HP ProtectTools 内蔵セキ ュ リ テ ィ ガ イ ド HP Business Desktop dx5150モデル 製品番号 : 376352-291 2004年12月 このガイドでは、HP ProtectTools 内蔵セキュリティ チップを設定するための ソフトウェアの使用方法について説明します。
© Copyright 2004 Hewlett-Packard Development Company, L.P.
目次 HP ProtectTools内蔵セキ ュ リ テ ィ 要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 ProtectTools内蔵セキュリティの基本概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 HP ProtectTools内蔵セキュリティ チップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Personal Secure Drive(PSD). . . . . . . . . . . . . . . . . .
HP ProtectTools内蔵セキュ リ テ ィ HP ProtectToolsセキュリティ マネージャは、HP ProtectTools内蔵セキュリティ を設定するためのソフトウェアです。このマネージャは、内蔵セキュリティ ソフトウェアのさまざまなオプションにアクセスするためのインタフェース (シェル)です。HP ProtectTools 内蔵セキュリティは、Personal Secure Drive (PSD) 、暗号化/TPMチップ インタフェース、セキュリティの移行、アーカイ ブの作成、およびパスワードの制御などに関するソフトウェアの集合です。 要件 セキュリティ機能を使用するには、次のものが必要です。 Q HP ProtectTools内蔵セキュリティ ソフトウェア Q HP ProtectToolsセキュリティ マネージャ ソフトウェア Q HP ProtectTools 内蔵セキュリティ チップ(コンピュータに搭載されてい ます) 内蔵セキュリティ ソリューションのセットアップについては、8 ページの 「セットアップ手順」を参照してください。 HP ProtectTools
HP ProtectTools内蔵セキ ュ リ テ ィ ProtectTools内蔵セキ ュ リ テ ィ の基本概念 ここでは、HP ProtectTools 内蔵セキュリティおよび HP ProtectTools セキュリ ティ マネージャを使用するために理解しておく必要のある、全般的な概念に ついて説明します。 HP ProtectTools内蔵セキュ リ テ ィ チ ッ プ 内蔵セキュリティ チップは、公開キーと秘密キーを保護するため、セキュリ ティおよび暗号化機能を提供し、不正防止の記憶領域を備えたハードウェア コンポーネントです。チップは工場で組み込まれるため、HPのサポートまた はサービス担当者以外はアクセスまたは取り外しできません。 Personal Secure Drive (PSD) Personal Secure Drive(PSD)は、内蔵セキュリティの機能の1つです。PSDは、 HP ProtectTools内蔵セキュリティのユーザ初期化プロセス中に、ハードディス ク ドライブ上に作成される仮想ドライブです。機密データを保護するための 記憶領域を提供し、他のドライブと同じように、
HP ProtectTools内蔵セキ ュ リ テ ィ 電子 メ ール 電子メールのセキュリティ保護も、内蔵セキュリティの重要な機能の 1つで す。この機能を使用すると、情報を機密に交換し、転送中に情報の信頼性が 失われていないことを保証できます。電子メールをセキュリティ保護するこ とで、次の操作が可能になります。 Q 認証機関(CA)が発行した公開キー証明書を選択する Q メッセージにデジタル署名を付加する Q メッセージを暗号化する HP ProtectTools 内蔵セキュリティおよびHP ProtectTools セキュリティ マネー ジャは、メッセージの暗号化、解読、およびデジタル署名に使用されるキー の保護機能を追加することによって、電子メールのセキュリティ保護機能を 向上させます。これにより、次の電子メール クライアントで、電子メールの セキュリティを向上できます。 Q Microsoft Outlook Express(バージョン4以降) Q Microsoft Outlook 2000 Q Microsoft Outlook 2002 Q Netscape
HP ProtectTools内蔵セキ ュ リ テ ィ 暗号化フ ァ イル システム (EFS) の機能の向上 EFSは、Microsoft Windows 2000およびWindows XP Professionalで提供される ファイル暗号化サービスです。EFSは、次の機能を提供することによってデー タのプライバシを保護します。 Q ディスクへの保存時の、ユーザによるファイルの暗号化 Q 暗号化されたファイルへのすばやく簡単なアクセス Q 自動的な(かつユーザが意識することのない)暗号化 Q システム管理者により、他のユーザが暗号化したデータの回復が可能 HP ProtectTools 内蔵セキュリティおよびHP ProtectTools セキュリティ マネー ジャは、データの暗号化および解読に使用されるキーの保護機能を追加する ことによって、EFSの機能を向上させます。 EFSについて詳しくは、オペレーティング システムのオンライン ヘルプを参 照してください。 ユーザおよび管理者 ユーザ ユーザは、内蔵セキュリティへの基本的なアクセス権を持ち、次の操作を実 行できます。
HP ProtectTools内蔵セキ ュ リ テ ィ 管理者 管理者はコンピュータの内蔵セキュリティ ソリューションを初期化し、ま た、次の操作を実行できます。 Q 内蔵セキュリティのローカル マシン ポリシーおよびユーザ ポリシーの 設定 Q ユーザ キーおよび証明書の移行の準備 Q 内蔵セキュリティ オーナのパスワードの変更 Q 内蔵セキュリティの無効化と有効化 Q ユーザ キーおよび証明書の移行先コンピュータの認証 Q 内蔵セキュリティを使用して保存および暗号化されたデータの回復 内蔵セキュリティのユーザおよび管理者について詳しくは、オペレーティン グ システムのオンライン ヘルプを参照してください。内蔵セキュリティの オーナについて詳しくは、HP ProtectTools 内蔵セキュリティのオンライン ヘ ルプを参照してください。 デジ タ ル証明書 デジタル証明書は、 個人または企業の身元を証明するための、電子的な 「キー」 の一形態です。キーは、送信者と受信者の両方またはそのどちらか一方のみ が知っている数字または文字列です。デジタル証明書は、その所有者が送信 する
HP ProtectTools内蔵セキ ュ リ テ ィ デジ タ ル署名 デジタル署名には、デジタル証明書を発行したCAの名前が示されます。次の ために使用します。 Q デジタル文書の送信者の身元確認 Q 送信者が文書にデジタル署名した後、その文書の内容が変更されていな いことの証明 デジタル署名について詳しくは、 オペレーティング システムのオンライン ヘ ルプを参照してください。 公開キー と 秘密キー 内蔵セキュリティで情報の暗号化方法として使用される非対称暗号法では、 公開キーと秘密キーの2つのキーが必要になります。 公開キーは多数のユーザに自由に配布できますが、 秘密キーは1人のユーザの みが所有します。 たとえば、暗号化された電子メールを送信する場合、ユーザAは、ユーザBの 公開キー(自由に入手できます)を使用して電子メールの内容を暗号化し、 ユーザBに送信します。ユーザBの秘密キーを所有するのはユーザBだけなの で、ユーザAが送信した電子メールの内容は、ユーザBのみが解読できます。 公開キーを利用した技術によって、公共のネットワークを介した個人情報の 送受信、デジタル署名を使用した
HP ProtectTools内蔵セキ ュ リ テ ィ Emergency Recovery Emergency Recovery Archive は、コンピュータとそのユーザに関する機密情 報、および暗号化されたデータや個人データの保護に使用される秘密キーに 関する機密情報が保存されたファイルです。このファイルは、内蔵セキュリ ティのセットアップ時に管理者によって作成されます。システムに障害が発 生した場合、保護されたデータへのアクセス権を復元するには、この機密情 報が必要です。 Emergency Recovery Tokenは、Emergency Recovery Archive内のデータの保護に 使用されるキーが保存されたファイルです。このファイルも、内蔵セキュリ ティのセットアップ時に管理者によって作成されます。トークンは、アーカ イブにアクセスするために必要です。Emergency Recovery Tokenへのアクセス は、パスワードによって保護されます。このパスワードは、内蔵セキュリティ システムを復元する場合に必要です。 ポ リ シー ポリシーは、 コンピュータまたはソフトウェアの動作
HP ProtectTools内蔵セキ ュ リ テ ィ セ ッ ト ア ッ プ手順 以下の手順に従って、システムBIOSでコンピュータ セットアップ(F10)ユー ティリティを使用して、内蔵セキュリティ チップの有効化および初期化を行 います。 Ä 注意 : セキュリティ上の危険を防ぐため、組織内で適切な権限を持つユーザ がただちに内蔵セキュリティ チップを初期化することをお勧めします(手順 4を参照してください)。内蔵セキュリティ チップを初期化しないと、権限の ないユーザ、コンピュータ ワーム、またはウィルスによって、システムの オーナシップを奪われる可能性があります。 チップのコンフィギュレーションにアクセスするには、コンピュータ セット アップ(F10)ユーティリティでBIOSスーパバイザ パスワードを設定する必 要があります。詳しくは、コンピュータに同梱の Documentation CD(ドキュ メンテーション CD)に収録されている『コンピュータ セットアップ(F10) ユーティリティ ガイド』を参照してください。 チ ッ プの有効化 1.
HP ProtectTools内蔵セキ ュ リ テ ィ 8. TPMチップを有効にするには[E]キーを押します。 これでチップが有効になりました。 内蔵セキュ リ テ ィ チ ッ プの初期化 通常は、ITシステム管理者が内蔵セキュリティ チップを初期化します。 1. システム トレイの[HP ProtectTools]アイコンを右クリックし、[Embedded Security Initialization](Embedded Securityの初期化)を左クリックします。 [HP ProtectTools Embedded Security Initialization Wizard](HP ProtectTools Embedded Security初期化ウィザード)が表示されます。 2. [Next](次へ)をクリックします。 3. [Take Ownership](オーナーシップの設定)パスワードを入力して確定 し、[Next]をクリックします。 機密保護のため、入力したパスワードは画面に表示されません。パスワード を入力する際は、間違えないよう注意してください。 4.
HP ProtectTools内蔵セキ ュ リ テ ィ Ä 注意 : 内蔵セキュリティ機能が初期化されていないというメッセージが表示 される場合がありますが、これをクリックしないでください。このメッセー ジについては後の手順で説明します。メッセージは数秒後に閉じます。 9.
HP ProtectTools内蔵セキ ュ リ テ ィ 5. [Security Features](セキュリティ機能)から適切な項目を選択し、[Next] をクリックします。 6. ヘルプ ファイルをスキップするには[Next]をクリックします。 7. 複数の暗号化証明書がある場合は、適切な証明書をクリックします。 [Next]をクリックして暗号化証明書を適用します。 8. PSDを適切な設定にして[Next]をクリックします。 9. PSDを再び適切な設定にして[Next]をクリックします。 PSDの最小サイズは50 MB、最大サイズは2000 MBです。 10. [Next]をクリックして設定を確定します。 PSDのサイズによっては、確定の処理に数分かかることがあります。 11. [Finish](完了)をクリックします。 12.
HP ProtectTools内蔵セキ ュ リ テ ィ フ ァ イ ルお よび フ ォ ルダの暗号化 Windows 2000およびWindows XP ProfessionalでEFSを操作するときは、以下の 点を考慮してください。 Q 暗号化できるのは、NTFSパーティション上のファイルおよびフォルダの みです(FAT パーティション上のファイルやフォルダは暗号化できませ ん) 。 Q システム ファイルおよび圧縮ファイルは暗号化できません。また、暗号 化されたファイルは圧縮できません。 Q 一時ファイルは攻撃者の標的になる可能性があるため、一時フォルダを 暗号化しておく必要があります。 Q ユーザが初めてファイルまたはフォルダを暗号化すると、回復ポリシー が自動的にセットアップされます。これによって、ユーザは、証明書お よび秘密キーをなくした場合でも、回復エージェントを使用して自分の データを解読できることが保証されます。 ファイルおよびフォルダを暗号化するには、以下の手順で操作します。 1. 暗号化するファイルまたはフォルダを選択します。 2.
HP ProtectTools内蔵セキ ュ リ テ ィ 暗号化、 デジ タ ル署名、 またはその両方を使用 し た電子 メ ールの送受信 電子メールをデジタル署名および暗号化する手順については、電子メール ク ライアントのオンライン ヘルプを参照してください。 セキュリティ保護された電子メールを使用するには、最初に、内蔵セキュリ ティで作成されたデジタル証明書を使用するように、電子メール クライアン トを設定する必要があります。デジタル証明書を持っていない場合は、認証 機関から入手する必要があります。電子メールの設定方法およびデジタル証 明書の入手方法については、 電子メール クライアントのオンライン ヘルプを 参照してください。 暗号化された電子メール メッセージを送信するには、受信者の公開キーまた は暗号化証明書のコピーが必要です(暗号化証明書には、受信者の公開キー のコピーが含まれています) 。 Microsoft Outlookでは、受信者の公開キーを使用して電子メールが暗号化され ます。そのため、自分の秘密キーを挿入する必要はありません。ただし、暗 号化された電子メールを受信したときは、
HP ProtectTools内蔵セキ ュ リ テ ィ 情報の回復 チップに障害が発生したり、チップを設定しなおしたりした場合は、次のよ うに情報を回復できます。 [Emergency Restore Wizard](緊急リストア ウィザード)を使用して、 Q PSDからデータを復元できます。 Q PSD では、暗号化ファイル システム(EFS)と同様に、回復エージェン トを使用した回復もサポートされます。 お使いのコンピュータに登録済みの回復エージェントがあるかどうかを 確認するには、[スタート]→[コントロール パネル]→[パフォーマンスと メンテナンス]→[管理ツール]→[ローカル セキュリティ ポリシー ]→[公 開キーのポリシー ]→[暗号化されたデータの回復エージェント]の順に選 択します。 詳しくは、 オペレーティング システムのオンライン ヘルプを参照してくださ い。 Windows XP Professional では、登録済みの回復エージェントが自動的には作 成されません。登録済みの回復エージェントをセットアップするには、オペ レーティング システムの指示に従ってくださ
HP ProtectTools内蔵セキ ュ リ テ ィ コ ン ピ ュ ー タ セ ッ ト ア ッ プ (F10) ユーテ ィ リ テ ィ を使用 し た 内蔵セキ ュ リ テ ィ チ ッ プの工場出荷時設定の復元 Ä 注意 : この作業では、内蔵セキュリティ チップのオーナシップが解放されま す。オーナシップが解放されると、内蔵セキュリティ チップを誰でも初期化 できる状態になります。 暗号化されたファイルがある場合、内蔵セキュリティ チップを工場出荷時の 設定に戻すと、データが失われる恐れがあります。 内蔵セキュリティ チップを工場出荷時の設定に戻すには、以下の手順で操作 します。 1. コンピュータの電源を入れるか、[スタート]→[シャットダウン]→[再起 動]→[OK]の順に選択して再起動します。 2. [Press any key to enter TPM Configuration] というコマンド プロンプト が表示されたら、すぐに任意のキーを押します。 3. スーパバイザ パスワードを入力して[Enter]キーを押します。 4.
HP ProtectTools内蔵セキ ュ リ テ ィ 最適な使用方法 内蔵セキュリティを使用するときは、以下のガイドラインに従うことをお勧 めします。 Q ITセキュリティ管理者は、ユーザにコンピュータを配布する前に、コン ピュータ セットアップ(F10)ユーティリティでBIOSスーパバイザ パス ワードを設定し、内蔵セキュリティ チップを初期化してください。 Q ITセキュリティ管理者は、 内蔵セキュリティ ソリューションのセットアッ プ プロセス中にEmergency Recovery Archive をセットアップし、ユーザ に、データを定期的に保存およびバックアップするよう指示してくださ い。これはシステムに障害が発生した場合に、暗号化されたデータを回 復するための唯一の方法です。Emergency Recovery Archive とEmergency Recovery Tokenは、個別に保存してください。 Q 個々のファイルではなく、フォルダを暗号化します。これによって、ファ イルの編集中に作成される一時ファイルも暗号化されます。 Q ドメインのメンバであるコンピュータ上の機
HP ProtectTools内蔵セキ ュ リ テ ィ よ く あ る質問 コンピュータに HP ProtectTools 内蔵セキュリティ チップが搭載されている かどうかは、どのように確認できますか。 チップは、システムに組み込まれたハードウェア コンポーネントです。この コンポーネントが搭載されている場合は、デバイス マネージャに表示されま す。 HP ProtectTools内蔵セキュリティ ソフトウェアはどこで入手できますか。 HPのWebサイト(http://www.hp.
HP ProtectTools内蔵セキ ュ リ テ ィ ト ラ ブルシ ュ ーテ ィ ング 内蔵セキュリティが動作しません。どのように対処したらよいですか。 システム トレイの[HP ProtectTools]アイコンを右クリックし、[Manage 1. Embedded Security](Embedded Securityの管理)を左クリックします。 [Embedded Security]→[Info](全般)→[Self Test](自己診断テスト)の 2.
HP ProtectTools内蔵セキ ュ リ テ ィ 5. 6. [Y]キーを押して確定します。 [ スタート ] → [ シャットダウン ] → [ 再起動 ] → [OK] の順に選択してコン ピュータを再起動します。 7. [Press any key to enter TPM Configuration] というコマンド プロンプト が表示されたら、すぐに任意のキーを押します。 8. スーパバイザ パスワードを入力して[Enter]キーを押します。 9. TPMチップを有効にするには[E]キーを押します。 これでチップが有効になりました。 10. Windows が起動した後、システム トレイの[HP ProtectTools Embedded Security] アイコンを右クリックし、[Embedded Security Initialization] (Embedded Securityの初期化)を左クリックします。 11.
HP ProtectTools内蔵セキ ュ リ テ ィ 20. マシン名を選択して[Next]をクリックします。 21. [Next]をクリックして設定を確定します。 復元が失敗したというメッセージが表示されたら、手順1に戻ります。パ スワード、トークンの場所と名前、およびアーカイブの場所と名前をよ く確認します。 22. ここでユーザ アカウントをセットアップする場合は、[Start Embedded Security User Initialization Wizard](Embedded Securityユーザ初期化ウィ ザードを開始する)チェック ボックスが選択されていることを確認しま す。[Finish](完了)をクリックします。 手順23~35を実行すると、基本ユーザ キーが復元されます。これらの手順は 各ユーザに対して繰り返してください。 23.
HP ProtectTools内蔵セキ ュ リ テ ィ 33. 設定を確定して[Next]をクリックします。 34. PSDパスワードを入力して[OK]をクリックします。 35.
HP ProtectTools内蔵セキ ュ リ テ ィ 暗号法:特定の個人のみが解読できるようにデータを符号化する、暗号化お よび解読の手法および研究分野。 データを暗号化および解読するシステムは、 暗号システムと呼ばれます。暗号化と解読には、通常、元のデータ(「平文」 ) を1つ以上の「キー」と組み合わせるためのアルゴリズムが含まれます(キー は、送信者と受信者またはそのどちらか一方のみが知っている数字または文 字列です) 。結果の出力は、「暗号文」と呼ばれます。 移行:キーおよび証明書を管理、復元、および転送する作業。 解読(暗号化の解除) :暗号文(暗号化されたデータ)を平文に変換するため の、暗号法で使用される手順。 公開キー基盤(PIK) :証明書および暗号化キーを作成、使用、および管理す るためのインタフェースを定義する規格。 デジタル証明書:デジタル証明書の所有者の身元と、デジタル情報の署名に 使用される電子キーのペアとを結びつけることによって、個人または企業の 身元を証明する電子的な信用証明書。 デジタル署名:デジタル文書の送信者の身元を確認し、送信者が文書に署名 した後でその文書の内容が変
