リムーバブルドライブ上の暗号化ファイルにアクセスするためのポータブルモード

［ポータブルモード］は、リムーバブルドライブ上のファイル暗号化（FLE）のモードであり、このモードを使用すると社内ネットワーク外にあるデータにアクセスできます。また、ポータブルモードでは、Kaspersky Endpoint Security をインストールしていないコンピューターで暗号化データを操作することもできます。

ポータブルモードは、次の場合に使用すると便利です：

コンピューターと Kaspersky Security Center 管理サーバーとの間に接続がない。
Kaspersky Security Center 管理サーバーの変更により、インフラストラクチャが変更された。
Kaspersky Endpoint Security がコンピューターにインストールされていない。

ポータブルファイルマネージャー

ポータブルモードで作業するために、Kaspersky Endpoint Security は、ポータブルファイルマネージャーという特別な暗号化モジュールをリムーバブルドライブにインストールします。ポータブルファイルマネージャーは、Kaspersky Endpoint Security がコンピューターにインストールされていない場合に暗号化データを操作するためのインターフェイスを提供します（以下の図を参照）。コンピューターに Kaspersky Endpoint Security がインストールされている場合は、通常のファイルマネージャー（エクスプローラーなど）を使用して、暗号化されたリムーバブルドライブを操作できます。

ポータブルファイルマネージャーは、リムーバブルドライブ上のファイルを暗号化するためのキーを保存します。キーは、ユーザーパスワードで暗号化されます。ユーザーは、リムーバブルドライブ上のファイルを暗号化する前に、パスワードを設定します。

Kaspersky Endpoint Security がインストールされていないコンピューターにリムーバブルドライブが接続されると、ポータブルファイルマネージャーが自動的に起動します。コンピューターでアプリケーションの自動起動が無効になっている場合は、ポータブルファイルマネージャーを手動で起動します。これを行うには、リムーバブルドライブに保存されている pmv.exe という名前のファイルを実行します。

ポータブルファイルマネージャー

暗号化ファイルを操作するためのポータブルモードのサポート

管理コンソール（MMC）でリムーバブルドライブ上の暗号化ファイルを操作するためのポータブルモードのサポートを有効にする方法

Kaspersky Security Center の管理コンソールを開きます。
コンソールツリーの［管理対象デバイス］フォルダーで、設定を適用するクライアントコンピューターが属している管理グループのフォルダーを開きます。
作業領域で、［ポリシー］タブを選択します。
目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
ポリシーウィンドウで、［データ暗号化］→［リムーバブルドライブの暗号化］の順に選択します。
［選択したデバイスの暗号化モード］ドロップダウンリストで、［すべてのファイルの暗号化］または［新しいファイルのみ暗号化］を選択します。
ポータブルモードは、ファイルレベルの暗号化（FLE）でのみ使用できます。ディスク全体の暗号化（FDE）のポータブルモードのサポートを有効にすることはできません。
［ポータブルモード］をオンにします。
必要に応じて、個々のリムーバブルドライブの暗号化ルールを追加します。
変更内容を保存します。
ポリシーを適用後、リムーバブルドライブをコンピューターに接続します。
リムーバブルドライブの暗号化操作を確認します。
ポータブルファイルマネージャーのパスワードを作成するウィンドウが表示されます。
強度の要件を満たすパスワードを指定し、再度入力します。
変更内容を保存します。

Kaspersky Endpoint Security は、リムーバブルドライブ上のファイルを暗号化します。暗号化ファイルの操作に使用されるポータブルファイルマネージャーも、リムーバブルドライブに追加されます。リムーバブルドライブに既に暗号化されたファイルがある場合は、Kaspersky Endpoint Security は独自のキーを使用してそれらを再度暗号化します。これによりユーザーは、ポータブルモードでリムーバブルドライブ上のすべてのファイルにアクセスできます。

Web コンソールでリムーバブルドライブ上の暗号化ファイルを操作するためのポータブルモードのサポートを有効にする方法

Web コンソールのメインウィンドウで［デバイス］→［ポリシーとプロファイル］の順に選択します。
ポータブルモードのサポートを有効にするコンピューターで使用されている Kaspersky Endpoint Security ポリシーをクリックします。
ポリシーのプロパティウィンドウが表示されます。
［アプリケーション設定］タブを選択します。
［データ暗号化］→［リムーバブルドライブの暗号化］の順に選択します。
［暗号化の管理］で、［すべてのファイルの暗号化］または［新しいファイルのみ暗号化］を選択します。
ポータブルモードは、ファイルレベルの暗号化（FLE）でのみ使用できます。ディスク全体の暗号化（FDE）のポータブルモードのサポートを有効にすることはできません。
［ポータブルモード］をオンにします。
必要に応じて、個々のリムーバブルドライブの暗号化ルールを追加します。
変更内容を保存します。
ポリシーを適用後、リムーバブルドライブをコンピューターに接続します。
リムーバブルドライブの暗号化操作を確認します。
ポータブルファイルマネージャーのパスワードを作成するウィンドウが表示されます。
強度の要件を満たすパスワードを指定し、再度入力します。
変更内容を保存します。

リムーバブルドライブ上の暗号化ファイルにアクセスする

ポータブルモードをサポートするリムーバブルドライブ上のファイルを暗号化した後、次のファイルアクセス方法を使用できます：

Kaspersky Endpoint Security がコンピューターにインストールされていない場合、ポータブルファイルマネージャーにパスワードの入力を要求されます。コンピューターを再起動するたび、またはリムーバブルドライブを再接続するたびに、パスワードを入力する必要があります。
コンピューターが企業ネットワークの外部にあり、Kaspersky Endpoint Security がコンピューターにインストールされている場合は、パスワードの入力を要求されるか、管理者にファイルへのアクセス要求が送信されます。リムーバブルドライブ上のファイルにアクセスすると、Kaspersky Endpoint Security は秘密の鍵をコンピューターの保管領域に保存します。これにより今後は、パスワードを入力したり、管理者に依頼したりすることなく、ファイルにアクセスできるようになります。
コンピューターが企業ネットワーク内にあり、Kaspersky Endpoint Security がコンピューターにインストールされている場合、パスワードを入力せずにデバイスにアクセスできます。Kaspersky Endpoint Security は、コンピューターが接続されている Kaspersky Security Center 管理サーバーから秘密の鍵を受信します。

ポータブルモードで作業するためのパスワードの復元

ポータブルモードで作業するためのパスワードを忘れた場合は、企業ネットワーク内の Kaspersky Endpoint Security がインストールされているコンピューターに、リムーバブルドライブを接続する必要があります。秘密の鍵はコンピューターの保管領域または管理サーバーに保存されているため、ファイルにアクセスできます。新しいパスワードでファイルを復号化および再暗号化します。

リムーバブルドライブを別のネットワークからコンピューターに接続するときのポータブルモードの機能

コンピューターが企業ネットワークの外部にあり、Kaspersky Endpoint Security がコンピューターにインストールされている場合は、次の方法でファイルにアクセスできます：

パスワードベースでアクセスする
パスワードを入力すると、リムーバブルドライブ上のファイルを表示、変更、保存できるようになります（透過的アクセス権）。リムーバブルドライブの暗号化に関するポリシー設定で、次のパラメータが設定されている場合は、Kaspersky Endpoint Security はリムーバブルドライブの読み取り専用アクセス権を設定できます：
- ポータブルモードのサポートが無効になっている
- ［すべてのファイルの暗号化］または［新しいファイルのみ暗号化］モードが選択されている
それ以外の場合は、リムーバブルドライブへのフルアクセス権（読み取り／書き込み権限）が付与されます。ファイルの追加と削除ができるようになります。

リムーバブルドライブがコンピューターに接続中であっても、リムーバブルドライブへのアクセス権限を変更できます。リムーバブルドライブへのアクセス権限が変更されると、ファイルへのアクセスがブロックされ、パスワードを再度入力するよう要求されます。

パスワードの入力後は、リムーバブルドライブの暗号化ポリシー設定を適用できません。この場合、リムーバブルドライブ上のファイルを復号化または再暗号化することはできません。
管理者にファイルへのアクセス権を依頼する
ポータブルモードで作業するためのパスワードを忘れた場合は、管理者にファイルへのアクセス権を依頼します。ファイルにアクセスするには、ユーザーは管理者にアクセス要求ファイル（拡張子が KESDC のファイル）を送信する必要があります。ユーザーは、メールなどでアクセス要求ファイルを送信できます。管理者は、暗号化されたデータアクセスファイル（拡張子がKESDRのファイル）を送信します。

要求と応答のパスワード復元手順を完了すると、リムーバブルドライブ上のファイルへの透過的アクセス権とリムーバブルドライブへのフルアクセス権（読み取り／書き込み権限）が付与されます。

たとえば、リムーバブルドライブの暗号化ポリシーの適用やファイルの復号化を行えます。パスワードの復元を完了するか、ポリシーが更新されると、変更を確認するよう要求されます。

管理コンソール（MMC）で暗号化されたデータアクセスファイルを取得する方法
1. Kaspersky Security Center の管理コンソールを開きます。
2. コンソールツリーの［管理対象デバイス］フォルダーで、設定を適用するクライアントコンピューターが属している管理グループのフォルダーを開きます。
3. 作業領域で、［デバイス］タブを選択します。
4. ［デバイス］タブで、暗号化データへのアクセスを要求しているユーザーのコンピューターを選択して、右クリックしコンテキストメニューを表示します。
5. コンテキストメニューで、［オフラインモードでのアクセスを許可する］を選択します。
6. 表示されたウィンドウで、［データ暗号化］タブを選択します。
7. ［データ暗号化］タブで［参照］をクリックします。
8. アクセス要求ファイルを選択するウィンドウで、ユーザーから受け取ったファイルへのパスを指定します。
ユーザーのリクエストに関する情報が表示されます。Kaspersky Security Center はキーファイルを生成します。生成された暗号化データのアクセスキーファイルをユーザーにメールで送信します。または、アクセスファイルを保存し、任意の受け渡し方法でファイルを転送します。
Web コンソールで暗号化されたデータのアクセスファイルを取得する方法
1. Web コンソールのメインウィンドウで、［デバイス］→［管理対象デバイス］の順に選択します。
2. データへのアクセスを復元するコンピューターの名前の横にあるチェックボックスをオンにします。
3. ［オフラインモードでのデバイスへのアクセスを許可］をクリックします。
4. ［データ暗号化］セクションを選択します。
5. ［ファイルを選択］をクリックして、ユーザーから受け取ったアクセス要求ファイル（拡張子が KESDC のファイル）を選択します。
  Web コンソールには、リクエストに関する情報が表示されます。これには、ユーザーがファイルへのアクセスを要求しているコンピューターの名前が含まれます。
6. ［ライセンスを保存］をクリックして、暗号化されたデータのアクセスキーファイル（拡張子が KESDR のファイル）を保存するフォルダーを選択します。
その結果、暗号化されたデータのアクセスキーを取得できます。そのアクセスキーは、ユーザーに転送する必要があります。

ページのトップに戻る