セキュリティの設定について

 WinClient

ここで説明する簡単な手順に従うことによって、リスクを軽減し、企業のデータを常に安全に保護することができます。

暗号化のベストプラクティス

  • すべてのドライブにドライブ文字が割り当てられているようにする。

    暗号化/復号化の対象になるのは、ドライブ文字が割り当てられているドライブのみです。割り当てられていない場合、そのドライブから機密データが平文で漏えいする恐れがあります。

    防止対策は次のとおりです。ドライブ文字の割り当ての変更をユーザーに許可しない。ユーザーの権限を随時変更してください。Windows の一般ユーザーにはデフォルトでこの権限はありません。

  • 高速初期暗号化は注意して使用する。

    SafeGuard Enterprise では、高速初期暗号化を使用して、実際に使用されている領域のみにアクセスすることで、ボリュームの初期暗号化の時間を短縮します。SafeGuard Enterprise で暗号化する前にボリュームを使用していた場合は、このモードを使用すると安全性が低下します。構造上、SSD (Solid State Disk) は、通常のハードディスクと比較してより大きな影響を受けます。このモードは、デフォルトで無効になっています。詳細は、ソフォスのサポートデータベースの文章 113334 を参照してください。

  • データ暗号化には、アルゴリズム AES-256 のみ使用する。
  • クライアント/サーバー通信の保護に、SSL/TLS (SSL バージョン 3 以降) を使用する。

    詳細は、SSL での通信内容の暗号化を参照してください。

  • アンインストールを防止する。

    エンドポイントの保護を強化するため、「マシンの設定」ポリシーで、ローカルマシンでの SafeGuard Enterprise のアンインストールを防止できます。「アンインストールを許可する」を「いいえ」に指定し、このポリシーをエンドポイントに適用します。アンインストールを試みるとキャンセルされ、不正な操作はログに記録されるようになります。

    デモバージョンを使用している場合は、デモバージョンの有効期限が切れる前に、「アンインストールを許可する」を「はい」に指定する必要があります。

    Sophos Endpoint Security and Control バージョンを使用しているエンドポイントでは、タンパー プロテクション機能を有効にしてください。

スリープモードの使用は避ける

SafeGuard Enterprise で保護されているエンドポイントであっても、スリープ モードによっては OS が完全にシャットダウンされず、バックグラウンドのプロセスが終了しないことがあるので、攻撃者が暗号鍵にアクセスできる場合があります。OS を常に正しくシャットダウンまたは休止状態にするようにすれば、保護は強化されます。

正しい操作についてユーザー認識の向上を図るか、使用していないまたはアイドル状態のエンドポイントで、スリープモードを一元的に無効化することを考慮してください。

  • スリープ (スタンバイ/一時停止) モードの他、ハイブリッドスリープモードの使用も避ける。ハイブリッド スリープ モードは、休止状態とスリープを組み合わせたモードです。再開後、パスワードの入力が必要となるように設定しても、十分な保護は提供されません。

  • 完全にシャットダウンまたは休止状態にしない場合は、単にデスクトップコンピュータをロックしてモニターの電源を切ったり、モバイル PC のカバーを閉じたりしない。再開後、パスワードの入力が必要となるように設定しても、十分な保護は提供されません。

  • 常にエンドポイントをシャットダウンまたは休止状態にする。コンピュータを次に使用する際、SafeGuard Power-on Authentication が有効化されるので、より高レベルの保護を提供できます。
    休止状態ファイルは、暗号化されたボリュームに保存する必要があります。通常、保存先は C:\ ドライブです。

    適切な電源管理は、「グループ ポリシー オブジェクト」で一元設定するか、各エンドポイントの「コントロール パネル」にある「電源オプション」ダイアログを使用してローカル設定できます。電源ボタンの操作を「休止状態」または「シャットダウン」に指定してください。

強力なパスワードポリシーを導入する

強力なパスワードポリシーを導入し、特にエンドポイントへのログオンパスワードなど、パスワードの定期的な変更を強制してください。

パスワードは、他人と共有したり、書き留めたりしないでください。

強力なパスワードの設定について、ユーザー認識の向上を図ってください。強力なパスワードとは、次の条件を満たすものを指します。

  • 十分な長さがある。最低 10文字指定することを推奨します。
  • 半角英字 (大文字、小文字)、半角数字、および記号が組み合わされている。
  • 一般的な単語や名称を含んでいない。
  • 他人に推測されるのは難しいが、自分にとって覚えやすく、正確に入力しやすい。

SafeGuard Power-on Authentication を無効化しない

 FDE

SafeGuard Power-on Authentication は、エンドポイントでのログオン時に追加保護を提供します。SafeGuard のフルディスク暗号化では、デフォルトでインストール、有効化されます。高レベルの保護を提供するためには、無効にしないでください。

コード注入攻撃に対して保護する

DLL のプリロード攻撃などのコード注入攻撃は、SafeGuard Enterprise 暗号化ソフトが正規のコードを探すディレクトリに、実行可能ファイルなど悪意のあるコードを攻撃者が配置することによって実行されます。防止対策は次のとおりです。

  • 暗号化ソフトによってロードされるミドルウェア (例: トークンのミドルウェアなど) を、外部攻撃者がアクセスできないディレクトリにインストールする。これは、通常、Windows および Program Files ディレクトリのサブフォルダすべてです。

  • 外部攻撃者がアクセス可能なフォルダを指定するコンポーネントは、PATH 環境変数に含めない (上記参照)

  • 一般ユーザーに管理者権限を与えない。