フルディスク暗号化は、エンドポイントコンピュータ上のデータを不正アクセスから守る機能です。ドライブは透過的に暗号化されます。また、OS が起動する前に POA (Power-on Authentication) による追加認証が行われます。フルディスク暗号化は Sophos Enterprise Console 5.1 で管理することができます。
新機能の詳細は、Sophos Enterprise Console ヘルプや Sophos Disk Encryption ヘルプを参照してください。
| 対応 OS | 32ビット | 64ビット | IA-64 (Itanium) | 空きディスク容量 (推奨) |
RAM (最低) |
|---|---|---|---|---|---|
| Windows 7、SP1 Home Premium/Enterprise/Ultimate/Professional | はい | はい | 300MB* | 1GB** | |
| Windows Vista SP1、SP2 Enterprise/Ultimate/Business | はい | はい | 300MB* | 1GB** | |
| Windows XP Professional SP2、SP3 | はい | 300MB* | 1GB** |
* インストールには、最低 300MB の空きディスク容量が必要です。Sophos Disk Encryption エージェントのインストールに最低 100MB の空きディスク容量が必要ですが、このディスク容量は隣接する 1つの領域である必要があります。空きディスク容量が 5GB よりも少ない場合で、OS の新規インストールを行い、隣接領域を使用できるようにしていないときは、インストールを開始する前にディスク デフラグを実行してください。デフラグをしない場合は、隣接する空き領域不足といった内容のエラーが発生し、インストールが失敗することがあります。
** 推奨されるメモリの容量です。このメモリすべてが Sophos Disk Encryption によって使用されるわけではありません。
必要なソフトウェア: Internet Explorer バージョン 6.0 以降
対応している言語: 英語、日本語、フランス語、ドイツ語、イタリア語、スペイン語
SafeGuard Policy Editor 5.61 のインストールは次のような場合のみ必要となります。異なる企業証明書を持つ個々の Sophos SafeGuard Disk Encryption/SafeGuard Easy 5.x 環境を複数使用している場合で、それらを 1つの環境に移行するときには、SafeGuard Policy Editor 5.61 で企業証明書の変更を行う必要があります。
| 対応 OS | 32ビット | 64ビット | IA-64 (Itanium) | 空きディスク容量 (推奨) | RAM (最低) |
|---|---|---|---|---|---|
| Windows 7、SP1 Enterprise/Ultimate/Professional | はい | はい | 1GB | 1GB* | |
| Windows Vista SP1、SP2 Enterprise/Ultimate/Business | はい | はい | 1GB | 1GB* | |
| Windows XP Professional SP2、SP3 | はい | 1GB | 1GB* | ||
| Windows Server 2008 SP1、SP2 | はい | はい | 1GB | 1GB* | |
| Windows Server 2008 R2、SP1 | はい | 1GB | 1GB* | ||
| Windows Server 2003 SP1、SP2 | はい | はい | 1GB | 1GB* | |
| Windows Server 2003 R2 SP1、SP2 | はい | はい | 1GB | 1GB* | |
| Windows Small Business Server 2003、2008、2011 | 1GB | 1GB* |
* 推奨されるメモリの容量です。このメモリすべてが SafeGuard Policy Editor によって使用されるわけではありません。
必要なソフトウェア: .NET Framework 3.0 SP1
対応している言語: 英語、日本語、フランス語、ドイツ語
POA で利用できるキーボードのレイアウトについては、次のサイトを参照してください。
http://www.sophos.com/ja-jp/support/knowledgebase/112782.aspx
Sophos Disk Encryption は、ソフォスのウイルス対策ソフト、または次のソフトウェアがインストールされている環境で動作検証が済んでいます。
| メーカー | 製品名 | バージョン |
|---|---|---|
| AVG | Free Anti-Virus Small Business Edition 2011 | 10.0.1153 |
| コンピュータ・アソシエイツ | Security Center Version | 6.0.0.285 |
| F-Secure | Anti Virus 2011 | 10.51 |
| G Data | AntiVirus Version 2011 | 21.1.0.5 |
| カスペルスキー | Internet Security Version 2011 | 11.0.0.232 |
| シマンテック | Endpoint Protection | 11.0.6 |
| トレンドマイクロ | Titanium Internet Security 2011 | |
| マカフィー | Internet Security 2011 | |
| Norman | Virus Control | 2010.02.22 |
| マイクロソフト | Security Essentials |
Symantec PGP Desktop バージョン 10.0、10.1
TrueCrypt バージョン 6.3a、7.0a
Checkpoint バージョン 7.3va
McAfee バージョン 1.2.0
Microsoft BitLocker Drive Encryption
Sophos Disk Encryption 5.61 と Novell Client を組み合わせて使用する場合は、プロジェクトごとに調整が必要です。詳細はソフォスのサポートまでお問い合わせください。
インストールを行う前に、ユーザー 1人のみがログオンしていることが確認されます。インストール中に別のユーザーとしてログオンすることはできません。
Windows Vista に Sophos Disk Encryption 5.61 をインストールすると、ビルトインのフロッピー ディスク ドライブが利用できなくなります。USB バス経由で接続している外付けのフロッピー ディスク ドライブは、この制限の対象外です。
Sophos Disk Encryption 5.61 がインストールされているエンドポイントで、パーティションのサイズを変更することはできません。
Sophos Disk Encryption 5.61 をエンドポイントにインストールした後は、ブート時間が約 1分ほど長くなります。
Sophos Disk Encryption で対応している仮想プラットフォームは、VMware Workstation および VMware Player のみです。VMware ESX/ESXi Server、MS Virtual PC、MS HyperV など、これ以外のプラットフォームには対応していません。
日本語 OS 上の Local Self Help Wizard で、ユーザーはログオン復旧に必要な質問の回答を全角文字で入力することができます。しかし、POA のログオン復旧で全角文字の回答を入力しても認識されません。ウィザードで設定した回答と POA の入力が一致しないと、ログオンの復旧に失敗します。
回避策: Local Self Help Wizard で設定する回答は必ず半角文字で入力してください。全角文字を使うと、POA で認識されません。
(DEF69429) 一部の東芝製 OPAL 準拠ディスクで、ディスクの先頭に最初のパーティションが位置していない場合、OPAL モードの暗号化に失敗することがある
TCG Storage の規格「OPAL」に準拠する自己暗号化ドライブ (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) では、少なくとも128MB の空き領域 (通称、Shadow MBR) が必要です。この領域すべてに対して読み取り、書き込みアクセスが可能になっていない場合で (ファームウェア バージョン MGT00A の東芝 OPAL ディスクの場合など)、ディスクの先頭パーティションの最初のセクターが、アクセスできない領域のセクター番号の範囲内であるとき、そのようなドライブに対して Sophos Disk Encryption で OPAL 暗号化をアクティブにできません。
回避策: 最初のパーティションをディスクの先頭に移動してください。
Sophos Disk Encryption の OPAL 準拠自己暗号化ドライブ への対応には次のような制限があります。
(DEF70019) Windows のハイブリッド スリープ設定を OPAL 準拠のマシンで使用しない
OPAL 準拠の自己暗号化ドライブを持つコンピュータでは、「詳細な電源オプション」ダイアログで、「ハイブリッド スリープを許可する」を有効にすると、スリープ状態から復帰 (再開) する際、エラーが発生することがあります。これは、コンピュータ休止状態になる前にディスクに保存されなかったデータすべてが失われたことを意味します。
TCG Storage の規格「OPAL」に準拠する自己暗号化ドライブ (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) では、ドライブをロック解除するための鍵をなくした場合、アクティブになっているドライブにアクセスできなくなります。つまり、ディスクはまったく使用できなくなります。これに反し、ソフトウェアベースで暗号化されたディスクの場合は、データが失われても、再フォーマット後、ハードウェアを再び使用することができます。Sophos Disk Encryption では、鍵ファイルのバックアップを作成するようメッセージが表示されますが、このデータを紛失した場合に上記のシナリオが発生します。
自己暗号化ドライブは、再度フォーマットしたり、イメージを作成したりする前に、工場出荷状態に戻す必要があります。通常の復号化処理や Sophos Disk Encryption のアンインストールを実行しても工場出荷状態に戻せない場合は、OPALEmergencyDecrypt.exe ツールを使用し、Sophos Disk Encryption で管理する OPAL 準拠のドライブを完全にリセットしてください。このツールは、セキュリティ上の理由から、ソフォスのカスタマサービスのみより入手可能です。
Microsoft の MSAHCI ハード ディスク ドライバがインストールされている場合、コンピュータの「スリープ」モードから再開できません。MSAHCI は、Windows Vista より追加されたため、この問題は、Windows Vista および Windows 7 で発生しますが、Windows XP では発生しません。
回避策: 使用しているハードウェアに対応する場合は、代わりに適切な IAStore ドライバーを使用してください。Intel RST ドライバ パッケージ v10.1.0.1008 は 動作検証済みです。ハードディスク コントローラ用の BIOS 設定 (例: SATA モード、ATA コントローラ モード、IDE コントローラ モードなど) を「互換モード」にを変更してください。ほとんどの BIOS では、AHCI 以外の値 (例: IDE、互換など) を選択してください。
現在の SSD では、ソフトウェア (OS を含む) を使ってデータの物理的な保存場所を正確に把握することは不可能です。SSD の基本コンポーネントであるコントローラは、プラッタドライブの外部の動作をシミュレートしますが、内部では全く別の動作をします。保管されているデータへのセキュリティ上の影響は、http://www.sophos.com/ja-jp/support/knowledgebase/113334.aspx を参照してください。最も重要な点は次のとおりです。暗号化ポリシーが有効になった後に SSD ボリュームに書き込まれたデータのみが安全に暗号化されます。結果として、Sophos Disk Encryption の初期暗号化処理が開始する前に、既に SSD 上に保存されていたデータはすべて、初期暗号化の完了後、 SSD から完全に物理的に削除されていない可能性があります。この問題は Sophos Disk Encryption 固有のものではなく、すべてのソフトウェアベースの暗号化システムに共通するものです。
現在、外付け eSATA ドライブのほとんどがリムーバブルデバイスとして分類されていません。このため、Sophos Disk Encryption では eSATA ドライブは内部ドライブとして扱われ、それに対応するすべてのポリシーが適用されます。この動作を考慮して暗号化ポリシーを作成・適用していない場合、ソフォスのフルディスク暗号化環境での eSATA ドライブの使用は推奨しません。
エンドポイントにマウントしている仮想ドライブ (Microsoft Virtual Server のマウント機能を使って VHD ファイルを Windows にマウントするなど) は、ローカルハードドライブとして認識されます。よって、「その他のボリューム」の暗号化ポリシーが指定されている場合は、仮想ドライブの内容が暗号化されます。
SDE 5.61 がインストールされているもののドライブが暗号化されていないエンドポイントに Microsoft BitLocker Drive Encryption をインストールしてエンドポイントを保護すると、LocalCache が破損するためエンドポイントが再起動します。さらに再起動を行うと、再起動ループに陥ります。
回避策: SDE 5.61 をインストールしているエンドポイントにサードパーティ製のフルディスク暗号化ソリューションをインストールしないでください。
SafeGuard Lan Crypt Client (SGLC) がインストールされているコンピュータ上の Sophos Disk Encryption 5.61 をアンインストールした場合、ユーザーが SGLC 鍵をロードすると、ドライバの内部エラーが発生します。
回避策: SafeGuard LAN Crypt Client パッケージの修復インストールを実行します。Sophos Disk Encryption 5.61 がインストール済みの場合、Empirum Security Suite Agent ソフトと併用すると、次のメッセージを含むブルースクリーンが表示され、システムが停止することがあります。
BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTSこれは、Empirum のソフトウェア コンポーネントの 1つが原因で発生します。この問題は、Empirum Security Suite で修正される予定です。この問題に関する最新情報/アップデート版については、Matrix42 社にお問い合わせください。
AbsoluteSoftware Computrace の「track-0 based persisent agent」がインストールされており、アクティブな状態のマシンに SGN Device Encryption をインストールしようとすると失敗します。
(DEF76145) 「User Machine Assignments」ダイアログボックスから Sophos Disk Encryption ヘルプを開始すると、ヘルプページが表示されない
「User Machine Assignments」ダイアログボックスのヘルプボタンをクリックすると、該当するヘルプが表示されるようになりました。
(DEF79546) Sophos Disk Encryption で、POA のみを選択してポリシーを適用後、マシンを再起動しても正しく報告されない
POA を有効化するために暗号化エージェントをインストールした後、さらにコンピュータを再起動するようエンドポイントにメッセージが表示されるようになりました。
(DEF78786) POA の除外設定が予期したとおりに動作しない
POA の除外設定の内容が正しく暗号化エージェントに反映されるようになりました。
ソフォス製品のテクニカルサポートは、次のような形でご提供しております。
Copyright © 2012 Sophos Group. All rights reserved. SafeGuard は Sophos Group の登録商標です。
この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可されている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。
Sophos、Sophos Anti-Virus および SafeGuard は Sophos Limited、Sophos Group およびウティマコ・セーフウェア AG の登録商標です。その他記載されている会社名、製品名は、各社の登録商標または商標です。
サードパーティコンポーネントの著作権に関する情報は、製品ディレクトリ内の「Disclaimer and Copyright for 3rd Party Software」(英語) というドキュメントをご覧ください。