Windows、macOS 向け
Windows 用 BitLocker ドライブ暗号化
BitLocker は、Windows オペレーティングシステムに組み込まれた暗号化技術です。Kaspersky Endpoint Security では、Kaspersky Next のインフラストラクチャを使用して BitLocker を制御および管理できます。BitLocker は論理ボリュームを暗号化します。BitLocker はリムーバブルドライブの暗号化には使用できません。BitLocker について詳しくは、Microsoft 社の資料を参照してください。
BitLocker は、ディスクを暗号化する際に、ブートローダーとその他の補助ファイルをシステムパーティションに配置します。このパーティションは暗号化されません。Windows のインストール中に、オペレーティングシステムによって、システムパーティションが自動的に作成されます。Windows をインストールする前にディスクが完全にパーティション分割されている場合、オペレーティングシステムはシステムパーティションを作成できません。この場合、BitLocker のディスク暗号化を開始すると、オペレーティングシステムは、ディスクを再パーティション化してシステムパーティションを作成するようにユーザーに要求します。システムパーティションが作成されると、オペレーティングシステムによって BitLocker 暗号化が開始されます。
BitLocker 信頼済みプラットフォームモジュールを使用して、安全なアクセスキーの保管領域を提供します。Trusted Platform Module(TPM)は、セキュリティ関連の基本機能(暗号化鍵の保存など)を提供するために開発されたマイクロチップです。Trusted Platform Module は通常、コンピューターのマザーボードにインストールされ、ハードウェアバスを介して他のすべてのシステムコンポーネントと連携します。TPM は起動前のシステム整合性検証を行うため、TPM を使用すると最も安全に BitLocker アクセスキーを保管できます。TPM を搭載していないコンピューターでもドライブを暗号化できます。この場合、アクセスキーはパスワードで暗号化されます。BitLocker は次の暗号化の方法を使用します:
システムの暗号化後、ユーザーはオペレーティングシステムを起動するために BitLocker 認証の手順を完了する必要があります。認証手順完了後、BitLocker はユーザーのログインを許可します。BitLocker はシングルサインオン(SSO)をサポートしていません。
ドライブを暗号化した後、BitLocker はマスター鍵を作成します。Kaspersky Endpoint Security はこのマスター鍵を Kaspersky Next インフラストラクチャに送信するため、ユーザーがパスワードを忘れた場合などにディスクへのアクセスを復元することができます。
ユーザーが BitLocker を使用してディスクを暗号化すると、Kaspersky Endpoint Security は Kaspersky Next コンソールにディスク暗号化に関する情報を送ります。一方、Kaspersky Endpoint Security はマスター鍵を Kaspersky Next インフラストラクチャに送らないため、ディスクへのアクセスを復元することはできません。BitLocker と Kaspersky Next インフラストラクチャが正しく動作するために、ドライブの復号および再暗号化にはポリシーを使用してください。ローカルで、またはポリシーを使用してドライブを復号化できます。
Windows のグループポリシーを使用している場合、ポリシーで BitLocker の管理をオフにしてください。Windows のポリシー設定は Kaspersky Endpoint Security のポリシー設定と競合する可能性があります。ドライブの暗号化の際にエラーが発生する可能性があります。
macOS 用 FileVault ディスク暗号化
Kaspersky Endpoint Security を使用すると、FileVault 暗号化をリモートで管理できます。暗号化により、権限のないユーザーがユーザーのコンピューターの起動ディスクに保存されている機密データにアクセスするのを防ぎます。
管理者が Kaspersky Next コンソールからコンピュータの FileVault 暗号化を開始すると、Kaspersky Endpoint Security はこのデバイスのユーザーに資格情報の入力を要求します。ディスク暗号化は、ユーザーが資格情報を提供し、コンピューターが再起動され、コンピューターでポリシー設定が受信されてから 30 分が経過した後にのみ開始されます。資格情報の入力を要求する最小間隔も 30 分です。
FileVault 暗号化が有効になっている時にユーザーがコンピューターの起動ディスクを復号化できないようにするには、管理者は JAMF を使用してディスクの復号化を禁止する MDM プロファイルを展開する必要があります。ディスクの復号化を禁止する MDM プロファイルを使用してコンピューターの起動ディスクを復号化するには、管理者はまずプロファイルを削除する必要があります。
Kaspersky Next コンソールで FileVault 暗号化の管理が有効になっていない場合、管理者権限を持つユーザーは、システム設定でコンピューターの起動ディスクを暗号化または復号できます。FileVault の詳細については、Apple のドキュメントを参照してください。
コンピューターに複数のコンピューターアカウントがある場合、FileVault 暗号化により、資格情報を入力したユーザー以外のすべてのユーザーがディスクにアクセスできなくなります。例外はありません。
Pro View のデータ暗号化設定
パラメータ |
OS |
説明 |
|---|---|---|
デバイスの操作 |
|
すべてのハードディスクを暗号化する。このオプションを選択すると、ポリシーが適用された時点ですべてのハードディスクが暗号化されます。 すべてのハードディスクを復号化する。このオプションを選択すると、ポリシーの適用時、それ以前に暗号化されていたすべてのハードディスクが復号化されます。 |
ハードウェアの暗号化を使用する |
|
このチェックボックスをオンにすると、ハードウェア暗号化が適用されます。暗号化を高速化し、コンピューターリソースの使用量を低減します。 |
Windows タブレットでの BitLocker 認証の使用 |
|
起動前の環境でデータ入力を必要とする認証を使用します。この設定は、起動前に入力できる機能がないプラットフォームに対しても適用されます(例:タブレットのタッチスクリーンキーボード)。 タブレットコンピューターのタッチスクリーンは、プリブート環境では使用できません。タブレットコンピューターで BitLocker 認証を完了するには、ユーザーは USB キーボードなどを接続する必要があります。 このチェックボックスをオンにすると、起動前の入力を必要とする認証の使用が許可されます。この設定は、起動前の環境でデータ入力ができるツールがあるデバイスに対してのみ使用してください(例:タッチスクリーンキーボードだけでなく USB キーボードも付いているデバイスなど)。 チェックボックスをオフにすると、タブレットコンピューターで BitLocker ドライブ暗号化が使用できなくなります。 |
認証方法 |
|
トラステッド プラットフォーム モジュール(TPM): このオプションを選択すると、BitLocker は Trusted Platform Module(TPM)を使用します。 Trusted Platform Module(TPM)は、セキュリティ関連の基本機能(暗号化鍵の保存など)を提供するために開発されたマイクロチップです。Trusted Platform Module は通常、コンピューターのマザーボードにインストールされ、ハードウェアバスを介して他のすべてのシステムコンポーネントと連携します。 Windows 7 と Windows 2008 R2 では、TPM モジュールを使用した暗号化のみを利用できます。TPM モジュールがインストールされていない場合、BitLocker 暗号化は実行できません。これらのオペレーティングシステムを使用しているコンピューターでは、パスワードを使用した暗号化はサポートされません。 Trusted Platform Module を搭載したデバイスで作成された暗号鍵は、そのデバイスでしか復号化できません。Trusted Platform Module は、各 TPM が保持するストレージルートキーを使って暗号鍵を暗号化します。ストレージルートキーは Trusted Platform Module 内部に格納されています。そのため、暗号鍵を盗もうとする試みに対して、より強固な保護を提供することができます。 既定では、この処理が選択されています。 パスワード: このオプションを選択すると、暗号化されたドライブにアクセスしようとした際に、パスワードの入力が要求されます。 このオプションは、Trusted Platform Module(TPM)が使用されていない場合に選択できます。 トラステッド プラットフォーム モジュール(TPM)、TPM が使用できない場合はパスワード: このオプションをオンにすると、Trusted Platform Module(TPM)が使用できない場合、パスワードを使用して暗号鍵にアクセスできます。チェックボックスがオフの場合は TPM は使用できず、ディスク全体の暗号化は開始されません。 TPM の PIN を使用する:このチェックボックスをオンにすると、Trusted Platform Module(TPM)内に格納されている暗号鍵にアクセスする際に暗証番号を使用できます。このチェックボックスをオフにすると、PIN コードの使用が禁止されます。暗号鍵へのアクセスには、パスワードの入力が必要となります。 |