Kaspersky Endpoint Security では、ローカルドライブおよびリムーバブルドライブに保存されているファイルやフォルダー、またはリムーバブルドライブおよびハードディスク全体を暗号化できます。データを暗号化すると、ノートパソコン、リムーバブルドライブ、ハードディスクの消失や盗難、承認されていないユーザーやアプリケーションによるデータへのアクセスなどに伴って発生する情報漏洩のリスクを最小限に抑えることができます。Kaspersky Endpoint Security では、Advanced Encryption Standard(AES)暗号アルゴリズムが使用されます。
ライセンスの有効期間が終了すると、新しいデータの暗号化は行いませんが、暗号化された既存のデータは暗号化されたままで、使用可能です。この場合、新たにデータを暗号化するには、暗号化の使用が許可された新しいライセンスで製品をアクティベートする必要があります。
ライセンスの有効期間が終了した場合や、使用許諾契約書の違反が発生した場合、ライセンスや Kaspersky Endpoint Security、暗号化のコンポーネントが削除された場合、以前に暗号化されたファイルの暗号化状態は保証されなくなります。これは、Microsoft Office Word など一部のアプリケーションが、編集中にファイルの一時的なコピーを作成するためです。元のファイルが保存されるとき、一時コピーが元のファイルと入れ替わります。その結果、暗号化機能がないコンピューターや暗号化機能にアクセスできないコンピューターでは、ファイルは暗号化されていない状態になります。
Kaspersky Endpoint Security は、次に示すようにデータを多面的に保護します:
既定の暗号化ルールの優先度は、個々のリムーバブルドライブに対して作成された暗号化ルールよりも低くなります。指定されたデバイスモデルのリムーバブルドライブについて作成された暗号化ルールの優先度は、指定されたデバイス ID のリムーバブルドライブについて作成された暗号化ルールよりも低くなります。
Kaspersky Endpoint Security は、リムーバブルドライブ上のファイルの暗号化ルールを選択するために、デバイスモデルと ID が既知かどうかをチェックします。チェック後、次のいずれかの操作が行われます:
ユーザーは、リムーバブルドライブに保存されている暗号化データをポータブルモードで使用できるようリムーバブルドライブを準備できます。ポータブルモード有効にすると、暗号化機能を持たないコンピューターに接続されているリムーバブルドライブ上の暗号化ファイルにアクセスできます。
BitLocker は、Windows オペレーティングシステムの一部です。コンピューターに Trusted Platform Module(TPM)が搭載されている場合、BitLocker は、暗号化されたハードディスクにアクセスするための回復キーを TPM に保管します。コンピューターの起動時、BitLocker は Trusted Platform Module からハードディスク回復キーを要求し、ドライブのロックを解除します。回復キーにアクセスするためにパスワードや暗証番号を使用するよう設定できます。
既定のディスク暗号化のルールを指定して、暗号化から除外するハードディスクのリストを作成できます。Kaspersky Endpoint Security は、Kaspersky Security Center ポリシーが適用されると、ディスク全体をセクター単位で暗号化します。本製品は、ハードディスクのすべての論理パーティションを同時に暗号化します。
システムハードディスクが暗号化されると、次回のコンピューターの起動時、ユーザーはハードディスクにアクセスしてオペレーティングシステムを読み込む前に認証エージェントによる認証を完了する必要があります。それには、コンピューターに接続されているトークンまたはスマートカードのパスワードを入力するか、認証エージェントアカウント管理タスクを使用して LAN 管理者により作成される認証エージェントアカウントのユーザー名とパスワードを入力します。これらのアカウントは、ユーザーがオペレーティングシステムにログインする際にログインアカウントとして使用する Microsoft Windows アカウントに基づいています。また、認証エージェントアカウントのユーザー名とパスワードを使用してオペレーティングシステムに自動的にログインできるシングルサインオン(SSO)技術を使用することもできます。
コンピューターをバックアップしてから、そのコンピューターのデータを暗号化した場合、その後、コンピューターのバックアップコピーを復元し、コンピューターのデータをもう一度暗号化すると、Kaspersky Endpoint Security により、認証エージェントアカウントの複製が作成されます。この複製されたアカウントを削除するには、klmover ユーティリティを dupfix キーを指定して使用します。klmover ユーティリティは、Kaspersky Security Center のビルドに含まれています。この操作の詳細については、Kaspersky Security Center のオンラインヘルプを参照してください。
暗号化されたハードディスクにアクセスできるコンピューターは、ディスク全体の暗号化機能を含む Kaspersky Endpoint Security がインストールされたコンピューターに限定されています。この予防策により、企業のローカルエリアネットワークの外からアクセスが試みられ、暗号化されたハードディスクからデータが漏出するリスクが最小限に抑えられます。
ハードディスクとリムーバブルドライブを暗号化する際、[使用されているディスク領域のみを暗号化]機能を使用できます。この機能は、まだ使用されていない新しいデバイスでのみ使用するようにしてください。すでに使用されているデバイスに暗号化を適用する場合、デバイス全体を暗号化するようにしてください。それにより、削除されているが取り出すことのできる情報を含む可能性があるデータを含め、すべてのデータが保護されます。
Kaspersky Endpoint Security は、暗号化を開始する前に、ファイルシステムセクターのマッピングを取得します。暗号化の第 1 段階では、暗号化を開始した時点でファイルによって占められているセクターが対象になります。暗号化の第 2 段階で、暗号化が開始された後に書き込まれたセクターが対象になります。暗号化が完了すると、データを含んでいるすべてのセクターが暗号化されます。
暗号化が完了した後にユーザーがファイルを削除すると、削除されたファイルが格納されていたセクターはファイルシステムレベルで新しい情報を格納するために使用可能になりますが、引き続き暗号化されます。このように、ファイルが新しいデバイスに書き込まれ、そのデバイスが[使用されているディスク領域のみを暗号化]機能が有効な状態で定期的に暗号化されていくことで、しばらくするとすべてのセクターが暗号化されます。
ファイルの復号化に必要なデータは、暗号化時にこのコンピューターをコントロールしていた Kaspersky Security Center 管理サーバーから提供されます。暗号化されたオブジェクトを持つコンピューターが何らかの理由で別の管理サーバーによって管理されていた場合、次のいずれかの方法で暗号化されたデータへのアクセスを取得できます:
暗号化されたデータへのアクセスがない場合は、暗号化されたデータを操作するための特別な指示に従ってください(暗号化されたファイルへのアクセスの復元処理、暗号化されたデバイスにアクセスできない状況での暗号化デバイスの使用)。