セキュリティー機能（TPM）設定ガイドjpe-aws-s3-004.s3-website-ap-northeast-1.amazonaws.com/...C77386515...

C77386515 10.01(SO)

©エプソンダイレクト株式会社

セキュリティー機能（TPM）設定ガイド

本書では、セキュリティーチップ（以降、TPM）のセキュリティー機能の設定方法に

ついて説明します。

TPMのセキュリティー機能は管理者向けです。内容を十分に理解し、お客様の責任に

おいて使用してください。読み終わったあとは、いつでも取り出せる場所に保管して

ください。

Windows XP（ダウングレードモデル）

2

マニュアル中の表記について本書では次のような記号を使用しています。

一般情報に関する記号

名称の表記本書では、コンピューターで使用する製品の名称を次のように略して表記します。

オペレーティングシステムに関する記述本書では、オペレーティングシステムの名称を次のように略して表記します。

制限事項です。機能または操作上の制限事項を記載しています。

参考事項です。覚えておくと便利なことを記載しています。

『　　』

本書とは別のマニュアルを示します。例）『ユーザーズマニュアル』：コンピューターの『ユーザーズ

マニュアル』を示します。

参照ページを示します。

操作手順です。ある目的の作業を行うために、番号に従って操作します。

HDD ハードディスクドライブ

Windows XP Microsoft® Windows® XP ProfessionalMicrosoft® Windows® XP Professional x64 Edition

1 2

TPM_H2_15.fm 2 ページ２００９年１２月１７日　木曜日　午前１０時２０分

3

目次

マニュアル中の表記について ....................................................................................................... 2

TPMの概要 ................................................................................................................................................. 4

TPMとは ........................................................................................................................................ 4

TPMのセキュリティー機能 ......................................................................................................... 5

使用時の注意 .............................................................................................................................................. 6

使い始めるまでの準備 ............................................................................................................................... 7

作業の流れ ...................................................................................................................................... 7

BIOSの設定 .................................................................................................................................... 8

セキュリティーチップユーティリティーのインストール ......................................................... 8

Security Platformのセットアップ ........................................................................................... 10

セットアップ終了後の作業 ........................................................................................................... 15

Security Platform設定ツールの操作 .................................................................................................... 17

Security Platform設定ツールを使う ........................................................................................ 17

Windowsを再インストールする場合は ................................................................................................. 21

Windowsを再インストールする前に ......................................................................................... 21

Windowsの再インストール後の作業 ......................................................................................... 21

Security Platformの設定を復元する .................................................................................................... 22

緊急時復元を実行する前に ........................................................................................................... 22

緊急時復元方法 .............................................................................................................................. 23

こんなときは .............................................................................................................................................. 24

付録 .............................................................................................................................................................. 25

TPM_15.book 3 ページ２００９年１２月１５日　火曜日　午前９時１２分

4

TPMの概要本機のマザーボード上には、TCG（Trusted Computing Group）の仕様に準拠したセキュリティーチップ（TPM：Trusted Platform Module）が搭載されています。TPMは管理者向けのセキュリティー機能です。

TPMとは

TPMとは、コンピューターのセキュリティーを保護する機能を持ったマザーボード上のチップです。TPMはOSやほかのハードウェアから独立して機能するため、ファイルの暗号化を行う場合、従来はHDD内に格納していた暗号鍵をTPM内に格納します。HDDが盗難にあったり、なりすましで不正コピーされたりしても、解読の暗号鍵がないためTPMを使用した暗号化データは読み取ることができません。このため、TPMを使用したファイルの暗号化では、より安全にデータを保護できます。

＜TPM未搭載PC（従来）の場合＞

＜TPM搭載PCの場合＞

暗号鍵暗号データ

暗号データ暗号鍵

セキュリティーチップ（TPM）


5

TPMのセキュリティー機能

次の機能でTPMのセキュリティー機能を利用すると、TPMの暗号鍵を利用してファイル認証を行うため、より高いセキュリティーを確保することができます。

TPMのセキュリティー機能を利用するには、セキュリティーチップユーティリティー「Security Platform」のインストールが必要です。

電子メールの保護WindowsメールやOutlook Expressなどの電子メールソフトでメールを送受信する際、第三者に内容を見られないようにメールを暗号化したり、デジタル証明

書による署名を添付したりするなどしてなりすましを防止することができま

す。

※この機能を利用するには、第三者認証機関からデジタル証明書を取得する必

要があります。

暗号化ファイルシステム（EFS）によるファイルとフォルダーの暗号化Windows標準のEFSをTPMと組み合わせて利用すると、ファイルやフォルダーを暗号化して保護することができます。暗号化されたファイルやフォルダーを

利用するには、パスワード入力に加え、暗号化されたときと同一のハードウェ

ア環境が必要です。このため、データの改ざんや情報の漏洩などを防止できま

す。

Personal Secure Drive（PSD）によるファイルとフォルダーの暗号化PSDとは、高度な暗号化技術によって保護された仮想ドライブです。第三者のユーザーアカウントでWindowsにログインした場合、仮想ドライブのファイルやフォルダーは表示されません。


6

使用時の注意TPMを使用する際には、次のような注意事項があります。TPMを使用する前に、必ず確認してください。

TPM使用上の注意TPMのセキュリティー機能は、データやハードウェアの保護を保障するものではありません。TPMの使用によって障害や損害が発生した場合、当社では責任を負いかねますので、あらかじめご了承ください。お客様自身の判断と責任に

おいて、TPMをご使用ください。また、TPMに関する操作は慎重に行ってください。

万一、パスワードを忘れたり、セキュリティー機能の設定の復元用データを紛

失するなどして、暗号化されたデータを利用できなくなった場合、当社では、

データの暗号化を解除することはできません。

パスワードに関する注意TPMのセキュリティー機能を使用するために、いくつかのパスワードを設定します。設定したパスワードは、紙などに記入し安全な場所に保管するなどして、

絶対に忘れないようにしてください。

セキュリティー機能の設定復元時の注意Windowsの再インストール後、TPMのセキュリティー機能の設定を復元する場合は、バックアップアーカイブや復元用トークンが必要です。これらは、

「Security Platform」の初期設定で作成します。作成したバックアップアーカイブや復元用トークンは、USB外部記憶装置などの外部メディアに保存して、安全な場所に保管しておいてください。

パスワードを忘れた場合には、いかなる方法を用いても TPM のセキュリティー機能の設定を復元することはできません。

バックアップアーカイブや復元用トークンがないと、いかなる方法を用いてもTPM のセキュリティー機能の設定を復元することはできません。


7

使い始めるまでの準備TPMを使用できるようになるまでの作業について説明します。TPMを使用する場合は、次の作業を行ってください。

作業の流れ

TPMを使用できるようになるまでの作業の流れは、次のとおりです。

ここで設定するパスワードとファイルの一覧は、 p.25 「付録」をご覧ください。

＜作業の流れ＞＜設定するパスワード＞＜設定するファイル＞

BIOSの設定 p.8 BIOS Supervisor Password －

「BIOS Setupユーティリティー」で、TPMを有効に設定します。

セキュリティーチップユーティリティーのインストール p.8

－－

セキュリティーチップユーティリティー「Security Platform」をインストールします。

Security Platformの初期設定p.10

・所有者パスワード・復元用トークンのパスワード

・パスワードリセット用のパスワード

・バックアップアーカイブ・復元用トークン・パスワードリセットトークン

コンピューターの所有者パスワードを設定したり、

Security Platformの設定を復元できるようにするためのバックアップを作成したりします。

Security Platformの基本ユーザーの設定p.12

基本ユーザーのパスワード個人シークレット

TPMを使用する基本ユーザーのパスワードやセキュリティー機能の設定を行います。

セットアップ終了後の作業 p.15 －－

機能ごとに必要な設定を行います。

TPM_15.fm 7 ページ２００９年１２月２１日　月曜日　午前９時４０分

8

使い始めるまでの準備

BIOSの設定

最初に、BIOSの設定を行います。

機能を有効にする購入時、TPMは無効に設定されています。「BIOS Setupユーティリティー」で、TPMを有効に設定します。

『ユーザーズマニュアル』－「セキュリティーチップ（TPM）によるデータの暗号化」

管理者パスワードを設定するBIOSの設定内容を第三者に変更されないように、BIOSに管理者パスワード（Supervisor Password）を設定し、User Access Levelを制限することをおすすめします。

『ユーザーズマニュアル』－「パスワードを設定する」

セキュリティーチップユーティリティーのインストール

セキュリティーチップユーティリティーのインストールを行います。

セキュリティーチップユーティリティーの収録場所によって、インストール画

面の表示方法が異なります。

アプリケーションCD とドライバーCD が：アプリケーションCDから表示添付されている場合ドライバーCD/DVDのみが添付されている：ドライバーCD/DVDから表示場合ドライバーCD/DVDが添付されていない場合：リカバリーツールから表示

セキュリティーチップユーティリティー「Security Platform」のインストール手順は、次のとおりです。

1 インストールを開始します。＜アプリケーションCDまたはドライバーCD/DVDから表示＞

(1) アプリケーションCDまたはドライバーCD/DVDを光ディスクドライブにセットします。正しくセットされると、自動的に「アプリケーション（ドライバー・ソ

フトウェア）のインストール」画面が表示されます。

画面が表示されない場合は、［スタート］－「マイコンピュータ」－

「EPSON_CD（DVD）」をダブルクリックします。

(2)「アプリケーション（ドライバー・ソフトウェア）のインストール」画面が表示されたら「セキュリティーチップユーティリティー」をクリックします。


9

＜リカバリーツールから表示＞

(1) デスクトップ上の「リカバリーツール」アイコンをダブルクリックします。(2)「リカバリーツール」画面が表示されたら、［インストール］をクリックし

ます。(3) 本体ドライバーやソフトウェアの一覧が表示されたら、一覧から「アプリ

ケーションCD」を選択して［インストール］をクリックします。(4)「アプリケーションのインストール」画面が表示されたら、一覧から「セキュ

リティーチップユーティリティー」をクリックします。

2 「Infineon TPM Professional Package - InstallShield Wizard」画面が表示されたら、［次へ］をクリックします。

3 「使用許諾契約」と表示されたら、内容をよくお読みになり、「使用許諾契約の条項に同意します」を選択し、［次へ］をクリックします。

4 「ユーザ情報」と表示されたら、「ユーザ名」と「所属」を入力して［次へ］をクリックします。コンピューターを個人でお使いの場合には、「所属」は入力しなくてもかま

いません。

5 「セットアップタイプ」と表示されたら、「すべて」が選択されていることを確認し、［次へ］をクリックします。

6 「プログラムをインストールする準備ができました」と表示されたら、［インストール］をクリックします。

7 「The Windows Installer service cannot update・・・」と表示された場合は、［OK］をクリックします。インストールが開始されます。インストールには、約3～4分かかります。

8 「InstallShield ウィザードを完了しました」と表示されたら、［完了］をクリックします。

9 「Readme」が表示されたら、内容をよくお読みになり、読み終えたら画面右上のをクリックして画面を閉じます。

10 「Infineon TPM Professional Packageに対する・・・」と表示されたら、［はい］をクリックします。コンピューターが自動的に再起動します。

ドライバー CD/DVDからインストールを行った場合、再起動時に「KernelLoading...」画面が表示されます。そのまま10秒程待つとWindowsが起動するので、起動後にドライバー CD/DVDを取り出してください。

これで、セキュリティーチップユーティリティー「Security Platform」のインストールは完了です。


10


Security Platformのセットアップ

「Security Platform」をセットアップして、次の設定を行います。

Security Platformの初期設定Security Platformの基本ユーザーの設定

セットアップする項目の詳細については、ヘルプを参照してください。ヘルプ

は各画面で［ヘルプ］をクリックすると表示されます。

Security Platformの初期設定ここでは、次の設定を行います。

コンピューターの所有者パスワードバックアップの設定バックアップを復元するための復元用トークンとそのパスワード

途中で、USB外部記憶装置などの外部メディアが必要になるため、あらかじめ準備をしておいてください。

1 通知領域（タスクトレイ）の「Security Platform」アイコンを右クリックし、表示されたメニューから「Security Platformの初期化」をクリックします。

2 「Infineon Security Platform初期化ウィザード」画面が表示されたら、［次へ］をクリックします。

3 「初期化」と表示されたら、「Security Platformの初期化」にチェックが付いていることを確認して［次へ］をクリックします。

Security Platform のセットアップで設定するパスワードやファイルは、Security Platform の設定を復元する際に必要になります。パスワードを忘れたり、ファイルを紛失したりしないようにしてください。これらの情報がないと、設定を復元することができません。

＜Security Platformアイコン＞

TPM_15.fm 10 ページ２００９年１２月１７日　木曜日　午前１０時２０分

11

4 「Security Platform所有者を作成します。」と表示されたら、「パスワード」と「パスワードの確認入力」に、所有者のパスワードを入力して、［次へ］をクリックします。所有者パスワードは、コンピューターの所有者を認証するものです。緊急

時に設定を復元する際に使用します。パスワードは絶対に忘れないでください。

5 「機能」と表示されたら、［次へ］をクリックします。

6 「自動バックアップ」と表示されたら、Security Platform設定のバックアップアーカイブを保存する場所と、自動バックアップのスケジュールを指定して［次へ］をクリックします。［参照］をクリックして、デフォルトのファイル名「SPSystemBackup.xml」を指定し［保存］をクリックします。

バックアップアーカイブには、Security Platformの設定や証明書の情報などが保存され、設定を復元する際に使用します。

7 「緊急時復元」と表示されたら、次の設定をして［次へ］をクリックします。復元用トークンは、緊急時に設定を復元する際に使用します。

(1)「新しい復元用トークンを作成する」にチェックが付いていることを確認します。

(2)「ファイルの場所」に復元トークンの保存先を指定します。［参照］をクリックして、デフォルトのファイル名「SPEmRecToken.xml」を指定し［保存］をクリックします。

HDDが破損した場合に備えて、USB外部記憶装置などを指定することをおすすめします。また、復元トークンを保存したメディアは紛失したり、

盗難にあったりしないように、安全な場所に保管してください。

(3)「パスワード」と「パスワードの確認入力」に、復元トークン用のパスワードを入力します。

「復元用トークンのパスワード」は、復元用トークンを使用する際に必

要になります。パスワードは絶対に忘れないでください。

8 「パスワードリセット」と表示されたら、次の設定をして［次へ］をクリックします。パスワードリセットトークンは、基本ユーザーパスワードを忘れてしまった

場合に、基本ユーザーのパスワードをリセットするために使用します。

(1)「新しいトークンを作成する」にチェックが付いていることを確認します。(2)「ファイルの場所」にパスワードリセットトークンの保存先を指定します。

［参照］をクリックして、デフォルトのファイル名「SPPwdResetToken.xml」を指定し［保存］をクリックします。パスワードリセットトークンは、HDDが破損した場合に備えて、USB外部記憶装置などを指定することをおすすめします。また、パスワードリ

セットトークンを保存したメディアは紛失したり、盗難にあったりしな

いように、安全な場所に保管してください。


12


(3)「パスワード」と「パスワードの確認入力」に、パスワードリセットトークンのパスワードを入力します。

「パスワードリセットトークンのパスワード」は、パスワードリセット

トークンを使用する際に必要になります。パスワードは絶対に忘れないでください。

9 「サマリー」と表示されたら、画面の内容を確認して［次へ］をクリックします。

10 「ウィザードが正常に終了しました。」と表示されたら、「Security Platformユーザー初期化ウィザードを起動する」にチェックを付けて［完了］をクリックします。「自動バックアップを今すぐ起動」のチェックは取ってください。

ここで実行した自動バックアップでは、すべてのSecurity Platformの設定をバックアップできません。次項「Security Platformの基本ユーザーの設定」が終了してから、初回の自動バックアップを実行してください。

これで、「Security Platformの初期設定」は完了です。

続いて、「Security Platformの基本ユーザーの設定」を行います。

Security Platformの基本ユーザーの設定ここでは、次の設定を行います。

基本ユーザーのパスワードSecurity Platformの機能• 電子メールの保護

• 暗号化ファイルシステム（EFS）によるファイルとフォルダーの暗号化

• Personal Secure Drive（PSD）によるファイルとフォルダーの暗号化

基本ユーザーの設定手順は、次のとおりです。

1 「Infineon Security Platformユーザー初期化ウィザード」画面が表示されたら、［次へ］をクリックします。

2 「基本ユーザーパスワード」と表示されたら、「パスワード」と「パスワードの確認入力」に基本ユーザーのパスワードを入力して、［次へ］をクリックします。このパスワードは、TPMの機能を利用する基本ユーザーを認証するためのものです。暗号化したデータにアクセスする際に使用します。パスワードは絶対に忘れないでください。


13

3 「基本ユーザーパスワードリセット」と表示されたら、「緊急時の基本ユーザーパスワードのリセットを有効にする」にチェックが付いていることを確認し、個人シークレットを保存する場所を指定して［次へ］をクリックします。［参照］をクリックして、デフォルトのファイル名「SPPwdResetSecret.xml」を指定し［保存］をクリックします。

個人シークレットは、基本ユーザーのパスワードをリセットする際に必要で

す。個人シークレットファイルは、安全な場所に保管してください。

4 「パスワードと認証」と表示されたら、画面の内容を確認して［次へ］をクリックします。

5 「Security Platformの機能」と表示されたら、セキュリティーを設定したい機能にチェックを付けて、［次へ］をクリックします。各機能の詳細は、 p.5 「TPMのセキュリティー機能」を参照してください。

これらの設定は、あとから追加したり変更したりすることができます。

p.17 「Security Platform設定ツールの操作」

以降の手順は、選択した機能により異なります。

6 手順 5で「電子メールの保護」を選択した場合には、「Security Platformの機能」の下に「電子メールの保護の設定をしてください。」と表示されます。画面の内容をよく読んでから、［次へ］をクリックします。

7 「Security Platformの機能」の下に「暗号化証明書」と表示された場合は、次の手順で証明書を選択します。(1)［選択］をクリックします。(2)「選択した目的の証明書を表示します」と表示されたら、証明書リストから

使用する証明書を選択して［選択］をクリックします。証明書リストに証明書が表示されていない場合は、［作成］をクリック

して自己署名付き証明書を作成してから選択します。外部の認証機関の

証明書をインポートして選択することもできます。

(3)「暗号化証明書」と表示されたら、［次へ］をクリックします。

8 手順5で「Personal Secure Drive（PSD）によるファイルとフォルダーの暗号化」を選択した場合には、「・・・Personal Secure Driveを設定してください。」と表示されます。次の設定を行ってください。(1)「Personal Secure Driveに割り当てるドライブ文字」に任意のドライブレ

ター、「Personal Secure Driveのドライブラベル」にドライブ名を入力して、［次へ］をクリックします。ドライブレターは、ドライブの識別記号になります。


14


(2)「Personal Secure Driveの容量を…」と表示されたら、次の項目を設定して［次へ］をクリックします。PSDの容量PSDに割り当てる容量を指定します。「システムの復元」機能を利用するには、最低でも200MB以上を割り当ててください。Personal Secure Driveが保存される既存のドライブPSDを保存する内蔵ドライブを指定します。ドライブ内には、上記で指定したPSDの容量以上の空き容量が必要です。

9 「Security Platformの機能」の下に「設定を確認してください。」と表示されたら、画面の内容を確認して［次へ］をクリックします。

10 PSD 機能を選択して「Infineon･･･ユーザー認証」画面が表示された場合は、基本ユーザーパスワードを入力して［OK］をクリックしてください。PSDの設定が行われます。

11 「ウィザードが正常に終了しました。」と表示されたら、［完了］をクリックします。

12 ［スタート］－「終了オプション」－［再起動］をクリックします。Windowsが再起動したら、セットアップは完了です。

続いて、選択した機能ごとに必要な設定を行ってください。

p.15 「セットアップ終了後の作業」

基本ユーザーを追加で設定するWindowsを複数のユーザーアカウントで使用している場合には、ユーザーアカウントごとに、基本ユーザーの設定が必要です。設定を行うユーザーアカウン

トでWindows にログオンしてから、通知領域（タスクトレイ）の「SecurityPlatform」アイコンを右クリックし、表示されたメニューから「Security Platformのユーザーの初期化」を選択してください。

p.12 「Security Platformの基本ユーザーの設定」


15

セットアップ終了後の作業

「Security Platform」のセットアップが終了したら、選択したセキュリティー機能によって次の作業を行います。

電子メールの保護：電子メールソフトの設定EFS 機能によるファイルとフォルダーの暗号化：EFS によるファイルとフォルダーの暗号化Personal Secure Drive（PSD）によるファイルとフォルダーの暗号化：PSDのロード

各機能の詳細は、「Security Platform」のヘルプをご覧ください。ヘルプを表示するには「Security Platform」アイコンを右クリックし、表示されたメニューから「ヘルプ」を選択します。

電子メールソフトの設定「電子メールの保護」機能を選択した場合は、電子メールソフト側の設定が必

要です。

第三者認証機関よりデジタル証明書を取得し、指定された手順でインストール

を行ってから、電子メールソフト側でメール保護に関する設定を行ってくださ

い。設定の詳細や電子メールを暗号化して送受信する方法は、「SecurityPlatform」のヘルプをご覧ください。

EFSによるファイルとフォルダーの暗号化「暗号化ファイルシステム（EFS）によるファイルとフォルダーの暗号化」機能を選択した場合には、Windows標準のEFSによる暗号化を、TPMの機能でより強化します。

WindowsのEFSを使用してファイルやフォルダーを暗号化する手順は、次のとおりです。

1 マイコンピュータやエクスプローラで暗号化したいファイルやフォルダーを選択します。

2 右クリックして表示されたメニューから「プロパティ」をクリックします。

EFS でファイルやフォルダーを暗号化するときは、暗号化するファイルやフォルダーを新規に作成してください。「C:￥Documents and Settings」フォルダーなど、既存のファイルやフォルダーを暗号化するとアプリケーションが正常に動作しなくなる可能性があります。EFS を利用して、ネットワークドライブ上のファイルやフォルダーを暗号化することはできません。


16


3 「（ファイルまたはフォルダー名の）プロパティ」画面が表示されたら、「全般」タブの［詳細設定］をクリックします。

4 「属性の詳細」画面が表示されたら、「内容を暗号化してデータをセキュリティーで保護する」にチェックを付けて［OK］をクリックします。

5 「（ファイルまたはフォルダー名の）プロパティ」画面で、［OK］をクリックします。

6 「属性変更の確認」画面が表示された場合には、暗号化を適用する範囲を選択して［OK］をクリックします。

暗号化されたファイルやフォルダーを利用する際は、基本ユーザーのパスワー

ドの入力が必要です。

WindowsのEFSによる暗号化の詳細は、Windowsのヘルプを参照してください。

PSDのロード「Personal Secure Drive（PSD）によるファイルとフォルダーの暗号化」機能を選択した場合、WindowsでPSDを利用できるようにPSDをロードする（読み込む）必要があります。WindowsでPSDをロードする方法は、次のとおりです。

1 「Security Platform」アイコンを右クリックして、表示されたメニューから「Personal Secure Drive」－「ロードする」をクリックします。

2 「Infineon･･･ユーザー認証」画面が表示されたら、基本ユーザーパスワードを入力して［OK］をクリックします。PSDが読み込まれて、ドライブが選択された状態でエクスプローラが起動します。

いったんPSDをロードすると、以降は通常のドライブと同様にマイコンピュータやエクスプローラからPSDを利用できます。

Windows起動時にPSDを自動的にロードするWindows 起動時に、自動的にPSD をロードすることができます。「SecurityPlatform」アイコンを右クリックして、表示されたメニューから「Personal SecureDrive」－「ログオン時にロードする」をクリックします。これで、次回Windowsを起動時から、PSDが自動的にロードされるようになります。


17

Security Platform設定ツールの操作Security Platformの設定内容を確認したり変更したりする方法について説明します。

設定内容の確認や変更は、「Security Platform設定ツール」で行います。

Security Platform設定ツールを使う

Security Platform設定ツールは、Security Platformの所有者ユーザーと標準ユーザーで確認・変更できる項目が異なります。各ユーザーが確認・変更できる項

目は、次の2つがあります。管理タスクSecurity Platformの所有者ユーザーが確認・変更できます。管理タスクの項目を確認・変更する場合は、「コンピュータの管理者」権限を持つユーザーア

カウントでSecurity Platform設定ツールを実行してください。確認・変更できる項目は次のとおりです。

• システムバックアップ

• すべてのユーザーに対するパスワードリセットトークンの作成など

ユーザータスク現在の基本ユーザー（標準ユーザー）が確認・変更できます。所有者ユー

ザーも確認・変更が可能です。確認・変更できる項目は次のとおりです。

• 手動バックアップ

• 現在のユーザーに対するパスワードリセットの有効/無効など

Security Platform設定ツールの起動Security Platform設定ツールの起動方法は、次のとおりです。

1 管理タスクの項目を設定・変更する場合は、「コンピュータの管理者」権限を持つユーザーアカウントでWindowsにログオンします。


18

Security Platform設定ツールの操作

2 通知領域（タスクトレイ）の「Security Platform」アイコンを右クリックし、表示されたメニューから「Security Platformを管理する」を選択します。次の画面が表示されます。ユーザータスクで実行した場合、管理タスクの項

目は、確認・変更できません。

「全般」タブでは、現在の設定内容が確認できます。

「Security Platform設定ツール」の詳細はヘルプもあわせて参照してください。ヘルプは各画面で［ヘルプ］をクリックすると表示されます。

セキュリティー機能を追加・変更する（「ユーザー設定」タブ）

「ユーザー設定」タブでは、基本ユーザーのパスワードを変更したり、基本ユー

ザーごとに設定しているセキュリティー機能を、追加・変更したりすることが

できます。

セキュリティー機能を追加・変更するには、「Security Platformの機能」の［設定］をクリックし、「Security Platformユーザー初期化ウィザード」を実行します。

p.12 「Security Platformの基本ユーザーの設定」手順5以降

Security Platformデータをバックアップする（「バックアップ」タブ）「バックアップ」タブでは、システムバックアップで自動バックアップの設定を

変更したり、手動でバックアップを作成したりすることができます。また、バッ

クアップした設定を復元することもできます。

Security Platform のバックアップでは、電子メールソフトのデータや EFS によって暗号化したファイルやフォルダーはバックアップできません。

＜Security Platform設定ツール画面（イメージ）＞


19

システムバックアップ（管理タスク）

システムバックアップでは、Security Platformの設定をシステムバックアップアーカイブに保存したり、バックアップから設定を復元したりできます。

システムバックアップアーカイブは、セキュリティーチップの情報を誤って初

期化してしまったり、Windowsを再インストールした場合などに、SecurityPlatformの設定を復元するために必要です。システムバックアップアーカイブの保存先をCドライブに指定している場合は、Windowsの再インストールを行う前にCドライブ以外にコピーしておいてください。また、万一に備えて、システムバックアップアーカイブは、定期的に

外部メディアにバックアップすることをおすすめします。

手動バックアップ（ユーザータスク）

手動バックアップでは、各基本ユーザーの設定をバックアップしたり、バック

アップから設定を復元したりできます。自動バックアップではサポートしてい

ないPSDデータのバックアップも作成できます。PSDを利用している場合には、必要に応じて、手動バックアップを行ってください。バックアップするユー

ザーアカウントでWindowsにログオンしてから、バックアップを実行してください。

手動バックアップで作成したバックアップアーカイブについて緊急時復元の際には、システムバックアップで作成したシステムバックアップ

アーカイブがあれば、すべての基本ユーザーの設定を復元できます。手動バッ

クアップで作成したユーザーバックアップアーカイブは、特定の基本ユーザー

の設定だけを復元したい場合に使用します。

PSD のイメージデータのバックアップは、PSD を読み込んでいない（アンロードしている）状態で行ってください。


20

Security Platform設定ツールの操作

基本ユーザーのパスワードをリセットする（「パスワードリセット」タブ）「パスワードリセット」タブでは、基本ユーザーのパスワードを忘れてしまっ

たときに、パスワードをリセットして再設定することができます。

パスワードのリセットには、次の情報が必要です。

パスワードリセットトークンファイルパスワードリセットのパスワード個人シークレットファイル

特定ユーザーのパスワードをリセットするには、「パスワードリセット」タブ

の［準備］をクリックします（管理タスク）。現在の基本ユーザーのパスワー

ドをリセットするには、［リセット］をクリックします（ユーザータスク）。

「Security Platformパスワードリセットウィザード」が起動したら、以降は画面の指示に従って、操作を行ってください。


21

Windowsを再インストールする場合はWindowsを再インストールする前の確認事項や、再インストール後の設定について説明します。

Windowsを再インストールする前に

Windowsを再インストールすると、Security Platformの再設定が必要になります。あらかじめ次のデータをバックアップしておいてください。

Security Platformの設定とPSDのデータのバックアップSecurity Platformの設定とPSDデータをバックアップします。Windowsを再インストール後にこれらのデータを利用できるように、CD-Rなどのメディアにバックアップしておいてください。

p.18 「Security Platformデータをバックアップする（「バックアップ」タブ）」

Security Platformで保護しているデータのバックアップ次を参照して、メールデータなどをCD-Rなどのメディアにバックアップしてください。

デスクトップ上の「インフォメーションメニュー」－「PCお役立ち情報」－「安全に安心して使おう！」項目の「バックアップ」

暗号化メールのデジタル証明書のバックアップについては、証明書の発行元

にご確認ください。

EFSで暗号化しているデータは、暗号化を解除してからバックアップしてください。詳細については、Windowsのヘルプを参照してください。

Windowsの再インストール後の作業

Windowsの再インストールを行ったら、「セキュリティーチップユーティリティー」を再インストールしてから、Security Platformの設定とPSDのデータを復元します。

p.8 「セキュリティーチップユーティリティーのインストール」p.22 「Security Platformの設定を復元する」

Security Platformの設定を復元後、バックアップしたメールデータなどを、次を参照して復元します。

デスクトップ上の「インフォメーションメニュー」－「PCお役立ち情報」－「安全に安心して使おう！」項目の「バックアップ」

TPM_15.fm 21 ページ２００９年１２月１５日　火曜日　午前９時１８分

22

Security Platformの設定を復元するSecurity Platformの設定を復元する方法について説明します。HDD内の暗号化に関する情報が破損してしまったり、Windowsを再インストールした場合やセキュリティーチップを初期化した場合などは、「緊急時復元」で

設定を復元します。

緊急時復元を実行する前に

緊急時復元では、パスワードやファイルが必要になります。あらかじめ準備を

しておいてください。使用するパスワードやファイルは、お使いの環境や復元

する設定により異なります。

p.25 「付録」

緊急時復元で必要なパスワードやファイルは次のとおりです。

必要なパスワード

• 所有者のパスワード

• 復元用トークンのパスワード

• 基本ユーザーのパスワード

必要なファイル

• システムバックアップアーカイブファイル（自動バックアップで作成）

• 復元用トークンファイル

• PSDバックアップアーカイブファイル（PSD使用時のみ）

コンピューターや HDD など、ハードウェアそのものに不具合があった場合には、緊急時復元では設定を復元できません。『サポート・サービスのご案内』（別冊）をご覧になり、テクニカルセンターまでご連絡ください。HDD に不具合があって暗号化メールデータやEFS で暗号化したデータが破損した場合、緊急時復元を行ってもデータは復元されません。PSDデータが破損した場合には、PSDバックアップアーカイブを作成していれば、データを復元できます。ただし、PSDバックアップアーカイブ作成後に変更したデータについては反映されません。

緊急時復元で使用するパスワードを忘れてしまったり、ファイルを紛失してしまった場合には、設定の復元ができません。また、暗号化されたデータも利用できなくなります。


23

緊急時復元方法

復元する設定手順は、次の場合でそれぞれ異なります。

HDD内の設定を復元するWindowsを再インストールした場合や、HDDに不具合が発生して証明書や暗号鍵などが消失してしまった場合などには、HDD内のSecurity Platformに関する設定を復元します。

セキュリティーチップ内の情報を復元する誤ってセキュリティーチップ内の情報を初期化してしまった場合などは、セ

キュリティーチップの情報を復元します。

緊急時復元の手順は、次のとおりです。

1 Windowsを再インストールした場合には、次の設定を行います。(1) 基本ユーザーを複数設定していた場合には、あらかじめ設定を復元する

Windowsのユーザーアカウントをすべて作成します。(2) セキュリティーチップユーティリティーを再インストールします。

p.8 「セキュリティーチップユーティリティーのインストール」

2 バックアップアーカイブを外部メディアに保存している場合には、HDD にコピーします。

3 通知領域（タスクトレイ）の「Security Platform」アイコンを右クリックし、表示されたメニューから「Security Platformを復元する」を選択します。復元方法については、ヘルプを参照してください。ヘルプを表示するには、

通知領域（タスクトレイ）の「Security Platform」アイコンを右クリックし、表示されたメニューから「Security Platformの復元方法」をクリックします。また、各画面の［ヘルプ］をクリックして表示されるヘルプもあわせて参照

してください。


24

こんなときはTPMに関して困ったときの確認事項と対処方法を説明します。

現象

セキュリティーチップの情報を初期化して、購入時の状態に戻したい。

確認と対処

セキュリティーチップの情報の初期化は「BIOS Setupユーティリティー」で行います。

『ユーザーズマニュアル』－「BIOS Setupユーティリティーの設定項目」

セキュリティーチップの初期化を行ったら、再度Security Platformのセットアップを行ってください。

p.10 「Security Platformのセットアップ」

現象

「システムの復元」機能を利用したいが、Personal Secure Drive（PSD）をロードする度に復元ポイントが削除されてしまう。

確認と対処

「システムの復元」機能を利用するには、Personal Secure Drive（PSD）に最低80MBの空き容量が必要です。ドライブの空き容量が少ない場合には、不要なファイルやフォルダーを削除したり別のメディアにコピーするなどして、空き

容量を増やしてください。

セキュリティーチップの情報を初期化すると、暗号化されたデータを利用できなくなります。


25

付録TPMの機能を使用するために設定するパスワードやファイルは次のとおりです。

パスワード

ファイル

項目設定する場所使用するタイミングBIOS管理者パスワード BIOS Setupユーティリティー BIOSの設定変更

所有者パスワード Security Platformの初期設定設定の復元

復元用トークンのパスワード Security Platformの初期設定設定の復元

基本ユーザーのパスワード Security Platformの基本ユーザーの設定暗号化データにアクセス時、

設定の復元

パスワードリセットトークンの

パスワードSecurity Platformの初期設定

基本ユーザーのパスワードの

リセット

項目（デフォルトのファイル名）作成する場所使用するタイミング

システムバックアップアーカイブ

（SPSystemBackup.xml）自動バックアップ設定の復元

復元用トークン

（SPEmRecToken.xml）Security Platformの初期設定設定の復元

ユーザーバックアップアーカイブ

（SpBackupArchive.xml）手動バックアップ

個々の基本ユーザーの設定の

復元

PSDバックアップアーカイブ（SpPSDBackup.fsb）

手動バックアップ設定の復元（PSD使用時のみ）

パスワードリセットトークン

（SPPwdResetToken.xml）Security Platformの初期設定


リセット

個人シークレット

（SPPwdResetSecret.xml）Security Platformの基本ユーザーの設定


リセット


C77386515 10.01(SO)

©エプソンダイレクト株式会社

セキュリティー機能（TPM）設定ガイド

本書では、セキュリティーチップ（以降、TPM）のセキュリティー機能の設定方法に

ついて説明します。

TPMのセキュリティー機能は管理者向けです。内容を十分に理解し、お客様の責任に

おいて使用してください。読み終わったあとは、いつでも取り出せる場所に保管して

ください。

Windows XP（ダウングレードモデル）

目次TPMの概要使用時の注意使い始めるまでの準備Security Platform設定ツールの操作Windowsを再インストールする場合はSecurity Platformの設定を復元するこんなときは付録

セキュリティー機能（TPM）設定ガイドjpe-aws-s3-004.s3-website-ap-northeast-1.amazonaws.com/...C77386515...

Documents

Transcript of セキュリティー機能（TPM）設定ガイドjpe-aws-s3-004.s3-website-ap-northeast-1.amazonaws.com/...C77386515...