FAQ's

Windows10の対応について

 

対応しています。

line break

 

対応しています。
Windows 10 の大型アップデートを適用する際、必ずしも SecureDoc をバージョンアップする必要はありません。

line break

 

可能です。
復号化などの操作は必要ありません。

line break

 

BitLocker との違いについて

 

一番の違いは、BitLocker は 「暗号化」、SecureDoc は 「暗号化+管理」 です。
SecureDoc はBitLocker を管理することも可能です。

line break

 

SecureDoc による BitLocker 管理を導入することにより以下のようなことが可能となります。

(1) OS 起動前の認証(以下、プリブート認証)で複数のユーザーを登録できます。
(2) パスワードポリシーに沿ったパスワード設定が行えます。またパスワード忘れの際、SecureDoc 管理者が発行するワンタイムパスワード(チャレンジアンドレスポンス)が使用できます。
(3) BitLocker の復号化は SecureDoc の管理者のみ行えるようになります(ローカル PC の管理者権限では復号化できません)。 また、万が一 SecureDoc 管理者以外による復号化が行われても、再度 BitLocker による暗号化が自動で開始されます。
(4) 自動的に BitLocker 回復キーを SecureDoc の管理サーバーに保存します。
(5) ドッキングステーションの接続などハードウェア構成が変わっても SecureDoc のプリブート認証は影響を受けません(BitLocker 回復キーの入力は必要ありません)。
(6) TPM を搭載していない PC 環境でも BitLocker 暗号が使用できます。

line break

 

設定できます。
パスワードポリシーとして、桁数や大文字小文字の判別、記号などの組み合わせや有効期限などを設定することができます。

line break

 

設定できます。

line break

 

Windows パスワードと SecureDoc のパスワードは同期させることができます。

line break

 

電話などで管理者へ連絡して、チャレンジアンドレスポンス方式によるワンタイムパスワードを生成してもらいます。ワンタイムパスワードは最短で 16 桁にすることができます。

line break

 

パスワードの誤入力回数や管理サーバーとの無接続期間によって、SecureDoc のアカウントはロックされます。

line break

 

管理サーバーのコンソールから各 PC の暗号化状態を確認することができます。
また、ログやレポートを暗号化の証跡とすることができます。

line break

 

SecureDoc には複数のユーザーを登録することができ、ユーザー毎のパスワードを使用できます。

line break

 

使用方法等について

 

暗号化のソフトウェアをインストールすると、通常はプリブート認証が必要になります。
SecureDoc はプリブート認証と Windows 認証を一度に済ます SSO の設定が可能ですので、ユーザーが複数のパスワードを入力する必要はなく、利便性が下がることはありません。

line break

 

可能です。
オートブート機能により、プリブート認証を行わずに Windows を起動することも可能です。
しかし、オートブート機能は推奨していません。
暗号化していても、電源投入後すぐに Windows が起動する環境は暗号化に使用した鍵を錠に挿したままの状態と同じです。そのセキュリティレベルは、暗号化していない Windows PC とほぼ同じです。

line break

 

可能です。
SecureDoc のパスワードと Windows のパスワードを同期させることも可能で、Windows のパスワードと同一のパスワードにすることが可能です。

line break

 

パスワードポリシーとして、桁数や大文字小文字の判別、記号などの組み合わせや有効期限などを設定することができます。
Active Directory に属さない Work Group の PC では、SecureDoc のパスワードポリシーでセキュリティを高めるように設定することができます。

line break

 

可能です。
SecureDoc でパスワード同期を設定している場合、Windows のパスワードを変更すると SecureDoc のパスワードもその時点で変更されます。

line break

 

ユーザーがパスワードを忘れてしまった場合、電話などで管理者に連絡して 16 進数のやりとりを行い、プリブート認証をパスします(チャレンジ・レスポンス機能)。
Windows 起動後、新しいパスワード設定の要求画面が表示されます。
手間がかからず、新しいパスワードはユーザー自身が設定する為、セキュリティを高く保つことが可能です。

line break

 

管理者が操作する管理サーバーは、Windows ベースのアプリケーションですが、Web ベースのコンソールも提供しています。緊急時には、Web コンソールを使用するなどの回避策があります。

line break

 

自己暗号化機能については、Trusted Computing Group(TCG)が策定した TCG Opal という規格があります。
TCG Opal 規格に準拠した HDD/SSD(以下、Opal ドライブ)を搭載した PC でも、電源を入れると Windows がそのまま起動します。これは暗号鍵が錠に刺さったままの状態と同じですので、セキュリティが十分に保たれているとは言えません。
TCG Opal はプリブート認証プログラムを使用することを前提に仕様が策定されています。
そして、SecureDoc はその TCG Opal の仕様を考慮して設計されています。SecureDoc のインストール時にドライブを自動で検知し、Opal ドライブであれば、SecureDoc によるソフトウェアでの暗号化は行わず、SecureDoc のプリブート認証プログラムのみをインストールします。
Opal ドライブを搭載した PC でプリブート認証プログラムによるユーザー認証が行えるようになり、短時間でセキュアな暗号化環境の構築が可能です。

line break

 

できません。
まず、アンインストールする前に復号化が必要です。復号化するには、Windows のアカウントとは異なるSecureDoc の管理者権限が必要です。

line break

 

対応しています。
デフォルト設定では有効になっていませんので、TPM による保護を使用する場合はポリシー設定で有効にする必要があります。

line break

 

管理サーバーによって、暗号化した PC の運用・管理の工数を大幅に削減することができます。
暗号化された環境の運用・管理は、「クライアントの暗号化状態の把握」と「パスワード忘れ時の対応」が主となります。管理サーバーにより以下のことが実現でき、工数を削減(作業時間の短縮)することができます。
・クライアントの暗号化状態を把握
持ち出した(持ち出された)PCが、社内にあるサーバーとの通信時に暗号化されていたことを掌握できます。
・エンドユーザーのパスワード忘れに迅速に対応
チャレンジレスポンス機能によるパスワードリカバリを提供します。
・シンプルで簡単なクライアントへのインストール
セキュリティポリシーを定義したサイレントインストールが可能なクライアントのインストレーションパッケージを作成できます。
・リモートでの設定変更
ユーザーの変更(追加・削除)や、セキュリティポリシーの変更など、ネットワークを介して簡単に変更できます。
・アカウントの自動ロックアウト
設定された期間内にサーバーとの通信が行われなかった場合、認証に必要なアカウントを自動的にロックすることで、盗難や置き忘れ時の対策ができます。

line break

 

インストールや展開方法について

 

クライアントのインストレーションパッケージは管理サーバーで作成し、クライアントではそれを実行するだけです。設定によりサイレントインストールが可能で、インストール作業はとても簡単です。

line break

 

新品の PC の場合は使用している領域のみを暗号化する設定も可能です。
その場合、PC の利用者によって新しく書き込まれたデータは自動的にバックグランドで暗号化され、ユーザーに負担はかかりません。
HDD ではなく SSD の場合は、I/O 処理スピードが速いため暗号化が短時間で完了します。
但し、ユーザーが既に使用している既存の PC にインストールする場合は、全ての領域を暗号化するように設定してください。

line break

 

可能です。
IT 部門などが一時的な認証情報を使用して暗号化を実行後、配備された PC の利用者自身によって認証情報(パスワードポリシーに沿ったパスワード)を設定するようにします。
PC を受け取った利用者自身がパスワードを設定すると、ログイン認証に必要なパスワードが設定されたキーファイルが管理サーバーから配信されます。
キーファイルが配信されるのと同時に、一時的な認証情報は自動で PC から削除されます。

line break

 

バージョンアップについて

 

インストレーションパッケージ(exe 形式)を実行するだけです。
サイレントインストールですので、問いに応えたりする必要はなくスムーズに実行できます。

line break

 

サイレントインストールが可能ですので、アプリケーション配布機能を持ったデスクトップ管理ツールなどの使用が考えられます。

line break

 

PC の修理時について

 

マザーボード交換時には必要な手順を行うことで PC を起動させることができます。
UEFI の PC ではブートオーダーという仕組みで PC の起動を制御しており、マザーボードを交換した場合は交換前のマザーボードのブートオーダーに書かれていたプリブート認証の情報がありませんので、そのままでは起動できません。
ウィンマジックにはUEFI のブートオーダーにプリブート認証の情報をレストアするツールがあり、マザーボードを交換しても元の状態に戻すことが可能です。このツールは SecureDoc をご購入頂いたお客様にご提供しています。
また、TPMの使用を設定していた場合、マザーボードを交換するとTPM の鍵が異なるため、認証をパスすることはできなくなり、暗号化されたままの HDD/SSD を起動することはできません。
SecureDoc の認証保護に TPM を使用していて、マザーボードを交換する場合の対処方法については、御社担当のテクニカルサポートへご連絡ください。
ウィンマジックの保守契約をお持ちのお客様は support.jp@winmagic.com にご連絡ください。

line break