックし てパスワードのパラメーターを設定します。 ⑤「OK」をクリックして設定を反映させます。