デバイス保護

デバイス保護」タイプのポリシーには、SafeGuard Data Exchange および SafeGuard Portable の設定も含まれます。多様な鍵およびアルゴリズムを使用して、ボリューム ベースまたはファイル ベースの暗号化を実行できます。「デバイス保護」タイプのポリシーには、SafeGuard Data Exchange、SafeGuard Cloud Storage および SafeGuard Portable の設定も含まれます。詳細は、SafeGuard Data ExchangeおよびCloud Storageを参照してください。エンドポイント上の SafeGuard Data Exchange、SafeGuard Cloud Storage および SafeGuard Portable の詳細は、「SafeGuard Enterprise ユーザーヘルプ」を参照してください。

デバイス保護のポリシーを作成するときは、まずデバイス保護の対象を指定する必要があります。次の対象を選択できます。

対象ごとに、異なるポリシーを作成します。

注: リムーバブルメディア: リムーバブル メディアのボリューム ベースの暗号化を指定し、一覧からユーザーに鍵の選択 (例: 「ユーザー鍵リング内の任意の鍵」) を許可するポリシーが指定されている場合、ユーザーは、鍵を選択しないことでこのポリシーを迂回することができます。リムーバブル メディアが常に暗号化されているようにするには、ファイル ベースの暗号化ポリシーを使用するか、ボリューム ベースの暗号化ポリシーで鍵を特定してください。
ポリシー設定 説明
メディアの暗号化モード デバイス (デスクトップ PC、ノート PC など) や、各種のリムーバブル メディアを保護するために使用されます。
注: この設定は必須です。

その主な目的は、ローカルまたは外付けの記憶デバイスに格納されているすべてのデータを暗号化することです。透過的に実行されるため、ユーザーは、Microsoft Office などの通常のアプリケーションをいつもどおりに使用し続けることができます。

透過的な暗号化とは、暗号化されたすべてのデータが (暗号化されたディレクトリ内かボリューム内かを問わず)、プログラムで開かれるとすぐにメイン メモリ内で自動的に復号化されることを意味します。ファイルは、保存されるときに自動的に再暗号化されます。

以下のオプションから選択できます。

  • 暗号化なし

  • ボリューム ベース (透過的なセクタベースの暗号化)

    ユーザーが通常の操作手順を変更したり、セキュリティを考慮したりしなくても、すべてのデータが暗号化されます (起動ファイル、スワップファイル、アイドル ファイル/ハイバネーション ファイル、一時ファイル、ディレクトリ情報などを含む)。

  • ファイル ベース (透過的なファイル ベースの暗号化 (スマート メディアの暗号化))

    すべてのデータが暗号化されます (起動メディアおよびディレクトリ情報以外)。CD/DVD などの光学式メディアも暗号化され、(ポリシーで許可されていれば) SafeGuard Enterprise がインストールされていない外部コンピュータとデータを交換できるという利点があります。

注: ホワイトリストのデバイスを保護対象にした場合、「暗号化なし」または「ファイル ベース」のみ選択できます。
全般設定
暗号化に使用されるアルゴリズム 暗号化アルゴリズムを設定します。

使用できるすべてのアルゴリズムとその規格を以下に示します。

AES256: 256ビットの鍵長

AES128: 16バイト (128ビット)

暗号化に使用される鍵 暗号化に使用される鍵を定義します。特定の鍵 (マシン鍵や定義済みの鍵など) を定義することや、ユーザーが鍵を選択できるようにすることが可能です。また、ユーザーが使用できる鍵を制限することもできます。

以下のオプションから選択できます。

  • ユーザー鍵リング内の任意の鍵

    ユーザーの鍵リングのすべての鍵が表示され、ユーザーは任意の鍵を選択できます。

    注: SafeGuard Enterprise (スタンドアロン型) で保護された非管理対象エンドポイントでファイル ベースの暗号化に対するポリシーを定義する場合は、このオプションを選択する必要があります。
  • ユーザー鍵リング内の任意の鍵 (ユーザー鍵を除く)

    ユーザー鍵を除き、ユーザーの鍵リングのすべての鍵が表示され、ユーザーは任意の鍵を選択できます。

  • ユーザー鍵リング内の任意のグループ鍵

    ユーザーの鍵リングのすべてのグループ鍵が表示され、ユーザーは任意の鍵を選択できます。

  • 定義済みのマシン鍵

    マシン鍵が使用されます。ユーザーは鍵を選択できません。

    注: SafeGuard Enterprise (スタンドアロン型) で保護された非管理対象エンドポイントでボリューム ベースの暗号化に対するポリシーを定義する場合は、このオプションを選択する必要があります。ただし、「ユーザー鍵リング内の任意の鍵」を選択し、かつユーザーがボリューム ベースの暗号化のためのローカルで作成された鍵を選択した場合、このボリュームへのアクセスは拒否されます。
  • 鍵リング内の任意の鍵 (ローカルで作成された鍵を除く)

    ローカルで生成された鍵を除いて、鍵リングのすべての鍵が表示され、ユーザーは任意の鍵を選択できます。

  • 一覧の定義済みの鍵

    管理者は、Management Center でポリシーの設定時に使用可能な任意の鍵を選択できます。

鍵は「暗号化の定義済みの鍵」で選択する必要があります。

「定義済みのマシン鍵」オプションを使用する場合:

SafeGuard Data Exchange のみがエンドポイントにインストールされている場合 (SafeGuard POA なし、ボリューム ベースの暗号化なし)、定義済みのマシン鍵をファイル ベースの暗号化に使用する鍵として定義するポリシーは、このエンドポイントで有効になりません。定義済みのマシン鍵は、このタイプのエンドポイントでは使用できません。データは暗号化できません。

SafeGuard Enterprise (スタンドアロン型) で保護された非管理対象エンドポイントのポリシー:

注: 非管理対象エンドポイント コンピュータのポリシーを作成する場合、「ユーザー鍵リング内の任意の鍵」オプションしか使用できないことに注意してください。また、ローカル鍵の作成がこのタイプのエンドポイント コンピュータに許可されている必要があります。

管理下にないエンドポイントではグループ鍵が使用できないため、管理下にないエンドポイントでメディア パスフレーズ機能がアクティブ化されている場合は、メディア暗号鍵が「暗号化の定義済みの鍵」として自動的に使用されます。管理下にないエンドポイントのリムーバブル メディア ポリシーを作成するときに「暗号化の定義済みの鍵」で別の鍵を選択しても無効になります。

暗号化の定義済みの鍵 このフィールドは「暗号化に使用される鍵」フィールドで「一覧の定義済みの鍵」オプションを選択した場合のみにアクティブになります。「[...]」をクリックして「鍵の検索」ダイアログを表示します。「今すぐ検索」をクリックして鍵を検索し、表示された一覧から鍵を選択します。

対象が「リムーバブル メディア」である「デバイス保護」タイプのポリシーの場合、メディア パスフレーズ機能が有効になっていると (「ユーザーはデバイスに対してメディア パスフレーズを定義できる」: 「はい」)、メディア暗号鍵を暗号化するためにこの鍵が使用されます。

したがって、リムーバブル メディアのデバイス保護ポリシーでは、次の設定

  • 暗号化に使用される鍵

  • 暗号化の定義済みの鍵

を互いに独立に指定する必要があります。

SafeGuard Enterprise (スタンドアロン型) で保護された非管理対象エンドポイントのポリシー:

管理下にないエンドポイントではグループ鍵が使用できないため、管理下にないエンドポイントでメディア パスフレーズ機能がアクティブ化されている場合は、メディア暗号鍵が「暗号化の定義済みの鍵」として自動的に使用されます。

ユーザーはローカル鍵を作成できる この設定は、ユーザーが自らのコンピュータでローカル鍵を生成できるかどうかを指定します。デフォルトの設定は「はい」で、ユーザーはローカル鍵を作成できます。
注: ユーザーがローカル鍵を作成することを禁止するポリシー (「ユーザーはローカル鍵を作成できる」 が「いいえ」に設定されている) は、Windows エンドポイントのみに適用されます。

ローカル鍵は、ユーザーが入力するパスフレーズに基づいて、エンドポイント上で生成されます。パスフレーズの要件は、「パスフレーズ」タイプのポリシーで設定できます。

これらの鍵はデータベースにも保存されます。ユーザーはログオンした任意のエンドポイントでそれらの鍵を使用します。

ローカル鍵は、SafeGuard Data Exchange (SG DX) を介した安全なデータ交換に使用します。詳細は、ローカル鍵を参照してください。

ボリューム ベースの設定
ユーザーは暗号化されたボリュームの鍵を追加または削除できる はい: エンドポイントのユーザーが、鍵リングに鍵を追加または削除できます。ダイアログは、ショートカット メニューのコマンドの「プロパティ > 暗号化」タブを選択すると表示されます。

いいえ: エンドポイントのユーザーは鍵を追加できません。

暗号化されていないボリュームに対する反応 暗号化されていないメディアを SafeGuard Enterprise で処理する方法を定義します。

以下のオプションから選択できます。

  • 拒否 (テキスト メディアは暗号化されません)

  • 空のメディアのみを承諾して暗号化する

  • すべてのメディアを承諾して暗号化する

ユーザーはボリュームを復号化できる ユーザーに、Windows エクスプローラのショートカット メニューのコマンドを使用したボリュームの復号化を許可します。
高速初期暗号化 ボリューム ベースの暗号化に対する高速初期暗号化が有効になります。このモードは、エンドポイントで行う初期暗号化に必要な時間を短縮します。
注: このモードを使用すると安全性が低下する場合があります。詳細は、高速初期暗号化を参照してください。
不良セクタを無視する 不良セクタが検出された場合に暗号化を続行するかどうかを指定します。デフォルト設定は「はい」です。
ファイル ベースの設定
すべてのファイルの初期暗号化 ユーザーのログオン開始後、ボリュームの初期暗号化が自動的に開始されます。ユーザーは事前に鍵リングから鍵を選択する必要があります。
ユーザーは初期暗号化をキャンセルできる ユーザーによる初期暗号化のキャンセルを可能にします。
ユーザーは暗号化されていないファイルにアクセスすることを許可されている ユーザーがボリューム上の暗号化されていないデータにアクセスできるかどうかを指定します。
ユーザーはファイルを復号化できる ユーザーは個々のファイルまたはディレクトリ全体を復号化できます (Windows エクスプローラの拡張機能「右クリック」を使用します)。
ユーザーはデバイスに対してメディア パスフレーズを定義できる ユーザーが自分のコンピュータ上でメディア パスフレーズを定義できるようにします。メディア パスフレーズを使用すると、SafeGuard Data Exchange がインストールされていないコンピュータ上で、SafeGuard Portable を使って、使用されているすべてのローカル鍵に容易にアクセスできます。

SafeGuard Portable を対象にコピーする

このオプションを選択すると、暗号化されたメディアやフォルダに書き込みが行われると、エンドポイントに接続された任意のリムーバブル メディアや、SafeGuard Cloud Storage 用に Cloud Storage の定義で指定された任意の同期フォルダに、SafeGuard Portable がコピーされます。

SafeGuard Portable を使用すると、受け取る側に SafeGuard Enterprise がインストールされていなくても、リムーバブル メディアや Cloud Storage を使用して暗号化データを交換できます。

受け取る側は、SafeGuard Portable および対応するパスフレーズを使用して、暗号化されたファイルを復号化および再暗号化することができます。受け取る側は、SafeGuard Portable を使用してファイルを再暗号化することも、暗号化に元の鍵を使用することもできます。

SafeGuard Portable は、受け取る側のコンピュータにインストールまたはコピーする必要はなく、リムーバブル メディア、または Cloud Storage の同期フォルダから直接使用します。

デフォルトの初期暗号鍵 ファイル ベースの初期暗号化に使用される鍵を選択するダイアログを表示できます。ここで鍵を選択すると、ユーザーは初期暗号化の起動時に鍵を選択できません。初期暗号化はユーザー操作なしで起動します。

選択した鍵は、常に初期暗号化で使用されます。

例:

前提条件: 初期暗号化のデフォルトの鍵が設定されています。

ユーザーがコンピュータに USB デバイスを接続すると、自動的に初期暗号化が起動します。定義済みの鍵が使用され、ユーザーによる介入は必要ありません。その後、ファイルの再暗号化や USB デバイスへの新しいファイルの保存をする場合、ユーザーは任意の鍵を選択できます (許可されていて、使用可能な場合)。ユーザーが別の USB デバイスを接続すると、初期暗号化のために定義された鍵が再び使用されます。この鍵は、ユーザーが別の鍵を明示的に選択しない限り、後続のすべての暗号化処理にも使用されます。

注: メディアパスフレーズ機能がアクティブになっていると、このオプションが無効になります。「暗号化の定義済みの鍵」が使用されます。
非暗号化フォルダ すべてのリムーバブル メディア、大容量記憶装置、および Cloud Storage の同期フォルダに対して、ここで指定されたフォルダが作成されます。このフォルダにコピーされたファイルは、常に平文のままです。
ユーザーは暗号化を実行するか決定できる ユーザーは、リムーバブル メディアおよび大容量記憶装置上のファイルの暗号化を実行するか決定できます。
  • このオプションを「はい」に設定すると、ユーザーは、データを暗号化するかを決定することができます。大容量記憶装置の場合、ログオンするたびにメッセージが表示され、リムーバブル メディアの場合、リムーバブル メディアを差し込んだときにメッセージが表示されます。
  • このオプションを「はい - ユーザーの設定を保存する」に設定すると、「この設定を保存し、次回からこのダイアログを表示しない」オプションを選択し、該当するデバイスに対する設定内容を記憶させることができます。この場合、ダイアログは、該当するデバイスに対して次回表示されません。
エンドポイントに表示されるダイアログでこのオプションを「いいえ」に設定すると、初期暗号化も透過的な暗号化も実行されません。