Opal 準拠の自己暗号化ハード ドライブへのインストール
FDE
SafeGuard Enterprise は、特定のベンダに依存しない Opal 仕様に対応している、Opal 準拠の自己暗号化ハードドライブを実装したエンドポイントを管理できます。
Opal 準拠の自己暗号化ハードドライブが正確に標準仕様に準拠していることを確認するため、エンドポイントに SafeGuard Enterprise をインストールする際に次の 2種類のチェックが行われます。
-
機能チェック
ハードドライブが「OPAL」ハードドライブとして認識されること、通信のプロパティが正しいこと、および SafeGuard Enterprise で必要な Opal の機能がすべてハードドライブでサポートされていることを確認します。
-
セキュリティチェック
ハードドライブに SafeGuard Enterprise のユーザーだけが登録されていること、またソフトウェアで暗号化するハードドライブ (自己暗号化機能を持たない) で使用する鍵を SafeGuard Enterprise のユーザーだけが所有していることを確認します。インストール中に他に登録されているユーザーが検出された場合、これらのユーザーは SafeGuard Enterprise で自動的に無効にされます。この機能は Opal 標準で要求されるものです。Opal システムを実行するために必要ないくつかのデフォルト権限は例外です。
注 Opal モードのインストールに成功した後、ハードドライブ用の暗号化ポリシーが適用されると、セキュリティチェックが繰り返されます。このセキュリティチェックに失敗した場合は、インストール時に最初のチェックが行われた後に SafeGuard Enterprise の外部でドライブ管理の操作が行われた可能性を示唆します。この場合、SafeGuard Enterprise によって Opal ハードドライブはロックされません。該当するメッセージが表示されます。
いずれかのチェックが修復不可能な状態で失敗した場合、ソフトウェアベースの暗号化に戻りません。そして、Opal 標準に準拠しているドライブ上のすべてのボリュームは暗号化されないままとなります。
SafeGuard Enterprise バージョン 7 以降、Opal に関するチェックはデフォルトで実行されません。つまり、Opal ドライブが存在する場合でも、SafeGuard Enterprise はそのドライブ上のボリューム対してソフトウェアベースで暗号化を実行します。
Opal に関するチェックを施行するには、次の構文でコマンドラインを実行します。
MSIEXEC /i SGNClient.msi OPALMODE=0一部の Opal 準拠ハードドライブにはセキュリティの問題がある可能性があります。SafeGuard Enterprise のインストール/暗号化を行う際、ハードドライブに登録済みの不明なユーザー/権限に割り当てられている権限を自動的に認識する方法はありません。このようなユーザーを無効にするコマンドがハードドライブで拒否された場合、セキュリティを最大限に強化するため、SafeGuard Enterprise はソフトウェア暗号化モードに戻ります。ハードドライブ自体の安全性を保証することはできませんが、セキュリティリスクが存在する可能性のあるドライブの使用をユーザー自身の裁量で許可する、特別なインストールオプションを使用することもできます。各ハードドライブに対応するインストールオプションや、サポートされるハードドライブについて、詳細は、リリースノートを参照してください。
インストールオプションを適用するには、次の構文でコマンドを実行します。
MSIEXEC /i SGNClient.msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS=1変換ファイルを使って msi ファイルをインストールする場合は、MSI の内部プロパティに同じ名前があります。