次の暗号化技術を選択できます:Kaspersky Disk Encryption、BitLocker ドライブ暗号化(単に BitLocker とも)。
Kaspersky Disk Encryption
システムハードディスクが暗号化されると、次回のコンピューターの起動時、ユーザーはハードディスクにアクセスしてオペレーティングシステムを読み込む前に認証エージェントによる認証を完了する必要があります。それには、コンピューターに接続されているトークンまたはスマートカードのパスワードを入力するか、認証エージェントアカウントの管理タスクを使用して LAN 管理者により作成される認証エージェントアカウントのユーザー名とパスワードを入力します。これらのアカウントは、ユーザーがオペレーティングシステムにログインする際にログインアカウントとして使用する Microsoft Windows アカウントに基づいています。また、認証エージェントアカウントのユーザー名とパスワードを使用してオペレーティングシステムに自動的にログインできるシングルサインオン(SSO)技術を使用することもできます。
認証エージェントでのユーザー認証は 2 通りの方法で実行できます:
トークンやスマートカードは、コンピューターのハードディスクが AES256 アルゴリズムを使用して暗号化されている場合にのみ使用できます。コンピューターのハードディスクが AES56 アルゴリズムで暗号化された場合、コマンドへの電子署名ファイルの追加は拒否されます。
BitLocker ドライブ暗号化
BitLocker は、Windows オペレーティングシステムに組み込まれた暗号化技術です。Kaspersky Endpoint Security を使用して、Kaspersky Security Center で BitLocker を制御および管理できます。BitLocker は論理ボリュームを暗号化します。BitLocker はリムーバブルドライブの暗号化には使用できません。BitLocker について詳しくは、Microsoft 社の資料を参照してください。
BitLocker 信頼済みプラットフォームモジュールを使用して、安全なアクセスキーの保管領域を提供します。Trusted Platform Module(TPM)は、セキュリティ関連の基本機能(暗号化鍵の保存など)を提供するために開発されたマイクロチップです。Trusted Platform Module は通常、コンピューターのマザーボードにインストールされ、ハードウェアバスを介して他のすべてのシステムコンポーネントと連携します。TPM は起動前のシステム整合性検証を行うため、TPM を使用すると最も安全に BitLocker アクセスキーを保管できます。TPM なしでもコンピューター上のドライブを暗号化することは可能です。この場合は、アクセスキーはパスワードで暗号化されます。BitLocker は次の暗号化の方法を使用します:
ドライブを暗号化した後、BitLocker はマスター鍵を作成します。Kaspersky Endpoint Security はこのマスター鍵を Kaspersky Security Center に送るため、ユーザーがパスワードを忘れた場合などにディスクへのアクセスを復元することができます。
ユーザーが BitLocker を使用してディスクを暗号化すると、Kaspersky Endpoint Security は Kaspersky Security Center にディスク暗号化に関する情報 を送ります。一方、Kaspersky Endpoint Security はマスター鍵を Kaspersky Security Center に送らないため、Kaspersky Security Center を使用してディスクへのアクセスを復元することはできません。Kaspersky Security Center と BitLocker が正しく動作するために、ドライブの復号化および再暗号化にはポリシーを使用してください。ローカルで、またはポリシーを使用してドライブを復号化できます。
システムの暗号化後、ユーザーはオペレーティングシステムを起動するために BitLocker 認証の手順を完了する必要があります。認証手順完了後、BitLocker はユーザーのログインを許可します。BitLocker はシングルサインオン(SSO)をサポートしていません。
Windows のグループポリシーを使用している場合、ポリシーで BitLocker の管理をオフにしてください。Windows のポリシー設定は Kaspersky Endpoint Security のポリシー設定と競合する可能性があります。ドライブの暗号化の際にエラーが発生する可能性があります。
Kaspersky Disk Encryption の設定
パラメータ |
説明 |
---|---|
暗号化モード |
すべてのハードディスクを暗号化する:このオプションを選択すると、ポリシーが適用された時点ですべてのハードディスクが暗号化されます。 コンピューターに複数のオペレーティングシステムがインストールされている場合、暗号化が完了すると、本製品がインストールされているオペレーティングシステムしか読み込めなくなります。 すべてのハードディスクを復号化する:このオプションを選択すると、ポリシーの適用時、それ以前に暗号化されていたすべてのハードディスクが復号化されます。 変更しない:このオプションを選択すると、ポリシーの適用時、ドライブに変更を加えずそのままの状態を保持します。ドライブが暗号化されている場合は、暗号化された状態を保持します。ドライブが復号化されている場合は、復号化された状態を保持します。既定ではこのオプションが選択されます。 |
暗号化中に Windows ユーザー向けの認証エージェントアカウントを自動的に作成する |
このチェックボックスをオンにすると、コンピューター上の Windows ユーザーアカウントのリストに基づいて認証エージェントアカウントを作成します。既定では、Kaspersky Endpoint Security は、過去 30 日間にユーザーがオペレーティングシステムにログインしたすべてのローカルアカウントとドメインアカウントを使用します。 |
認証エージェントアカウント作成の設定 |
コンピューター上のすべてのアカウント:常時有効なコンピューター上のすべてのアカウント。 コンピューター上のすべてのドメインアカウント:いずれかのドメインに属しており、常時有効なコンピューター上のすべてのアカウント。 コンピューター上のすべてのローカルアカウント:常時有効なコンピューター上のすべてのローカルアカウント。 ワンタイムパスワードが設定されたサービスアカウント:サービスアカウントは、ユーザーがパスワードを忘れたときなどにコンピューターへのアクセス権を取得するために必要です。このサービスアカウントは予備のアカウントとして使用することもできます。アカウントの名前を入力する必要があります(既定では ローカル管理者:Kaspersky Endpoint Security は、コンピューターのローカル管理者に認証エージェントのユーザーアカウントを作成します。 コンピューター管理者:Kaspersky Endpoint Security は、コンピューター管理者に認証エージェントのユーザーアカウントを作成します。Active Directory のコンピューターのプロパティで、どのアカウントがコンピューター管理者ロールを持っているか確認できます。既定では、コンピューター管理者ロールは定義されておらず、どのアカウントにも紐づけられていません。 アクティブなアカウント:Kaspersky Endpoint Security は、ディスクの暗号化時に有効になっているアカウントに対して自動的に認証エージェントアカウントを作成します。 |
このコンピューターのすべてのユーザーの初回ログイン時に認証エージェントアカウントを自動で作成する |
このチェックボックスをオンにすると、認証エージェントの開始前にコンピューター上の Windows ユーザーアカウントに関する情報をチェックします。認証エージェントアカウントを持たない Windows ユーザーアカウントを検知すると、Kaspersky Endpoint Security は暗号化ドライブにアクセスするための新規アカウントを作成します。認証エージェントアカウントには次の既定の設定(パスワードで保護されているログインのみ、初回認証時のパスワード変更を要求)が適用されています。そのため、すでに暗号化されたドライブを持つコンピューター用に認証エージェントアカウントの管理タスクを使用して認証エージェントを手動で追加する必要はありません。 |
認証エージェントに入力したユーザー名を保存する |
チェックボックスをオンにすると、認証エージェントアカウントの名前が保存されます。次回、認証エージェントで同じアカウントを使用して認証を完了しようとした場合、アカウント名の入力は要求されません。 |
使用されているディスク領域のみを暗号化(暗号化時間を短縮) |
このチェックボックスでは、暗号化の対象をハードディスクの使用中のセクターのみに限定する設定を有効または無効にします。限定することにより、暗号化にかかる時間を短縮できます。 暗号化の開始後に[使用されているディスク領域のみを暗号化(Windows 8 以降)]を有効または無効にしても、ハードドライブが復号化されるまでこの設定は変更されません。チェックボックスのオン / オフは、暗号化が開始する前に選択してください。 このチェックボックスをオンにすると、ハードディスク内のファイルがある領域のみが暗号化されます。新しいデータは、追加されると自動的に暗号化されます。 チェックボックスをオフにすると、過去に削除されたファイルや変更が加えられたファイルの残存フラグメントも含め、ハードディスク全体が暗号化されます。 データが変更されたり削除されていない新しいハードディスクでは、このオプションをオンにしてください。既に使用されているハードディスクに暗号化を適用する場合、ハードディスク全体を暗号化してください。それにより、削除されているが回復の可能性があるデータを含め、すべてのデータが保護されます。 既定では、このチェックボックスはオフです。 |
レガシー USB サポートを使用する(推奨されません) |
このチェックボックスでは、レガシー USB サポートを有効または無効にします。レガシー USB サポート は BIOS / UEFI 機能であり、オペレーティングシステム(BIOS モード)を起動する前のコンピューターのブートフェーズ中に USB デバイス(セキュリティトークンなど)を使用することができます。レガシー USB サポートは、オペレーティングシステムが起動した後の USB デバイスのサポートには影響しません。 このチェックボックスをオンにすると、コンピューター起動中の USB デバイスのサポートが有効になります。 レガシー USB サポートが有効になっている場合、BIOS モードの認証エージェントでは USB を介してトークンを操作することはできません。ハードウェアの互換性の問題が発生しているコンピューターでのみ、このオプションをオンにしてください。 |
パスワードの設定 |
認証エージェントアカウントのパスワード強度設定。シングルサインオン技術を使用する場合、認証エージェントは Kaspersky Security Center で指定されたパスワードの強度の要件を無視します。パスワードの強度の要件は、オペレーティングシステムの設定で設定できます。 |
シングルサインオン (SSO) 技術を使用する |
SSO 技術を使用すると、暗号化されたハードディスクにアクセスする際やオペレーティングシステムにサインインする際に、同一のアカウント認証情報を使用できます。 このチェックボックスをオンにすると、アカウントの資格情報を入力してから暗号化されたハードディスクにアクセスすればオペレーティングシステムに自動的にログインできます。 このチェックボックスをオフにすると、暗号化されたハードディスクにアクセスしてからオペレーティングシステムにログインする場合に、暗号化されたハードディスクへのアクセスに必要な資格情報と、オペレーティングシステムのユーザーアカウントの資格情報を個別に入力する必要があります。 |
サードパーティの資格情報プロバイダーをラップする |
Kaspersky Endpoint Security では、サードパーティの資格情報プロバイダー ADSelfService Plus がサポートされます。 サードパーティの資格情報プロバイダーと連携する際には、認証エージェントはオペレーティングシステムが読み込まれる前にパスワードを読み取ります。つまり、ユーザーがパスワードを入力する必要があるのは、Windows にログインするときの 1 度のみということです。Windows にログインした後、ユーザーは企業のサービスの認証などにサードパーティの資格情報プロバイダーを使用することができます。サードパーティの資格情報プロバイダーを使用して、ユーザーは個別に自身のパスワードをリセットすることが可能です。この場合、Kaspersky Endpoint Security は認証エージェントのパスワードを自動的に更新します。 本製品がサポートしていないサードパーティの資格情報プロバイダーを使用している場合は、シングルサインオン技術の操作に制限がある可能性があります。 |
ヘルプテキスト |
認証:アカウントの認証情報を入力するときに認証エージェントウィンドウに表示されるヘルプテキスト。 パスワードの変更:認証エージェントアカウントのパスワードを変更するときに、認証エージェントウィンドウに表示されるヘルプテキスト。 パスワードの復元:認証エージェントアカウントのパスワードを復元するときに、認証エージェントウィンドウに表示されるヘルプテキスト。 |
BitLocker ドライブ暗号化の設定
パラメータ |
説明 |
---|---|
暗号化モード |
すべてのハードディスクを暗号化する:このオプションを選択すると、ポリシーが適用された時点ですべてのハードディスクが暗号化されます。 コンピューターに複数のオペレーティングシステムがインストールされている場合、暗号化が完了すると、本製品がインストールされているオペレーティングシステムしか読み込めなくなります。 すべてのハードディスクを復号化する:このオプションを選択すると、ポリシーの適用時、それ以前に暗号化されていたすべてのハードディスクが復号化されます。 変更しない:このオプションを選択すると、ポリシーの適用時、ドライブに変更を加えずそのままの状態を保持します。ドライブが暗号化されている場合は、暗号化された状態を保持します。ドライブが復号化されている場合は、復号化された状態を保持します。既定ではこのオプションが選択されます。 |
タブレットでプリブート キーボード入力が必要な BitLocker 認証を使用できるようにする |
このチェックボックスでは、起動前の環境でデータ入力を必要とする認証を使用するかしないかを選択します。この設定は、起動前に入力できる機能がないプラットフォームに対しても適用されます(例:タブレットのタッチスクリーンキーボード)。 タブレットコンピューターのタッチスクリーンは起動前環境では利用できません。タブレットコンピューターで BitLocker 認証を完了するには、ユーザーは USB キーボードなどを接続する必要があります。 このチェックボックスをオンにすると、起動前の入力を必要とする認証の使用が許可されます。この設定は、起動前の環境でデータ入力ができるツールがあるデバイスに対してのみ使用してください(例:タッチスクリーンキーボードだけでなく USB キーボードも付いているデバイスなど)。 チェックボックスをオフにすると、タブレットコンピューターで BitLocker ドライブ暗号化が使用できなくなります。 |
ハードウェア暗号化を使用(Windows 8 以降) |
このチェックボックスをオンにすると、ハードウェア暗号化が適用されます。ハードウェア暗号化を使用すると、より少ないコンピューターリソースで、より速く暗号化することができます。 |
使用されているディスク領域のみを暗号化(Windows 8 以降) |
このチェックボックスでは、暗号化の対象をハードディスクの使用中のセクターのみに限定する設定を有効または無効にします。限定することにより、暗号化にかかる時間を短縮できます。 暗号化の開始後に[使用されているディスク領域のみを暗号化(Windows 8 以降)]を有効または無効にしても、ハードドライブが復号化されるまでこの設定は変更されません。チェックボックスのオン / オフは、暗号化が開始する前に選択してください。 このチェックボックスをオンにすると、ハードディスク内のファイルがある領域のみが暗号化されます。新しいデータは、追加されると自動的に暗号化されます。 チェックボックスをオフにすると、過去に削除されたファイルや変更が加えられたファイルの残存フラグメントも含め、ハードディスク全体が暗号化されます。 データが変更されたり削除されていない新しいハードディスクでは、このオプションをオンにしてください。既に使用されているハードディスクに暗号化を適用する場合、ハードディスク全体を暗号化してください。それにより、削除されているが回復の可能性があるデータを含め、すべてのデータが保護されます。 既定では、このチェックボックスはオフです。 |
認証設定 |
パスワードを使用(Windows 8 以降) このオプションを選択すると、暗号化されたドライブにアクセスしようとした際に、パスワードの入力が要求されます。 このオプションは、Trusted Platform Module(TPM)が使用されていない場合に選択できます。 トラステッド プラットフォーム モジュール(TPM)を使用 このオプションを選択すると、BitLocker は Trusted Platform Module(TPM)を使用します。 Trusted Platform Module(TPM)は、セキュリティ関連の基本機能(暗号化鍵の保存など)を提供するために開発されたマイクロチップです。Trusted Platform Module は通常、コンピューターのマザーボードにインストールされ、ハードウェアバスを介して他のすべてのシステムコンポーネントと連携します。 Windows 7 と Windows 2008 R2 では、TPM モジュールを使用した暗号化のみを利用できます。TPM モジュールがインストールされていない場合、BitLocker 暗号化は実行できません。これらのオペレーティングシステムを使用しているコンピューターでは、パスワードを使用した暗号化はサポートされません。 Trusted Platform Module を搭載したデバイスで作成された暗号鍵は、そのデバイスでしか復号化できません。Trusted Platform Module は、各 TPM が保持するストレージルートキーを使って暗号鍵を暗号化します。ストレージルートキーは Trusted Platform Module 内部に格納されています。そのため、暗号鍵を盗もうとする試みに対して、より強固な保護を提供することができます。 既定では、この処理が選択されています。 暗号化鍵およびパスワードまたは PIN で保護された暗号化鍵へのアクセスに、より強固な保護を提供することが可能です。
チェックボックスがオフの場合は TPM は使用できず、ディスク全体の暗号化は開始されません。 |