ProtectTools お使いになる前に
© Copyright 2006 Hewlett-Packard Development Company, L.P.
目次 1 概要 ProtectTools セキュリティ マネージャへのアクセス .......................................................................... 2 セキュリティ ロールについて .............................................................................................................. 2 ProtectTools パスワードの管理 .......................................................................................................... 3 安全なパスワードの作成 .....................................................................................................
Embedded Security for ProtectTools セットアップ手順 ............................................................................................................................... 28 内蔵セキュリティ チップの有効化 ................................................................................... 28 内蔵セキュリティ チップの初期化 .................................................................................... 29 基本ユーザー アカウントのセットアップ ......................................................................... 30 全般的なタスク .....................
登録した指紋を使用しての Windows へのログオン ........................ 51 スマート カードまたはトークンの登録 ............................................................ 51 他の資格情報の登録 .......................................................................................... 51 全般的なタスク .................................................................................................................................. 52 仮想トークンの作成 ..........................................................................................................
vi JAWW
1 概要 ProtectTools Security Manager には、コンピュータ、ネットワーク、および重要なデータに対する不 正アクセス防止に役立つセキュリティ機能があります。次のソフトウェア モジュールによって、セキ ュリティ機能が強化されます。 ● Smart Card Security for ProtectTools ● Java Card Security for ProtectTools ● Embedded Security for ProtectTools ● BIOS Configuration for ProtectTools ● Credential Manager for ProtectTools 使用しているコンピュータで利用可能なソフトウェア モジュールは、モデルによって異なります。た とえば、Embedded Security for ProtectTools を使用するには、トラステッド プラットフォーム モジ ュール (TPM) 内蔵セキュリティ チップ (一部のモデルのみ) がコンピュータにインストールされてい る必要があります。また、Sma
ProtectTools セキュリティ マネージャへのアクセス Microsoft® Windows® コントロール パネルから ProtectTools セキュリティ マネージャにアクセスする には、次の手順を行います。 ▲ [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 注記 Credential Manager モジュールを構成した後、Windows ログオン画面から Credential Manager に直接ログオンして ProtectTools を開くこともできます。詳しくは、第 6 章 「Credential Manager for ProtectTools」の「Credential Manager を使用した Windows へのログ オン」を参照してください。 セキュリティ ロールについて コンピュータ セキュリティを管理する際 (特に大規模な組織の場合)、さまざまな種類の管理者および ユーザーの間で責任と権限を分割することが重要です。 注記 小規模な組織や個人使用の場合は、これらの役割のすべてを同じユーザー
ProtectTools パスワードの管理 ProtectTools セキュリティ マネージャの機能の大半は、パスワードによって保護されています。よく 使用されるパスワード、パスワードを設定するソフトウェア モジュール、およびパスワードの機能を 以下の表に示します。 この表には IT 管理者だけが設定して使用するパスワードも示してあります。その他すべてのパスワー ドは、通常のユーザーまたは管理者が設定できます。 ProtectTools パスワード パスワードを設定する ProtectTools モジュール 機能 Computer Setup のセットアップ パスワード BIOS Configuration に IT 管 理者が設定 Computer Setup ユーティリティへのアクセ スを保護します。 電源投入時パスワード BIOS Configuration コンピュータの電源投入時、再起動時、ま たは休止状態からの復帰時に、コンピュー タのデータへのアクセスを保護します。 スマート カード管理者パスワー ド Smart Card Security に IT 管 スマート カードの電
ProtectTools パスワード パスワードを設定する ProtectTools モジュール 機能 認証に使用した場合は、コンピュータの電 源投入時、再起動時、または休止状態から の復帰時に、コンピュータのデータへのア クセスを保護します。 注記 別名: Embedded Security パスワード Embedded Security に IT 管 理者が設定 内蔵セキュリティ チップのバックアップ フ ァイルである緊急リカバリ トークンへのア クセスを保護します。 所有者パスワード Embedded Security に IT 管 理者が設定 Embedded Security のすべての所有者機能 に対する不正アクセスからシステムおよび TPM チップを保護します。 Credential Manager ログオン パ スワード Credential Manager このパスワードには 2 つのオプションがあ ります。 緊急リカバリ トークン パスワー ド 注記 別名: 緊急リカバ リ トークン キー パスワ ード 4 ● Microsoft Windows へのログオ
安全なパスワードの作成 パスワードを作成するときは、プログラムの指定に従う必要があります。一般に、強固なパスワード を作成し、パスワードが破られる可能性を少なくするためには、次のガイドラインを参考にしてくだ さい。 JAWW ● 6 文字以上のパスワードを使用します。推奨は 8 文字以上です。 ● パスワードに大文字と小文字を混ぜて使用します。 ● 可能な限り、英数字、特殊文字、および句読点を混ぜて使用します。 ● 単語の中の文字を特殊文字または数字に置き換えます。たとえば、I または L の代わりに数字の 1 を使用します。 ● 2 つ以上の言語の言葉を組み合わせます。 ● 単語または句の途中に数字または特殊文字を挿入します。例:Mary2-2Cat45 ● 辞書に載っている言葉をパスワードとして使用しないでください。 ● 自分の名前や、その他の個人情報をパスワードとして使用しないでください。たとえば、誕生 日、ペットの名前、母親の旧姓などは、たとえスペルを逆さにしたとしても、使用しないでくだ さい。 ● パスワードは定期的に変更してください。増分する 1 文字か 2
6 第1章 概要 JAWW
2 Smart Card Security for ProtectTools Smart Card Security for ProtectTools では、別売のスマート カード リーダーを搭載したコンピュータ で、スマート カードのセットアップと設定を管理します。 Smart Card Security を使用して、以下の操作を実行できます。 JAWW ● スマート カード セキュリティ機能へのアクセス。 ● スマート カードを初期化して、Credential Manager for ProtectTools などの他の ProtectTools モ ジュールで使用できるようにする。 ● Computer Setup ユーティリティを操作して、電源投入時環境でのスマート カード認証を有効に し、管理者とユーザーに対して別々のスマート カードを設定する。これにより、ユーザーがオ ペレーティング システムをロードするには、スマート カードを挿入し、オプションで PIN を入 力する必要があります。 ● スマート カードのユーザーを認証するために使用されるパスワードの設定と変更。 ●
スマート カードの初期化 スマート カードは、使用する前に初期化する必要があります。 スマート カードを初期化するには、次の手順を行います。 1. リーダーにスマート カードを挿入します。 2. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 3. 左側のペインで、[Smart Card Security] を選択し、[Smart Card] (スマート カード) を選択しま す。 4. 右側のペインで、[Initialize] (初期化) をクリックします。 5. [Initialize the smart card] (スマート カードの初期化) ダイアログ ボックスで、最初のボックス に名前を入力します。 6.
スマート カード BIOS セキュリティ モード スマート カード BIOS セキュリティを有効にすると、コンピュータを起動するにはスマート カード が必要になります。 スマート カード BIOS セキュリティ モードを有効にする手順は、次のとおりです。 1. BIOS Configuration でスマート カードの電源投入時認証サポートを有効にします。第 5 章「BIOS Configuration for ProtectTools」の「スマート カードまたは Java Card の電源投入時認証サポー トの有効化と無効化」を参照してください。 注記 このオプションを有効にすると、電源投入時認証でスマート カードを使用できま す。スマート カード BIOS セキュリティ モードは、スマート カードの電源投入時認証サ ポートを有効にするまでは使用できません。 2.
スマート カード BIOS セキュリティ モードの有効化とスマート カード 管理者パスワードの設定 スマート カード BIOS セキュリティ モードを有効にしてスマート カード管理者パスワードを設定す るには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Smart Card Security] を選択し、[BIOS] を選択します。 3. 右側のペインで、[BIOS Security Mode] (BIOS セキュリティ モード) の [Enable] (有効化) をクリ ックします。 4. [Next] (次へ) をクリックします。 5. Computer Setup のセットアップ パスワードを入力し、[Next] (次へ) をクリックします。 6.
スマート カード管理者パスワードの変更 スマート カード BIOS セキュリティ モードを有効にする処理の一部として、スマート カード管理者 パスワードを設定します。スマート カード管理者パスワードは、設定した後に変更できます。スマー ト カード管理者パスワードについて詳しくは、この章の前半の「スマート カード BIOS セキュリテ ィ モード」を参照してください。 注記 以下の手順では、スマート カードと Computer Setup に記録されるスマート カード管理 者パスワードを更新します。 スマート カード管理者パスワードを変更するには、次の手順を行います。 JAWW 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Smart Card Security] を選択し、[BIOS] を選択します。 3.
スマート カード ユーザー パスワードの設定と変更 スマート カード ユーザー パスワードを設定または変更するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Smart Card Security] を選択し、[BIOS] を選択します。 3. 右側のペインで、[BIOS user card] (BIOS ユーザー カード) の横にある [BIOS Security Mode] (BIOS セキュリティ モード) の [Set] (設定) をクリックします。 注記 Computer Setup でユーザー パスワードが既に設定されている場合は、[Change] (変更) ボタンをクリックします。 4. スマート カード PIN を入力し、[Next] (次へ) をクリックします。 5. 新しいユーザー カードを挿入し、[Next] (次へ) をクリックします。 6.
管理者またはユーザー カード パスワードの保存 バックアップ カードを作成する時点で管理者パスワードが既に設定されている場合は、そのパスワー ドを新しいカードに保存できます。 注意 以下の手順では、スマート カードに保存されるパスワードのみを更新し、Computer Setup に記録されるパスワードは更新しません。新しいカードを使用してコンピュータにアク セスすることはできません。 管理者またはユーザーのカード パスワードを保存するには、次の手順を行います。 1. リーダーにスマート カードを挿入します。 2. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 3. 左側のペインで、[Smart Card Security] を選択し、[BIOS] を選択します。 4. 右側のペインで、[BIOS Password on Smart Card] (スマート カードの BIOS パスワード) の [Store] (保存) をクリックします。 5.
全般的なタスク BIOS スマート カード設定の更新 コンピュータの起動時にスマート カード PIN を要求するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Smart Card Security] を選択し、[BIOS] を選択します。 3. 右側のペインで、[Smart Card BIOS Password Properties] (スマート カード BIOS パスワード のプロパティ) の [Settings] (設定) をクリックします。 4. 再起動時に PIN を要求するには、チェック ボックスをオンにします。 注記 この要件を除去するには、チェック ボックスをオフにします。 5.
スマート カードのバックアップと復元 スマート カードを初期化して使用できる状態になった後、スマート カード リカバリ ファイルを作成 することを強くお勧めします。リカバリ ファイルを使用すると、あるスマート カードのデータを別 のスマート カードに転送できます。また、このファイルは、オリジナルのスマート カードをバック アップするため、またはスマート カードの紛失や盗難の場合にデータを復元するためにも使用できま す。 注意 更新されたスマート カードの情報と保管しているリカバリ ファイルが一致しなくなる ことを避けるために、直ちに新しいリカバリ ファイルを作成し、安全な場所に保管してくださ い。バックアップ スマート カードがある場合は、新しいリカバリ ファイルをバックアップ ス マート カード上に復元して、バック アップスマート カードの情報も必ず更新してください。 リカバリ ファイルの作成 リカバリ ファイルを作成するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2.
スマート カードのデータの復元 リカバリ ファイルからスマート カード データを復元できます。これは、カードの紛失または盗難が 発生した場合、またはバックアップ スマート カードを作成する場合に特に便利です。前のデータが 保存されているカードを使用すると、データは上書きされます。 開始するには、以下のものが必要です。 ● Smart Card Security ソフトウェアがインストールされているコンピュータへのアクセス権 ● スマート カード リカバリ ファイル ● スマート カード リカバリ ファイル パスワード ● スマート カード スマート カードを復元するには、次の手順を行います。 16 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Smart Card Security] を選択し、[Smart Card] (スマート カード) を選択しま す。 3.
バックアップ スマート カードの作成 バックアップの目的のために、スマート カードの複製を作成することを強くお勧めします。バックア ップ カードは、2 つの方法で作成できます。どちらを使用するかは、スマート カード パスワードを 手動で作成するか、ランダムに生成するかによって決まります。 ランダムに生成されるスマート カード パスワードを使用して代替スマート カードを作成するには、 次の手順を行います。 ▲ リーダーにスマート カードを挿入し、適切なリカバリ ファイルを読み込みます。詳しくは、こ の章の前半の「スマート カードのデータの復元」を参照してください。 手動で作成するスマート カード パスワードを使用して代替スマート カードを作成するには、次の手 順を行います。 JAWW 1. 新しいスマート カードを初期化します。詳しくは、この章の前半の「スマート カードの初期 化」を参照してください。 2.
18 第2章 Smart Card Security for ProtectTools JAWW
3 Java Card Security for ProtectTools Java Card Security for ProtectTools では、別売のスマート カード リーダーを取り付けたコンピュー タでの Java Card のセットアップと設定を管理します。 Java Card Security を使用して、以下の操作を実行できます。 JAWW ● Java Card セキュリティ機能へのアクセス。 ● Computer Setup ユーティリティを操作して、電源投入時環境での Java Card 認証を有効にし、 管理者とユーザーに対して別々の Java Card を設定する。これにより、ユーザーがオペレーティ ング システムをロードするには、Java Card を挿入し、PIN を入力する必要があります。 ● Java Card ユーザーの認証に使用される PIN の設定と変更。 ● Java Card に保存される電源投入時認証データのバックアップと復元。 19
全般的なタスク [General] (全般) ページでは、以下のタスクを実行できます。 ● Java Card PIN の変更 ● スマート カード リーダーの選択 注記 スマート カード リーダーでは、Java Card とスマート カードの両方を使用できま す。この機能は、コンピュータに複数のスマート カード リーダーがある場合にのみ、使 用可能です。 Java Card PIN の変更 Java Card PIN を変更するには、次の手順を行います。 注記 Java Card PIN は 4 ~ 8 文字の数字でなければなりません。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Java Card Security] (Java Card セキュリティ) を選択し、[General] (全般) を選択します。 3. スマート カード リーダーに Java Card (既存の PIN が設定されたもの) を挿入します。 4.
高度なタスク (管理者専用) [Advanced] (詳細) ページでは、以下のタスクを実行できます。 ● Java Card PIN の割り当て ● Java Card への名前の割り当て ● 電源投入時認証の設定 ● Java Card のバックアップと復元 注記 [Advanced] (詳細) ページにアクセスするには、Computer Setup のセットアップ パスワ ードが必要です。 Java Card PIN の割り当て Java Card を電源投入時の認証に使用するは、Java Card に PIN を割り当てる必要があります。 Java Card に PIN を割り当てるには、次の手順を行います。 注記 Java Card PIN は 4 ~ 8 文字の数字でなければなりません。 JAWW 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2.
Java Card への名前の割り当て Java Card を電源投入時の認証に使用するには、Java Card に名前を割り当てる必要があります。 Java Card に名前を割り当てるには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Java Card Security] (Java Card セキュリティ) を選択し、[Advanced] (詳細) を選択します。 3. [Setup Password] (セットアップ パスワード) ダイアログ ボックスが表示されたら、Computer Setup のセットアップ パスワードを入力し、[OK] をクリックします。 4. スマート カード リーダーに Java Card を挿入します。 注記 このカードに PIN をまだ割り当てていない場合は、[Change PIN] (PIN の変更) ダ イアログ ボックスが開き、新しい PIN を入力できます。 5.
Java Card の電源投入時認証の有効化と管理者 Java Card の作成 Java Card の電源投入時認証を有効にするには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Java Card Security] (Java Card セキュリティ) を選択し、[Advanced] (詳細) を選択します。 3. [Computer Setup Password] (コンピュータ セットアップ パスワード) ダイアログ ボックスが 表示されたら、Computer Setup のセットアップ パスワードを入力し、[OK] をクリックします。 4. スマート カード リーダーに Java Card を挿入します。 注記 このカードに PIN をまだ割り当てていない場合は、[Change PIN] (PIN の変更) ダ イアログ ボックスが開き、新しい PIN を入力できます。 5.
ユーザー Java Card の作成 注記 ユーザー Java Card を作成するためには、電源投入時認証と管理者カードを設定する必 要があります。 ユーザー Java Card を作成するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Java Card Security] (Java Card セキュリティ) を選択し、[Advanced] (詳細) を選択します。 3. [Setup Password] (セットアップ パスワード) ダイアログ ボックスが表示されたら、Computer Setup のセットアップ パスワードを入力し、[OK] をクリックします。 4. ユーザー カードとして使用する Java Card を挿入します。 5.
Java Card のバックアップと復元 Java Card に電源投入時認証 ID を割り当てた後、Java Card リカバリ ファイルを作成することを強 くお勧めします。リカバリ ファイルを使用すると、ある Java Card の Java Card 電源投入時認証 ID データを別の Java Card に転送できます。また、このファイルは、オリジナルの Java Card をバ ックアップするため、または Java Card の紛失や盗難の場合にデータを復元するためにも使用できま す。 注意 更新された Java Card の情報と保管しているリカバリ ファイルが一致しなくなることを 避けるために、直ちにリムーバブル メディアに新しいリカバリ ファイルを作成し、安全な場 所に保管してください。バックアップ Java Card がある場合は、新しいリカバリ ファイルをバ ックアップ Java Card 上に復元して、バックアップ Java Card の情報も必ず更新してくださ い。 リカバリ ファイルの作成 リカバリ ファイルを作成するには、次の手順を行います。 1.
Java Card データの復元 リカバリ ファイルから Java Card データを復元できます。これは、カードの紛失または盗難が発生し た場合、またはバックアップ Java Card を作成する場合に特に便利です。前のデータが保存されてい るカードを使用すると、データは上書きされます。 開始するには、以下のものが必要です。 ● Java Card Security ソフトウェアがインストールされているコンピュータへのアクセス権 ● Java Card リカバリ ファイル ● Java Card リカバリ ファイル パスワード ● Java Card Java Card を復元するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Java Card Security] (Java Card セキュリティ) を選択し、[Advanced] (詳細) を選択します。 3.
4 Embedded Security for ProtectTools 注記 Embedded Security for ProtectTools を使用するには、トラステッド プラットフォーム モジュール (TPM) 内蔵セキュリティ チップがコンピュータに搭載されている必要があります。 Embedded Security for ProtectTools は、ユーザー データや資格情報への不正アクセスを防止しま す。このソフトウェア モジュールには、以下のセキュリティ機能があります。 ● Enhanced Microsoft Encryption File System (EFS) ファイルとフォルダの暗号化 ● ユーザー データを保護するためのパーソナル セキュア ドライブ (PSD) の作成 ● キー階層のバックアップや復元などのデータ管理機能 ● Embedded Security ソフトウェア使用時にデジタル証明書の保護操作を行うためのサードパーテ ィ アプリケーション (Microsoft Outlook や Internet Explorer など) のサポート TPM
セットアップ手順 注意 セキュリティ上のリスクを軽減するために、内蔵セキュリティ チップは IT 管理者が直 ちに初期化するように強くお勧めします。内蔵セキュリティ チップを初期化しないと、権限の ないユーザー、コンピュータ ワーム、またはウイルスがコンピュータの所有者の権限を取得 し、緊急リカバリ アーカイブの取り扱いやユーザー アクセス権の設定などの所有者タスクの 制御権を取得する可能性があります。 内蔵セキュリティ チップを有効にして初期化するには、以下の 2 つのセクションで説明する手順に従 います。 内蔵セキュリティ チップの有効化 Computer Setup ユーティリティで内蔵セキュリティ チップを有効にする必要があります。この手順 は、BIOS Configuration for ProtectTools では実行できません。 内蔵セキュリティ チップを有効にするには、次の手順を行います。 28 1.
内蔵セキュリティ チップの初期化 Embedded Security の初期化プロセスでは、以下の操作を行います。 ● 内蔵セキュリティ チップでのすべての所有者機能へのアクセスを保護する、内蔵セキュリティ チップの所有者パスワードを設定します。 ● すべてのユーザーの基本ユーザー キーの再暗号化を可能にする、保護された記憶域である緊急 リカバリ アーカイブをセットアップします。 内蔵セキュリティ チップを初期化するには、次の手順を行います。 1. タスクバーの右端の通知領域にある ProtectTools Security Manager アイコンを右クリックし、 [Embedded Security Initialization] (Embedded Security の初期化) をクリックします。 ProtectTools Embedded Security 初期化ウィザードが開きます。 2. [Next] (次へ) をクリックします。 3.
基本ユーザー アカウントのセットアップ Embedded Security での基本ユーザー アカウントのセットアップでは、次の操作を行います。 ● 暗号化された情報を保護する基本ユーザー キーを作成し、基本ユーザー キーを保護する基本ユ ーザー キー パスワードを設定します。 ● 暗号化されたファイルとフォルダを保存するためのパーソナル セキュア ドライブ (PSD) をセッ トアップします。 注意 基本ユーザー キー パスワードは、厳重に管理してください。暗号化された情報へのア クセスまたは暗号化された情報の回復には、このパスワードが必要です。 基本ユーザー アカウントをセットアップし、ユーザー セキュリティ機能を有効にするには、次の手 順を行います。 1. Embedded Security ユーザー初期化ウィザードが開いていない場合は、[スタート > すべてのプ ログラム > HP ProtectTools Security Manager] の順に選択します。 2.
全般的なタスク 基本ユーザー アカウントをセットアップした後、以下のタスクを実行できます。 ● ファイルとフォルダの暗号化。 ● 暗号化された電子メールの送受信。 パーソナル セキュア ドライブの使用 PSD をセットアップした後、次回のログオン時に基本ユーザー キー パスワードの入力を求められま す。基本ユーザー キー パスワードを正しく入力すると、Windows エクスプローラから PSD に直接 アクセスできます。 ファイルとフォルダの暗号化 Windows XP Professional で暗号化ファイルを扱うときは、以下の規則を考慮してください。 ● NTFS パーティションのファイルとフォルダだけを暗号化できます。FAT パーティションのファ イルとフォルダは暗号化できません。 ● システム ファイルと圧縮ファイルは暗号化できません。また、暗号化されたファイルは圧縮で きません。 ● 一時フォルダはハッカーの攻撃対象になる可能性があるので、暗号化します。 ● ファイルまたはフォルダを初めて暗号化したときに、回復ポリシーが自動的にセットアップされ ます。このポリシーによって、
基本ユーザー キー パスワードの変更 基本ユーザー キー パスワードを変更するには、次の手順を行います。 32 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Embedded Security] を選択し、[User Settings] (ユーザー設定) を選択しま す。 3. 右側のペインで、[Basic User Key password] (基本ユーザー キー パスワード) の [Change] (変 更) をクリックします。 4. 古いパスワードを入力し、新しいパスワードを設定して確認します。 5.
高度なタスク バックアップと復元 Embedded Security のバックアップ機能は、緊急時に復元する認証情報を含むアーカイブを作成する 機能です。 バックアップ ファイルの作成 バックアップ ファイルを作成するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Embedded Security] を選択し、[Backup] (バックアップ) を選択します。 3. 右側のペインで、[Backup] (バックアップ) をクリックします。 4. [Browse] (参照) をクリックして、バックアップ ファイルの保存場所を選択します。 5. バックアップ情報に緊急リカバリ アーカイブを追加するかどうかを選択します。 6. [Next] (次へ) をクリックします。 7. [Finish] (終了) をクリックします。 バックアップ ファイルからの認証の復元 バックアップ ファイルからデータを復元するには、次の手順を行います。 JAWW 1.
所有者パスワードの変更 所有者パスワードを変更するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Embedded Security] を選択し、[Advanced] (詳細) を選択します。 3. 右側のペインで、[Owner Password] (所有者パスワード) の [Change] (変更) をクリックしま す。 4. 古い所有者パスワードを入力し、新しい所有者パスワードを設定して確認します。 5.
移行ウィザードを使用したキーの移行 移行は、キーと証明書の管理、復元、および転送を可能にする高度なタスクです。 移行について詳しくは、Embedded Security のヘルプを参照してください。 JAWW 高度なタスク 35
36 第4章 Embedded Security for ProtectTools JAWW
5 BIOS Configuration for ProtectTools BIOS Configuration for ProtectTools では、Computer Setup ユーティリティのセキュリティ設定およ び構成設定にアクセスできます。これにより、ユーザーは、Computer Setup によって管理されてい るシステム セキュリティ機能に Windows からアクセスできます。 BIOS Configuration を使用して、以下の操作を実行できます。 ● 電源投入時パスワードと管理者パスワードの管理 ● スマート カード パスワードや内蔵セキュリティ認証の有効化などのその他の電源投入時認証機 能の設定 ● CD-ROM ブートや複数のハードウェア ポートなどのハードウェア機能の有効化と無効化 ● MultiBoot の有効化やブート順序の変更などを含むブート オプションの設定 注記 BIOS Configuration for ProtectTools の機能の大半は、Computer Setup でも使用できま す。 JAWW 37
全般的なタスク BIOS Configuration を使用すると、起動時に F10 キーを押して Computer Setup を開くことによって のみアクセスできるさまざまなコンピュータ設定を管理できます。 ブート オプションの管理 BIOS Configuration を使用して、コンピュータの電源を入れるか再起動したときに実行されるタスク のさまざまな設定を管理できます。 ブート オプションを管理するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[BIOS Configuration] を選択します。 3.
システム構成オプションの有効化と無効化 注記 以下の項目の一部は、機種によってはサポートされない場合があります。 デバイスまたはセキュリティ オプションを有効または無効にするには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[BIOS Configuration] を選択します。 3. BIOS 管理者パスワード プロンプトで Computer Setup 管理者パスワードを入力し、[OK] をクリ ックします。 4.
● 5.
高度なタスク ProtectTools の各種設定の管理 ProtectTools セキュリティ マネージャの一部の機能は、BIOS Configuration でも管理できます。 スマート カードまたは Java Card の電源投入時認証サポートの有効化と無効化 このオプションを有効にすると、コンピュータの電源を入れたときに、スマート カードまたは Java Card を使用してユーザー認証を行うことができます。 注記 この電源投入時認証機能を完全に有効にするには、Smart Card Security for ProtectTools または Java Card Security for ProtectTools モジュールを使用してスマート カードを設定する 必要があります。 スマート カードの電源投入時認証サポートを有効にするには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[BIOS Configuration] を選択します。 3.
Embedded Security での電源投入時認証サポートの有効化と無効化 このオプションを有効にすると、コンピュータの電源を入れたときに、TPM 内蔵セキュリティ チッ プを使用してユーザー認証を行うことができます (使用可能な場合) 。 注記 この電源投入時認証機能を完全に有効にするには、Embedded Security for ProtectTools モジュールを使用して TPM 内蔵セキュリティ チップを設定する必要があります。 Embedded Security での電源投入時認証サポートを有効にするには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[BIOS Configuration] を選択します。 3. BIOS 管理者パスワード プロンプトで Computer Setup 管理者パスワードを入力し、[OK] をクリ ックします。 4. 左側のペインで、[Security] (セキュリティ) を選択します。 5.
自動 DriveLock によるハード ドライブの保護の有効化と無効化 このオプションを有効にすると、DriveLock パスワードが自動的に生成されてドライブに設定され、 TPM 内蔵セキュリティ チップによって保護されます。 注記 自動生成されたパスワードがドライブに設定されるのは、コンピュータを再起動し、パ スワード プロンプトで正しい TPM 内蔵セキュリティ パスワードを入力した後です。 自動 DriveLock を有効にするオプションを使用するには、以下の条件があります。 ● コンピュータに TPM セキュリティ チップが搭載され、初期化されている。TPM セキュリティ チップの有効化と初期化方法については、第 4 章「Embedded Security for ProtectTools」の 内 蔵セキュリティ チップの有効化 」と「内蔵セキュリティ チップの初期化」を参照してくださ い。 ● 有効になっている DriveLock パスワードがない。 注記 DriveLock パスワードを手動で既に設定している場合は、自動 DriveLock 保護を設定す る前に、手動で設定したパスワードを
Computer Setup のセットアップ パスワードは、Computer Setup の各種設定とシステム識別情報を保 護します。このパスワードを設定した後で Computer Setup にアクセスするには、パスワードを入力 する必要があります。セットアップ パスワードを設定した場合は、BIOS Configuration for ProtectTools を開くときにパスワードの入力を求められます。 注記 セットアップ パスワードを設定すると、[Passwords] (パスワード) ページの [Set] (設 定) ボタンは [Change] (変更) ボタンに置き換わります。 電源投入時パスワードの設定 電源投入時パスワードを設定するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[BIOS Configuration] を選択し、[Security] (セキュリティ) を選択します。 3.
4. [Enter Password] (パスワードの入力) ボックスと [Confirm Password] (パスワードの確認) ボ ックスにパスワードを入力します。 5. [Passwords] (パスワード) ダイアログ ボックスで [OK] をクリックします。 6. 変更を保存するには、ProtectTools ウィンドウで [Apply] (適用) をクリックし、[OK] をクリッ クします。 セットアップ パスワードの変更 Computer Setup のセットアップ パスワードを変更するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[BIOS Configuration] を選択し、[Security] (セキュリティ) を選択します。 3. 右側のペインで、[Setup Password] (セットアップ パスワード) の横の [Change] (変更) をクリ ックします。 4.
注記 厳重セキュリティを無効にする場合は、[Enable Stringent Security] (厳重セキュ リティの有効化) チェック ボックスをオフにします。 4. 変更を保存するには、ProtectTools ウィンドウで [Apply] (適用) をクリックし、[OK] をクリッ クします。 Windows 再起動時の電源投入時認証の有効化と無効化 このオプションを使用すると、Windows の再起動時に、電源投入時、TPM、またはスマート カード パスワードを入力するようにユーザーに要求することによって、セキュリティを強化できます。 Windows 再起動時の電源投入時認証を有効または無効にするには、次の手順を行います。 46 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[BIOS Configuration] を選択し、[Security] (セキュリティ) を選択します。 3.
6 Credential Manager for ProtectTools Credential Manager for ProtectTools には、コンピュータに対する不正アクセスを防止する以下のセキ ュリティ機能があります。 JAWW ● Microsoft Windows にログインするときにパスワードの代わりにスマート カードやバイオメトリ ック リーダーなどを使用してログインする機能。詳しくは、この章の後半の「資格情報の登 録」を参照してください。 ● Web サイト、アプリケーション、および保護されたネットワーク リソースのための資格情報を 自動的に記憶するシングル サインオン機能。 ● スマート カードやバイオメトリック リーダーなどの別売のセキュリティ デバイスのサポート。 ● コンピュータのロック解除に別売のセキュリティ デバイスを使用した認証を要求するなど、追 加のセキュリティ設定のサポート。 47
セットアップ手順 Credential Manager へのログオン 設定に応じて、以下のいずれかの方法で Credential Manager にログオンできます。 ● Credential Manager ログオン ウィザード (推奨) ● 通知領域にある Credential Manager アイコン ● ProtectTools セキュリティ マネージャ 注記 Windows ログオン画面で Credential Manager ログオン プロンプトを使用して Credential Manager にログオンすると、Windows にも同時にログオンできます。 初めてのログオン Credential Manager を初めて開くときは、通常の Windows ログオン パスワードを使用してログオン します。Credential Manager アカウントは、Windows ログオン資格情報を使用して自動的に作成され ます。 Credential Manager にログオンした後、指紋やスマート カードなどの追加の資格情報を登録できま す。詳しくは、この章の後半の「資格情報の登録」を参照して
アカウントの新規作成 Credential Manager ログオン ウィザードを使用して、新しいユーザー アカウントを作成できます。 操作を開始するには、管理者アカウントで Windows にログオンしている必要があります (ただし、 Credential Manager にはログオンしていない状態)。 アカウントを新規作成するには、次の手順を行います。 1. 通知領域のアイコンをダブルクリックして、Credential Manager を開きます。Credential Manager ログオン ウィザードが開きます。 2. [Introduce Yourself] (自己紹介) ページで [More] (その他) をクリックし、[Sign Up for a New Account] (新規アカウントのサインアップ) をクリックします。 3. [Next] (次へ) をクリックします。 4. [Registration] (登録) ページで、ユーザー名とアカウントの説明を入力します。 5. [Next] (次へ) をクリックします。 6.
指紋リーダーのセットアップ 注記 別売の指紋リーダーを使用する場合は、以下の手順を実行する前に、コンピュータにリ ーダーを接続してください。 指紋リーダーをセットアップするには、次の手順を行います。 1. Windows で、タスクバーの通知領域にある [Credential Manager] アイコンをダブルクリックし ます。 – または – [スタート > すべてのプログラム > ProtectTools Security Manager] の順に選択し、左側のペイ ンの [Credential Manager] をクリックします。 2. [My Identity] (自分の ID) ページで、ページの右上隅にある [Log On] (ログオン) をクリックしま す。 Credential Manager ログオン ウィザードが開きます。 3.
9. 少なくとも 2 本の指を登録した後、[Finish] (終了) をクリックし、[OK] をクリックします。 10. 別の Windows ユーザーのために指紋リーダーを設定するには、そのユーザーとして Windows に ログオンし、手順 1 ~ 9 を繰り返します。 登録した指紋を使用しての Windows へのログオン 登録した指紋を使用して Windows にログオンするには、次の手順を行います。 1. 指紋登録の直後に、Windows を再起動します。 2. 画面の左上にある [Log on to Credential Manager] (Credential Manager へのログオン) をクリ ックします。 3. [Credential Manager Logon Wizard] ダイアログ ボックスで、ユーザー名をクリックする代わり に、登録済みのいずれかの指を使用して Windows にログオンします。 4.
全般的なタスク Credential Manager の [My Identity] (自分の ID) ページは、すべてのユーザーがアクセスできます。 [My Identity] (自分の ID) ページから、以下の操作を実行できます。 ● 認証資格情報の作成と登録 ● パスワードの管理 ● Microsoft ネットワーク アカウントの管理 ● シングル サインオン資格情報の管理 仮想トークンの作成 仮想トークンは、スマート カードや USB トークンと同様の機能を果たします。トークンはコンピュ ータのハード ドライブまたは Windows レジストリに保存されます。仮想トークンを使用してログオ ンすると、認証を完了するためにユーザー PIN の入力が要求されます。 仮想トークンを新規作成するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2.
トークン PIN の変更 Credential Manager の [My Identity] (自分の ID) ページからスマート カードまたは仮想トークンの PIN を変更できます。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Credential Manager] を選択し、[My Identity] (自分の ID) を選択します。 3. 右側のペインで、[I Want To] (実行する操作) の [More] (その他) をクリックし、[Change Token PIN] (トークン PIN の変更) をクリックします。 4. [Next] (次へ) をクリックします。 5. PIN を変更するトークンを選択し、[Next] (次へ) をクリックします。 6.
ID の復元 ID を復元するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Credential Manager] を選択し、[My Identity] (自分の ID) を選択します。 3. 右側のペインで、[I Want To] (実行する操作) の [More] (その他) をクリックし、[Restore Identity] (ID の復元) をクリックします。 4. [Next] (次へ) をクリックします。 5. [Device Type] (デバイス タイプ) ページで、バックアップが保存されているデバイスの種類を選 択し、[Next] (次へ) をクリックします。 6. 選択したデバイスに関する画面の説明に沿って操作し、[Finish] (終了) をクリックします。 7.
コンピュータのロック ワークステーション ロック機能を使用すると、離席中にコンピュータを保護することができます。ワ ークステーション ロック機能によって、権限のないユーザーがコンピュータにアクセスできないよう にすることができます。コンピュータのロック解除は、そのコンピュータのユーザー自身と管理者グ ループだけが実行できます。 注記 セキュリティを強化するために、ワークステーション ロック機能を使用して、スマート カード、バイオメトリック リーダー、またはトークンがないとコンピュータのロックを解除で きないように設定できます。詳しくは、この章の後半の「Credential Manager プログラムの設 定の指定」を参照してください。 コンピュータをロックするには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Credential Manager] を選択し、[My Identity] (自分の ID) を選択します。 3.
注記 この方法をデフォルトの方法にする場合は、[Use this policy next time you log on] (次回ログオン時にこのポリシーを使用する) チェック ボックスをオンにします。 6. 選択した認証方法に関する画面の説明に沿って操作します。認証情報が正しい場合は、Windows アカウントと Credential Manager にログオンできます。 アカウントの追加 Credential Manager にログオンした後、ローカルまたはドメイン アカウントを追加できます。 アカウントを追加するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Credential Manager] を選択し、[My Identity] (自分の ID) を選択します。 3.
3. 右側のペインで、[Microsoft Network Logon] (Microsoft ネットワーク ログオン) の [Manage Network Account] (ネットワーク アカウントの管理) をクリックします。 4. デフォルトにするアカウントをクリックし、[Properties] (プロパティ) をクリックします。 5. [Account Properties] (アカウントのプロパティ) ダイアログ ボックスの [Set Up Account] (ア カウントの設定) タブで、[Use these credentials by default] (デフォルトでこれらの資格情報を 使用する) チェック ボックスをオンにします。 6.
4. パスワード ダイアログ ボックスがあるページが表示されるまで、登録するアプリケーションを 実行します。 5. SSO 登録ウィザードの [Drag and Drop Registration] (ドラッグ アンド ドロップでの登録) ページ で、自動化するアクティビティのタイプを選択します。 注記 ほとんどの場合、自動化するアクティビティは [Logon dialog] (ログオン ダイアロ グ) になります。 6. ウィザードのページでアイコンをクリックし、パスワード ボックスがあるアプリケーションの 領域にドラッグします。領域が強調表示されたら、マウスのボタンを離します。 注記 ページ上を移動する間は指のアイコンは表示されませんが、アプリケーションのロ グオン ボックス上にポインタをドラッグすると、長方形のアイコンが表示されます。 7. SSO 登録ウィザードの [Application Information] (アプリケーション情報) ページで、アプリケー ションの名前と説明を入力します。 8. [Finish] (終了) をクリックします。 9.
3. 右側のペインで、[Single Sign On] (シングル サインオン) の [Manage Applications and Credentials] (アプリケーションと資格情報の管理) をクリックします。 4. 削除するアプリケーションをクリックし、[Remove] (削除) をクリックします。 5. 確認ダイアログ ボックスで [Yes] (はい) をクリックします。 6. [OK] をクリックします。 アプリケーションのエクスポート アプリケーションをエクスポートして、シングル サインオン アプリケーション スクリプトのバック アップ コピーを作成できます。このファイルは、シングル サインオン データの回復に使用できま す。このファイルは、資格情報だけを保存した ID バックアップ ファイルを補足する働きをします。 アプリケーションをエクスポートするには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2.
60 4. 変更するアプリケーションのエントリをクリックし、[More] (その他) をクリックします。 5. 以下のオプションのいずれかを選択します。 ● [Add New Credentials] (新しい資格情報を追加する) ● [Delete Credentials] (資格情報を削除する) ● [Delete Unused Credentials] (使用されていない資格情報を削除する) ● [Edit Credentials] (資格情報を編集する) 6. 画面に表示される手順に従います。 7.
高度なタスク (管理者専用) Credential Manager の [Authentication and Credentials] (認証と資格情報) ページと [Advanced Settings] (詳細設定) ページは、管理者権限があるユーザーだけが使用できます。これらのページから、以下の 操作を実行できます。 ● ユーザーと管理者のログオン方法の指定 ● 資格情報のプロパティの設定 ● Credential Manager プログラムの設定値の指定 ユーザーと管理者のログオン方法の指定 [Authentication and Credentials] (認証と資格情報) ページから、ユーザーと管理者のそれぞれに必要な 資格情報の種類や組み合わせを指定できます。 ユーザーまたは管理者のログオン方法を指定するには、次の手順を行います。 JAWW 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2.
カスタム認証要件の設定 [Authentication and Credentials] (認証と資格情報) ページに目的の認証資格情報セットが含まれていな い場合は、カスタム要件を作成できます。 カスタム要件を設定するには、次の手順を行います。 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Credential Manager] を選択し、[Authentication and Credentials] (認証と 資格情報) を選択します。 3. 右側のペインで、[Authentication] (認証) タブをクリックします。 4. カテゴリの一覧からカテゴリ ([Users] (ユーザー) または [Administrators] (管理者)) を選択しま す。 5. 認証方法の一覧の [Custom] (カスタム) をクリックします。 6. [設定] をクリックします。 7. 使用する認証方法を選択します。 8.
4. 5.
64 5. 変更を保存するには、[Apply] (適用) をクリックし、[OK] をクリックします。 6.
例 2 - [Advanced Settings] (詳細設定) ページを使用してシングル サインオンの前に ユーザーの検証を要求する 登録済みのダイアログ ボックスまたは Web ページにログオンする前に、シングル サインオンで資格 情報の検証を要求するには、次の手順を行います。 JAWW 1. [スタート > すべてのプログラム > HP ProtectTools Security Manager] の順に選択します。 2. 左側のペインで、[Credential Manager] を選択し、[Advanced Settings] (詳細設定) を選択しま す。 3. 右側のペインで、[Single Sign On] (シングル サインオン) タブをクリックします。 4.
66 第6章 Credential Manager for ProtectTools JAWW
用語集 BIOS セキュリティ モード (BIOS security mode) Smart Card Security で行う設定であり、有効にした場合、 ユーザー認証にスマート カードの使用と有効な PIN が必要になります。 BIOS プロファイル (BIOS profile) 保存して他のアカウントに適用できる BIOS 構成設定値のグループ。 DriveLock ハード ドライブをユーザーに関連付け、コンピュータの起動時に正しい DriveLock パスワードの 入力をユーザーに要求するセキュリティ機能。 ID (Identity) ProtectTools Credential Manager において、アカウントやプロファイルのように特定のユーザー についてまとめられた資格情報と設定値のグループ。 Java Card クレジット カードに似た形と大きさのハードウェアで、所有者に関する識別情報を格納する。コン ピュータに対して所有者を認証するために使用される。 USB トークン (USB token) ユーザーに関する識別情報を格納するセキュリティ デバイス。スマート カードや バイオメトリック
蔵セキュリティ チップ。ある特定のプラットフォームにおける信頼性の基盤である。TPM は、トラステッド コ ンピューティング グループ (TCG) の仕様を満たす暗号アルゴリズムと動作を実現する。 ネットワーク アカウント (Network account) ローカル コンピュータ、ワークグループ、またはドメイン上の Windows ユーザー アカウントまたは管理者アカウント。 パーソナル セキュア ドライブ (Personal secure drive) (PSD) 機密情報のための保護された記憶域を提供す る。 バイオメトリック (Biometric) 指紋などの物理的な特徴を利用してユーザーを識別する認証資格情報のカテゴ リ。 パブリック キー インフラストラクチャ (Public Key Infrastructure) (PKI) 証明書および暗号キーの作成、使 用、管理のためのインタフェースを定義した規格。 リブート (Reboot) コンピュータを再起動する処理。 暗号サービス プロバイダ (Cryptographic service provider) (CSP) 特定の暗号機能を実行するために
索引 B BIOS Configuration for ProtectTools 37 BIOS 管理者カード パスワード 設定 10 定義 3 変更 11 BIOS 管理者パスワード 定義 3 BIOS スマート カード セキュリテ ィ 9 BIOS セットアップ パスワード 設定 44 変更 45 BIOS ユーザー カード パスワード 設定と変更 12 定義 3 C Computer Setup の管理者パスワー ド 定義 3 Computer Setup のセットアップ パ スワード 設定 44 変更 45 Credential Manager アカウント 49 リカバリ ファイル パスワード 4 ログオン ウィザード 48 ログオン パスワード 4 Credential Manager for ProtectTools 47 E Embedded Security for ProtectTools 27 Embedded Security パスワード 4 JAWW F F10 セットアップ パスワード 3 定義 4 緊急リカバリ 29 I ID け 厳重セキュリティ 45 53 J
保存 13 スマート カード リカバリ ファイル パスワード 設定 15 定義 3 せ セキュリティ セットアップ パスワ ード 3 厳重セキュリティ 45 自動 DriveLock 43 スマート カード BIOS セキュリ ティ 10 デバイス オプション 39 電源投入時認証 41 て デバイス オプション 39 デフォルト ユーザー 56 電源投入時認証 Windows の再起動時 46 有効化と無効化 41 電源投入時パスワード 設定と変更 44 定義 3 ゆ 有効化 TPM チップ 28 厳重セキュリティ 45 自動 DriveLock 43 スマート カード BIOS セキュリ ティ 9 スマート カード認証 41 デバイス オプション 39 電源投入時認証 41 無効化 スマート カード認証 41 と 登録 アプリケーション 資格情報 49 り リカバリ ID 54 スマート カード 57 ね ネットワーク アカウント 56 16 わ ワークステーションのロック 55 は パーソナル セキュア ドライブ (PSD) 31 バイオメトリック リーダー 50 パスワード ガイド
