SafeGuard File Encryption for Mac について

 macOSFE

Sophos SafeGuard File Encryption for Mac は、Sophos SafeGuard Enterprise によって Windows 環境に提供されるデータ保護機能を Mac 環境に拡張したものです。ローカルドライブ、ネットワーク共有、リムーバブルドライブ、およびクラウドストレージにあるファイルを暗号化します。

SafeGuard File Encryption for Mac を使用して暗号化・復号化したファイルは、他の Mac ユーザーや Windows PC ユーザーと安全に交換することができます。

SafeGuard Enterprise で暗号化されたファイルをモバイルデバイスで読む場合は、Sophos Secure Workspace for iOS または Android を使用してください。

暗号化ルールの設定

SafeGuard Management Center にあるファイル暗号化ポリシーで、ファイルベース暗号化のルールを定義します。ファイル暗号化ポリシーでは、File Encryption で暗号化するフォルダ、暗号化モード、および暗号化に使用する鍵を指定します。この集中管理機能により、複数のプラットフォームで、常に同じフォルダや暗号鍵を使用することができます。詳細は、ロケーションベースの File Encryption ポリシーでの暗号化ルールの設定を参照してください。

除外するフォルダ

暗号化から除外されるフォルダは次のとおりです。
  • 除外されるフォルダ (サブフォルダは除外されない):
    • <ルート>/
    • <ルート>/Volumes/
    • <ユーザープロファイル>/
  • 除外されるフォルダ (サブフォルダも除外される):
    • <ルート>/bin/
    • <ルート>/sbin/
    • <ルート>/usr/
    • <ルート>/private/
    • <ルート>/dev/
    • <ルート>/Applications/
    • <ルート>/System/
    • <ルート>/Library/
    • <ユーザープロファイル>/Library/
    • /<リムーバブル>/SGPortable/
    • /<リムーバブル>/System Volume Information/
たとえば、追加パーティションのルート (<ルート>/Volmues) に暗号化ルールを適用した場合、受信したポリシーとして表示されるものの、効果はありません。

また、<ルート>/abc に適用した暗号化ルールは有効ですが、<ルート>/private/abc に適用した暗号化ルールは無効になります。

管理負荷を抑えるには

  • マウントポイント (つまり、保護されたフォルダ) の数を最小限に抑えてください。

  • モバイルアカウントを作成する前に確認を要求」オプションを無効にします。

    Mac エンドポイント用のモバイルアカウントを作成/使用する場合、「モバイルアカウントを作成する前に確認を要求」を無効にするようにしてください。このオプションが有効になっていると、ユーザーは、「Don't Create」(作成しない) を選択することができます。これによって、ローカル ホーム ディレクトリのないユーザーなど、不完全な macOS ユーザーが作成されてしまいます。

    このオプションを無効にするには、次の手順を実行してください。

    1. システム環境設定」を開いて、「ユーザーとグループ」をクリックします。
    2. ロックアイコンをクリックして、パスワードを入力します。
    3. ユーザーを選択します。
    4. ログインオプション」をクリックします。
    5. ネットワークアカウントサーバ」で、「編集...」をクリックします。
    6. Active Directory ドメインを選択します。
    7. ディレクトリユーティリティを開く...」をクリックします。
    8. ロックアイコンをクリックして、パスワードを入力し、「設定を変更」をクリックします。
    9. Active Directory を選択して、編集アイコンをクリックします。
    10. 詳細オプションを表示」の横にある矢印をクリックします。
    11. ログイン時にモバイルアカウントを作成」を選択し、「モバイルアカウントを作成する前に確認を要求する」を選択から外します。
    12. OK」をクリックします。

制限事項

  • クライアントで設定できる保護されたフォルダ (マウントポイント) の最大数

    各 macOS クライアントで指定できる保護されたフォルダ (マウントポイント) の数は、最大 24個です。1台のマシンに複数のユーザーがログインしている場合は、ログインしているユーザーすべてのマウントポイントを加算する必要があります。

  • ファイルの検索
    • Spotlight

      デフォルトでは、暗号化対象フォルダにあるファイルを Spotlight を使って検索することはできません。

      Spotlight の検索を有効にするには、次のターミナルコマンドを実行します。 sgfsadmin --enable-spotlight

      Spotlight の検索を無効にするには、次のターミナルコマンドを実行します。 sgfsadmin --disable-spotlight

      Spotlight を Sophos SafeGuard と併用すると、検索速度が遅くなる可能性があります。
    • ラベルの付いたファイル

      暗号化対象フォルダで、ラベルの付いたファイルを検索することはできません。

  • 暗号化対象フォルダから暗号化済みファイルを移動した場合

    暗号化済みのファイルを暗号化対象フォルダから暗号化対象ではないフォルダへ移動すると、ファイルの暗号化は維持されますが、ファイルにアクセスできなくなります。ファイルを開くには、はじめにファイルを手動で復号化する必要があります。

    暗号化済みのファイルを暗号化対象フォルダで開き、暗号化対象ではないフォルダに保存すると、ファイルは自動で復号化されます。

  • 保護されたフォルダで、バージョン履歴を保存できない

    暗号化対象フォルダでは、標準機能の「すべてのバージョンをブラウズ...」が利用できません。

  • 暗号化対象フォルダの共有

    暗号化対象フォルダをネットワーク上で共有することはできません。

  • CD への書き込み

    暗号化されたデータを CD に書き込むことはできません。

  • ファイルを削除する

    保護されたフォルダ (マウントポイント) からファイルを削除する場合、削除を確認するメッセージが表示されます。削除されたファイルはゴミ箱フォルダに移動されないため、復元することはできません。

  • SafeGuard Portable

    SafeGuard Portable は、Mac では使用できません。

  • AirDrop の使用

    AirDrop を使用して、暗号化されたファイルを転送できます。転送先ドライブが、暗号化されたファイルを処理できることを確認してください。できない場合、予期しない動作が発生することがあります。

  • Handoff

    暗号化したファイルに対して Handoff を使用することはできません。

  • autofs でマウントされるネットワークファイル共有

    ポリシーが適用済みで、起動時に自動的にマウントされるネットワークファイル共有は、Sophos SafeGuard File Encryption によって検出されません。元のマウントポイントを置き換えることができないため、このようなマウントポイントを処理することはできません。