CompuSec SW Ver.5.2...
Transcript of CompuSec SW Ver.5.2...
2
Windows® 7、Windows Vista®でのシングルサインオン ―――――――――――――― 61-1 シングルサインオンでの初期ログオン ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 61-2 シングルサインオンでの機能 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 7
1-2-1 このコンピューターのロック ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 8
1-2-2 ユーザーの切り替え ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 8
1-2-3 ログオフ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 8
1-2-4 パスワードの変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 8
1-2-5 タスクマネージャーの起動 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 10
1-2-6 キャンセル ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 10
Windows® XPでのシングルサインオン ―――― 112-1 シングルサインオンでの初期ログオン ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 112-2 シングルサインオンでの機能 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 12
2-2-1 ワークステーションのロック ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 12
2-2-2 ログオフ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 13
2-2-3 シャットダウン ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 13
2-2-4 パスワードの変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 13
2-2-5 タスクマネージャ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 13
2-2-6 キャンセル ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 13
2-2-7 CompuSecパスワードの変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 13
2-2-8 シングルサインオンの管理‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥14
CompuSecサービス ―――――――――――― 153-1 初めにお読みください ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 163-2 CompuSecコンポーネントのインストール/削除 ‥‥‥‥‥‥‥‥‥‥‥‥ 163-3 サービスとアップデート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 17
3-3-1 CompuSecについて ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 18
3-3-2 ハードディスク暗号化の管理 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 18
3-3-3 製品コンポーネントのアップデート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 22
3-3-4 セキュリティファイルのバックアップ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 22
3-3-5 設定の変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 23
3-3-6 CompuSecドライバの削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 23
3-3-7 ブート前認証の削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 23
3-3-8 CompuSecコンポーネントの削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 23
3-3-9 ログオン画面の変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 24
3-3-10 インストール応答ファイルの作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 25
3-3-11 製品登録(製品の支払い) ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 25
リムーバブルメディアの暗号化機能 ―――――― 264-1 暗号化フロッピー/リムーバブルメディアの作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥ 274-2 フロッピー/リムーバブルメディアの暗号化を解除する ‥‥‥‥‥‥‥‥‥‥ 29
PART.4
PART.3
PART.2
PART.1
Contents
3
4-3 CD/DVDを暗号化する ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 304-4 暗号化メディアを共用する ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 32
DataCrypt機能 ―――――――――――――― 335-1 DataCryptについて ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 335-2 DataCryptの起動 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 345-3 オプション ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 355-4 ファイルの暗号化 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 365-5 ファイルの復号 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 395-6 キーの管理 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 41
5-6-1 公開鍵のインポート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 41
5-6-2 公開鍵の削除 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 42
5-6-3 自分の公開鍵をエクスポート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 43
5-6-4 自分のキーペアをバックアップ ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 44
5-6-5 自分のキーペアを復元 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 45
DriveCrypt機能 ―――――――――――――― 476-1 仮想ドライブ用ファイルの作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 476-2 仮想ドライブのマウント/アンマウント ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 50
6-2-1 仮想ドライブのアンマウント ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 50
6-2-2 仮想ドライブのマウント ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 51
SafeLan機能 ―――――――――――――――― 537-1 暗号化フォルダーの新規作成 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 547-2 既存フォルダーの暗号化 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 567-3 CompuSec SafeLan ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 577-4 SafeLanキーの表示 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 57
ブート前サービス機能 ―――――――――――― 588-1 CompuSec SWのブート前サービス機能 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 58
8-1-1 ユーザID入力前にF1キー ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 59
8-1-2 パスワードのリセット ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 59
8-1-3 ユーザID/パスワード入力直後にF1キー ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 60
8-1-4 サービスアクセス有効 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 61
8-1-5 現在のパスワードを変更 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 62
8-1-6 緊急時の復号 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 62
8-1-7 ブート ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 63
緊急時の対応例 ――――――――――――――― 649-1 CompuSecをアンインストールせずにリカバリーした ‥‥‥‥‥‥‥‥‥‥ 649-2 暗号化/復号中に、強制的に電源をオフにした ‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 649-3 ブート前認証後、OSが起動せず(暗号化なし) ‥‥‥‥‥‥‥‥‥‥‥‥‥ 65
PART.9
PART.8
PART.7
PART.6
PART.5
4
9-4 ブート前認証後、OSが起動せず(暗号化済み) ‥‥‥‥‥‥‥‥‥‥‥‥‥ 659-5 ブート前認証画面が表示せず or 認証不可(暗号化なし) ‥‥‥‥‥‥‥‥‥ 659-6 ブート前認証画面が表示せず or 認証不可(暗号化済み) ‥‥‥‥‥‥‥‥‥ 65
オリジナルのMBRを復元する ―――――――― 6710-1 インストールランチャーによるMBRの復元 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 6810-2 ツールFDによるMBRの復元 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 70
Windows® 7、Windows Vista®の回復環境でMBRを修正する ―――――――――――――― 7211-1 パッケージ製品のセットアップディスクで起動する ‥‥‥‥‥‥‥‥‥‥‥ 72
Windows® XPの回復コンソールでFIXMBRを行う ――――――――――――――― 7612-1 パッケージ製品のセットアップディスクで起動する ‥‥‥‥‥‥‥‥‥‥‥ 7612-2 Windows® XPのセットアップ起動FDで起動する ‥‥‥‥‥‥‥‥‥‥‥ 7712-3 FIXMBRを実行 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 78
よくある質問と回答――――――――――――――7913-1 システム関連 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 7913-2 暗号化/復号関連 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 8013-3 CompuSec認証関連 ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 8213-4 その他‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥8313-5 SDカードの取り扱いについて ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥ 8413-6 CompuSecを強制削除する方法について ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥8413-7 Windows® 7、Windows Vista®環境でのご注意 ‥‥‥‥‥‥‥‥‥‥‥‥86
テクニカルサポートについて――――――――――87PART.14
PART.13
PART.12
PART.11
PART.10
5
・CompuSecは、CE-Infosys社の商標です。Microsoft、Windows、Windows Vistaは、米国Microsoft Corporationの米国、
日本およびその他の国における登録商標または商標です。仕様は予告なく変更する場合があります。
・本プログラムの著作権は、CE-Infosys に帰属します。本アプリケーションガイドの著作権は、キヤノンIT ソリューションズ
株式会社に帰属します。
・本書は、本書作成時のソフトウェアおよびハードウェアの情報に基づき作成されています。その後のソフトウェアのバージョ
ンアップなどにより、記載内容とソフトウェアに搭載されている機能が異なっている場合があります。また、本書の内容は、
予告なく変更することがあります。
・本製品の一部またはすべてを無断で複写、複製、改変することはその形態を問わず禁じます。
CompuSecには「シングルサインオン」モジュールがあり、ブート前認証後のWindows®へのログオンが自動的に行われます。CompuSec導入直後や、シングルサインオンを一旦無効にし、再び有効とした後は、各種情報を入力するように求められます。
各項目を入力後、右矢印ボタン をクリックまたは、キーボードのEnterキーを入力すると、CompuSecのパスワードを入力するダイアログが表示されますので、CompuSecのパスワードを入力し「OK」をクリックしてください。
PART 1
Windows® 7、Windows Vista®
でのシングルサインオン
6
1-1 シングルサインオンでの初期ログオン
ユーザ Windows®のアカウント名を入力してください。
パスワード Windows®のアカウント名に該当するパスワードを入力してください。
この時、「この認証情報を記録」にチェックが入っていると、アカウント情報を記憶し次回のWindows®ログオンを自動的に行うようになります。
シングルサインオンにこれらの情報を保存したくない場合(Administratorなどの管理者情報)は、毎回「この認証情報を記録」のチェックを外して、ログオンしてください。なお、ドメイン環境にログオンする場合は、ユーザ欄に「ドメイン名¥ユーザ名」といった書式で入力してください。
「別のドメインにログオンしますか?」部分をクリックすると、次のようなメッセージが表示されます。
Windows®デスクトップ画面の状態で、キーボードよりCtrl + Alt + Delを入力すると、次の画面に切り替わります。
PART 1Windows® 7、Windows Vista®でのシングルサインオン
7
1-2 シングルサインオンでの機能
1-2-1 このコンピューターのロック
[このコンピューターのロック]をクリックすると、画面がロックされます。デスクトップに復帰するには、CompuSecパスワードを入力してください。
※「他の資格情報」ボタンをクリックし、画面ロックされているアカウントを選択することもできますが、そのアカウントのパスワードを入力する必要があります。アカウントにパスワードが設定されていない場合は、そのままデスクトップ画面に復帰します。
1-2-2 ユーザーの切り替え
[ユーザーの切り替え]をクリックすると、シングルサインオン画面が表示されますので、登録済みユーザーや新しいアカウントでログオンしてください。
1-2-3 ログオフ
[ログオフ]をクリックすると、Windows®からログオフし、シングルサインオン画面が表示されます。
1-2-4 パスワードの変更
[パスワードの変更]をクリックすると、Windows®アカウントのパスワードを変更できます。
8
また、この画面で[オプション]をクリックすると、[シングルサインオンの管理]と[CompuSecパスワードの変更]ボタンが表示されます。
・シングルサインオンの管理シングルサインオンに記録された、アカウント一覧が表示されます。不要なアカウントは、ここで削除することができます。
例えば、システム管理者のアカウントが登録されている場合、そのアカウント情報で他人が自動ログオンしないようにする場合、管理者の情報を削除することができます。
不要なアカウントを選択し、[削除]をクリックした後は、必ず[保存]をクリックしてください。
※シングルサインオンは、最後に保存したアカウントで自動ログオンする仕様となっています。管理者権限での自動ログオンを望まない場合は、常に「この認証情報を記録」のチェックを外してログオンすることをお勧めします。
※シングルサインオンに記録されるアカウントは、Windows® 7、Windows Vista®の場合、4KBまでの容量制となっており、4KBを越える場合は、古い物から削除されていきます。このため、アカウント名に使われる文字数や文字種などにより、記録できるアカウント数は異なります。
PART 1Windows® 7、Windows Vista®でのシングルサインオン
9
・CompuSecパスワードの変更ブート前認証や画面ロックを解除する際に入力する、CompuSecパスワードを変更することができます。
それぞれの欄にパスワードを入力して、[OK]をクリックしてください。
※パスワードは英数字のみで構成し、記号は使わないでください。
1-2-5 タスクマネージャーの起動
[タスクマネージャーの起動]をクリックすると、Windows®のタスクマネージャーが起動します。
1-2-6 キャンセル
[キャンセル]ボタンをクリックすると、Windows®のデスクトップに復帰します。
10
PART 2
Windows® XPでのシングルサインオン
11
CompuSecには「シングルサインオン」モジュールがあり、ブート前認証後のWindows®へのログオンが自動的に行われます。CompuSec導入直後は、各種情報を入力するように求められます。
シングルサインオンの画面は、Windows®
ログオン画面に似ていますが、ボタンと機能が追加されています。
各項目を入力後、[ログオンと保存]をクリックすると、CompuSecがこれらの情報を記憶し、次回のWindows®ログオンを自動的に行います。
CompuSecにこれらの情報を保存したくない場合(Administratorなどの管理者情報)は、毎回[ログオン]をクリックして、ログオンしてください。
2-1 シングルサインオンでの初期ログオン
ユーザ Windows®のアカウント名を入力してください。
パスワード Windows®のアカウント名に該当するパスワードを入力してください。
ドメイン ドメイン名を入力します。(ドメインを使用していない場合は「このコンピュータ」を選択)
12
Windows®デスクトップ画面の状態で、キーボードよりCtrl + Alt + Delを入力すると、シングルサインオンのダイアログが開きます。
2-2-1 ワークステーションのロック
[ワークステーションのロック]をクリックすると、画面がロックされ、キー入力などが無効となります。
デスクトップに復帰するには、キーボードより Ctrl + Alt + Delを入力し、CompuSecパスワードを入力してください。
2-2 シングルサインオンでの機能
PART 2Windows® XPでのシングルサインオン
13
2-2-2 ログオフ
[ログオフ]をクリックすると、Windows®からログオフします。
2-2-3 シャットダウン
[シャットダウン]をクリックすると、次の一覧より動作を選択できます。
※休止状態とスタンバイは、そのPCがサポートしているときに表示されます。
2-2-4 パスワードの変更
[パスワードの変更]をクリックすると、現在ログオンしているWindows®アカウントのパスワードを変更することができます。
2-2-5 タスクマネージャ
[タスクマネージャ]をクリックすると、Windows®のタスクマネージャーが起動します。
2-2-6 キャンセル
[キャンセル]をクリックすると、Windows®のデスクトップに復帰します。
2-2-7 CompuSecパスワードの変更
ブート前認証や画面ロックを解除する際に入力するCompuSecパスワードを変更することができます。
それぞれの欄にパスワードを入力して、「OK」をクリックしてください。CompuSecパスワードは、6~32文字の範囲で、英数字のみで構成された文字列を指定してください。記号は使用できません。
~のログオフ Windows®からログオフします。
シャットダウン PCをシャットダウンします。
再起動 PCを再起動します。
スタンバイ PCをスタンバイ状態にします。
休止状態 PCを休止状態にします。
2-2-8 シングルサインオンの管理
[シングルサインオンの管理]をクリックすると、シングルサインオンが保存している、Windows®アカウント名の一覧が表示されます。
ここでは、[ログオンと保存]にて登録された、Windows®アカウント情報を削除できます。
例えば、システム管理者のアカウントが登録されている場合、そのアカウント情報で他人が自動ログオンしないようにする場合、管理者の情報を削除することができます。
※シングルサインオンは、最後に保存したアカウントで自動ログオンする仕様となっております。Administratorなどの管理者権限で自動ログオンを望まない場合は、常に手動ログオンすることをお勧めいたします。
※シングルサインオンに記録されるWindows®アカウントは、8個までです。8個を越える場合は、古い物から削除されていきます。
14
PART 3
CompuSecサービス
15
CompuSecサービスを使用するには、スタートメニューから「すべてのプログラム」ー「Security」ー「CompuSecサービス」と選択します。
Windows® 7、Windows Vista®では、「ユーザーアカウント制御」のダイアログが表示されますが、[はい]をクリックしてください。
CompuSecサービス画面が表示されます。
16
ブラウザーを使って、各種機能の説明などを見ることができます。
ハードディスク暗号化、シングルサインオン、 S a f e L a n 、 D a t a C r y p t 、DriveCrypt、CD/DVD暗号化など、各機能の有効/無効を設定できます。※GlobalAdmin管理下では、本項目を開くことができません。
※Windows® 7、Windows Vista®では、CD/DVD暗号化機能は導入されません。
Windows® 7、Windows Vista®
※ハードディスクが暗号化済みの場合、OSに関わらず「ハードディスク暗号化」部分はグレー表示となり、変更できません。
Windows® XP
3-1 初めにお読みください
3-2 CompuSecコンポーネントのインストール/削除
PART 3CompuSecサービス
17
CompuSec単体版とGlobalAdmin管理下では、表示される内容が異なります。
・CompuSec 単体版[CompuSec(R)について]、[ハードディスク暗号化の管理]、[製品コンポーネントのアップデート]、[セキュリティファイルのバックアップ]、[設定の変更]、[ログオン画面の変更]、[製品登録]があります。
※[製品登録]は、オンラインで製品登録を行うことで、表示されなくなります。ダウンロード版では、支払証明コードをご登録いただくと、[製品の支払い]が[製品登録]に変わります。
・GlobalAdmin管理下のCompuSec[CompuSec(R)について]、[ハードディスク暗号化の管理]、[製品コンポーネントのアップデート]、[設定の変更]、[ログオン画面の変更]、[インストール応答ファイルの作成]があります。
各ボタンについては、次項より説明します。
3-3 サービスとアップデート
18
3-3-1 CompuSecについて
インストールされているCompuSecの詳細情報を表示します。
3-3-2 ハードディスク暗号化の管理
PCに接続されているハードディスクの暗号化/復号の設定を行います。ここでは、暗号化/復号の設定のみ行いますので、実際の暗号化/復号の処理には、OSを再起動させ、暗号化/復号を開始させる必要があります。
ハードディスクを暗号化するためには、暗号化されていないハードディスクのプルダウンリストから「作業中に暗号化」や「ブート前に暗号化」に変更し、[保存]をクリックします。
※GlobalAdmin管理下の場合、ブート前認証時に「アンインストール権限を持つUser」で認証されている必要があります。
※ESTAT接続のハードディスクは、ハードディスクとして暗号化されますが、USBやIEEE1394接続のハードディスクは、リムーバブルディスクとして暗号化されるため、このハードディス一覧には、表示されません。
1
暗号化未処理 ハードディスクは暗号化されていません。
ブート前に暗号化 OSが起動する前に暗号化が行われます(「作業中に暗号化」に比べて、暗号化に要する時間が長く、中断できません)。
作業中に暗号化 OSのバックグラウンドで、暗号化を行います。(推奨)
暗号化作業中 ハードディスクは暗号化中です。
暗号化済み ハードディスクが完全に暗号化されています。
ブート前に復号 OSが起動する前に復号が行われます(「作業中に復号」に比べて、復号に要する時間が長く、中断できません)。
作業中に復号 OSのバックグラウンドで、復号を行います。(推奨)
復号作業中 ハードディスクは復号中です。
ディスクが見つかりません ハードディスクが接続されていません。
PART 3CompuSecサービス
19
※ここでは、暗号化/復号の設定のみ行いますので、実際の暗号化/復号処理を行うにはPCを再起動させる必要があります。
[終了]をクリックし、CompuSecサービスを終了させ、PCを再起動します。
ブート前認証通過後、以下のメッセージが表示されます。[Y]を入力して、ハードディスクの暗号化を開始してください。
※ハードディスクを複数搭載し、同時に複数台のハードディスクを暗号化する設定をしている場合、ブート前認証の問い合わせは、ハードディスクごとに表示されます。3台搭載している場合は、問い合わせは3回ありますので、「Y」を入力したディスクのみ処理が行われます。
※「N」を入力したディスクの暗号化のフラグは、そのまま維持されます。「Y」が入力され、暗号化が開始されるか、設定を変更しない限り、ブート前認証の度に問い合わせが表示されます。
OSが起動すると、Windows®のシステムトレイに砂時計型のアイコンが常駐し、回転するようになります。このアイコンをクリックすると、処理状況が表示されます。
※Windows® 7の初期設定では「ハードディスク」アイコンは表示されません。表示するには、通知領域をカスタマイズしてください。
4
3
2
20
暗号化の処理が終了すると、砂時計型からハードディスク型にアイコンが変化し、PCを再起動すると、アイコンの常駐はなくなります。
※Windows® 7の初期設定では「ハードディスク」アイコンは表示されません。表示するには、通知領域をカスタマイズしてください。
マイコンピューターなどを開くと、暗号化されたハードディスクには、緑色の鍵アイコンが付加されます。
また、暗号化されたハードディスクを復号する作業は、暗号化作業と同様の操作になります。
ハードディスクを復号するためには、暗号化されているハードディスクのプルダウンリストから「作業中に復号」(「ブート前に復号」)に変更し、[保存]をクリックします。特段の理由がない限り、「作業中に復号」を選択することを推奨いたします。
1
5
PART 3CompuSecサービス
21
[終了]をクリックし、CompuSecサービスを終了させ、PCを再起動します。
ブート前認証通過後、以下のメッセージが表示されます。[Y]を入力して、ハードディスクの復号を開始してください。
※ハードディスクを複数搭載し、同時に複数台のハードディスクを復号する設定をしている場合、ブート前認証の問い合わせは、ハードディスクごとに表示されます。3台搭載している場合は、問い合わせは3回ありますので、「Y」を入力したディスクのみ処理が行われます。
※「N」を入力したディスクの復号のフラグは、そのまま維持されます。「Y」が入力され、復号が開始されるか、設定を変更しない限り、ブート前認証の度に問い合わせが表示されます。
OSが起動すると、Windows®のシステムトレイに砂時計型のアイコンが常駐し、回転するようになります。このアイコンをクリックすると、処理状況が表示されます。
※Windows® 7の初期設定では「ハードディスク」アイコンは表示されません。表示するには、通知領域をカスタマイズしてください。
4
3
2
22
注意「ブート前に暗号化」や「ブート前に復号」を選択すると、途中で処理を中断することができません。
「ブート前に暗号化」(または復号)プロセスが開始された後に、電源を強制的にオフにするなどで無理に中断すると、ハードディスクのデータが二度と読めなくなりますのでご注意ください。
従って、「作業中に暗号化」(または復号)を選択することをお勧めします。この場合は、通常の手順によるシャットダウンや休止状態への移行なども可能です。なお、「作業中に暗号化」(または復号)の方が、処理を高速に行うことができます。
ただし、「作業中に暗号化」(または復号)を実行中、不測の事態でOSがハングアップした場合などは、強制中断となりますので、暗号化(または復号)処理が完全に終了するまでは、OSに負担のかかる作業などは控えることを推奨します。
暗号化作業中に不良セクタなどが原因で処理が進んでいないように見えることがあります。そのようなときは電源を強制的にオフするなどせずに、サポートセンターまでお問い合わせください。
3-3-3 製品コンポーネントのアップデート
本バージョンではご使用いただけません。
3-3-4 セキュリティファイルのバックアップ
CompuSec単体版では、CompuSec導入時にSecurityInfo.datファイルを生成し保存します。SecurityInfo.datファイルは、CompuSecのアンインストール時や、暗号化メディアをPC間で共有するための鍵をインポートする場合に使用します。このファイルを紛失した場合は、このボタンにて再生成することができます。(希に、再生成できないPCがあります)※GlobalAdmin管理下では、グレー表示で利用できません。
復号の処理が終了すると、砂時計型からハードディスク型にアイコンが変化し、PCを再起動すると、アイコンの常駐はなくなります。
5
PART 1CompuSec SWの
23
3-3-5 設定の変更
CompuSec単体版では、使用しません。GlobalAdmin管理下では、ローカル管理パスやリモート管理パス、ログを記録するパス、ポリシーの更新間隔時間を設定します。通常は、「更新の自動検索間隔」のみ変更してください。単位は「分」で、標準では 20分間隔でポリシーチェックを行っています。設定範囲は、1 ~ 1440です。
3-3-6 CompuSecドライバの削除
CompuSecが正常にインストールされている状態では、グレー表示で利用できません。(CompuSecが正常にアンインストールできない場合に強制アンインストール方法として使用します)
3-3-7 ブート前認証の削除
CompuSecが正常にインストールされている状態では、グレー表示で利用できません。(CompuSecが正常にアンインストールできない場合に強制アンインストール方法として使用します)
3-3-8 CompuSecコンポーネントの削除
CompuSecが正常にインストールされている状態では、グレー表示で利用できません。
24
3-3-9 ログオン画面の変更
ブート前認証画面の背景画像と、文字色を変更できます。
背景画像は、C:¥Program Files¥CE-Infosys¥CompuSecフォルダー内にある、compusec_1.bmpが標準で選択されており、compusec_2.bmp、compusec_3.bmpが選択できます。
任意の画像をCompuSecのブート前認証画面として使用する場合は、1024×580の24bitカラーで画像を用意し、ファイル名を「compusec_4.bmp」「compusec_5.bmp」として、C:¥ProgramFiles¥CE-Infosys¥CompuSecフォルダーに保存することでプルダウンメニューから選択いただけます。
前景色 文字色をRGB値で設定します。
背景色 文字の背景色をRGB値で設定します。
中央のドロップダウンリスト ブート前認証画面の背景画像を選択します。
注意背景画像は、必ず1024×580の24bitカラーで用意してください。それ以外のサイズや色数の場合、ブート前認証画面が正常に表示されず、[ログオン画面の変更]がグレー表示となり、変更できなくなる場合があります。
各項目を設定した後[続行]をクリックすると、次回コンピューター起動時から、設定した内容で、ブート前認証画面が表示されます。
PART 1CompuSec SWの
25
3-3-10 インストール応答ファイルの作成
GlobalAdmin管理下でCompuSecをインストールする際、ローカル管理パスを使ってCompuSecを導入した後に使用します。
GlobalAdminでは、クライアントへCompuSecが導入されているか否かを管理するために、クライアント側からの応答ファイルを見て判断しています。
GlobalAdmin管理者より受け取ったポリシーファイルを、ローカル管理パスから読み込んでCompuSecを導入した場合は、このボタンをクリックしてください。
クリックすると、「リモート応答パス」に、RC_xxxxxxxx.prf.ack5(xxxxxxxx部は、Computer SN)と言うファイルが生成されますので、GlobalAdmin管理者に渡してください。※CompuSec単体版に、このボタンはありません。
3-3-11 製品登録(製品の支払い)
CompuSec単体版で、支払証明コードを登録後の状態で表示されます。このボタンをクリックして、正式にCompuSecを製品登録してください。
ダウンロード版で、支払証明コードを登録する前は、[製品の支払い]となっています。※GlobalAdmin管理下では、このボタンはありません。
PART 4
リムーバブルメディアの暗号化機能
26
CompuSecでは、フロッピーディスクやUSBメモリーのような、リムーバブルメディアを使用する際、暗号化モードで使用するかどうかを選択することができます。
※GlobalAdminにて設定されるポリシーによっては、自由に選択できない場合があります。詳細はGlobalAdminの管理者にお問い合わせください。
※USB、IEEE1394接続のハードディスクドライブはリムーバブルメディアとして認識されます。
暗号化モードでは、そのメディアに記録するものは自動的に暗号化されます。この暗号化ユーティリティは、「南京錠」のアイコンとして、システムトレイに表示されます。
※Windows® 7の初期設定では、「南京錠」アイコンは表示されません。表示するには、通知領域をカスタマイズしてください。
すべてのリムーバブルデバイスを、暗号化無しで使用していることを示します
すべてのリムーバブルデバイスまたは、一部のリムーバブルデバイスが暗号化モードであることを示します
PART 4リムーバブルメディアの暗号化機能
27
暗号化フロッピー/リムーバブルメディアを作成するには、フロッピーディスクまたはUSBメモリーなどをコンピューターに装着します。
このメディアに、あらかじめ記録されたデータがある場合は、先にデータを退避してください。データを残したまま、メディアを暗号化することはできません。
システムトレイの「暗号化ユーティリティ」アイコンをクリックし、「暗号化」を選択します。(図は、フロッピーディスクを暗号化しています)
「暗号化」を選択時に、メディアが暗号化されていない場合は、次のメッセージが表示されます。よろしければ[OK]をクリックしてください。
2
1
4-1 暗号化フロッピー/リムーバブルメディアの作成
28
暗号化メディアとして利用するため、フォーマットを行う旨のメッセージが表示されますので、[はい]をクリックしてください。
Windows®のフォーマット用ダイアログが表示されますので、フォーマットを実行してください。フォーマット完了後は、コンピューターのドライブアイコンに、緑色の鍵マークが表示されるようになります。
4
3
注意フォーマット完了後、そのメディアで読み書きをする際は、暗号化モードになっているかどうかを確認してください。暗号化なしのモードになっているか、CompuSecが導入されていないコンピューターで読み込もうとすると、フォーマットされていないものと見なされてしまいますので、間違ってフォーマットしないようにご注意ください。また、暗号化モードになっているドライブに、非暗号化メディアを挿入した場合も、暗号化フォーマットを行うかどうかを問い合わせてきますのでご注意ください。
PART 4リムーバブルメディアの暗号化機能
29
フロッピー/リムーバブルメディアの暗号化を解除するには、暗号化フォーマットされたフロッピーまたは、USBメモリーなどのメディアをコンピューターに装着します。
暗号化メディアに記録されたデータが必要な場合は、暗号化を解除する前に、データを退避してください。データを残したまま、暗号化を解除することはできません。
システムトレイの「暗号化ユーティリティ」アイコンをクリックし、「暗号化なし」を選択します。(図は、暗号化済みのフロッピーディスクです)
「暗号化なし」を選択後、メディアが暗号化されている場合、次のメッセージが表示されます。暗号化なしのメディアとして取り扱う場合、[OK]をクリックしてください。
暗号化なしのメディアとして利用するため、フォーマットを行う旨のメッセージが表示されますので、[はい]をクリックしてください。
3
2
1
4-2 フロッピー/リムーバブルメディアの暗号化を解除する
Windows®のフォーマット用ダイアログが表示されますので、フォーマットを実行してください。フォーマット完了後は、通常のメディアとしてお使いいただけます。
CD-R/RWメディアに対して、暗号化を伴った書き込みが可能です。但し、本機能はWindows® XPのみに導入されます。Windows® 7、Windows Vista®には導入されません。※本機能を使う際、DVDメディアに関する記述がございますが、現在のところ、DVDメディアへの書き込みに関して対応しておりませんことを、あらかじめご了承ください。
システムトレイの「暗号化ユーティリティ」アイコンをクリックし、「CD/DVD書込」部の、「暗号化」を選択します。
1
4
30
注意フォーマット完了後、そのメディアに読み書きをする際は、暗号化なしのモードになっているかどうかを確認してください。暗号化モードになっていると、そのメディアは未フォーマットであると見なされてしまいます。暗号化モードになっていると、フォーマットされていないものと見なされてしまいますので、間違ってフォーマットしないようにご注意ください。また、暗号化なしのモードになっているドライブに、暗号化メディアを挿入した場合も、フォーマットを行うかどうかを問い合わせてきますのでご注意ください。
注意暗号化を伴う書き込みは、CD-R/RWを使った、Windows® XPの標準機能でのみ実現できます。一般的なCD/DVDへのライティングソフトウェアを経由しての、暗号化書き込みには対応しておりません。Windows®では、DVDメディアへの書き込みが標準でサポートされておりませんので、DVDメディアへの暗号化モードによる書き込みはできません。
4-3 CD/DVDを暗号化する
PART 4リムーバブルメディアの暗号化機能
31
CD/DVD用の暗号化キーリストが表示されますので、キーを選択し[OK]をクリックしてください。
以降は、CD-Rなどをドライブに挿入後、Windows® XPの書き込み機能を使ってライティングしてください。
暗号化書き込みを行ったメディアを、CompuSecが導入されていないコンピューターで参照すると、空のメディアとして見えます。しかし、書き込みを行おうとすると、次のようなメッセージが表示され、処理できません。
※RWメディアの消去は、別のPCでも通常通り行うことができます。
4
3
2
暗号化メディアを他のCompuSecユーザーと共用するには、フロッピーキーやリムーバブルメディアキーなどを共通にしておく必要があります。
CompuSec単体版で、暗号化キーを共通とするには、2台目以降のPCへCompuSecを導入する際に、1台目で生成されたSecurityInfo.datから暗号化キーを読み込ませてください。CompuSec導入後に、暗号化キーを変更することはできません。(詳細は、別途インストールガイド「4-1-2 CompuSec SW本体のインストール 」をご覧ください)
GlobalAdmin管理下では、Userに割り当てるポリシー設定(CompuSec ProfileのKeygroup)で行いますので、GlobalAdminの管理者にお問い合わせください。
10
32
4-4 暗号化メディアを共用する
PART 5
DataCrypt機能
33
本バージョンのDataCryptより、Windows®アカウントごとにキーペアが作成される仕様に変更となりました。CompuSec単体版では、CompuSecユーザIDはひとつですが、そのWindows®アカウントで初めてDataCryptを起動すると、(自アカウント用の)DataCryptで使うユーザIDを問い合わせてきます。このため、同じPCでもWindows®アカウントが異なる場合は、対象アカウントと公開鍵をやり取りしていないと、DataCryptによるファイルのやり取りを行うことができません。
GlobalAdmin管理下のCompuSecでも同様です。但し、GlobalAdmin管理の場合は本バージョン(5.x)より、CompuSecのUser名とWindows®のアカウント名が、同一の時のみ、DataCryptを起動することができます。例えば、CompuSecのUser名「Canon」でブート前認証を通過した場合、Windows®のアカウント名も「Canon」でログオンする必要があります。(大文字/小文字は関係ありません)
DataCryptはファイルを暗号化するためのモジュールで、楕円曲線を基にした公開鍵暗号方式を使用しています。Windows®アカウント毎にキーペア(2つの鍵)を生成し、ひとつのキーは暗号化に用い、もうひとつのキーは復号に使用します。片方のキーから、残りのキーを計算で求めることはできません。
そのため、片方のキーを公開しても、もう片方の機密は保たれます。つまり、片方のキーを「公開鍵」として友人に送付し、そのキーで暗号化したファイルを電子メールや、FTPで送信しても、データ転送中は機密が保持されます。
DataCryptで暗号化できる最大ファイルサイズは680MBです。搭載メモリーにより、暗号化可能なファイルサイズは変化します。
5-1 DataCryptについて
34
相手の区別には、ユーザIDとメールアドレス(GlobalAdmin管理下では、GlobalAdminのUserリストに登録されている物)を使用します。これにより、同名の人がいる場合でも、混同を避けることができます。
DataCrypt を利用するには、「スタート」-「すべてのプログラム」-「Security」-「DataCryptファイル暗号化」を選択してください。
5-2 DataCryptの起動
PART 5DataCrypt機能
35
初めて起動した際は、DataCrypt用のユーザIDとメールアドレスを入力するように求められます。
※DataCryptでのユーザIDやメールアドレスは、CompuSecのUser名やWindows®アカウント名と異なっていても構いません。但し、2バイト文字(日本語)には未対応ですので、英数字(メールアドレスには、@やハイフン、ピリオドは含む)のみを使って入力してください。
「オプション」タブにて、暗号化ファイルや、復号ファイルを置くデフォルト(初期設定)フォルダーを指定できます。
また、各入力フィールド下のチェックボックスにチェックをいれることで、ファイルの暗号化/復号の後、元のファイルを削除するかどうかを指定できます。デフォルトフォルダーを指定したら、[保存]をクリックして設定を保存してください。
5-3 オプション
ファイルを暗号化するには、「暗号化」タブをクリックします。
暗号化したいファイルを、ツリー構造を辿って選択してください。ファイル名の□ 部をクリックし、チェックマークを付けることで、暗号化対象のファイルとして選択されます。
暗号化するファイルを選択後、[次]をクリックしてください。
※フォルダーを選択すると、フォルダー内のすべてのファイルが選択されますが階層構造を保ったまま暗号化することはできません。
36
5-4 ファイルの暗号化
PART 5DataCrypt機能
37
※ エクスプローラーなどで、ファイルを右クリックした際に表示される、コンテキストメニューからも、暗号化を行うことができます。複数ファイルの選択も可能です。
次に、暗号化したファイルを渡す相手を選択します。相手先を複数選択することも可能です。この場合、暗号化したファイルを複数の相手先に渡すことができます。
図の例では「canon」が自分となっています。自分用に暗号化する場合は「canon」のみにチェックを入れます。「user01」と言う相手に送る場合は、「user01」にチェックを入れてください。
※初期設定では自分のユーザIDのみが表示された状態となります。相手にDataCryptで暗号化されたファイルを渡す場合、あらかじめ相手の公開鍵をインポートする必要があります。公開鍵のインポートとエクスポートについては「5-6 キーの管理」を参照してください。
この時、相手先(user01)のみにチェックを入れて暗号化すると、自分自身(canon)では復号できなくなりますのでご注意ください。
ユーザIDが多数ある場合は、「検索」欄にユーザID名を入力すると、該当するユーザがハイライト選択されます。
すべてのユーザーを対象とする場合は、「全送信先」にチェックを入れることで、すべてのユーザIDにチェックが入ります。
続けて、暗号化ファイルを保存するフォルダーを「暗号化ファイルの保存先を指定」欄から選択してください。保存先は、次の3つから選択できます。
・選択したファイルと同じフォルダ選択したファイルと同じフォルダーに、暗号化ファイルが保存されます。
・オプションで設定したデフォルトフォルダ「オプション」タブで設定したフォルダーに、暗号化ファイルが保存されます。
・ファイルの保存先を手動選択毎回、任意のフォルダーを選択します。
最後に、[暗号化]をクリックしてください。ファイルの暗号化が始まります。
暗号化されたファイルには、.encryptedという拡張子が付きます。
38
PART 5DataCrypt機能
39
暗号化したファイルを復号するには、「復号」タブをクリックしてください。
復号したいファイルを、ツリー構造を辿って選択してください。ファイル名の□ 部をクリックし、チェックマークを付けることで、復号対象のファイルとして選択されます。
5-5 ファイルの復号
続いて、復号されたファイルをどこに保存するかを指定します。保存先は、次の3つから選択が可能です。
・選択したファイルと同じフォルダ・オプションで設定したデフォルトフォルダ
・ファイルの保存先を手動選択
ファイルの保存先を選択後、[次]をクリックしてください。
指定されたフォルダーに、復号されたファイルが保存されます。
※エクスプローラーで暗号化ファイル(拡張子 .encrypted)を右クリックした際に表示される、コンテキストメニューからも復号を行うことができます。複数ファイルの選択も可能です。
但し、復号後のファイル保存先は指定できず、暗号化ファイルと同じフォルダーに保存されます。
40
PART 5DataCrypt機能
41
「キー管理」タブでは、登録キーの一覧表示や、公開鍵のインポート/エクスポート、自分のキーペアのバックアップが行えます。
5-6-1 公開鍵のインポート
相手の公開鍵をインポートするには、[公開鍵のインポート]をクリックしてください。
インポートしたい公開鍵ファイルを選択し、[開く]をクリックしてください。
公開鍵のファイル名は、「相手のメールアドレス_PubKey.dat」と言うファイル名となっています。(図の例では、[email protected]_PubKey.datです)
確認ダイアログが表示されますので、間違いなければ[OK]をクリックしてください。
5-6 キーの管理
キー管理タブの一覧に、インポートした相手の公開鍵が登録されます。
相手の公開錠を使用してファイルを暗号化すると暗号化したファイルに、自分の公開錠情報が付加されます。また、相手が暗号化したファイルを復号すると相手のキー管理タブの一覧に自分の公開錠が自動的に追加されます。
※ユーザ名が既に登録済みの場合は、名前の変更が必要となります。
5-6-2 公開鍵の削除
インポートした公開鍵が不要になった場合、不要となった公開鍵にチェックマークを入れて、[削除]をクリックしてください。
42
PART 5DataCrypt機能
43
確認メッセージが表示されますので、間違いなければ[OK]をクリックしてください。
5-6-3 自分の公開鍵をエクスポート
自分の公開鍵を相手に送る際は、[公開鍵のエクスポート]をクリックしてください。
「名前を付けて保存」のダイアログボックスが表示されますので、フォルダーを指定後、[保存]をクリックしてください。
5-6-4 自分のキーペアをバックアップ
CompuSec単体版のDataCryptには、自分のキーをバックアップする機能があります。バックアップしたキーは、CompuSecを再導入し直した際などに復元できます。自分のキーペアをバックアップにするには、[キーのバックアップ]をクリックしてください。
「名前を付けて保存」ダイアログボックスが表示されますので、フォルダーを指定後、[保存]をクリックしてください。
バックアップファイルをパスワードで保護したい場合は、「パスワード」部のボックスをチェックして、[キーのバックアップ]をクリックします。
保存先を指定後、パスワードを入力するように促されますので、入力後[OK]をクリックしてください。
※パスワードの文字数は6 ~ 16文字で、英数字だけで構成してください。
44
PART 5DataCrypt機能
45
「バックアップが作成されました。」と表示されます。
キーのバックアップファイルは、フロッピーディスクやUSBメモリーなどの、外部メディアに保存し、安全な場所に保管してください。MBRファイルやSecurityInfo.datファイルと一緒に保存しておくことをお勧めします。
5-6-5 自分のキーペアを復元
CompuSec単体版では、自分のキーペアを復元することができます。復元するには、[復元]をクリックします。
「ファイルを開く」ダイアログボックスが表示されますので、バックアップしたキーファイルを指定後、[開く]をクリックしてください。
パスワードを使用していた場合は、パスワードを入力するように促されます。パスワードを入力し、[OK]をクリックしてください。
復元が完了すると、確認画面が表示されます。[OK]をクリックして終了です。
復元したキーを有効とするには、DataCryptを一旦終了させてください。
46
PART 6
DriveCrypt機能
47
DriveCryptでは、暗号化されたファイルを仮想ドライブとして割り当てて、利用することができます。※GlobalAdmin管理下ではUser側ポリシー(CompuSec Profile)の設定により、ファイルの作成やマウント/アンマウントなどが制限されますので、ご注意ください。
CompuSec単体版では、異なるWindows®アカウントで作成した仮想ドライブファイルを、アカウント間で共用することができます。
Windows®のスタートメニューより、「すべてのプログラム」-「Security」-「[DriveCrypt]コンテナ暗号化」を選択します。
※GlobalAdmin管理下では、すべてのUser IDで共用できる仮想ドライブファイルを作成することはできません。作成されたファイル(仮想ドライブ)は、作成時のUser ID専用となります。
1
6-1 仮想ドライブ用ファイルの作成
48
[参照]をクリックしてファイルの保存先を指定後、ファイル名を入力して、[保存]をクリックしてください。
「サイズ」と「ボリュームラベル」欄に、数値と文字列を入力してください。
「サイズ」の単位は、MB(メガバイト)またはGB(ギガバイト)が、選択できます。サイズとボリュームラベルを入力したら、[OK]をクリックしてください。
サイズは、ファイルシステムの1ファイルの上限まで指定できます。FAT32なら4GBまで、NTFSなら2TB(ここでは2,000GB)となります。
仮想ドライブ用のファイルを作成しますので、しばらくお待ちください。
4
3
2
PART 6DriveCrypt機能
49
ファイル作成が完了すると、パスワードの入力が求められます。CompuSecパスワード(ブート前認証時に入力したもの)を入力して、[OK]をクリックしてください。(パスワードに、任意の文字列を指定することはできません)
GlobalAdmin管理下では、User側ポリシー(CompuSec Profile)にて「Request PasswordAuthentication prior Mounting a Container Volume」が「Yes」の時のみ、パスワードの要求があります。「No」の場合は、パスワードの入力はありません。
作成したファイル(仮想ドライブ)をフォーマットしますので、しばらくお待ちください。
フォーマットが完了すると自動的にマウントされますので、しばらくお待ちください。マウントされると、特にメッセージは無く、このダイアログは消えます。
7
6
5
注意この時、間違ったパスワードを入力すると処理が中断し、作成されたファイルはフォーマットされず、マウントもされません。後でマウント後、フォーマットを行ってください。
今回の例では、図のようにボリュームラベル名が「Canon_HDD」のEドライブとして、128MBの仮想ドライブが追加されます。
仮想ドライブのマウントとアンマウント方法について説明します。
6-2-1 仮想ドライブのアンマウント
仮想ドライブを作成すると、自動的にマウントされますので、先にアンマウント方法を説明します。
コンピューターなどを開き、仮想ドライブのファイルアイコンにて右クリックすると、コンテキストメニューに、「[Dr i veCrypt]」と言う項目が増えています。
このメニューより、選択した個別のドライブまたは、すべてのドライブをアンマウントすることができます。
1
8
50
6-2 仮想ドライブのマウント/アンマウント
PART 6DriveCrypt機能
51
別の方法として、仮想ドライブがマウントされた状態では、Windows®のシステムトレイに、DriveCryptアイコンが常駐するようになります。(この図では、一番左のアイコンになります)
このアイコンをクリック(または右クリック)すると、アンマウントのためのメニューが表示されますので、選択した個別のドライブまたは、すべてのドライブをアンマウントすることができます。
※Windows® 7の初期設定では「DriveCrypt」アイコンは表示されません。表示するには、通知領域をカスタマイズしてください。
6-2-2 仮想ドライブのマウント
仮想ドライブのマウントを自動で行うことはできません。Windows®起動後に仮想ドライブ用ファイルを指定し、手動でマウントさせる必要があります。
仮想ドライブをマウントするには、エクスプローラーなどで .dcrファイルをダブルクリックするか、図のように右クリックで選択し、コンテキストメニューから「[DriveCrypt]のマウント」を選択してください。
※マウントする際は、任意のドライブレターにマウントすることはできません。C ~ Zから、空いている一番若いドライブ名から割り当てられ、C ~ Zまで埋まっている場合は、AとBが割り当てられます。
1
2
パスワードの入力を求められますので、CompuSecパスワードを入力して、[OK]をクリックしてください。
パスワードが正しければ、仮想ドライブとしてマウントされます。マウント時は、特にメッセージなどは表示されず、エクスプローラーでそのドライブが開かれます。
GlobalAdmin管理下では、User側ポリシー(CompuSec Profile)にて「Request PasswordAuthentication prior Mounting a Container Volume」が「Yes」の時のみ、パスワードの要求があります。「No」の場合、パスワードの入力は無く、そのままマウントされます。
GlobalAdmin管理下では、ブート前認証時のUser IDと異なるIDで作成された仮想ドライブをマウントしようとすると、次のメッセージが表示されます。
マウント時にパスワードが間違っている場合は、次のメッセージが表示されます。
2
52
PART 7
SafeLan機能
53
SafeLanフォルダーを設定すると、SafeLanフォルダーへのファイル書き込み時に暗号化され、フォルダーの認証キーなしには、フォルダーへのアクセスや、ファイル内容を見ることができません。フォルダーの認証キーを持つUserが、SafeLanフォルダーより通常のフォルダーなどへファイルをコピー(移動)すると、自動的に復号されます。
なお、ファイルサーバーの管理者であっても、SafeLanフォルダー内の、暗号化されたファイル内容を参照することは不可能です。(SafeLanフォルダーを開き、フォルダー内のファイルを削除することは可能です)
SafeLanのすべての機能をご利用いただくには、GlobalAdminが必要となります。
SafeLanを使用するには、Windows®のスタートメニューより、「すべてのプログラム」-「Security」-「SafeLanフォルダ暗号化」を選択します。
SafeLanを使用するには、インストール時にインストールオプションでSafeLanを選択している必要があります。
注意CompuSecを導入したPCの、ローカルフォルダーにある共有フォルダーにSafeLanを設定しでも、自身で復号しているため、ネットワーク先のコンピューター(CompuSecの有無に関わらず)からは、平文のファイルとして参照できます。SafeLanフォルダーを設定する場合は、CompuSecが導入されていないPCが、ファイルサーバーなどに行ってください。
54
SafeLanの初期画面が現れます。[次へ]をクリックします。
暗号化フォルダーを新規に作成するには、[新規暗号化フォルダの作成]をクリックします。[新規暗号化フォルダの名前を入力]欄に、作成する暗号化フォルダー名を入力します。
1
7-1 暗号化フォルダーの新規作成
PART 7SafeLan機能
55
ボタンをクリックして暗号化フォルダーを作成する共有フォルダーを選択してください。
「フォルダを暗号化する鍵の選択」欄から、暗号化するためのキーを指定します。CompuSec単体版では、どのキーを選んでもかまいません。他のCompuSec導入PCとキーを同じとする場合は、CompuSecをインストールする際にSecurityInfo.datファイルから、キーをインポートさせる必要があります。キーをインポートする手順については、インストールガイドをご覧ください。
GlobalAdmin管理下では、CompuSec Profileに割り当てたKeygroupにより、表示される暗号化キーの数や種類が異なります。
CompuSec Profileにて、「Hierarchy Level:5(High)が割り当てられているUserは、Level:0~5まで、すべての暗号化キーを取り扱えます。逆に、「Hierarchy Level:0 (Lowest)」が割り当てられているUserは、Level:0のキーで暗号化されたファイルしか参照できません。
最後に、「暗号化」をクリックすると、暗号化フォルダーが作成されます。SafeLanフォルダーには、赤い鍵マークが付加されます。
同様に、SafeLanフォルダーに入れたフォルダーにも、赤い鍵マークが付加されます。
4
3
2
ファイルサーバーに存在する、既存フォルダーも暗号化可能です。「既存フォルダを暗号化」をクリックしてください。
ボタンをクリックして暗号化フォルダーに設定する共有フォルダーを選択してください。
1
56
7-2 既存フォルダーの暗号化
PART 7SafeLan機能
57
「フォルダを暗号化する鍵の選択」欄より、暗号化するためのキーを選択します。暗号化キーの指定などについては、「7-1暗号化フォルダーの新規作成」と同様です。
[暗号化]をクリックして、フォルダーの暗号化を行ってください。SafeLanフォルダーおよび、そのフォルダーに入れたファイルには、赤い鍵マークが付加されます。(「7-1 暗号化フォルダーの新規作成」と同様です)
GlobalAdminで提供できるSafeLanには、キーレベルの無い「CompuSec SafeLan」というものがあります。CompuSec SafeLanは、暗号化キーにレベルがありません。(暗号化キーに関しては、CompuSec単体版と同様の扱いとなります)
使い方は通常のSafeLanと同様ですので、暗号化キーレベルによる細かい参照条件などを考慮しない場合は、こちらの方が分かりやすいでしょう。後述の「7-4 SafeLanキーの表示」では、例としてキー名を「CS-SafeLan-01」として割り当てています。キー名は、GlobalAdminでキーを生成する際に名称を決めますので、通常のSafeLanキーと混同しないような名称を与えてください。
SafeLan画面には、現在のUserで使用できるSafeLanキーが、すべて表示されています。※CompuSec単体版では、Level0キーが8個表示されます。
GlobalAmdin管理下で、表示される暗号化キーの数は、User側のポリシー設定により異なります。
3
2
7-3 CompuSec SafeLan
7-4 SafeLanキーの表示
CompuSecではOS起動前に、いくつかの機能を使用できます。
ブート前認証画面でF1キーを押すことにより、サービス機能メニューが表示されます。F1キーを押すタイミングで、メニュー内容が異なります。
※CompuSec単体版のみ表示されます。
PART 8
ブート前サービス機能
58
8-1 CompuSec SWのブート前サービス機能
ユーザID入力前にF1キー1 パスワードのリセット2 戻る
ユーザIDとパスワード入力後にF1キー
1 サービスアクセス有効 (※)2 現在のパスワードを変更3 緊急時の復号4 ブート
8-1-1 ユーザID入力前にF1キー
ブート前認証画面で、ユーザID入力前にF1キーを押すと、サービスメニューに入ります。
8-1-2 パスワードのリセット
CompuSec単体版では、CompuSec導入時に指定した「パスワードリセットコード」を用意してください。GlobalAdmin管理下でのパスワードリセットは、GlobalAdmin管理者と連絡を取る必要があります。1を入力すると、パスワードのリセット手順が開始されます。
パスワードをリセットしたいユーザ ID名を入力し、Enterキーを押します。
ユーザID入力後、CompuSec単体版では、パスワードリセットコードを入力して、Enterキーを押します。
GlobalAdmin管理下では、パスワードリセット用のコードが表示されますので、GlobalAdminの管理者に伝えてください。
2
1
PART 8ブート前サービス機能
59
注意このコードは、パスワードリセットをやり直すと変化しますので、ESCキーなどで戻らず、この画面のままでGlobalAdmin管理者からの返事を待ってください。
En t e r キー入力後、GlobalAdmin管理者より伝えられたコードを入力し、Enterキーを入力してください。
※この項目は、GlobalAdmin管理下のCompuSecのみです。
パスワードリセットコードの認証が完了すると、新しいパスワード入力のメッセージが表示されますので、新しいパスワードを入力してください。
※ パスワードの有効期限による変更や、「現在のパスワード変更」を行っていた場合、過去7個前までのパスワードは再利用できません。
確認のため、新しいパスワードを再入力し、Enterキーを押します。
新しいパスワードの確認完了後、「新しいパスワードが保存されました」とのメッセージが表示され、Windows®の起動を開始します。
8-1-3 ユーザID/パスワード入力直後にF1キー
ユーザID/パスワードを入力後にF1キーを押すと、前述までとは違ったサービスメニューが表示されます。
CompuSec単体版では、オプションが4つあり、「サービスアクセス有効」「現在のパスワードを変更」「緊急時の復号」「ブート」、が選択できます。
6
5
4
3
60
GlobalAdmin管理下では、オプションが3つあり、「現在のパスワードを変更」、「緊急時の復号」「ブート」、が選択できます。
8-1-4 サービスアクセス有効
CompuSecで保護されたコンピューターに、サービス担当者がアクセスするための、一時ユーザーを作成します。(サービスアクセス有効時のユーザID名は「Service」に固定となります)。※GlobalAdmin管理下のCompuSecでは表示されません。
「サービスアクセス有効」を選択すると、サービスID用のパスワードを登録しますので、パスワードを入力してください。
確認のため、パスワードを再入力してください。
パスワードに間違いがなければ、サービスアクセスが有効となりますので、任意のキーを押して、コンピューターを再起動してください。
再起動後は、ユーザID「Service」と設定したパスワードで認証することができます。認証後は通常通りOSが起動されます。サービスアクセスでOSを起動した場合、CompuSecサービスなど、一部の機能に制限がかかっています。
サービスアクセスを無効とするには、2つの方法があります。ひとつは、通常のユーザIDとパスワードで認証してください。もうひとつは、サービスアクセスのIDとパスワード入力後に、F1を押し、ここで、「サービスアクセス無効」を選択してください。
PART 8ブート前サービス機能
61
8-1-5 現在のパスワードを変更
「現在のパスワードを変更」は、現在のパスワードを、別のパスワードに変更する際に使用します。※パスワードは、過去7個前までのものが再利用できません。
新しいパスワードを入力するようにメッセージが表示されます。新しいパスワードを入力後、Enterキーを押してください。
確認のため、新しいパスワードを再入力し、Enterキーを押します。
新しいパスワードの確認後、「新しいパスワードが保存されました」とのメッセージを表示し、Windows®の起動を開始します。
8-1-6 緊急時の復号
「緊急時の復号」を選択すると、Windows®の起動が不可能な状態でも、「ブート前に復号」を使ってハードディスクの復号を行うことができます。
ブート前認証画面で、ユーザIDとパスワードを入力後にF1キーを押し、「緊急時の復号」を選択すると、復号を行うかどうかを問い合わせてきます。
1
3
2
1
62
重要BIOSにて休止状態などがサポートされている場合は、事前に無効化してください。復号中に電源が
切れると、ハードディスクの情報が二度と読めなくなりますので、ご注意ください。
復号が必要であれば「Y」を入力してください。その場で復号が開始されます。
そのまま電源を切らずにおき、「残りセクター」がゼロになると、自動で再起動されますので、しばらくお待ちください。復号中に強制的に電源がオフになると、ハードディスクの情報が二度と読めなくなりますので、ご注意ください。
※ 不良セクター部分の処理を実行している場合、残りセクターの数字のカウントが止まったように遅くなる場合があります。残りセクターの数字が数時間経過しても同じ場合、サポートセンターにご連絡ください。
8-1-7 ブート
Windows®の起動を開始します。
2
PART 8ブート前サービス機能
63
®
® ® ® ®
® ®
PART9
64
電源オフに限らず、処理中にWindows®がハングアップした場合も、基本的にハードディスク内容が読めなくなってしまい、お客さまでは処理できない状態となってしまいます。この場合、原則として工場出荷時にリカバリーするより他に方法がございません。ただしライセンス版ユーザーの場合、有償メニューで「PC復旧パック」をご用意しておりますので、サポートセンターまでお問い合わせください。
ハードディスクが暗号化されておらず、OS側の障害により起動できない場合は、通常通りWindows®の修復や上書きインストールなどを行ってください。または、別のPCへハードディスクを接続し、データを退避後、ハードディスクを障害PCに戻してから、オリジナルMBRの復元「10 オリジナルのMBRを復元する」とシステムのリカバリーを行ってください。
ハードディスクが暗号化済みで、OSの障害により起動できない場合は、ブート前サービス機能の「8-1-6 緊急時の復号」を使って、復号してください。その後は、通常通りWindows®の修復や上書きインストールするか、データを退避後にオリジナルのMBRを復元し、システムをリカバリーするなどを行ってください。
まず、オリジナルのMBRを復元「10 オリジナルのMBRを復元する」してWindows®が起動することを確認してください。Windows®が起動するならば、先にお客さまデータの退避を行い、システムのリカバリーをお勧めいたします。リカバリーをせず、そのシステムで引き続き運用する場合は、強制アンインストールを行うことになりますので、サポートセンターまでご連絡ください。
ブート前認証が行えないと、「緊急時の復号」による復号処理ができません。この様な場合は、別のPCにCompuSecをセットアップし、2台目以降の内蔵ハードディスクとして接続し、データの退避や復号などを行ってください。
別のPCにCompuSecを導入する際は、・CompuSec単体版障害PCへCompuSecを導入した際に生成された、SecurityInfo.datファイルからハードディスクの暗号化キーを読み込ませてください。USB接続のハードディスクケースなどを使う場合は、ハードディスクの暗号化キーを一旦読み込み、リムーバブルメディアキー部に同じ数値を手動で書き込んでください。
PART 9緊急時の対応例
65
9-6 ブート前認証画面が表示せず or 認証不可(暗号化済み)
9-3 ブート前認証後、OSが起動せず(暗号化なし)
9-5 ブート前認証画面が表示せず or 認証不可(暗号化なし)
9-4 ブート前認証後、OSが起動せず(暗号化済み)
・ GlobalAdmin管理下障害PCと同じコンピューター名に設定し、インストールしてください。
GlobalAdmin管理下では、ハードディスクの暗号化キーを、リムーバブルメディアキーに設定することができませんので、USB接続のハードディスクケースなどを使ってのディスク参照は不可能です。
なお、ハードディスク上のデータに構わずリカバリーを行って良い場合は、オリジナルのMBRを復元後に、リカバリーを行ってください。
66
CompuSecをアンインストールせずに、システムのリカバリーを行うと、MBR領域まで復元されるかどうかは、PCメーカーや機種などにより異なります。また、バックアップソフトを使って復元させた場合にも同様のことが考えられます。このため、リカバリー後にもCompuSecの認証画面が表示されたり、CompuSecのインストールができない場合があります。これは、CompuSecをインストールする際に保存した、オリジナルのMBRを復元することで回避できます。
PART 10
オリジナルのMBRを復元する
67
注意CompuSecをインストールする際に保存した .mbrファイルは、PCメーカーさまオリジナルのMBRデータとなりますので、CompuSecを再インストールする際は、上書きせず、別途保管しておいてください。
この手順は、原則として緊急避難的に操作していただく内容ですので、お客さまにて操作を間違えた、改変したMBRを組み込んで、PCの動作がおかしくなったなどに対する保証は致しかねますことをご承知ください。
※CompuSec 4.18.6以降のバージョンでは、CompuSec自身がインストール先フォルダー内(C:¥ProgramFiles¥CE-Infosys¥CompuSec)に、compusec_track0_backup.datと言うファイル名で、MBRデータを保存しています。但し、こちらはアンインストール時に削除されます。
重要ハードディスクが暗号化されている状態では、MBRの復元を行わないでください!
CompuSecのインストールCDを挿入すると、インストールランチャーが起動します。このインストールランチャーから、MBRを復元させることができます。ダウンロード版やGlobalAdmin管理のCompuSecのインストールランチャーにも、同じ機能があります。
Windows®が起動している状態で、CompuSecのインストールCDを挿入すると、インストールランチャーが起動します。自動で起動しない場合や、ダウンロード版では、「csinstall(インストールはこちら).exe」を、直接実行してください。
この画面が表示されている状態で、キーボードよりCtrl + 3を入力してください。(Ctrlを押しながら、テンキーではない方の3のキーを押してください)
右上部に「MBRの復元]ボタンが表示されます。3
2
1
68
10-1 インストールランチャーによるMBRの復元
重要但し、Windows®上からMBRを復元させる場合は、必ずCompuSecがアンインストールされた状
態か、システムをリカバリーした後に行ってください。CompuSecはMBRを保護していますので、
Windows®上からでは正常にMBRを復元できません。
[MBRの復元]をクリックし、確認メッセージに対して[はい]をクリックしてください。
CompuSec導入時に保存したMBRファイルを選択し、[開く]をクリックしてください。
MBRの復元に成功すると、次のメッセージが表示されますので、[OK]をクリック後、必ずPCを再起動してください。
再起動後、Windows®が起動するかをご確認ください。
5
4
PART 10オリジナルのMBRを復元する
69
まず、PCを起動できるフロッピーディスクを作成します。Windows® 7 / XP、Windows Vista®)が動作しているPCで、フロッピーディスクをフォーマットしてください。その際「MS-DOSの起動ディスクを作成する」にチェックを入れて、実行してください。
ツールプログラムを、フロッピーディスクへコピーします。CompuSecインストールCD内または、ダウンロードしたものを展開後の、¥tool¥mbr_RWフォルダー内にあるファイルをすべて、作成した起動ディスクへコピーします。
CompuSec導入時に保存した、オリジナルのMBRデータを、mbrfull.mbr と言うファイル名へ変更して、フロッピーディスクへコピーしてください。
このフロッピーディスクで、問題のPCを起動してください。
しばらくすると画面にDOSプロンプト(a:\>)が表示されますので、mbr[Enter]と入力してください。(mbr.batを実行します)a:\> mbr [Enter]([Enter]は、Enterキーです)
5
4
3
2
1
70
10-2 ツールFDによるMBRの復元
画面に、次のようなメッセージが表示されます。
MBRデータを復元しますので、キーボードより「2」を入力してください。
MBRを処理している画面がしばらく続き、再度 項のメッセージが表示されますので、「0」を押して終了します。
フロッピーディスクを取り出し、PCを再起動させ、Windows®が起動することを確認してください。
9
68
7
6
PART 10オリジナルのMBRを復元する
71
作成したフロッピーディスクには、日本語フォントの設定がありませんので、日本語部は文字化けし、正常に表示されません。
実行するオプションを選択してください。(番号入力)0-62までのセクタをバックアップします :10-62までのセクタをリストアします :2終了 :0
Select a option you want to execute.(Enter number)Back up the sectors from 0 - 62 :1Restore the backup sectors :2Exit :0
ハードディスクが暗号化されている場合は、BOOTRECを実行してもWindows®を起動することはできませんので、暗号化されたままBOOTRECを実行しないでください。事前に、ハードディスクの復号処理を済ませておく必要があります。
Windows® 7、Windows Vista®の回復環境で、BOOTRECコマンドを発行すると、CompuSecが書き換えたMBRを、Microsoft®標準のMBRへ書き換えることができます。Windows®は起動するようになりますが、CompuSecで書き換えたMBRは複数セクターに渡るため、後でオリジナルのMBRに復元しておくことを忘れないでください。
PCに添付されているリカバリー用ディスクでは、回復環境を起動できない場合が多いようです。但し、リカバリーディスクのセット内容によっては、OSだけをインストールできるセットアップディスクが含まれている場合がありますので、念のためご確認ください。
基本的には、純粋なOSとしてのセットアップディスクが必要です。Windows® 7、Windows Vista®のセットアップディスクを用意してください。
※DVDドライブから起動するには、BIOSの設定をし直さなければならない場合があります。DVDドライブから起動しない場合は、BIOS設定を確認してください。USB外付けドライブの場合、古いPCまたはドライブでは、起動できない場合があります。
PART 11
Windows® 7、Windows Vista®
の回復環境でMBRを修正する
72
11-1 パッケージ製品のセットアップディスクで起動する
DVDドライブにWindows® 7、Windows Vista®のセットアップディスクを入れ、PCを起動してください。
画面に「Press any key to bootfrom CD...」と表示されますので、何かのキーを押してください。この画面が表示されますので、[次へ]をクリックしてください。
[コンピューターを修復する]をクリックしてください。
3
2
1
PART 11Windows® 7、Windows Vista®の回復環境でMBRを修正する
73
「システム回復オプション」の画面にて[次へ]をクリックしてください。
「回復ツールを選択してください」の画面で、「コマンドプロンプト」をクリックしてください。
コマンド入力用のウィンドウが表示されます。
6
5
4
74
キーボードよりMBRを修復するコマンドとして、bootrec /fixmbr[Enter]と入力してください。([Enter]は、Enterキーです)
「操作は正常に終了しました。」とのメッセージが表示されたら、キーボードより exit[Enter]と入力して、ウィンドウを閉じてください。([Enter]は、Enterキーです)
[再起動]をクリックして 、 Windows Vista®
セットアップディスクを取り出してください。
再起動後に、ブート前認証画面および、シングルサインオン画面が表示されず、Windows®のログオン方式でログオンできるかを確認してください。
9
8
7
PART 11Windows® 7、Windows Vista®の回復環境でMBRを修正する
75
ハードディスクが暗号化されている場合は、FIXMBRを実行してもWindows®を起動することはできませんので、暗号化されたままFIXMBRを実行しないでください。事前に、ハードディスクの復号処理を済ませておく必要があります。
Windows® XPの回復コンソールを起動し、FIXMBRコマンドを発行することで、CompuSecが書き換えたMBRを、Microsoft®標準の物へ書き換えることができます。Windows®は起動するようになりますが、CompuSecで書き換えたMBRは、複数セクターに渡るため、後でオリジナルのMBRに復元しておくことを忘れないでください。
※SATAタイプのハードディスクでは、BIOSでドライバーを切り替えることができない場合があります。その場合は、そのPC用のSATAドライバーを入手して、セットアップディスクで起動させる際にF6キーを押して、別途読み込ませてください。
コンピューターに添付されているリカバリーディスクで、回復コンソールを起動できない物が多いようです。但し、リカバリーディスクのセット内容によっては、OSだけをインストールできるセットアップディスクが含まれている場合がありますので、念のためご確認ください。
基本的には、純粋なOSとしてのセットアップディスクが必要です。Windows® XPのセットアップディスクを用意してください。
※CDドライブから起動するには、BIOSの設定をし直さなければならない場合があります。CDドライブから起動しない場合は、BIOS設定を確認してください。USB外付けドライブの場合、古いPCまたはドライブでは、起動できない場合があります。
PART 12
Windows® XPの回復コンソールでFIXMBRを行う
76
12-1 パッケージ製品のセットアップディスクで起動する
CDドライブにWindows®のセットアップディスクを入れ、PCを起動します。
画面に「Press any key to boot from CD...」と表示されますので、何かのキーを押してください。
「セットアップへようこそ」というメッセージが表示されたら、Repair(修復)の「R」を押します。
キーボードのタイプを入力します。
Microsoft®のWebサイトにて「Windows® XPのインストール用起動ディスクを入手する方法」(http://support.microsoft.com/kb/880422/ja)を参照し、起動ディスクを作成するためのモジュールを入手してください。
ダウンロードしたモジュールを実行すると、別ウィンドウが開き、起動用ディスクを作成するドライブ名を問い合わせてきます。Aなど、該当するフロッピードライブ名を入力してください。以降は、メッセージに従って、6枚の起動用フロッピーを作成します。
作成した起動用フロッピーの1枚目を使ってコンピューターを起動し、セットアップ画面が出るまで、2~6枚目までのフロッピーを差し替えていきます。
「セットアップの開始」という画面が表示されたら、R=修復(画面下に表示)の「R」を押します。
キーボードのタイプを入力します。4
3
2
1
4
3
2
1
PART 12Windows® XPの回復コンソールでFIXMBRを行う
77
12-2 Windows® XPのセットアップ起動FDで起動する
Windows® XPの回復コンソール起動後の操作となります。起動方法にかかわらず、共通の手順となっています。
Windows® 回復コンソールが起動すると、次のメッセージが表示されます。
該当するWindows®の番号を入力してください。(1[Enter])([Enter]は、Enterキーです)
Administratorアカウントのパスワードを入力するように求められますので、入力してください。(パスワードが無い場合は、Enterキーのみ入力)
コマンドプロンプトが表示されます。(c:¥Windows>)
C:¥windows> に対して、FIXMBR[Enter]と、キーボードより入力してください。([Enter]は、Enterキーです)
「新しいMBRを書き込みますか?」との問い合わせに対し、Y[Enter]を入力してください。「新しいブートレコードは正しく書き込まれました。」と表示されたら、終了です。
C:¥windows> に対して、EXIT[Enter]を実行すると、PCが再起動します。([Enter]は、Enterキーです)
ブート前認証画面が表示されずに、Windows®が起動するかを確認してください。8
7
6
5
4
3
2
1
78
12-3 FIXMBRを実行
Microsoft® Windows® XP(TM)回復コンソール。
回復コンソールはシステムの修復と回復機能を提供します。EXITと入力すると、回復コンソールを終了し、コンピュータを再起動します。1:C:¥WINDOWSどのWindows®インストールにログオンしますか?
(取り消すにはEnterキーを押してください)
PART 13
よくある質問と回答
79
ここに挙げられていない事例に関しては、インターネットでCompuSecサポート情報ページ(http://canon-its.jp/supp/cs/)へアクセスしてご確認ください。
Windows® 7/ XP、Windows Vista®に対応しています。CompuSecがインストールされた状態で、サービスパックの適用やMicrosoft® Updateを行うこともできます。なお、本バージョン(5.2)よりWindows® 2000はサポート対象外です。
Windows® XPからWindows® 7などへの、OS自体が異なるようなアップグレードはできません。CompuSecをアンインストールしてから、OSのアップグレードを行ってください。
BitLockerが無効で且つ、CompuSecによるハードディスクの暗号化を行わなければ、共存できます。ハードディスクを暗号化したい場合は、「BitLockerのみ」または「CompuSecのみ」による暗号化
としてください。
両方とも暗号化を実行してしまうと、システムの運用に支障をきたし、場合によっては正常に起動で
きなくなりますので、BitLockerとCompuSecを併用しての暗号化は行わないでください。
CompuSecを導入する前の復元ポイントで、復元しないでください。システムが正常に起動しなく
なります。
CompuSec導入後に作成された復元ポイントについては、ハードディスクの暗号化の有無に関わらず、利用可能です。
CompuSec導入後にWindows® 7 / XPやWindows Vista®の復元ポイント使って、以前
の状態へ復元できますか?Q4
Windows® 7、Windows Vista® UltimateのBitLockerと共存できますか?Q3
CompuSec導入後にOSをアップグレードすることはできますか?Q2
CompuSecが対応しているOSはなんですか?Q1
13-1 システム関連
ハードディスクを暗号化していない状態であれば、特に問題なく実行できます。ハードディスクを暗号化した後では、Windows®上からのみ行うことができます。
OSのCDでブート後の回復コンソールや、ハードディスクを別のPCに接続するなど、外部から
チェックディスクを実行すると、データが破壊されてしまいます。
Windows®が起動せず、修復する必要がある場合は、「8 ブート前サービス機能」の「緊急時の復号」を利用して復号した後、OSの修復やチェックディスクなどを行ってください。
ハードディスクの暗号化の有無に関わらず、OS標準機能のデフラグツールであれば問題なく行えます。但し、市販のデフラグソフトを利用する場合、CompuSecでインストールされた隠しファイルを移動することができず、デフラグが途中で止まってしまう場合があります。
市販のデフラグソフトを利用する場合は、事前に該当ファイルをデフラグの対象外に設定するなどで回避できます。(任意のファイルをデフラグ対象外に設定する機能がある場合に限ります)※Windows®標準搭載のデフラグ機能に関してはこの限りではありません。CompuSecでインストールされる隠しファイルに関しては、製品CD-ROMのルートフォルダーにあるreadme.txtを参照ください。
暗号化されたメディアに対してすべての読み書きを途中で横取りし、書き込み時はデータを暗号化フォーマットへ書き込み、読み出すときはこれを復号します。この時の暗号化/復号の処理そのものは、ユーザーは意識せず、通常通りの操作のまま運用できます。
PCやハードディスクの性能にもよりますが、ノートPCタイプで「作業中に暗号化」を行った場合、約2時間かかります。
40GBのハードディスクを暗号化するのに、どのくらい時間がかかりますか?Q2
CompuSecは、どのような働きをするのですか?Q1
CompuSec導入後にハードディスクのデフラグを行うことはできますか?Q6
CompuSec導入後にハードディスクにチェックディスクを行うことはできますか?Q5
80
13-2 暗号化/復号関連
注意CompuSecでインストールされた隠しファイルを移動してしまうと、CompuSecの認証機能などに障害が出てしまいます。
暗号化手順として「ブート前に暗号化」も選択できますが、所要時間は「作業中に暗号化」に比べて、数倍必要となる上、処理中に電源を落とすことができません。※復号に関しても同様です。
物理的なハードディスク単位、つまりドライブすべてのファイルやフォルダーを含めた、全体を暗号化します。パーティション単位での暗号化はできません。例えるなら、ファイルシステムを暗号化フォーマットに書き換えている、ということになりますので、ファイルその物は暗号化していません。
CompuSec単体版では、ハードディスクやリムーバブルメディアなど、すべてのメディアで、AES256bitのみを使用しています。AES 128bitやExtended DES 112bitは選択できません。GlobalAdmin管理下でのハードディスク暗号化アルゴリズムは、AES 256bitのみです。リムーバブルメディアは、AES 256bit、AES 128bit、Extended DES 112bitでの暗号化を選択できます。
どのアルゴリズムを利用するかは、GlobalAdminで設定するポリシーで決まりますので、クライアントPC側で自由に選ぶことはできません。
まず、「3-3-2 ハードディスク暗号化の管理ボタン」の手順に従って、暗号化設定を「暗号化未処理」に変更し、コンピューターを再起動してください。再度「作業中に暗号化」と設定しても処理が開始されない場合は、CompuSecを再インストールすることをお勧めします。
※Windows®起動後、「作業中に暗号化」が実際に始まるまでは多少時間を要します。相当な時間
待っても開始されない場合にのみ、本手順にて暗号化設定の変更や、CompuSecのアンインス
トールを行ってください。
できません。DataCryptで暗号化したファイルに関しては、CompuSecを導入し且つ、DataCryptの公開鍵を持っているPC(ユーザー)でのみ参照(復号)することができます。
DataCryptで暗号化したファイルを、暗号化ファイルにパスワード設定するなどをして、
CompuSecを導入していないPCで参照させることはできますか?Q6
「作業中に暗号化」が開始されません。どうしたら良いでしょうか?Q5
CompuSecの暗号化アルゴリズムは何ですか?Q4
コンピューターのどの部分を暗号化するのですか?Q3
PART 13よくある質問と回答
81
82
CompuSec単体版での認証ミスは3回までとなっております。このメッセージが表示された場合は、コンピューターの電源を入れ直して、正しいユーザIDとパスワードで認証してください。GlobalAdmin管理下では(標準で)5回までですが、ポリシーにより回数が異なる場合があります。詳細はGlobalAdmin管理者にお問い合わせください。
ユーザID、パスワード入力後に、このメッセージが表示される場合は、ユーザIDが間違っているか、そのコンピューターに割り当てられていないことを意味します。まずは、入力するユーザID名が間違っていないかを確かめてください。ユーザIDは大文字、小文字を区別します。
ユーザID、パスワード入力後に、このメッセージが表示される場合は、パスワードが間違っていることを意味します。パスワードが間違っていないかを確かめてください。パスワードは大文字、小文字を区別します。GlobalAdmin管理下では、パスワード入力ミスが一定の回数を超えると、User IDがロックされ、一時的に使用不能となるポリシーが設定されている場合があります。User IDがロックされた場合は、GlobalAdmin管理者にお問い合わせください。
CompuSecをインストールする際に保存した、「SecurityInfo.dat」ファイルを電子メールに添付して、サポートセンターまで送付してください。折り返しユーザIDについてご連絡いたします。GlobalAdmin管理下の場合は、GlobalAdmin管理者にお問い合わせください。
CompuSec単体版では、パスワードリセットコードを使って、パスワードをリセットしてください。GlobalAdmin管理下では、GlobalAdmin管理者と連絡を取り、パスワードをリセットできます。パスワードのリセット手順については、「8-1-2 パスワードのリセット」を参照してください。
パスワードを忘れました。どうすればよいでしょうか。Q5
ユーザIDを忘れました。どうすればいいでしょうか。Q4
ブート前認証時にID、パスワードを入力しても
「パスワードが違います。やり直して下さい」と表示されます。Q3
ブート前認証時にID、パスワードを入力しても
「このコンピュータへのアクセス権がありません」と表示されます。Q2
「ログオン失敗回数制限につき、システム停止しました」とのメッセージが表示されて、
キー入力を受け付けません。Q1
13-3 CompuSec認証関連
CompuSecをインストールする際に保存した、「SecurityInfo.dat」ファイルを電子メールに添付して、サポートセンターまで送付してください。折り返し、パスワードリセットコードについてご連絡いたします。
USB接続のメモリーやハードディスク・CDドライブおよびSDカードなどが装着されたままの場合は、OSを起動することができません。USB機器やSDカードなどを取り外した状態で、PCを起動し直してください。
「3-3-4 セキュリティファイルのバックアップ」に従って、SecurityInfo.datファイルを再生成してください。他のCompuSecで生成されたSecurityInfo.datファイルはご利用できません。
CompuSec SWダウンロード版では、インストールごとにライセンス番号が、ランダムで変化する仕様となっております。このため、「再インストール後のライセンス番号」では、「取得済みの支払証明コード」と、組み合わせが異なるため、製品登録を行うことができません。(「ライセンス番号」と「支払証明コード」は、対になっております。)
CompuSecを再インストールした場合の、製品登録に関しましては、最初に支払証明コードを取得した際の、電子メールに記載されている「ライセンス番号」と「支払証明コード」を、サポートセンターまでお知らせください。折り返し、再インストールした場合の製品登録手順についてご連絡いたします。
CompuSec SWダウンロード版を再インストールしましたが、登録レスポンスコードを受
け取れません。Q3
CompuSec単体版をアンインストールしたいが、SecurityInfo.datファイルがありません。Q2
ユーザIDとパスワードを入力しても、画面が暗いままでOSが起動しません。Q1
パスワードリセットコードを忘れました。どうすればよいでしょうか。Q6
PART 13よくある質問と回答
83
13-4 その他
最新のFAQにつきましては、弊社ホームページ(http://canon-its.jp/supp/cs/)にて掲載しております。
昨今のコンピューターでは、SDカードスロットを持つ機種が多くなってきました。初期のSDカードスロットでは問題ありませんでしたが、現行機種の多くはドライバーが変わり、次のような現象を確認しています。
(1) 「リムーバブルメディア暗号化」では、ドライブとして認識できませんので、別途カードリーダーなどを介して、暗号化モードを利用してください。※マイコンピューター上に、あらかじめSDカードスロット分がリムーバブルドライブとして見えている物は、暗号化メディアとして利用できます。メディアを挿入して初めてドライブが出現するタイプでは、暗号化メディアとして利用できません。
(2)CompuSec導入後、SDカードスロットにメディアを挿入したままでPCを起動させると、ブート前認証後は画面が暗くなったままで、Windows®が起動できない、または起動動作が異常に遅い場合があります。SDカードスロットより、メディアを取り出した状態でコンピューターを起動するようにしてください。
(3)Windows®が起動中にSDカードを挿入または、取り出した際に、Windows®がブルースクリーンのエラーを出力し、落ちてしまうことがあります。SDカード挿入時と、取り出し時でデスクトップ状態が変化していると発生しやすい傾向にあります。但し、すべてのSDカードでは再現せず、現在は一部のメディアのみで確認されている状況です。なお、カードリーダーなどを介して利用する場合は、問題ありません。
CompuSecを導入直後からOSが起動しない。USB機器や、SDカードの類は接続されておらず、USBに関するBIOS設定を変更しても回避できないなど、PC固有の問題や原因が特定できない場合は、そのPC(環境)ではCompuSecを利用することができない可能性があります。その様な場合は、CompuSecを強制削除して、PCの原状復帰を試みてください。
CompuSecを強制削除する前提として、・CompuSec導入直後で、ハードディスクを暗号化していないこと。・ハードディスクは暗号化されていたが、「緊急時の復号」が済んでいること。
ハードディスクが暗号化された状態(または暗号化/復号中)の場合は、適用できませんので、ご注意84
13-5 SDカードの取り扱いについて
13-6 CompuSecを強制削除する方法について
ください。万が一適用してしまうと、ハードディスクのデータが読めなくなります。
CompuSecを強制削除する手順は、次の通りとなります。
1.オリジナルのMBRを復元します。「10-2 ツールFDによるMBRの復元」にて、オリジナルのMBRを復元してください。FD ドライブ(USB接続も含む)が無い場合は、「12-1 パッケージ製品のセットアップディスクで起動する」を実行し、「12-3 FIXMBRを実行」を行ってください。
2. CompuSecを強制削除します。PCを起動し、CompuSecのインストールCD-ROM内、Installフォルダー下にある、setup.exeを実行してください。(ダウンロード版の場合は、展開したフォルダー内)
[アンインストール]が選択できる場合は、アンインストールを実行してください。(CompuSec Proの場合、e-Identityの初期化もされます。Admin版除く)
[アンインストール]が選択できない場合は、「サービスとアップデート」から[CompuSecドライバの削除]ボタンを選択してください。(この時、CompuSec Pro(単体版)では、e-Identityの初期化は行われませんので、別途サポートセンターにて初期化処理を行う必要があります)
自動的に再起動され、CompuSecの強制削除は完了です。
3. MBRの復元時にFIXMBRを実行していた場合。「10-1 インストールランチャーによるMBR の復元」を実行して、オリジナルのMBRを復元してください。
PART 1CompuSec SWの
85
(1)USB-FDDの仕様について
Windows® 7、Windows Vista®へCompuSec 5.xを導入後、USB接続のフロッピーディスクドライブ(以下、USB-FDD)を、メディアを挿入したまま接続すると、エラーでOSが強制終了してしまう現象を確認しています。
CompuSecの暗号化設定で「作業中に暗号化」や「作業中に復号」を実行中に、メディアが挿入されたUSB-FDDを装着すると、OSが強制終了してしまいますので、その後のOS起動が不可能となります。
また、暗号化処理中に限らず、通常のアプリケーションの運用中にも、この現象により、お客さまのデータが消失することがあり得ますので、USB-FDDをご利用の際は、メディアが挿入されていないことを確認してから接続するようにしてください。
この問題につきましては、現在調査中です。
(2)「コンピューターの修復」機能について
Windows® 7、Windows Vista®がプレインストールされているPCには、エラー修復のツールが、あらかじめ特殊なパーティションにインストールされているものがあります。これらのツールは、Windows®起動時に[F8]キーを押したり、前回異常終了後に表示される、「コンピューターの修復」メニューから起動されます。
CompuSec導入後はこれらのツールは使用しないでください。別パーティションの回復用ツールが、CompuSec用MBRを書き換え、PCが正常に起動しない恐れがあります。
86
13-7 Windows® 7、Windows Vista®環境でのご注意
PART 14
テクニカルサポートについて
87
CompuSecを使用する上で不明な点などがございましたら、弊社サポートセンターまでお問い合わせください。なお、ライセンス製品の場合、サポートセンターの利用には、年間使用契約が必要です。ライセンス製品には、初年度の年間使用権(保守を含む)が付属していますが、2年目以降は別途使用契約が必要です。保守の内容、価格については、弊社ホームページ(http://canon-its.jp/product/cs/price.html)をご覧ください。
キヤノンITソリューションズ株式会社 サポートセンター
CompuSec係 TEL 03-6701-3444
月~金曜日(祝日、弊社休業日を除く)
受付時間 10:00~12:00 13:00~17:00
日時によって混み合っている場合があります。その際は、時間をあらためてお掛け直しいただくか、電子メールでお問い合わせください。
電子メールでお問い合わせいただく際は、下記のアドレス宛てにお問い合わせ内容をお送りください。
キヤノンITソリューションズ株式会社 サポートセンター
CompuSec係
To : [email protected]
件名 : CompuSecのお問い合わせ
多数のお問い合わせをいただいている場合は、到着順に対応するため、返信に多少お時間をいただく場合があります。また、ご質問の内容によっては、弊社や海外の開発元での動作検証が必要になる場合がございます。このような場合にも、返信にお時間をいただく場合がございます。
●電話でのお問い合わせ先
●電子メールでのお問い合わせ
88
FAXでお問い合わせいただく際は、下記の番号宛てにお問い合わせ内容をお送りください。
キヤノンITソリューションズ株式会社 サポートセンター
CompuSec係 FAX 03-6701-3471
●FAXでのお問い合わせ先
●氏名【必須事項】:
●日中連絡先電話番号【必須事項】:
●連絡先電子メールアドレス【必須事項】:
●会社名:
●お客様番号(ライセンスユーザーのみ)【必須事項】:
●製品名・バージョン【必須事項】:
□CompuSec SW バージョン:
□CompuSec SW with GA(GlobalAdmin管理)バージョン:
□GlobalAdmin Lite バージョン:
●購入形態【必須事項】:
□パッケージ製品
□ダウンロード製品
□ライセンス製品(年間使用契約付き)
●ライセンス番号と支払証明コード情報【必須事項】
※GlobalAdmin 管理のCompuSecの場合は不要です。
ライセンス番号( )
支払証明コード( )
●お問い合わせシート
弊社サポートセンターへ電話でお問い合わせいただく際には、事前に以下の情報をお手元にご用意ください。また、電子メール、FAXでのお問い合わせの際には、下記必要事項を明記いただきますようお願いいたします。
●適用機能
「CompuSecサービス」-「CompuSecコンポーネントのインストール/削除」にて確認できます。
□ブート前認証
□ハードディスク暗号化
□シングルサインオン
□SafeLan
□DataCrypt
□DriveCrypt
□CD/DVD暗号化
●ご質問/トラブル内容【必須事項】:
質問内容はできる限り詳しく記載してください。トラブルの場合は、操作手順、現象、表示される
メッセージやモジュール名などの詳細を記入してください。
●再現性:
□必ず再現する
□ときどき再現する
□再現しない
●その他:
トラブル発生後に操作したこと、他の製品やハードウェアに関して過去にあったトラブル
お気づきの点などを記入してください。
PART 14テクニカルサポートについて
89
●パソコン情報
メーカー名:
型番:
●ご利用のOS
CompuSec SWを利用しているOS
□Windows XP ( エディション) Service Pack( )
□Windows Vista ( エディション) Service Pack( )
□Windows 7 ( エディション) Service Pack( )( bit)
GlobalAdmin Liteを利用しているOS
□Windows XP ( エディション) Service Pack( )
□Windows Server 2003 R2 ( エディション) Service Pack( )
□Windows Server 2008 ( エディション) Service Pack( )
●ハードディスクの暗号化状態
※CompuSecをインストールしただけではハードディスクは暗号化されません。
□暗号化済み
□暗号化していない
●USB機器の有無
ご利用中の機器情報について記載してください。(例:USBフラッシュメモリー)
□有( )
□無
●その他の認証機器の有無
ご利用中のPCで指紋認証機器や認証用のカードを利用している場合は、機器情報を記載してくだ
さい。
□有( )
□無
2011/11/1190