HP ProtectTools 内蔵セキ ュ リ テ ィ ガ イ ド 製品番号 : 364876-291 2004年5月 このガイドでは、HP ProtectTools 内蔵セキュリティ チップを設定するための ソフトウェアの使用方法について説明します。
© Copyright 2004 Hewlett-Packard Development Company, L.P.
目次 HP ProtectTools内蔵セキ ュ リ テ ィ 要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 ProtectTools内蔵セキュリティの基本概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 HP ProtectTools内蔵セキュリティ チップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Personal Secure Drive(PSD). . . . . . . . . . . . . . . . . .
HP ProtectTools内蔵セキュ リ テ ィ HP ProtectToolsセキュリティ マネージャは、HP ProtectTools内蔵セキュリティ を設定するためのソフトウェアです。このマネージャは、内蔵セキュリティ ソフトウェアのさまざまなオプションにアクセスするためのインタフェース (シェル)です。HP ProtectTools 内蔵セキュリティは、Personal Secure Drive (PSD) 、暗号化/TPMチップ インタフェース、セキュリティの移行、アーカイ ブの作成、およびパスワードの制御などに関するソフトウェアの集合です。 要件 セキュリティ機能を使用するには、次のものが必要です。 Q HP ProtectTools内蔵セキュリティ ソフトウェア Q HP ProtectToolsセキュリティ マネージャ ソフトウェア Q HP ProtectTools 内蔵セキュリティ チップ(コンピュータに搭載されてい ます) 内蔵セキュリティ ソリューションのセットアップについては、8 ページの 「セットアップ手順」を参照してください。 HP ProtectTools
HP ProtectTools内蔵セキ ュ リ テ ィ ProtectTools内蔵セキ ュ リ テ ィ の基本概念 ここでは、HP ProtectTools 内蔵セキュリティおよび HP ProtectTools セキュリ ティ マネージャを使用するために理解しておく必要のある、全般的な概念に ついて説明します。 HP ProtectTools内蔵セキュ リ テ ィ チ ッ プ 内蔵セキュリティ チップは、公開キーと秘密キーを保護するため、セキュリ ティおよび暗号化機能を提供し、不正防止の記憶領域を備えたハードウェア コンポーネントです。チップは工場で組み込まれるため、HPのサポートまた はサービス担当者以外はアクセスまたは取り外しできません。 Personal Secure Drive (PSD) Personal Secure Drive(PSD)は、内蔵セキュリティの機能の1つです。PSDは、 HP ProtectTools内蔵セキュリティのユーザ初期化プロセス中に作成される仮想 ドライブです。機密データを保護するための記憶領域を提供し、他のドライブ と同じように、ファイルやフォルダを作成したり
HP ProtectTools内蔵セキ ュ リ テ ィ 電子 メ ール 電子メールのセキュリティ保護も、内蔵セキュリティの重要な機能の 1つで す。この機能を使用すると、情報を機密に交換し、転送中に情報の信頼性が 失われていないことを保証できます。電子メールをセキュリティ保護するこ とで、次の操作が可能になります。 Q 認証機関(CA)が発行した公開キー証明書を選択する。 Q メッセージにデジタル署名を付加する。 Q メッセージを暗号化する。 HP ProtectTools 内蔵セキュリティおよびHP ProtectTools セキュリティ マネー ジャは、メッセージの暗号化、解読、およびデジタル署名に使用されるキー の保護機能を追加することによって、電子メールのセキュリティ保護機能を 向上させます。これにより、次の電子メール クライアントで、電子メールの セキュリティを向上できます。 Q Microsoft Outlook Express(バージョン4以降) Q Microsoft Outlook 2000 Q Microsoft Outlook 2002 Q Netsc
HP ProtectTools内蔵セキ ュ リ テ ィ 暗号化フ ァ イル システム (EFS) の機能の向上 EFSは、Microsoft Windows 2000およびWindows XP Professionalで提供される ファイル暗号化サービスです。EFSは、次の機能を提供することによってデー タのプライバシを保護します。 Q ディスクへの保存時の、ユーザによるファイルの暗号化 Q 暗号化されたファイルへのすばやく簡単なアクセス Q 自動的な(かつユーザが意識することのない)暗号化 Q システム管理者により、他のユーザが暗号化したデータの回復が可能 HP ProtectTools 内蔵セキュリティおよびHP ProtectTools セキュリティ マネー ジャは、データの暗号化および解読に使用されるキーの保護機能を追加する ことによって、EFSの機能を向上させます。 EFSについて詳しくは、オペレーティング システムのオンライン ヘルプを参 照してください。 ユーザおよび管理者 ユーザ ユーザは、内蔵セキュリティへの基本的なアクセス権を持ち、次の操作を実 行できます。
HP ProtectTools内蔵セキ ュ リ テ ィ 管理者 管理者はコンピュータの内蔵セキュリティ ソリューションを初期化し、ま た、次の操作を実行できます。 Q 内蔵セキュリティのローカル マシン ポリシーおよびユーザ ポリシーの 設定 Q ユーザ キーおよび証明書の移行の準備 Q 内蔵セキュリティ オーナのパスワードの変更 Q 内蔵セキュリティの無効化と有効化 Q ユーザ キーおよび証明書の移行先コンピュータの認証 Q 内蔵セキュリティを使用して保存および暗号化されたデータの回復 内蔵セキュリティのユーザおよび管理者について詳しくは、オペレーティン グ システムのオンライン ヘルプを参照してください。内蔵セキュリティの オーナについて詳しくは、HP ProtectTools 内蔵セキュリティのオンライン ヘ ルプを参照してください。 デジ タ ル証明書 デジタル証明書は、 個人または企業の身元を証明するための、電子的な 「キー」 の一形態です。キーは、送信者と受信者の両方またはそのどちらか一方のみ が知っている数字または文字列です。デジタル証明書は、その所有者が送信 する
HP ProtectTools内蔵セキ ュ リ テ ィ デジ タ ル署名 デジタル署名には、デジタル証明書を発行したCAの名前が示されます。次の ために使用します。 Q デジタル文書の送信者の身元確認 Q 送信者が文書にデジタル署名した後、その文書の内容が変更されていな いことの証明 デジタル署名について詳しくは、 オペレーティング システムのオンライン ヘ ルプを参照してください。 公開キー と 秘密キー 内蔵セキュリティで情報の暗号化方法として使用される非対称暗号法では、 公開キーと秘密キーの2つのキーが必要になります。 公開キーは多数のユーザに自由に配布できますが、 秘密キーは1人のユーザの みが所有します。 たとえば、暗号化された電子メールを送信する場合、ユーザAは、ユーザBの 公開キー(自由に入手できます)を使用して電子メールの内容を暗号化し、 ユーザBに送信します。ユーザBの秘密キーを所有するのはユーザBだけなの で、ユーザAが送信した電子メールの内容は、ユーザBのみが解読できます。 公開キーを利用した技術によって、公共のネットワークを介した個人情報の 送受信、デジタル署名を使用した
HP ProtectTools内蔵セキ ュ リ テ ィ Emergency Recovery Emergency Recovery Archive は、コンピュータとそのユーザに関する機密情 報、および暗号化されたデータや個人データの保護に使用される秘密キーに 関する機密情報が保存されたファイルです。このファイルは、内蔵セキュリ ティのセットアップ時に管理者によって作成されます。システムに障害が発 生した場合、保護されたデータへのアクセス権を復元するには、この機密情 報が必要です。 Emergency Recovery Tokenは、Emergency Recovery Archive内のデータの保護に 使用されるキーが保存されたファイルです。このファイルも、内蔵セキュリ ティのセットアップ時に管理者によって作成されます。トークンは、アーカ イブにアクセスするために必要です。Emergency Recovery Tokenへのアクセス は、パスワードによって保護されます。このパスワードは、内蔵セキュリティ システムを復元する場合に必要です。 ポ リ シー ポリシーは、 コンピュータまたはソフトウェアの動作
HP ProtectTools内蔵セキ ュ リ テ ィ セ ッ ト ア ッ プ手順 以下の手順に従って、システムBIOSでコンピュータ セットアップ(F10)ユー ティリティを使用して、内蔵セキュリティ チップの有効化および初期化を行 います。 Ä 注意 : セキュリティ上の危険を防ぐため、組織内で適切な権限を持つユーザ がただちに内蔵セキュリティ チップを初期化することをお勧めします(手順 4を参照してください)。内蔵セキュリティ チップを初期化しないと、権限の ないユーザ、コンピュータ ワーム、またはウィルスによって、システムの オーナシップを奪われる可能性があります。 チップのコンフィギュレーションはコンピュータ セットアップ(F10)ユー ティリティを使用して有効にしたり変更したりするので、チップのコンフィ ギュレーションにアクセスするには、コンピュータ セットアップ(F10)ユー ティリティでBIOS管理者のパスワードを設定する必要があります。 チ ッ プの有効化 1.
HP ProtectTools内蔵セキ ュ リ テ ィ 4. 左右の矢印キーを使用して[セキュリティ ](Security)メニューを選択し、 上下の矢印キーを使用して[セットアップ パスワード](Setup Password) を選択します。[Enter] キーを押し、新しいセットアップ パスワードを 入力して確定します。[F10]キーを押してパスワードを許可します。 機密保護のため、入力したパスワードは画面に表示されません。パスワード を入力する際は、間違えないよう注意してください。 5. [セキュリティ]メニューで上下の矢印キーを使用して[Embedded Security Device](内蔵セキュリティ デバイス)を選択し、[Enter]キーを押します。 6. ダイアログ ボックスで[Embedded Security Device—Disable](無効)が 選択されている場合、左右の矢印キーを使用して [Embedded Security Device—Enable](有効)に変更します。 7. [F10]キーを押して、内蔵セキュリティの設定への変更を確定します。 8.
HP ProtectTools内蔵セキ ュ リ テ ィ 5. [Emergency Recovery Token](緊急時復元プロセスの設定)パスワード を入力して確定し、[Next](次へ)をクリックします。 6. Ä [Browse](参照)をクリックして適切な場所を選択します。 注意 : Emergency Recovery Token キーは、コンピュータや内蔵セキュリティ チップに不具合がある場合に、暗号化されたデータを復元するために使用し ます。キーがないと、データを復元できません(基本ユーザ パスワードがな い場合にも、データにアクセスできません)。このキーは安全な場所に保管 してください。 7. [Save](保存)をクリックしてファイルの場所とデフォルトのファイル 名を確定し、[Next]をクリックします。 8.
HP ProtectTools内蔵セキ ュ リ テ ィ 基本ユーザ アカウントをセットアップし、ユーザのセキュリティ機能を有効 にするには、以下の手順で操作します。 1. [Embedded Security User initialization Wizard](Embedded Securityユー ザ初期化ウィザード)が開いていない場合は、システム トレイの [HP ProtectTools] ア イ コ ン を 右 ク リ ッ ク し、[Embedded Security User Initialization](Embedded Securityユーザの初期化)を左クリックします。 [Embedded Security User initialization Wizard]が表示されます。 2. [Next](次へ)をクリックします。 3. 基本ユーザ キー パスワードを入力して確定し、[Next]をクリックします。 機密保護のため、入力したパスワードは画面に表示されません。パスワード を入力する際は、間違えないよう注意してください。 4.
HP ProtectTools内蔵セキ ュ リ テ ィ よ く 実行する作業 ここでは、ユーザおよび管理者が最もよく実行する基本的な作業について説 明します。 ユーザの作業 ユーザの基本的な作業には、PSD のセットアップ、ファイルやフォルダの暗 号化、および暗号化またはデジタル署名された電子メールの送受信が含まれ ます。 PSDの使用 PSDを使用するには、PSDパスワードを入力します。PSDが表示され、ファイ ルが解読されます。PSDは他のドライブと同様に使用できます。 PSD を使用し終わったら、適切な手順でログオフしてください。PSD は自動 的に非表示になります。 フ ァ イ ルお よび フ ォ ルダの暗号化 Windows 2000およびWindows XP ProfessionalでEFSを操作するときは、以下の 点を考慮してください。 Q 暗号化できるのは、NTFSパーティション上のファイルおよびフォルダの みです(FAT パーティション上のファイルやフォルダは暗号化できませ ん) 。 Q システム ファイルおよび圧縮ファイルは暗号化できません。また、暗号 化されたファイルは圧
HP ProtectTools内蔵セキ ュ リ テ ィ ファイルおよびフォルダを暗号化するには、以下の手順で操作します。 1. 暗号化するファイルまたはフォルダを選択します。 2. マウスまたはタッチパッドで右クリックします。 3. [暗号化]をクリックします。 4. [ このフォルダのみ変更を適用する ] または [ このフォルダ、およびサブ フォルダとファイルに変更を適用する]をクリックします。 5.
HP ProtectTools内蔵セキ ュ リ テ ィ 管理者の作業 管理者は多くの作業を実行できます。以下に、実行できる作業のいくつかを 説明します。詳しくは、HP ProtectTools 内蔵セキュリティのヘルプを参照し てください。 [Embedded Security Migration Wizard]を使用 し たキーの移行 移行は、キーおよび証明書を管理、復元、および転送するための、上級管理 者向けの作業です。 移行の最初の作業では、移行プロセスの認証、セットアップ、および管理を 行います。認証が完了したら、ユーザは、移行元のコンピュータから移行先 のコンピュータにキーと証明書をエクスポートおよびインポートできます。 移行について詳しくは、HP ProtectTools 内蔵セキュリティのヘルプを参照し てください。 情報の回復 チップに障害が発生したり、チップを設定しなおしたりした場合は、次のよ うに情報を回復できます。 Q [Emergency Restore Wizard](緊急リストア ウィザード)を使用して、 PSDからデータを復元できます。 Q PSD では、暗号化ファ
HP ProtectTools内蔵セキ ュ リ テ ィ Windows XP Professional では、登録済みの回復エージェントが自動的には作 成されません。登録済みの回復エージェントをセットアップするには、オペ レーティング システムの指示に従ってください。 データを回復するには、登録済みの回復エージェントがデジタル証明書およ びキーを持っている必要があります。データ回復の証明書および秘密キーを ディスクにエクスポートし、安全な場所に保管して、データ回復の秘密キー をコンピュータから削除してください。これによって、データを回復できる ユーザのみが、データ回復の秘密キーに物理的にアクセスできることになり ます。 コ ン ピ ュ ー タ セ ッ ト ア ッ プ (F10) ユーテ ィ リ テ ィ を使用 し た 内蔵セキ ュ リ テ ィ チ ッ プの工場出荷時設定の復元 Ä 注意 : この作業では、内蔵セキュリティ チップのオーナシップが解放されま す。オーナシップが解放されると、内蔵セキュリティ チップを誰でも初期化 できる状態になります。 暗号化されたファイルがある場合、内蔵セキュリテ
HP ProtectTools内蔵セキ ュ リ テ ィ 4. 上下の矢印キーを使用して言語を選択し、[Enter]キーを押してコン ピュータ セットアップ(F10)ユーティリティを実行します。 ヘルプを表示する場合は、[F1]キーを押します。 5. セキュリティ セットアップ パスワードが設定されていない場合は、ここ で設 定し てく ださ い。左右 の矢 印キ ーを 使用 して [ セキ ュリ ティ ] (Security)メニューを選択し、上下の矢印キーを使用して[セットアップ パスワード](Setup Password)を選択します。[Enter]キーを押し、新し いセットアップ パスワードを入力して確定します。[F10] キーを押して パスワードを許可します。 機密保護のため、入力したパスワードは画面に表示されません。パスワード を入力する際は、間違えないよう注意してください。 6. [セキュリティ]メニューで上下の矢印キーを使用して[Embedded Security Device](内蔵セキュリティ デバイス)を選択し、[Enter]キーを押します。 7.
HP ProtectTools内蔵セキ ュ リ テ ィ 最適な使用方法 内蔵セキュリティを使用するときは、以下のガイドラインに従うことをお勧 めします。 Q ITセキュリティ管理者は、ユーザにコンピュータを配布する前に、コン ピュータ セットアップ(F10)ユーティリティでBIOS管理者のパスワー ドを設定し、内蔵セキュリティ チップを初期化してください。 Q ITセキュリティ管理者は、 内蔵セキュリティ ソリューションのセットアッ プ プロセス中にEmergency Recovery Archive をセットアップし、ユーザ に、データを定期的に保存およびバックアップするよう指示してくださ い。これはシステムに障害が発生した場合に、暗号化されたデータを回 復するための唯一の方法です。Emergency Recovery Archive とEmergency Recovery Tokenは、個別に保存してください。 Q 個々のファイルではなく、フォルダを暗号化します。これによって、ファ イルの編集中に作成される一時ファイルも暗号化されます。 Q ドメインのメンバであるコンピュータ上の機密デー
HP ProtectTools内蔵セキ ュ リ テ ィ よ く あ る質問 コンピュータに HP ProtectTools 内蔵セキュリティ チップが搭載されている かどうかは、どのように確認できますか。 チップは、システムに組み込まれたハードウェア コンポーネントです。この コンポーネントが搭載されている場合は、デバイス マネージャに表示されま す。 HP ProtectTools内蔵セキュリティ ソフトウェアはどこで入手できますか。 HPのWebサイト(http://www.hp.
HP ProtectTools内蔵セキ ュ リ テ ィ 3. 必要に応じて、セットアップ パスワードを入力して[Enter] キーを押し ます。 4. 上下の矢印キーを使用して言語を選択し、[Enter]キーを押してコン ピュータ セットアップ(F10)ユーティリティを実行します。 ヘルプを表示する場合は、[F1]キーを押します。 5. セキュリティ セットアップ パスワードが設定されていない場合は、ここ で設 定し てく ださ い。左右 の矢 印キ ーを 使用 して [ セキ ュリ ティ ] (Security)メニューを選択し、上下の矢印キーを使用して[セットアップ パスワード](Setup Password)を選択します。[Enter]キーを押し、新し いセットアップ パスワードを入力して確定します。[F10] キーを押して パスワードを許可します。 機密保護のため、入力したパスワードは画面に表示されません。パスワード を入力する際は、間違えないよう注意してください。 6.
HP ProtectTools内蔵セキ ュ リ テ ィ ト ラ ブルシ ュ ーテ ィ ング 内蔵セキュリティが動作しません。どのように対処したらよいですか。 システム トレイの[HP ProtectTools]アイコンを右クリックし、[Manage 1. Embedded Security](Embedded Securityの管理)を左クリックします。 [Embedded Security]→[Info](全般)→[Self Test](自己診断テスト)の 2.
HP ProtectTools内蔵セキ ュ リ テ ィ 適切なタイミングで [F10] キーを押せなかったときは、コンピュータを再起 動して、もう一度[F10]キーを押したままにしてください。 PS/2キーボードを使用している場合、[Keyboard Error]というメッセージが表 示されることがありますが、無視してかまいません。 3. 必要に応じて、セットアップ パスワードを入力して[Enter] キーを押し ます。 4. 上下の矢印キーを使用して言語を選択し、[Enter]キーを押してコン ピュータ セットアップ(F10)ユーティリティを実行します。 ヘルプを表示する場合は、[F1]キーを押します。 5.
HP ProtectTools内蔵セキ ュ リ テ ィ b. [Enter]キーを押します。 選択した項目が[Reset to Factory Settings—Reset](リセット)に変 更されます。 9. [F10]キーを押して変更を確定します。 10. 変更を保存するには、[F10] キーを押して [ 変更を保存して終了 ](Save Changes and Exit)に移動します。[Enter]キーを押し、[F10]キーを押し て変更を確定します。 11. コンピュータの電源を切ります。 チップをリセットするには、コンピュータの電源を切る必要があります。 12. 手順1に戻ります。 13. ダイアログ ボックスで[Embedded Security Device—Disable](無効)が 選択されている場合、左右の矢印キーを使用して [Embedded Security Device—Enable](有効)に変更します。 14. [F10]キーを押して、内蔵セキュリティの設定への変更を確定します。 15.
HP ProtectTools内蔵セキ ュ リ テ ィ 20. リカバリ アーカイブを作成しないで続行するには、[Yes](はい)をクリッ クします。 21. [Next](次へ)をクリックして設定を確定します。 22. [Browse](参照)をクリックしてEmergency Archiveの場所を指定します。 デフ ォル トの 場所 は、C:\Documents and Settings\All Users\Application Data\Infineon\TPM Software\RecoveryArchive\SPEmRecArchive.xmlです。 23. [Open](開く)→[Next]の順に選択します。 24. [Browse]をクリックして、最初のHP ProtectTools内蔵セキュリティの初期 化で作成されたリカバリ トークンの場所を指定します。トークンをク リックして[Open]をクリックします。 25. トークン パスワードを入力して[Next]をクリックします。 26. マシン名を選択して[Next]をクリックします。 27.
HP ProtectTools内蔵セキ ュ リ テ ィ 32. ユーザを選択し、そのユーザの元の基本ユーザ キーのパスワードを入力 して、[Next](次へ)をクリックします。 33. [Next] をクリックして設定を確定し、デフォルトの復元データの場所を 確定します。 34. [Security Features](セキュリティ機能)から適切な項目を選択し、[Next] をクリックします。 35. ヘルプ ファイルをスキップするには[Next]をクリックします。 36. 複数の暗号化証明書がある場合は、適切な証明書をクリックします。 [Next]をクリックして、暗号化証明書を適用します。 37. 該当する箇所で[I want to change my Personal Secure Drive settings] (PSDの設定を変更する)をクリックして、[Next]をクリックします。 38. セキュリティ機能を確定して[Next]をクリックします。 39. 設定を確定して[Next]をクリックします。 40. PSDパスワードを入力して[OK]をクリックします。 41.
HP ProtectTools内蔵セキ ュ リ テ ィ 用語集 Emergency Recovery Archive:他のプラットフォームのオーナ キーを使用し て基本ユーザ キーを再暗号化できる、保護された記憶領域。 Personal Secure Drive(PSD):機密データを保護するための記憶領域を提 供する機能。 TPM(Trusted Platform Module):データにハードウェア レベルのセキュリ ティを提供する機能。内蔵セキュリティ チップは、システムに組み込まれて いるため、システムの整合性を確認したり、プラットフォームにアクセスす る第三者を認証したりすることができます。一方で、正式なユーザにより完 全に制御されます。 暗号化:アルゴリズム、暗号法、または、権限のない受信者がデータを解読 できないように平文を暗号文に変換するための、暗号法で使用される手順。 データの暗号化にはさまざまな種類があります。暗号化は、ネットワーク セ キュリティの基礎として使用されます。一般的な暗号化には、データ暗号化 規格(DES)および公開キー暗号があります。 暗号化サービス プロバイダ(CSP)
HP ProtectTools内蔵セキ ュ リ テ ィ 公開キー基盤(PIK) :証明書および暗号化キーを作成、使用、および管理す るためのインタフェースを定義する規格。 デジタル証明書:デジタル証明書の所有者の身元と、デジタル情報の署名に 使用される電子キーのペアとを結びつけることによって、個人または企業の 身元を証明する電子的な信用証明書。 デジタル署名:デジタル文書の送信者の身元を確認し、送信者が文書に署名 した後でその文書の内容が変更されていないことを証明するための機能。 認証機関(CA) :公開キー基盤の運営に必要な証明書を発行するサービス。 26 www.hp.
