データ暗号化の概要
Kaspersky Endpoint Security では、ローカルドライブおよびリムーバブルドライブに保存されているファイルやフォルダー、またはリムーバブルドライブおよびハードディスク全体を暗号化できます。データを暗号化すると、ポータブルコンピューター、リムーバブルドライブ、ハードディスクの消失や盗難、承認されていないユーザーやアプリケーションによるデータへのアクセスなどに伴って発生する情報漏れのリスクを最小限に抑えることができます。
ライセンスの有効期間が終了すると、新しいデータの暗号化は行いませんが、暗号化された既存のデータは暗号化されたままで、使用可能です。この場合、新たにデータを暗号化するには、暗号化の使用が許可された新しいライセンスで製品をアクティベートする必要があります。
ライセンスの有効期間が終了した場合や、使用許諾契約書の違反が発生した場合、ライセンスや Kaspersky Endpoint Security、暗号化のコンポーネントが削除された場合、以前に暗号化されたファイルの暗号化状態は保証されなくなります。これは、Microsoft Office Word など一部のアプリケーションが、編集中にファイルの一時的なコピーを作成するためです。元のファイルが保存されるとき、一時コピーが元のファイルと入れ替わります。その結果、暗号化機能がないコンピューターや暗号化機能にアクセスできないコンピューターでは、ファイルは暗号化されていない状態になります。
Kaspersky Endpoint Security は、次に示すようにデータを多面的に保護します:
- ローカルコンピュータードライブのファイルの暗号化:拡張子や拡張子グループ、ローカルコンピューターのドライブに保存されているフォルダーのリストに基づいて、ファイルのリストを作成できます。また、特定のアプリケーションで作成されたファイルを暗号化するルールを作成できます。Kaspersky Security Center のポリシーが適用されると、Kaspersky Endpoint Security は以下のファイルを暗号化および復号化します:
- 暗号化および復号化のリストに追加されたファイル
- 暗号化および復号化のリストに追加されたフォルダーにあるファイル
- 別々のアプリケーションによって作成されたファイル
Kaspersky Security Center ポリシーの適用の詳細については、『Kaspersky Security Center 管理者用ガイド』を参照してください。
- リムーバブルドライブの暗号化:既定の暗号化ルールを指定すると、そのルールに基づいてすべてのリムーバブルドライブに同じ処理を適用できます。また、個々のリムーバブルドライブの暗号化ルールを指定することもできます。
既定の暗号化ルールの優先度は、個々のリムーバブルドライブに対して作成された暗号化ルールよりも低くなります。指定されたデバイスモデルのリムーバブルドライブについて作成された暗号化ルールの優先度は、指定されたデバイス ID のリムーバブルドライブについて作成された暗号化ルールよりも低くなります。
Kaspersky Endpoint Security は、リムーバブルドライブ上のファイルの暗号化ルールを選択するために、デバイスモデルと ID が既知かどうかをチェックします。チェック後、次のいずれかの操作が行われます:
- デバイスモデルのみが既知の場合は、特定のデバイスモデルのリムーバブルドライブを対象に作成された暗号化ルール(存在する場合)が適用されます。
- デバイス ID のみが既知の場合は、特定のデバイス ID のリムーバブルドライブを対象に作成された暗号化ルール(存在する場合)が適用されます。
- デバイスモデルもデバイス ID も既知の場合は、特定のデバイス ID のリムーバブルドライブを対象に作成された暗号化ルール(存在する場合)が適用されます。そのようなルールが存在せず、特定のデバイスモデルのリムーバブルドライブを対象に作成された暗号化ルールが存在する場合、そのルールが適用されます。特定のデバイス ID についても特定のデバイスモデルについても暗号化ルールが設定されていない場合は、既定の暗号化ルールが適用されます。
- デバイスモデルもデバイス ID も未知の場合は、既定の暗号化ルールが適用されます。
ユーザーは、リムーバブルドライブに保存されている暗号化データをポータブルモードで使用できるようリムーバブルドライブを準備できます。ポータブルモード有効にすると、暗号化機能を持たないコンピューターに接続されているリムーバブルドライブ上の暗号化ファイルにアクセスできます。
製品は、Kaspersky Security Center ポリシーが適用されると、暗号化ルールで指定された処理を実行します。
- アプリケーションの暗号化ファイルアクセスルールの管理:任意のアプリケーションについて、暗号化ファイルへのアクセスをブロックしたり暗号化ファイルへのアクセスを暗号文(暗号化が適用された状態の文字列)としてのみ許可したりする暗号化ファイルアクセスルールを作成できます。
- 暗号化されたアーカイブの作成:暗号化されたアーカイブを作成して、そのアーカイブに対するアクセスをパスワードで保護できます。暗号化されたアーカイブの内容には、アーカイブへのアクセスの保護に使用したパスワードを入力しないとアクセスできません。このアーカイブは、ネットワーク経由またはリムーバブルドライブを使用して安全に転送できます。
- ドライブの暗号化:次の暗号化技術を選択できます:Kaspersky Disk Encryption、BitLocker ドライブ暗号化(単に BitLocker とも)。
BitLocker は、Windows オペレーティングシステムの一部です。コンピューターに Trusted Platform Module (TPM) が搭載されている場合、BitLocker は、暗号化されたハードディスクにアクセスするための回復キーを TPM に保管します。コンピューターの起動時、BitLocker は Trusted Platform Module からハードディスク回復キーを要求し、ドライブのロックを解除します。回復キーにアクセスするためにパスワードや暗証番号を使用するよう設定できます。
既定のハードディスク暗号化ルールを指定して、暗号化から除外するハードディスクのリストを作成できます。Kaspersky Endpoint Security は、Kaspersky Security Center ポリシーが適用されると、ハードディスクをセクター単位で暗号化します。本製品は、ハードディスクのすべての論理パーティションを同時に暗号化します。Kaspersky Security Center ポリシーの適用の詳細については、『Kaspersky Security Center 管理者用ガイド』を参照してください。
システムハードディスクが暗号化されると、次回のコンピューターの起動時、ユーザーはハードディスクにアクセスしてオペレーティングシステムを読み込む前に認証エージェントによる認証を完了する必要があります。それには、コンピューターに接続されているトークンまたはスマートカードのパスワードを入力するか、認証エージェントアカウント管理タスクを使用して LAN 管理者により作成される認証エージェントアカウントのユーザー名とパスワードを入力します。これらのアカウントは、ユーザーがオペレーティングシステムにログインする際にログインアカウントとして使用する Microsoft Windows アカウントに基づいています。認証エージェントアカウントを管理してシングルサインオン(SSO)技術を使用することもできます。この技術により、認証エージェントアカウントのユーザー名とパスワードでオペレーティングシステムに自動でログインできます。
コンピューターをバックアップしてから、そのコンピューターのデータを暗号化した場合、その後、コンピューターのバックアップコピーを復元し、コンピューターのデータをもう一度暗号化すると、Kaspersky Endpoint Security により、認証エージェントアカウントの複製が作成されます。この複製されたアカウントを削除するには、klmover ユーティリティを
dupfixキーを指定して使用します。klmover ユーティリティは、Kaspersky Security Center のビルドに含まれています。この操作の詳細については、『Kaspersky Security Center 管理者用ガイド』を参照してください。本製品のバージョンを Kaspersky Endpoint Security 10 Service Pack 2 for Windows にアップグレードする場合、認証エージェントアカウントのリストは保存されません。
暗号化されたハードディスクにアクセスできるコンピューターは、ハードディスク暗号化機能を含む Kaspersky Endpoint Security がインストールされたコンピューターに限定されています。この予防策により、企業のローカルエリアネットワークの外からアクセスが試みられ、暗号化されたハードディスクからデータが漏出するリスクが最小限に抑えられます。
ハードディスクとリムーバブルドライブを暗号化する際、[使用されているディスク領域のみを暗号化]機能を使用できます。この機能は、まだ使用されていない新しいデバイスでのみ使用するようにしてください。すでに使用されているデバイスに暗号化を適用する場合、デバイス全体を暗号化するようにしてください。それにより、削除されているが取り出すことのできる情報を含む可能性があるデータを含め、すべてのデータが保護されます。
Kaspersky Endpoint Security は、暗号化を開始する前に、ファイルシステムセクターのマッピングを取得します。暗号化の第 1 段階では、暗号化を開始した時点でファイルによって占められているセクターが対象になります。暗号化の第 2 段階で、暗号化が開始された後に書き込まれたセクターが対象になります。暗号化が完了すると、データを含んでいるすべてのセクターが暗号化されます。
暗号化が完了した後にユーザーがファイルを削除すると、削除されたファイルが格納されていたセクターはファイルシステムレベルで新しい情報を格納するために使用可能になりますが、引き続き暗号化されます。そのため、[使用されているディスク領域のみを暗号化]機能が有効になっているコンピューターで通常の暗号化を開始した際に新しいファイルが新しいデバイスに書き込まれても、一定の時間が経過するとすべてのセクターが暗号化されます。
ファイルの復号化に必要なデータは、暗号化時にこのコンピューターをコントロールしていた Kaspersky Security Center 管理サーバーから提供されます。暗号化されたファイルを持つコンピューターが、何らかの理由で、別の管理サーバーのコントロール下にあることが判明した場合、この暗号化ファイルがまだ一度もアクセスされていなければ、次のいずれかの方法で、このファイルにアクセスすることができます。
- LAN 管理者から、暗号化されたオブジェクトへのアクセスを要求する。
- 暗号化されたデバイスのデータの復元ツールによる復元
- 暗号化時にこのコンピューターを管理していた Kaspersky Security Center 管理サーバーの構成をバックアップコピーから復元し、暗号化されたオブジェクトを持つコンピューターを現在管理している管理サーバーでこの構成を使用する。
暗号化時にサービスファイルが作成されます。これらのファイルを保存するために、ハードディスク上でフラグメント化していない 2 ~ 3% の空き容量が必要です。ハードディスク上のフラグメント化していない空き容量が足りない場合は、十分な空き容量が用意されるまで暗号化が開始されません。
Kaspersky Endpoint Security と Kaspersky Anti-Virus for UEFI の暗号化機能の互換性はサポートされていません。Kaspersky Anti-Virus for UEFI がインストールされているコンピューター上のハードディスクを暗号化すると、Kaspersky Anti-Virus for UEFI が動作できなくなります。