データ暗号化
Kaspersky Endpoint Security では、ローカルドライブおよびリムーバブルドライブに保存されているファイルやフォルダー、またはリムーバブルドライブおよびハードディスク全体を暗号化できます。データを暗号化すると、ノートパソコン、リムーバブルドライブ、ハードディスクの消失や盗難、承認されていないユーザーやアプリケーションによるデータへのアクセスなどに伴って発生する情報漏洩のリスクを最小限に抑えることができます。Kaspersky Endpoint Security では、Advanced Encryption Standard(AES)暗号アルゴリズムが使用されます。
ライセンスの有効期間が終了すると、新しいデータの暗号化は行いませんが、暗号化された既存のデータは暗号化されたままで、使用可能です。この場合、新たにデータを暗号化するには、暗号化の使用が許可された新しいライセンスで製品をアクティベートする必要があります。
ライセンスの有効期間が終了した場合や、使用許諾契約書の違反が発生した場合、ライセンスや Kaspersky Endpoint Security、暗号化のコンポーネントが削除された場合、以前に暗号化されたファイルの暗号化状態は保証されなくなります。これは、Microsoft Office Word など一部のアプリケーションが、編集中にファイルの一時的なコピーを作成するためです。元のファイルが保存されるとき、一時コピーが元のファイルと入れ替わります。その結果、暗号化機能がないコンピューターや暗号化機能にアクセスできないコンピューターでは、ファイルは暗号化されていない状態になります。
Kaspersky Endpoint Security は、次に示すようにデータを多面的に保護します:
- ローカルコンピュータードライブでのファイルレベルの暗号化:拡張子や拡張子グループ、ローカルコンピューターのドライブに保存されているフォルダーのリストに基づいて、ファイルのリストを作成できます。また、特定のアプリケーションで作成されたファイルを暗号化するルールを作成できます。ポリシーが適用されると、Kaspersky Endpoint Security は以下のファイルを暗号化および復号化します:
- 暗号化および復号化のリストに追加されたファイル
- 暗号化および復号化のリストに追加されたフォルダーにあるファイル
- 別々のアプリケーションによって作成されたファイル
- リムーバブルドライブの暗号化:既定の暗号化ルールを指定すると、そのルールに基づいてすべてのリムーバブルドライブに同じ処理を適用できます。また、個々のリムーバブルドライブの暗号化ルールを指定することもできます。
既定の暗号化ルールの優先度は、個々のリムーバブルドライブに対して作成された暗号化ルールよりも低くなります。指定されたデバイスモデルのリムーバブルドライブについて作成された暗号化ルールの優先度は、指定されたデバイス ID のリムーバブルドライブについて作成された暗号化ルールよりも低くなります。
Kaspersky Endpoint Security は、リムーバブルドライブ上のファイルの暗号化ルールを選択するために、デバイスモデルと ID が既知かどうかをチェックします。チェック後、次のいずれかの操作が行われます:
- デバイスモデルのみが既知の場合は、特定のデバイスモデルのリムーバブルドライブを対象に作成された暗号化ルール(存在する場合)が適用されます。
- デバイス ID のみが既知の場合は、特定のデバイス ID のリムーバブルドライブを対象に作成された暗号化ルール(存在する場合)が適用されます。
- デバイスモデルもデバイス ID も既知の場合は、特定のデバイス ID のリムーバブルドライブを対象に作成された暗号化ルール(存在する場合)が適用されます。そのようなルールが存在せず、特定のデバイスモデルのリムーバブルドライブを対象に作成された暗号化ルールが存在する場合、そのルールが適用されます。特定のデバイス ID についても特定のデバイスモデルについても暗号化ルールが設定されていない場合は、既定の暗号化ルールが適用されます。
- デバイスモデルもデバイス ID も未知の場合は、既定の暗号化ルールが適用されます。
ユーザーは、リムーバブルドライブに保存されている暗号化データをポータブルモードで使用できるようリムーバブルドライブを準備できます。ポータブルモード有効にすると、暗号化機能を持たないコンピューターに接続されているリムーバブルドライブ上の暗号化ファイルにアクセスできます。
- アプリケーションの暗号化ファイルアクセスルールの管理:任意のアプリケーションについて、暗号化ファイルへのアクセスをブロックしたり暗号化ファイルへのアクセスを暗号文(暗号化が適用された状態の文字列)としてのみ許可したりする暗号化ファイルアクセスルールを作成できます。
- 暗号化されたパッケージへの追加:暗号化されたアーカイブを作成して、そのアーカイブに対するアクセスをパスワードで保護できます。暗号化されたアーカイブの内容には、アーカイブへのアクセスの保護に使用したパスワードを入力しないとアクセスできません。このアーカイブは、ネットワーク経由またはリムーバブルドライブを使用して安全に転送できます。
- ディスク全体の暗号化次の暗号化技術を選択できます:Kaspersky Disk Encryption、BitLocker ドライブ暗号化(単に BitLocker とも)。
BitLocker は、Windows オペレーティングシステムの一部です。コンピューターに Trusted Platform Module(TPM)が搭載されている場合、BitLocker は、暗号化されたハードディスクにアクセスするための回復キーを TPM に保管します。コンピューターの起動時、BitLocker は Trusted Platform Module からハードディスク回復キーを要求し、ドライブのロックを解除します。回復キーにアクセスするためにパスワードや暗証番号を使用するよう設定できます。
既定のディスク暗号化のルールを指定して、暗号化から除外するハードディスクのリストを作成できます。Kaspersky Endpoint Security は、Kaspersky Security Center ポリシーが適用されると、ディスク全体をセクター単位で暗号化します。本製品は、ハードディスクのすべての論理パーティションを同時に暗号化します。
システムハードディスクが暗号化されると、次回のコンピューターの起動時、ユーザーはハードディスクにアクセスしてオペレーティングシステムを読み込む前に認証エージェントによる認証を完了する必要があります。それには、コンピューターに接続されているトークンまたはスマートカードのパスワードを入力するか、認証エージェントアカウントの管理タスクを使用して LAN 管理者により作成される認証エージェントアカウントのユーザー名とパスワードを入力します。これらのアカウントは、ユーザーがオペレーティングシステムにログインする際にログインアカウントとして使用する Microsoft Windows アカウントに基づいています。また、認証エージェントアカウントのユーザー名とパスワードを使用してオペレーティングシステムに自動的にログインできるシングルサインオン(SSO)技術を使用することもできます。
コンピューターをバックアップしてから、そのコンピューターのデータを暗号化した場合、その後、コンピューターのバックアップコピーを復元し、コンピューターのデータをもう一度暗号化すると、Kaspersky Endpoint Security により、認証エージェントアカウントの複製が作成されます。この複製されたアカウントを削除するには、klmover ユーティリティを
dupfix
キーを指定して使用します。klmover ユーティリティは、Kaspersky Security Center のビルドに含まれています。この操作の詳細については、Kaspersky Security Center のオンラインヘルプを参照してください。暗号化されたハードディスクにアクセスできるコンピューターは、ディスク全体の暗号化機能を含む Kaspersky Endpoint Security がインストールされたコンピューターに限定されています。この予防策により、企業のローカルエリアネットワークの外からアクセスが試みられ、暗号化されたハードディスクからデータが漏出するリスクが最小限に抑えられます。
ハードディスクとリムーバブルドライブを暗号化する際、[使用されているディスク領域のみを暗号化]機能を使用できます。この機能は、まだ使用されていない新しいデバイスでのみ使用するようにしてください。すでに使用されているデバイスに暗号化を適用する場合、デバイス全体を暗号化するようにしてください。それにより、削除されているが取り出すことのできる情報を含む可能性があるデータを含め、すべてのデータが保護されます。
Kaspersky Endpoint Security は、暗号化を開始する前に、ファイルシステムセクターのマッピングを取得します。暗号化の第 1 段階では、暗号化を開始した時点でファイルによって占められているセクターが対象になります。暗号化の第 2 段階で、暗号化が開始された後に書き込まれたセクターが対象になります。暗号化が完了すると、データを含んでいるすべてのセクターが暗号化されます。
暗号化が完了した後にユーザーがファイルを削除すると、削除されたファイルが格納されていたセクターはファイルシステムレベルで新しい情報を格納するために使用可能になりますが、引き続き暗号化されます。このように、ファイルが新しいデバイスに書き込まれ、そのデバイスが[使用されているディスク領域のみを暗号化]機能が有効な状態で定期的に暗号化されていくことで、しばらくするとすべてのセクターが暗号化されます。
ファイルの復号化に必要なデータは、暗号化時にこのコンピューターをコントロールしていた Kaspersky Security Center 管理サーバーから提供されます。暗号化されたオブジェクトを持つコンピューターが何らかの理由で別の管理サーバーによって管理されていた場合、次のいずれかの方法で暗号化されたデータへのアクセスを取得できます:
- 同じ階層の管理サーバー:
- 追加の操作は必要ありません。ユーザーは暗号化されたオブジェクトに引き続きアクセスできる。すべての管理サーバーに暗号鍵が配布される。
- 独立した管理サーバー:
- LAN 管理者に暗号化されたオブジェクトへのアクセスを要求します。
- 暗号化されたデバイスのデータの復元ツールを使用して復元する。
- 暗号化時にこのコンピューターを管理していた Kaspersky Security Center 管理サーバーの構成をバックアップコピーから復元し、暗号化されたオブジェクトを持つコンピューターを現在管理している管理サーバーでこの構成を使用する。
暗号化されたデータへのアクセスがない場合は、暗号化されたデータを操作するための特別な指示に従ってください(暗号化されたファイルへのアクセスの復元処理、暗号化されたデバイスにアクセスできない状況での暗号化デバイスの使用)。