よくあるご質問とその回答(FAQ)

SecureDocのよくあるご質問とその回答

 

SecureDocに関するよくあるご質問とその回答をまとめました。

■Windows 10 の対応について
■BitLocker との違いについて
■使用方法等について
■インストールや展開方法について
■バージョンアップについて
■PC の修理時について


Windows10の対応について
Q. Windows 10 に対応していますか?
A. 対応しています。
Q. Windows 10 の大型アップデートに対応していますか?
A. 対応しています。
Windows 10 の大型アップデートを適用する際の都度、必ずしも SecureDoc をバージョンアップする必要はありません。
Q. 暗号化したままで、Windows 10 の大型アップデートは可能ですか?
A. 可能です。
復号化などの操作は必要ありません

先頭に戻る


BitLocker との違いについて
Q. BitLocker との一番の違いは何ですか?
A. 一番の違いは、BitLocker は 「暗号化」、SecureDoc は 「暗号化+管理」 です。
SecureDoc はBitLocker を管理することも可能です。
Q. SecureDoc で BitLocker を管理するメリットは何ですか?
A. SecureDoc による BitLocker 管理を導入することにより以下のようなことが可能となります。

    • OS 起動前の認証(以下、プリブート認証)で複数のユーザーを登録できます。
    • パスワードポリシーに沿ったパスワード設定が行えます。またパスワード忘れの際、SecureDoc 管理者が発行するワンタイムパスワード(チャレンジアンドレスポンス)が使用できます。
    • BitLocker の復号化は SecureDoc の管理者のみ行えるようになります(ローカル PC の管理者権限では復号化できません)。 また、万が一 SecureDoc 管理者以外による復号化が行われても、再度 BitLocker による暗号化が自動で開始されます。
    • 自動的に BitLocker 回復キーを SecureDoc の管理サーバーに保存します。
    • ドッキングステーションの接続などハードウェア構成が変わっても SecureDoc のプリブート認証は影響を受けません(BitLocker 回復キーの入力は必要ありません)。
    • TPM を搭載していない PC 環境でも BitLocker 暗号が使用できます。
Q. パスワードポリシーを設定できますか?
A. 設定できます。
パスワードポリシーとして、桁数や大文字小文字の判別、記号などの組み合わせや有効期限などを設定することができます。
Q. Windows とのシングルサインオン(SSO)を設定できますか?
A. 設定できます。
Q. Windows パスワードと SecureDoc のパスワードは同期しますか?
A. Windows パスワードと SecureDoc のパスワードは同期させることができます。
Q. パスワードを忘れた時などはどの様にリカバリできますか?
A. 電話などで管理者へ連絡して、チャレンジアンドレスポンス方式によるワンタイムパスワードを生成してもらいます。ワンタイムパスワードは最短で 16 桁にすることができます。
Q. アカウントはロックされますか?
A. パスワードの誤入力回数や管理サーバーとの無接続期間によって、SecureDoc のアカウントはロックされます。
Q. PC を使用者に渡した後に暗号化の状態を把握することができますか?
A. 管理サーバーのコンソールから各 PC の暗号化状態を確認することができます。
また、ログやレポートを暗号化の証跡とすることができます。
Q. 複数名で PC を共有する場合、パスワードは共通ですか?
A. SecureDoc には複数のユーザーを登録することができ、ユーザー毎のパスワードを使用できます。

先頭に戻る


使用方法等について
Q. Windows 以外にパスワードの入力が必要ですか?Windows へのログイン以外に認証が必要だと、ユーザーから利便性の低下を指摘されます。
A. 暗号化のソフトウェアをインストールすると、通常はプリブート認証が必要になります。
SecureDoc はプリブート認証と Windows 認証を一度に済ます SSO の設定が可能ですので、ユーザーが複数のパスワードを入力する必要はなく、利便性が下がることはありません。
Q. プリブート認証画面を表示させずに、Windows を起動させることは可能ですか?
A. 可能です。
オートブート機能により、プリブート認証を行わずに Windows を起動することも可能です。
しかし、オートブート機能は推奨していません。
暗号化していても、電源投入後すぐに Windows が起動する環境は暗号化に使用した鍵を錠に挿したままの状態と同じです。そのセキュリティレベルは、暗号化していない Windows PC とほぼ同じです。
Q. Windows のクライアントは、Active Directory のポリシーでパスワードルールを定義しています。それと同様の設定ができますか?
A. 可能です。
SecureDoc のパスワードと Windows のパスワードを同期させることも可能で、Windows のパスワードと同一のパスワードにすることが可能です。
Q. SecureDoc のパスワードはどのようなものですか?
A. パスワードポリシーとして、桁数や大文字小文字の判別、記号などの組み合わせや有効期限などを設定することができます。
Active Directory に属さない Work Group の PC では、SecureDoc のパスワードポリシーでセキュリティを高めるように設定することができます。
Q. Active Directory のポリシーで、パスワードの有効期限を設定しています。それらと連携できますか?
A. 可能です。
SecureDoc でパスワード同期を設定している場合、Windows のパスワードを変更すると SecureDoc のパスワードもその時点で変更されます。
Q. ユーザーのパスワード忘れに対応する工数を懸念しています。
A. ユーザーがパスワードを忘れてしまった場合、電話などで管理者に連絡して 16 進数のやりとりを行い、プリブート認証をパスします(チャレンジ・レスポンス機能)。
Windows 起動後、新しいパスワード設定の要求画面が表示されます。
手間がかからず、新しいパスワードはユーザー自身が設定する為、セキュリティを高く保つことが可能です。
Q. 祝日や勤務時間外に発生したパスワード忘れの対応が心配です。
A. 管理者が操作する管理サーバーは、Windows ベースのアプリケーションですが、Web ベースのコンソールも提供しています。緊急時には、Web コンソールを使用するなどの回避策があります。
Q. 自己暗号化機能付き SSD を搭載した PC を購入予定です。ソフトウェアで暗号化するよりもセキュリティが高いと考えており、それで十分ではないでしょうか?
A. 自己暗号化機能については、Trusted Computing Group(TCG)が策定した TCG Opal という規格があります。
TCG Opal 規格に準拠した HDD/SSD(以下、Opal ドライブ)を搭載した PC でも、電源を入れると Windows がそのまま起動します。これは暗号鍵が錠に刺さったままの状態と同じですので、セキュリティが十分に保たれているとは言えません。
TCG Opal では、プリブート認証プログラムを実装できるように仕様が定められているので、TCG Opal に対応した SecureDoc をインストールしても暗号化は開始されず、ハードウェア暗号を活かしたまま SecureDoc のプリブート認証プログラムをインストールすることが可能です。その為、セキュアな暗号化環境の構築が短時間で済みます。 TCG Opal はプリブート認証プログラムを使用することを前提に仕様が策定されています。
そして、SecureDoc はその TCG Opal の仕様を考慮して設計されています。SecureDoc のインストール時にドライブを自動で検知し、Opal ドライブであれば、SecureDoc によるソフトウェアでの暗号化は行わず、SecureDoc のプリブート認証プログラムのみをインストールします。
Opal ドライブを搭載した PC でプリブート認証プログラムによるユーザー認証が行えるようになり、短時間でセキュアな暗号化環境の構築が可能です。
Q. 業務の関係で、エンドユーザーの Windows アカウントには Administrator 権限を付与しています。Windows の Administrator 権限があると SecureDoc をアンインストールできてしまいますか?
A. できません。
まず、アンインストールする前に復号化が必要です。復号化するには、Windows のアカウントとは異なるSecureDoc の管理者権限が必要です。
Q. TPM には対応していますか?
A. 対応しています。
デフォルト設定では有効になっていませんので、TPM による保護を使用する場合はポリシー設定で有効にする必要があります。
Q. 暗号化の管理に工数をかけられません。管理サーバーは必要ですか?
A. 管理サーバーによって、暗号化した PC の運用・管理の工数を大幅に削減することができます。
暗号化された環境の運用・管理は、「クライアントの暗号化状態の把握」と「パスワード忘れ時の対応」が主となります。これに関わる時間を短縮することが工数の削減につながります。
管理サーバーにより以下のことが実現でき、工数を削減(作業時間の短縮)することができます。

  • クライアントの暗号化状態を把握
    持ち出した(持ち出された)PCが、社内にあるサーバーとの通信時に暗号化されていたことを掌握できます。
  • エンドユーザーのパスワード忘れに迅速に対応
    チャレンジレスポンス機能によるパスワードリカバリを提供します。
  • シンプルで簡単なクライアントへのインストール
    セキュリティポリシーを定義したサイレントインストールが可能なクライアントのインストレーションパッケージを作成できます。
  • リモートでの設定変更
    ユーザーの変更(追加・削除)や、セキュリティポリシーの変更など、ネットワークを介して簡単に変更できます。
  • アカウントの自動ロックアウト
    設定された期間内にサーバーとの通信が行われなかった場合、認証に必要なアカウントを自動的にロックすることで、盗難や置き忘れ時の対策ができます。

先頭に戻る


インストールや展開方法について
Q. インストールや展開に多くの手順や長い時間がかかりますか?
A. クライアントのインストレーションパッケージは管理サーバーで作成し、クライアントではそれを実行するだけです。設定によりサイレントインストールが可能で、インストール作業はとても簡単です。
Q. 暗号化には時間が長くかかりますか?
A. 新品の PC の場合は使用している領域のみを暗号化する設定も可能です。
その場合、PC の利用者によって新しく書き込まれたデータは自動的にバックグランドで暗号化され、ユーザーに負担はかかりません。
HDD ではなく SSD の場合は、I/O 処理スピードが速いため暗号化が短時間で完了します。
但し、ユーザーが既に使用している既存の PC にインストールする場合は、全ての領域を暗号化するように設定してください。
Q. キッティングの時に暗号化を一緒におこなうことは可能ですか?
IT 部門や調達部門、または PC メーカーのキッティングサービスの利用をし、PC の利用者以外がインストールすることを想定しています。
A. 可能です。
IT 部門などが一時的な認証情報を使用して暗号化を実行後、配備された PC の利用者自身によって認証情報(パスワードポリシーに沿ったパスワード)を設定するようにします。
PC を受け取った利用者自身がパスワードを設定すると、ログイン認証に必要なパスワードが設定されたキーファイルが管理サーバーから配信されます。
キーファイルが配信されるのと同時に、一時的な認証情報は自動で PC から削除されます。

先頭に戻る


バージョンアップについて
Q. クライアントのバージョンアップはどの様に行いますか?
A. インストレーションパッケージ(exe 形式)を実行するだけです。
サイレントインストールですので、問いに応えたりする必要はなくスムーズに実行できます。
Q. クライアントのバージョンアップをより簡単にする方法はありますか?
A. サイレントインストールが可能ですので、アプリケーション配布機能を持ったデスクトップ管理ツールなどの使用が考えられます。

先頭に戻る


PC の修理時について
Q. 暗号化している PC でマザーボードを交換したら起動しなくなったと聞いたことがあります。
A. マザーボード交換時には必要な手順を行うことで PC を起動させることができます。
UEFI の PC ではブートオーダーという仕組みで PC の起動を制御しており、マザーボードを交換した場合は交換前のマザーボードのブートオーダーに書かれていたプリブート認証の情報がありませんので、そのままでは起動できません。
ウィンマジックにはUEFI のブートオーダーにプリブート認証の情報をレストアするツールがあり、マザーボードを交換しても元の状態に戻すことが可能です。このツールは SecureDoc をご購入頂いたお客様のみにご提供しています。
また、もうひとつ考えられるのは、TPM をの使用を設定していたしていた場合です。、
マザーボードを交換するとTPM の鍵が異なるため、そのままでは認証をパスすることはできなくなり、暗号化されたままの HDD/SSD を起動することはできません。
SecureDoc の認証保護に TPM を使用していて、マザーボードを交換する場合の対処方法については、御社担当のテクニカルサポートへご連絡ください。
ウィンマジックの保守契約をお持ちのお客様は support.jp@winmagic.com にご連絡ください。

先頭に戻る

おすすめ

人気の投稿