PGP Desktop for Windows ユーザー ガイド バージョン情報 PGP Desktop for Windowsユーザー ガイド. PGP Desktopバージョン10.0.0。リリース2009年12月. 著作権情報 Copyright © 1991-2009 by PGP Corporation. All Rights Reserved. 本ドキュメントのいかなる部分もPGP Corporationの書面による許可なしに、電子的 、機械的などいかなる形式、いかなる方法でも複製し、頒布することはできません。 商標情報 PGP、Pretty Good Privacy、およびPGPのロゴは、米国およびその他の国々におけるPGP Corporationの登録商標です。IDEAはAscom Tech AGの商標 です。WindowsおよびActiveXは、Microsoft Corporationの登録商標です。AOLはAmerica Online, Inc. の登録商標であり、AOL Instant Messengerは America Online, Inc. の商標です。Red HatおよびRed Hat LinuxはRed Hat, Inc. の商標または登録商標です。LinuxはLinus Torvaldsの登録商標です。 SolarisはSun Microsystems, Inc. の商標または登録商標です。AIXはInternational Business Machines Corporationの商標または登録商標です。HP-UXは Hewlett-Packard Companyの商標または登録商標です。SSHおよびSecure ShellはSSH Communications Security, Inc. の商標です。Rendezvousおよび Mac OS XはApple Computer, Inc. の商標または登録商標です。 本書で使用されているその他すべての登録されていない、または登録されている商標は、 それぞれの所有者が所有します。 ライセンスおよび特許情報 IDEA暗号化方式 (米国特許番号5,214,703) の使用については、Ascom Tech AGからライセンス供与を受けています。RFC 2144に基づいて実装されてい るCAST-128暗号化アルゴリズムは、商用および商用以外の用途で、特許権使用料を必要とせずに世界中で利用できます。PGP Corporationは、The Regents of the University of Californiaによる表題「Block Cipher Mode of Operation for Constructing a Wide-blocksize block Cipher from a Conventional Block Cipher」の特許出願 (シリアル番号10/655,563) に含まれる特許権に対するライセンスを供与されています。PGP Universal Serverに含まれる一部 のサード パーティ ソフトウェアは、GNU一般公衆利用許諾契約書 (GNU GPL: General Public License) の下でライセンスされています。PGP Universal Server全体がGPLの下でライセンスされているわけではありません。PGP Universal Serverに含まれるGPLソフトウェアのソース コードを入手したい場 合は、PGPサポート 『https://support.pgp.com』にお問い合わせください。PGP Corporationは、このソフトウェアまたはその文書に記載されている内 容に関して、特許権を保有または特許を出願中の場合があります。このソフトウェアまたは文書の提供は、これらの特許に関するいかなる権利をもお 客様に付与するものではありません。 謝辞 この製品には下記が含まれている場合があります。 • ZipおよびZLib圧縮コードは、Mark AdlerおよびJean-Loup Gaillyによって作成されたもので、zlib (http://www.zlib.net) によって開発されたInfo-ZIPの フリー実装から許可を得て使用されています。• Libxml2は、Gnomeプロジェクト用のXML Cパーサーおよびツールキットで、 http://www.opensource.org/licenses/mit-license.htmlにあるMITライセンスの下で配布および著作権保護されています。Copyright © 2007 by the Open Source Initiative.• bzip2 1.0は、無料で利用できる高品質圧縮ソフトウェアです。著作権はJulian Seward, © 1996-2005にあります。• アプリケーション サーバー (http://jakarta.apache.org/)、Webサーバー (http://www.apache.org/)、Jakarta Commons (http://jakarta.apache.org/commons/license.html) お よびlog4j (HTML解析に使用されるJavaベースのライブラリ) は、Apache Software Foundationにより開発されたものです。ライセンスは www.apache.org/licenses/LICENSE-2.0.txtにあります。• Castorは、XMLからJavaプログラミング言語のオブジェクトへ、およびJavaからデータベース へデータを移動するためのオープン ソースのデータ バインディング フレームワークで、Apache 2.0スタイルのライセンスの下でExoLab Groupによっ て公開されています。ライセンスは、http://www.castor.org/license.htmlから入手できます。• Xalanは、XSLT XML変換言語とXPath XML照会言語を実 装したApache Software Foundationのオープン ソース ソフトウェア ライブラリで、Apacheソフトウェア ライセンス バージョン1.1の下で公開され ています。このライセンスは、http://xml.apache.org/xalan-j/#license1.1から入手できます。• Apache Axisは各種PGP製品間の相互通信に使用されてい るSOAP (「Simple Object Access Protocol」) 実装であり、http://www.apache.org/licenses/LICENSE-2.0.txtにあるApacheライセンスの下で提供されて います。• mx4jは、Java Management Extensions (JMX) のオープン ソース実装で、Apacheスタイルのライセンスの下で公開されています。ライセン スは、http://mx4j.sourceforge.net/docs/ch01s06.htmlから入手できます。• jpeglibバージョン6aは、一部Independent JPEG Group (http://www.ijg.org/) の 著作物に基づいています。• libxsltは、GNOMEプロジェクト用に開発されたXML変換用のXSLT Cライブラリで、MITライセンス (http://www.opensource.org/licenses/mit-license.html) の下で配布されています。• PCREバージョン4.5は、Perlの正規表現コンパイラで、ケンブリッ ジ大学によって著作権保護および配布されています。©1997-2006. ライセンス契約書はhttp://www.pcre.org/license.txtにあります。• BIND平衡バイナ リ ツリー ライブラリおよびドメイン名システム (DNS: Domain Name System) プロトコルは、Internet Systems Consortium, Inc. (http://www.isc.org) によって開発および著作権保護されています。 デーモン実装のFree BSDは、The FreeBSD Project © 1994-2006によって開発されました。• Simple Network Management Protocolライブラリは、 Carnegie Mellon University © 1989、1991、1992、Networks Associates Technology, Inc, © 20012003、Cambridge Broadband Ltd. © 2001- 2003、Sun Microsystems, Inc.、© 2003、Sparta, Inc, © 2003-2006、Cisco, IncおよびInformation Network Center of Beijing University of Posts and Telecommunications、© 2004によって開発および著作権保護されています。これらのライセンス契約書は http://net-snmp.sourceforge.net/about/license.htmlにあります。• NTPバージョン4.2は、Network Time Protocolによって開発され、著作権はさまざま な貢献者に帰属しています。• Lightweight Directory Access Protocolは、OpenLDAP Foundationによって開発および著作権保護されています。 OpenLDAPはLightweight Directory Access Protocol (LDAP) のオープン ソース実装です。Copyright © 1999-2003, The OpenLDAP Foundation.ライセン ス契約書はhttp://www.openldap.org/software/release/license.htmlにあります。• Secure ShellのOpenSSHバージョン4.2.1は、OpenBSD Projectによっ て開発されたもので、BSDスタイルのライセンスの下でOpenBSD Projectによって公開されています。ライセンスは、 http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/LICENCE?rev=HEADから入手できます。• PC/SC Liteは、PC/SCのフリー実装です。スマートカ ード統合に関する仕様はBSDライセンスの下で公開されています。• Postfixは、オープン ソースのメール転送エージェント (MTA) で、IBM Public License 1.0の下で公開されています。ライセンスは、http://www.opensource.org/licenses/ibmpl.phpから入手できます。• PostgreSQLは、フリー ソフ トウェアのオブジェクト リレーショナル データベース管理システムで、BSDスタイルのライセンスの下で公開されています。ライセンスは、 http://www.postgresql.org/about/licenceから入手できます。• PostgreSQL JDBCドライバーは、標準の、データベースに依存しないJavaコードを使用 してPostgreSQLデータベースに接続するために使用されるフリーのJavaプログラムです。(c) 1997-2005、PostgreSQL Global Development Group. BSD スタイルのライセンスの下で公開されており、ライセンスは、http://jdbc.postgresql.org/license.htmlから入手できます。• PostgreSQL Regular Expression Libraryは、オブジェクト リレーショナル データベース システムのフリー ソフトウェアで、BSDスタイルのライセンスの下で公開されて います。ライセンスは、http://www.postgresql.org/about/licenceから入手できます。• 21.vixie-cronは、cronのVixieバージョンで、スケジュールされた 時刻に特定のプログラムを実行する標準のUNIXデーモンです。Copyright © 1993, 1994 by Paul Vixie. 許可を得て使用されています。• JacORBは、Java で記述されたプロセスとデータ層間の通信を容易にするために使用されるJavaオブジェクトです。GNUライブラリ一般公衆利用許諾契約書 (GNU LGPL: GNU Library General Public License) の下で公開されているオープン ソースで、ライセンスはhttp://www.jacorb.org/lgpl.htmlから入手できます。 Copyright © 2006 The JacORB Project. • TAO (The ACE ORB) は、CORBA Object Request Broker (ORB) のオープン ソース実装で、C/C++ で記述さ れたプロセスとデータ層間の通信に使用されます。著作権はDouglas C. Schmidtおよびワシントン大学、カリフォルニア大学アーバイン校、バンダービ ルト大学の同氏の研究グループに帰属します。Copyright (c) 1993-2006 by Douglas C. Schmidt and his research group at Washington University, University of California, Irvine, and Vanderbilt University.オープン ソースのソフトウェア ライセンスは http://www.cs.wustl.edu/~schmidt/ACE-copying.htmlから入手できます。• libcURLは、共通ネットワーク サービスによってファイルをダウンロードす るためのライブラリです。MIT/X派生ライセンスの下で提供されるオープン ソース ソフトウェアで、ライセンスは http://curl.haxx.se/docs/copyright.htmlから入手できます。Copyright (c) 1996 - 2007, Daniel Stenberg.• libuuidは、固有識別子を生成するために使用され るライブラリで、BSDスタイルのライセンスの下で公開されています。ライセンスは、http://thunk.org/hg/e2fsprogs/?file/fe55db3e508c/lib/uuid/COPYING から入手できます。Copyright (C) 1996, 1997 Theodore Ts'o.• libpoptは、コマンド ラインのオプションを解析するライブラリで、GNUフリー文書利用 許諾契約書 (GNU Free Documentation License) の条件の下で公開されています。ライセンスは、http://directory.fsf.org/libs/COPYING.DOCから入手で きます。Copyright © 2000-2003 Free Software Foundation, Inc.• gSOAPは、マザーボードに搭載されているIntel Corporation AMTチップセットと通信 するためのWindowsクライアント用開発ツールで、GNU公開ライセンスの下で配布されています。ライセンスは、 http://www.cs.fsu.edu/~engelen/soaplicense.htmlから入手できます。• Windows Template Library (WRT) はユーザー インターフェイス コンポーネン トの開発に使用するもので、http://opensource.org/licenses/cpl1.0.phpにあるCommon Public License v1.0の下で配布されています。• Perl Kitは、あら ゆる保守機能の自動化を可能にする、いくつかの独立されたユーティリティを提供するもので、http://www.perl.com/pub/a/language/misc/Artistic.htmlに あるPerl Artistic Licenseの下で提供されています。• rEFIt - libegは 画像レンダリング、テキスト レンダリング、アルファ ブレンディングを含むEFI のグラフィカル インターフェイス ライブラリを提供するもので、 http://refit.svn.sourceforge.net/viewvc/*checkout*/refit/trunk/refit/LICENSE.txt?revision=288にあるライセンスの下で配布されています。Copyright (c) 2006 Christoph Pfisterer. All rights reserved. • Java Radius Clientは、Radiusプロトコルを使ってPGP Universal Web Messengerユーザーを認証するた めに使用されるもので、http://www.gnu.org/licenses/lgpl.htmlにある劣等一般公衆利用許諾契約書 (LGPL) の下で配布されています。 輸出に関する情報 このソフトウェアおよび文書の輸出は、特定の製品および技術データの輸出と再輸出を制限する米国商務省輸出管理局によって公布される規則および 規制の対象となる場合があります。 制限事項 この文書と共に提供されるソフトウェアは、ソフトウェアのライセンス使用許諾契約書の条件に基づき、お客様個人による使用が許可されています。 この文書に記載されている情報は予告なしに変更されることがあります。PGP Corporationは、この文書に記載されている情報がお客様の要件を満たす こと、または情報に誤りがないことを保証するものではありません。これらの情報には技術的に不正確な記述や誤植が含まれている場合があります。 これらの情報に変更があった場合は、PGP Corporationより入手可能な改訂版に随時組み込まれます。 4 目次 PGP Desktop 10.0 for Windows について 1 PGP Desktop for Windows バージョン 10.0 の新機能 ................................................................. 2 PGP Desktop 10.0 の新機能................................................................................................ 2 このユーザー ガイドの使い方 ...................................................................................................... 5 「管理対象ユーザー」と「管理されていないユーザー」 .................................................. 5 このユーザー ガイドで使用されている規約 ...................................................................... 6 このユーザー ガイドの対象読者 .................................................................................................. 6 PGP Desktop のライセンスについて ............................................................................................ 6 PGP Desktop for Windows のライセンス取得 ................................................................... 7 ライセンスの詳細の確認..................................................................................................... 7 ライセンスの有効期限が切れた場合................................................................................. 10 サポート情報 ............................................................................................................................... 11 製品情報の入手 ................................................................................................................. 11 連絡先情報 ........................................................................................................................ 11 PGP Desktop の基本 13 PGP Desktop の用語.................................................................................................................... 13 PGP 製品コンポーネント .................................................................................................. 13 PGP Desktop で使用される用語 ....................................................................................... 15 従来の暗号技術と公開鍵暗号化方式........................................................................................... 16 暗号技術について.............................................................................................................. 17 PGP Desktop を使用し始める前に.............................................................................................. 17 PGP Desktop のインストール 21 インストールの前に .................................................................................................................... 21 システム要件..................................................................................................................... 21 Citrix およびターミナル サービスとの互換性 .................................................................. 22 PGP Desktop のインストールと構成 .......................................................................................... 23 ソフトウェアのインストール ........................................................................................... 23 ソフトウェアのアップグレード........................................................................................ 23 PGP Desktop のライセンス取得 ....................................................................................... 26 セットアップアシスタントの実行 .................................................................................... 26 i 目次 PGP Desktop for Windows PGP Desktop のアンインストール.............................................................................................. 26 PGP Desktop のインストール環境を別のコンピュータに移動 .................................................. 27 PGP Desktop のユーザー インターフェイス 29 PGP Desktop の各機能へのアクセス .......................................................................................... 29 PGP Desktop のメイン画面 .............................................................................................. 30 PGP トレイ アイコンの使用............................................................................................. 31 Windows エクスプローラのショートカット メニューの使用......................................... 33 [スタート] メニューの使用 ............................................................................................... 35 PGP Desktop 通知機能の警告 ..................................................................................................... 35 メッセージング用 PGP Desktop 通知機能........................................................................ 35 ディスク機能用 PGP Desktop 通知機能 ........................................................................... 38 PGP ログの表示........................................................................................................................... 39 PGP 鍵の使用 41 鍵の表示 ...................................................................................................................................... 41 鍵ペアの作成 ............................................................................................................................... 42 パスワードとパスフレーズ ............................................................................................... 45 秘密鍵の保護 ............................................................................................................................... 45 鍵および鍵リングの保護................................................................................................... 46 秘密鍵のバックアップ ...................................................................................................... 47 鍵を紛失した場合.............................................................................................................. 47 公開鍵の配布 ............................................................................................................................... 48 鍵サーバーへの公開鍵のアップロード ............................................................................. 48 公開鍵の電子メール メッセージへの添付........................................................................ 50 公開鍵のファイルへのエクスポート................................................................................. 50 スマート カードから直接別のユーザーの鍵リングへのコピー ....................................... 51 他のユーザーの公開鍵の取得...................................................................................................... 51 鍵サーバーからの取得 ...................................................................................................... 52 電子メール メッセージからの公開鍵の取得 .................................................................... 53 鍵サーバーの使用........................................................................................................................ 53 マスター鍵の使い方 .................................................................................................................... 55 PGP 鍵の管理 57 鍵のプロパティの確認と設定...................................................................................................... 58 写真 ID の使用 ............................................................................................................................. 59 鍵のユーザー名と電子メール アドレスの管理........................................................................... 60 公開鍵と X.509 公開鍵証明書のインポート................................................................................ 61 証明書インポート アシスタントの使用 ........................................................................... 62 ii 目次 PGP Desktop for Windows パスフレーズの変更 .................................................................................................................... 63 鍵、ユーザー ID、署名の削除 .................................................................................................... 64 公開鍵の有効化と無効化 ............................................................................................................. 65 公開鍵の検証 ............................................................................................................................... 66 公開鍵の署名 ............................................................................................................................... 67 公開鍵からの署名の破棄................................................................................................... 69 鍵検証のための信頼度指定 ......................................................................................................... 69 サブ鍵の使用 ............................................................................................................................... 70 別のサブ鍵の使用.............................................................................................................. 71 サブ鍵の表示..................................................................................................................... 72 新しいサブ鍵の作成 .......................................................................................................... 72 サブ鍵の使用方法の指定................................................................................................... 73 サブ鍵の破棄..................................................................................................................... 74 サブ鍵の削除..................................................................................................................... 75 予備復号化鍵の使用 .................................................................................................................... 75 鍵ペアへの予備復号化鍵の追加........................................................................................ 75 予備復号化鍵の更新 .......................................................................................................... 76 予備復号化鍵の削除 .......................................................................................................... 76 失効権限機能の使用 .................................................................................................................... 77 失効権限者の指定.............................................................................................................. 77 鍵の破棄 ............................................................................................................................ 78 鍵の分割と再結合........................................................................................................................ 78 分割鍵の作成..................................................................................................................... 79 分割鍵の再結合 ................................................................................................................. 80 PGP Universal Server による鍵の復元 .............................................................................. 80 鍵の復元データの送信 ...................................................................................................... 81 鍵またはパスフレーズを失った場合に自分の鍵を復元.................................................... 83 鍵の保護 ...................................................................................................................................... 85 電子メールをセキュアにする 87 PGP Desktop で電子メールをセキュアにする方法 .................................................................... 87 受信メッセージ ................................................................................................................. 88 送信メッセージ ................................................................................................................. 90 Microsoft Outlook を使用した MAPI 電子メールの送信................................................... 90 Microsoft Outlook で署名ボタンと暗号化ボタンを使用................................................... 91 オフライン ポリシーの使用........................................................................................................ 93 サービスとポリシー .................................................................................................................... 94 サービスとポリシーの表示 ............................................................................................... 95 新規メッセージング サービスの作成............................................................................... 97 サービスを無効または有効にする .................................................................................. 101 複数のサービス ............................................................................................................... 101 PGP メッセージング サービスのトラブルシューティング ........................................... 102 新規セキュリティ ポリシーの作成........................................................................................... 104 ポリシーでの正規表現 .................................................................................................... 109 iii 目次 PGP Desktop for Windows セキュリティ ポリシーの情報と例 ................................................................................ 111 セキュリティ ポリシーのリストの使用 ................................................................................... 115 セキュリティ ポリシーの編集........................................................................................ 115 メーリング リスト ポリシーの編集............................................................................... 116 セキュリティ ポリシーの削除........................................................................................ 121 リスト内でのポリシーの順序変更 .................................................................................. 122 PGP Desktop と SSL ................................................................................................................. 122 鍵モード .................................................................................................................................... 124 鍵モードの確認 ............................................................................................................... 125 鍵モードの変更 ............................................................................................................... 126 PGP ログの表示......................................................................................................................... 127 インスタント メッセージングをセキュアにする 129 PGP Desktop のインスタント メッセージングとの互換性について ....................................... 129 インスタント メッセージング クライアントとの互換性 .............................................. 130 暗号化に使用される鍵について ................................................................................................ 131 IM セッションの暗号化 ............................................................................................................. 131 PGP Viewer で電子メールを表示 133 PGP Viewer の概要.................................................................................................................... 133 互換性のある電子メール クライアント ......................................................................... 134 暗号化された電子メール メッセージまたはファイルを開く................................................... 135 電子メール メッセージの受信箱へのコピー ............................................................................ 136 電子メール メッセージのエクスポート ................................................................................... 137 追加のオプションの指定 ........................................................................................................... 137 PGP Viewer でオプションを指定 .............................................................................................. 137 PGP Viewer のセキュリティ機能 .............................................................................................. 138 PGP Whole Disk Encryption によるディスクの保護 141 PGP Whole Disk Encryption について....................................................................................... 142 PGP WDE と PGP 仮想ディスクの違い .......................................................................... 143 PGP Whole Disk Encryption のライセンス................................................................................ 143 ライセンスの有効期限 .................................................................................................... 144 ディスクを暗号化するための準備............................................................................................. 144 サポートされているディスクの種類............................................................................... 146 サポートされているキーボード...................................................................................... 147 暗号化前のディスク状態の確認...................................................................................... 149 暗号化時間の計算............................................................................................................ 150 暗号化処理中の電源供給................................................................................................. 150 ソフトウェアの互換性を確認するパイロット テストの実行......................................... 151 ディスクの認証方法の選択 ....................................................................................................... 152 パスフレーズとシングル サインオン認証...................................................................... 152 iv 目次 PGP Desktop for Windows 公開鍵認証 ...................................................................................................................... 153 トークンを使用した認証................................................................................................. 153 USB フラッシュ デバイスを使用した 2 要素認証.......................................................... 153 暗号化オプションの設定 ........................................................................................................... 154 パーティション レベルの暗号化 .................................................................................... 154 認証に使用するスマート カードまたはトークンの準備................................................ 155 PGP Whole Disk Encryption オプションの使用 .............................................................. 158 ディスクまたはパーティションの暗号化.................................................................................. 160 PGP WDE のパスフレーズでサポートされる文字.......................................................... 161 ディスクの暗号化............................................................................................................ 162 暗号化中のディスク エラーの検出 ................................................................................ 166 PGP WDE で暗号化されたディスクの使用............................................................................... 166 PGP BootGuard 画面での認証......................................................................................... 167 キーボード配列の選択 .................................................................................................... 171 PGP WDE のシングル サインオンの使用................................................................................. 173 シングル サインオンを使用するための必要条件........................................................... 173 シングル サインオンを使用するディスクの暗号化 ....................................................... 174 複数ユーザーとシングル サインオン............................................................................. 175 シングル サインオンによるログイン............................................................................. 175 シングル サインオンのパスフレーズの変更 .................................................................. 175 Windows のログイン ダイアログ ボックスの表示 ....................................................... 176 ディスクのセキュリティの維持 ................................................................................................ 176 ディスクまたはパーティションの情報の取得 ................................................................ 177 バイパス機能の使用 ........................................................................................................ 177 暗号化されたディスクまたはパーティションへのユーザーの追加................................ 178 暗号化されたディスクまたはパーティションからのユーザーの削除 ............................ 179 ユーザー パスフレーズの変更........................................................................................ 180 暗号化されたディスクまたはパーティションの再暗号化 .............................................. 181 パスフレーズを忘れた場合 ............................................................................................. 182 バックアップとリストア................................................................................................. 184 暗号化されたディスクまたはパーティションからの PGP Desktop のアンインストール184 リムーバブル ディスクの使用 .................................................................................................. 185 リムーバブル ディスクの暗号化 .................................................................................... 185 読み取り専用にロックされたディスクの使用 ................................................................ 186 他のシステムへのリムーバブル ディスクの移動........................................................... 187 暗号化されたリムーバブル ディスクの再フォーマット................................................ 187 PGP Universal Server で管理された環境での PGP WDE の使用 .............................................. 188 PGP ディスク全体暗号化の管理 ..................................................................................... 188 リカバリ トークンの作成 ............................................................................................... 189 Using a Recovery Token.................................................................................................. 190 暗号化されたドライブからのデータのリカバリ....................................................................... 191 リカバリ ディスクの作成と使用 .................................................................................... 191 PGP WDE で暗号化されたディスクの復号化 ........................................................................... 193 PGP Desktop によるセキュリティ確保のための特別な対策 .................................................... 194 パスフレーズの消去 ........................................................................................................ 195 v 目次 PGP Desktop for Windows 仮想メモリの保護............................................................................................................ 195 休止モードとスタンバイ モード .................................................................................... 195 メモリ静的イオン マイグレーションの防止 .................................................................. 195 その他のセキュリティ対策 ............................................................................................. 196 Windows プレインストール環境の使用.................................................................................... 197 PGP Whole Disk Encryption の IBM Lenovo ThinkPad システムでの使用 ..................... 197 Microsoft Windows XP 回復コンソールでの PGP Whole Disk Encryption の使用 ........ 198 PGP 仮想ディスクの使用 201 PGP 仮想ディスクについて....................................................................................................... 202 PGP 仮想ディスクの新規作成 ................................................................................................... 203 PGP 仮想ディスクのプロパティの表示..................................................................................... 206 PGP 仮想ディスクの検索 .......................................................................................................... 207 マウント済み PGP 仮想ディスクの使用.................................................................................... 207 PGP 仮想ディスクのマウント......................................................................................... 207 PGP 仮想ディスクのマウント解除.................................................................................. 208 PGP 仮想ディスクの圧縮 ................................................................................................ 209 PGP 仮想ディスクの再暗号化......................................................................................... 209 代替ユーザーの使用 .................................................................................................................. 211 PGP 仮想ディスクへの代替ユーザー アカウントの追加 ............................................... 211 PGP 仮想ディスクからの代替ユーザー アカウントの削除 ........................................... 212 代替ユーザー アカウントの無効化および有効化........................................................... 212 読み取り/書き込みおよび読み取り専用ステータスの変更 ............................................. 213 代替ユーザーへの管理者ステータスの付与.................................................................... 213 ユーザー パスフレーズの変更 .................................................................................................. 214 PGP 仮想ディスクの削除 .......................................................................................................... 215 PGP 仮想ディスクの管理 .......................................................................................................... 215 リモート サーバー上の PGP 仮想ディスク ボリュームのマウント .............................. 215 PGP 仮想ディスク ボリュームのバックアップ.............................................................. 216 PGP 仮想ディスクの交換 ................................................................................................ 217 PGP 仮想ディスクの暗号化アルゴリズム ................................................................................. 217 PGP 仮想ディスクによる特別なセキュリティ措置 .................................................................. 218 パスフレーズの消去 ........................................................................................................ 218 仮想メモリの保護............................................................................................................ 219 休止状態 .......................................................................................................................... 219 メモリ静的イオン マイグレーションの防止 .................................................................. 219 その他のセキュリティ対策 ............................................................................................. 220 PGP Portable でのモバイル データの作成とアクセス 221 PGP Portable ディスクの作成 ................................................................................................... 221 フォルダーから PGP Portable ディスクを作成............................................................... 222 リムーバブル USB デバイスから PGP Portable ディスクを作成.................................... 223 読み取り/書き込みまたは読み取り専用の PGP Desktop ディスクの作成...................... 224 vi 目次 PGP Desktop for Windows PGP Portable ディスクのデータへのアクセス .......................................................................... 224 PGP Portable ディスクのパスフレーズの変更................................................................ 226 PGP Portable ディスクのマウント解除........................................................................... 227 PGP NetShare の使用 229 PGP NetShare について ............................................................................................................ 230 PGP NetShare ロール...................................................................................................... 232 PGP NetShare のライセンス取得.............................................................................................. 233 承認されたユーザーの鍵 ........................................................................................................... 233 PGP NetShare 管理者 (所有者) の設定..................................................................................... 234 "ブラックリスト" または "ホワイトリスト" に記載されたファイル、フォルダー、およびアプリケー ション ........................................................................................................................................ 234 「ブラックリスト」のファイルとその他の保護できないファイル................................ 234 "Blacklisted" and "Whitelisted" Folders Specified by PGP Universal Server .................... 235 アプリケーション ベースの暗号化リストと復号化バイパス リスト ............................ 236 保護フォルダーの使用............................................................................................................... 237 保護されたフォルダーの場所の選択............................................................................... 238 新規 PGP NetShare 保護フォルダーの作成 .................................................................... 239 新規 PGP NetShare 保護フォルダー内のファイルの使用 .............................................. 242 保護フォルダーのロック解除 ......................................................................................... 243 保護フォルダー内のファイルの確認............................................................................... 244 保護フォルダーへのサブフォルダーの追加.................................................................... 244 フォルダー ステータスの確認........................................................................................ 245 保護フォルダーの他の場所へのコピー ........................................................................... 246 PGP NetShare ユーザーの使用 ................................................................................................. 246 PGP NetShare ユーザーの追加 ....................................................................................... 247 ユーザーの役割の変更 .................................................................................................... 248 保護フォルダーからのユーザーの削除 ........................................................................... 249 PGP NetShare アクセス リストのインポート .......................................................................... 250 Active Directory グループの使用............................................................................................... 251 グループを利用するための PGP NetShare の設定 ......................................................... 251 グループの更新 ............................................................................................................... 252 PGP NetShare 保護フォルダーの復号化 ................................................................................... 252 フォルダーの再暗号化............................................................................................................... 253 パスフレーズのクリア............................................................................................................... 254 保護フォルダーの外にあるファイルの保護 .............................................................................. 254 PGP NetShare で保護されたファイルのバックアップ ............................................................. 256 ショートカット メニューを使用した PGP NetShare 機能へのアクセス ................................. 257 PGP Universal Server によって管理された環境にある PGP NetShare..................................... 258 保護されたファイルまたはフォルダーのプロパティへのアクセス.......................................... 259 PGP Desktop の PGP NetShare メニューの使用 ...................................................................... 260 [ファイル] メニュー........................................................................................................ 260 [編集] メニュー ............................................................................................................... 261 [NetShare] メニュー ....................................................................................................... 261 vii 目次 PGP Desktop for Windows PGP Zip の使用 263 概要............................................................................................................................................ 263 PGP Zip アーカイブの作成 ........................................................................................................ 264 受信者鍵による暗号化 .................................................................................................... 267 パスフレーズを使用した暗号化...................................................................................... 269 PGP 自己復号化アーカイブ (SDA) の作成..................................................................... 271 署名のみのアーカイブの作成 ......................................................................................... 273 PGP Zip アーカイブの開封 ........................................................................................................ 274 PGP Zip SDA の開封 .................................................................................................................. 275 PGP Zip アーカイブの編集 ........................................................................................................ 276 署名済み PGP Zip アーカイブの検証......................................................................................... 278 PGP シュレッダを使用したファイルの細断処理 281 PGP シュレッダによるファイルおよびフォルダの恒久的な削除............................................. 281 デスクトップの [PGP シュレッダ] アイコンを使用したファイルの細断処理 .............. 283 PGP Desktop 内のファイルの細断処理 .......................................................................... 283 Windows エクスプローラでのファイルの細断処理 ....................................................... 283 PGP 空き領域細断処理アシスタントの使用 ............................................................................. 284 空き領域の細断処理のスケジュール設定 ....................................................................... 285 スマート カードおよびトークンへの鍵の保存 287 スマート カードおよびトークンについて................................................................................ 288 互換性のあるスマート カード........................................................................................ 289 スマート カードの認識................................................................................................... 290 スマート カードのプロパティの確認 ....................................................................................... 291 スマート カード上での PGP 鍵ペアの生成 .............................................................................. 292 スマート カードから鍵リングへの公開鍵のコピー ................................................................. 294 鍵リングからスマート カードへの鍵ペアのコピー ................................................................. 294 スマート カードからの鍵の抹消 .............................................................................................. 296 複数のスマート カードの使用 .................................................................................................. 296 トークンの特別使用 .................................................................................................................. 298 Aladdin eToken の設定 .................................................................................................... 298 PGP Desktop オプションの設定 301 [PGP オプション] ダイアログ ボックスへのアクセス............................................................. 302 全般オプション ......................................................................................................................... 303 鍵オプション ............................................................................................................................. 305 マスター鍵オプション............................................................................................................... 307 メッセージング オプション...................................................................................................... 308 プロキシ オプション ...................................................................................................... 311 viii 目次 PGP Desktop for Windows PGP NetShare オプション......................................................................................................... 314 ディスク オプション ................................................................................................................ 316 通知機能オプション .................................................................................................................. 319 詳細オプション ......................................................................................................................... 321 パスワードおよびパスフレーズの使用 325 パスワードまたはパスフレーズの使用の選択 .......................................................................... 325 パスフレーズの品質バー ........................................................................................................... 326 強力なパスフレーズの作成 ....................................................................................................... 327 What if You Forget Your Passphrase?....................................................................................... 329 PGP Universal Server を介しての PGP Desktop の使い方 331 概要............................................................................................................................................ 332 PGP 管理者の方へ ..................................................................................................................... 333 PGP Universal Server への手動バインド................................................................................... 333 Lotus Notes および MAPI を使用したメッセージング 335 Lotus Notes および MAPI の互換性 .......................................................................................... 335 PGP Desktop と Lotus Notes の併用 ........................................................................................ 336 Lotus Notes 組織内の受信者への電子メールの送信 ...................................................... 336 Lotus Notes 組織外の受信者への電子メールの送信 ...................................................... 337 PGP Universal Server へのバインド.......................................................................................... 337 プリバインド................................................................................................................... 337 手動バインド................................................................................................................... 338 Notes アドレス.......................................................................................................................... 339 Notes クライアントの設定........................................................................................................ 339 Notes.ini 設定ファイル.................................................................................................... 340 Lotus Notes ネイティブ暗号化の使用 ...................................................................................... 340 索引 343 ix 1 PGP Desktop 10.0 for Windows について PGP Desktop は、暗号化を使用して不正アクセスからデータを保護するセキュリ ティ ツールです。 PGP Desktop は、電子メールやインスタント メッセージング (IM) でデータを 送信する際に、データを保護します。また、ハード ドライブ全体またはハード ド ライブのパーティションを (Windows システム上で) 暗号化してすべてのデー タを常時保護したり、仮想ディスクを使用してハード ドライブの一部を暗号化 し、機密データを安全に保存したりすることもできます。これにより、ネットワ ークを介して他のユーザーとファイルやフォルダーを安全に共有できます。ファ イルやフォルダーを暗号化された圧縮パッケージに入れると、パッケージの配布 やバックアップが簡単に行えます。さらに、PGP Desktop を使用して、他人が機 密ファイルを取得できないように細断処理をして安全に削除したり、ハード ド ライブの空きスペースを細断処理して保護されていないファイルの残骸が残ら ないようにもできます。 PGP Desktop を使用して PGP の鍵ペアを作成し、個人用の鍵ペアと他のユーザ ーの公開鍵の両方を管理できます。 PGP Desktopの機能を最大限に活用するために、「PGP Desktopの用語 『ペー ジ : 13』」を理解しておいてください。また、「共通鍵暗号方式と公開鍵暗号 方式 『ページ : 16の"従来の暗号技術と公開鍵暗号化方式"参照先 : 』」に記 載された共通鍵暗号方式と公開鍵暗号方式についても理解しておく必要があり ます。 この章の内容 PGP Desktop for Windowsバージョン 10.0 の新機能 .............................. 2 このユーザー ガイドの使い方 .................................................................. 5 このユーザー ガイドの対象読者............................................................... 6 PGP Desktopのライセンスについて ......................................................... 6 サポート情報 ........................................................................................... 11 1 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGP Desktop for Windows バージョン 10.0 の新機能 PGP Corporation の実証済みテクノロジーに基づく PGP Desktop 10.0 for Windows には、多数の改善点に加え、次の新機能および解決策が追加されてい ます。 PGP Desktop 10.0 の新機能 全般 新しいオペレーティング システムへの対応。PGP Desktop for Windowsは Windows 7 にインストールできるようになりました。 新しくローカライズされたバージョン : PGP Desktopはローカライズされ ており、現在、フランス語 (フランス) とスぺイン語 (ラテン アメリカ) で インストールできます。 新しいスマート カードのサポート。PGP Desktop for Windowsのプリブー トおよびポストブートの両方 : Axalto Cyberflex Access 32K V2 スマート カード Giesecke および Devrient Sm@rtCafe Expert 3.2 個人識別情報検証カー ド Oberthur ID-One Cosmo V5.2D 個人識別情報検証カード SafeNet iKey 2032 USB トークン T-Systems Telesec NetKey 3.0 および TCOS 3.0 IEI カード デザインが変更されたインターフェイス。PGP Desktop for Windowsのメイ ン ユーザー アプリケーション ウィンドウのデザインが変更されました。 PGP Universal Serverの接続性 : PGP Universal Serverへの接続がVPN接続 などの断続的な接続に依存している場合のPGP Desktopの復元性が向上し ました。 PGP 鍵 強化されたサーバー鍵モード (SKM) 鍵 : SKM鍵が、鍵リングの鍵全体に含 まれました。さらに、オフラインでのMAPI電子メール メッセージの復号化 に加え、ディスクやファイルの暗号化と復号化などの暗号化機能にもSKM鍵 が使用できるようになりました。 鍵リングの場所。PGP Desktop for Windowsでは、鍵リングの場所を指定す るために環境変数を使用できます。 2 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 鍵使用フラグ : あるサブ鍵をPGP WDE専用に使用して、別のサブ鍵をその 他のすべてのPGP Desktop機能に使用できるように、各サブ鍵が独自の鍵使 用方法プロパティを持てるようになりました。ある鍵をディスク暗号化専用 に使用したいが、暗号化された電子メールは受け取りたくないという場合に は、鍵の使用方法を設定します。 Universal Serverプロトコル (USP) の鍵検索 : PGP Universalサービス プ ロトコル (USP) は、標準のHTTP/HTTPS上で動作するSOAPプロトコル オ ペレーティングシステムです。これがデフォルトの鍵検索メカニズムになり ました。PGP Universal Serverで管理された環境では、すべての鍵検索要求、 およびPGP Universal ServerとPGP Desktopとの間のすべての通信にPGP USPが使用されます。 PGP メッセージング PGP Viewer : PGP Viewerを使用して、レガシIMAP/POP/SMTP電子メール メッセージを暗号化および表示します。 Lotus Notes。PGP Desktopが設定され、受信者が内部Notesユーザーであ る場合に、PGP DesktopでLotus Notesネイティブ暗号化を使用して電子メ ール メッセージを暗号化できるようになりました。 Lotus Notes。PGP Desktopは、Lotus Notes RTF形式にフォーマットされた 電子メール メッセージをPGP/MIME、S/MIME、PGPパーティション フォ ーマットを使用して暗号化できるようになりました。 Lotus Notes。メッセージのPGPコメントで日時スタンプに地域設定が可能 になりました。 Microsoft Outlookボタンの追加。ボタンを使用して、手動で暗号化または デジタル署名をOutlook電子メールに追加することができます。この新機能 は署名の意思を示すことを求めるデジタル署名法に準拠します。 オフライン ポリシーの強化 : 管理された環境では、ユーザーがPGP Universal Serverに接続されておらずオフラインになっている場合や、サー バー自体がオフラインの場合にも、電子メール ポリシーが適用されるよう になりました。 PGP Portable スタンドアロンのオプションとして利用できた PGP Portable が PGP Desktop に含まれるようになりました。PGP Portable ディスクを Windows システム上で作成できます。この機能は別のライセンスが必要です。 PGP Whole Disk Encryption 追加されたスマート カードの互換性。PGP Whole Disk Encryption for Windowsでプリブート認証に追加された新しいカードには、Axalto Cyberflex Access 32K V2、、Marx CrypToken USBトークン、SafeNet iKey 2032 USBトークン、T-Systems T-Telesec NetKeyスマート カードが含まれ ます。 3 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 個人識別検証 (PIV) カードのサポート。PGP Whole Disk Encryption for Windowsでは、GieseckeおよびDevrient Sm@rtCafe Expert 3.2 個人識別情 報検証カード、Oberthur ID-One Cosmo V5.2D個人識別情報検証カードのサ ポートが追加されました。 追加されたキーボードの互換性 (Windows)。合計 50 の言語のキーボード をPGP BootGuardのログインで使用できるようになりました。互換性のある キーボードのリストについては、『PGP Desktop for Windowsユーザー ガ イド』またはオンライン ヘルプを参照してください。 Linuxでの完全なディスク暗号化のサポート : PGP WDE for Linuxでは、 UbuntuとRed Hatにおいて、プリブート認証付きの完全なディスク暗号化が 行えます。詳細については、「PGP Whole Disk Encryption for Linuxコマン ド ライン ガイド」を参照してください。 ローカル自己修復。PGP Desktop for Windowsでは、パスフレーズを忘れた 場合にPGP BootGuard画面から暗号化されたドライブにアクセスする方法 が提供されるようになりました。設定されている場合、管理者に連絡する必 要はありません。 複数ユーザーの機能強化。複数のユーザーがコンピューターのグループにア クセスする環境では、PGP Universal Server管理者はPGP WDE Adminパスワ ードを指定できます。PGP Desktop for WindowsシステムのPGP BootGuard 画面でこのパスワードを入力すると、Windowsパスフレーズを入力して、デ ィスクを復号化するように指示が表示されます。 暗号化の強制の強化 : PGP Universal Server管理者が、すべてのディスクで 暗号化を必須とするようにポリシーを変更した場合、次にユーザーのシステ ムにポリシーがダウンロードされたときにPGP WDEアシスタントが表示さ れ、ディスクの暗号化を開始できます。 追加されたPGP BootGuardのトークンのサポート。Marx CrypToken USB トークンがPGP BootGuard for PGP Desktop for Windowsで使用できるよう になりました。 拡張ASCII文字のサポート : PGP WDEユーザーを作成するときに、拡張 ASCII文字が使用できるようになりました。 漢字の文字。漢字の文字がPGP BootGuard画面で正しく表示されるようにな りました。 Windows Serverオペレーティング システム。PGP WDEがWindows Serverオペレーティング システム (Windows Server 2003 とWindows Server 2008) にインストールできるようになりました。Windows Serverシ ステムでPGP WDEを使用する場合の追加システム要件とベストプラクティ スについては、「PGPナレッジベース記事 1737 『http://support.pgp.com/?faq=1737』」を参照してください。 4 PGP Desktop 10.0 for Windows について PGP Desktop for Windows このユーザー ガイドの使い方 このユーザー ガイドでは、PGP Desktop 内のコンポーネントの構成および使用 方法について説明します。ユーザー ガイドの各章では、PGP Desktop のコンポ ーネントを 1 つだけ取り上げて重点的に説明します。 「管理対象ユーザー」と「管理されていないユーザー」 PGP Universal Serverを使用して、PGP Desktopのコンポーネントが使用するポ リシーと設定を制御できます。これは、PGPソフトウェアを使用する企業でよく 行われます。この構成のPGP Desktopユーザーは、管理対象ユーザーと呼ばれま す。PGP Desktopソフトウェアで利用できる設定やポリシーがPGP管理者によっ て事前設定され、PGP Universal Serverを使用して管理されるためです。ユーザ ーが管理環境に属している場合は、会社が特定の使用条件を導入していると考え られます。たとえば、管理対象ユーザーは、プレーン テキストの電子メールの 送信を許可されたり、禁止されたりします。また、PGPディスク全体暗号化でデ ィスクを暗号化することを要求される場合もあります。 PGP Universal Serverの管理下にないユーザーは、管理されていないユーザーま たはスタンドアロン ユーザーと呼ばれます。 このドキュメントでは、両方の状況についてPGP Desktopの動作の仕方を説明し ます。ただし、管理対象ユーザーは製品使用時に、このドキュメントで説明する 設定の一部を使用環境で利用できないことがあります。詳細については、「PGP Universal Serverを介してのPGP Desktopの使い方 『ページ : 331』」を参照し てください。 メモ :PGP Universal Server管理環境についての記載は、PGP Virtual Disk製品 やPGP Virtual Disk Professional製品には当てはまりません。 Features Customized by Your PGP Universal Server Administrator PGP Universal Server によって管理された環境の 「管理対象」ユーザーとして PGP Desktop を使用している場合は、管理者が指定できる設定がいくつかあります。 これらの設定によって、PGP Desktop での機能の表示方法が変わる場合がありま す。 無効な機能。PGP Universal Server管理者は、特定の機能を有効にしたり無 効にしたりできます。たとえば、管理者はPGP NetShareで保護されたフォ ルダーを作成する機能を無効にする場合があります。 5 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対 するメニューが使用できなくなります。このユーザー ガイドに記載された 図は、すべての機能が有効になっているデフォルトのインストール環境を示 しています。管理者が使用可能な機能をカスタマイズしている場合は、PGP Desktop インターフェイスの外観が異なる場合があります。 このユーザー ガイドで使用されている規約 メモ、注意、および警告は、次のように使用されています。 メモ :メモは、付加情報でありながら重要性を持ちます。メモは製品の重要な 側面への注意を喚起します。メモを読んでおくと、読まない場合に比べて製品 を有効に利用できます。 注意 :注意は、データの喪失または軽微なセキュリティ侵害の可能性があるこ とを示します。注意は予防措置を講じないと問題が発生するおそれがある状況 を知らせるものです。注意事項には留意する必要があります。 警告 :警告は、重大なデータ喪失やメジャーなセキュリティ侵害の兆候を事前 に通知するものです。警告があった場合、適切な措置を講じないと重大な問題 が生じることがあります。警告は特に重視する必要があります。 このユーザー ガイドの対象読者 このユーザー ガイドは、PGP Desktop for Windows ソフトウェアをデータ保護 の目的に使用するすべてのユーザーを対象としています。 メモ :初めて暗号化に取り組むユーザーで、PGP Desktopの用語と概念の概要 について学びたい場合は、(PGP Desktopのインストール時にコンピューター上 にインストールされる) 『暗号技術の基礎』を参照してください。 PGP Desktop のライセンスについて PGP ソフトウェアでは、ライセンスを使用して、購入した機能を有効にしたりソ フトウェア有効期限を設定したりします。ユーザーのライセンスに応じて、PGP Desktop ファミリーで一部またはすべてのアプリケーションが使用可能になり ます。ライセンスを入力したら、手動またはオンラインで PGP Corporation にア クセスしてソフトウェアの承認を行う必要があります。 ライセンスには 3 つのタイプがあります。 6 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 評価版 :このタイプのライセンスは一般的に時間で区切られ、一部のPGP Desktop機能を含んでいないこともあります。 サブスクリプション :このタイプのライセンスは一般的に 1 年間のサブスク リプション期間有効です。サブスクリプション期間中、PGPソフトウェアの 現行版とすべてのアップグレード、この期間中にリリースされる更新版を受 け取ります。 永久 :このタイプのライセンスはPGP Desktopを永久に使用することを許可 します。毎年更新する必要のある年間ソフトウェア保険ポリシーを追加する ことにより、すべてのアップグレードおよび、ポリシー期間中にリリースさ れる更新版を受け取ります。 PGP Desktop for Windows のライセンス取得 PGP Desktop のライセンスを取得するには 次のいずれか 1 つを実行します。 管理対象ユーザーの場合、既にライセンスを受けたPGP Desktopのコピーを 使用している可能性が高いので、「ライセンスの詳細の確認 『ページ : 7』」にある説明に従って、ライセンスの詳細を確認してください。質問に つきましては、PGP管理者にお問い合わせください。 管理されていないユーザー、またはPGP管理者の場合は、「ライセンスの詳 細の確認 『ページ : 7』」にある説明に従って、ライセンスの詳細を確認 してください。PGP Desktopのコピーを承認する必要がある場合、「PGP Desktop for Windowsの承認 『ページ : 8』」で記載される手順に従って ください。 ライセンスの詳細の確認 PGP Desktop ライセンスの詳細を確認するには、次の手順に従います。 1 システム トレイにある [PGP Desktop] アイコンをダブルクリックします。 7 PGP Desktop 10.0 for Windows について PGP Desktop for Windows [ヘルプ] > [ライセンス] を選択します。[PGP Desktopライセンス] ダイアロ グ ボックスが表示されます。 2 このダイアログ ボックスには、次の詳細項目が表示されます。 項目 説明 ライセンスの種類 ライセンスされた製品の名前。 ライセンス シート 数 ライセンスで利用可能なシートの数。 ライセンスの有効期 限 ライセンスの期限が切れる日付。 製品情報 ライセンスによって有効になっているコンポ ーネント。製品名の上にマウス ポインタを置 くと、その製品に関する情報や、その製品の使 用が許可されているかどうかが表示されます。 Note: If you do not authorize your copy of PGP Desktop, only limited features will be available to you (PGP Zip and Keys). PGP Desktop for Windows の承認 ライセンス番号を新しい番号に変更する必要がある場合、または構成時にライセ ンス承認処理をスキップした場合は、次の手順に従ってソフトウェアを承認しま す。 メモ : 操作を続ける前に、インターネット接続が利用できることを確認してく ださい。インターネット接続が利用できない場合は、手動による承認を依頼す る必要があります。 8 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 始める前に PGP Desktop を購入したユーザー宛てに、受注確認の PDF ファイルが電子メー ルで送信されます。 1 この受注確認書に記載された名前、組織、ライセンス番号を書き留めておい てください。これらの情報は、PDFファイルの「重要なメモ」欄に記載され ています。これらの情報は、ライセンスの承認処理で必要になります。 PGP Corporation の承認サーバーにアクセスして PGP Desktop を承認するに は、PGP Desktop ソフトウェアを構成する際に、名前、組織、電子メール ア ドレス、およびライセンス番号を入力する必要があります。 メモ : ライセンス番号は、PGP製品のダウンロード ページにも表示されま す。 システム トレイにある [PGP Desktop] アイコンをダブルクリックします。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktopライセンス] ダイアロ グ ボックスが表示されます。 3 [ライセンスの変更] をクリックします。[PGPライセンス アシスタント] ダ イアログ ボックスが表示されます。 4 PGPからの受注確認PDFファイルに記載されているとおりに、[名前] と [組 織] に入力します。これらの情報は、PDFファイルの「重要なメモ」欄に記 載されています。PDFファイルに「重要なメモ」の項がない場合は、最初の 承認処理で名前と組織が永久に設定されます。 5 製品のライセンス番号に関連付ける電子メール アドレスを入力します。 6 確認のために電子メール アドレスをもう一度入力します。 メモ : 以前に同じライセンス番号で承認したことがある場合は、前回と同 じ名前、組織、電子メール アドレスを入力してください。前回と異なる情 報を入力すると承認できません。 7 [次へ] をクリックします。 8 次のいずれか 1 つを実行します。 与えられたフィールドに、28 桁のライセンス番号を入力します (例 : DEMO1-DEMO2-DEMO3-DEMO4-DEMO5-ABC)。 メモ : タイプミスを防ぎながら認証を簡単に行うため、ライセンス番号を コピーし、カーソルを最初の [ライセンス番号] フィールドに置いて貼り付 けることをお勧めします。この操作によって、6 個の [ライセンス番号] フ ィールドのすべてにライセンス番号が正しく入力されます。 9 PGP Desktop 10.0 for Windows について PGP Desktop for Windows 30 日間有効な 1 回限りの評価版PGP Desktopを使用するには、[30 日 間有効な一回限りの評価版PGP Desktopを使用する] を選択します。 製品版ライセンスは、30 日間の評価期間が満了する前にいつでも購入 し、登録できます。有効な製品版ライセンスを登録しないと、30 日間 の評価期限が満了した時点で、PGP Desktopはライセンスなしの機能に 戻ります。 PGP Desktopの製品版ライセンスを購入するには、[ライセンス番号を 今すぐ購入する] を選択します。自動的にWebブラウザが開き、オンラ インのPGPストアにアクセスします。 PGP Desktopをライセンスなしで使用するには、[ライセンスなしで使 用する (大半の機能は無効になります)] を選択します。ライセンスなし で使用できるPGP Desktopの機能は、PGP ZipとPGP鍵のみです。 9 [次へ] をクリックして承認します。 10 PGPが承認されると、ライセンスによって有効になった機能が表示されます。 [次へ] をクリックした後、[完了] をクリックして処理を終了します。 ライセンス承認エラーの解決 ソフトウェアの承認中にエラー メッセージが表示された場合、解決方法はエラ ー メッセージの内容によって異なります。PGPサポート ポータル 『https://support.pgp.com』の「HOWTO: License PGP Desktop 9.x」セクショ ンを参照してください。 ライセンスの有効期限が切れた場合 PGP Desktop ライセンスの有効期限が切れると、PGP Desktop を起動したとき に、PGP ライセンスの有効期限に関するメッセージが表示されます。ライセンス の期限が切れると PGP Desktop の機能にどのような影響が及ぶかについては、 この後のセクションを参照してください。 PGP Desktop Email 電子メールが暗号化された状態で送信されなくなります。 PGP NetShare PGP NetShare で保護されたフォルダーにアクセスできますが、保護された ファイルが暗号化されたままになります (暗号化されたファイルを表示す るには、フォルダーとファイルを手動で復号化してください)。 PGP NetShare で保護された新規フォルダーを作成できません。 保護されたフォルダーに移動されるファイルが暗号化されません。 10 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGP NetShare で保護されたフォルダーとの間で鍵の追加または削除を行え ません。 PGP 仮想ディスク PGP 仮想ディスクには読み取り専用モードで引き続きアクセスできます。読 み取り専用モードでは、PGP 仮想ディスクからデータをコピーできますが、 PGP 仮想ディスクにデータをコピーすることはできません。 PGP Whole Disk Encryption PGP Desktop で暗号化された固定ディスクは、ライセンスの有効期限が切れ てから 90 日後に自動的に復号化されます。 サポート情報 その他のリソースについては、次のセクションを参照してください。 製品情報の入手 特に断りのない限り、オンライン ヘルプはインストールされており、PGP Desktop製品の内部で利用できます。製品マニュアルに記載されていない応急対 策情報を収録した、リリース ノートも付属しています。Adobe AcrobatのPDFフ ァイルとして配布されるユーザー ガイドとクイック スタート ガイドは、PGP Corporationサポート ポータル 『https://support.pgp.com』 で利用できます。 PGP Desktopのリリース以降、製品に関する追加情報は、PGPサポート ナレッ ジベース 『https://support.pgp.com/?faq=589』内にあるオンラインのナレッジ ベースに掲載されます。 連絡先情報 テクニカル サポートへのお問い合わせ PGPサポート オプションとPGP技術サポートへのお問い合わせ方法の詳細 については、PGP Corporationサポート ホーム ページ 『https://support.pgp.com』を参照してください。 PGPサポートのナレッジベースにアクセスしたり、PGPテクニカル サポー トにサポートを依頼したりするには、PGPサポート ポータルWebサイト 『https://support.pgp.com』を参照してください。サポート契約がない場合 でもPGPサポート ナレッジベースの一部にアクセスできますが、テクニカ ルサポートにサポートを依頼するには、有効なサポート契約が必要です。 11 PGP Desktop 10.0 for Windows について PGP Desktop for Windows PGPサポート フォーラムを利用するには、PGPサポート 『http://forum.pgp.com』にアクセスしてください。PGPサポート フォーラ ムは、PGP Corporation主催のユーザー コミュニティ向けフォーラムです。 カスタマー サービスへのお問い合わせ 注文、ダウンロード、およびライセンスに関するお問い合わせは、PGP Corporationカスタマー サービス 『https://pgp.custhelp.com/app/cshome』 にアクセスしてください。 他の部門へのお問い合わせ その他のPGP Corporationへのお問い合わせについては、PGP連絡先ページ 『http://www.pgp.com/about_pgp_corporation/contact/index.html 』 にアク セスしてください。 PGP Corporationの会社概要については、PGP Webサイト 『 http://www.pgp.com』にアクセスしてください。 12 2 PGP Desktop の基本 ここでは、PGP Desktop の用語について説明し、暗号化に関する高レベルの概念 情報を提供します。 この章の内容 PGP Desktopの用語................................................................................. 13 従来の暗号技術と公開鍵暗号化方式 ....................................................... 16 PGP Desktopを使用し始める前に ........................................................... 17 PGP Desktop の用語 PGP Desktop の機能を最大限に活用するために、次のセクションの用語について 理解しておいてください。 PGP 製品コンポーネント PGP Desktopとその機能について説明します。ライセンスの種類によっては、一 部の機能が有効になっていない場合があります。詳細については、「PGP Desktopライセンスについて 『ページ : 7の"PGP Desktop for Windowsのライ センス取得"参照先 : 』」を参照してください。 PGP Desktop : 暗号技術を使用して不正アクセスからデータを保護するソ フトウェア ツール。PGP Desktopには、Mac OS X版とWindows版がありま す。 PGPメッセージング : PGP Desktopの機能の 1 つで、ユーザーが設定す るポリシーを使用して、すべての電子メール クライアントを自動的か つ透過的にサポートします。PGP Desktopでは、新しいプロキシ技術を 使用してこれを実現しますが、従来のプラグイン技術も利用可能です。 またPGPメッセージングでは、AIMやiChatなど、数多くのIMクライア ントも保護できます (ただし、双方のユーザーがPGPメッセージングを 有効にする必要があります)。 13 PGP Desktop の基本 PGP Desktop for Windows PGP Whole Disk Encryption : PGP Desktopの機能の 1 つで、ブート レコードを含むハード ドライブ全体またはパーティション (Windowsシステムのみ) を暗号化することにより、その中のすべての ファイルを、使用していないときに保護します。PGP Whole Disk EncryptionとPGP仮想ディスク ボリュームは、同じコンピューター上 で使用できます。ディスク全体を暗号化したドライブは、パスフレー ズで保護するか、またはセキュリティを高めるためにUSBトークン上 の鍵ペアで保護できます。 PGP NetShare : PGP Desktop for Windowsの機能の 1 つで、特定のユ ーザー間で、セキュアな方法で透過的にファイルやフォルダーを共有 できるようにします。PGP NetShareでは、保護対象として指定したフ ォルダーにファイルやフォルダーを移動するだけで、それらを保護で きます。 PGP鍵 : PGP Desktopの機能の 1 つで、自分のPGP鍵だけでなく、電子 メールをセキュアな方法でやり取りする相手の公開鍵も管理します。 PGP仮想ディスク ボリューム : PGP Desktopの機能の 1 つで、ハード ドライブ領域の一部を暗号化された仮想ディスクとして使用できるよ うにします。PGP仮想ディスク ボリュームは、鍵またはパフスレーズ で保護できます。また、ボリュームに対して追加ユーザーを作成して、 承認したユーザーがそのボリュームにアクセスできるようにすること もできます。PGP仮想ディスク機能は、ラップトップで特に有用です。 ラップトップの紛失や盗難が発生した場合でも、PGP仮想ディスクに保 存された機密データは不正アクセスから完全に保護されます。 PGP完全削除 : PGP Desktopの機能の 1 つで、データをコンピューター から完全削除します。完全削除したファイルは上書きされるので、フ ァイル復元用ソフトウェアを使用しても復元できません。 PGP Zip : PGP Desktopの機能の 1 つで、転送やバックアップが簡単に できるように、ファイルやフォルダーを単一の暗号化された圧縮パッ ケージに格納します。PGP Zipアーカイブは、PGP鍵またはパスフレー ズで暗号化できます。 PGP Universal Server : 社員の電子メールの送受信を自動的かつ透過的に セキュアにするための企業向けツール。PGP Universal Serverで管理された 環境でPGP Desktopを使用している場合は、メッセージング ポリシーやそ の他の設定は、その組織のPGP管理者によって制御されます。 14 PGP Desktop の基本 PGP Desktop for Windows PGP Global Directory : PGP Corporationがホストしている無料の公開 鍵サーバー。PGP Global Directoryを使用すると、世界中のPGP鍵にす ばやく簡単にアクセスできるようになります。この鍵サーバーに採用 されている次世代の鍵サーバー技術では、鍵に関連付けられた電子メ ール アドレス宛てに (ユーザー本人が鍵を公開しようとしていること を確認するための) 検証メッセージが送信されたり 、ユーザーが自分 の鍵を管理したりできます。PGP Global Directoryを使用すると、セキ ュアなメッセージを送信する相手の有効な公開鍵を見つけやすくなり ます。PGP Desktopは、PGP Global Directoryと連動するように設計さ れています。 PGP Desktop で使用される用語 PGP Desktop を使用する前に、次の用語をよく理解しておいてください。 復号化 :暗号化された (スクランブルがかけられた) データを、元の有意味 なデータに戻す処理。他のユーザーが公開鍵を使って暗号化したデータを受 信した場合、秘密鍵を使って復号化する必要があります。 暗号化 :データにアクセスした未承認ユーザーがデータを一切加工できな いよう、データにスクランブルをかける処理。データはかなりの程度までス クランブルされるため無意味になります。 署名 :秘密鍵を使用して、データにデジタル署名を添付する処理。送信者が 秘密鍵によって署名したデータは、その送信者の公開鍵によってしか検証で きません。したがって、署名されたデータを送信者の公開鍵で検証できれば、 送信者の秘密鍵でデータが署名されたことになり、その送信者がデータの送 信元として裏付けられます。 検証 :データのデジタル署名に送信者の秘密鍵が使用されたことを、その送 信者の公開鍵を使って証明する処理。秘密鍵によって署名されたデータは、 対応する公開鍵によってのみ検証できます。したがって、署名されたデータ を特定の公開鍵で実際に検証できれば、署名者が秘密鍵を保有していたとい う裏付けになります。 鍵ペア :秘密鍵 1 つと公開鍵 1 つの組み合わせ。PGP「鍵」を作成すると、 事実上鍵ペアを作成したことになります。鍵ペアには、送信者の秘密鍵と公 開鍵以外に送信者の名前と電子メール アドレスが含まれるため、鍵ペアは デジタルIDと考えた方がわかりやすいでしょう。実社会において運転手の身 分証明書となる運転免許証やパスポートと同じように、デジタル界において 送信者の身元確認に使われるのが鍵ペアです。 秘密鍵 :他人に知られないように安全に保管しておく鍵。送信者の公開鍵を 使用して暗号化したデータは、その送信者の秘密鍵によってのみ復号化でき ます。また、送信者の公開鍵で検証できるデジタル署名を作成するときも、 送信者の秘密鍵が必要です。 15 PGP Desktop の基本 PGP Desktop for Windows 注意 :秘密鍵やその鍵のパスフレーズはだれにも教えないでください。ま た、秘密鍵は安全な場所に保管してください。 公開鍵 :他のユーザーに配布する鍵。公開鍵を配布したユーザーには、保護 メッセージ (送信者の秘密鍵でしか復号化できないメッセージ) を自分に送 信してもらったりデジタル署名の検証を代行してもらったりできます。公開 鍵は広く配布するためのものです。 公開鍵と秘密鍵は数学的に関連性がありますが、自分の公開鍵を持つだれか がその対となっている秘密鍵を見抜くことはできません。 鍵サーバー :公開鍵の保管場所。一部の企業では、社員用公開の鍵サーバー を独自にホストすることによって、他の従業員が公開鍵を見つけて保護メッ セージを送信できるようにしています。PGP Global Directory 『https://keyserver.pgp.com』 は、PGP Corporationによってホストされて いる無料の公開鍵サーバーです。 スマート カードとトークン :スマート カードとトークンは、PGP鍵ペアの 作成先またはコピー先の媒体として使用できるポータブル デバイスです。 スマート カードやトークン上にPGP鍵ペアを作成しておくと、そのスマー ト カードやトークンを所有しない人は暗号化、署名、復号化または検証を 許可されないため、セキュリティを強化できます。自分のコンピューターに 未承認ユーザーがアクセスできる場合でも、PGP鍵ペアはユーザーのスマー ト カードやトークンに保存されるので、暗号化データはセキュリティ上安 全です。PGP鍵ペアをメイン システムから離れた場所で使用する場合、PGP 鍵ペアのバックアップを作成する場合、および公開鍵を配布する場合は、 PGP鍵ペアをスマート カードやトークンにコピーしておくのが得策です。 PGP Desktop for Mac OS Xでの使用時、スマート カードとトークンは、鍵 の格納場所としては使用できません 従来の暗号技術と公開鍵暗号化方式 従来の暗号技術では、データの暗号化と復号化に同じパスフレーズを使用します。 従来の暗号技術は、すばやく暗号化や復号化ができるので、送受信せずに一定の 場所でのみ利用するデータに適しています。ただし、暗号化データの送信先が不 特定ユーザー (特に、面識のない相手) である場合、従来の暗号技術は適してい ません。 公開鍵暗号化方式は、 暗号化と復号化に鍵ペアと呼ばれる 2 つの鍵を使用します。 これら 2 つの鍵のうち、1 つは秘密鍵と呼ばれます。名前のとおり、他人には教 えてはならない、秘密の鍵です。もう 1 つは公開鍵と呼ばれ、これも名前からわ かるとおり、他人と共有できる鍵です。実際は、共有することが前提になります。 16 PGP Desktop の基本 PGP Desktop for Windows 公開鍵暗号化方式は、次のように動作します。たとえば、遠方に住んでいる従兄 弟と個人的なメッセージを交換するとき、自分も従兄弟も PGP Desktop をイン ストールしてあるとします。まず、両者はそれぞれ自分の鍵ペアを作成します。 鍵ペアとは、秘密鍵 1 つと公開鍵 1 つが対になったものです。秘密鍵は秘密の安 全な場所に保管しておきます。公開鍵は、鍵を配布するためのサーバーである公 開鍵サーバー (PGP Global Directory など) に送信します (独自の公開鍵サーバー を所有している企業もあります)。 両者の公開鍵が鍵サーバーに登録されると、自分も従兄弟も鍵サーバーからお互 いの公開鍵を取得できるようになります (公開鍵を交換する方法は他にもありま す。詳細については、「PGP鍵の使用 『ページ : 41』」を参照してください)。 公開鍵の交換が重要である理由は、従兄弟にしか解読できない暗号化電子メール メッセージを送信する際には、従兄弟の公開鍵を使用してメッセージを暗号化す ることになるためです。従兄弟の公開鍵を使って暗号化されたメッセージは、従 兄弟の秘密鍵でしか復号化できません。つまり、従兄弟の公開鍵を使ってメッセ ージを暗号化すると、暗号化した自分自身でも、従兄弟の公開鍵を使ってそのメ ッセージを復号化することはできないのです。公開鍵を使って暗号化されたデー タを復号化できるのは、それに対応する秘密鍵だけとなります。 公開鍵と秘密鍵は数学的に関連していますが、公開鍵だけからその対となってい る秘密鍵を見破ることはできません。 暗号技術について 暗号技術の詳細については、PGP Desktopと共にインストールされている『暗号 技術の基礎』を参照してください。このマニュアルは [スタート] メニューから 開くことができます。 PGP Desktop を使用し始める前に PGP Desktop を使用し始めるには、次の手順で行うことを推奨します。 1 PGP Desktopをコンピューターにインストールします。 企業環境では、PGP 管理者がインストールに関する特別な指示を社員用に用 意している場合や、特定の設定を PGP インストーラーに事前に組み込んで いる場合があります。いずれの場合でも、製品のインストールが最初の手順 となります。 2 セットアップ アシスタントを使用して作業を進めます。 PGP Desktop をインストールしてコンピューターを再起動すると、セットア ップ アシスタントが表示されます。セットアップ アシスタントでは、次の 作業を簡単に行うことができます。 PGP Desktop のライセンス取得 17 PGP Desktop の基本 PGP Desktop for Windows 鍵ペアの作成 - サブ鍵付き、またはサブ鍵なし (鍵ペアをまだ保有し ていない場合) PGP Global Directory への公開鍵の公開 PGP メッセージングの有効化 他の機能の概要を確認 PGP Desktop インストーラー アプリケーションが PGP 管理者によって構 成されている場合は、セットアップ アシスタントで他のタスクが実行され ることがあります。 3 自分の公開鍵を他のユーザーと交換します。 鍵ペアを作成した後、他の PGP Desktop ユーザーと公開鍵を交換すると、 その相手とセキュアなメッセージの送受信を開始できます。PGP Desktop のディスク全体暗号化機能を使用することもできます。 他のユーザーとの公開鍵の交換は、最初に行う重要な手順です。他のユーザ ーにセキュアなメッセージを送信するには、相手の公開鍵を持っている必要 があります。また、相手がセキュアな返信メッセージを送信するには、その ユーザーが返信先ユーザーの公開鍵を持っている必要があります。セットア ップ アシスタントで PGP Global Directory に公開鍵をアップロードしなか った場合は、この段階でアップロードしてください。メッセージの送信相手 の公開鍵を持っていない場合は、まず PGP Global Directory で公開鍵を探し ます。PGP Desktop では電子メールの送信時に、相手側の PGP Desktop ユ ーザーの鍵が自動的に検索され、検証されます。次に、送信メッセージは相 手の公開鍵で暗号化され、送信されます。 4 信頼されていない鍵サーバーから入手した公開鍵を検証します。 信用されていない鍵サーバーから公開鍵を入手するときは、公開鍵が改ざん されていないことや、公開鍵の所有者と名乗るユーザーが実際の所有者であ ることを確認するようにしてください。これを確認するには、PGP Desktop を使用して、鍵サーバーから入手した公開鍵のフィンガープリントを、所有 者本人の手元にある公開鍵のフィンガープリントと比較します。(公開鍵の 所有者に電話をかけ、フィンガープリントを読み上げてもらって比較する方 法を推奨します。)PGP Global Directory などの信用できる鍵サーバーから取 得した鍵は、既に検証されています。 5 電子メール、ファイル、インスタント メッセージ (IM: Instant Message) セッションをセキュアにします。 鍵ペアを作成して公開鍵を交換した後、電子メールやフォルダーの暗号化、 署名、復号化、および検証を開始できます。セキュアな IM チャット セッシ ョンの機能では、独自の鍵が自動的に生成されるため、鍵ペアを作成する前 でもこの機能を使用できます。ただし、チャット セッションをセキュアに するには、チャットの相手も PGP Desktop を使用していることを条件とし ます。 6 PGP Desktopの通知機能によって表示される情報ボックスに注意しながら 作業します。 18 PGP Desktop の基本 PGP Desktop for Windows メッセージを送受信したときや、その他の PGP Desktop 機能を実行したと きに、指定した画面隅に PGP Desktop の通知機能の情報ボックスが表示さ れます。これらの PGP 通知機能のボックスには、PGP Desktop によって行 われた、または行われる予定の処理が示されます。メッセージの送受信処理 を理解したら、PGP 通知機能のオプションを変更したり、通知機能を無効に したりできます。 7 メッセージを数回送受信した後で、ログをチェックし、すべての機能が正し く動作していることを確認します。 通知機能で表示される以上に詳細な情報が必要な場合は、PGP ログで、すべ てのメッセージング処理に関する詳細情報を参照できます。 8 必要に応じてメッセージング ポリシーを編集します。 PGP Desktopのメッセージング ポリシーを正しく構成すると、電子メール の送受信が自動的かつ透過的に行われるようになります。メッセージの受信 者の鍵がPGP Global Directory上にある場合は、デフォルトのPGP Desktop ポリシーによって、[暗号化できない場合はクリア テキストで送信] のポリ シーが適用されます。[暗号化できない場合はクリア テキストで送信] のポ リシーでは、暗号化に必要なもの (受信者の検証済みの公開鍵など) がある 場合にのみ、PGP Desktopによってメッセージが自動的に暗号化されます。 受信者の検証済みの鍵がない場合は、メッセージが暗号化されずにクリア テキストで送信されます。デフォルトのPGP Desktopポリシーには、強制的 な暗号化のオプションも用意されています。このポリシーを適用すると、件 名に “[PGP]” というテキストが含まれるメッセージの暗号化が必須となり ます。検証済みの公開鍵が見つからない場合は、メッセージは送信されず、 通知機能によって警告が表示されます。 9 PGP Desktopのその他の機能を使用して、さらにセキュリティを高めます。 PGP Desktop を使用すると、メッセージング機能だけでなく、使用している ディスクをセキュアにすることもできます。 PGP Whole Disk Encryptionを使用すると、ブート ディスク、ディス ク パーティション (Windowsシステムの場合)、外付けディスク、また はUSBサム ドライブを暗号化できます。ディスクまたはパーティショ ン上のすべてのファイルがセキュアに保護され、使用時に即時に暗号 化および復号化されます。この処理は完全に透過的に行われます。 PGP仮想ディスクを使用すると、セキュアな「仮想ハード ディスク」 を作成できます。この仮想ディスクは、ファイルを保管する銀行の金 庫のように使用できます。PGP Desktop、Windowsエクスプローラー、 またはMac OS X Finderで仮想ディスクをマウント解除およびロック するだけで、コンピューター自体がロックされていなくても、仮想デ ィスクの中のファイルがセキュアになります。 PGP Zipを使用すると、圧縮および暗号化されたPGP Zipアーカイブを 作成できます。これにより、ファイルを効率的かつセキュアに転送ま たは保管できます。 19 PGP Desktop の基本 PGP Desktop for Windows PGPシュレッダーを使用すると、不要になった機密ファイルを削除で きます。PGPシュレッダーは、それらのファイルを復元できないように 完全に削除します。 20 3 PGP Desktop のインストー ル ここでは、PGP Desktop をコンピューターにインストールする方法と、インスト ール後に起動する方法について説明します。 この章の内容 インストールの前に................................................................................. 21 PGP Desktopのインストールと構成 ....................................................... 23 PGP Desktopのアンインストール ........................................................... 26 PGP Desktopのインストール環境を別のコンピュータに移動................ 27 インストールの前に ここでは、Windows コンピュータに PGP Desktop をインストールするための最 小システム要件について説明します。 システム要件 インストールを開始する前に、コンピューターが次のシステム要件を満たしてい ることを確認してください。 Microsoft Windows 2000 (Service Pack 4)、Windows Server 2003 (Service Pack 1 と 2)、Windows XP Professional 32 ビット (Service Pack 2 または 3) 、Windows XP Professional 64 ビット (Service Pack 2)、Windows XP Home Edition (Service Pack 2 または 3)、Microsoft Windows XP Tablet PC Edition 2005 (付属キーボード要)、Windows Vista (Service Pack 1 を含むす べての 32 ビット と 64 ビット バージョン)、Windows 7 (すべての 32 ビッ トと 64 ビット バージョン)。 メモ : 上記のオペレーティング システムがサポートされるのは、 Microsoftからのすべての最新のホット フィックスおよびセキュリティ パッチが適用されている場合に限られます。 PGP Whole Disk Encryption (WDE) では、次の Windows Server バージョン に加えて、すべてのクライアント バージョンに対応するようになりました。 21 PGP Desktop のインストール PGP Desktop for Windows Windows Server 2003 SP 2 (32 および 64 ビット版) Windows Server 2008 SP 1 および 2 (32 および 64 ビット版) Windows Server 2008 R2 (32 および 64 ビット版) Windows ServerシステムでPGP WDEを使用する場合の追加システム要件 とベストプラクティスについては、「PGPナレッジベース記事 1737 『http://support.pgp.com/?faq=1737』」を参照してください。 512 MB 以上の RAM 64 MB 以上のハード ディスク領域 互換性のある電子メール ソフトウェア、インスタント メッセージング ソフト ウェア、およびウイルス対策ソフトウェアについては、『PGP Desktop10.0 for Windowsリリース ノート』を参照してください。 Citrix およびターミナル サービスとの互換性 PGP Desktop for Windows は、次のターミナル サービス ソフトウェアとの動作 が確認されています。 Citrix Presentation Server 4.0 Citrix Metaframe XP Windows 2003 ターミナル サービス PGP Desktop for Windows の次の機能が、ここで説明する環境および範囲で使用 できます。 電子メールの暗号化は完全にサポートされています。 PGP Zip 機能は完全にサポートされています。 PGP Shred 機能は完全にサポートされています。 PGP NetShare は完全にサポートされています。 PGP 仮想ディスクをドライブ文字で Citrix/TS にマウントすることはできま せんが、ディレクトリ マウント ポイントで NTFS ボリュームにマウントす ることは可能です。 PGP Whole Disk Encryption はサポートされていません。 スマート カードはサポートされていません。 CitrixサーバーにPGP Desktopをインストールする方法の詳細については、「PGP サポート ナレッジベース記事 832 『https://support.pgp.com/?faq=832』」を参 照してください。 22 PGP Desktop のインストール PGP Desktop for Windows PGP Desktop のインストールと構成 ここには、PGP Desktop のインストールまたはアップグレードに関する情報と、 セットアップアシスタントに関する情報が記載されています。 ソフトウェアのインストール メモ : PGP Desktopをインストールするには、コンピュータ上で管理者権限が 必要です。 PGP Desktop を Windows システムにインストールするには、次の手順に従い ます。 1 PGP Desktop インストーラー プログラムの場所を探します。インストーラ ー プログラムは、Microsoft SMS 導入ツールを使用して PGP 管理者から配 布された .msi ファイルです。 2 PGP Desktop インストーラーをダブルクリックします。 3 画面に表示される指示に従います。 4 再起動するための指示が表示されたら、コンピューターを再起動します。 メモ : PGP Universal Serverで保護されているドメインに属している場合、 PGP管理者が特定の機能や設定をPGP Desktopインストーラーに事前に組み 込んでいる場合があります。さらに、PGP管理者がサイレント登録を設定する 場合、PGP Desktopのすべてのパスフレーズ要件でWindowsドメイン パスワ ードを使用する必要があります。ポリシーで指定される場合、PGP Whole Disk EncryptionはWindowsパスワードが入力されると、自動的にディスクの暗号化 を開始します。 ソフトウェアのアップグレード メモ : PGP Desktop for WindowsとPGP Universal Satellite for Windowsの両 方を同一システムにインストールすることはできません。両方の製品のイン ストーラーで他方のプログラムの存在が検出され、インストールが中断されま す。 次の製品は、以前のバージョンから PGP Desktop for Windows にアップグレー ドできます。 PGP Desktop for Windows PGP Universal Satellite for Windows 23 PGP Desktop のインストール PGP Desktop for Windows Microsoft Windows XP 搭載のコンピューターを使用している場合は、PGP Desktop 8.x からのみ PGP Desktop 9.6 以降にアップグレードできます。 Microsoft Windows 2000 搭載のコンピューターの場合は、PGP Desktop バージ ョン 6.x、7.x、または 8.x からアップグレードできます。 重要なメモ : オペレーティング システムをMicrosoft Windows Vistaにアッ プグレードして、このバージョンのPGP Desktopを使用する場合は、Vistaにア ップグレードする前に、PGP Desktopの以前のバージョンを確実にアンインス トールしてください。また、アンインストールする前に鍵と鍵リングを確実に バックアップしてください。これまでにPGP Whole Disk Encryptionを使用し たことがある場合は、PGP Desktopをアンインストールする前に、ディスクを 復号化する必要があります。 PGP Desktop10.0 for Windows にアップグレードするには、次の手順に従い ます。 次のいずれか 1 つを実行します。 PGP Desktop 8.x for Windowsからのアップグレード : PGP Desktop 10.0 for Windowsの標準インストール処理を行います。 PGP Desktop for Windows 8.x が自動的にアンインストールされた後、PGP Desktop 10.0 for Windows がインストールされます。既存の鍵リングと PGP 仮想ディスク ファイルは、アップグレードした後も使用できます。 バージョン 8.0 より前のPGP Desktop for Windowsバージョンからのアッ プグレード : PGP Desktop 10.0 for Windowsのインストールを開始する前 に、8.0 より前のバージョンのPGP Desktopを手動でアンインストールしま す。既存の鍵リングとPGP仮想ディスク ファイルは、アップグレードした 後も使用できます。 PGP Universal Satellite 1.2 for Windowsまたはそれ以前からのアップグ レード : PGP Desktop 10.0 for Windowsの標準インストール処理を行いま す。 既存のバージョンの PGP Universal Satellite for Windows が自動的にアンイ ンストールされ、PGP Desktop 10.0 for Windows がインストールされます 。既存の設定は保持されます。 注意 : PGP Desktop 10.0 for Windowsの上にPGP Universal Satelliteのい ずれかのバージョンをインストールすることはできません。どちらのプロ グラムも正しく動作しません。両方のプログラムをアンインストールして から、PGP Desktopのみをインストールしてください。 PGP Desktop for Windows (バージョン 8.x) およびPGP Universal Satelliteからのアップグレード : PGP Desktop 10.0 for Windowsの標準イ ンストール処理を行います。 24 PGP Desktop のインストール PGP Desktop for Windows PGP Desktop および PGP Universal Satellite for Windows が自動的にアンイ ンストールされ、PGP Desktop 10.0 for Windows がインストールされます 。既存の鍵リングと PGP 仮想ディスク ファイルは、アップグレードした後 も使用できます。 更新の確認 : 指定した間隔でソフトウェア更新の確認が自動的に行われます。デフォルトは 1 日です。新しいバージョンのPGP Desktopが公開されている場合は、通知画面が 表示され、ダウンロードできるようになります。このオプションをオフにすると、 ソフトウェア更新の自動確認は行われません。詳細については、「全般オプショ ン 『ページ : 303』」を参照してください。 更新をダウンロードしたら、指示に従って更新をインストールします。 このオプションには、インターネット接続が必要です。 メモ : PGP Universal Serverによって管理されている環境でPGP Desktopを使 用している場合、このオプションが必要になることがあります。このオプショ ンを有効にすると、PGP Desktopは、関連付けられたPGP Universal Serverで アップデートを検索します。 メモ : 更新をインストールするには、コンピュータ上で管理者権限が必要で す。 スタンドアロン インストールから管理された PGP Desktop インストールへのアップグレード スタンドアロン モードで PGP Desktop を使用していたユーザーが PGP Universal Server の管理対象になる場合は、既存のスタンドアロン インストール 環境に、マーク付きのバインドされた PGP Desktop をインストールする必要が あります。また、登録プロセスを完了する必要もあります。マーク付きのバイン ドされた PGP Desktop をインストールできるように、PGP 管理者からインスト ール ファイルが提供されます。 オペレーティング システム ソフトウェアのアップグレード コンピューターを新しいオペレーティング システムの新しい主要リリースにア ップグレードするには (Windows システムで Windows Vista に、Mac OS X で 10.4.x から 10.5.x)、以下を必ず行ってください。 1 アンインストール前に確実に鍵と鍵リングをバックアップしてください。 2 これまでに PGP Whole Disk Encryption を使用したことがある場合は、PGP Desktop をアンインストールする前に、ディスクを復号化してください。 3 新しいバージョンのオペレーティング システムにアップグレードする前に、 PGP Desktopの旧バージョンをアンインストールしてください。 25 PGP Desktop のインストール PGP Desktop for Windows 4 オペレーティング システムのバージョンをアップグレードしてから、PGP Desktop を再インストールします。鍵/鍵リングをインポートし、必要に応 じて、ディスクを暗号化できます。 PGP Desktop のライセンス取得 このリリースのライセンス情報は、『PGP Desktopリリース ノート』を参照して ください。 セットアップアシスタントの実行 PGP Desktop のインストールを終了すると、コンピュータの再起動を求めるメッ セージが表示されます。コンピュータの再起動後、直ちに Windows Desktop で PGP Desktop セットアップアシスタントが自動的に開始されます。セットアップ アシスタントにより一連の質問画面が表示されます。セットアップアシスタント は、その回答を使用して PGP Desktop を設定します。 ご利用のシステムのセットアップアシスタントにより、さまざまな要素に基づい て、インストール環境に適した画面のみが表示されます。 セットアップアシスタントによって、すべての PGP Desktop 設定が行われるわ けではありません。セットアップアシスタントの画面を完了してから、セットア ップアシスタントに含まれない設定を行うことができます。 PGP Desktop のアンインストール PGP Desktopは、PGP Desktopアンインストーラー、またはWindowsの [プログ ラムの追加と削除] 機能を使用してアンインストールできます。ここでは、PGP Desktopアンインストーラーを使用した手順を説明します。 PGP Desktop 8.x以降をアップグレードする場合、最初にPGP Desktopをアンイ ンストールする必要はありません。詳細については、「ソフトウェアのアップグ レード 『ページ : 23』」を参照してください。 PGP Desktop をアンインストールするには、次の手順に従います。 1 [スタート] メニューをクリックして、[プログラム] > [PGP] > [PGP Desktop のアンインストール] を選択します。確認のダイアログ ボックスが表示さ れます。 2 [はい] をクリックしてアンインストール処理を続行します。PGP Desktopソ フトウェアがシステムから削除されます。 26 PGP Desktop のインストール PGP Desktop for Windows 将来、PGP Desktopを再インストールする場合に備えて、鍵リング、PGP仮 想ディスク、およびPGP Zip (.pgp) ファイルはシステムから削除されませ ん。 3 再起動するための指示が表示されたら、コンピューターを再起動してアンイ ンストールを完了します。 メモ : PGP Desktopをアンインストールする代わりに、PGP Desktopのバック グラウンド サービスを停止することもできます。この操作により、電子メー ルやインスタント メッセージがPGP Desktopによって保護されなくなります が、PGP仮想ディスク ボリュームとPGP Whole Disk Encryptionによって保護 されているディスクまたはパーティションには引き続きアクセスできます。 PGP Desktopの電子メール プロキシまたはIMプロキシのみを無効にするに は、[PGPオプション] ダイアログ ボックスを使用します ([ツール] > [オプシ ョン] を選択して、[メッセージング] タブにある適切なオプションを選択解除 します)。 PGP Desktop のインストール環境を別のコンピュータに移動 PGP Desktop のインストール環境を別のコンピュータに移動するのは、難しいプ ロセスではありませんが、正常に終了する必要のある重要な手順がいくつかあり ます。このプロセスは、次の手順で構成されます。 PGP Desktop のインストール環境を別のコンピュータに移動するには 1 PGP Desktopをアンインストールします。これを行うには、[スタート] > [プ ログラム] > [PGP] > [PGP Desktopのアンインストール] の順に選択します。 Windowsコントロール パネルのプログラムの追加と削除機能を使用するこ ともできます。古いバージョンのプログラムを実行している場合は、これが PGP Desktopを削除する唯一の方法です。 この手順では、鍵リング ファイルは削除されません。 2 鍵リングを移動します。これを行うには、鍵リング ファイル(pubring.pkr とsecring.skrの両方)を元のコンピュータからディスケットまたはその 他のリムーバブル メディアにコピーし、それらを新しいコンピュータにコ ピーします。 鍵リング ファイルのデフォルトの場所はC:\Documents and Settings\<user>\My Documents\PGP\ です。 新しいコンピュータに PGP Desktop をインストールしたことがない場合は、 最初にこのフォルダを作成してから、鍵リング ファイルをコンピュータに コピーしてください。 3 PGP Desktop を新しいコンピュータにインストールします。これを行うには、 最初の PGP Corporation の注文確認メールにあるダウンロード リンクをク リックして PGP Desktop をダウンロードします。 4 インストール プロセスを通じて、次の操作を行います。 27 PGP Desktop のインストール PGP Desktop for Windows 新しいコンピュータ上のPGP Desktopセットアップ ウィザードで、 [No, I have existing keyrings (いいえ、既存の鍵リングがあります)] を選択し、新しいコンピュータ上で鍵リング ファイルをコピーした場 所を指定します。 PGP Desktop の最初の承認時に使用したものと同じ名前、組織、およ びライセンス番号を使用します。 28 4 PGP Desktop のユーザー イ ンターフェイス ここでは、PGP Desktop のユーザー インターフェイスについて説明します。 この章の内容 PGP Desktopの各機能へのアクセス ....................................................... 29 PGP Desktop通知機能の警告 .................................................................. 35 PGPログの表示 ........................................................................................ 39 PGP Desktop の各機能へのアクセス PGP Desktop にアクセスするには、主に 4 つの方法があります。 PGP Desktopのメイン ウィンドウ 『ページ : 30の"PGP Desktopのメイン 画面"参照先 : 』 PGPトレイ アイコン 『ページ : 31の"PGPトレイ アイコンの使用"参照 先 : 』 Windowsエクスプローラーのショートカット メニュー 『ページ : 33の "Windowsエクスプローラのショートカット メニューの使用"参照先 : 』 [スタート] メニュー 『ページ : 35の"[スタート] メニューの使用"参照 先 : 』 29 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP Desktop のメイン画面 PGP Desktop のメイン画面は、この製品のプライマリ インターフェイスです。 PGP Desktop のメイン画面には、次の要素が含まれます。 1 メニュー バー PGP Desktopのコマンドにアクセスできます。メ ニュー バーのメニューは、選択されているコントロール ボック スに応じて変わります。 2 [PGP鍵] コントロール ボックス。PGP鍵を管理できます。 3 [PGPメッセージング] コントロール ボックス。PGPメッセージ ングを管理できます。 4 [PGP Zip] コントロール ボックス。PGP Zipを管理する機能や、 新しいPGP Zipアーカイブの作成を支援するPGP Zipアシスタン トを制御できます。 5 [PGPディスク] コントロール ボックス。PGPディスクを管理で きます。 6 [PGP Viewer] コントロール ボックス : メール ストリーム外に あるメッセージを復号化、検証、および表示できます。 7 [PGP NetShare] コントロール ボックス。PGP NetShareを管理 できます。 8 PGP Desktop作業領域選択したコントロール ボックスに関する 情報と実行できる操作が表示されます。 30 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows 9 PGP鍵の検索ボックス。 鍵リングにある鍵を検索するのに使用し ます。ボックスにテキストを入力すると、PGP Desktopは名前か 電子メール アドレスによる検索結果を表示します。 各コントロール ボックスを展開すると、利用できるオプションが表示されます。 折りたたむと、スペースの節約になります (コントロール ボックスのバナーだけ が表示されます)。 コントロール ボックスを展開するには、バナーをクリックし ます。 展開されたコントロール ボックスの内容は、操作の内容や選択した項目に応じ て適宜変化します。たとえば、[PGP鍵] コントロール ボックスが選択されてい るときに公開鍵を選択すると、[この受信者に電子メールを送信する] および [こ の鍵を電子メールで送信] の各オプションが [PGP鍵] コントロール ボックスの 下部に表示されます。 秘密鍵を選択した場合は、[この鍵を電子メールで送信] だ けが表示されます。鍵を選択しなければ、オプションは何も表示されません。 PGP Desktop のメイン画面をナビゲートするには、Tab キーを使用します。スペ ース キーまたは Enter を使用して、オプションを選択します。 メモ : [この受信者に電子メールを送信する] をクリックすると、システムのデ フォルトの電子メール クライアントが開き、選択した鍵のアドレスを使用し て新しい電子メールが作成されます。これにより、鍵リングに登録されている 相手に簡単にメッセージを送信できます。[この鍵を電子メールで送信] をクリ ックすると、システムのデフォルトの電子メール クライアントが開き、選択 した公開鍵を添付した新しい電子メールが作成されますが、メッセージのアド レスは指定されません。これは、自分の公開鍵、または鍵リング上の公開鍵を、 その鍵を持っていない他のユーザーに送信する場合に便利です。 PGP トレイ アイコンの使用 PGP Desktop の多くの機能にアクセスする方法の 1 つとして、PGP トレイ アイ コンがあります。 ヒント : PGPトレイ アイコンをダブルクリックすると、PGP Desktopを開く ことができます。 PGP トレイには、次の 4 つのアイコンのいずれかが表示されます。 通常動作 ( ) : PGP Desktopは通常に動作しています。パスフレーズはキャ ッシュされておらず、メッセージ プロキシが有効になっています。その他 のPGP処理は実行されていません。 31 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows キャッシュされたパスフレーズ ( ) : PGP Desktopは通常に動作しており、 1 つまたは複数の秘密鍵パスフレーズがキャッシュされています。パスフレ ーズのキャッシュは時間を節約するためのオプション機能です。パスフレー ズがキャッシュされていると、たとえば、鍵に署名する際にパスフレーズを 入力する必要がなくなります。ただし、セキュリティ上のリスクにもなりま す。パスフレーズがキャッシュされたままでコンピューターから離れた場合、 そのシステムに近づける人なら誰でも、パスフレーズを入力せずにPGP Desktopを使用できることになります。 メッセージプロキシが無効 ( ) : 電子メール メッセージのプロキシが無効 になっています。暗号化された受信メッセージは復号化および検証されず、 送信メッセージは暗号化および署名されません。メッセージ プロキシは、 PGPトレイ メニューや [PGPオプション] ダイアログ ボックスを使用して 有効な状態に戻すことができます。 ビジー ( ) : ディスクの暗号化など、PGP Desktopによる処理が進行中です。 処理が終了すると、PGPトレイ アイコンは適切なアイコンに戻ります。 PGP トレイ アイコンを右クリックまたは左クリックすると、様々なオプション にアクセスするためのメニューが表示されます。スタンドアロン インストール または管理されたインストールのどちらであるかによって、利用できないオプシ ョンもあります。 [PGPサービスの終了] : このコンピューター上のPGP Desktopサービスを停 止します。このコマンドを使用する場合は十分注意してください。電子メー ルやインスタント メッセージング セッションの自動的な暗号化や復号化 が行われなくなります。 PGPサービスを停止した場合、コンピューターを再起動するか、または [ス タート] メニューから [PGP Desktop] を選択する ([[スタート] > [プログラ ム] > [PGP] > [PGP Desktop]] ことで再度サービスを開始できます。 [PGP Desktopバージョン情報] :ライセンス情報など、使用しているPGP Desktopのバージョンに関する情報を表示します。 [更新の確認] : PGP Corporationのアップデート サーバーに問い合わせを行 って、新しいバージョンのPGP Desktopをダウンロードできるかどうかを確 認します。このオプションはスタンドアロン インストール環境でのみ使用 できます。 [ヘルプ] : PGP Desktopの統合オンライン ヘルプを開きます。 [オプション] : [PGP Desktopオプション] ダイアログを開きます。 [通知機能の表示] : 最新の送受信メッセージに関する通知機能の情報を表示 します。 [PGPログの表示] : PGP Desktopログを表示します。PGP Desktopログを使 用して、データをセキュアにするためにPGP Desktopで実行されているアク ションを確認します。 [PGP Viewerを開く] : メール ストリーム外で電子メールを復号化できる ように、PGP Viewerを開きます。 32 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows [PGP Desktopを開く]。PGP Desktopのメイン画面を開きます。また、PGP Desktopトレイ アイコンをダブルクリックしてPGP Desktopを開くことも できます。 [ポリシーの更新] : PGP Universal Serverから手動でポリシーをダウンロー ドします。このオプションは、管理されたインストールでのみ使用できます。 [キャッシュの消去] : パスフレーズやキャッシュされた公開鍵など、キャッ シュされた情報をメモリからすべて消去します。 メモ : PGP NetShareで保護されたフォルダーにアクセスするため、スマー ト カードまたはトークンを使用した場合は、そのスマート カードまたは トークンを取り外しても、キャッシュされたパスフレーズは消去されませ ん。キャッシュされたパスフレーズを消去するには、ホット キーを作成し ます。詳細については、「詳細オプション 『ページ : 321』」を参照し てください。 [PGP仮想ディスクのマウント解除] : マウントされているすべてのPGP仮 想ディスク ボリュームをマウント解除します。 [現在のウィンドウ] : 現在のウィンドウの内容に対して、PGP Desktopの機 能 ([復号化と検証]、[復号化と署名]、[署名]、[暗号化]) を使用できるように します。 [クリップボード] :クリップボードの内容に対して、PGP Desktopの機能 ([復 号化と検証]、[復号化と署名]、[署名]、[暗号化]) を使用できるようにします。 また、クリップボードの内容の消去や編集を行うこともできます。 Windows エクスプローラのショートカット メニューの使用 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 PGP Desktopの機能には、Windowsエクスプローラのショートカット メニュー を使用してアクセスすることもできます。Windowsエクスプローラを開き、操作 する項目を右クリックしてショートカット メニューから [PGP Desktop] を選 択します。 右クリックした項目に対応する PGP Desktop 機能に、Windows エクスプローラ からアクセスできます。 ドライブ。Windowsエクスプローラでシステム上のドライブを右クリックし、 表示されるメニューから [PGP Desktop] を選択すると、そのドライブに対 して次の操作を行うことができます。 PGP 空き領域細断処理 33 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP仮想ディスク。Windowsエクスプローラでシステム上にマウントされた PGP仮想ディスクのドライブを右クリックし、表示されるメニューから [PGP Desktop] を選択すると、そのドライブに対して次の操作を行うことが できます。 PGP 仮想ディスクのマウント解除 Windows エクスプローラで PGP 仮想ディスク ファイル(.pgd)の場所 を検索 PGP 仮想ディスクのプロパティの編集 Windows エクスプローラで、マウント解除されたディスクの PGP 仮想ディ スク ファイル(.pgd)を右クリックし、表示されるメニューから [PGP Desktop] を選択すると、次の操作を行うこともできます。 未使用領域の圧縮 PGP 細断処理を使用して PGP 仮想ディスクを安全に削除(この処理を 実行すると、ディスク上のすべてのデータも削除されます) PGP 仮想ディスクの再暗号化 フォルダー。Windowsエクスプローラでフォルダーを右クリックし、表示さ れるメニューから [PGP Desktop] を選択すると、そのフォルダーに対して 次の操作を行うことができます。 新規 PGP Zip への追加 フォルダーの内容の自己復号化アーカイブの作成 鍵またはパスフレーズによるセキュリティ保護 復号化と検証 PGP NetShare への追加 細断処理 ファイル。Windowsエクスプローラでファイルを右クリックし、表示される メニューから [PGP Desktop] を選択すると、ファイルの種類に応じて、そ のファイルに次の操作を行うことができます。 暗号化されていないファイルを選択した場合、鍵またはパスフレーズ によるセキュリティ保護、署名、細断処理、または自己復号化アーカ イブの作成を実行できます。 暗号化されたファイルを選択した場合、そのファイルの復号化や検証、 または細断処理を実行できます。 マウントされていないPGP仮想ディスク(.pgd)を選択した場合、その仮 想ディスクのマウントや編集を実行できます。マウントされたボリュ ームを選択した場合は、そのマウントを解除できます。 PGP Zip (.PGP) ファイルを選択した場合、復号化と検証、表示、また は細断処理を実行できます。 34 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP鍵 ファイル(.asc)を選択した場合、復号化や検証、または細断処 理を実行できます。復号化や検証を選択すると、ファイルをインポー トするオプションを利用できるようになります。 PGP の公開鍵または秘密鍵のファイル(それぞれ PKR ファイルと SKR ファイル)を選択した場合、その鍵を自分の鍵リングに追加したり、細 断処理を実行したりできます。 [スタート] メニューの使用 PGP Desktopは、Windowsの [スタート] メニューからアクセスすることもでき ます。これを行うには、[スタート] > [プログラム] > [PGP] を選択します。 [スタート] メニューからは、次の各機能にアクセスできます。 英語版、その他サポートされている言語の PGP Desktop のマニュアル PGP Desktop アプリケーション PGP Desktop のアンインストール PGP Desktop 通知機能の警告 PGP Desktop 通知機能では、送受信する電子メールのステータスと、インスタン ト メッセージング セッションのステータスを示す、小さな情報ボックスが表示 されます。 メモ : PGP Desktop通知機能では、使用しているコンピューター上のPGP Whole Disk EncryptionおよびPGP NetShareの各機能のステータスも表示され ます。詳細については、「ディスク機能用PGP Desktop通知機能 『ページ : 38』」を参照してください。 メッセージング用 PGP Desktop 通知機能 メッセージング用の PGP Desktop 通知機能を使用すると、次の操作を実行でき ます。 受信する電子メールの復号化や署名が適切に行われているかどうかを確認 できます。 送信する電子メールの暗号化や署名が適切に行われているかどうかを確認 できます。 暗号化オプションが望ましくない場合、電子メール メッセージの送信を停 止できます。 35 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows 電子メールの送信者、件名、および暗号化鍵の簡潔なサマリーを表示できま す。 現在の Windows セッション内の以前の受信メッセージや送信メッセージの ステータスを、いつでも参照できます。 他の PGP Desktop ユーザーとのチャット セッションがセキュアに保護され ているかどうかを確認できます。 PGP Desktop 通知機能を使用して、受信する電子メールのすべて、または一部を 監視できます。また同様に、送信メッセージについても、そのすべてまたは一部 を正確に管理できます。さまざまな通知オプションを設定でき、必要な場合は、 PGP Desktop 通知機能を完全に無効にすることもできます。 PGP Desktop 通知機能についての追加情報を、次に示します。 通知機能ボックスの右上にある右矢印ボタンと左矢印ボタンを使用して、通 知機能のメッセージを前後にスクロールできます。この方法により、現在表 示しているメッセージの前後に位置するメッセージを参照できます。 通知メッセージが最初に表示されるとき、画面上の他の部分が見えなくなら ないように [通知機能] メッセージ ボックスが半透明に表示されます。通知 メッセージ ボックスは、その上にマウス ポインタを移動すると不透明とな り、離すと再度半透明になります。 マウス ポインタをボックスの上に移動しない限り、通知メッセージは 4 秒 間表示されます (このデフォルト設定は通知機能のオプションで変更でき ます)。通知内容を確認する時間がそれ以上必要な場合は、通知メッセージ の上にマウス ポインタを移動することによって、画面上に表示されたまま の状態を維持できます。 通知メッセージを完全に読みきれなかった場合や、以前に見た通知メッセー ジを再度確認する場合は、次の操作を行います。 Windowsシステムの場合は、PGPトレイ アイコンから [通知機能の表 示] を選択します。 Mac OS Xシステムの場合は、Mac OS Xメニュー バーの [PGP Desktop] アイコンから [通知機能の表示] を選択します。 [X] (Windowsシステムではメッセージの右上、Mac OS Xシステムでは左上 にあります) をクリックして、通知メッセージを閉じます。 PGP Desktop通知機能オプションの設定の詳細については、「通知機能オプショ ン 『ページ : 319』」を参照してください。 受信 PGP Desktop 通知機能メッセージ 受信電子メールの通知では、電子メールが復号化および検証されたかどうか、ま たは、未検証の鍵や不明な鍵によって復号化および署名されたかどうかを確認で きます。 36 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows 送信 PGP Desktop 通知機能メッセージ 簡単な通知機能として、電子メール (すべての電子メール、または特定の条件を 満たす電子メールのみ) の送信時に PGP Desktop の通知メッセージが短時間表 示されるように設定します。 また、通知機能ボックスに [ブロック] ボタンと [送信] ボタンが含まれるように PGP Desktopを設定することもできます。 この通知機能で送信電子メールを管理するには、次の手順に従います。 1 2 PGP 送信メッセージ通知機能ボックスで、次の操作を行います。 この電子メールの送信を中止するには、[ブロック] をクリックします。 この操作でブロックされるのは、この送信電子メールのみです。その 後、同じ受信者への電子メール メッセージは送信可能になります。 受信者の公開鍵が見つからないまま、このメッセージを送信するには、 [送信] をクリックします。 メッセージの処理を引き続き遅延させるには、通知機能ボックス上に マウス ポインタを置きます。通知機能ボックスからマウス ポインタ を離すと、デフォルトのルールに従ってメッセージが処理されます。 通知オプションの [確認のために電子メール送信を遅延する時間] 設 定で、通知メッセージが表示されてから電子メールが送信されるまで の待機時間 (秒単位) を指定します。メールが送信されるまでの間、通 知メッセージの下に秒読みが表示されます。 アクション、受信者、ポリシー、署名鍵などの追加情報を表示するには、[詳 細] をクリックします。 確認しない場合は、この追加情報を表示する必要はありません。再度非表示 にするには、[詳細を隠す] をクリックします。 オフライン ポリシーに関する送信 PGP Desktop 通知機能メッセージ PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、 PGP Universal Server が使用可能でないときに送信メッセージに対して実行でき るアクションが管理者によって指定されていることがあります。送信通知機能メ ッセージは、次のいずれかの状態を示します。 PGP Universal Server が使用できず、すべてのメッセージをブロックするよ うにポリシーが設定されています。電子メール メッセージは送信ボックス に残り、PGP Universal Server に接続できるようになると送信されます。 PGP Universal Server が使用できず、すべてのメッセージを平文で送信する ようにポリシーが設定されています。 37 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP Universal Server が使用できず、ローカル ポリシーを優先するように ポリシーが設定されています。 2 番目と 3 番目のケースでは、他の送信メッセージの場合と同様に、送信メッセ ージを送信またはブロックすることを選択できます。 インスタント メッセージングの PGP 通知機能 PGP Desktopがコンピューターにインストールされており、インスタント メッ セージング用の通知を受信するように設定している場合 (PGP Desktopの [Preferences (環境設定)] の [Notifications (通知)] タブ)、他のPGP Desktopユー ザーとのAOL Instant Messenger (AIM) セッションが保護されているときには PGP Desktop通知機能のアラートが表示されます。 セキュアなインスタント メッセージング機能を使用するときは、インスタント メッセージング プログラムへのログオン時に通知機能が表示され、そのチャッ トがセキュリティ保護されていることが通知されます。また、AIM 互換のほとん どのインスタント メッセージング クライアントでは、「友だちの名前」の横に 錠前のアイコンが表示されます。 インスタント メッセージング プログラムからのログオフ時には、安全なセッシ ョンが終了したことを知らせる最後の通知メッセージが表示されます。 適切な設定方法や、セキュアなインスタント メッセージ チャット機能の使用方 法の詳細については、「インスタント メッセージングの保護」を参照してくだ さい。 ディスク機能用 PGP Desktop 通知機能 ディスク機能用 PGP Desktop 通知機能により、PGP NetShare と PGP Whole Disk Encryption 機能を使用しているときに最新の情報を入手できます。 メモ : PGP Desktop通知機能では、コンピューター上で送受信する電子メール のステータスも表示します。詳細については、「メッセージング用PGP Desktop通知機能 『ページ : 35』」を参照してください。 PGP NetShare PGP NetShare と PGP Desktop 通知機能を併用すると、次の情報が通知されます 。 共有フォルダーに対して実行されるアクション 影響を受けるフォルダーの場所 影響を受けるフォルダーの名前 アクションを実行したユーザー 38 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows PGP Whole Disk Encryption PGP Whole Disk Encryption と PGP Desktop 通知機能を併用すると、次の情報が 通知されます。 暗号化されているディスク ディスクのサイズと種類 暗号化処理のステータス PGP ログの表示 PGP ログを使用して、データをセキュアにするために PGP Desktop で実行され ているアクションを確認します。 PGP ログを表示するには 1 ログを表示するには、ログを有効にする必要があります。これには、PGP Desktopで [ツール] > [ロギングを有効にする] を選択します。 2 次のいずれか 1 つを実行します。 3 システム トレイの [PGP Desktop] アイコンをクリックし、ショート カット メニューから [View PGP Log (PGPログの表示)] をクリック します。新しいウィンドウで [PGP Log (PGPログ)] が開きます。 PGP Desktopで [ツール] > [ログを表示] の順に選択します。新しいウ ィンドウで [PGP Log (PGPログ)] が開きます。 PGP Desktopで、[PGPメッセージング] コントロール ボックスをクリ ックして、次に [PGPログ] をクリックします。アプリケーション ウ ィンドウにPGPログが表示されます。 特定のログ情報に関する表示オプションまたはフィルタを変更するには、次 の操作を実行します。 [表示するログの日] の矢印をクリックして、表示するログの日付を選 択します。 [表示トピック] の矢印をクリックして、表示するログの種類を選択し ます。[すべて]、[PGP]、[電子メール]、[IM]、[ディスク全体]、[NetShare]、 [Zip/SDA]、または [仮想ディスク] の中から選択します。 [表示レベル] の矢印をクリックして、表示するログ エントリの重要度 レベルの最小値を選択します。[エラー]、[警告]、[情報]、または [詳細 ] から選択します。 39 PGP Desktop のユーザー インターフェイス PGP Desktop for Windows [詳細] ログを表示するには、PGPログの表示ウィンドウを開いたままに しておく必要があります。Wウィンドウを閉じると、ロギングのレベル がデフォルト レベル、[情報] に戻ります。[詳細] では、かなり大きなロ グ ファイルが生成される場合があります。 4 ログの確認が完了したら、次の操作を実行します。 PGPログのコピーを保存するには、[保存] をクリックします。 PGPログのエントリを消去するには、[完全削除] をクリックします。 [PGP Log (PGPログ)] ウィンドウを終了するには、[Close (閉じる)] を クリックします。 40 5 PGP 鍵の使用 PGP 鍵は、自分の鍵ペアや他の PGP Desktop ユーザーの公開鍵の作成や管理に 有用な PGP Desktop の機能です。 ここでは、鍵の表示、鍵ペアの作成、公開鍵の配布、他のユーザーの公開鍵の取 得、および鍵サーバーの使用について説明します。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 鍵の表示................................................................................................... 41 鍵ペアの作成 ........................................................................................... 42 秘密鍵の保護 ........................................................................................... 45 公開鍵の配布 ........................................................................................... 48 他のユーザーの公開鍵の取得 .................................................................. 51 鍵サーバーの使用 .................................................................................... 53 マスター鍵の使い方................................................................................. 55 鍵の表示 ローカルのコンピュータ上の鍵リングにある鍵を表示するには、PGP Desktopを 開き、PGP鍵 コントロール ボックスをクリックします。 次のいずれかをクリッ クします。 すべての鍵 :鍵リングにあるすべてのPGP鍵を表示します。 自分の秘密鍵 : 鍵リングにある秘密鍵だけを表示します。 鍵の検索 : 指定した条件に従って鍵リングにある鍵を検索し、結果を表示し ます。 41 PGP 鍵の使用 PGP Desktop for Windows スマート カード 鍵 :システムでスマート カードが使用されている場合は、 このオプションもあります。 PGP 鍵 コントロール ボックスまたは作業領域からも、より一般的なタスクをい くつか実行することができます。これらのタスクは、次のとおりです。 鍵リングにあるPGP鍵の表示で公開鍵を選択すると、PGP鍵 コントロール ボックスで この受信者に電子メールを送信する というオプションが使用 できます。 検索した公開鍵の中からいずれかを選択し、その鍵がローカルの鍵リングに ないときは、PGP鍵 コントロール ボックスで 自分の鍵リングに追加 とい うオプションを使用できます。 作業領域に表示されている鍵のプロパティを表示する場合は、リストされて いる鍵の一部をダブルクリックするだけで、その鍵に対する 鍵のプロパテ ィ ダイアログ ボックスが表示されます。 検索を実行すると、この鍵検索を保存 オプションをPGP鍵 コントロール ボッ クスで利用できます。このオプションを使用すると、後でアクセスできるように 検索結果を保存できます。 鍵ペアの作成 PGP Desktop のセットアップ アシスタントや旧バージョンの PGP Desktop で PGP 鍵ペアを作成しなかった場合は、ここで鍵ペアを作成してください。PGP Desktop で行うほとんどの作業には、鍵ペアが必要です。 注意 :自分用の新しい鍵を繰り返し作成することは推奨できません。PGP鍵ペ アは運転免許証やパスポートのようなもので、作りすぎると自分自身も、また 暗号化したメッセージを送信する相手も混乱することになります。使用するす べての電子メール アドレスが含まれる鍵を1つだけ保持することを推奨しま す。PGP Global Directoryでは電子メール アドレスにつき1つの鍵のみを発行 します。 PGP Universal Server 管理環境で PGP Desktop を使用している場合は、鍵ペアの 作成を無効にした方がよいこともあります。 PGP 鍵ペアを作成するには 1 [PGP 鍵] コントロール ボックスが選択されていることを確認します。 2 [File (ファイル)] > [New PGP Key (新規PGP鍵)] を選択するか、Ctrlキーと Nキーを同時に押します。PGP鍵生成アシスタントの最初の画面が表示され ます。 3 この画面に表示される説明を読んでください。 42 PGP 鍵の使用 PGP Desktop for Windows 4 トークンやスマート カードに新しいPGP鍵ペアを生成するときは、トーク ンまたはスマート カードがシステムに取り付けられていることを確認し、 [Generate Key on Token: (トークン上に鍵を生成 :) で [name of smart card or token on system (スマート カードまたはトークンの名前)]] チェ ックボックスを選択します。スマート カードおよびトークンの詳細につい ては、「スマート カードおよびトークンへの鍵の保存 『ページ : 287』」 を参照してください。 5 [次へ] をクリックします。すると [名前と電子メールの割り当て] 画面が表 示されます。 6 [フルネーム] フィールドに自分の実名を入力し、[一次電子メール] フィー ルドに正しい電子メール アドレスを入力します。実名や電子メール アドレ スの入力は必須ではありません。しかし、実名を使うと、他のユーザーにと って公開鍵の所有者が識別しやすくなります。また、公開鍵をPGP Global Directoryにアップロードして、他のPGP Desktopユーザーが使用できるよう にする際には、実際の電子メール アドレスが必要になります。 7 作成する暗号鍵にさらに電子メール アドレスを追加するときは、[追加] を クリックし、表示される [その他のアドレス] フィールドにアドレスを入力 します。 8 作成する鍵の詳細設定を指定するには、[Advanced (詳細設定)] をクリック します。[鍵詳細設定] ダイアログ ボックスが表示されます。このダイアロ グ ボックスを使用して、鍵の種類とサイズ、有効期限、およびその他の設 定を行います。 9 次のオプションを設定することができます。 鍵タイプ。[Diffie-Hellman/DSS] または [RSA] を選択します。 個別の署名サブ鍵の生成。署名用に個別のサブ鍵を生成する必要があ る場合に、このボックスを選択します。個別のサブ鍵は、新規の鍵ペ アとともに作成されます。新しい鍵の作成後はいつでも、追加の署名 サブ鍵や暗号化サブ鍵を作成することもできます。個別の署名サブ鍵 と暗号化サブ鍵の詳細については、「サブ鍵の使用 『ページ : 70』」 を参照してください。 鍵のサイズ 。1,024 ビットから 4,096 ビットまでの値を入力します。 鍵のサイズが大きいほど安全性が高くなりますが、生成に時間がかか ります。また、一部のスマート カードやトークンでは、鍵のサイズが 1,024 ビットまでに制限されていることがあります。 有効期限。[無期限] を選択するか、作成する鍵ペアの期限終了日を指 定します。 使用可能な暗号。作成する鍵ペアでサポートされない暗号化アルゴリ ズムのチェック ボックスをオフにします。 使用する暗号。アルゴリズムが指定されていないときに使用する暗号 化アルゴリズムを選択します。許可されている暗号化アルゴリズムだ けを指定できます。 43 PGP 鍵の使用 PGP Desktop for Windows 使用可能なハッシュ。作成する鍵ペアでサポートしないハッシュのチ ェック ボックスをオフにします。 使用するハッシュ 。ハッシュが指定されていないときに使用するハッ シュを選択します。許可されているハッシュだけを選択できます。 10 [OK] をクリックして [鍵詳細設定] ダイアログ ボックスを閉じます。 11 [次へ] をクリックします。 12 PGP Universal によって管理された環境では、PGP 管理者が PGP Desktop のコピーに追加するように設定した鍵を示す [Organization Settings (組織 設定)] 画面が表示される場合があります (組織の予備復号化鍵 (付加鍵、 ADK) や組織鍵など)。 [パスフレーズの割り当て] 画面が表示されます。 13 作成する鍵ペアの秘密鍵に、自分以外のユーザーがアクセスできないように するためのパスフレーズを入力します。 14 入力確認のため、Tabキーを押して [確認] フィールドに移動し、同じパス フレーズを再入力します。パスフレーズの品質バーの詳細については、「パ スフレーズの品質バー 『ページ : 326』」を参照してください。 メモ : 通常、セキュリティ強化のため、入力するパスフレーズの文字は画 面に表示されません。ただし、覗き見られることがないことが確実で、入 力するパスフレーズの文字を表示したい場合は、[Show Keystrokes (キー 操作の表示)] チェック ボックスをオンにします。 警告 :なお、パスフレーズを忘れてしまうと、PGP Corporationでも秘密鍵 を復元することはできませんので十分注意してください (会社のPGP管理 者がPGP鍵再構築ポリシーを導入している場合を除きます)。 15 [次へ] をクリックすると、鍵生成処理が開始されます。新しい鍵ペアが生成 されます。 この処理には数分かかる場合があります。 16 鍵の生成が完了したら、[次へ] をクリックします。作成した鍵の公開鍵部分 をPGP Global Directoryに追加するように求められます。 17 画面に表示される説明を読み、[次へ] をクリックして、新しい鍵をPGP Global Directoryに追加します (推奨)。公開鍵をPGP Global Directoryに登録 したくない場合は、[省略] をクリックします。 18 [完了] をクリックします。新しいPGP鍵ペアが生成されました。生成された 鍵ペアは、PGP Keys作業領域に表示されます。生成されたPGP鍵ペアが表 示されない場合は、[PGP Keys (PGP鍵)] コントロール ボックスで [All Keys (すべての鍵)] または [自分の秘密鍵] が選択されていることを確認し てください。 44 PGP 鍵の使用 PGP Desktop for Windows 注意 : この時点で、秘密鍵を安全な場所にバックアップすることを検討し ます。秘密鍵は極めて重要であり、秘密鍵を失うと、暗号化したデータに ついて深刻な事態を招く恐れがあります。「秘密鍵の保護 『ページ : 45』」を参照してください。 パスワードとパスフレーズ ファイルを暗号化した後で復号化できなくなることを防ぐため、パスフレーズの 選び方に注意してください。 ほとんどのアプリケーションは、3 ~ 8 文字のパスワードを必要とします。1 つ の単語のみで作られたパスフレーズを使用することは、一般的に不適切であり、 推奨されません。1 つの単語は辞書を使った攻撃に弱いという欠点があります。 これは、辞書中の全単語を使ってコンピュータでパスワードを見つけるというも のです。辞書にある単語を多少変更しても、広範囲にわたるパスワードを見つけ ることができる辞書攻撃への簡単な機能強化で、パスワードを見つけることが可 能になります。 この種の攻撃からデータを守るため、英字の大文字と小文字、数字、句読点、ス ペースなどを組み合わせたパスワードを作成することが望ましいとされていま す。このようなパスワードは見破られにくくなりますが、簡単に覚えることがで きないという欠点もあります。 辞書による攻撃を阻止しようとして、英字以外の文字を多く含めると、パスフレ ーズを思い出せなくなる可能性が高まり、ファイルの復号化ができずに重要な情 報を失ってしまうという問題に発展することも考えられます。複数単語のパスフ レーズでは、辞書攻撃に対する脆弱性はより低くなります。覚えやすいパスフレ ーズを選ばないと、一字一句正確に覚えておくのは困難です。 また、思いつきで選んだパスフレーズは完全に忘れてしまう確率が高くなります。 すでに記憶に残っているような単語を選ぶとよいでしょう。高度な技術や知識を 持つ攻撃者に見破られないようなパスフレーズを作るには、最近よく使うような 言い回しや有名な引用句は避けてください。自分の記憶に刻まれているようなも のであれば、忘れることはないでしょう。もちろん、パスフレーズをメモし、そ のメモをモニタに貼り付けたり、机の引き出しにしまったりするようなことは避 けてください。 詳細については、「パスワードとパスフレーズの使用 『ページ : 325の"パスワ ードおよびパスフレーズの使用"参照先 : 』」を参照してください。 秘密鍵の保護 鍵ペアを作成したら、直ちに次の操作を実行することを推奨します。 注意 :次の操作を実行しないと、将来、壊滅的なデータの消失につながること があります。 45 PGP 鍵の使用 PGP Desktop for Windows 秘密鍵ファイルを破損したり失くしたりした場合に備えて、別のコピーを安 全な場所にバックアップしてください。「秘密鍵のバックアップ 『ページ : 47』」を参照してください。 パスフレーズの選択では、決して忘れない事柄を反映したものとなるように します。鍵の作成処理中に選択したパスフレーズを思い出せるかどうかに不 安がある場合は直ちに、絶対に忘れない別のパスフレーズに変更してくださ い。パスフレーズの変更の詳細については、「パスフレーズの変更 『ペー ジ : 63』」を参照してください。 秘密鍵ファイルは非常に重要です。いったん公開鍵で暗号化されたデータは、対 応する秘密鍵を使用しない限り復号化できないためです。秘密鍵ファイルにはパ スフレーズも保存されます。秘密鍵やパスフレーズを消失すると、対応する公開 鍵で暗号化されたデータを復号化できなくなります。情報を暗号化すると、パス フレーズと公開鍵の両方に暗号化されます。暗号化されたデータを復号化するに は、この両方が必要になります。いったん暗号化されたデータは、秘密鍵ファイ ルとパスフレーズがない限り、だれも (たとえ PGP Corporation でも) 復号化で きません。 重要なデータを暗号化した後でパスフレーズを忘れたり秘密鍵を失くしたりし た場合、暗号化されたデータのアクセス、使用および復旧は不能になります。 鍵および鍵リングの保護 鍵はバックアップ コピーを作成すると同時に、秘密鍵の保管場所にも十分注意 を払ってください。秘密鍵は作成した自分にしかわからないパスフレーズで保護 されていますが、だれかにパスフレーズが検出されてしまい、秘密鍵を使った電 子メールの解読やデジタル署名の偽造を被るおそれがあります。たとえば、他人 に肩越しに見られて、キーボード入力した文字を見られたり、ネットワークやイ ンターネット上で傍受されることがあります。 パスフレーズを傍受した人に秘密鍵を悪用されることのないように、秘密鍵は自 分自身のコンピューターのみに保管してください。コンピューターがネットワー クに接続されている環境では、コンピューター全体のバックアップ時に秘密鍵の ファイルが自動的に含まれないように注意してください。コンピューターがネッ トワーク経由で簡単にアクセスできてしまう場合、機密度の高い情報を取り扱う 際には、フロッピー ディスクに秘密鍵を保管しておくのが賢明です。旧来型の 鍵と同様、秘密情報の読み取りや署名が必要なとき随時に挿入して利用できます。 もう 1 つのセキュリティ対策として、秘密鍵リング ファイルに別の名前を割り 当て、そのファイルをデフォルト以外の場所に保存することも検討してください。 これには、[オプション] ダイアログ ボックスの [鍵] タブで、秘密鍵リングと公 開鍵リングのファイルの名前と場所を指定してください。 秘密鍵と公開鍵は別々の鍵リング ファイルに格納されています。両方の鍵リン グ ファイルをハード ドライブ上の別の場所、またはフロッピー ディスクにコ ピーしてください。デフォルトで、秘密鍵リング (secring.skr) と公開鍵リン グ (pubring.pkr) は、他のプログラム ファイルと一緒に "PGP" フォルダーに 格納されており、任意の場所にバックアップを保存できます。 46 PGP 鍵の使用 PGP Desktop for Windows スマート カード上に生成された暗号鍵については、鍵ペアの秘密鍵をエクスポ ートできないため、バックアップを作成できません (Windows システムの場合の み、鍵をスマート カード上に生成できます)。 PGP Desktop の終了後に自動的に鍵リングのバックアップを作成するようにも 構成できます。鍵リングのバックアップ オプションは、Windows の場合は [オ プション] ダイアログ ボックスの [鍵] タブで、Mac OS X の場合は [環境設定] ダイアログ ボックスの [鍵] セクションで設定できます。 秘密鍵のバックアップ 秘密鍵をバックアップするには 1 [PGP Keys] コントロール ボックスで、[自分の秘密鍵] をクリックします。 2 自分の鍵ペアを表すアイコンを選択します。 3 ファイル>エクスポート を選択します。 4 ファイルの名前を入力します。 5 [Include Private Key(s) (秘密鍵を含める)] チェック ボックスをオンにし ます。これを行わないと公開鍵しかエクスポートされないため、この操作は 重要です。 6 [保存] をクリックします。 7 ファイル (拡張子は .asc) を安全な場所にコピーします。保存先としては、 慎重にアーカイブするコンパクト ディスク、別のコンピュータ、安全な場 所に保管される USB フラッシュ ドライブなどがあります。このファイルに は秘密鍵と公開鍵の両方が含まれているため、自分以外のユーザーに配布し ないように注意してください。 メモ : PGP Universal Server管理環境にいる場合、鍵モードがSKMのときは、 この方法を使用して鍵をエクスポートできません。鍵ペアをエクスポートする には、管理コンソールからエクスポートするようにPGP Universal Server管理 者に依頼してください。鍵モードを確認する際は、「鍵モード 『ページ : 124』」を参照してください。 鍵を紛失した場合 鍵を紛失し、鍵を復元するためのバックアップ コピーがないと、通常、その鍵 で暗号化した情報は復号化できなくなります。ただし、PGP管理者がPGP鍵の再 構築ポリシーを施行している場合には、鍵を再構築できます。詳細については、 「PGP鍵の再構築 『ページ : 80の"PGP Universal Serverによる鍵の復元"参照 先 : , ページ : Error! Bookmark not defined.の"If You Lost Your Key or Passphrase"』」を参照して、PGP管理者におたずねください。 47 PGP 鍵の使用 PGP Desktop for Windows 公開鍵の配布 PGP Desktop の鍵ペアを作成したら、暗号化したメッセージをやり取りする相手 に公開鍵を渡す必要があります。 受信者の公開鍵は、他のユーザーが受信者に暗号化した情報を送る際に使用され ます。また、他のユーザーが受信者のデジタル署名を確認するときにも使われま す。同様に、送信者が他のユーザーに暗号化したメッセージを送るときには、そ の相手の公開鍵が必要です。 公開鍵を配布するには、次のような方法があります。 PGP Global Directoryに鍵を公開する 『ページ : 48の"鍵サーバーへの公開 鍵のアップロード"参照先 : 』。 一般に、このディレクトリに公開鍵を公開すると、その他の方法は一切不要 です。 電子メール メッセージに公開鍵を添付する 『ページ : 50の"公開鍵の電子 メール メッセージへの添付"参照先 : 』。 公開鍵をエクスポートするか、テキスト ファイルにコピーする 『ページ : 50の"公開鍵のファイルへのエクスポート"参照先 : 』。 Windows システムでは、次のような方法も可能です。 スマート カードから別のユーザーの鍵リングに直接コピーする 『ページ : 51の"スマート カードから直接別のユーザーの鍵リングへのコピー"参照 先 : 』。 鍵サーバーへの公開鍵のアップロード 公開鍵を配布する最も良い方法は、公開鍵サーバー上に置くことです。公開鍵サ ーバーは大規模な鍵データベースであり、だれでもアクセスできます。これによ り、他のユーザーは暗号化メッセージを自分に送信するときに、鍵のコピーを自 分に明示的に要求する手間が省けます。また、自分や他のユーザーがめったに使 わない公開鍵を多数管理する手間も省けます。 PGP Global Directory など、鍵サーバーは世界中に多く設置されており、鍵サー バーにアクセス可能なユーザーならだれにでも自分の公開鍵を配布できます。な お、PGP Universal Server で保護されているドメインで PGP Desktop を使用する ときは、PGP 管理者が適切な設定を使って、あらかじめ PGP Desktop の構成を 済ませているはずです。 公開鍵サーバーを使用するときは、公開鍵を送信する前に次の点に注意してくだ さい。 48 PGP 鍵の使用 PGP Desktop for Windows 使用する公開鍵に間違いがないかどうか。自分と通信しようとしている相手 が、重要な情報をその鍵で暗号化するおそれがあります。このため、他のユ ーザーが使用を予定している鍵だけを鍵サーバーに保存することを強く推 奨します。 暗号化されたデータの取得や自分の公開鍵の失効に必要なパスフレーズを 覚えているかどうか。 PGP Global Directory 以外の鍵サーバーでは、公開鍵をいったんアップロー ドしたら、破棄できなくなることがあります。公開鍵サーバーによっては、 鍵の削除を禁止するポリシーを規定しているものや、鍵サーバー間で鍵を複 製する機能を備えたものがあります。そのため、1 つのサーバーから公開鍵 を削除できたとしても、削除したはずの公開鍵が複製されて後に残ることが あります。 通常は、鍵ペアを作成した直後に公開鍵を PGP Global Directory に登録します。 一度 PGP Global Directory に公開鍵を登録したら、登録し直す必要はありません 。ほとんどの状況で、公開鍵を別の鍵サーバーに公開する必要はありません。ま た、他の鍵サーバーでは公開鍵を検証できないので、他の鍵サーバー上の公開鍵 に対しては、公開鍵の所有者に連絡して指紋を検証する追加作業が必要となる場 合があります。 公開鍵を鍵サーバーに手動で送信するには 1 PGP Desktop を開きます。 2 [PGP 鍵] コントロール ボックスが選択されていることを確認します。 3 鍵サーバーに送信する公開鍵を含む鍵ペアを右クリックします。 4 送信先) ] を選択し、公開鍵を送信する鍵サーバーをリストから選択します。 公開鍵を送信する鍵サーバーがリストにない場合は、「鍵サーバーの使用 『ページ : 53』」を参照してください。公開鍵が鍵サーバーに正しく送信 されたかどうかが表示されます。 いったん鍵サーバーに登録した公開鍵のコピーは、他のユーザーが自分に暗号化 データを送信する際や、自分のデジタル署名を確認する際に役立てることができ ます。他のユーザーに公開鍵の場所を明示的に通知しなくても、鍵サーバーで名 前または電子メール アドレスを検索してもらうことで、公開鍵のコピーを取得 させることができます。 電子メール メッセージの終端に公開鍵サーバーの Web アドレスを入れること は、ごく一般的になっています。ほとんどの場合、メールの受信者はそのアドレ スをダブルクリックするだけで、サーバーにある公開鍵のコピーにアクセスでき ます。簡単に確認してもらえるように、名刺に PGP の指紋情報を印刷するのも 良いアイディアでしょう。 49 PGP 鍵の使用 PGP Desktop for Windows 公開鍵の電子メール メッセージへの添付 公開鍵をだれかに配布する便利な方法としては、上記以外にも、公開鍵を電子メ ール メッセージに添付する方法があります。 公開鍵をだれかに送信する際には、必ず電子メールに署名を入れてください。署 名を入れることにより、受信者が送信者の署名を確認できると同時に、電子メー ル メッセージの情報がだれにも改ざんされていないことも確認できます。信頼 できる紹介者が鍵に署名しなかった場合、署名が該当の送信者からのものである かどうかを確認するにはもちろん、署名の受信者が鍵の指紋を検証しかありませ ん。 公開鍵を電子メール メッセージに添付するには 1 PGP Desktop 上で [PGP 鍵] コントロール ボックスが選択されていること を確認します。 2 電子メール メッセージに添付するあなたの公開鍵を含む鍵ペアを右クリッ クします。 3 [Send To (送信先) ]を選択してから、[Mail Recipient (メールの受信者) ] を 選択します。 メッセージにあなたの公開鍵情報のファイルが添付された状 態で、電子メール アプリケーションが開きます。 4 メッセージの送信先アドレスを入力して送信します。 この方法がうまくいかない場合は、PGP Desktopを開いて鍵ペアを選択し、[Edit (編集) ] > [Copy (コピー) ] を選択します。次に電子メール アプリケーションで 新規メッセージを作成し、コピーした公開鍵をメッセージの本文に貼り付けます。 電子メール アプリケーションによっては、PGP Desktopから電子メール メッセ ージのテキストに公開鍵をドラッグするだけで、その鍵の情報をコピーできるも のもあります。 公開鍵のファイルへのエクスポート ファイルやメッセージを安全にやり取りしたい相手に公開鍵を配布するには、そ の公開鍵をファイルにエクスポートして渡す方法もあります。 公開鍵をファイルにエクスポートまたは保存するには、次の 3 とおりの方法があ ります。 鍵ペアを選択して、[ファイル] > [エクスポート] を選択します。ファイルの 名前と保存場所を入力し、[保存] をクリックします。他のユーザーにファイ ルを渡す際には、誤って自分の秘密鍵を一緒に保存しないよう注意してくだ さい。 50 PGP 鍵の使用 PGP Desktop for Windows ファイルに保存する鍵をCtrlキーを押しながらクリックし、一覧から [エク スポート] を選択し、ファイルの名前と場所を入力して、[保存] をクリック します。他のユーザーにファイルを渡す際には、誤って自分の秘密鍵を一緒 に保存しないよう注意してください。 鍵ペアを選択し、[編集] > [コピー] を選択します。次に、テキスト エディ タを開き、[貼り付け] を選択して、鍵の情報をテキスト ファイルに挿入し、 ファイルを保存します。これでファイルを電子メールで送るか、任意のユー ザーに渡せるようになります。公開鍵の部分を取得するには、受信者はシス テム上でPGP Desktopを使用する必要があります。 スマート カードから直接別のユーザーの鍵リングへのコピー 公開鍵がスマート カードに保存されている場合は、スマート カードから別のユ ーザーの鍵リングに公開鍵を直接コピーして配布する方法もあります。 この方法の詳細については、「スマート カードから直接別のユーザーの鍵リン グへの公開鍵のコピー 『ページ : 294の"スマート カードから鍵リングへの公 開鍵のコピー"参照先 : 』」を参照してください。 他のユーザーの公開鍵の取得 暗号化されたメールを送信してもらう、または自分のデジタル署名を検証しても らうには、自分の公開鍵を配布する必要があります。同様に、暗号化されたメー ルを他のユーザーに送信したり、相手のデジタル署名を検証したりするには、そ のユーザーの公開鍵を入手する必要があります。 他のユーザーの公開鍵を入手するには、複数の方法があります。 検証された鍵を PGP Global Directory から自動的に取得する 公開鍵サーバーで手動で鍵を検索する 電子メール メッセージから公開鍵を、直接自分の鍵リングに自動的に追加 する エクスポートされたファイルから公開鍵をインポートする 自分の組織の PGP Universal Server から鍵を取得する 公開鍵は単なるテキストのブロックであるため、鍵リングへの追加に手間がかか りません。まずファイルからインポートするかまたは電子メール メッセージか らコピーして、PGP Desktop の公開鍵リングにペーストするだけです。 51 PGP 鍵の使用 PGP Desktop for Windows 鍵サーバーからの取得 暗号化されたメールの送信相手が経験豊富な PGP Desktop ユーザーの場合、そ の人の公開鍵が PGP Global Directory または別の公開鍵サーバーに登録されてい ることがあります。その場合には、相手にメール送信する際に、常に最新の鍵の コピーを簡単に取得できます。また、自分の公開鍵リングに大量の鍵を保存する 必要もなくなります。 PGP Corporation によって維持されている PGP Global Directory など、公開鍵サ ーバーは世界中に多く設置されており、ほとんどの PGP ユーザーの鍵を見つけ ることができます。受信者の公開鍵が保存されている Web アドレスを教えても らっていない場合は、任意の鍵サーバーにアクセスし、そのユーザー名または電 子メール アドレスを検索できます。すべての公開鍵サーバーが、他のすべての サーバーに保存された鍵を含むように定期更新されているわけではないため、こ の方法はうまくいく場合もあれば、いかない場合もあります。 If you are in a domain protected by a PGP Universal Server, then your PGP administrator may direct you to use the keyserver built into the PGP Universal Server. In this case, your PGP Desktop software is probably already configured to access the appropriate PGP Universal Server. Similarly, the PGP Universal Server is configured by default to communicate with the PGP Global Directory. Thus, the PGP ecosystem distributes the load of key lookup and verification. 鍵サーバーから特定の相手の公開鍵を取得するには 1 PGP Desktop を開いて、[PGP 鍵] コントロール ボックスをハイライトしま す。 2 [PGP鍵] コントロール ボックスで [鍵の検索] を選択します。 作業領域に [鍵の検索] 画面が表示されます。 3 検索条件を指定して、[検索] をクリックします。特定の鍵サーバーだけを検 索する場合は、[検索] フィールドをクリックし、鍵サーバーを選択します。 検索する鍵サーバーが、現在のリストに含まれていない場合は、 [Edit Keyserver List (鍵サーバー リストの編集) ] を選択して追加します。 鍵の特徴を示す値を複数指定して、鍵サーバーで鍵を検索することもできま す。ほとんどの操作は逆にも指定できます。たとえば、検索条件に「User ID is not Charles」と指定して検索できます。 検索の結果が表示されます。 4 検索によって鍵リングに追加する公開鍵が見つかった場合は、[PGP鍵] コン トロール ボックスの [自分の鍵リングに追加] をクリックします。 選択し たPGP鍵が鍵リングに追加されます。 52 PGP 鍵の使用 PGP Desktop for Windows ヒント : きわめて一般的な名前 (例えば「Name 」、「contains 」、「John 」) を検索する検索基準を設定すると、最初に一致するもののみが返されます。こ れはフィッシング (鍵サーバーからの鍵取り) を防止するための仕様です。 一般的な名前やドメインは、正しい鍵を検索するために名前または電子メール アドレス全体を入力する必要のある場合があります。 電子メール メッセージからの公開鍵の取得 だれかの公開鍵のコピーを入手する場合は、本人に電子メール メッセージに添 付してもらうと便利です。 公開鍵を電子メール メッセージの添付ファイルとして追加するには 1 電子メール メッセージを開きます。 2 公開鍵が含まれる .ascファイルをダブルクリックします。ファイル形式が PGP Desktopに認識され、[鍵の選択] ダイアログ ボックスが開きます。 3 指示が表示されたら、ファイルを開くように指定します。 4 鍵リングに追加する公開鍵を選択し、[インポート] をクリックします。 鍵サーバーの使用 PGP Desktop では、次の種類の鍵サーバーが認識されます。 PGP Universal鍵サーバー。PGP DesktopをPGP Universal Serverで保護され たドメインで使用している場合、関連するPGP Universal Serverに組み込ま れている鍵サーバーとだけ通信するように、PGP Desktopは事前に設定され ています。PGP Desktopに対しては、これは信頼された鍵サーバーで、PGP Desktopは自動的にこの鍵サーバー上にあるすべての鍵を信頼します。ただ し、PGP Universal ServerからPGP Desktopに対して、信頼していない鍵の 指定があった場合は除きます (この状況は発生する場合があります。たとえ ば、リモート鍵の署名を検証する場合などです)。 PGP Universal鍵サーバーのアドレスはhttps://keyserver.example.comのよ うなものです。 PGP Global Directory。PGP Universal Serverで保護されているドメインの 外側でPGP Desktopを使用している場合は、PGP Desktopは、PGP Global Directory 『https://keyserver.pgp.com』 と通信するように事前に設定され ます。 53 PGP 鍵の使用 PGP Desktop for Windows PGP Global Directory は、PGP Corporation によってホストされている無料の 公開鍵サーバーであり、このサーバーを使用してさまざまな PGP の鍵へ簡 単にアクセスできます。これには、未使用の鍵、電子メール アドレスに設 定された複数の鍵、偽造された鍵のほか、古い鍵サーバーで発生していたそ の他の問題で鍵サーバーが一杯にならないように、各電子メール アドレス に関連付けられた鍵を検証する次世代の鍵サーバー テクノロジが使用され ています。また、ユーザーは PGP Global Directory によって、鍵の置き換え、 鍵の削除、電子メール アドレスへの鍵の追加など、自分の鍵の管理を行う ことができます。PGP Global Directory を使用すると、セキュリティ保護さ れたメッセージを送る相手の公開鍵を見つけやすくなります。 PGP Desktop にとって PGP Global Directory は信頼された鍵サーバーであり 、PGP Desktop は自動的に PGP Global Directory 上にあるすべての鍵を信頼 します。PGP Global Directory への初期接続の際に、PGP Global Directory の検証鍵がダウンロード後に署名され、ディレクトリに発行した鍵によって 信頼されます。PGP Global Directory の鍵はユーザーの鍵リングにも追加さ れます。そのため、PGP Global Directory で検証された鍵はすべて、PGP Desktop で有効と見なされます。 PGP Universalサービス プロトコル :PGP Universal Services Protocol (USP) は標準HTTP/HTTPSポート上で動作するSOAPプロトコルです。これ はデフォルトの鍵検索メカニズムです。PGP Universal Serverによって管理 された環境にいる場合、すべての鍵検索の要求およびPGP Universal Server とPGP Desktopのその他の通信には、PGP USPを使用します。 その他の鍵サーバー。ほとんどの場合、その他の鍵サーバーはその他の公開 鍵サーバーです。ただし、所属する企業経由やその他の方法で、秘密鍵サー バーにアクセスできる場合もあります。 鍵サーバーの使用の詳細については、「鍵のオプション 『ページ : 305の"鍵オ プション"参照先 : 』」を参照してください。 54 PGP 鍵の使用 PGP Desktop for Windows マスター鍵の使い方 [マスター鍵] リストは、メッセージング、ディスク暗号化、PGP NetShareおよ びPGP Zip用の鍵を選択するときに毎回、デフォルトでセットとして追加される 鍵です。これにより、繰り返し使用する公開鍵を [Recipients (受信者)] フィー ルドにドラッグする手間が省けます。 メモ : セットアップ アシスタントを使用して鍵を生成すると、その鍵はマス ター鍵リストに自動的に追加されます。鍵の生成を省略してPGP Desktopに鍵 をインポートした場合、鍵はマスター鍵リストに自動的には追加されません。 55 6 PGP 鍵の管理 ここでは、PGP Desktop アプリケーションで鍵を管理する方法について説明しま す。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 鍵のプロパティの確認と設定 .................................................................. 58 写真IDの使用 ........................................................................................... 59 鍵のユーザー名と電子メール アドレスの管理 ....................................... 60 公開鍵とX.509 公開鍵証明書のインポート ............................................. 61 パスフレーズの変更................................................................................. 63 鍵、ユーザー ID、署名の削除 ................................................................ 64 公開鍵の有効化と無効化 ......................................................................... 65 公開鍵の検証 ........................................................................................... 66 公開鍵の署名 ........................................................................................... 67 鍵検証のための信頼度指定...................................................................... 69 サブ鍵の使用 ........................................................................................... 70 予備復号化鍵の使用................................................................................. 75 失効権限機能の使用................................................................................. 77 鍵の分割と再結合 .................................................................................... 78 If You Lost Your Key or Passphrase ......... Error! Bookmark not defined. 鍵の保護................................................................................................... 85 57 PGP 鍵の管理 PGP Desktop for Windows 鍵のプロパティの確認と設定 PGP 鍵作業領域には、鍵に関する以下の重要な詳細情報を表示することができま す。 名前 電子メール アドレス 有効性 サイズ 鍵 ID 信頼 作成日 有効期限 予備復号化鍵 (ADK) ステータス 鍵の説明 鍵の使用方法 表示する詳細情報を選択するには、[Keys (鍵) ] 項目をクリックしたあと、[View (表示) ] > [Columns (列) ] を選択して、表示する列を選択します。 ただし、鍵のプロパティを確認すると、さらに詳細な情報を表示したり、特定の 情報を変更したりすることができます。 メモ :PGP Universal Serverで管理された環境で、鍵モードがSKMの場合、鍵 の情報は変更できません。また、SKM鍵の有効期限は永久に切れないように設 定されています。鍵モードを確認する際は、「鍵モード 『ページ : 124』」 を参照してください。 鍵のプロパティを表示するには、次の手順に従います。 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあ るすべての鍵が表示されます。 58 PGP 鍵の管理 PGP Desktop for Windows 2 プロパティを表示する鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 写真 ID の使用 Diffie-Hellman/DSS と RSA の鍵には、証明写真を含めることができます。 証明写真を暗号鍵に追加するには 1 PGP Desktopを開いて [PGP鍵] コントロール ボックスをクリックし、[自 分の秘密鍵] を選択します。 2 PGP 鍵作業領域で、証明写真を追加する自分の秘密鍵をダブルクリックしま す。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックス が表示されます。 3 プレースホルダの鍵と輪郭のアイコンを右クリックし、[Add Photo ID (証 明写真の追加) ] を選択します。[Add Photo (証明写真の追加) ] ダイアログ ボックスが表示されます。 4 写真を [Add Photo (証明写真の追加) ] ダイアログ ボックスにドラッグす るか貼り付けます。または、[Select File (ファイルの選択) ] をクリックし て写真を参照します。 5 [OK] をクリックします。[パスフレーズ] ダイアログ ボックスが開きます。 6 変更している鍵のパスフレーズを入力してから、[OK] をクリックします。 証明写真が公開鍵に追加されます。 59 PGP 鍵の管理 PGP Desktop for Windows 証明写真を削除するには [Key Properties (鍵のプロパティ) ] ダイアログですでに添付されている写真 を右クリックし、[Remove Photo ID (証明写真の削除) ] を選択します。こ れで暗号鍵から証明写真が削除されます。 証明写真をコピーするには [Key Properties (鍵のプロパティ) ] ダイアログですでに添付されている写真 を右クリックし、[Copy Photo ID (証明写真のコピー) ] を選択します。これ で、写真を別の鍵またはグラフィック プログラムに貼り付けることができ ます。 鍵のユーザー名と電子メール アドレスの管理 PGP Desktop では、1 つの鍵ペアにユーザー名と電子メール アドレスを複数追 加する機能がサポートされています。他のユーザーは、追加されたユーザー名と 電子メール アドレスを基に公開鍵を見つけて、暗号化メッセージを送信できま す。 新しいユーザー名または電子メール アドレスを鍵に追加するには 1 PGP Desktopを開いて [PGP鍵] コントロール ボックスをクリックし、[自 分の秘密鍵] を選択します。 2 PGP Key 作業領域で、ユーザ名または電子メールアドレスを追加する秘密鍵 をダブルクリックします。ダブルクリックした鍵の [Key Properties (鍵のプ ロパティ) ] ダイアログ ボックスが表示されます。 3 [Add Email Address (電子メール アドレスの追加)] をクリックします。 [PGP New User Name (PGP新規ユーザー名) ] ダイアログ ボックスが表示 されます。 4 適切なフィールドに新しい名前と電子メール アドレスを入力し、[OK] をク リックします。[PGP Enter Passphrase for Key (PGP鍵のパスフレーズの入 力)] ダイアログ ボックスが表示されます。 5 変更するあなたの秘密鍵に設定したパスフレーズを入力し、[OK] をクリッ クします。 6 新しいユーザー名と電子メール アドレスをあなたの鍵の一次識別子 (プラ イマリ ネーム) として設定するには、[Key Properties (鍵のプロパティ) ] ダ イアログ ボックスで現在のプライマリ鍵ホルダの名前をクリックし、追加 したユーザーを選択します。 60 PGP 鍵の管理 PGP Desktop for Windows 7 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスを終了します。PGP Desktop の鍵リストで、鍵に関連付けられたユーザー名リストの最後に新し い名前が追加されます。 鍵に関連付けられたプライマリ ネームを変更するには 1 次のいずれか 1 つを実行します。 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで、現在のプ ライマリ鍵ホルダの名前をクリックし、表示されたリストからユーザ ーの名前を選択します。 PGP Desktopで、鍵リストからあなたの鍵を展開し、一次識別子として 設定するユーザー名を右クリックしたあと、ショートカット メニュー から [Set as Primary Name (プライマリ ネームとして設定) ] を選択 します。 鍵ペアから名前/電子メール アドレスを削除するには 1 鍵のリストから、鍵名の左にあるプラス記号をクリックして鍵を展開します。 2 削除するユーザー ID を選択します。 3 キーボードの Delete キーを押します。確認のダイアログ ボックスが表示さ れます。 ヒント :Windowsシステムの場合は [編集] > [削除]、Mac OS Xシステムの 場合は [編集] > [Clear (クリア)] を選択することもできます。 4 [削除] をクリックします。ユーザー IDが削除されます。 公開鍵と X.509 公開鍵証明書のインポート PGP 公開鍵と PKCS-12 X.509 公開鍵証明書 (多くの Web ブラウザで使用されて いるデジタル証明書の形式) を PGP Desktop の鍵リングと PKCS-7 public X.509 証明書にインポートすることができます。また、コピーおよび貼り付け操作を使 って、Privacy Enhanced Mail (PEM) 形式の X.509 公開鍵証明書をブラウザから 公開鍵リングにインポートすることもできます。 他のユーザーの PGP 公開鍵をインポートして鍵リングに追加する方法は多数あ ります。次の操作のいずれかを行ってください。 コンピュータ上でファイルをダブルクリックする。PGP Desktop がファイル 形式を認識すると、ファイルを開き、そのファイルの公開鍵をインポートす るかどうかを尋ねます。 61 PGP 鍵の管理 PGP Desktop for Windows PGP Desktop で公開鍵ファイルのインポートを選択する。 公開鍵を含むファイルを [PGP Keys (PGP 鍵) ] ウィンドウにドラッグする。 PGP Desktopには、このタスクに役立つ証明書インポート アシスタントが用意 されています。詳細については、「証明書インポート アシスタントの使用 『ペ ージ : 62』」を参照してください。 メモ : PGP DesktopをPGP Universal Server管理環境下で使用し、登録中にト ークンでX.509 証明書をインポートした場合 (PGP鍵として証明書のインポー トを選択)、手動で鍵リングをトークンおよびスマート カードと同期オプショ ンを有効にする必要があります。これを行うには、PGP Desktopで [ツール] > [オプション] を選択して、[鍵] タブをクリックします。鍵をPGP Whole Disk Encryptionで正常に動作させるには、このステップが必要です。 証明書インポート アシスタントの使用 X.509 証明書はファイル、 Windows 個人証明書ストア、スマート カードから PGP Desktop にインポートすることができます。Windows 個人証明書ストアに表示 されるスマート カード ベースの証明書もインポートすることができます。証明 書インポート アシスタントはインポート処理を順を追ってガイドします。 ファイルから証明書をインポートする際は、PEM、PFX、P7b、P12 という拡張 子の付いたファイルのみ使用できます。 メモ :Windows個人証明書ストアからの証明書を使用する場合、証明書のパス ワードまたはPINをWindows自体 (または、スマート カード ベースの Windows個人証明書を使用している場合は、サードパーティのスマート カー ド ソフトウェア) から要求されます。 Windows個人証明書ストアからの証明書を使用する場合、PGP Desktop内で証 明書のパスワードを変更するなどの一部の操作は許可されていません。そのよ うな操作を実行するには、Windows (またはスマート カード) ソフトウェアを 使用してください。 証明書インポート アシスタントを使用して証明書をインポートするには 始 める前に : インポートする証明書のパスフレーズを確認してください。 1 2 次のいずれかの操作で、アシスタントを起動します。 [File (ファイル) ] > [Open (開く) ] を選択する。 [File (ファイル) ] > [Import Personal Certificates (個人証明書のイン ポート) ] を選択する。 公開鍵を含むファイルを [PGP Keys (PGP 鍵) ] ウィンドウにドラッグ する。 PGP Universal で管理された環境で PGP Desktop を使用していて、管理者が 証明書をインポートできる方法を選択できるように指定している場合、次の いずれかを選択します。 62 PGP 鍵の管理 PGP Desktop for Windows [Onto an existing key (既存の鍵上) ] : 証明書は、既に鍵リングにあ る鍵に追加されます。 [As new PGP key(s) (新しいPGP鍵として) ] : インポート済みの証明 書を使用して新しいPGP鍵が作成されます。 [As PGP X.509 wrapper key(s) (PGP X.509 ラッパー鍵として) ] : イ ンポート済みの証明書を使用して新しいPGP鍵が作成されます。PGP Desktopにより新しい鍵がX.509 証明書として処理されます。 3 選択したら、[次へ] をクリックします。[Certificate Passphrase Entry (証明 書のパスフレーズ エントリ) ] 画面または [PGP Enter Passphrase (PGP鍵 のパスフレーズの入力) ] ダイアログ ボックスが表示されます。 4 証明書のパスワードを指定し、[次へ] をクリックします。 [既存の鍵上] オプションを使用して証明書をインポートした場合は、 [鍵の選択] 画面が表示されます。 次の手順に進みます。 [As new PGP key(s) (新しいPGP鍵として) ] オプションを使用して証 明書をインポートした場合は、鍵が生成されます。[完了] をクリック します。処理が完了します。 [As PGP X.509 wrapper key(s) (PGP X.509 ラッパー鍵) ] オプション を使用して証明書をインポートした場合は、[Select key(s) (鍵の選択) ] ダイアログ ボックスが表示されます。鍵をクリックして選択し、[イン ポート] をクリックすると、PGP X.509 ラッパー鍵が生成されます。処 理が完了します。 5 [Onto an existing key (既存の鍵上) ] オプションを使用して証明書のイン ポートを実行するには、[Select Key (鍵の選択) ] ダイアログ ボックスで証 明書のインポート対象の鍵を選択し、鍵のパスワードを入力します。 [次 へ] をクリックします。 6 証明書が鍵にインポートされる際に、[Key Generation Progress (鍵生成の進 捗状況) ] ダイアログ ボックスが表示されます。 7 [完了] をクリックします。処理が完了します。 パスフレーズの変更 パスフレーズは 3 か月おきなど、定期的に変更することを推奨します。特に、パ スフレーズの入力時に他人に肩越しにキーボードを見られたなど、パスフレーズ が傍受されたと考えられる場合は、直ちにパスフレーズを変更してください。 分割鍵のパスフレーズを変更するには、事前に分割鍵を再結合する必要がありま す。 63 PGP 鍵の管理 PGP Desktop for Windows ヒント :鍵のパスフレーズを変更しても、鍵のコピー (作成したバックアップ など) のパスフレーズは変更されません。鍵が傍受されたと考えられる場合 は、以前のバックアップ コピーを完全に細断処理してから、新規に鍵のバッ クアップを作成することを推奨します。 PGP Universal Server管理環境にいる場合、鍵モードがSKMのときは、鍵のパス フレーズを変更できません。SKM鍵は、ランダムに生成された (つまり、それ自 体保護された) パスフレーズで保護されているので、SKM鍵のパスフレーズを入 力するための指示が表示されることはありません。鍵モードを確認する際は、「 鍵モード 『ページ : 124』」を参照してください。 秘密鍵のパスフレーズを変更するには 1 PGP Desktopを開いて [PGP鍵] コントロール ボックスをクリックし、[自 分の秘密鍵] を選択します。 2 PGP 鍵作業領域で、パスフレーズを変更する自分の秘密鍵をダブルクリック します。[Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示され ます。 3 [パスフレーズの変更] をクリックします。PGPパスフレーズ アシスタント が表示されます。 4 秘密鍵の現在のパスフレーズを入力し、[Next (次へ) ] をクリックします。 [Create Passphrase (パスフレーズの作成) ] ダイアログ ボックスが表示さ れます。 5 最初のテキスト フィールドに新しいパスフレーズを入力し、[Re-Enter Passphrase (パスフレーズの再入力) ] フィールドにもう一度パスフレーズ を入力して新しいパスフレーズを確認します。 パスフレーズの入力時にキー操作を表示するには、[Show Keystrokes (キ ー操作の表示) ] チェックボックスをオンにします。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予測 量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と 比較した結果を基に、そのパスフレーズの強度が表示されます。詳細につい ては、「パスフレーズの品質バー 『ページ : 326』」 を参照してください。 6 [完了] をクリックします。これで、パスフレーズが変更されます。 鍵、ユーザー ID、署名の削除 PGP Desktop では、鍵リングにある鍵だけでなく、鍵のユーザー ID や署名も管 理できます。 鍵リング上の公開鍵を使用すると、鍵全体、鍵に設定されたいずれかのユーザー ID、鍵の署名を一部または全部を削除できます。 64 PGP 鍵の管理 PGP Desktop for Windows また、鍵ペアを使用すると、鍵ペア全体や、いずれかまたはすべての署名を削除 でき、鍵ペア上のユーザー ID (ただし、鍵ペア上の唯一のユーザー ID を除く) も削除できます。 ただし、唯一のユーザー ID である場合は、ユーザー ID を削除できません。ま た、鍵から自己署名を削除することもできません。 PGP 鍵リングから鍵、ユーザー ID、署名を削除するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあ るすべての鍵が表示されます。 2 次のいずれか 1 つを実行します。 鍵を削除するには、鍵を右クリックして、表示されるコマンド一覧か ら [Delete (削除) ] を選択し、[Confirmation (確認) ] ダイアログ ボッ クスで [OK] をクリックします。鍵が鍵リングから削除されます。 ユーザー ID (公開鍵から) または署名を削除するには、鍵の左側にある プラス記号をクリックして、ユーザー IDと署名を表示します。削除す るユーザー IDまたは署名が表示されたら、それを右クリックして、表 示されるコマンド一覧から [Delete (削除) ] を選択し、[Confirmation (確認) ] ダイアログで [OK] をクリックします。 ユーザー IDまたは署 名が削除されます。 公開鍵の有効化と無効化 公開鍵を後で使用するために保管しておくと、メールを送信するたびに鍵に送信 先のアドレスが追加され、受信者リストがいっぱいになることがあります。この ような場合には、鍵リングの公開鍵を一時的に無効にすることができます。 「暗黙的に信頼される」鍵ペアを無効にすることはできません。暗黙的な信頼に 設定されている鍵を無効にするには、まず、信頼ステータスを [なし] に変更す る必要があります。 公開鍵を無効または有効にするには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあ るすべての鍵が表示されます。 2 無効にする公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 65 PGP 鍵の管理 PGP Desktop for Windows 3 [Key Properties (鍵のプロパティ)] で [Enabled (有効)]フィールドを探しま す。 現在の [Enabled (有効)] 設定が [Yes (はい)] の場合は、公開鍵が有効 になっています。公開鍵を無効にするには、[Yes (はい)] を一度クリッ クします。[Enabled (有効) ] フィールドが [No (いいえ) ] に変わり、 公開鍵が無効になります。 現在の [Enabled (有効)] 設定が [No (いいえ)] の場合は、公開鍵が無 効になっています。公開鍵を有効にするには、[No (いいえ)] を一度ク リックします。[Enabled (有効)] フィールドが [Yes (はい)] に変わり、 公開鍵が有効になります。 また、無効になった公開鍵は暗号化、署名などに使用できません。ただし、復号 化や検証には、無効になった公開鍵を使用できます。 ヒント : また、PGP Universal Serverで鍵リングの鍵を同期できます。このオ プションは鍵リングの公開鍵を有効/無効にするために主に使用されます。こ れを行うには、鍵を右クリックして、[同期] を選択します。 公開鍵の検証 公開鍵をリムーバブル メディアなどに入れて手渡しで受け取るか、PGP Global Directory から取得した場合以外は、その公開鍵が特定の個人に属するものである かどうかを確認するのは困難です。公開鍵をリムーバブル メディアで交換する 方法は一般に、実用的ではありません。交換相手が遠方にいる場合は特にそうで す。 それでは、PGP Global Directory 以外の公開鍵サーバーから取得した公開鍵が、 その鍵にリストされている本人の公開鍵であることを確認するにはどうしたら よいのでしょうか。これには、鍵の指紋情報を確認する必要があります。 公開鍵の指紋情報を調べる方法は複数ありますが、本人に電話をかけて指紋情報 を読み上げてもらうのが一番安全です。本人でないユーザーがこの電話を傍受し て、その本人になりすます可能性は非常に低いと言えるからです (攻撃の対象と して狙われやすい人物である場合は除きます)。また、公開鍵のコピーに添付され ている指紋情報と、公開鍵サーバーにあるオリジナルの公開鍵の指紋情報を比べ る方法もあります。 指紋情報の表示形式には、他と重複しない単語リスト形式または 16 進数形式の、 2 とおりがあります。 公開鍵のデジタル指紋を確認するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 66 PGP 鍵の管理 PGP Desktop for Windows 2 指紋情報を調べる公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 指紋情報は 16 進数形式 (4 文字を 1 セットとする 10 セットの文字列) かバ イオメトリクス形式 (1 列につき 5 つの異なる単語を含む 4 列) で、名前と 電子メール アドレスの下に表示されます。 3 公開鍵の指紋情報をオリジナルのものと比べます。2 つの情報が同じであれ ば、本物の公開鍵であることを意味します。この情報が異なる場合は、本物 の公開鍵ではありません。 バイオメトリクス形式の単語リストには PGP Desktop が使用している特殊 な認証用語が含まれており、音声学的な曖昧さがなく理解しやすい単語が厳 選されています。 たとえば軍隊のパイロットでは、雑音の多い通信でも情報を正しく理解でき るように特殊な単語がアルファベットの代わりに使用されています。 4 公開鍵が本物ではないことが判明したら、その鍵を削除してください。 5 Webラウザを開いてPGP Global Directory 『https://keyserver.pgp.com』 に 移動し、本物の公開鍵を検索します。 公開鍵の署名 鍵ペアを作成すると、鍵に署名が自動的に添付されます。同様に、他のユーザー の公開鍵が本人のものであると判明したら、その公開鍵を検証したことを示すた めに、そのユーザーの公開鍵に署名を添付できます。他のユーザーの公開鍵に署 名すると、その公開鍵に対して、あなたのユーザー名とともに署名アイコンが添 付されます。 バックアップした鍵や別のコンピュータから鍵ペアをインポートした場合は、イ ンポート元の鍵にも署名してください。 他のユーザーの公開鍵に署名するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあ るすべての鍵が表示されます。 2 次のいずれか 1 つを実行します。 [Keys (鍵) ] メニューから [Sign (署名) ] を選択します。 署名する鍵を右クリックし、表示されるコマンド一覧から [Sign (署 名) ] を選択します。 [PGP 署名鍵] ダイアログ ボックスが表示され、テキスト ボックスにユー ザー名、電子メール アドレスおよび 16 進数指紋が表示されます。 67 PGP 鍵の管理 PGP Desktop for Windows 3 この公開鍵とともに自分の署名をエクスポートできるよう、[Allow signature to be exported (署名のエクスポートを許可して他のユーザーが 自分の署名に依存できるようにする) ] チェック ボックスをオンにします。 署名をエクスポートできるようにすると、サーバーに送信することができる ようになります。このチェック ボックスは、他のユーザーがあなたの署名 を確認し、あなたの公開鍵を安心して使用できるように、署名をエクスポー トしたいことを示す簡単な手段となります。 4 [More Choices (詳細設定) ] をクリックすると、署名の種類や有効期限など のオプションを設定できます。 5 公開鍵に含める署名の種類を選択してください。オプションは次のとおりで す。 エクスポート不可 : ある公開鍵が有効であると確信していても、他の ユーザーに対してその公開鍵が有効であることを保証したくないとき には、エクスポート不可の署名を使用します。この種の署名は、公開 鍵と共に鍵サーバーに送信したりエクスポートしたりできません。 エクスポート可能 : 他のユーザーが自分の署名を確認し、公開鍵を安 心して使用できるようにするために、署名を添付した公開鍵を鍵サー バーに送信する場合は、このオプションを選びます。これは [Sign Keys (鍵の署名) ] メニューで [Allow signature to be exported (署名のエ クスポートを許可して他のユーザーが自分の署名に依存できるように する) ] チェック ボックスをオンにした状態と同じ結果になります。 メタ紹介者のエクスポート不可「信頼する紹介者による有効性表明」 のある公開鍵やその公開鍵で署名されたすべての公開鍵は、自分にと って完全に信頼できることを証明します。この署名タイプは、エクス ポート対象外です。 [Trusted Introducer Exportable (信頼する紹介者エクスポート可 能)] :その公開鍵が有効であること、さらにその公開鍵の所有者が他の 公開鍵を保証するだけの信頼レベルがあると証明するときは、この署 名を使用します。この署名タイプは、エクスポート対象です。信頼す る紹介者が検証できる範囲を特定の電子メール ドメインに制限する こともできます。 6 [信頼の最大深度] オプションを使用すると、信頼する紹介者のレベルを数値 で指定できます。たとえば、このオプションを 1 に設定すると、上位紹介者 の公開鍵では紹介者レベルが 1 つだけ許可されます。 7 信頼する紹介者の公開鍵が特定のドメインのみを検証できるように指定す るには、[Domain Restriction (ドメインの制約)] テキスト ボックスにその ドメイン名を入力してください。 8 [有効期限] フィールドで [無期限] を選択するか、この署名の期限が終了す る日を指定します。 9 [OK] をクリックします。[PGP Enter Passphrase for Key (PGP鍵のパスフレ ーズの入力)] ダイアログ ボックスが表示されます。 68 PGP 鍵の管理 PGP Desktop for Windows 10 リストから署名する公開鍵を選択し、必要に応じて署名鍵のパスフレーズを 入力します。パスフレーズが既にキャッシュされている場合は、再度入力す る必要はありません。 11 [OK] をクリックします。これで公開鍵に署名が添付されます。 公開鍵からの署名の破棄 場合によっては、鍵リングの鍵から署名を破棄したいと思うことや、または破棄 する必要に迫られることがあるかもしれません。 署名を破棄するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあ るすべての鍵が表示されます。 2 署名を破棄する鍵を展開して、署名した鍵を表示させます。 3 署名した鍵を右クリックして、表示されるコマンドのリストから [破棄] を 選択します。[Revoke Signature (署名の失効) ] ダイアログ ボックスが表示 されます。 4 (署名を破棄するための)鍵の [鍵ID] および [名前] が正しいことを確認し て、[OK] をクリックします。[PGP Enter Passphrase for Key (PGP鍵のパス フレーズの入力)] ダイアログ ボックスが表示されます。 5 パスフレーズを入力して [OK] をクリックします。お使いの署名が鍵から破 棄されます。 メモ : あなたの署名がエクスポート可能で、エクスポート可能な署名を添付し た公開鍵を配布した場合は、他のユーザーが破棄を確認できるようになる前 に、破棄された署名を添付した公開鍵を配布する必要があります。 鍵検証のための信頼度指定 鍵の所有者を証明した後、さらに鍵の所有者に信頼レベルを割り当てることもで きます。この信頼レベルは、今後他のユーザーから鍵を受け取ったときに、鍵の 所有者をそのユーザーの紹介者として信頼する度合いを示します。 つまり、鍵の所有者を自身で調べる以前に、信頼できると指定された個人によっ て署名された鍵を妥当と見なすということです。 鍵は署名した後ではじめて、信頼レベルを設定できます。 69 PGP 鍵の管理 PGP Desktop for Windows 公開鍵の信頼度は [なし]、[ある程度信頼する]、[信頼済み] のいずれかです。ま た鍵ペアの信頼度は [なし] または [暗黙的な信頼] (自分で作成した鍵なので信 頼できるという意味) のいずれかです。他のユーザーの鍵ペアは、所有する必要 がありません。 鍵の信頼度の詳細については、『暗号技術の基礎』を参照してください。 公開鍵の信頼度を指定するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [すべての鍵] をクリックします。 鍵リングにあ るすべての鍵が表示されます。 2 信頼度を指定する公開鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [信頼度] フィールドを確認します。 4 現在の設定をクリックし、リストから設定を選択します。 公開鍵で信頼度を指定する際には、[なし]、[ある程度信頼する]、[信頼 済み] のいずれかを選択できます。[None (なし) ] は公開鍵の所有者を 紹介者として信頼しない、[Marginal (ある程度信頼する) ] は全面的で はないが信頼する、[Trusted (信頼済み) ] は完全に信頼するという意味 です。 鍵ペアで信頼度を指定するときには、[なし] または [暗黙的に信頼す る] のいずれかを選択できます。 このオプションを設定しなければな らないのは、バックアップや他のコンピュータからインポートした鍵 ペアだけです。 サブ鍵の使用 PGP Desktop の鍵ペアは、次の要素で構成されます。 マスター鍵 (署名専用) 1 つの必須のサブ鍵 (暗号化用) 1 つ以上のオプションの個別のサブ鍵 (署名、暗号化、または署名/暗号化に 使用) マスター鍵はデフォルトで署名に使用され、サブ鍵は常に暗号化に使用されます。 これにより、マスター鍵やマスター鍵の署名に影響を与えずに個別の暗号化サブ 鍵を失効、削除、または PGP Desktop 鍵ペアに追加できるので、PGP Desktop 鍵ペアのセキュリティが向上します。 マスター鍵と必須の暗号化サブ鍵に加えて、PGP Desktop 鍵ペアに追加のサブ鍵 を 1 つ以上作成することもできます。暗号化のみ、署名のみ、または暗号化と署 名の両方に使用できるサブ鍵の任意の組み合わせを作成できます。 70 PGP 鍵の管理 PGP Desktop for Windows 鍵ペアのサブ鍵は、[鍵のプロパティ] ダイアログ ボックスから表示できます。 [Usage (使用方法)] 列には、サブ鍵が実行する機能が表示されます。 鍵 説明 暗号化サブ鍵には、青い錠前の記号が表示されま す。 署名用のサブ鍵には、青いペンの記号が表示されま す。 暗号化と署名の両方に使用するサブ鍵には、両方の 記号が表示されます。 デフォルトの暗号化サブ鍵には、左上隅に小さな緑 のチェックマークが表示されます。 デフォルトの署名用サブ鍵には、左上隅に小さな緑 のチェックマークが表示されます。 別のサブ鍵の使用 別のサブ鍵を追加しておくと便利なことを示した事例を、次にいくつか示します。 複数の暗号化サブ鍵 は、鍵ペアの有効期間の種々の部分で有効であるため、 セキュリティの補強に有効です。一度に 1 つの暗号化サブ鍵だけが有効にな るように、開始日と有効期限を設定した暗号化サブ鍵を作成できます。たと えば、将来の 1 年間だけ有効な暗号化サブ鍵を、複数作成できます (日付は 正しく指定してください)。使用される暗号化サブ鍵は、1 年ごとに変更され ます。このようにすると、新しい公開鍵の作成や配布を行う必要なしに、定 期的に新しい暗号化鍵に自動的に切り替えることができ、セキュリティ対策 としての利便性が高まります。期限切れのサブ鍵には、赤い時計の印がある 鍵アイコンが表示されます。 法的な拘束力のあるデジタル署名として署名用に別のサブ鍵を要求される 地域では、別の署名サブ鍵が必要です。 作成できる別のサブ鍵は、使用している鍵ペアのタイプによって異なります。 RSA 鍵ペアの場合は、暗号化用、署名用、暗号化および署名用のサブ鍵を作 成できます。 Diffie-Hellman/DSS 鍵ペアの場合、暗号化用または署名用のサブ鍵は作成で きますが、暗号化と署名の両方の用途のサブ鍵は作成できません。 古い PGP レガシー鍵ペアでは、サブ鍵はサポートされていません。 71 PGP 鍵の管理 PGP Desktop for Windows サブ鍵の表示 自分の鍵ペアのサブ鍵情報は、表示したり変更したりできます。自分の鍵リング にある公開鍵ペアのサブ鍵情報は、表示はできますが変更はできません。 サブ鍵およびサブ鍵のプロパティを表示するには 1 PGP Desktopを開いて [PGP鍵] コントロール ボックスをクリックし、[す べての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 次のいずれかの操作を行って、鍵のプロパティを表示します。 プロパティを表示する鍵をダブルクリックする。 鍵を右クリックし、ショートカット メニューから [Key Properties(鍵 のプロパティ) ] を選択する。 鍵リングで鍵をクリックして選択し、[Keys (鍵) ] > [Key Properties (鍵のプロパティ) ] を選択する。 選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表 示されます。 3 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで [Subkeys (サブ 鍵) ] という見出しをクリックします。 この鍵のサブ鍵が表示されます。 4 サブ鍵のプロパティを表示するには、表示するサブ鍵を右クリックし、ショ ートカット メニューから [サブ鍵のプロパティ] を選択します。 新しいサブ鍵の作成 通常は、ここで説明する方法で新しいサブ鍵を作成します。ただし、初めてPGP Desktopをインストールするときに、[New Key (新しい鍵) ] ウィザードを使用し てサブ鍵を作成することもできます。詳細については、「PGP Desktopの初めて の使用 『ページ : 17の"PGP Desktopを使用し始める前に"参照先 : 』」を参 照してください。 新しいサブ鍵を作成するには 1 [Key Properties (鍵のプロパティ) ] ダイアログの [Subkeys (サブ鍵) ] のセ クションにある [Add (追加) ] ボタンをクリックします。[新規ユーザーの作 成] ダイアログ ボックスが表示されます。 2 [Use this subkey for (このサブ鍵の使用対象) ] 領域で、新しいサブ鍵の用 途に応じて、[Encryption (暗号化) ]、[Signing (署名) ]、または [Encryption and Signing (暗号化と署名) ] を選択します。 72 PGP 鍵の管理 PGP Desktop for Windows 3 [Key Size (鍵のサイズ) ] フィールドで、1024 から 4096 ビットの間の鍵サ イズを選択するか、1024 から 4096 ビットの間の鍵サイズを入力します。 4 [Start Date (開始日) ] フィールドに、作成するサブ鍵が有効になる日付を 入力するか、カレンダーから日付を選択します。 5 [Expiration (有効期限) ] 領域で、[Never (無期限) ] を選択するか、[Date (日 付) ] を選択します。[Date (日付) ] を選択した際は、日付を指定するか、カ レンダーから日付を選択します。ここで指定する情報は、サブ鍵の期限を制 御します。 6 [OK] をクリックします。[Passphrase (パスフレーズ) ] ダイアログ ボック スが表示されます。 7 パスフレーズを入力し、[OK] をクリックします。これでサブ鍵が作成され ます。 鍵の使用方法 (PGPメッセージングのみなど) を指定するには、「サブ鍵の鍵使 用方法の指定 『ページ : 73の"サブ鍵の使用方法の指定"参照先 : 』」を参照 してください。 サブ鍵の使用方法の指定 各サブ鍵には、独自の鍵使用方法プロパティを割り当てることができます。たと えば、あるサブ鍵を PGP WDE 専用に使用して、別のサブ鍵をその他のすべての PGP Desktop 機能に使用できます。 鍵の使用方法を設定する理由の例としては、ある鍵をディスク暗号化専用に使用 したいが、暗号化された電子メールは受け取りたくないという場合が挙げられま す。PGP メッセージングを許可しない公開鍵を配布した場合、他のユーザーから 送信される電子メールはその公開鍵で暗号化されません。 メモ : PGP Universal Serverで管理された環境で、鍵モードがSKMの場合、鍵 使用フラグは変更できません。鍵モードを確認する際は、「鍵モード 『ペー ジ : 124』」を参照してください。 鍵の使用方法を指定するには 1 PGP Desktopを開いて [PGP鍵] コントロール ボックスをクリックし、[す べての鍵] をクリックします。 鍵リングにあるすべての鍵が表示されます。 2 次のいずれかの操作を行って、鍵のプロパティを表示します。 プロパティを表示する鍵をダブルクリックする。 鍵を右クリックし、ショートカット メニューから [Key Properties(鍵 のプロパティ) ] を選択する。 鍵リングで鍵をクリックして選択し、[Keys (鍵) ] > [Key Properties (鍵のプロパティ) ] を選択する。 73 PGP 鍵の管理 PGP Desktop for Windows 選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表 示されます。 3 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスで [Subkeys (サブ 鍵) ] という見出しをクリックします。 この鍵のサブ鍵が表示されます。 4 サブ鍵のプロパティを表示するには、表示するサブ鍵を右クリックし、ショ ートカット メニューから [サブ鍵のプロパティ] を選択します。 5 [鍵の使用方法] セクションで、この鍵が使用できる PGP Desktop 機能を選 択します。項目の横のチェックは、その機能が使用できることを示します。 6 [閉じる] をクリックしてサブ鍵のプロパティを保存します。 サブ鍵の破棄 サブ鍵を破棄するには 1 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスにある [Subkeys (サブ鍵) ] セクションで、破棄するサブ鍵を選択し、サブ鍵リストの上にあ る [Revoke (破棄) ] をクリックします。[PGP Warning (PGP警告) ] ダイアロ グ ボックスが表示され、サブ鍵を破棄すると他のユーザーがこのサブ鍵を 使ってデータを暗号化できなくなるというメッセージが表示されます。 2 [はい] をクリックしてサブ鍵を破棄するか、[いいえ] をクリックしてサブ 鍵の破棄をキャンセルします。[Passphrase (パスフレーズ) ] ダイアログ ボ ックスが表示されます。 3 パスフレーズを入力し、[OK] をクリックします。サブ鍵が破棄され、アイ コンが変わります。 74 PGP 鍵の管理 PGP Desktop for Windows サブ鍵の削除 サブ鍵を削除するには 1 [Key Properties (鍵のプロパティ) ] ダイアログ ボックスにある [Subkeys (サブ鍵) ] セクションで、削除するサブ鍵を選択し、サブ鍵リストの上にあ る [Remove (削除) ] をクリックします。[PGP警告] ダイアログが表示され、 サブ鍵を削除するとこのサブ鍵を使って他のユーザーが暗号化したデータ を復号化することができなくなるというメッセージが表示されます。 2 [はい] をクリックしてサブ鍵を削除するか、[いいえ] をクリックしてサブ 鍵の削除をキャンセルします。これでサブ鍵が削除されます。 予備復号化鍵の使用 通常、予備復号化鍵 (ADK) は、会社内で社員が送受信したメッセージを、会社 のセキュリティ管理者が復号化する際に使用します。 予備復号化鍵を含めた鍵で暗号化されるメッセージは、受信者の公開鍵と予備復 号化鍵で暗号化されます。これは、予備復号化鍵の所有者もメッセージを解読で きることを意味します。 予備復号化鍵は、PGP Universal Server 管理環境以外では使うことも必要になる こともめったにありません。PGP 管理者は、普段は予備復号化鍵を使う必要はあ りませんが、社員の電子メールを復旧する必要が生じた場合に使用することがあ ります。たとえば、社員がけがで長期欠勤している場合や、法的機関が社員の電 子メールの記録の提出を求めたり、裁判で使用する証拠としてそのメールを復号 化する必要がある、といった場合です。 ユーザーは、自分の鍵ペアに設定されている予備復号化鍵のみ変更できます。 鍵ペアへの予備復号化鍵の追加 予備復号化鍵を追加するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上 にある秘密鍵が表示されます。 2 予備復号化鍵を追加する秘密鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 75 PGP 鍵の管理 PGP Desktop for Windows 3 [ADK (予備復号化鍵) ] の左に上矢印が表示されている場合は、それをクリ ックします (予備復号化鍵をすでに設定している秘密鍵にのみ上矢印が表 示されます) 。予備復号化鍵の情報が表示されます。 4 [予備復号化鍵] の右側にあるプラス記号のアイコン ([追加]) をクリックし ます。[Select key(s) (鍵の選択)] ダイアログ ボックスが表示されます。 5 予備復号化鍵として使用する秘密鍵を選択し、[OK] をクリックします。 選 択した秘密鍵に予備復号化鍵を追加しても良いかどうかを確認する [PGP Warning (PGP警告) ] ダイアログ ボックスが表示されます。 6 [はい] をクリックします。[PGP Enter Passphrase for Key (PGP鍵のパスフ レーズの入力)] ダイアログ ボックスが表示されます。 7 予備復号化鍵を追加する秘密鍵のパスフレーズを入力し、[OK] をクリック します。[PGP情報] ダイアログ ボックスが表示され、秘密鍵に予備復号化 鍵が追加されたというメッセージが表示されます。 8 [OK] をクリックします。 メモ : あなたの秘密鍵に予備復号化鍵を追加した場合、暗号化した電子メール をあなたに送信する人は、予備復号化鍵の公開鍵部分にアクセスできる必要が あります。 予備復号化鍵の更新 予備復号化鍵を更新するには 1 更新する予備復号化鍵をリストから選択します。選択した予備復号化鍵がハ イライトされます。 2 下矢印アイコンをクリックします。これで、予備復号化鍵が更新されます。 予備復号化鍵の削除 予備復号化鍵を削除するには 1 削除する予備復号化鍵をリストから選択します。選択した予備復号化鍵がハ イライトされます。 2 マイナス記号のアイコン ([削除]) をクリックします。予備復号化鍵を削除し てもよいかどうかを確認する [PGP Warning (PGP 警告)] ダイアログ ボッ クスが表示されます。 3 [OK] をクリックし、予備復号化鍵を削除します。これで、予備復号化鍵が 削除されます。 76 PGP 鍵の管理 PGP Desktop for Windows 失効権限機能の使用 パスフレーズを忘れたり、ラップトップの盗難やハード ドライブのクラッシュ により鍵ペアが失われる可能性は、決して皆無とは言えません。 鍵の復元オプションを使用して秘密鍵を復元できる場合を除き、秘密鍵を二度と 使用できなくなります。その秘密鍵は失効できないので、他のユーザーに暗号化 しないように伝えてください。このような事態を防ぐためには、第三者を鍵の失 効権限者として指定しておくとよいでしょう。暗号鍵の失効権限者として指定さ れたユーザーに、この暗号鍵の失効を代行してもらえます。 この機能は Diffie-Hellman/DSS と RSA の両方に対して利用できます。 ユーザーは、自分の鍵ペアに設定されている失効権限者情報のみ変更できます。 鍵リング上の公開鍵に失効権限者が指定されている場合、その失効権限者情報の 表示はできますが、変更はできません。 失効権限者の指定 指定された失効権限者を自分の鍵に追加するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上 にある秘密鍵が表示されます。 2 失効権限者を追加する鍵をダブルクリックします。選択した鍵の [Key Properties (鍵のプロパティ) ] ダイアログ ボックスが表示されます。 3 [破棄権限者] の左に下矢印が表示されている場合は、それをクリックします (破棄権限者をすでに指定している鍵にのみ下矢印が表示されます) 。失効権 限者の情報が表示されます。 4 [失効権限者] の右側にあるプラス記号アイコン ([追加]) をクリックします。 [Select key(s) (鍵の選択)] ダイアログ ボックスが表示されます。 5 失効権限者の鍵として使用する鍵を選択し、[OK] をクリックします 選択された鍵に失効者の権限を与えてもよいかどうかを確認する [PGP Warning (PGP 警告)] ダイアログ ボックスが表示されます。 6 [Yes (はい)] をクリックして続けるか、[No (いいえ)] をクリックして操作 をキャンセルします。[PGP Enter Passphrase for Key (PGP鍵のパスフレーズ の入力)] ダイアログ ボックスが表示されます。 7 破棄者を追加する鍵ペアのパスフレーズを入力し、[OK] をクリックします。 [PGP情報] ダイアログ ボックスが表示されます。 77 PGP 鍵の管理 PGP Desktop for Windows 8 [OK] をクリックします。これで、選択した鍵を使って、指定した破棄権限 者があなたの鍵を破棄できるようになります。鍵を効率的に管理するため、 鍵の現在のコピーを失効権限者 (複数可) に配布するか、鍵サーバーにアッ プロードします。 鍵の破棄 あなたの鍵ペアの信頼性が疑わしい場合は、あなたの暗号鍵を破棄すると同時に、 他のユーザーにあなたの公開鍵を使わないように通知することができます。 鍵が破棄されたことを知らせる最善の方法は、最新の公開鍵のコピーを公開鍵サ ーバーに公開することです。 鍵を破棄するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上 にある秘密鍵が表示されます。 2 破棄する鍵を右クリックし、表示されるコマンド一覧から [Revoke (破棄) ] を選択します。この鍵を破棄するかどうかを確認する [PGP Warning (PGP 警告) ] ダイアログ ボックスが表示されます。 3 [はい] をクリックして選択した鍵の破棄を行うか、[いいえ] をクリックし て操作をキャンセルします。[PGP Enter Passphrase for Key (PGP鍵のパスフ レーズの入力)] ダイアログ ボックスが表示されます。 4 破棄する鍵ペアのパスフレーズを入力し、[OK] をクリックします。鍵を破 棄すると、鍵が無効になったことを示す、赤い斜線の入ったマークが付きま す。 5 他のユーザーに、その公開鍵が破棄されて使用できなくなったことを知らせ るには、破棄した鍵を同期してください。 鍵の分割と再結合 秘密鍵は、ブラックリー・シャミール鍵分割法 (秘密情報分散共有法) という暗 号化方法を使用して、複数の「シェア所有者」間で共有されるシェアに分割する ことができます。極めて強力なセキュリティを必要とする暗号鍵には、この分割 鍵を作成することをお勧めします。 たとえば、PGP Corporation では会社の暗号鍵を複数の個人に分割して管理して います。会社の暗号鍵で署名する必要があるときには、分割された鍵 (シェア) を 一時的に再結合します。 78 PGP 鍵の管理 PGP Desktop for Windows 分割鍵の作成 分割された暗号鍵は、それぞれの鍵の共有者 (シェア所有者) の公開鍵を使って 暗号化され、ファイルとして保存されます。暗号鍵の分割後は、その鍵を使って 署名や復号化を行おうとすると、自動的に暗号鍵の再結合が開始されます。 複数のシェアに暗号鍵を分割するには 1 PGP Corporationを開いて [PGP鍵] コントロール ボックスをクリックし、 コントロール ボックスで [自分の秘密鍵] をクリックします。 鍵リング上 にある秘密鍵が表示されます。 2 分割する鍵ペアをクリックします。選択した鍵ペアがハイライトされます。 3 [鍵] > [鍵の共有] > [共有する] を選択します。 [PGP鍵の共有] ダイアログ ボックスが表示されます。 4 [シェア所有者] リストにシェア所有者の鍵をドラッグ アンド ドロップし て、分割鍵のシェア所有者を指定します。 公開鍵を持っていないユーザーをシェア所有者リストに追加するには、[追 加] をクリックして、表示されるテキスト ボックスにそのユーザーの名前 を入力します。そして、そのユーザーにパスフレーズを入力してもらいます。 この操作では、シェア所有者となるユーザーが自分のパスフレーズを実際に 入力する必要があります。 5 シェア所有者を追加したら、この鍵を使って復号化や署名を行う際に必要な 鍵シェアの数を指定します。 デフォルトでは、各シェア所有者がシェアを 1 つずつ管理します。各シェア 所有者が制御するシェアの数を増やすには、シェア所有者のリストでユーザ ー名をクリックし、矢印を使用してシェアの数を調整します。 6 [鍵の分割] をクリックします。シェアの保存先ディレクトリを指定するダイ アログが表示されます。 7 鍵シェアを保存する場所を選択し、[OK] をクリックします。[パスフレーズ の作成] 画面が表示されます。 8 分割する鍵のパスフレーズを入力し、[OK] をクリックします。確認のダイ アログ ボックスが表示されます。 9 [はい] をクリックして、鍵を分割します。鍵が分割され、シェアは指定され た場所に保存されます。各鍵シェアは、シェア所有者の名前をファイル名と して持ち、SHFという拡張子が付いたファイルとして保存されます。 10 鍵シェアをシェア所有者に配布してから、シェアを保存したローカルのファ イルを削除します。 鍵を複数のシェア所有者間で分割すると、それ以降、その鍵を使って署名や 復号化を行うときに、PGP Desktop が自動的に鍵の再結合を開始します。 79 PGP 鍵の管理 PGP Desktop for Windows 分割鍵の再結合 鍵を複数のシェア所有者間で分割すると、それ以降、その鍵を使って署名や復号 化を行うときに、PGP Desktop が自動的に鍵の再結合を開始します。分割鍵は、 ローカルとリモートのどちらでも再結合することができます。 ローカルで鍵シェアを再結合するときは、結合を行うコンピューターの前に鍵の シェア所有者が集まる必要があります。この操作では、各シェア所有者が自分の 鍵シェア用のパスフレーズを入力する必要があるためです。 リモートで鍵シェアを再結合するには、シェア所有者が各自の鍵を認証し、復号 化してからネットワークを介して送信します。鍵シェアを送信する際には、PGP Desktop の TLS (Transport Layer Security) 機能によってセキュリティ保護され たリンクが使用されるため、遠隔地にいる複数のユーザーが各自の鍵シェアを使 用して安全に署名や復号化を行うことができます。 注意 : ネットワークを介して他のユーザーの鍵シェアを受け取る前に、各シェ ア所有者の指紋情報を照合し、そのユーザーの公開鍵に署名をして、認証鍵が 正当であることを確認してください。 PGP Universal Server による鍵の復元 このセクションの内容は、PGP管理者が鍵の復元サポートをユーザーのPGP Desktopに対して事前に設定しているPGP Universal Server管理環境で、PGP Desktopを使用している場合にのみ適用されます。 鍵を失ったりパスワードを忘れたりしたときに、鍵を復元するためのバックアッ プ コピーがないと、通常、その鍵で暗号化した情報は復号化できなくなります。 ただし、PGP 管理者が PGP 鍵の復元ポリシーを事前に設定していれば、鍵を復 元することができます。復元ポリシーを使用すると、鍵は暗号化され、その所有 者だけが取り出せる方法で PGP Universal Server に保存されます。 鍵の復元データを格納している PGP Universal Server は、鍵の所有者本人だけが アクセスできるように鍵を保管しています。PGP 管理者であっても、その鍵を復 号化することはできません。 PGP 管理者が鍵の復元サポートを設定していると、PGP Desktop のインストー ル時やセキュリティに関する質問の作成時に追加「秘密」情報を入力するように メッセージが表示されます。 鍵をサーバーに保存すると、Windowsの場合は [鍵] > [鍵を喪失した場合]、また は [鍵] > [パスフレーズを忘れた場合]、Mac OS Xの場合は [鍵] > [再構築] を選 択すると、いつでも鍵を復元することができます。 80 PGP 鍵の管理 PGP Desktop for Windows ヒント : PGP Desktopのインストール中にPGPの質問を作成するように要求 されなかった場合、PGP Universal Server管理者がローカル鍵の復元を許可し、 手動で質問を作成することができます。詳細については、「セキュリティ用の 質問の作成 『ページ : 82の"セキュリティ保護用の質問の作成"参照先 : 』」 を参照してください。 鍵の復元データの送信 PGP Desktop をインストールしたり鍵をリセットする場合は、鍵の復元データを 貴社の PGP Universal サーバーに送信します。 鍵の復元データを貴社の PGP Universal サーバーに送信するには 1 2 次のいずれか 1 つを実行します。 PGP Desktop のインストールを通常どおりに開始する。 鍵をリセットするプロセスを開始する([PGPメッセージング] コント ロールパネルを選択して [鍵のリセット] をクリックする)。 [鍵の復元] 画面のダイアログ ボックスが表示されたら、[質問] フィールド にあなただけが答えられる質問を 5 つ入力します (ここで表示されるデフォ ルトの質問は単なる例です)。 答えを忘れてしまう可能性の低い、個人的な質問を選びます。質問は 95 文 字 (2 バイト文字では 47 文字) 以内で入力してください。「ビーチに連れて 行ってくれた人は誰でしたか?」や「彼と別れた理由は?」などが良い例です。 悪い例は、「母親の旧姓は?」や「行っていた高校の名前は?」などです。 3 [質問] フィールドにそれぞれの質問の答えを入力します。大文字と小文字の 区別に注意しながら 255 文字 (2 バイト文字では 127 文字) 以内で入力しま す。[答えの非表示] チェックボックスでは、入力したテキストを表示したり、 非表示にします。 4 [OK] をクリックして続行します。[PGP鍵のパスフレーズの入力] ダイアロ グ ボックスが表示されたら、鍵のパスフレーズを入力して [OK] をクリッ クします。 5 [OK] をクリックします。鍵の再構築を設定した秘密鍵は、ブラックリー・ シャミール鍵分割プロセスによって 5 つに分割されます。鍵の再構築には、 この 5 つのうち 3 つが必要です。5 つの鍵はそれぞれ 1 つの答えのハッシュ (固有の識別番号) で暗号化されます。5 つのうち 3 つの答えが分かれば、鍵 全体を再構築できます。 81 PGP 鍵の管理 PGP Desktop for Windows セキュリティ保護用の質問の作成 パスフレーズを忘れた際に、鍵の復元や新しいパスフレースの作成を行えるよう にするためには、事前にセキュリティ保護用の質問を作成する必要があります。 自分だけしか答えがわからないように、5 つのセキュリティ保護用の質問をカス タマイズすることができます。 セキュリティ保護用の質問を作成するには 1 PGP Desktop で [PGP 鍵] コントロール ボックスをクリックし、自分の秘 を選択します。 2 [Keys (鍵)] > [Create My PGP Questions (自分のPGPの質問の作成)] を選 択します。PGPセキュリティ保護用の質問アシスタントが表示されます。 3 鍵用のパスフレーズを入力し、[Next (次へ)] をクリックします。[Create Security Question 1 of 5 (セキュリティ保護用の質問 1 (5 個中) の作成)] ダ イアログ ボックスが表示されます。 4 最初の [Create Security Question (セキュリティ保護用の質問の作成)] 画面 で、最初のフィールドの矢印をクリックして、使用する質問を選択します。 次の手順で、質問の一部をカスタマイズすることができます。 質問を全面的にカスタマイズして独自の質問を作成する場合は、[Enter my own question (自分の質問を入力する)] を選択します。 5 [Personalize Your Question (質問の個別設定)] で、カスタマイズ可能ない ずれかのテキストの横の矢印をクリックします。たとえば、最初の質問を選 択した場合は、「friend」を「boy」に、「had a crush on」を「held hands with」 に変えることによって質問をカスタマイズできます。 82 PGP 鍵の管理 PGP Desktop for Windows 独自の質問を作成する場合は、このフィールドに質問を入力します。必ず、 あなただけが答えられる質問を入力してください。 6 [Answer Your Question (質問の答え)] で、このセキュリティ保護用の質問 に対する答えを入力します。答えの入力には、大文字と小文字を混ぜて使用 することも、大文字または小文字だけを使用することもできます (質問に答 えるときには、大文字小文字は関係ありません)。 このフィールドにはヒントが表示され、答えを入力し始めると消えます。た とえば、「Who was the first boy that I ever held hands with?(私が最初に 手をつないだ男の子は?)」という質問に答える場合は「Enter first and last name (名字と名前を入力してください)」というヒントが表示されます。 7 質問を指定し、答えを入力したら、[Next (次へ)] をクリックして続行しま す。[Create Security Question 2 of 5 (セキュリティ保護用の質問 1 (5 個中) の作成)] ダイアログ ボックスが表示されます。 8 全部で 5 つのセキュリティ保護用の質問を作成し、答えを入力するように求 められます。引き続き上記の手順に従って、質問の選択、質問のカスタマイ ズ、質問の答えの入力を行います。 5 つの質問と答えをすべて入力すると、[Completing the PGP Security Question Assistant (PGPセキュリティ保護用の質問アシスタントの終了)] 画面が表示されます。[Finish (完了)] をクリックしてアシスタントを終了 します。 5 つのセキュリティ保護用の質問の定義が完了しました。これで、鍵を紛失した 場合やパスフレーズを忘れた場合に、これら 5 つの質問のうちの 3 つに答えるこ とで、鍵を復元するか、パスフレースをリセットすることができます。 鍵またはパスフレーズを失った場合に自分の鍵を復元 鍵を紛失したり、パスフレーズを忘れたりした場合でも、鍵を復元することで回 復することができます。そのためには、最初にあなただけが答えられるセキュリ ティ保護用の質問を作成しておく必要があります。詳細については、「セキュリ ティ用の質問の作成 『ページ : 82の"セキュリティ保護用の質問の作成"参照 先 : 』」を参照してください。 鍵を復元するには 1 PGP Desktop で [PGP 鍵] コントロール ボックスをクリックし、自分の秘 を選択します。 83 PGP 鍵の管理 PGP Desktop for Windows 2 [Keys (鍵)] > [I Lost My Key (パスワードを失くしました)] を選択します。 [PGP Passphrase Assistant:Answer Security Questions (PGPパスフレーズ アシスタント : セキュリティ用の質問の答え)] ダイアログ ボックスが表 示されます。 ヒント : 表示された質問が自分の質問ではない場合は、[These are not my questions (これらは私の質問ではありません)] のリンクをクリックしてく ださい。[PGP Passphrase Assistant:Select Key to Reconstruct (PGPパスフ レーズ アシスタント : 復元する鍵の選択)] ダイアログ ボックスが表示 されます。復元する鍵の鍵IDを選択し、[Next (次へ)] をクリックします。 3 5 つのセキュリティ用の質問のうち、3 つに正しく答えて、[Next (次へ)] を クリックします。[PGP Passphrase Assistant: Success (PGPパスフレーズ アシスタント : 成功)] ダイアログ ボックスが表示されます。 4 [次へ] をクリックし、新しいパスフレーズの作成に進んでください。[PGP Passphrase Assistant:Create Passphrase (PGPパスフレーズ アシスタン ト : パスフレーズの作成)] ダイアログ ボックスが表示されます。 5 パスフレーズの入力と再入力を行います。 入力時にパスフレーズの文字を確認するには、[キーボード入力の表示] を選 択します。ただし、入力する文字を誰にも見られないように注意してくださ い。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予測 量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と 比較した結果を基に、そのパスフレーズの強度が表示されます。詳細につい ては、「パスフレーズの品質バー 『ページ : 326』」 を参照してください。 6 [完了] をクリックします。これで鍵が復元されます。 84 PGP 鍵の管理 PGP Desktop for Windows 鍵の保護 鍵はバックアップ コピーを作成すると同時に、秘密鍵の保管場所にも十分注意 を払ってください。秘密鍵は作成した自分にしかわからないパスフレーズで保護 されていますが、だれかにパスフレーズが検出されてしまい、秘密鍵を使った電 子メールの解読やデジタル署名の偽造を被るおそれがあります。たとえば、他人 に肩越しに見られて、キーボード入力した文字を見られたり、ネットワークやイ ンターネット上で傍受されることがあります。 パスフレーズを傍受した人に秘密鍵を悪用されることのないように、秘密鍵は自 分自身のコンピューターのみに保管してください。コンピューターがネットワー クに接続されている環境では、コンピューター全体のバックアップ時に秘密鍵の ファイルが自動的に含まれないように注意してください。コンピューターがネッ トワーク経由で簡単にアクセスできてしまう場合、機密度の高い情報を取り扱う 際には、フラッシュ ドライブに秘密鍵を保管しておくのが賢明です。旧来型の 鍵と同様、秘密情報の読み取りや署名が必要なとき随時に挿入して利用できます。 もう 1 つのセキュリティ対策として、秘密鍵リング ファイルに別の名前を割り 当て、そのファイルをデフォルト以外の場所に保存することも検討してください。 秘密鍵と公開鍵は別々の鍵リング ファイルに格納されています。両方の鍵リン グ ファイルをハード ドライブ上の別の場所、またはフロッピー ディスクにコ ピーしてください。デフォルトで、秘密鍵リング (secring.skr) と公開鍵リン グ (pubring.pkr) は、他のプログラム ファイルと一緒に "PGP" フォルダーに 格納されており、任意の場所にバックアップを保存できます。 PGP Desktop の終了後に自動的に鍵リングのバックアップを作成するようにも 構成できます。鍵リングのバックアップ オプションは、Windows システムの場 合は [オプション] ダイアログ ボックス、Mac OS X システムの場合は [環境設 定] ダイアログ ボックスの [鍵] タブで設定できます。 ヒント :鍵のパスフレーズを変更しても、鍵のコピー (作成したバックアップ など) のパスフレーズは変更されません。鍵が傍受されたと考えられる場合 は、以前のバックアップ コピーを完全に細断処理してから、新規に鍵のバッ クアップを作成することを推奨します。 85 7 電子メールをセキュアにす る ここでは、PGP Desktop を使用して電子メールを自動的かつ透過的にセキュアに する方法について説明します。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP Desktopで電子メールをセキュアにする方法.................................. 87 オフライン ポリシーの使用 .................................................................... 93 サービスとポリシー................................................................................. 94 新規セキュリティ ポリシーの作成 ....................................................... 104 セキュリティ ポリシーのリストの使用................................................ 115 PGP DesktopとSSL................................................................................ 122 鍵モード................................................................................................. 124 PGPログの表示 ...................................................................................... 127 PGP Desktop で電子メールをセキュアにする方法 セキュアな電子メール メッセージング機能を有効にすると、電子メール クライ アントと電子メール サーバー間のトラフィックが PGP Desktop によって監視さ れます。また、PGP Desktop はユーザーに代わってメッセージの暗号化、署名、 復号化、検証を状況に応じて実行します。 構成が正しく行われると (ほとんどの場合 PGP Desktop によって自動的に構成 されます)、送信メッセージの暗号化や署名、または受信メッセージの復号化や検 証を行うためのユーザー操作は必要ありません。PGP Desktop メッセージング プロキシによってすべての処理が行われます。 87 電子メールをセキュアにする PGP Desktop for Windows 受信メッセージと送信メッセージで、この処理がどのように異なるかについて説 明します。 受信メッセージはすべて PGP Desktop が自動的に確認し、適切な処理を行いま す (後述)。 送信メッセージでは、構成したポリシーに基づいて、PGP Desktop でさまざまな 処理が実行されます。ポリシーとは、「この状況では、これを実行する」のよう に、特定の状況に対する PGP Desktop の動作の指示をまとめたものです。こう した複数の指示を組み合わせることにより、ユーザーの電子メール セキュリテ ィ要件を満たすようにポリシーをカスタマイズできます。PGP Desktop には、最 も一般的な要件に対応する、事前に構成されたポリシーが用意されています。こ れらのポリシーは必要に応じて変更し、きめ細かく制御することもできます。 PGP Desktopをスタンドアロンとして使用している場合、メッセージを送信する と、デフォルトによりPGP Desktopはメッセージを暗号化するために信頼できる 鍵を検索します。最初に、デフォルトの鍵リング (Windowsシステムでは「すべ ての鍵」と呼ばれます) またはローカルの鍵リング (Mac OS Xシステムでは「鍵」 と呼ばれます) で受信者の公開鍵が検索されます。公開鍵が見つからない場合は、 デフォルトにより、受信者の信頼する鍵がPGP Global Directoryにないか確認さ れます。信頼する鍵が見つからない場合は、メッセージは暗号化されていないク リア テキストで送信されます。このポリシーは、「暗号化できない場合クリア テキストで送信」という、デフォルトのポリシーの 1 つで、送信メッセージのセ キュリティを可能な限り保護しながら、確実にメッセージが送信されるようにし ます。 新しいポリシーの作成の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 104』」を参照してください。 PGP Universal で保護されているドメインでは、ローカルの PGP Desktop ポリシ ーによって、メッセージの暗号化方法と暗号化されるタイミングが決定されます。 詳細については、PGP Universal Server 管理者に問い合わせてください。 受信メッセージ PGP Desktopによる受信メール メッセージの管理方法は、メッセージ内容によ って異なります。ここでは、PGP Universal Serverによって保護されたドメイン に属していない、スタンドアロンのPGP Desktopを想定します (PGP Universal Serverによって保護されたドメインに属する場合、PGP Universal Server管理者 が設定した電子メールのアクション ポリシーが適用されます)。 暗号化も署名もされていないメッセージ。メッセージの内容は処理されず、 電子メール クライアントにそのまま送られます。 88 電子メールをセキュアにする PGP Desktop for Windows 暗号化されているが署名されていないメッセージ。暗号化された受信メッセ ージが検知されると、PGP Desktopはその復号化を試行します。PGP Desktopはまず、メッセージを復号化できる秘密鍵がローカル鍵リングにな いか確認します。秘密鍵がローカル鍵リングにない場合、メッセージは復号 化できないため暗号化されたまま電子メール クライアントに送信されます。 ローカル鍵リングに秘密鍵が見つかった場合、そのパスフレーズがメモリに 残っていれば (キャッシュされていれば) メッセージは直ちに復号化されま す。パスフレーズがキャッシュされていない場合、PGP Desktopはパスフレ ーズの入力を要求します。正しいパスフレーズを入力するとメッセージが復 号化されます。メッセージは復号化された後に電子メール クライアントに 送信されます。 PGP Desktop メッセージング プロキシがオフになっている場合、暗号化さ れた受信メッセージは復号化できないため、暗号化されたまま電子メール クライアントに送信されます。暗号化されたメッセージを送受信する場合は、 メッセージング プロキシを常時オンのままにしておくことを推奨します。 デフォルトの設定はオンです。 署名されているが暗号化されていないメッセージ。PGP Desktopは署名を検 証するために使用できる公開鍵を、ローカル鍵リングで検索します。適切な 公開鍵がローカル鍵リングに見つからなかった場合、keys.domain (domain はメッセージ送信者のドメイン) の鍵サーバーで検索が行われ、次にPGP Global Directory 『https://keyserver.pgp.com』 、最後にその他の構成済み 鍵サーバー、という順序で検索が行われます。正しい公開鍵がこのいずれか の場所で見つかったら、署名が有効であるかどうかが検証され (署名が壊れ ている場合は検証されません)、メッセージが署名情報の注釈付きで電子メ ール クライアントに送信されます。情報はPGPログにも記録されます。適 切な公開鍵が見つからなかった場合、メッセージは未検証のまま電子メール クライアントに送信されます。 暗号化および署名されたメッセージ。PGP Desktopは前述の両方の処理を行 います。まず、メッセージを復号化する秘密鍵を検索し、次に署名を検証す る公開鍵を検索します。ただし、メッセージが復号化できない場合は、検証 できません。 メッセージの復号化および検証ができない場合は、その送信者に連絡する必要が あります。メッセージを復号化できなかった場合は、正しい公開鍵が使用された かどうかを送信者に確認してください。メッセージを検証できなかった場合は、 公開鍵をPGP Global Directoryに公開するよう送信者に依頼してください。PGP の古いバージョンやOpenPGP製品を使用しているユーザーには、PGP GlobalDirectoryのWeb版がPGP Global Directory 『https://keyserver.pgp.com』 に用意されています。または、公開鍵を電子メールで直接送付するように送信者 に依頼してください。 メモ : PGP Desktopのデフォルト設定では、メッセージは検証済みの鍵でのみ 暗号化されます。PGP Global Directory以外からの鍵を使用するには、鍵のフ ィンガープリントが有効かどうかを所有者に確認し、署名することが必要な場 合があります。 89 電子メールをセキュアにする PGP Desktop for Windows 送信メッセージ 送信する電子メール メッセージは、暗号化と署名のどちらか一方または両方を 行うか、どちらも行わないようにすることができます。通常、暗号化と署名をど のように組み合わせて使用するかは、電子メールの受信者やドメインごとに異な るので、送信電子メール メッセージのあらゆる可能性を考慮に入れてポリシー を作成する必要があります。正しいポリシーが適用されると、電子メール メッ セージが自動的かつ透過的に保護されます。 PGP Universal Server で管理された環境では、PGP Desktop ポリシーは PGP Universal Server 管理者によって指定されたポリシーで制御されます。また、 PGP Universal Server が利用不可能な場合の送信メッセージ処理方法も、管理者 によって指定されていることがあります。これらのポリシーを「オフライン ポ リシー」(または「ローカル ポリシー」) と呼びます。 Microsoft Outlook を使用した MAPI 電子メールの送信 PGP Desktop バージョン 9.10 には、送信メッセージを "スプール" する機能が新 しく追加されています。これにより、PGP 通知機能メッセージが表示されなくな るまで待たなくても、電子メールの操作を続行することができます。 鍵が見つからない場合は、PGP 通知機能のメッセージが表示されてから、(受信 者を削除するなどの変更を加えられるように) 送信メッセージが表示される代わ りに、"鍵が見つかりません" という配信不能レポートが生成され、送信されます。 配信不能レポートは、受信電子メール メッセージの形式で "システム管理者" か ら送信され、指定された受信者に電子メールが配信されなかった理由などの情報 を提供します。 90 電子メールをセキュアにする PGP Desktop for Windows 配信不能レポートで報告される一般的なメッセージは次のとおりです。 PGP : メッセージはポリシーによってブロックされています。サーバーにア クセスできません。 PGP : メッセージはブロックされています。追加の予備復号鍵 (ADK) は見 つかりませんでした。 PGP : メッセージはブロックされています。署名鍵をロック解除できません でした。 PGP : メッセージはブロックされています。鍵 ID で鍵を見つけることがで きませんでした。 PGP : メッセージはブロックされています。通知機能からブロックされてい ます。 PGP : メッセージはポリシーによってブロックされています。受信者の鍵が 見つかりません。 PGP : メッセージはポリシーによってブロックされています。 ポリシー関連の問題でサポートが必要な場合は、PGP Universal Server 管理者に 問い合わせてください。 Microsoft Outlook で署名ボタンと暗号化ボタンを使用 PGP Desktop for Windows 10.0 では、 Microsoft Exchange (MAPI) および SMTP 電子メール アカウントを使用する際に、Microsoft Outlook 2002 SP3、 2003 (XP) SP3、2007 で新しい機能を利用できます。この機能は、明示的に署名、 暗号化を行うか、電子メール メッセージの署名と暗号化を行うボタンを提供し ます。この機能は、ユーザーに意識的に電子メール メッセージに署名すること を求める欧州連合などの署名規制に準拠します。 署名ボタンと暗号化ボタンの両方をPGP Desktopの管理されたインストール環 境およびスタンドアロン インストール環境で利用できます。 スタンドアロン環境では、[オプション] ダイアログ ボックスで [署名] ボタ ンと [暗号化] ボタンを有効または無効にします。これを行うには、[ツール] > [オプション] を選択し、メッセージング タブを選択し、[PGP暗号化ボタ ンと署名ボタンをOutlookで有効にする] オプションを選択 (または選択解 除) します。これらのボタンはデフォルトで無効になっています。 管理された環境で PGP Desktop を使用している場合は、PGP Universal Server 管理者がこの機能を利用できるか指定し、ポリシーでこの機能を無効 にしていることががあります。 91 電子メールをセキュアにする PGP Desktop for Windows Microsoft Outlook 2002/2003 で有効な場合、両方のボタンがツールバーに表示さ れます。 Microsoft Outlook 2007 で有効な場合、両方のボタンがメッセージ リボンに表示 されます。 送信メッセージ ポリシーが電子メール メッセージの送信方法を決定します。こ れらのボタンをサポートするようにPGP Desktopの新しいインストール環境で は、3 つの新しいデフォルトのポリシーがあります。既存のインストール環境で は、これらの 3 つのデフォルトのポリシーを作成する必要があります。ポリシー の詳細については、「セキュリティ ポリシーの情報と例 『ページ : 111』」 を参照してください。 署名ボタンと暗号化ボタンはどの電子メールを暗号化、署名する必要があるか管 理する追加機能です。これらのボタンはPGP Desktopで使用する電子メール プ ロキシに代わるものではありません。 メモ : 暗号化、署名する電子メール メッセージに返信するか転送する場合、 適切なボタンを選択していることを確認してください。転送または返信は新規 メッセージとして扱われ、メッセージをセキュリティ保護するオプションを明 示的に選択する必要があります。 新規電子メール メッセージを作成するか、電子メール メッセージを転送または メッセージに返信する場合には、以下の手順に従います。 電子メール メッセージに署名、暗号化、または署名と暗号化を行うには 1 電子メールの作成を開始します。 2 次のいずれか 1 つを実行します。 署名のみの場合、[署名] ( ) をクリックします。署名のみを選択する 場合、電子メールはクリアテキストで送信されます。 暗号化のみの場合、[暗号化] ( 署名と暗号化の場合、[署名と暗号化 ( 92 ) をクリックします。 ) の両方をクリックします。 電子メールをセキュアにする PGP Desktop for Windows ヒント : 一つ以上のボタンを選択し、電子メール メッセージを下書き保 存した場合、メッセージを引き続き作成するとボタンは選択されたままに なります。 3 引き続き電子メール メッセージを作成して、送信します。PGP Desktop通 知機能は署名、暗号化処理の結果を表示します (通知機能の詳細については、 「送信PGP Desktop通知機能メッセージ 『ページ : 37』」を参照してく ださい)。 オフライン ポリシーの使用 PGP Universal で管理された環境で PGP Desktop を使用している場合は、オフラ イン メール ポリシーが PGP Universal Server 管理者によって定義されます。こ のポリシーは、PGP Universal Server がオフラインのとき、または PGP Desktop からアクセスできないときに電子メール メッセージに対して行われる処理を定 義します。 送信メッセージをブロックする。送信メッセージは送信されません。メール クライアントがメッセージをキューに入れることができる場合、メッセージ は、PGP Universal Serverが使用可能になるまでキュー内にとどまります。 メッセージをキューに入れることができない場合、電子メール メッセージ はブロックされます。 送信メッセージを平文で送信する。電子メール メッセージをセキュアでな いまま送信することを許可するかどうかを選択するための指示が表示され ます。送信することを選択した場合、メッセージは平文で送信されます。送 信しないことを選択した場合、メッセージはブロックされます。 スタンドアロン ポリシーに従う。スタンドアロン ポリシーに従って送信メ ッセージが処理されます。詳細については、「サービスとポリシーの表示 『ページ : 95』」を参照してください。 上記のいずれかの場合に受信する通知については、「オフライン ポリシーに関 する送信PGP Desktop通知機能メッセージ 『ページ : 37』」を参照してくだ さい。 PGP Universal Server 管理者は、メール ポリシーが PGP Desktop にダウンロー ドされる頻度を指定できます。オフライン モードの場合、最後にダウンロード されたオフラインのメール ポリシーが送信電子メール メッセージの処理で有 効となります。オフラインのスタンドアロン メール ポリシーが有効な猶予期間 よりもオフライン モードの期間が長い場合は、管理者が送信電子メールの処理 方法を指定することも可能です。この場合、管理者によるポリシーの定義方法に 応じて、送信メッセージのブロックを開始したり、送信メッセージの処理に同じ オフラインのスタンドアロン メール ポリシーを使用したりすることができま す。 93 電子メールをセキュアにする PGP Desktop for Windows オフライン状態がしばらく続いた場合は、オンライン状態に戻った後でPGP Universal Serverからポリシーをダウンロードするように手動で要求できます。オ ンライン状態になったときにこの操作を行うには、トレイのPGP Desktopアイコ ンを選択し、[ポリシーの更新] を選択します。最新のポリシーがPGP Universal Serverからダウンロードされ、すべてのクライアント ログがサーバーにアップ ロードされます。ポリシーを手動で更新する場合に使用するこのオプションは、 管理対象ユーザーのみ使用できます。 PGP Universal Server管理者がユーザーにスタンドアロン ポリシーの使用を許 可している場合は、「新規セキュリティ ポリシーの作成 『ページ : 104』」 を参照してください。 サービスとポリシー PGP Desktop で送信メッセージが自動的かつ透過的に保護される仕組みを理解 するには、サービスとポリシーという 2 つの用語を十分に理解する必要がありま す。サービスとポリシー。 サービス : コンピューター上の電子メール アカウント 1 つと、そのアカウ ントに適用するポリシーの両方に関する情報をまとめたもの。ほとんどの場 合、サービスはPGP Desktopによって、コンピューター上の各電子メール ア カウントに対して自動的に作成および構成されます。状況に応じて、サービ スを手動で作成して構成することもできます。 ポリシー : 特定の状況におけるPGP Desktopの動作に関して 1 つまたは複 数の指示をまとめたもの。ポリシーは、サービス (通常は複数個) に関連付 けられています (ポリシーは別のサービスで再利用できます)。その逆に、サ ービスに複数のポリシーを含めることもできます (通常は複数のポリシー を含めます)。 特定の送信電子メール メッセージを処理する際、PGP Desktop は、サービスに 構成されているポリシーを 1 つずつ、リストの上から下に向かって確認して、そ のメッセージの処理方法を決定します。適用するポリシーが見つかると、ポリシ ーの確認が中止され、そのポリシーで処理が行われます。 新規に作成するサービスにはすべて、次のデフォルト ポリシーがあらかじめ設 定されます。 暗号化および署名ボタン。Outlook 2002、2003、2007 で [暗号化] ボタン と [署名] ボタンの両方が有効になっている場合に、メールに署名して暗号 化するように指定します。このポリシーはPGP Desktop for Windowsでのみ 使用できます。 署名ボタン。Outlook 2002、2003、2007 で [署名] ボタンが有効になって いる場合に、メールに署名するように指定します。このポリシーはPGP Desktop for Windowsでのみ使用できます。 94 電子メールをセキュアにする PGP Desktop for Windows 暗号化ボタン。Outlook 2002、2003、2007 で [暗号化] ボタンが有効にな っている場合に、メールを暗号化するように指定します。このポリシーは PGP Desktop for Windowsでのみ使用できます。 [メーリング リストの管理要求] : メーリング リストへの管理要求が、クリ ア テキスト (暗号化や署名なし) で送信されます。 [メーリング リストへの送信] :メーリング リストへの送信の際、認証用に署 名を行いますが、暗号化はされません。 暗号化が必要:[PGP] 機密。電子メール クライアント上で機密のフラグが 付いているか、件名に [PGP] というテキストが含まれているメッセージは、 受信者の有効な公開鍵で暗号化しない限り送信されません。 [暗号化できない場合はそのまま送信] : 暗号化する送信相手の公開鍵が見つ からないメッセージは、すべて暗号化なしで (クリア テキストで) 送信され ます。このポリシーをリストの最後に置いておくと、暗号化するための送信 相手の鍵が見つからない場合でも、メッセージは必ず送信されるようになり ます (ただし、クリア テキストで送信されます)。 PGP Desktop では、一致するポリシーが見つかると、検索が中止されそのポ リシーが適用されます。そのため、「暗号化できない場合はクリア テキス トで送信」ポリシーは必ずポリシー リストの最後に配置するようにしてく ださい。このポリシーはどの検索条件とも一致するため、リストでこれより 下にあるポリシーが適用されなくなります。 メモ : デフォルト ポリシーは変更できますが、削除はできません。その代わ り、無効にできます。また、ポリシーのリスト内で上下に移動することもでき ます。 サービスとポリシーの表示 サービスとポリシーを表示するには 1 PGP Desktop を開きます。 2 [PGP メッセージング] コントロール ボックスをクリックします。[PGP メッ セージング] コントロール ボックスがハイライトされます。[PGP メッセー ジング] コントロール ボックスの一番上に現在設定されているサービスが すべて表示されます。 95 電子メールをセキュアにする PGP Desktop for Windows 3 サービスをクリックして、サービスの一部であるアカウントのプロパティと セキュリティ ポリシーを表示します。このセクションでは、適用されるセ キュリティ ポリシーについて説明します。PGP Universal Server で管理さ れている場合は、管理者がセキュリティ ポリシーを設定します。 PGP Universal Server で管理された環境で PGP Desktop を使用している場合は、 ポリシーの設定方法により異なるメッセージ、オプションがポリシーのリストの 上に表示されることがあります。 PGP Universal Server ポリシ ーが次の場合: PGP Desktop でポリシーのリストに表 示されるメッセージが オフライン ポリシーがブロッ クに設定されている 「サーバーに接続できない場合は、メッ セージがブロックされます。」 オフライン ポリシーが [クリ ア テキストで送信] に設定さ れている 「サーバーに接続できない場合は、メッ セージがクリア テキストで送信されま す。」 オフライン ポリシーがスタン ドアロンに設定されている 「サーバーに接続できない場合は、スタ ンドアロン ポリシーが適用されます。」 スタンドアロン ポリシーの表示のチェ ック ボックスが利用できます。 ポリシーがスタンドアロンに 設定されている 「次のスタンドアロン ポリシーが適用 されます。」 管理者がポリシーをオーバーライドできるように指定している場合は、常にサー バー ポリシーをローカル ポリシーでオーバーライドするチェックボックスが 利用できます。 96 電子メールをセキュアにする PGP Desktop for Windows 新規メッセージング サービスの作成 サービスとは、電子メール アカウントと、その電子メール アカウントからの送 信メッセージに適用されるセキュリティ ポリシーに関する情報です。 重要 : サービスは通常、電子メール アカウントを使用してメッセージを送受 信するときにPGP Desktopで自動的に作成されます。サービスを手動で作成す る際は、次の手順をよく読んで理解してください。サービスの構成が間違って いると、電子メール メッセージが正しく送受信されなくなる場合があります。 新規サービスを作成するには、次の手順に従います。 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスをク リックします。[PGP メッセージング] コントロール ボックスがハイライト されます。 2 [PGPメッセージング] コントロール ボックスの [新規メッセージング サ ービス] をクリックします。[メッセージング] > [新しいサービスの作成]を選 択することもできます。 PGP メッセージングの作業領域の上部に [新規サービス] というタイトルが 表示され、値が指定されていない状態でアカウントのプロパティが表示され ます。また、[セキュリティ ポリシー] セクションには、デフォルトのセキ ュリティ ポリシーが表示されます。 3 [アカウントのプロパティ] セクションの [説明] フィールドに、サービスの 名前を入力します。 4 [電子メール アドレス] フィールドに電子メール アドレスを入力します。 5 受信電子メール サーバーと送信電子メール サーバーの名前を入力します。 または [サーバー設定] をクリックして、詳細オプションを設定します。詳 細オプションの設定を選択した場合は、[サーバー設定] ダイアログ ボック スが表示されます。 6 [サーバーの種類] で、新規サービスで使用するサーバーの種類を、次の中か ら選択します。 [インターネット メール] : POPまたはIMAPでメールに接続するスタン ドアロンのPGP Desktopユーザーの場合。 [PGP Universal] : PGP Universal Serverで管理された環境のPGP Desktopユーザーの場合。正しい設定方法の詳細については、PGP Universal Server管理者に問い合わせてください。 [MAPI/Exchange] : Microsoft Exchange/MAPIサーバーのクライアン トとしてMicrosoft Outlookを使用しているPGP Desktopユーザーの場 合。詳細な設定方法については、電子メールの管理者に問い合わせて ください。 97 電子メールをセキュアにする PGP Desktop for Windows [Lotus Notes] : Lotus Dominoサーバーの電子メール クライアントと してLotus Notesを使用しているPGP Desktopユーザーの場合。正しい 設定方法については、電子メールの管理者に問い合わせてください。 [サーバー設定] ダイアログ ボックスの一部のフィールドは、選択したサー バーの種類に応じて変わります。 メモ : If you are manually connecting to a PGP Universal Serverに手動で 接続する場合は、「PGP Universal Serverへの手動バインド 『ページ : 333』」を参照してください。 7 [受信電子メール サーバー] に次の情報を入力します。 [名前] : 受信するメッセージを処理する電子メール サーバーの名前を 入力します。 [プロトコル] : 受信電子メール サーバーからメッセージを受け取る際 に使用するプロトコルを選択します。 [自動] (サーバーの種類が [インターネット メール] または [ PGP Universal Server] の場合に選択可能) を選択すると、POP接続または IMAP接続が自動的に検出されます。 [ポート] : [自動] (デフォルト) を使用するか、受信電子メール サーバー からメッセージを受信する際に接続するポート番号を指定します (サ ーバーの種類が [インターネット メール] または [ PGP Universal Server] で、プロトコルが [自動] ではなく、[POP] または [IMAP] の 場合)。 [SSL/TLS] : PGP Desktopが電子メール サーバーと通信する方法を指 定します。次のいずれかを選択します。 [自動] : できるだけSSL/TLS保護が使用されるように、次の手順が 実行されます。最初に代替ポートへの接続が試行されます。次に、 (サーバーでサポートされている場合は) STARTTLSが試行されま す。どちらも失敗した場合は、最終的に、保護されない状態でサ ーバーと接続します。 [STARTTLSが必要] : PGP Desktopは、STARTTLSコマンドへの応 答をサーバーに要求します。 [SSLが必要] : PGP Desktopは、指定した代替ポートへのSSL接続 に応答するように、サーバーに要求します。 [実行しない] : PGP Desktopは、電子メール サーバーと接続する 際にSSL/TLS保護を試行しません。 [電子メール クライアントがSSL/TLSを試行すると警告を表示] : この オプションを選択すると、電子メール クライアントがSSL/TLSを試行 した場合に (PGP Desktopによる電子メールのプロキシ処理と互換性 がないため) 警告ダイアログが表示されます。(このオプションはデフ ォルトで選択されています)。 98 電子メールをセキュアにする PGP Desktop for Windows 注意 : このオプションは、電子メール サーバーでSSLが確実にサポートさ れている場合にのみ有効にしてください。このオプションを有効にすると、 接続をSSLで保護しようとしている間に問題が発生しても、保護されてい ない接続を経由してメッセージが送受信されることがありません。ただし、 電子メール サーバーでSSLがサポートされていないにもかかわらず、この オプションを有効にした場合は、PGP Desktopでメッセージを一切送受信 できなくなります。 送信電子メール サーバー (SMTP) [名前] : 送信メッセージを処理する電子メール サーバーの名前を入力 します。 [ポート] : [自動 (465, 25)] をそのまま使用するか、メッセージを送信す る際に接続する送信電子メール サーバーの別ポートを指定します。 このオプションは、受信電子メール サーバーに対してこの設定を選択で きた場合にのみ、送信電子メール サーバーに対しても使用できます。 [SSL/TLS] : PGP Desktopが電子メール サーバーと通信する方法を指 定します。次のいずれかを選択します。 [自動] : PGP Desktopでは、できるだけSSL/TLS保護が使用される ように、以下の手順が実行されます。最初に代替ポートへの接続 が試行されます。次に、(サーバーでサポートされている場合は) STARTTLSが試行されます。どちらも失敗した場合は、最終的に、 保護されない状態でサーバーと接続します。 [STARTTLSが必要] : PGP Desktopは、STARTTLSコマンドへの応 答をサーバーに要求します。 [SSLが必要] : PGP Desktopは、指定した代替ポートへのSSL接続 に応答するように、サーバーに要求します。 [実行しない] : PGP Desktopは、電子メール サーバーと接続する 際にSSL/TLS保護を試行しません。 [電子メール クライアントがSSL/TLSを試行すると警告を表示] : この オプションを選択すると、電子メール クライアントがSSL/TLSを試行 した場合に (PGP Desktopによる電子メールのプロキシ処理と互換性 がないため) 警告ダイアログが表示されます。(このオプションはデフ ォルトで選択されています)。 注意 : このオプションは、電子メール サーバーでSSLが確実にサポートさ れている場合にのみ有効にしてください。このオプションを有効にすると、 接続をSSLで保護しようとしている間に問題が発生しても、保護されてい ない接続を経由してメッセージが送受信されることがありません。ただし、 電子メール サーバーでSSLがサポートされていないにもかかわらず、この オプションを有効にした場合は、PGP Desktopでメッセージを一切送受信 できなくなります。 8 完了したら、[OK] をクリックします。 99 電子メールをセキュアにする PGP Desktop for Windows 9 [Universal Server] フィールドで、ユーザーが所属する電子メール ドメイン を保護しているPGP Universal Serverの名前を選択します。ユーザーがPGP Universal Serverで保護された電子メール ドメインに所属していない場合 は、[<なし>] と表示されます。所属しているドメインがPGP Universal Server で保護されているにもかからわずリストに表示されていない場合は、[<作成 >] を選択し、そのPGP Universal Serverの名前を入力します。詳細について は、PGP Universal Server管理者に確認してください。 10 [鍵モード] をクリックします。[鍵管理モード] ダイアログ ボックスが開き、 現在の鍵モードが表示されます。必要に応じて、[鍵のリセット] をクリック します。これにより、鍵セットアップ アシスタントが起動します。 11 [OK] をクリックします。 12 [ユーザー名] フィールドに、電子メール アカウントに設定するユーザー名 を入力します。 13 [デフォルト鍵] フィールドに、現在の鍵が表示されます。 14 PGP Desktop をスタンドアロン製品として使用している場合は、デフ ォルト鍵をそのまま使用するか、別の鍵が使用できる場合は、メニュ ーから選択します。 PGP Universal Server で管理された環境で PGP Desktop を使用してい る場合は、デフォルト鍵が表示されます。この設定値は変更できませ ん。鍵を変更する必要がある場合は、[鍵モード] をクリックして、PGP Universal Server 上の鍵をリセットする必要があります。 選択した鍵ペアのパスフレーズをログイン時にキャッシュする場合、[ログ イン時にこの鍵のパスフレーズをキャッシュする] チェック ボックスをオ ンにして有効にします。 鍵のパスフレーズをキャッシュしない場合は、署名されたメッセージの送信 時や暗号化されたメッセージの受信時に、パスフレーズを入力するための指 示が表示されます。 15 [[サーバー名] が指定したセキュリティ ポリシー] セクションには、ユーザ ーに適用される現在のポリシーが表示されます。PGP Desktopをスタンドア ロン製品として使用している場合は、デフォルト セキュリティ ポリシーを そのまま使用するか、デフォルト セキュリティ ポリシーを無効にするか、 または新規ポリシーを追加できます。PGP Universal Serverで管理された環 境でPGP Desktopを使用している場合は、PGP Universal管理者がどのよう に指定したかによって、選択するオプションが異なることがあります。 16 いずれかのポリシーを編集した場合は、最後に [完了] をクリックする必要 があります。それ以外の場合は、セキュリティ ポリシーの設定が完了した 時点で、アカウントの準備も完了します。ボタンをクリックして入力した情 報を保存する必要はありません。情報は入力した時点で保存されています。 100 電子メールをセキュアにする PGP Desktop for Windows サービスを無効または有効にする サービスの使用を停止するが将来再びそのサービスを使用する可能性があるた め削除しない場合は、そのサービスを無効にできます。これは PGP Desktop で 特定のアカウントの電子メールだけを処理する場合に役立ちます。サービスが今 後必要ではないことが明らかな場合は、サービスを削除できます。 既存のサービスを無効または有効にするには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、無効にするサービスの名 前をクリックします。そのサービスの設定が PGP メッセージングの作業領 域に表示されます。 2 次のどちらかを実行します。 サービスを無効にするには、[メッセージング] > [サービスを無効にす る] を選択します。これでサービスが無効になります。 サービスを有効にするには、[メッセージング] > [サービスを有効にす る] を選択します。これでサービスが有効になります。 電子メール クライアントを再起動するまで変更は有効にならない場合があ るという警告が表示されます。 ヒント : サービスは、[PGPメッセージング] コントロール ボックスでその 名前を右クリックして、ショートカット メニューから無効または有効にし たり、削除したりできます。 複数のサービス 電子メール サービスやインターネット サービス プロバイダーによっては、1 つの DNS 名に対して複数の電子メール サーバーが使用される場合があります。 その結果、各電子メール サーバーが PGP Desktop で別のサーバーとして認識さ れ、それぞれに独自のメッセージング サービスが必要になるため、1 つの電子メ ール アカウントに複数のメッセージング サービスが作成されることがありま す。 PGP Desktop には、*.yahoo.com や *.mac.com などの一般的な電子メール サ ービスに対するワイルドカード サポートが出荷時に設定されています。ただし、 一般的でない電子メール サービスを使用している場合や、電子メール サービス 側で電子メール サーバーの構成が変更された場合は、上記の問題が発生するこ とがあります。 101 電子メールをセキュアにする PGP Desktop for Windows 1 つの電子メール アカウントに対してPGP Desktopで複数のサービスが作成さ れる場合、最初のサービスの電子メール サーバーがmail1.example.com、2 番 目のサービスの電子メール サーバーがmail2.example.com、3 番目の電子メ ール サーバーがmail3.example.comなどとなっていること以外は設定が同じ であると確認できた場合、サービスの 1 つを手動で編集する必要があります。 最も適切な解決方法は、サービスの 1 つに指定されている電子メール サーバー の名前にワイルド カードを追加して、複数の電子メール サーバーが含まれるよ うにすることです。上記の例では、[サーバー設定] ダイアログ ボックスでいず れかのサービスのサーバー名を「mail*.example.com」に手動で変更してから、 その他のサービスを削除できます。 構成が複雑な場合は、これとは多少異なる解決方法が必要になることがあります。 たとえば、PGP Desktopがpop.frodo.example.com、smtp.bilbo.example.com、 mail.example.comという電子メール サーバーでサービスを作成した場合、最適 なワイルドカードは *.example.comとなります。 PGP メッセージング サービスのトラブルシューティング デフォルトでは、電子メール アカウントの設定が自動的に PGP Desktop によっ て行われ、その電子メール アカウントのメッセージングをプロキシする PGP メ ッセージング サービスが作成されます。 電子メール アカウントの設定および電子メール サーバーの構成には膨大な種 類の組み合わせがあり得るため、自動的に作成されるメッセージング サービス が正しく動作しないことがあります。 自動的に作成されたメッセージング サービスが正しく動作しない場合は、次の うち 1 つまたは複数の項目を実行することで問題を修正できることがあります。 PGP サービスを停止した状態で、インターネットに接続できて電子メールの 送受信が可能であることを、次の方法で確認します。 Windowsシステムの場合、[PGP Desktop] トレイ アイコンを右クリッ クして、コマンド一覧から [PGPサービスの終了] を選択します。 Mac OS Xシステムの場合、オプション キーを押さえたまま、メニュ ー バーの [PGP Desktop] アイコンから [終了] を選択します。 メモ : PGPサービスを開始または停止したら、必ず電子メール クライアン トを再起動してください。 PGP Desktop のリリース ノートを参照し、問題が既知のものでないかどう か確認します。 102 電子メールをセキュアにする PGP Desktop for Windows (電子メール クライアントの) 電子メール アカウントで、SMTP認証が有効 になっていることを確認します。この設定は、PGP Desktopでメッセージン グをプロキシする際に推奨されます。電子メール アカウントが 1 つしかな く、PGP Universal Serverで管理された環境でPGP Desktopを使用していな い場合、SMTP認証は必要ありません。PGP Universal ServerをSMTPサーバ ーとして使用する場合、または同じSMTPサーバー上に複数の電子メール ア カウントがある場合は、SMTP認証が必要です。 PGP ログを開いて、問題の原因を突き止めるために役立つエントリがないか どうか確認します。 電子メール クライアントでSSL/TSLが有効になっている場合、PGP Desktop でメッセージングをプロキシするには、電子メール クライアント側で SSL/TSLを無効にする必要があります。(SSL/TLSを無効にしても、電子メー ル サーバーとの接続が保護されないわけではありません。PGP Desktopで はデフォルトにより、保護されていない接続をSSLで保護された接続にアッ プグレードする試みが自動的に実行されます。接続が保護されるためには、 電子メール サーバーでSSL/TLSがサポートされている必要があります。) ([サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で) [STARTTLS が必要] または [SSLが必要] のどちらかが指定されていると、電子メール サーバーでSSL/TLSがサポートされていない場合に、PGP Desktopでメッセ ージの送受信ができなくなります。 電子メール アカウントに標準以外のポートが使用される場合、メッセージ ング サービスにそのポート番号が設定されていることを確認してください。 PGP Desktopで 1 つの電子メール アカウントに対して複数のメッセージン グ サービスが作成される場合、電子メール サーバー名にワイルド カード を使用します。詳細については、「複数のサービス 『ページ : 101』」を 参照してください。 正しく動作していない PGP メッセージング サービスを削除して、電子メー ルを送受信してみます。メッセージング サービスが再度作成されます。 以上の方法をすべて試しても問題が解決しないときは、次の操作を実行してくだ さい。 1 正しく動作しない PGP メッセージング サービスを削除します。 2 PGP Desktop のすべてのサービスを停止し、PGP Desktop が開いている場 合は終了します。サービスを停止するには、次の操作を実行します。 3 Windowsシステムの場合、[PGP Desktop] トレイ アイコンを右クリッ クして、コマンド一覧から [PGPサービスの終了] を選択します。 Mac OS Xシステムの場合、オプション キーを押さえたまま、メニュ ー バーの [PGP Desktop] アイコンから [終了] を選択します。 PGP メッセージング サービスが停止した状態で、インターネットに接続で きて電子メールの送受信が可能であることを検証します。 103 電子メールをセキュアにする PGP Desktop for Windows 4 電子メール クライアントを開いて、電子メール アカウントの設定 (ユーザ ー名、電子メール アドレス、受信および送信電子メール サーバー、受信電 子メール サーバーのプロトコル、標準以外の電子メール サーバー ポート 番号) を書き留めます。 5 電子メール クライアントを閉じて、PGP Desktop を再起動します。これで PGP サービスが再起動されます。 Windows システムの場合、コンピューターを再起動するか、Windows の [スタート] メニューから PGP Desktop を開きます。 Mac OS X システムの場合、コンピューターを再起動するか、PGP Desktop を開きます。 6 書き留めたアカウント設定を使用して、PGP メッセージング サービスを手 動で作成します。 7 電子メール クライアントを開いて、メッセージの送受信を実行します。 8 PGP メッセージング サービスにまだ問題がある場合は、次の場所で解決法 を探してください。 PGP CorporationのWebサイト 『http://www.pgp.com』 PGPサポートのWebサイト 『https://support.pgp.com』 PGPサポート フォーラム 『http://forum.pgp.com』 新規セキュリティ ポリシーの作成 セキュリティ ポリシーは、送信する電子メール メッセージの処理方法を指示す るためのものです。 メモ : 新しいセキュリティ ポリシーを作成すると、メーリング リスト ポリ シーではなく、メッセージング セキュリティ ポリシーが作成されます。新し いメーリング リスト ポリシーを作成することはできませんが、デフォルトの メーリング リスト ポリシーを編集できます。 新しいセキュリティ ポリシーを作成するには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、新しいセキュリティ ポ リシーを作成するサービスの名前をクリックします。サービス設定と、既存 のセキュリティ ポリシーのリストが、PGP メッセージングの作業領域に表 示されます。 2 次のいずれか 1 つを実行します。 [PGPメッセージング] コントロール ボックスの [新規ポリシー] をク リックします。 104 電子メールをセキュアにする PGP Desktop for Windows [メッセージング] > [新規メッセージング ポリシー] を選択します。[メ ッセージ ポリシー] ダイアログ ボックスが表示されます。 所属している電子メール ドメインが PGP Universal Server によって保護さ れている場合、PGP Universal Server からのポリシーに対する [メッセージ ポリシー] 設定の各フィールドが、上記のフィールドと異なることがありま す。 3 In the Description field, type a descriptive name for the policy you are creating. 4 In the First Section (stating the policy conditions), in the If field, select: 5 If any. The policy applies when any condition is met. If all. The policy only applies when all conditions are met. If none. The policy only applies if none of the conditions are met. In the first condition field, select: Recipient. The policy applies only to messages to the specified recipient. Recipient Domain. The policy applies only to email messages in the specified recipient domain. Sender. The policy applies only to messages with the specified sender address. Message. The policy applies only to messages which have the specified signed and/or encrypted state. Message Subject. The policy applies only to messages with the specified message subject. 105 電子メールをセキュアにする PGP Desktop for Windows Message Header. The policy applies only to messages for which the specified header meets the specified criterion. Note that the conditions described in the next section (is, is not, contains, and so on) apply to the text typed in the text box that is displayed when you select Message Header. Note: When searching message headers in MAPI email systems, you can search on the Subject, Sensitivity, Priority, and Importance headers only. 6 7 Message Body. The policy applies only to messages with the specified message body. Message Size. The policy applies only to messages of the specified size (in bytes). Message Priority. The policy applies only to messages with the specified message priority. Message Sensitivity. The policy applies only to messages with the specified message sensitivity. In the second condition field, select: is. The condition is met when text in the first condition field matches the text typed in the text box. is not. The condition is met when text in the first condition field does not match the text typed in the text box. contains. The condition is met when text in the first condition field contains the text typed in the text box. does not contain. The condition is met when text in the first condition field does not contain the text typed in the text box. begins with. The condition is met when text in the first condition field begins with the text typed in the text box. ends with. The condition is met when text in the first condition field ends with the text typed in the text box. matches pattern. The condition is met when text in the first condition field matches the pattern typed in the text box. greater than. The condition is met when message size is greater than the text typed in the text box. less than. The condition is met when message size is less than the text typed in the text box. In the third condition field, select: text entry box. Type text for the matching criteria. For example, if you selected Message Size is greater than, then type a number representing the size of the message. normal. Matching criteria for Message Sensitivity is normal. 106 電子メールをセキュアにする PGP Desktop for Windows none or normal. Matching criteria for Message Sensitivity is none (for Mac OS X systems) or normal (for Windows systems). personal. Matching criteria for Message Sensitivity is personal. private. Matching criteria for Message Sensitivity is private. confidential. Matching criteria for Message Sensitivity is confidential. signed. Matching criteria for Message is signed. encrypted. Matching criteria for Message is encrypted. encrypted to key ID. Matching criteria for encrypted to key ID (you must then type a key ID in the resulting text box). low. Matching criteria for Message Priority is low. normal. Matching criteria for Message Priority is normal. high. Matching criteria for Message Priority is high. Create more condition lines by clicking the plus sign icon. 8 9 In the Perform the following actions on the message section, in the first action field, select: Send In Clear. Specifies that the message should be sent in the clear; that is, not signed nor encrypted. Sign. Specifies that the message should be signed. Encrypt to. Specifies that the message should be encrypted. In the second action field, select: recipient’s verified key. Ensures the message can be encrypted only to a verified key of the intended recipient. recipient’s unverified key. Allows the message to be encrypted to an unverified key of the intended recipient. Will also encrypt to a verified key, if available. recipient’s verified end-to-end key. Ensures the message can be encrypted only to a verified end-to-end key of the intended recipient. An end-to-end key is a key in sole possession of the individual recipient. In a PGP Universal Server-managed environment, this is a Client Key Mode key which is different from a Server Key Mode key, where the PGP Universal Server is in possession of the key. Whether the key is end-to-end or not is shown in the Group field on the Key Properties dialog box on Windows systems or the Key Info dialog box on Mac OS X systems. No means that the key is end-to-end (is not part of a group), and Yes means that it is not end-to-end.] recipient’s unverified end-to-end key. Allows the message to be encrypted to an unverified end-to-end key of the intended recipient. Will also encrypt to a verified key, if available. a list of keys. Specifies that the message can only be encrypted to keys on the list. 107 電子メールをセキュアにする PGP Desktop for Windows Create more action lines by clicking the plus sign icon. 10 11 12 In the prefer message encoding field, select: automatic. Lets PGP Desktop choose the message encoding format. This is almost always the best option unless you know exactly why you need to use one of the other message encoding formats explicitly. PGP Partitioned. Sets PGP Partitioned as the preferred message encoding format. This format is the most backwards compatible with older PGP and OpenPGP products. PGP/MIME. Sets PGP/MIME as the preferred message encoding format. PGP/MIME is able to encrypt and sign the entire message including attachments in one pass and is usually therefore faster and better able to reproduce the full message fidelity. S/MIME. Sets S/MIME as the preferred message encoding format. Choose S/MIME if, for some reason, you need to force messages to be S/MIME even if the user has a PGP key. In the Recipient’s key is not available section (or in the If a Recipient key cannot be found section on Mac OS X systems), in the first Key Not Found field, select: Search keys.domain and. Specifies a search that includes both keys.domain as well as another server you specify. Search. Allows for searching for an appropriate key if one is not found on the local keyring. Clear-sign message. Specifies that the message should be sent in the clear, but signed. Send message unsecured. Specifies that the message be sent in the clear. Block message. Specifies that the message must not be sent if an appropriate key is not found. In the second Key Not Found field, select: All keyservers. Allows all keyservers, including the PGP Global Directory, to be searched for an appropriate key. PGP Global Directory or keyserver.pgp.com. Specifies that only the PGP Global Directory is searched. [configured keyservers]. Specifies that only the keyserver you choose from the list of currently configured keyservers is searched. Note that keyservers other than the PGP Global Directory may provide unverified keys that cannot be used if you require verified keys in the policy. Unless you know exactly why you need to search another keyserver and are prepared to find those keys manually to verify them when necessary, search only on the PGP Global Directory. This option is available only on Windows systems. 108 電子メールをセキュアにする PGP Desktop for Windows 13 14 15 Edit Keyserver List. Lets you add keyservers to the list of currently configured keyservers. This option is available only on Windows systems. In the last Key Not Found field, specify: temporarily cache found keys. Specifies that a found key should be temporarily saved in memory. Keys in this cache will automatically be used when verifying signed messages, and will be used for encryption if they have been verified. ask to save found keys. Specifies that PGP Desktop should ask if you want to save to your local keyring a particular found key. save found keys. Specifies that found keys should automatically be saved to your local keyring. In the If no result field, select: Clear-sign message. Allows messages for which an encryption key has not been found to be signed and sent in the clear. Send message unsecured. Do not encrypt message. Block message. Prevents message for which an encryption key has not been found from being sent. Click OK when the policy settings are configured. The new policy is displayed in the list of security policies. ポリシーでの正規表現 PGP Desktop では、セキュリティ ポリシーのテキスト入力ボックスで、正規表 現の使用をサポートしています。正規表現を使用すると、1 つのテキスト文字列 を使用して複数のテキスト文字列を一致させることができます。 メモ : 次の例に加えて、PGP Desktopは、標準形式で使用できる広範な正規表 現もサポートしています。「一致パターン」条件は、実際には「正規表現との 一致」を意味します。 メール ポリシー ルール条件では、電子メールの一部がパターンに一致する必要 があります。条件のパターンは、「正規表現との一致」の形式になります。正規 表現は、一致する用語の形式を示す文字列です。正規表現の形式に適合する用語 は一致です。 正規表現の共通要素 : ? 前回の表現が一つあるか、まったくないことを示します + 前回の表現が最低一つあることを示します . 1 文字と一致します 109 電子メールをセキュアにする PGP Desktop for Windows * 前回の表現がまったくないか、一つまたは任意の数あることを示し ます [ ] 括弧内に含まれる 1 文字と一致します [a-z] A ~ Z の文字の小文字に一致します [1-9] 1 ~ 9 の数字に一致します 表現が正確に n 一致するシーケンス {n} 次は、電子メールの機密メッセージに表示される共通項目に一致する正規表現の 例です。 データ 例 通常の表現 電話番号 (555)555-4567 \(?[2-9][0-9]{2}[\]-.)[2-9][ 0-9]{2}[-.][0-9]{4} 電子メール アドレス joe@example.com [a-zA-Z0-9._%-]+@[a-z A-Z0-9.-]+\.[a-zA-Z]{2,6} クレジットカードの番 号 1234 1234 1234 1234 [1-9][0-9]{3} ?[0-9]{4} ?[0-9]{4} ?[0-9]{4} 社会保障番号 123-45-6789 [0-9]{3}-[0-9]{2}-[0-9]{4} 市町村、県の略語 Palo Alto, CA .*, [A-Z][A-Z] 2 桁の州の略語 CA [A-Z][A-Z] 郵便番号 12345 [0-9]{5}(-[0-9]{4})? ドル金額、$ 記号が先 頭 $3.95 \$[0-9]+.[0-9][0-9] 日付、数字 2003-08-06 [0-9]{4}-[0-9]{2}-[0-9]{2} Jan 3, 2003 (Jan|Feb|Mar|Apr|May| Jun|Jul|Aug|Sep|Oct|N ov|Dec)\.?(3[0-1]|[1-2][ 0-9]|0?[0-9]), [0-9]{4} HTTP URL http://www.example.com https?://(([012][0-9]{0,2 }\.){3}[012][0-9]{0,2}|([azA-Z0-9]+\.)+[a-zA-Z0-9 ]{2,6})(/.*)? IP アドレス 123.123.123.123 ([012][0-9]{0,2}\.){3}[01 2][0-9]{0,2} 日付、英数字 空白行 ^$ 110 電子メールをセキュアにする PGP Desktop for Windows セキュリティ ポリシーの情報と例 サービスを作成すると、4 つのセキュリティ ポリシーが自動的に追加されます。 このセクションでは、4 つのデフォルトのセキュリティ ポリシー (暗号化できな い場合はクリア テキストで送信、暗号化が必要 : [PGP] 機密、メーリング リス トへの送信、メーリング リストの管理要求) によって実行される処理について説 明します。また、セキュリティ ポリシーの作成が推奨される状況の例を 2 つ示 し、その構成方法も説明します。 メモ : デフォルトのポリシーに変更を加えた後でデフォルトの設定を復元す るには、[メッセージ ポリシー] ダイアログ ボックスで、[デフォルトに戻す] (Windowsシステムの場合)、または [戻す] (Mac OS Xシステムの場合) をクリ ックします。 暗号化ボタン デフォルト ポリシー 暗号化ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサービスを自動的に追加します。このデフォルトのポリシーの設定は、次のと おりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Encrypt-Button」には「selected (選択)」 が含まれます。 アクション : 検証された受信者の鍵での暗号化 優先するエンコード方式 :[自動] 受信者の鍵がない場合 :検索 : [keys.domain] および [keyserver.pgp.com] および [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このルールはデフォル ト ポリシーのリストに 4 番目に表示されます。 メモ : PGP Desktop for Windowsバージョン 9.xからアップグレードした場合、このポリシーは自動的 には含まれず、手動で上記の設定でポリシーを作成する必要があります。新規 ポリシーの作成方法の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 104』」を参照してください。Microsoft Outlookで [暗号化] ボタ ンを使用しない場合、このポリシーを作成する必要はありません。 「メーリング リストの管理要求」デフォルト ポリシー 「メーリング リストの管理要求」は 4 つあるデフォルトのセキュリティ ポリシ ーの 1 つで、サービスに自動的に追加されます。「メーリング リストの管理要 求」の設定は、次のとおりです。 111 電子メールをセキュアにする PGP Desktop for Windows If 条件 : [いずれかの条件と一致する] 条件 : [受信者] / [が次のパターンと一致] / [.*-subscribe@.*], [.*-unsubscribe@.*], [.*-report@.*], [.*-request@.*], [.*-bounce@.*], アクション : [クリア テキストで送信] 「メーリング リストへの送信」デフォルト ポリシー 「メーリング リストへの送信」は 4 つあるデフォルトのセキュリティ ポリシー の 1 つで、サービスに自動的に追加されます。「メーリング リストへの送信」 の設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者] / [が次のパターンと一致] / [.*-users@.*], [.*-bugs@.*], [.*-docs@.*], [.*-help@.*], [.*-news@.*], [.*-digest@.*], [.*-list@.*], [.*-devel@.*], [.*-announce@.*], アクション : [署名] 優先するエンコード方式 : [PGP パーティション] 「暗号化できない場合はクリア テキストで送信」デフォルト ポリシー 「暗号化できない場合はクリア テキストで送信」は 4 つあるデフォルトのセキ ュリティ ポリシーの 1 つで、サービスに自動的に追加されます。「暗号化でき ない場合はクリア テキストで送信」の設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [*] アクション : [署名] / [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [keyserver.pgp.com] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをセキュアでないまま送信] 「暗号化できない場合はクリア テキストで送信」を使用すると、検証済みの鍵 が見つかったメッセージは署名および暗号化されて送信されます。検証済みの鍵 が見つからないメッセージは、暗号化されずに (クリア テキストで) 配信されま す。これによって、すべてのメッセージが必ず送信されますが、メッセージによ ってはクリア テキストで送信されるものもあります。 112 電子メールをセキュアにする PGP Desktop for Windows 「暗号化できない場合はクリア テキストで送信」は、送信されるすべてのメッ セージと一致するため、必ずセキュリティ ポリシーのリストの最後に配置して ください。別のポリシーが下にあると PGP Desktop ではそのポリシーに到達で きないため無視されてしまいます。 「暗号化が必要 : [PGP] 機密」デフォルト ポリシー 「暗号化が必要 : [PGP] 機密」は 4 つあるデフォルトのセキュリティ ポリシー の 1 つで、サービスに自動的に追加されます。「暗号化が必要 : [PGP] 機密」の 設定は、次のとおりです。 If 条件 : [いずれかの条件と一致する] 条件 : [メッセージの件名] / [が次を含む] / [PGP] [メッセージの秘密度] / [が次と等しい] / [機密] アクション : [署名] / [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [すべての鍵 サーバー] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] 「暗号化が必要 : [PGP] 機密」を使用すると、件名に [PGP] が含まれているメ ッセージや、電子メール クライアントで機密とマークされているメッセージは、 検証済みの鍵で暗号化されない限り送信されません。検証済みの鍵が見つからな い場合、メッセージは送信されません。 署名 + 暗号化ボタン デフォルト ポリシー 暗号化ボタンと署名ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサービスを自動的に追加します。このデフォルトのポリシーの設 定は、次のとおりです。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Sign-Button」には「selected (選択)」 が含まれます。メッセージ ヘッダー「X-PGP-Encrypt-Button」には「selected (選択)」が含まれます アクション : 署名、検証された受信者の鍵での暗号化 優先するエンコード方式 :[自動] 受信者の鍵がない場合 :検索 : [keys.domain] および [keyserver.pgp.com] および [見つかった鍵を一時的にキャッシュする] 113 電子メールをセキュアにする PGP Desktop for Windows 鍵が見つからない場合 : [メッセージをブロックする] このルールはデフォル ト ポリシーのリストに 2 番目に表示されます。 メモ : PGP Desktop for Windowsバージョン 9.xからアップグレードした場合、このポリシーは自動的 には含まれず、手動で上記の設定でポリシーを作成する必要があります。新規 ポリシーの作成方法の詳細については、「新規セキュリティ ポリシーの作成 『ページ : 104』」を参照してください。Microsoft Outlookで [暗号化] ボタ ンを使用しない場合、このポリシーを作成する必要はありません。 署名ボタン デフォルト ポリシー 署名ボタンはデフォルトのセキュリティ ポリシーの 1 つで、 PGP Desktop がサ ービスを自動的に追加します。このデフォルトのポリシーの設定は、次のとおり です。 If 条件 : すべての条件と一致する 条件 : メッセージ ヘッダー「X-PGP-Sign-Button」には「selected (選択)」 が含まれます。 アクション : [署名] 優先するエンコード方式 :[自動] このルールはデフォルト ポリシーのリストに 3 番目に表示されます。 メモ : PGP Desktop for Windowsバージョン 9.xからアップグレードした場 合、このポリシーは自動的には含まれず、手動で上記の設定でポリシーを作成 する必要があります。新規ポリシーの作成方法の詳細については、「新規セキ ュリティ ポリシーの作成 『ページ : 104』」を参照してください。Microsoft Outlookで [暗号化] ボタンを使用しない場合、このポリシーを作成する必要は ありません。 暗号化が必要な <ドメイン> 用のポリシーの例 「暗号化できない場合はクリアテキストで送信」をデフォルト設定で使用して、 ポリシーのリストの最後に配置すると、検証済みの鍵が見つからないメッセージ はクリア テキストで配信されます。これによってすべてのメッセージが必ず送 信されますが、中にはクリア テキストで送信されるものもあります。 クリア テキストを送信してはならないドメインがある場合は、暗号化または署 名を試行した結果、いずれもできなかった場合にメッセージを送信しないという セキュリティ ポリシーを作成できます。このポリシーを作成するときは、この ポリシーがリスト内で「暗号化できない場合はクリア テキストで送信」よりも 上にあることを確認してください。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [example.com] 114 電子メールをセキュアにする PGP Desktop for Windows アクション : [暗号化の対象] / [受信者の検証済みの鍵] 優先するエンコード方式 : [自動] 受信者の鍵が見つからない場合 : [検索 : keys.domain および] / [すべての鍵 サーバー] / [見つかった鍵を一時的にキャッシュする] 鍵が見つからない場合 : [メッセージをブロックする] このセキュリティ ポリシーは、「暗号化が必要 : [PGP] 機密」と似ており、メ ッセージが暗号化されていないと送信されません。ただし、条件はメッセージが 機密とマークされているかどうかではなく、受信者の電子メール ドメインが example.com であることです。このポリシーを使用すると、example.com へ送 信されるメッセージはすべて検証済みの鍵で暗号化されます。暗号化されない場 合は、送信されません。 特定のドメイン宛てに署名してクリア テキストで送信するポリシーの例 特定のドメイン宛に、署名のみされ、暗号化はされていないメッセージを頻繁に 送る場合、そのドメイン用のポリシーを作成することを推奨します。 If 条件 : [いずれかの条件と一致する] 条件 : [受信者のドメイン] / [が次と等しい] / [example.com] アクション : [署名] 優先するエンコード方式 : [自動] セキュリティ ポリシーのリストの使用 セキュリティ ポリシーのリストでは、ポリシーの編集、新規ポリシーの追加 (「 新規セキュリティ ポリシーの作成 『ページ : 104』」で説明)、ポリシーの削 除、リスト内のポリシーの順序変更など、セキュリティ ポリシーに対して重要 ないくつかの操作ができます。 セキュリティ ポリシーの編集 既存のセキュリティ ポリシーを編集するには、次の手順に従います。 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスをク リックします。[PGP メッセージング] コントロール ボックスがハイライト されます。 115 電子メールをセキュアにする PGP Desktop for Windows 2 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー を編集するサービスの名前をクリックします。選択したサービスのプロパテ ィが PGP メッセージングの作業領域に表示されます。 3 [ポリシーの編集] をクリックします。 4 編集するセキュリティ ポリシーを選択し、次のいずれか 1 つを行います。 ポリシーを編集するには、[ポリシーの編集] をクリックします。[メッ セージ ポリシー] ダイアログ ボックスが表示され、選択したポリシー の現在の設定が表示されます。ポリシーに変更を加えます。[メッセー ジ ポリシー] ダイアログ ボックスにあるフィールドの詳細について は、「新規セキュリティ ポリシーの作成 『ページ : 104』」を参照 してください。必要な変更を加えたら、[OK] をクリックして [メッセ ージ ポリシー] ダイアログ ボックスを閉じます。選択したセキュリテ ィ ポリシーが変更されます。 ポリシーを削除するには、[ポリシーの削除] をクリックします。 ポリシーのコピーを作成 (新しいポリシーの基準として使用) するに は、[ポリシーの複製] をクリックします。 ポリシーをリスト内の上下に移動するには (ポリシーが適用される順 序の変更)、[上へ移動] または [下へ移動] をクリックします。 デフォルトのポリシーは表示や変更を行ったり、無効にしたりできますが、 削除はできません。 5 [完了] をクリックします。 メーリング リスト ポリシーの編集 デフォルトのメーリング リスト ポリシーを編集するには、次の手順に従いま す。 1 PGP Desktop を開いて、[PGP メッセージング] コントロール ボックスをク リックします。[PGP メッセージング] コントロール ボックスがハイライト されます。 2 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー を編集するサービスの名前をクリックします。選択したサービスのプロパテ ィが PGP メッセージングの作業領域に表示されます。 3 [ポリシーの編集] ボタンをクリックします。 4 セキュリティ ポリシーのリストで、編集するメーリング リスト ポリシー をクリックします。選択したポリシーがハイライトされます。 116 電子メールをセキュアにする PGP Desktop for Windows 5 [ポリシーの編集] をクリックします。[メッセージ ポリシー] ダイアログ ボ ックスが表示され、選択したポリシーの現在の設定が表示されます。 デフォルトのポリシーは表示や変更を行ったり無効にしたりできますが、削 除はできません。 6 7 ポリシーに変更を加えます。最初のフィールドで、以下のいずれかを選択し ます。 [If any (いずれかに一致する)]。下記の 5、6、7 で指定された条件のう ち、いずれかが満たされていると、ポリシーが適用されます。 [If all (すべてが一致する)]。下記の 5、6、7 で指定された条件のうち、 すべてが満たされている場合にのみ、ポリシーが適用されます。 [If none (どれも一致しない)]。下記の 5、6、7 で指定された条件のうち、 満たされるものが 1 つもない場合にのみ、ポリシーが適用されます。 最初の条件フィールドで、以下のいずれかを選択します。 受信者。指定した受信者宛てのメッセージにのみポリシーが適用され ます。 受信者のドメイン。指定した受信者ドメインの電子メール メッセージ にのみポリシーが適用されます。 送信者。指定した送信者アドレスのメッセージにのみポリシーが適用 されます。 メッセージ。指定した署名や暗号化の状態を持つメッセージにのみポ リシーが適用されます。 117 電子メールをセキュアにする PGP Desktop for Windows メッセージの件名。指定した件名のメッセージにのみポリシーが適用 されます。 メッセージのヘッダー。ヘッダーと条件を指定します。この条件を満 たすメッセージにのみポリシーが適用されます。次のセクションで説 明されている条件 (is、is not、containsなど) は、メッセージのヘッダ ー を選択した時に表示されるテキスト ボックスに入力したテキスト に適用されることに注意してください。 メモ : Lotus NotesとMAPIでは電子メール システムのメッセージにヘッ ダーが含まれていないので、この 2 つのシステムでメッセージ ヘッダーを 検索することはできません。 8 メッセージの本文。指定した本文を持つメッセージにのみポリシーが 適用されます。 メッセージのサイズ。指定したサイズ(バイト単位)のメッセージにのみ ポリシーが適用されます。 メッセージの優先度。指定した優先度のメッセージにのみポリシーが 適用されます。 メッセージの秘密度。指定した秘密度のメッセージにのみポリシーが 適用されます。 2 番目の条件フィールドで、以下のいずれかを選択します。 [is (等しい)]。最初の条件フィールドの内容が、テキスト ボックスに入 力したテキストと一致する場合に、条件が満たされます。 [is not (等しくない)]。最初の条件フィールドの内容が、テキスト ボッ クスに入力したテキストと一致しない場合に、条件が満たされます。 [contains (含む)]。最初の条件フィールドの内容に、テキスト ボック スに入力したテキストが含まれている場合に、条件が満たされます。 [does not contain (含まない)]。最初の条件フィールドの内容に、テキ スト ボックスに入力したテキストが含まれていない場合に、条件が満 たされます。 [begins with (で始まる)]。最初の条件フィールドの内容が、テキスト ボックスに入力したテキストで始まる場合に、条件が満たされます。 [ends with (で終わる)]。最初の条件フィールドの内容が、テキスト ボ ックスに入力したテキストで終わる場合に、条件が満たされます。 [matches pattern (パターンと一致)]。最初の条件フィールドの内容が、 テキスト ボックスに入力したパターンと一致する場合に、条件が満た されます。 9 3 番目の条件フィールドのテキスト入力ボックスに、条件となるテキストを 入力します。 10 [メッセージに以下のアクションを実行します] セクションの最初のアクシ ョン フィールドで、以下のいずれかを選択します。 118 電子メールをセキュアにする PGP Desktop for Windows 11 [Send In Clear (クリア テキストで送信)]。署名も暗号化もされていな いクリア テキストでメッセージを送信します。 [署名]。メッセージに署名をします。 [Encrypt to (暗号化の対象)]。メッセージを暗号化します。 2 番目のアクション フィールドで、以下のいずれかを選択します。 検証された受信者の鍵。すでに検証された受信者の公開鍵を使ってメ ッセージを暗号化します。 検証されていない受信者の鍵。検証されていない受信者の公開鍵でも 暗号化を可能にします。 検証された受信者の終端間鍵。すでに検証された受信者の終端間鍵を使 ってメッセージを暗号化します。終端間鍵は個々の受信者の専有となる 鍵です。PGP Universalによって管理されている環境では、PGP Universal Serverが鍵を保有するサーバー鍵モードとは異なり、これはクライアン ト鍵モードに当たります。 鍵が終端間鍵であるかどうかは、Windowsシステムの場合は [Key Properties (鍵のプロパティ)] ダイアログ ボックスに、Mac OS Xシステ ムの場合は [Key Info (鍵情報)] ダイアログ ボックスにある [Group (グ ループ)] フィールドに表示されています。いいえ と表示されている場合 は終端間鍵であり(グループの一部ではありません)、はい と表示されて いる場合は終端間鍵ではありません。 12 検証されていない受信者の終端間鍵。検証されていない受信者の終端 間鍵でも暗号化を可能にします。 鍵のリスト。リストに含まれている公開鍵を使ってメッセージを暗号 化します。 [エンコードの選択] フィールドで、以下のいずれかを選択します。 [automatic (自動)]。メッセージのエンコーディング方式をPGP Desktopが自動的に選択します。他のエンコーディング方式を使用する 必要がある場合を除いて、通常はこのオプションを使用することをお 勧めします。 [PGPパーティション]。メッセージ エンコーディング方式としてPGP パーティションを使用します。この方式は、旧バージョンのPGPおよび OpenPGP製品との互換性に優れています。 [PGP/MIME]。メッセージ エンコーディング方式としてPGP/MIMEを 使用します。PGP/MIMEは、添付ファイルを含めメッセージ全体の暗 号化と署名を一括して行うため、すばやく忠実にメッセージを再現で きます。 [S/MIME]。メッセージ エンコーディング方式としてS/MIMEを使用し ます。ユーザーがPGP鍵を持っている場合でも、何らかの理由でメッセ ージをS/MIMEにする必要がある場合、S/MIMEを選択します。 119 電子メールをセキュアにする PGP Desktop for Windows 13 14 15 [Recipient's key is not available(受信者鍵が使用できません セクションの 最初の 受信者の鍵が見つからない場合 フィールドで、以下のいずれかを選 択します。 keys.domainの検索 : keys.domainのほか、指定した別のサーバーの両 方が含まれる検索を指定します。 [検索]。受信者の公開鍵がローカルの鍵リングで見つからないときに、 検索を行います。 クリア テキスト署名メッセージ :署名付きのクリア テキストでメッ セージを送信します。 セキュリティで保護されていないメッセージの送信 :メッセージをク リア テキストで送信します。 メッセージをブロックする :鍵が見つからないときは、メッセージを送 信しないように指定します。 2 番目の [受信者の鍵が見つからない場合] フィールドで、以下のいずれか を選択します。 [All keyservers (すべての鍵サーバー)]。PGP Global Directoryを含む すべての鍵サーバーで受信者の公開鍵を検索します。 [PGP Global Directoryまたはkeyserver.pgp.com]。PGP Global Directoryのみを検索します。 [configured keyservers(指定した鍵サーバー)]。現在設定されている鍵 サーバーのうち、選択した鍵サーバー上でのみ受信者の公開鍵を検索 します。なお、検証された受信者の公開鍵のみを検索するようポリシ ーで設定していても、PGP Global Directory以外の鍵サーバーでは、使 用できない未検証鍵が検索結果に表示されることがあります。特定の 鍵サーバーを検索する必要があり、かつ必要に応じて手動で受信者の 公開鍵を見つけ検証できる場合を除き、PGP Global Directoryのみを検 索するようにしてください。このオプションはWindowsシステムでの み使用できます。 [Edit Keyserver List (鍵サーバー リストの編集)]。現在設定されている リストに鍵サーバーを追加できます。このオプションはWindowsシス テムでのみ使用できます。 最後の [受信者の鍵が見つからない場合] フィールドで、以下のいずれかを 選択します。 [temporarily cache found keys (見つかった鍵を一時的にキャッシュ する)]。このオプションを使用すると、見つかった受信者の公開鍵が一 時的にメモリに保存されます。このキャッシュ内の受信者の公開鍵は、 署名されたメッセージを検証する際に自動的に使用され、検証済みの 受信者の公開鍵であれば暗号化にも使用されます。 [ask to save found keys (見つかった鍵を保存するかどうか尋ねる)]。 見つかった受信者の公開鍵をローカルの鍵リングに保存するかどうか を尋ねるように指定します。 120 電子メールをセキュアにする PGP Desktop for Windows 16 17 [save found keys (見つかった鍵を保存する)]。見つかった受信者の公 開鍵がローカルの鍵リングに自動的に保存されます。 [結果がない場合] フィールドで、以下のいずれかを選択します。 クリア テキスト署名メッセージ :暗号化鍵が見つからなかったときに、 署名したメッセージをクリア テキストで送信します。 セキュリティで保護されていないメッセージの送信 :メッセージを暗 号化しません。 メッセージをブロックする :暗号化鍵が見つからないときは、メッセー ジは送信されません。 必要な変更を加えたら、[OK] をクリックして [メッセージ ポリシー] ダイ アログ ボックスを閉じます。選択したセキュリティ ポリシーが変更されま す。 セキュリティ ポリシーの削除 既存のセキュリティ ポリシーを削除するには、次の手順に従います。 1 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー を削除するサービスの名前をクリックします。選択したサービスのプロパテ ィが PGP メッセージングの作業領域に表示されます。 2 [ポリシーの編集] をクリックします。 3 セキュリティ ポリシーのリストで、削除するポリシーをクリックします。 選択したポリシーがハイライトされます。 4 [ポリシーの削除] をクリックします。PGP Desktopの確認ダイアログ ボッ クスが表示されます。 5 [ポリシーの削除] をクリックしてポリシーを削除するか、[OK] をクリック してポリシーを無効にします。指定したセキュリティ ポリシーが削除され るか、無効になります。 6 [完了] をクリックします。 メモ : デフォルトのポリシーは無効にできますが、削除はできません。 121 電子メールをセキュアにする PGP Desktop for Windows リスト内でのポリシーの順序変更 セキュリティ ポリシーのリストでポリシーの順序を変更するには、次の手順に 従います。 1 [PGP メッセージング] コントロール ボックスで、セキュリティ ポリシー の順序を変更するサービスの名前をクリックします。選択したサービスのプ ロパティが PGP メッセージングの作業領域に表示されます。 2 [ポリシーの編集] をクリックします。 3 セキュリティ ポリシーのリストで、順序を変更するポリシーをクリックし ます。選択したポリシーがハイライトされます。 4 ポリシーがリスト内の目的の場所に移動するまで [上へ移動] または [下へ 移動] をクリックします。 [暗号化できない場合はクリア テキストで送信] は、常にリストの一番下に置いてください。その下にあるポリシーが実装さ れなくなります。 5 [完了] をクリックします。 PGP Desktop と SSL PGP Desktop は、可能な限りデータを自動的に保護するように設計されています。 電子メール クライアントと電子メール サーバーの間で交換されるデータも保 護の対象となります。 ヒント : SSLはSecure Sockets Layer (セキュア ソケット レイヤー) の略で あり、2 つのデバイス間の通信 (ここでは、電子メール クライアントまたは PGP Desktopと電子メール サーバーとの間) をセキュアにするための暗号プ ロトコルです。 電子メール サーバーとの間で送受信されるデータは、状況に応じてさまざまな 方法で保護されます。次の情報は、[サーバー設定] ダイアログ ボックスの [SSL/TLS] の設定で [自動] (デフォルト) を選択した場合にのみ当てはまります。 接続がSSLで保護されていない場合 : 電子メール クライアントと電子メー ル サーバーとの間の接続がSSLで保護されていない場合、PGP Desktopでは 自動的にその接続のSSLへのアップグレードが試行されます (電子メール サーバーとのネゴシエーションが行われ、電子メール サーバーでSSLがサ ポートされている場合は接続がアップグレードされます)。 122 電子メールをセキュアにする PGP Desktop for Windows 電子メール サーバーで SSL がサポートされていない場合、セッション中に PGP Desktop によって送受信されるメッセージは、保護されていない接続を 経由します。メッセージが PGP Desktop で暗号化または復号化されるかど うかにかかわらず、接続のアップグレードが試行されます。また、PGP Desktop によって暗号化されたメッセージは、SSL で保護されている接続で も、SSL で保護されていない接続でも送受信できます。 メモ : PGP Desktopでは、電子メール サーバーへの保護されていない接続 がSSLにアップグレードされるよう常に試行されます。その理由は、SSL で保護されている接続では、PGPで暗号化されていないメッセージを電子 メール サーバーとの間で送受信する際にそのメッセージが保護されるだ けでなく、電子メール サーバーの認証パスフレーズも電子メール サーバ ーに送信される際に保護されるからです。 接続がSSLで保護されている場合 : 電子メール サーバーとの接続にSSLを 使用するように電子メール クライアントが設定されている場合、PGP Desktopでメッセージの暗号化または復号化を行うには、電子メール クライ アント側でSSLの使用を無効にする必要があります。メッセージがSSLで既 に保護されていると処理できません。 電子メール クライアントでSSL保護を無効にしても、PGPによって暗号化さ れていないメッセージを電子メール サーバーとの間で送受信する際にその メッセージが保護されなくなるわけではありません。SSLで保護されていな い他の接続と同様、電子メール サーバーでSSLによる保護がサポートされ ていれば、PGP DesktopでもSSLで保護された接続へのアップグレードが自 動的に試行されます ([サーバー設定] ダイアログ ボックスの [SSL/TLS] の 設定で [自動] を選択した場合)。電子メール サーバーでSSL接続がサポート されていない場合は、セッション中にPGP Desktopによって送受信されるメ ッセージは、保護されていない接続を経由します。 つまり、メッセージが保護されていない状態で電子メール サーバーに送信 されるのは、メッセージがPGPで暗号化されておらず、かつ電子メール サ ーバーへの接続がSSLで保護された接続にアップグレードできない場合、ま たは [SSL/TLS] の設定で [実行しない] オプションを選択している場合の みです。 クリア テキストでメッセージを送信してはならない場合 : 組織のセキュリ ティ方針によっては、保護されたメッセージしか送信されないようにする (保護されていないメッセージは決して送信してはならない) ことが要求さ れる場合があります。必要に応じて、このような要件を満たすようにPGP Desktopを構成できます。 該当するPGPメッセージング サービスを選択し、(そのサービスのアカウン トのプロパティにある [サーバー] フィールドに現在指定されている名前を クリックして) [サーバー設定] ダイアログ ボックスを開き、[SSL/TLS] リス トから [自動] 以外のオプションを選択します。 123 電子メールをセキュアにする PGP Desktop for Windows このオプションを有効にすると、PGP Desktop と電子メール サーバーとの 間の接続が SSL で保護されている場合にだけ、メッセージが送受信されま す。SSL で保護された接続が確立できない場合、PGP Desktop はサーバーと 通信しません。 メモ : このオプションは、電子メール サーバーが確実にSSLをサポートし ている場合にのみ有効にしてください。このオプションを有効にすると、 接続をSSLで保護しようとしている間に問題が発生しても、保護されてい ない接続を経由してメッセージが送受信されることがありません。ただし、 電子メール サーバーでSSLがサポートされていないにもかかわらず、この オプションを有効にした場合は、PGP Desktopでメッセージを一切送受信 できなくなります。 電子メール クライアント側でSSLを有効にする場合 : 電子メール クライ アント側でSSLを有効にした状態でPGP Desktopを使用するには、受信電子 メール サーバー、送信電子メール サーバー、またはその両方の設定で [電 子メール クライアントがSSL/TLSを試行すると警告を表示] チェック ボ ックスをオフにする必要があります。このオプションを無効にすると、接続 がSSLで保護されている場合に、その接続を経由する受信および送信のトラ フィックが無視されます。 PGP Desktop は、このサーバーとの接続を監視し、SSL で保護された接続に よる送受信のトラフィックを無視します。ただし、SSL で保護されていない 接続が検出されると、トラフィックは保護されていないその他の接続と同様 に扱われ、(自動モードの場合) 接続を SSL にアップグレードしてメッセー ジに適切なポリシーを適用する試みが実行されます。 鍵モード PGP Universal で管理された環境で PGP Desktop を使用している場合、PGP Desktop には鍵モードが設定されています。 メモ : このセクションに記載された情報は、PGP Universal Serverによって保 護された電子メール ドメインに所属するPGP Desktopのユーザーにのみ該当 します。 使用できる鍵モードは、次のとおりです。 サーバー鍵モード (SKM) : 鍵はPGP Universal Serverによって生成および 管理されます。鍵は、PGP Desktopが実行されているコンピューターとの間 でのみ、必要に応じて共有されます。秘密鍵はPGP Universal Server上にの み保存されます。PGP Universal Serverでは、秘密鍵のすべての管理も実行 されます。PGP Universal Server管理者はユーザーの秘密鍵に完全にアクセ スできるため、ユーザーが暗号化したすべてのメッセージにもアクセスでき ます。この鍵モードは、スマート カードと互換性がありません。 124 電子メールをセキュアにする PGP Desktop for Windows 注意 : <SKMでは、他のほとんどのPGP Desktop機能に必要な秘密鍵をユ ーザーが自分で管理できないため、PGP DesktopユーザーはSKMを使用し ないことを推奨します。 クライアント鍵モード (CKM) : 鍵は、PGP Desktopが実行されているコンピ ューター上で生成および管理されます。秘密鍵は、PGP Universal Serverと 共有されません。すべての暗号処理 (暗号化、復号化、署名、検証) もまた、 PGP Desktopが実行されているコンピューター上で実行されます。この鍵モ ードは、スマート カードと互換性があります。 保護鍵モード (GKM) : CKMとよく似ていますが、秘密鍵の暗号化されたコ ピーがPGP Universal Serverに保存される点がCKMと異なります。この鍵の コピーには、別のコンピューターからもアクセスできます。鍵のコピーは暗 号化されているため、PGP Universal Server管理者はこの秘密鍵にアクセス できません。アクセスできるのは、作成したユーザーだけです。この鍵モー ドは、鍵がスマート カード上で直接生成されていない場合、つまり鍵がス マート カードにコピーされている場合に、スマート カードと互換性があり ます。 サーバー クライアント鍵モード (SCKM) : この鍵モードもCKMによく似て いますが、秘密暗号化鍵のコピーがPGP Universal Server上に保存されるこ とが異なります。秘密署名鍵は、PGP Desktopが実行されているコンピュー ターだけに保存されます。この鍵モードを使用すると、署名秘密鍵が常にユ ーザーの管理下にあることを要求する法律および企業方針が確実に遵守さ れる一方、緊急に備えて暗号化秘密鍵を保存できます。この鍵モードは、鍵 がスマート カード上で直接生成されていない場合に、スマート カードと互 換性があります。SCKMでは個別の署名サブ鍵を持つ鍵が必要です。この鍵 は、PGP Desktop 9.5 以降を使用して新規の鍵として作成するか、PGP Desktop 9.5 以降を使用して古いPGP鍵に追加できます。 PGP 管理者が PGP Desktop をどのように構成したかによって、鍵モードを選択 できる場合とできない場合があります。また、鍵モードは変更できる場合とでき ない場合があります。 鍵モードについて不明な点がある場合は、PGP 管理者に問い合わせてください。 鍵モードの確認 PGP Universal Server で保護された環境の PGP Desktop ユーザーだけに鍵モード が設定されます。スタンドアロンの PGP Desktop ユーザーには、鍵モードは設 定されません。 鍵モードを確認するには、次の手順に従います。 PGP Desktop を開き、鍵モードを確認する PGP メッセージング サービスを 選択します。選択されたサービスのアカウント プロパティとセキュリティ ポリシーが表示されます。 125 電子メールをセキュアにする PGP Desktop for Windows [Universal Server] フィールドには、選択されたサービスの鍵モードが、 PGP Universal Serverの名前の後ろのかっこ内に表示されます (たとえば、 keys.example.com (GKM)) 。この例では、選択されたサービス用の鍵モー ドが保護鍵モード (GKM) であり、関連付けられたPGP Universal Serverが keys.example.comであることを示しています。 鍵モードの変更 PGP 管理者が PGP Desktop をどのように構成したかによって、鍵モードを変更 できない場合があります。 鍵モードを変更するには、次の手順に従います。 1 PGP Desktop を開き、鍵モードを変更する PGP メッセージング サービスを 選択します。選択されたサービスのアカウント プロパティとセキュリティ ポリシーが表示されます。 2 [鍵モード] をクリックします。[PGP Universal鍵モード] 画面が開き、現在 の鍵管理モードが表示されます。 3 [鍵のリセット] をクリックし、次に表示された確認メッセージに対して [は い] をクリックします。PGP鍵セットアップ アシスタントが表示されます。 4 表示されたテキストを読んでから、[次へ] をクリックします。[鍵管理の選 択] 画面が表示されます。 5 使用する鍵モードを選択します。PGP 管理者が PGP Desktop をどのように 構成したかによって、特定の鍵モードを使用できない場合があります。 6 [次へ] をクリックします。[鍵ソースの選択] 画面が表示されます。 7 以下のいずれかを選択します。 [新規の鍵] : メッセージングを保護するために使用する新しいPGP鍵 を作成するための指示が表示されます。 [PGP Desktop鍵] : メッセージングの保護に使用する既存のPGP鍵を 指定するための指示が表示されます。 [鍵のインポート] : メッセージングの保護に使用するPGP鍵をインポ ートするための指示が表示されます。 8 必要な項目を選択して、[次へ] をクリックします。 9 [新規の鍵] を選択した場合は、次の操作を実行します。 10 鍵のパスフレーズを入力して、[次へ] をクリックします。 鍵が生成されたら、[次へ] をクリックします。 [完了] をクリックします。 [PGP Desktop鍵] を選択した場合は、次の操作を実行します。 126 電子メールをセキュアにする PGP Desktop for Windows 11 使用する鍵をローカルの鍵リングから選択して、[次へ] をクリックし ます。 [完了] をクリックします。 [鍵のインポート] を選択した場合は、次の操作を実行します。 インポートするPGP鍵が含まれるファイル (秘密鍵が含まれている必 要があります) を見つけて、[次へ] をクリックします。 [完了] をクリックします。 PGP ログの表示 PGP ログには、メッセージをセキュアにするために PGP Desktop で実行された アクションが記録されます。 PGP Desktop ログを表示するには、次の手順に従います。 1 ログを表示するには、ログを有効にする必要があります。これには、PGP Desktopで [ツール] > [PGPロギング] を選択します。 2 PGP Desktopで、[PGPメッセージング] コントロール ボックスをクリック して、次に [PGPログ] をクリックします。アプリケーション ウィンドウに PGPログが表示されます。 3 特定のログ情報に関する表示オプションまたはフィルタを変更するには、次 の操作を実行します。 4 [表示するログの日] の矢印をクリックして、表示するログの日付を選 択します。 [表示トピック] の矢印をクリックして、表示するログの種類を選択し ます。[すべて]、[PGP]、[電子メール]、[IM]、[ディスク全体]、[NetShare]、 [Zip/SDA]、または [仮想ディスク] の中から選択します。 [表示レベル] の矢印をクリックして、表示するログ エントリの重要度 レベルの最小値を選択します。[エラー]、[警告]、[情報]、または [詳細 ] から選択します。[詳細] では、かなり大きなログ ファイルが生成さ れる場合があります。 ログの確認が完了したら、次の操作を実行します。 PGPログのコピーを保存するには、[保存] をクリックします。 PGPログのエントリを消去するには、[完全削除] をクリックします。 127 8 インスタント メッセージン グをセキュアにする このセクションでは、PGP Desktopを使用してインスタント メッセージング (IM) セッションをセキュアにする方法について説明します。IMセッションに影 響するPGPオプションの詳細については、「メッセージング オプション 『ペー ジ : 308』」を参照してください。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP Desktopのインスタント メッセージングとの互換性について..... 129 暗号化に使用される鍵について ............................................................ 131 IMセッションの暗号化 .......................................................................... 131 PGP Desktop のインスタント メッセージングとの互換性につい て 次の条件が満たされている場合は、PGP Desktop では、AOL および iChat の標準 的なインスタント メッセージング セッション、直接接続、およびファイル転送 が自動的に暗号化されます。 IMセッションの双方のユーザーが、IMを使用しているシステムにPGP Desktop 9.0 以降をインストール済みであり、実行中である。PGP Desktop 9.0 以降を使用していることを確認するには、PGPトレイ アイコンをクリッ クして、ショートカット メニューから [PGPバージョン情報] をクリックし ます (PGP Desktopウィンドウ内では、[ヘルプ] > [PGPバージョン情報] を 選択)。 双方のユーザーが [インスタント メッセージの暗号化] の設定を有効にし ている。これには、次の操作を実行します。 129 インスタント メッセージングをセキュアにする PGP Desktop for Windows Windowsシステムの場合、[ツール] > [オプション] を選択し、[メッセ ージング] タブをクリックしてから、[AOLインスタント メッセージの 暗号化 (AIM)] チェック ボックスをオンにします。 Mac OS Xシステムの場合、[PGP] > [環境設定] を選択し、[メッセージ ング] アイコンをクリックしてから、[AOLインスタント メッセージ の暗号化 (AIM)] チェック ボックスをオンにします。 ヒント : Windowsシステムでは、PGPトレイ アイコンをクリックするこ とによって、インスタント メッセージングの暗号化が有効になっているこ とをすばやく検証できます。有効になっている場合は、ショートカット メ ニューの [AIMプロキシの使用] の横にチェック マークが表示されます。 双方のユーザーが、互換性のある IM クライアントを使用している。互換性 のある IM クライアントの詳細については、次のセクションを参照してくだ さい。 IMセッションを開始したユーザーのAIMアドレスが、セッションの受信側の 友だちリストに含まれている (含まれていない場合、セッションは暗号化さ れません)。 セキュアな IM 機能は、AOL Instant Messenger、Trillian Pro、iChat、Gaim など、 AOL のインスタント メッセージング プロトコル OSCAR をサポートしている IM クライアントと互換性があります。 ファイル転送セッションと直接接続セッションを PGP Desktop で暗号化するに は、これらのクライアントの最近のバージョンが必要です。また、相手ユーザー が自分のコンピューターに直接接続できるようにするのではなく、ダイレクト IM/ダイレクト メッセージおよびファイル転送の両方で、AOL プロキシが使用さ れるように接続を設定することを推奨します。 メモ : オーディオおよびビデオ接続は、PGP Desktopで暗号化されません。 PGP DesktopのセキュアなIM機能では、よりセキュリティ レベルの高い Perfect Forward Secrecyが使用されます。IMセッションをセキュアにする際に 使用する鍵はすべて接続の開始時に生成され、接続が解除されると破棄されま す。つまり、IMセッションのたびに、新しい鍵が使用されます。この機能によ り、IMセッションのセキュリティがより強固になります。 インスタント メッセージング クライアントとの互換性 PGP Desktop は、AIM インスタント メッセージ、ファイル転送、および直接接 続の暗号化を行う場合、以下のインスタント メッセージ クライアントと互換性 があります。 AOL AIM 6.5.5 130 インスタント メッセージングをセキュアにする PGP Desktop for Windows AIM 6.5 でインスタント メッセージを暗号化するには、AIM で使用さ れているデフォルトのポートを 493 から 5190 に変更する必要がありま す。 オーディオおよびビデオ接続は、PGP Desktop で暗号化されません。 PGP Desktop バージョン 10.0 のリリース後に AIM の基本プロトコル に変更が加えられた場合、AIM のサービスとの互換性が保たれなくな ることがあります。 Trillian 3.1 (Basic および Pro) その他のインスタント メッセージング クライアントも基本的なインスタント メッセージングには使用できる可能性がありますが、互換性は証明されていませ ん。 暗号化に使用される鍵について 1024 ビットの RSA 鍵は、IM ソフトウェアへのログオン時に毎回生成され、ロ グアウト時に破棄されます。この鍵は、ランダムに生成されたシード データを 通信相手と交換するために使用されます。シード データは、特定の通信で使用 する対称鍵のセット (各方向に 1 つ) を、通信の参加者が各自で生成できるよう に、組み合わせてハッシュしたものです。対称鍵は、すべてのメッセージを AES256 で暗号化するために使用されます。 データの一部は、各メッセージ用にハッシュ ベース メッセージ認証コード (HMAC) を生成するために使用されます。これにより、メッセージの完全性を確 認できます。 メモ : セキュアなIM通信で使用される鍵をユーザーは構成できません。 IM セッションの暗号化 「PGP Desktopのインスタント メッセージング互換性について 『ページ : 129の"PGP Desktopのインスタント メッセージングとの互換性について"参照 先 : 』」に記載されている条件がそろったら、通常どおりにIMセッションを開 始します。互換性のあるIMクライアントを使用する他のPGP Desktopユーザーと のIMセッションは、自動的かつ透過的に保護されます。 IM セッションが保護されているかどうかを確認するには、次のような複数の方 法があります。 IM セッションを開始すると、PGP 通知機能が起動し、セキュアな IM セッ ションが開始されたという内容の通知が表示されます。 131 インスタント メッセージングをセキュアにする PGP Desktop for Windows IM セッションで相手から最初のメッセージを受け取ると、「Conversation encrypted by PGP Desktop(会話は PGP Desktop で暗号化されています。)」 というテキストがメッセージの下に表示されます。 友だちリストの名前の横に表示される錠アイコンは、そのユーザーがおそら く PGP Desktop を使用して IM セッションをセキュアにしていることを示し ます。 錠アイコンは、ユーザーが AIM に標準装備されているセキュリティを使用 していることを示す場合もあります。 IM セッションの開始後に PGP ログを開くと、IM セッションが暗号化され ているという内容のエントリがあります。以下がエントリの例です。 17:01:06 Info Initiating PGP Desktop encrypted AIM session with breynolds using your key with id 0xEFDDCE3C. (17:01:06 情報 IDが 0xEFDDCE3Cの鍵で、PGP Desktopで暗号化された breynoldsとのAIMセッションを開始しています。) 132 9 PGP Viewer で電子メールを 表示 ここでは、PGP Viewer を使用して暗号化されたメッセージを復号化、検証、表 示する方法について説明します。 メモ : PGP ViewerはPGP Desktopがインストールされているコンピュータで のみ動作します。PGP Viewerはスタンドアロンでは使用できません。 この章の内容 PGP Viewerの概要 ................................................................................. 133 暗号化された電子メール メッセージまたはファイルを開く ............... 135 電子メール メッセージの受信箱へのコピー......................................... 136 電子メール メッセージのエクスポート................................................ 137 追加のオプションの指定 ....................................................................... 137 PGP Viewerでオプションを指定 ........................................................... 137 PGP Viewerのセキュリティ機能 ........................................................... 138 PGP Viewer の概要 通常の環境では、PGP Desktop は、ユーザーの電子メール クライアント (たと えば、Mozilla Thunderbird) と会社の電子メール サーバーの間に位置し、PGP Desktop で送信メッセージの暗号化と署名、および受信メッセージ復号化と検証 を行います。PGP Desktop がこの作業を実行している間は、「メール ストリー ム内にある」という言い方をします。 メール ストリーム外にあるメッセージを復号化、検証、表示するには、PGP Viewerを使用します。 メール ストリーム外にある暗号化されたメッセージを受信してしまう場合は数 通りあります。 暗号化されたメッセージがセキュアに保存されている場合 : 多くの組織で は、セキュリティ目的でメッセージを暗号化して保存します。メッセージを 保存するとメッセージはメール ストリーム外に出ますが、PGP Viewerを使 用すれば、暗号化された元のメッセージを維持しつつ、メッセージを復号化、 検証、および表示できます。 133 PGP Viewer で電子メールを表示 PGP Desktop for Windows 暗号化されたテキストがWebメール メッセージ内にある場合 : Webメー ルのアカウントに送信された、暗号化されたメッセージは、PGP Desktopで 復号化できません。しかし、PGP Viewerを使えば復号化できます。メッセ ージ .pgpファイルの添付をPGP Viewerで開くだけです。 暗号化されたテキストがPGP Desktopで復号化されていない場合 : PGP Desktopを実行していないとき、またはパスフレーズがキャッシュされてい ないときに、電子メール クライアントによってメッセージが自動的にダウ ンロードされると、暗号化されたメッセージがメール ストリーム外に出る 可能性があります。 PGP Viewer では、複数の種類のメッセージング コンテンツが復号化、検証、お よび表示されます。 最近の PGP で暗号化されたコンテンツ (PGP/MIME および PGP パーティシ ョン) レガシの PGP で暗号化されたコンテンツ (PGP/MIME および PGP パーティ ション) RFC-2822 準拠の暗号化されたコンテンツ PGP Viewer では、 鍵を必要とする操作に PGP Desktop 鍵リングが使用されます。 PGP Viewer では、パスフレーズ キャッシング オプションなどの PGP Desktop 環境設定が継承されます。 PGP Universal Server で管理された環境では、PGP Viewer では適用されるポリ シーごとに検証鍵が検索されます。 PGP Viewer では、復号化されたメッセージの署名情報が、メッセージ本文の中 にではなく、メッセージ ウィンドウに表示されます。これにより、完全な署名 情報にアクセスでき、インラインの署名注釈の改ざんを防止できます。 互換性のある電子メール クライアント PGP Viewer を使用して、復号化および検証されたメッセージのテキストを次の 電子メール クライアントにコピーします。 Windows Mail (Windows) Microsoft Outlook (Windows) Thunderbird (Windows および Mac OS X) Outlook Express (Windows) Mail.app (Mac OS X) Lotus Notes のアーキテクチャ上の理由により、暗号化されたメッセージを Lotus Notes 電子メール クライアントからドラッグして PGP Viewer にドロップする 操作で復号化することはできません。 134 PGP Viewer で電子メールを表示 PGP Desktop for Windows 暗号化された電子メール メッセージまたはファイルを開く PGP Viewer を使用して、次のファイル形式の暗号化されたメッセージ暗号化さ れたメッセージを開き (復号化し、検証し、表示し) ます。 *.pgp:PGPアプリケーションにより作成されたファイル *.eml : Outlook ExpressまたはThunderbirdにより作成されたファイル *.emlx : Mac OS XシステムでAppleのMail.appプログラムにより作成され たファイル *.msg : Microsoft Outlookにより作成されたファイル PGP Viewer で暗号化されたメッセージを開く際、暗号化されたテキストは上書 きされません。元のメッセージは、そのまま保存されます。 ファイルから暗号化されたメッセージ復号化し、検証し、表示するには 1 PGP Viewer を開きます。この操作を実行するには、システム トレイにある PGP アイコンを選択してから PGP Viewer を選択するか、PGP Desktop 内で [PGP Viewer] コントロール ボックスを選択します。 2 [Open File in PGP Viewer (ファイルをPGP Viewerで開く)] をクリック するか、[Viewer] プルダウン メニューから [Open File in PGP Viewer ( ファイルをPGP Viewerで開く)] を選択します。 135 PGP Viewer で電子メールを表示 PGP Desktop for Windows [Open Message File (メッセージ ファイルを開く)] ダイアログ ボックス が表示されます。 3 [Open Message File (メッセージ ファイルを開く)] ダイアログ ボックスで ファイルを検索して選択し、[開く] をクリックします。PGP Viewerは、メ ッセージを別のウィンドウで復号化、検証、表示します。 ヒント : 開くファイルをPGP Viewerウィンドウの以下を表示する部分に ドラッグ & ドロップできます。電子メールまたはファイルをここにドラ ッグ。PGP Viewerは、ファイルを開き、復号化および検証し、メッセージ を表示します。 4 別のメッセージを開くには、ツールバーで [Open Message (メッセージを 開く)] をクリックし、目的のファイルまで移動し、選択して、[Open (開く)] をクリックします。PGP Viewerは、メッセージを復号化、検証して、表示 します。PGP Viewer画面の左側にはペインが表示され、開いているすべて のメッセージを確認できます。 5 PGP Viewer 画面の左側にペインを表示する、または既に開いているペイン を閉じるには、ツールバーの [ペイン] ボタンをクリックします。 電子メール メッセージの受信箱へのコピー PGP Viewer を使用して、復号化されたメッセージのプレーン テキスト版を電子 メール クライアントの受信箱にコピーします。 メッセージを電子メール クライアントの受信箱にコピーするには 1 メッセージがPGP Viewerウィンドウに表示された状態で、[Copy to Inbox (受信箱にコピー)] をクリックします。[Copy to Inbox (受信箱にコピー)] 確 認ダイアログ ボックスには、メッセージのコピー先の電子メール クライア ントが表示されます。この設定を変更するには、「PGP Viewerでオプショ ンを指定 『ページ : 137』」を参照してください。 2 [OK] をクリックして続行します。 メッセージを初めて Mozilla Thunderbird 電子メール クライアントにコピー する際に、アドオンをインストールする必要があるというダイアログ ボッ クスが表示されます。 アドオンをインストールするには、[Yes (はい)] をクリックして、画面の指 示に従うか、[No (いいえ)] をクリックします。アドオンをインストールす るには、Thunderbird 2.0 以降を使用している必要があります。 3 PGP Viewer により電子メール クライアントが開かれ、メッセージのテキス ト版が受信箱にコピーされます。 136 PGP Viewer で電子メールを表示 PGP Desktop for Windows 電子メール メッセージのエクスポート PGP Viewer を使用して、復号化されたメッセージをファイルにエクスポートし ます。 メッセージを PGP Viewer からファイルにエクスポートするには 1 メッセージがPGP Viewerウィンドウに表示されている場合に、[エクスポー ト] をクリックします。[メッセージ ファイルのエクスポート] ダイアログ ボックスが表示されます。 2 [メッセージ ファイルのエクスポート] ダイアログ ボックスで、目的の場所、 ファイル名、ファイルのフォーマット形式を指定し、[保存] をクリックしま す。PGP Viewerがファイルを指定の場所に保存します。 追加のオプションの指定 PGP Viewer ツールバー (右端) のツール ボタンを使用して、PGP Viewer 機能を 指定します。 テキスト エンコーディング :PGP Viewerにより現在表示されているメッセ ージのテキスト エンコーディング方式を指定します。 リモート画像の表示 :PGP Viewerで現在表示されているメッセージの外部 リソース (画像、CCSスタイル シート、iframeコンテンツなど) を表示しま す。PGP Viewerが自動的に環境設定で外部リソースを表示するように指定 できます。 メッセージ リソースの表示 :PGP Viewerにより現在表示されているメッセ ージのソースを表示します。メッセージに関する詳細を示すメッセージのソ ースを表示します。 環境設定 :PGP Viewer環境設定ダイアログ ボックスを表示します。 PGP Viewer でオプションを指定 PGP Viewer には一定の機能を制御するオプション (環境設定) が含まれていま す。 137 PGP Viewer で電子メールを表示 PGP Desktop for Windows PGP Viewer の環境設定にアクセスするには、次の手順に従います。 1 PGP トレイから PGP Viewer を開くか、PGP Viewer を使用して、メッセー ジを復号化、検証、表示します。 PGP Viewer 画面が表示されます。 2 ツールバー アイコン (PGP Viewerツールバーの右端) をクリックして、[環 境設定] を選択します。[Preferences (環境設定) ] ダイアログ ボックスが表 示されます。 3 [全般] タブを選択し、以下のオプションを指定します。 4 受信箱にコピーするかユーザーに確認するコマンド :テキストをPGP Viewerから電子メール クライアントの受信箱にコピーする際に、確認 メッセージを表示するかどうかを指定します。デフォルトでは、有効 になっています。 自動的にリモート画像を読み込み :イメージ、CSSスタイル シート、 iframeコンテンツなどの外部リソースをPGP Viewerで自動的に読み込 むかどうかを指定します。セキュリティ リスクがあるので、デフォル トでは無効になっています。 電子メール クライアントの使用 :LPGP Viewerからコンテンツをコピ ーする先の電子メール クライアントを指定します。デフォルトは Windowsデフォルト (電子メール)です。PGP Viewerはデフォルトの Windows電子メールを判断し、デフォルトとして使用します。また、 Outlook、Outlook Express、Thunderbirdを選択することもできま す。 [テキスト] タブを選択し、以下のオプションを指定します。 [フォント] : PGP Viewerでテキストを表示するために使用するフォン トを指定します。 [Text Color (テキストの色)] : PGP Viewerで表示するテキストの色を 指定します。 [Background Color (背景色)] : PGP Viewerで表示する背景の色を指定 します。 PGP Viewer のセキュリティ機能 PGP Viewer はセキュリティを積極的に保護します。 メッセージング コンテンツを表示する PGP Viewer に組み込まれた Web ブ ラウザは、JavaScript、Java Applets を持ち、プラグインが無効になってい ます。これにより、PGP Viewer が読み込んでしまうような悪意のあるペイ ロードを攻撃者が送信しないようにします。 138 PGP Viewer で電子メールを表示 PGP Desktop for Windows 画像、CSSスタイル シート、iframeコンテンツ (別の文書を含むインライン フレーム)、などが [自動的にリモート画像を読み込む] 環境設定に従って自 動的に読み込まれます。セキュリティの目的で、この設定はデフォルトで無 効になっています。この環境設定が無効の場合、PGP Viewerは外部サイト に対してネットワーク トラフィックを生成しません。 139 10 PGP Whole Disk Encryption によるディスク の保護 PGP Whole Disk Encryption (PGP WDE) は、ラップトップ、デスクトップ、外付 けドライブ、または USB フラッシュ ドライブの内容を、ブート セクター、シ ステム ファイル、スワップ ファイルなどを含めすべて保護する機能です。PGP WDE を使用して、ブート パーティションや Windows パーティションだけを暗 号化することもできます。暗号化は透過的にバックグラウンド処理として実行さ れ、ユーザーが追加の操作を行う必要はなく、重要なデータが自動的に保護され ます。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 141 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows この章の内容 PGP Whole Disk Encryptionについて .................................................... 142 PGP Whole Disk Encryptionのライセンス............................................. 143 ディスクを暗号化するための準備......................................................... 144 ディスクの認証方法の選択.................................................................... 152 暗号化オプションの設定 ....................................................................... 154 ディスクまたはパーティションの暗号化 .............................................. 160 PGP WDEで暗号化されたディスクの使用 ............................................ 166 PGP WDEのシングル サインオンの使用.............................................. 173 ディスクのセキュリティの維持 ............................................................ 176 リムーバブル ディスクの使用 .............................................................. 185 PGP Universal Serverで管理された環境でのPGP WDEの使用 ............. 188 暗号化されたドライブからのデータのリカバリ ................................... 191 PGP WDEで暗号化されたディスクの復号化 ........................................ 193 PGP Desktopによるセキュリティ確保のための特別な対策 ................. 194 Windowsプレインストール環境の使用................................................. 197 PGP Whole Disk Encryption について PGP Whole Disk Encryption 機能を使用してディスク全体を暗号化すると、すべ てのセクターが対称鍵で暗号化されます。これには、オペレーティング システ ム ファイル、アプリケーション ファイル、データ ファイル、スワップ ファイ ル、空き領域、一時ファイルを含む、すべてのファイルが含まれます。 暗号化した後は、コンピューターを再起動するたびに、PGP WDE で正しいパス フレーズを入力するための指示が表示されます。正しいパスフレーズを入力する と、暗号化されたデータがアクセス時に復号化されます。すべてのデータは、デ ィスクに書き込まれる前に PGP WDE によって暗号化されます。(PGP BootGuard 画面に正しいパスフレーズを入力した後) PGP WDE によって認証されれば、暗 号化されたディスクのファイルを使用できます。コンピューターをシャットダウ ンすると、ディスクは他のユーザーが使用できないように保護されます。 PGP WDE でディスクを暗号化する前に、PGP WDE でディスクを暗号化してそ のディスクを使用する手順を理解することが重要です。 1 「PGP Whole Disk Encryptionのライセンス 『ページ : 143』」で説明す るとおり、PGP DesktopのライセンスでPGP Whole Disk Encryptionの使用 がサポートされていることを確認します。 142 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 2 「ディスクを暗号化するための準備 『ページ : タスクを実行します。 3 「ディスクの認証方法の選択 『ページ : 152』」の説明に従って、ディス クを暗号化するために自分自身を認証する方法を選択します。 4 「暗号化オプションの設定 『ページ : 154』」の説明に従って、使用する 暗号化オプションを選択します。 5 「ディスクまたはパーティションの暗号化 『ページ : 160』」の説明に従 って、暗号化処理を開始します。 6 「PGP WDEで暗号化されたディスクの使用 『ページ : 166』」で、暗号 化されたディスクの使用方法を学習します。 7 「ディスクのセキュリティの維持 『ページ : 176』」で、暗号化されたデ ィスクの管理について学習します。 8 「PGP WDEで暗号化されたディスクの復号化 『ページ : 193』」で、必 要に応じてディスクを復号化する方法を学習します。 9 「PGP Desktop による特別なセキュリティ予防措置」で、セキュリティの問 題を回避するための機能について理解します。 144』」の説明に従って、 PGP Universal Server管理者であるか、PGP Universal Serverで管理された環境 でPGP WDEを使用している場合、「PGP Universal Serverで管理された環境での PGP WDEの使用 『ページ : 188』」で、詳細な情報を参照してください。 PGP WDE と PGP 仮想ディスクの違い PGP 仮想ディスク機能は PGP WDE と異なり、システムに追加されたボリューム のように動作し、コンピューターが使用中でもロックできます。これらのボリュ ームは、保護を必要とするファイルを保管する金庫のようなものです。実際の物 理的なディスクが存在するわけではなく、PGP 仮想ディスク機能によって作成お よび管理される仮想ディスクのみが存在します。 PGP WDE では物理的なハード ディスク全体が保護されます。 2 つの機能はそれぞれ独立して動作するため、同時に使用できます。詳細につい ては、「PGP仮想ディスクの使用 『ページ : 201』」を参照してください。 PGP Whole Disk Encryption のライセンス PGP Whole Disk Encryption 機能を使用するには、インストールした PGP Desktop ソフトウェアにこの機能をサポートするライセンスがある必要があり ます。 143 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 使用しているライセンスが PGP Whole Disk Encryption をサポートしている ことを確認するには、次の手順に従います。 1 PGP Desktop を開きます。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktopライセンス] ダイアロ グ ボックスが表示されます。 3 [製品情報] セクションで、[PGP Whole Disk Encryption] アイコンを見つけ ます。製品名の上にマウス ポインタを置くと、その製品に関する情報や、 その製品の使用が許可されているかどうかが表示されます。 現在のライセンスで PGP WDE がサポートされていない場合は、次のいずれかの 方法で PGP Desktop のライセンス取得に関する詳細情報を入手してください。 PGP Universal Serverで管理された環境でPGP Desktopを使用している場合 は、ライセンスにPGP WDE機能が含まれているかどうかPGP管理者に問い 合わせてください。詳細については、「PGP Universal Serverを介してのPGP Desktopの使い方 『ページ : 331』」を参照してください。 PGP Universal Serverで管理されていない環境でPGP Desktopを使用してい る場合は、PGP CorporationのWebサイト 『http://www.pgp.com』でPGP WDE機能を追加する方法についての情報を参照してください。 ライセンスの有効期限 サブスクリプション ライセンスで使用する PGP WDE では、ブート ディスクに ついてのみ、ライセンスの有効期限の 90 日後に復号化される機能があります。 サブスクリプション ライセンスの有効期限から 90 日が経過すると (通知が送信 された後に) PGP WDE 機能によってデータが復号化されるため、ユーザーはフ ァイルを取得できます。 ディスクを暗号化するための準備 ディスクを暗号化する前に、そのディスクの初期暗号化が正常に実行されるよう にするために、いくつかのタスクを実行する必要があります。 対象のディスクがサポートされているかどうかを確認する。「サポートされ ているディスクの種類 『ページ : 146』」を参照してください。 キーボードの種類がサポートされていることを確認する。「サポートされて いるキーボード 『ページ : 147』」を参照してください。 144 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化する前にディスクの状態を確認する。 PGP WDEによる暗号化の実行 中にディスク エラーが検出された場合は暗号化が一時停止するため、ディ スク エラーを修復できます。ただし、暗号化を始める前にエラーを修復し ておく方がより効率的です。「暗号化前のディスク状態の確認 『ページ : 149』」を参照してください。 暗号化する前にディスクをバックアップする。ラップトップやコンピュータ ーを紛失したり、盗まれたり、ディスクを復号化できなかったりした場合に データを失わないように、ディスクを暗号化する前に確実にバックアップし てください。また、ディスクの定期的なバックアップも確実に実行してくだ さい。 リカバリ ディスクを作成する。PGP Whole Disk Encryptionによって保護さ れているブート ディスクまたはパーティションでマスター ブート レコー ドが損傷する可能性はきわめて低いと言えますが、ゼロではありません。 PGP Whole Disk Encryptionを使用してブート ディスクまたはパーティシ ョンを暗号化する前に、リカバリ ディスクを作成してください。「リカバ リ ディスクの作成 『ページ : 191の"リカバリ ディスクの作成と使用"参 照先 : 』」を参照してください。 ディスクの暗号化にかかる時間を検討し、それを考慮して準備する。「暗号 化時間の計算 『ページ : 150』」を参照してください。 暗号化処理の実行中は必ずAC電源を使用する。「暗号化処理中の電源供給 『ページ : 150』」を参照してください。 パイロット テストを実行し、ソフトウェアの互換性を確認する。優良なセ キュリティ プラクティスとして、少数のコンピューターでPGP WDEをテス トし、PGP WDEがコンピューター上の他のソフトウェアと競合しないこと を確認してから多数のコンピューターにPGP WDEを展開することを推奨し ます。この方法は、標準企業業務環境 (COE) イメージを使用する環境では 特に有効です。ある特定のディスク保護ソフトウェアはPGP WDEと互換性 がなく、データの喪失を含む重大なディスクの問題を引き起こす場合があり ます。既に確認されている互換性の問題については、「ソフトウェアの互換 性を確認するパイロット テストの実行 『ページ : 151』」を参照してく ださい。このリストの最新情報については、『PGP Desktopリリース ノー ト』を参照してください。 正しいトークンとドライバーがあることを確認する。 PGP Whole Disk Encryptionを使用して保護されている固定ディスクの認証にUSBトークンを 使用している場合は、正しいトークンを用意し、適切なドライバー ソフト ウェアがインストールされていることを確認してください。「認証に使用す るトークンの準備 『ページ : 155の"認証に使用するスマート カードまた はトークンの準備"参照先 : 』」を参照してください。 メモ : PGP Whole Disk Encryptionを使用してサーバー ハードウェアを暗号 化しないでください。PGP WDEは、Windows 2000 ServerまたはWindows 2003 Serverではサポートされません。 145 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows サポートされているディスクの種類 PGP WDE 機能では、次の種類のディスクの内容が保護されます。 ソリッドステートのドライブを含む、デスクトップまたはラップトップのデ ィスク (ディスク全体またはパーティション)。 メモ : PGP Whole Disk Encryptionを使用してサーバー ハードウェアを暗 号化しないでください。PGP WDEは、Windows 2000 Serverまたは Windows 2003 Serverではサポートされていません。 音楽デバイスおよびデジタル カメラを除く外付けディスク USB フラッシュ ディスク FAT16、FAT32、および NTFS 形式でフォーマットされたディスクまたはパーテ ィションを暗号化できます。FAT 形式のディスクまたはパーティションで PGP Whole Disk Encryption を使用する場合は、暗号化後に NTFS 形式に変換できます。 PGP WDE でサポートされるオペレーティング システム (Windows XP、 Windows 2000、Windows Vista など) から起動する場合は、PGP Whole Disk Encryption 機能をデュアルブート システムで使用できます。ただし、起動する オペレーティング システムに PGP Whole Disk Encryption がインストールされ ている必要があります。パーティション モードでは、Windows パーティション だけを暗号化する場合に、他のオペレーティング システム (Linux など) とのデ ュアルブートがサポートされます。他のオペレーティング システムは、別の、 暗号化されていないパーティションにある必要があります。 PGP WDE で暗号化されたディスクの容量に制限はありません。オペレーティン グ システム (ブート ディスクまたはパーティションの場合はハードウェア BIOS) でサポートされているディスクまたはパーティションは、PGP Desktop で暗号化できます。 PGP WDE で暗号化されているドライブのパーティションを作成し直す場合、ま ずドライブを復号化する必要があります。ドライブを復号化したら、ドライブに パーティションを作成してパーティションを再暗号化できます。 Windows のすべての電源管理モード (休止状態、スタンバイ、サスペンド) がサ ポートされています。 サポートされていないディスクの種類 次の種類のディスクはサポートされていません。 RAID ディスク ドライブを含むあらゆる種類のサーバー ハードウェア ダイナミック ディスク ディスケットおよび CD-RW/DVD-RW 146 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 警告 : Windows XPでは、ベーシック ディスクをダイナミック ディスクに変 換して、ベーシック ディスクにはない機能を利用できます。PGP Whole Disk Encryptionを使用して既に保護されているシステムのブート ドライブ上では、 決してこの変換を実行しないでください。ベーシック ディスクをダイナミッ ク ディスクに変換すると、このドライブを使用できなくなります。 PGP WDE で使用される暗号アルゴリズム PGP WDE で使用される暗号アルゴリズムは AES-256、ハッシュ アルゴリズム は SHA-1 です。これらのオプションは変更できません。 サポートされているキーボード サポートされているいずれかの言語のキーボードを必ず使用してください。 PGP Whole Disk Encryption のログイン画面では、次のキーボード配列がサポー トされます。 ベルギー語 (ベルギー、コンマ) ベルギー語 (ベルギー、ピリオド) ボスニア語 (ボスニア) ボスニア語 (ボスニア、キリル) ブルガリア語 (ブルガリア) ブルガリア語 (ブルガリア、ラテン) ブルガリア語 (ブルガリア、タイプライター) カナダ マルチリンガル標準 (カナダ) 簡体字中国語 (中国、シンガポール) 繁体字中国語 (香港、台湾) クロアチア語 (クロアチア) チェコ語 (チェコスロバキア、QWERTY) デンマーク語 (デンマーク) オランダ語 (オランダ) 英語 (米国) 英語 (英国) 英語 (米国 - インターナショナル) エストニア語 (エストニア) フィンランド語 (フィンランド) 147 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows フランス語 (ベルギー) フランス語 (カナダ) フランス語 (フランス) フランス語 (スイス) ドイツ語 (ドイツ、オーストリア) ドイツ語 (IBM) ドイツ語 (スイス) ヘブライ語 (イスラエル) ハンガリー語 (ハンガリー) ハンガリー語 (ハンガリー、101 キー) アイスランド語 (アイスランド) アイルランド語 (アイルランド) イタリア語 (イタリア) イタリア語 (イタリア、142 キー) 日本語 (日本) 韓国語 (韓国) ノルウェー語 (ノルウェー) ポーランド語 (ポーランド、プログラマ) ポーランド語 (ポーランド、214 キーボード) ポルトガル語 (ブラジル、ABNT キーボード) ポルトガル語 (ブラジル、ABNT2 キーボード) ポルトガル語 (ポルトガル) ルーマニア語 (ルーマニア) ロシア語 (ロシア、キリル) セルビア語 (セルビア モンテネグロ、キリル) セルビア語 (セルビア モンテネグロ、ラテン) スロバキア語 (スロバキア) スロベニア語 (スロベニア) スペイン語 (スペイン) スペイン語 (中南米) スペイン語 (バリエーション) スウェーデン語 (スウェーデン) 148 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows トルコ語 (トルコ、F) トルコ語 (トルコ、Q) ウクライナ語 (ウクライナ) 異なるキーボード配列では文字のマッピングが異なる場合があり、パスフレーズ を入力して認証する際に問題が発生することがあります。使用しているキーボー ドの配列に最も類似したキーボート配列を選択して、認証するたびに同じ配列を 使用してください。 パスフレーズに使用できる文字については、「PGP Whole Disk Encryptionのパ スフレーズでサポートされる文字 『ページ : 161の"PGP WDEのパスフレーズ でサポートされる文字"参照先 : 』」を参照してください。 暗号化前のディスク状態の確認 PGP Corporation は、ドライブを暗号化する際のデータ損失を防止するため、慎 重な姿勢をとっています。ハード ディスクを暗号化するときに巡回冗長検査 (CRC : Cyclic Redundancy Check) エラーが検出されることは珍しくありません。 PGP WDE でハード ディスク ドライブやパーティションに不良セクターが検出 されると、デフォルトでは、暗号化処理が一時停止します。これにより、問題を 修復してから暗号化処理を続行できるため、ディスク障害やデータ喪失が発生す る可能性を排除できます。 暗号化が中断しないようにするには、暗号化を行う前にディスク エラーを修復 し、正常な状態のディスクで処理を開始することを推奨します。 メモ : PGP DesktopをPGP Universal Serverで管理された環境で使用している 場合、暗号化中に検出された不良セクターはPGP Universal Serverにログされ、 暗号化処理が続行されます。 推奨する方法 最善の方法は、PGP WDEの使用前に、サードパーティ製スキャン ディスク ユ ーティリティを使用して、低レベルの完全性チェックを実行することです。CRC エラーの原因となるドライブ不整合があれば修復できます。Microsoft Windows のチェック ディスク (chkdsk.exe) ユーティリティは、対象となるハード ド ライブでこうした問題を検出するためには十分ではありません。代わりに、 SpinRiteやNorton Disk Doctor™ などのソフトウェアを使用してください。これら のソフトウェアを使用すると、暗号化を中断するようなエラーを修復できます。 注意 : ディスクの断片化が進んでいる場合は、暗号化する前に必ずデフラグを 実行してください。 PGP WDEをWindows Serverシステムにインストールする場合は、追加のベスト プラクティス情報について、「PGPナレッジベース記事 1737 『http://support.pgp.com/?faq=1737』」を参照してください。 149 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化時間の計算 暗号化は時間がかかり、CPU に負荷のかかる処理です。暗号化するディスクまた はパーティションの容量が大きいほど、暗号化処理に要する時間は長くなります。 ディスクの初期暗号化のスケジュールを設定する際は、このことを考慮してくだ さい。 暗号化の処理時間に影響を及ぼす要因は次のとおりです。 ディスクまたはパーティションの容量 プロセッサの処理速度およびプロセッサ数 コンピューターで実行されているシステム プロセス数 システムで実行されている他のアプリケーションの数 システムで実行されている他のアプリケーションで必要なプロセッサ時間 PGP Whole Disk Encryption で 80 GB のブート ディスクまたはパーティション を暗号化する場合、平均的な速度のコンピューターで約 3 時間かかります (他の アプリケーションが実行されていない場合)。一方、同じディスクまたはパーティ ションを非常に高速なコンピューターで暗号化した場合、1 時間もかからないこ とがあります。 コンピューターは、暗号化を行っている間も使用できます。暗号化処理中、パフ ォーマンスは通常よりも多少低下しますが、機能的には問題はありません。 暗号化処理中にユーザーがコンピューターを使用すると、PGP Desktop によって 暗号化処理が自動的に減速されます。逆に、初期暗号化の際に、他の処理にコン ピューターを使用しないようにすると、暗号化処理は加速されます。暗号化処理 が完了すると、コンピューターのパフォーマンスは通常に戻ります。 暗号化処理中に他のアプリケーションを実行すると、暗号化処理が完了するまで そのアプリケーションの実行速度は通常よりも若干遅くなります。 暗号化処理中にコンピューターを使用しない場合は、[最大CPU使用率] オプショ ンを使用することにより初期暗号化を高速化できます (「暗号化オプションの設 定 『ページ : 154』」を参照)。このオプションを有効にすると、暗号化処理が コンピューターで実行される他の処理よりも優先され、暗号化処理の速度が向上 します。 暗号化処理中の電源供給 暗号化はCPUに負荷がかかる処理のため、バッテリー電源で動作しているラップ トップ コンピューターでは暗号化を開始できません。コンピューターはAC電源 で動作している必要があります。初期暗号化処理 (または、その後の復号化処理 や再暗号化処理) を実行している最中にラップトップ コンピューターがバッテ リー電源に切り替わると、PGP WDEの処理は一時停止します。AC電源が復旧す ると、暗号化、復号化、または再暗号化の処理が自動的に再開します。 150 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 使用しているコンピューターの種類にかかわらず、[電源の瞬断に対する安全対 策] オプションを選択している場合を除いて、暗号化処理の最中にシステムの電 源が失われたり、予期しないシャットダウンが発生したりしないようにする必要 があります。暗号化処理が完了する前にシステムの電源コードを抜かないでくだ さい。暗号化中に停電する可能性がある場合や、コンピューターに無停電電源装 置 (UPS) が取り付けられていない場合は、「暗号化オプションの設定『ページ : 154』」で説明する [電源の瞬断に対する安全対策] オプションを選択することを 推奨します。 注意 : これは、USBデバイスなどのリムーバブル ディスクにも該当します。 [電源の瞬断に対する安全対策] オプションを選択していないと、暗号化中にデ バイスを取り外した場合にデバイスが破損することがあります。 ソフトウェアの互換性を確認するパイロット テストの実行 優良なセキュリティ プラクティスとして、少数のコンピューターで PGP WDE をテストし、PGP WDE がコンピューター上の他のソフトウェアと競合しないこ とを確認してから多数のコンピューターに PGP WDE を展開することを推奨しま す。この方法は、標準企業業務環境 (COE) イメージを使用する環境では特に有 効です。 ある特定のディスク保護ソフトウェアは PGP WDE と互換性がなく、データの喪 失を含む重大なディスクの問題を引き起こす可能性があります。既に確認されて いる次の互換性の問題に注意してください。このリストの最新情報については、 PGP Desktop リリース ノートを参照してください。 互換性のないソフトウェア : Faronics Deep Freeze (全バージョン) Utimaco Safeguard Easy 3.x Absolute Software 社の CompuTrace ラップトップ セキュリティおよび追 跡製品 : PGP Whole Disk Encryption は、CompuTrace の BIOS 構成とのみ 互換性があります。CompuTrace を MBR モードで使用する場合、互換性は ありません。 GuardianEdge Technologies 社のハード ディスク暗号化製品 : Encryption Anywhere Hard Disk および Encryption Plus Hard Disk 製品、旧 PC Guardian 製品 また、次の各アプリケーションは、PGP Desktop がインストールされたシステム でも正しく機能しますが、PGP Whole Disk Encryption 機能をブロックします。 Safeboot Solo SecureStar SCPP 151 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows ディスクの認証方法の選択 PGP Whole Disk Encryption でディスクまたはパーティションを暗号化する際に、 ディスクを復号化するために使用する認証方法を選択します。 次のオプションがあります。 パスフレーズとシングル サインオン認証 『ページ : 152』 公開鍵認証 『ページ : 153』 トークンを使用した認証 『ページ : 153』 USBフラッシュ デバイスを使用した 2 要素認証 『ページ : 153』 トラステッド プラットフォーム モジュール (TPM : Trusted Platform Module) 認証 『ページ : 154の"Trusted Platform Module (TPM) Authentication"参照先 : 』 メモ : 複数のユーザーが使用するコンピューターでは、各ユーザーに対して個 別の認証方法を設定してください。 メモ : Windows PEまたはBartPEを使用して認証を行うには、パスフレーズ ユーザーを使用する必要があります。トークンまたはTPMユーザーはサポート されません。 パスフレーズとシングル サインオン認証 パスフレーズ認証では、暗号化されたブート ディスクまたはパーティションか らコンピューターを再起動するとき、またはそれ以外の暗号化されたディスクま たはパーティションにアクセスするときに使用するパスフレーズを指定します。 この方法では追加のファイルやハードウェアが不要で、固定ディスクだけでなく リムーバブル ディスクにも使用できます。 パスフレーズ認証には次の 2 つのオプションがあります。 PGP WDE にのみ使用するパスフレーズを選択できます。 PGP WDEのパスフレーズをWindowsアカウントのログオンと同期できま す。これにより、パスフレーズを 1 度入力するだけで、暗号化されたディス クやパーティションのロック解除とWindowsへのログインを行えます。 Windowsログインと同期する場合、このオプションはシングル サインオン (SSO) として知られています。 シングル サインオンを設定する手順については、「PGP WDEのシングル サイ ンオンの使用 『ページ : 173』」を参照してください。 152 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 公開鍵認証 公開鍵認証では、PGP Whole Disk Encryption を使用してディスクまたはパーテ ィションを暗号化する際に公開鍵を指定します。その公開鍵に対応する秘密鍵の 所有者だけが、ディスクまたはパーティションのコンテンツにアクセスできます。 このとき、秘密鍵のパスフレーズが必要になります。 公開鍵認証は、システムで使用しているリムーバブル ディスクでのみ使用でき ます。ブート ディスク、パーティション、USB エンクロージャに内蔵されたデ ィスクなどの固定ディスクでは公開鍵認証は使用できず、パスフレーズまたはト ークンによる認証のどちらかを使用できます。 トークンを使用した認証 PGP WDEで固定ディスク (ブート ディスクまたはパーティションを含む) を暗 号化する際に、認証方法としてトークン上のPGP鍵を使用する場合は、PGP WDE と互換性のあるトークンまたはスマート カードに保存した鍵ペアを使用する必 要があります。互換性のあるデバイスのリストについては、「スマート カード を使用したPGP BootGuard画面での認証 『ページ : 156の"Using Smart Cards or Tokens to Authenticate at the PGP BootGuard Screen"参照先 : 』」を参照し てください。 トークン上の鍵ペアを使用すると、トークンを取り外せるため、セキュリティを 強化できます。 ディスクの暗号化を始める前に、使用するデバイスに適切なドライバーをインス トールする必要があります。詳細については、「認証に使用するトークンの準備 『ページ : 155の"認証に使用するスマート カードまたはトークンの準備"参照 先 : 』」を参照してください。 USB フラッシュ デバイスを使用した 2 要素認証 システム上のデータのセキュリティを高めるために、2 要素認証を使用すること もできます。2 要素認証では、「覚えているもの」(パスフレーズ) と「持ってい るもの」(USB フラッシュ ドライブ) を使用して、本人であることが検証され、 ディスクへのアクセス権が与えられます。 2 要素認証を使用する場合は、パスフレーズ ユーザーを作成した後、そのユーザ ーを識別する別のハードウェア形式を選択します。USB フラッシュ ドライブの 使用、または、お使いのシステム上でハードウェアが利用できる場合は Trusted Platform Module (TPM) の使用のいずれかを選択してください。 153 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows メモ : 2 要素認証でUSBフラッシュ デバイスを使用する場合は、この認証方 法を有効にするために、USBデバイスが挿入された状態でコンピューターを再 起動する必要があります。USBデバイスを挿入した状態でコンピューターを再 起動しない限り、PGP BootGuard画面での認証にはパスフレーズしか使用でき ません。 USBフラッシュ デバイスを使用した 2 要素認証の作成の詳細については、「デ ィスクの暗号化 『ページ : 162』」を参照してください。 暗号化オプションの設定 ディスクを暗号化する準備が完了したら、初期暗号化を開始する手順を確認する 必要があります。 1 暗号化する対象として、ディスク全体または特定のパーティションのどちら かを選択します。「パーティション レベルの暗号化 『ページ : 154』」 を参照してください。 2 暗号化処理中に使用するオプション (電源の瞬断に対する安全対策や暗号 化の高速化など) を選択します。「PGP Whole Disk Encryptionオプションの 使用 『ページ : 158』」を参照してください。 3 認証方法を選択します。「ディスクの認証方法の選択 『ページ : 152』」 を参照してください。 メモ : トークンを使用した認証を選択する場合、トークンを使用する準備 ができていることを確認してください。「認証に使用するトークンの準備 『ページ : 155の"認証に使用するスマート カードまたはトークンの準 備"参照先 : 』」を参照してください。 4 「ディスクまたはパーティションの暗号化 『ページ : 160』」で説明する 手順に従って、ディスクを暗号化します。 メモ : PGP Universal Serverで管理されたユーザーの場合、パスフレーズを 忘れた際にディスクをリカバリするためのリカバリ トークンがPGP WDE によって作成されます。「リカバリ トークンの作成 『ページ : 189』」 を参照してください。 パーティション レベルの暗号化 ディスクがパーティションに分割されている場合、ディスク全体を暗号化するの ではなく、指定したパーティションを暗号化する方法を選択できます。パーティ ションの暗号化は、次の単位で柔軟に行えます。 1 つのディスク パーティション 154 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 1 つを除くすべてのディスク パーティション その間の任意の数のパーティション 選択したパーティション上にあるファイル のみが暗号化されます。 また、Windows パーティションのみを暗号化する場合 に限り、他のオペレーティング システム (Linux など) とのデュアルブートがサ ポートされます。 他のオペレーティング システムは、暗号化されていない別パ ーティションにインストールされている必要があります。 メモ : ディスクまたはいずれかのパーティションが暗号化された後は、パーテ ィションの変更 (たとえば、パーティションの追加や削除、既存のパーティシ ョンのサイズ変更) はできません。PGP Whole Disk Encryptionでディスクを保 護する前に、ディスクが正しいパーティションに分割されていることを確認し てください。 認証に使用するスマート カードまたはトークンの準備 認証にスマート カードまたはトークンを使用する場合、互換性のあるデバイス を使用する必要があります (互換性のあるデバイスのリストについては、「スマ ート カードを使用したPGP BootGuard画面での認証 『ページ : 156の"Using Smart Cards or Tokens to Authenticate at the PGP BootGuard Screen"参照 先 : 』」を参照してください)。 適切なトークンのモデルを使用してください。 トークンを紛失した場合に備えて、別のユーザー (パスフレーズ ユーザー など) を、暗号化するディスクに追加することを推奨します。 トークンを使用する前に、トークンを使用するシステムにトークンのドライ バーをインストールしてください。 認証にスマート カードまたはトークンを使用するための要件 暗号化を行う前に、これらの要件を確認して、要件を満たすようにしてください。 警告 : PGP Whole Disk Encryptionを使用して暗号化されたディスクやパーテ ィションの認証にトークン上の鍵ペアを使用することで、セキュリティを強化 できます。ただし、トークンを紛失すると、PGP BootGuardログイン画面で認 証できなくなり、ディスクまたはパーティション上のすべてのデータが喪失し ます。このため、PGP Whole Disk Encryptionを使用して暗号化されているデ ィスクまたはパーティションに別のユーザー (パスフレーズ、トークン、また は両方) を追加することを推奨します。これにより、トークンを紛失したり盗 まれたりした場合でも、追加ユーザーがディスクまたはパーティションを認証 してロック解除できます。 155 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows トークン上に保存された鍵ペアのみを使用できます。Aladdin eToken上に鍵 ペアを作成するか、右クリックによるショートカット メニューから [追加 先] を選択して、既存の鍵ペアをトークンに追加する必要があります。 トークン上に鍵ペアを作成するか、既存の鍵ペアをトークンに追加すると、 その鍵ペアの秘密鍵のパスフレーズはトークンの PIN に変更されます。 Aladdin eToken のデフォルトの PIN は 1234567890 です。これはよく知ら れたデフォルト PIN なので、鍵ペアのセキュリティが大きく損なわれないよ うにするため、Aladdin の構成ツールを使用して PIN を直ちに変更する必要 があります。 Using Smart Cards or Tokens to Authenticate at the PGP BootGuard Screen 互換性のある PGP WDE 認証スマート カード リーダー 次のスマート カード リーダーは、プリブート時のスマート カードとの通信に 使用できます。これらのスマート カード リーダーは、互換性のある任意のリム ーバブル スマート カードと併用できます (同じブランドのスマート カードと リーダーを使用する必要はありません)。 汎用スマート カード リーダー ほとんどの CCID スマート カード リーダーは互換性があります。次のリーダー が、PGP Corporation によって動作確認されています。 デスクトップ システム用 OMNIKEY CardMan 3121 USB (076b:3021) モバイル システム用 OMNIKEY CardMan 6121 USB (076b:6622) ActivIdentity USB 2.0 リーダー (09c3:0008) SCM Microsystem Smart Card Reader モデル SCR3311 CyberJack スマート カード リーダー Reiner SCT CyberJack ピンパッド (0c4b:0100)。 ASE スマート カード リーダー Athena ASEDrive IIIe USB リーダー (0dc3:0802) 組み込みスマー ト カード リーダー Dell D430 組み込みリーダー Dell D630 組み込みリーダー Dell D830 組み込みリーダー 156 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 互換性のある PGP WDE 認証用スマート カードまたはトークン PGP Whole Disk Encryption では、プリブート認証用として次のスマート カード と互換性があります。 ActiveIdentity ActivClientCAC カード、2005 モデル Aladdin eToken PRO 64K、2048 ビット RSA 対応 Aladdin eToken PRO USB Key 32K、2048 ビット RSA 対応 2048 ビット機能を持たない Aladdin eToken PRO (旧型のスマート カード) Aladdin eToken PRO Java 72K Aladdin eToken NG-OTP 32K メモ :フラッシュ付きトークンなどのその他のAladdin eTokenは、互換性の あるトークンとAPDU互換であれば動作します。VeriSign製などのAladdin eTokenのOEMバージョンは、互換性のあるトークンとAPDU互換であれば 動作します。 Microsoft ILM 用 Athena ASEKey Crypto USB トークン Microsoft ILM 用 Athena ASECard Crypto スマート カード メモ :Athenaのトークンは信用されているストレージに対してのみ互換性 があります。 Axalto Cyberflex Access 32K V2 Charismathics CryptoIdentity plug 'n' crypt Smart Card only stick EMC RSA SecurID SID800 トークン (v1 および 2) メモ :このトークンは鍵の格納場所に対してのみ互換性があります。 SecurIDは互換性がありません。 EMC RSA Smart Card 5200 Marx CrypToken USB トークン Rainbow iKey 3000 S-Trust StarCOSスマート カード メモ :S-Trust SECCOSカードは互換性 がありません。 SafeNet iKey 2032 USB トークン T-Systems Telesec NetKey 3.0 スマート カード T-Systems TCOS 3.0 IEI スマート カード 個人識別検証 (PIV) カ ード ActivClient version 6.1 クライアント ソフトウェアを使用した Oberthur ID-One Cosmo V5.2D 個人識別情報検証カード 157 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows ActivClient version 6.1 クライアント ソフトウェアを使用した Giesecke お よび Devrient Sm@rtCafe Expert 3.2 個人識別情報検証カード Aladdin eToken に必要なドライバー Aladdin eTokenを使用する前に、トークンを使用するシステムに最新のソフトウ ェア ドライバーをインストールしてください。Microsoft Windowsでは、ソフト ウェア ドライバーをインストールしなくてもトークンが一般的なデバイスとし て認識されることがありますが、PGP Desktopでは、適切なソフトウェア ドラ イバーがインストールされている必要があります。最新のソフトウェア ドライ バーは、AladdinサポートWebサイト 『http://www.aladdin.com/support/default.asp』から入手できます。 eToken PKIクライアント (RTE) ドライバー ソフトウェアの最新バージョン (この文書が作成された時点ではバージョンは 4.5 が最新) をダウンロードして、 システムにインストールしてください。eToken PKIクライアントのドライバー ソフトウェアをシステムにインストールしたら、PGP Desktopを開いて、[PGP 鍵] コントロール ボックスをクリックします。ドライバー ソフトウェアが正し くインストールされていれば、[PGP鍵] コントロール ボックスに [スマート カ ード鍵] が表示されます。 PGP Whole Disk Encryptionを使用して暗号化しているディスクまたはパーティ ションの認証方法として [トークン鍵ユーザー] を指定する際に、[鍵の選択] フ ィールドに「適切な鍵がありません」と表示される場合、次のいずれかの原因が 考えられます。 Aladdin eToken が挿入されていない。 ドライバー ソフトウェアのバージョンが正しくないか、正しくインストー ルされていない。 トークンの鍵ペアが使用できないか、eToken に鍵がない (eToken が空であ る)。 PGP Whole Disk Encryption オプションの使用 PGP Whole Disk Encryption 機能には、ディスクまたはパーティションを保護す る前に選択可能な次の 2 つのオプションがあります。 [最大CPU使用率] : PGP Whole Disk Encryptionで最も高速かつ安全にディ スクの初期暗号化を行う方法です。高速化は、暗号化処理がコンピューター で実行される他の処理よりも優先されることによって、主に実現されます。 暗号化処理中にコンピューターから離れる場合は、このオプションを推奨し ます。 158 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows [電源の瞬断に対する安全対策] : コンピューターを適切にシャットダウンし たり再起動したりすることによって初期暗号化処理をいつでも一時停止で きますが、予期しないシャットダウン (電源の瞬断、電源コードが外れるな ど) を回避することは特に重要です。このような事態が発生する可能性があ る場合や、コンピューターに無停電電源装置 (UPS) が取り付けられていな い場合は、[電源の瞬断に対する安全対策] オプションを選択することを推奨 します。[電源の瞬断に対する安全対策] を選択すると、暗号化のジャーナル が記録され、電源が瞬断した場合に暗号化処理が中断された時点から安全か つ正確に再開されます。ただし、このオプションを選択すると、オプション を選択していない場合に比べて、初期暗号化が完了するのに数倍の時間がか かることがあります。 このオプションは、USB デバイスを暗号化する場合にも便利です。このオ プションを有効にしないで暗号化処理中に USB デバイスを取り外すと、デ バイスが破損して再フォーマットが必要になることがあります。[電源の瞬 断に対する安全対策] を有効にして暗号化すると、暗号化処理中に USB デ バイスを取り外しても、再度接続したときに暗号化を再開できます。 次の表を参考にして、使用している環境に最適なオプションを選択してください。 オプション 利点 選択なし (標 準) 処理速度と安全性のバ 暗号化は普通の速度で実 ランスを保ちながら、デ 行されます。 ィスクまたはパーティ 暗号化処理中にコンピュ ションを暗号化します。 ーターの予期しないシャ ットダウンが発生しない ディスクまたはパーテ ィションの暗号化中も、 ように注意してください。 データが喪失する場合が コンピューターを使用 あります。 できます。 注意事項 ほとんどのユーザーに とって最適です。 [最大 CPU 使用 率] 通常よりも高速にディ スクまたはパーティシ ョンを暗号化します。 また、安全性について も、標準の暗号化と同じ レベルの安全性が確保 されます。 [電源の瞬断に 対する安全対 策] ディスクまたはパーテ ィションの暗号化処理 中に電源の瞬断が発生 した場合でも、安全かつ 簡単に暗号化を再開で きます。 159 このオプションではコン ピューターの処理能力が 最大限に使用されるため、 ディスクまたはパーティ ションが暗号化されてい る間、コンピューターの応 答が通常よりかなり遅く なります。 通常よりも時間が長くか かります。 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows オプション 利点 注意事項 電源異常が発生する可 能性のある環境に適し ています。 両方のオプシ ョン [電源の瞬断に対する安 全対策] オプションの 高度な安全機能によっ て、ディスクまたはパー ティションを保護しま す。 ただし、通常の処理速度と 比較すると、かなり低くな ります。 [電源の瞬断に対する安 全対策] オプション単 独の場合よりも高速に 暗号化されます。 ディスクまたはパーティションの暗号化 ディスクの準備が完了して暗号化のオプションを指定したら、ディスクまたはパ ーティションを暗号化できます。開始する前に、次の点に注意してください。 PGP Whole Disk Encryptionを使用して保護されている固定ディスクの認証 にUSBトークンを使用している場合は、正しいトークンを用意し、適切なド ライバー ソフトウェアがインストールされていることを確認してください。 詳細については、「トークンを使用した認証 『ページ : 153』」を参照し てください。 メモ : トークンを使用した認証では、シングル サインオンは使用できませ ん。 通常よりもパフォーマンスは多少低下しますが、暗号化処理中も問題なくコ ンピューターを使用できます。暗号化処理が完了すると、通常のパフォーマ ンスに戻ります。 暗号化処理中にユーザーがコンピューターを使用すると、PGP Desktop によ って暗号化処理が自動的に減速されます。逆に、初期暗号化の際に、他の処 理にコンピューターを使用しないようにすると、暗号化処理は加速されます。 暗号化が行われている間、PGP Desktop の画面表示を最小化しておくか、閉 じておくことができます。最小化しても処理には問題がなく、暗号化処理の 速度が向上します。 160 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化処理を一時的に停止するには、[停止] をクリックしてから、ダイアロ グ ボックスで [一時停止] をクリックします。再開するには [再開] をクリ ックします。[再開] ボタンをクリックした後で認証が必要な場合もあります。 暗号化処理が完了する前にシステムをシャットダウンするには、通常のシャ ットダウン手順を実行してください。処理を一時停止する必要はありません。 コンピューターを再起動すると、暗号化処理が中断された位置から自動的に 再開します。 暗号化、復号化、再暗号化は、一度に 1 つのディスクまたはパーティション にのみ実行できます。1 つのディスクまたはパーティションで処理を開始す ると、その処理が完了するまで他のディスクまたはパーティションの暗号化 を開始できません。最初の処理を一時停止しても、次の処理は開始できませ ん。 PGP WDE のパスフレーズでサポートされる文字 PGP Whole Disk Encryption 機能では、パスフレーズを作成する際に、半角英数 字、句読点、標準のメタ文字、および拡張 ASCII 文字がサポートされます。タブ および制御文字はサポートされません。パスフレーズを選択する際は、次の点に 注意してください。 サポートされている文字は、次のとおりです。 abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 `~!@#$%^&*()_+={}\|:;[]'"<>,.?/- ほとんどの拡張ASII文字 (ç é è ê ë î ï ô û ù ü ÿなど) や記号 (® œ など) がサポートされています。 下表は、関連キーボードでパスフレーズの一部として入力された場合にサポート されない文字のリストです。 キーボード サポートされていない文字 イタリア語 (イタリア) `~ ヘブライ語 (イスラエル) abcdefghijklmnopqrstuvwxyz` ロシア語 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ`@#$^&{}|[]'<>~ (ロシア) ボスニア語 (ボスニア、 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ 161 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows キリル) ブルガリア語 (ブルガリア) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUWXYZ'[]<>{}@#$^&* ポーランド語 []| (ポーランド、 214 キー) セルビア語 (セルビア、 キリル) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ[]{}|@^ ウクライナ語 (ウクライナ) abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLM NOPQRSTUVWXYZ'[]`<>{}|~@#$^& ディスクの暗号化 ラップトップやコンピューターを失くしたり、盗まれたり、ディスクを復号化で きなかったりした場合にデータを喪失しないように、ディスクを暗号化する前に 必ずバックアップを作成してください。 暗号化、復号化、再暗号化は、一度に 1 つのディスクまたはパーティションにの み実行できます。1 つのディスクまたはパーティションで処理を開始すると、そ の処理が完了するまで他のディスクまたはパーティションの暗号化を開始でき ません。最初の処理を一時停止しても、次の処理は開始できません。 PGP Whole Disk Encryption を使用してディスクまたはパーティションを保 護するには、次の手順に従います。 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリックし ます。[PGP ディスク] コントロール ボックスがハイライトされます。 162 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 2 [ディスク全体の暗号化] をクリックします。Partition)(ディスク全体(パーテ ィション)の暗号化 作業領域が表示され、PGPディスク全体暗号化で保護す ることができるコンピュータ上のディスクの一覧 (ディスク、ディスク パ ーティション、リムーバブル ディスクなど)が表示されます。 3 ディスク全体 (パーティション) の暗号化の作業領域で一番上にある [暗号 化するディスクまたはパーティションの選択] セクションで、PGP Whole Disk Encryptionを使用して保護するコンピューター上のディスクまたはパ ーティションをクリックします。 4 [暗号化オプション] で、使用する項目があれば選択します。オプションの詳 細については、「PGP Whole Disk Encryptionオプションの使用 『ページ : 158』」を参照してください。 5 [ユーザー アクセス] セクションで、保護されたディスクまたはパーティシ ョンにアクセスする方法を指定します。 [トークン ベースの公開鍵ユーザー] : システム上の固定 (リムーバブ ルでない) ディスクを保護する場合は、次の操作を行います。 鍵に関連付けられたユーザー名または電子メール アドレスを入 力し、Enterキーを押して鍵を検索します。[ユーザー鍵の追加] も 選択できます。鍵リング上の鍵ペアのリストが表示されます。[鍵 ソース] ボックスから、使用する公開鍵を 1 つまたは複数選択し ます。[追加] をクリックして [追加する鍵] フィールドに鍵を移動 し、次に [OK] をクリックします。[暗号化] をクリックします。 [パスフレーズ ユーザー] : ディスクまたはパーティションを公開鍵で 保護する場合は、[新規パスフレーズ ユーザー] を選択します。PGPデ ィスク アシスタント : Whole Disk Encryption - [ディスク新規ユー ザー] ダイアログ ボックスが表示されます。 163 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化されたディスクを、Windowsアカウントのログオンを使用 してロック解除するには、[Windowsパスワードを使用] を選択し てから、[次へ] をクリックします。PGPディスク アシスタントの [2 要素認証] ダイアログ ボックスで、[パスフレーズ認証のみで 続行する] を選択して、[次へ] をクリックします。PGPディスク アシスタントの [Windowsアカウント ログオン] ダイアログ ボ ックスで、Windowsのユーザー名とパスワードを入力して、[次へ ] をクリックします。[完了] をクリックします。 [Windowsパスワードを使用] オプションを選択する場合は、初期暗 号化の後、コンピューターが起動したときに [PGP BootGuard] 画面 が表示された時点でWindowsパスワードを使用してください。PGPシ ングル サインオン (SSO) 機能によって、Windowsに自動的にログイ ンされるため、ユーザーはパスフレーズを 1 度入力するだけで済みま す。(これがシングル サインオン機能です。詳細については、「PGP WDEシングル サインオンの使用 『ページ : 173の"PGP WDEのシ ングル サインオンの使用"参照先 : 』」を参照してください。) 暗号化されたディスクまたはパーティションを、新規パスフレー ズを使用してロック解除するには、[新規パスフレーズを作成] を 選択してから、[次へ] をクリックします。PGPディスク アシスタ ントの [2 要素認証] ダイアログ ボックスで、[パスフレーズ認証 のみで続行する] を選択して、[次へ] をクリックします。PGPデ ィスク アシスタントの [ユーザー名とパスフレーズの作成] ダイ アログ ボックスで、新しいユーザーの名前と、そのユーザーに関 連付けるパスフレーズを入力します。パスフレーズを [確認] フィ ールドに再度入力して、[次へ] をクリックします。[完了] をクリ ックします。 暗号化されたディスクまたはパーティションを、パスフレーズと USBフラッシュ ドライブで 2 要素認証を使用してロック解除す るには、[新規パスフレーズを作成] を選択してから、[次へ] をク リックします。 PGPディスク アシスタントの [2 要素認証] ダイアログ ボックスで、 [汎用USBフラッシュ デバイス] を選択し、リストからデバイスを選 択して、[次へ] をクリックします。PGPディスク アシスタントの [ユ ーザー名とパスフレーズの作成] ダイアログ ボックスで、新しいユー ザーの名前と、そのユーザーに関連付けるパスフレーズを入力します。 パスフレーズを [確認] フィールドに再度入力して、[次へ] をクリッ クします。[完了] をクリックします。 164 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化されたディスクまたはパーティションを、パスフレーズと TPMで 2 要素認証を使用してロック解除するには、[新規パスフレ ーズを作成] を選択してから、[次へ] をクリックします。PGPデ ィスク アシスタントの [2 要素認証] ダイアログ ボックスで、[ト ラステッド プラットフォーム モジュール (TPM)] を選択して、 [次へ] をクリックします。PGPディスク アシスタントの [ユーザ ー名とパスフレーズの作成] ダイアログ ボックスで、新しいユー ザーの名前と、そのユーザーに関連付けるパスフレーズを入力し ます。パスフレーズを [確認] フィールドに再度入力して、[次へ] をクリックします。[完了] をクリックします。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入力 した文字は画面に表示されません。ただし、誰にも見られていないことが確 実である (背後から覗かれたり、モニターから放射される無線波がスキャン されたりしていない) 場合、入力中にパスフレーズの文字を表示するには、 [キーボード入力の表示] チェック ボックスをオンにします。「パスフレー ズの品質バー 『ページ : 326』」を参照してください。 注意 : PGP Whole Disk Encryptionで保護されたディスクまたはパーティ ションに対してパスフレーズを作成する際は、サポートされているキーボ ード配列を使用することを強く推奨します (詳細については、「サポート されているキーボード 『ページ : 147』」を参照してください)。PGP BootGuardのログイン画面では、パスフレーズを入力して認証する際にこ れらのキーボード配列のいずれかを使用していることが想定されていま す。異なるキーボード配列を使用すると、認証時に問題が発生する場合が あります。詳細については、「PGP BootGuard画面での認証 『ページ : 167』」を参照してください。 6 必要なユーザー アクセスが設定されていることを確認して、[暗号化] をク リックします。 7 ダイアログ ボックスの情報を読んでから、[OK] をクリックします。 8 ディスクの何パーセントが暗号化されたかを確認するには、暗号化プログレ ス バーを参照します。 9 暗号化処理を一時的に停止するには、[停止] をクリックしてから、表示され るダイアログ ボックスで [一時停止] をクリックします。再開するには、[再 開] をクリックします。適切なパスフレーズを入力するための指示が表示さ れる場合があります。 メモ : 暗号化処理が停止し、ディスクの読み取りまたは書き込みエラーが 表示された場合、暗号化中にディスクまたはパーティションに不良セクタ ーが検出されたことを意味します。暗号化を続行するか、処理を中断して エラーを修復できます。「暗号化中のディスク エラーの検出 『ページ : 166』」を参照してください。PGP DesktopをPGP Universal Serverで管理 された環境で使用している場合、暗号化中に検出された不良セクターは PGP Universal Serverにログされ、暗号化処理は続行されます。 165 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化処理が完了すると、ユーザー アクセス セクションにディスクを暗号 化するために使用したユーザーが表示され、新たなユーザーを追加したり、 パスフレーズを変更したり、ユーザーを削除できるように、追加ユーザーの アクセス オプションが利用できるようになります。 10 ディスクが暗号化されたら、リカバリ ディスクを作成することを推奨しま す。詳細については、「リカバリ ディスクの作成 『ページ : 191の"リカ バリ ディスクの作成と使用"参照先 : 』」を参照してください。 暗号化中のディスク エラーの検出 メモ : PGP DesktopをPGP Universal Server管理環境下で使用している場合、 暗号化中に検出された不良セクターはPGP Universal Serverにログされ、暗号 化処理が続行されます。 多くのハード ディスクには、不良セクターがあります。PGP WDE による暗号化 中にディスクの不良セクターが検出されると、暗号化が一時停止します。このと き、PGP WDE でディスク エラーが検出されたことを示す警告メッセージが表示 されます (このエラーは暗号化とは無関係であり、ハード ディスクの保守が必要 であることを示しています)。 次の操作のいずれかを実行できます。 [はい] をクリックして、暗号化を強制的に続行する。ディスク エラーが検 出されることは珍しくありませんが、問題がない場合もよくあります。[は い] をクリックすると、暗号化処理が続行され、以降のエラーはPGP WDE で無視されます。 [いいえ] をクリックして暗号化を中止し、ディスクを完全に復号化して、次 にSpinRiteやNorton Disk Doctorなどのツールを使用してディスク エラー を修復した後で、ディスクの暗号化を再試行する。ディスクの断片化がかな り進んでいる場合や、多くの不良セクターが存在することが判明した場合は、 そのディスクを暗号化する前にハード ディスクに必要な保守作業を直ちに 実行してください。 PGP WDE で暗号化されたディスクの使用 PGP Whole Disk Encryption を使用してシステム上のブート ディスクまたはセ カンダリ固定ディスクを保護すると、コンピューターはそれまでとは異なる方法 で起動します。電源を入れると、最初に PGP BootGuard ログイン画面が表示さ れ、パスフレーズを入力するための指示が表示されます。 166 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 次に、PGP WDE によってディスクが復号化されます。シングル サインオン機能 を有効にしている場合 (つまり、PGP WDE のパスフレーズを Windows アカウン トのログオンと同期している場合)、Windows にもログオンされます。 PGP WDE で暗号化されたディスクを使用すると、必要に応じて自動的に復号化 されて開きます。最近のほとんどのコンピューターでは、ディスクを完全に暗号 化しても、パフォーマンスが目立って低下することはありません。 ディスクまたはパーティションをロック解除すると、システムを物理的に使用で きるすべてのユーザーが、そのディスクまたはパーティションに保存されている ファイルを使用できるようになります。これらのファイルは、コンピューターの シャットダウンによって再びロックされるまでロック解除されたままになりま す。 警告 : ファイルは再度ロックするまでロック解除されたままになるため、コン ピューターの使用中にもファイルをセキュアにする必要がある場合は、PGP仮 想ディスク ボリュームを使用できます。「PGP仮想ディスクの使用『ページ : 201』」を参照してください。 暗号化されたブート ディスクまたはパーティションを持つシステムをシャット ダウンした場合や、暗号化されたリムーバブル ディスクをシステムから取り外 した場合は、そのディスクやパーティション上のファイルはすべて暗号化されて 完全に保護されたままになります。ディスクやパーティションに、暗号化されて いない形式でデータが書き込まれることはありません。ファイルに再びアクセス するには、適切な認証 (パスフレーズ、トークン、または秘密鍵) が必要です。 PGP BootGuard 画面での認証 PGP BootGuard ログイン画面では、次の 2 つの理由のどちらかにより、保護され ているディスクまたはパーティションに対して適切なパスフレーズを入力する ための指示が表示されます。 ブート ディスクまたはパーティションが PGP Whole Disk Encryption を使 用して保護されている場合、システムを起動するには正しく認証する必要が あります。これは、システムの起動を制御するオペレーティング システム のファイルが暗号化されており、システムの起動に使用する前に復号化する 必要があるためです。ブート ディスクまたはパーティションを初めて暗号 化したときにシングル サインオンのオプションを選択した場合、PGP シン グル サインオン機能によって、ユーザーは自動的に Windows にログインさ れます。 167 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows セカンダリ固定ディスクまたはパーティションが PGP Whole Disk Encryption を使用して保護されている場合、コンピューターの起動時に認証 すれば、後でそのセカンダリ ディスクまたはパーティション上のファイル を使用する際に認証する必要はありません。セカンダリ (ブート用でない) ディスクまたはパーティション上のファイルはコンピューターの起動に必 要でないため、コンピューターの起動時には認証が要求されません。管理者 権限があり、PGP Universal Server ポリシーが許可している場合、バイパス 機能を使用すると、コンピューター起動時の認証を省略できます。この場合、 後でセカンダリ ディスクまたはパーティション上のファイルを使用する際 に認証が要求されます。 メモ : PGP BootGuardログイン画面では、暗号化されたドライブやパーティシ ョンに構成されているどのユーザーの認証情報も使用できます。たとえば、同 じシステム上で 2 人のユーザーがブート ディスクまたはパーティションに構 成されていて、別の 2 人のユーザーがセカンダリ固定ディスクまたはパーティ ションに構成されている場合、セカンダリ ディスクまたはパーティションに 構成されている 2 人のユーザーも含め、構成されている 4 人のユーザーのいず れも、システムの起動時にPGP BootGuardログイン画面で自分のパスフレーズ を使用して認証できます。 PGP BootGuard のログイン画面では、次の操作を実行できます。 システム上の暗号化されたブートまたはセカンダリ ディスク、あるいはパ ーティションの認証 システム上のディスクまたはパーティションに関する情報の表示、およびバ イパス機能へのアクセス (PGP Universal Policy が許可している場合のみ管 理者権限のユーザーがバイパスを使用できます)。 キーボード配列の選択 PGP BootGuard ログイン画面を使用して認証するには、次の手順に従います。 1 PGP Whole Disk Encryption で保護されたディスクまたはパーティションを 持つシステムを起動または再起動します。システムの起動時に、PGP BootGuard ログイン画面が表示されます。 168 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows メモ :2 要素認証にUSBデバイスを使用している場合、システムを起動また は再起動する前に、USBデバイスが正しく挿入されていることを確認して ください。 2 有効なパスフレーズまたはWindowsパスワードを入力して、Enterキーを押 します。 注意 : PGP BootGuardログイン画面では、ユーザーがパスフレーズを入力 する際に、サポートされているキーボード配列のいずれかを使用している ことが想定されています。異なるキーボード配列を使用してPGP Whole Disk Encryptionで保護されたディスクまたはパーティション用のパスフレ ーズを作成した場合、キーボード配列間のマッピングが異なることが原因 で認証時に問題が発生することがあります。「キーボード配列の選択 『ペ ージ : 171』」を参照してください。 入力する文字を表示するには、入力し始める前にTabキーを押します。 間違って入力した場合、または間違って入力したと思われる場合は、Escキ ーを押して文字をすべて消去してからやり直します。 ローカル自己修復が構成されていて、パスフレーズを忘れた場合、[パスフ レーズを忘れた場合] を選択します。詳細については、「ローカル自己修復 の使用 『ページ : 182の"パスフレーズを忘れた場合"参照先 : 』」を参 照してください。 メモ :PGP BootGuardのトークン認証では、Enterキー単独でなくCtrlキー を押しながらEnterキーを押す必要があります。また、PGP BootGuardでト ークンが認証されている間、わずかな遅延が生じることもあります。 169 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 3 正しいパスフレーズを入力した場合は、PGP BootGuard ログイン画面が閉 じて、システムが正常に起動します。 ブート ディスクを最初に暗号化したときに Windows アカウント ログオン を使用した認証を選択すると、PGP Whole Disk Encryption 機能によって自 動的に Windows にログインされます。パスフレーズは 1 度しか入力する必 要はありません。 無効なパスフレーズを入力した場合は、エラー メッセージが表示されます。 その場合は、パスフレーズを再度入力してください。 認証時の音 PGP Universal Server で管理された環境で PGP Desktop を使用しており、PGP 管理者によってこのオプションが有効にされている場合は、PGP BootGuard 認証 時に音が鳴ります。パスフレーズの入力時、認証の成功時、または失敗時を示す 3 種類のトーンの組み合わせがあります。 各状態を示す音は、中-高、中-中、または中-低の音の組み合わせです。 まず、パスフレーズや PIN の入力準備ができると、中-中 (準備完了) の音が 出ます。この音が聞こえたら、パスフレーズを入力して Enter キーを押して ください。 パスフレーズの入力後、パスフレーズ認証の成功または失敗によって異なる トーンの音が出ます。 パスフレーズ認証が成功した場合は、中-高の音が出て、コンピュータ ーは起動を続行します。 パスフレーズ認証が失敗した場合は、中-低の音が出ます。PGP BootGuard の認証画面が表示され、パスフレーズ フィールドがクリア されているので、パスフレーズを再入力できます。 PGP 管理者は、これらの音をカスタマイズすることはできません。管理者は、PGP BootGuard での認証中に音を有効にするかどうかのみ指定できます。 PGP BootGuard 画面でロックアウトされる PGP Universal で管理された環境で PGP Desktop を使用している場合は、PGP BootGuard ロックアウトが PGP 管理者によって指定されている可能性がありま す。PGP BootGuard 画面でのパスフレーズの入力試行回数が最大許容数を超える と、"ロックアウト" されます。このことは、パスフレーズ ユーザーにのみ当て はまります (トークンまたは TPM のユーザーは影響を受けません)。 ロックアウトを削除するには、PGP 管理者に問い合わせてください。 170 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows キーボード配列の選択 PGP Whole Disk Encryption のログイン画面では、次のキーボード配列がサポー トされます。 ベルギー語 (ベルギー、コンマ) ベルギー語 (ベルギー、ピリオド) ボスニア語 (ボスニア) ボスニア語 (ボスニア、キリル) ブルガリア語 (ブルガリア) ブルガリア語 (ブルガリア、ラテン) ブルガリア語 (ブルガリア、タイプライター) カナダ マルチリンガル標準 (カナダ) 簡体字中国語 (中国、シンガポール) 繁体字中国語 (香港、台湾) クロアチア語 (クロアチア) チェコ語 (チェコスロバキア、QWERTY) デンマーク語 (デンマーク) オランダ語 (オランダ) 英語 (米国) 英語 (英国) 英語 (米国 - インターナショナル) エストニア語 (エストニア) フィンランド語 (フィンランド) フランス語 (ベルギー) フランス語 (カナダ) フランス語 (フランス) フランス語 (スイス) ドイツ語 (ドイツ、オーストリア) ドイツ語 (IBM) ドイツ語 (スイス) ヘブライ語 (イスラエル) ハンガリー語 (ハンガリー) 171 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows ハンガリー語 (ハンガリー、101 キー) アイスランド語 (アイスランド) アイルランド語 (アイルランド) イタリア語 (イタリア) イタリア語 (イタリア、142 キー) 日本語 (日本) 韓国語 (韓国) ノルウェー語 (ノルウェー) ポーランド語 (ポーランド、プログラマ) ポーランド語 (ポーランド、214 キーボード) ポルトガル語 (ブラジル、ABNT キーボード) ポルトガル語 (ブラジル、ABNT2 キーボード) ポルトガル語 (ポルトガル) ルーマニア語 (ルーマニア) ロシア語 (ロシア、キリル) セルビア語 (セルビア モンテネグロ、キリル) セルビア語 (セルビア モンテネグロ、ラテン) スロバキア語 (スロバキア) スロベニア語 (スロベニア) スペイン語 (スペイン) スペイン語 (中南米) スペイン語 (バリエーション) スウェーデン語 (スウェーデン) トルコ語 (トルコ、F) トルコ語 (トルコ、Q) ウクライナ語 (ウクライナ) 異なるキーボード配列では文字のマッピングが異なる場合があり、パスフレーズ を入力して認証する際に問題が発生することがあります。使用しているキーボー ドの配列に最も類似したキーボート配列を選択して、認証するたびに同じ配列を 使用してください。 172 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows キーボード配列を選択するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されているディスクまたはパー ティションを持つコンピューターを起動または再起動します。システムの起 動時に、PGP BootGuard ログイン画面が表示されます。 2 [キーボード] がハイライトされるまで、キーボードの下矢印キーを押します。 3 Enterキーを押します。キーボード配列画面が表示されます。 4 Tabキーを押して、フォーカスをキーボード配列の一覧に移動します。次に、 キーボードの上矢印キーおよび下矢印キーを使用して、必要なキーボード配 列を選択します。 5 Tabキーを再度押します。[戻る] オプションがハイライトされます。 6 Enterキーを押します。PGP BootGuardのログイン画面が再び表示されます。 PGP WDE のシングル サインオンの使用 シングル サインオンを使用すると、既存の Windows パスフレーズを使用して、 PGP WDE で暗号化されたドライブの認証と Windows への自動ログインの両方 を行えます。 シングル サインオンのしくみ シングル サインオンでは、Windows のログイン動作をカスタマイズするために Microsoft Windows に用意されている方法のうちの 1 つを利用します。ユーザー がログインしようとすると、PGP WDE はそのユーザーが構成した認証情報を使 用して、特定のレジストリ エントリを動的に作成します。 メモ : Windowsパスワードがレジストリに保存されたり、暗号化、クリア テ キストのいずれの形式でもディスクに保存されたりすることは決してありま せん。 シングル サインオンを使用するための必要条件 PGP Whole Disk Encryption がインストールされている必要があります。 173 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows ローカル ユーザーとシングル サインオン コンピューターがドメインのメンバーでない場合に、シングル サインオン ユー ザーがディスクに追加されると、PGP Whole Disk Encryption により「ようこそ 画面を使用する」や「ユーザーの簡易切り替え」(ようこそ画面に依存) などの一 部のユーザー アクセス機能が自動的に無効になります。これにより、Ctrl キーと Alt キーを押しながら Del キーを押すと [Windows セキュリティ] パネルが使用 可能になります。 これらの機能は、コンピューターがドメインのメンバーである場合は自動的に無 効になっています。 シングル サインオンを使用するディスクの暗号化 シングル サインオンを使用するディスクを暗号化するには、次の手順に従いま す。 1 [PGPディスク] コントロール ボックスをクリックして、[ディスク全体の暗 号化] を選択します。 2 暗号化するディスクまたはパーティションを選択し、必要に応じてPGP Whole Disk Encryptionのオプションを選択します。これらのオプションの詳 細については、「暗号化オプションの設定 『ページ : 154』」を参照して ください。 3 [ユーザー アクセス] セクションで、[新規パスフレーズ ユーザー] を選択し ます。 4 [Windowsパスワードを使用] を選択してから、[次へ] をクリックします。 5 Windowsのログイン パスワードを入力してから、[完了] をクリックします。 PGP Whole Disk Encryptionによって、名前がドメイン全体で有効であるこ と、およびWindowsパスワードが正しいことが検証されます。また、PGP Whole Disk Encryptionでは、許可されている文字だけがパスワードに含まれ ているかどうかも確認されます。許可されない文字がパスワードに含まれて いる場合は、続行できません。使用できる文字の詳細については、「PGP Whole Disk Encryptionのパスフレーズでサポートされる文字 『ページ : 161の"PGP WDEのパスフレーズでサポートされる文字"参照先 : 』」を参 照してください。 6 [暗号化] をクリックしてから、[OK] をクリックします。 174 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 複数ユーザーとシングル サインオン シングル サインオンには最高 28 ユーザーを構成できます。ただしシングル サ インオン ユーザーは、できるだけ少数の、システムを共有する必要があるユー ザーだけに制限することを推奨します。1 つの暗号化されたコンピューターを多 数のユーザーが共有することは、技術的には可能であっても安全な方法ではあり ません。このような使用はできるだけ避けてください。 メモ : シングル サインオン機能はパスフレーズのみです。シングル サインオ ンにはユーザーの鍵は使用できません。また、この機能にはスマート カード やトークンとの互換性もありません。 シングル サインオンによるログイン シングル サインオンを構成してあると、システムの起動時に PGP BootGuard 画 面が表示されます。正しいユーザー名とパスワードを入力すると、PGP WDE に よって Windows セッションへのログインが行われ、PGP WDE で暗号化された ディスク パーティションにアクセスできるようになります。 シングル サインオンのパスフレーズの変更 Windowsのパスワード変更をPGP WDEと同期するには、[Windowsセキュリテ ィ] ダイアログ ボックスの [パスワードの変更] 機能を使用して、シングル サ インオンのパスワードを変更する必要があります。このダイアログ ボックスは、 CtrlキーとAltキーを押しながらDelキーを押すと表示されます。 パスフレーズを変更するには、次の手順に従います。 1 Ctrl キーと Alt を押しながら Del キーを押します。 2 古いパスワードを入力します。 3 新しいパスワードを入力して、確認のため再度入力します。 4 [OK] をクリックします。 シングル サインオンによって、この新しいパスワードの同期が自動的かつ 透過的に行われます。次回のログインでは、新しいパスフレーズを直ちに使 用できます。 175 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 注意 : ドメイン コントローラー、Windowsのコントロール パネル、システ ム管理者、別のシステム経由などの他の方法でパスワードを変更すると、PGP BootGuard画面での次回のログインに失敗します。その場合は、古いWindows パスワードを入力する必要があります。古いWindowsパスワードを使用して PGP BootGuard画面でログインに成功すると、Windowsログインのユーザー名 とパスワードの画面が表示されます。ここで新しいWindowsパスワードを使用 して正しくログインする必要があります。この時点でPGP WDEによって新し いパスワードとの同期が行われます。 Windows のログイン ダイアログ ボックスの表示 PGP WDE をシングル サインオン (SSO : Single Sign-On) と共に使用する場合 は、PGP BootGuard にパスフレーズを正しく入力すると、自動的にコンピュータ ーにログインします。Windows が起動すると、まもなく Windows デスクトップ が表示されます。 ただし、自動的にログインするのではなく、Windows ログイン ダイアログ ボ ックスを使用してコンピューターにログインしなければならない場合もありま す。たとえば、SSO を使用するとバイパスされる、特定のネットワーク (企業の VPN など) のダイアログ ボックスにアクセスする必要が生じる場合があります。 PGP WDE SSO によるログインをスキップし、Windows ログインを表示する には、次の手順に従います。 1 通常どおり、パスフレーズを入力して Enter キーを押し、PGP BootGuard 画面でコンピューターにログインします。 2 Microsoft Windows のスプラッシュ画面が表示されたら、Windows ログイ ン ダイアログ ボックスが表示されるまで Shift キーを押したままにします。 スプラッシュ画面が Windows 起動プロセスの半分程進んだら、Shift キーを 押してください。 3 Windows ログイン ダイアログ ボックスが表示されたら、情報を入力して システムにログインします。 ディスクのセキュリティの維持 次のセクションでは、PGP WDE で暗号化したディスクの使用方法について説明 します。 176 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows ディスクまたはパーティションの情報の取得 PGP BootGuard の詳細ログイン画面で読み取り専用のディスクまたはパーテ ィションの情報を取得するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティ ションを持つシステムを起動または再起動します。システムの起動時に、 PGP BootGuard ログイン画面が表示されます。 2 キーボードの↓キーを押します。右下隅の [詳細] がハイライトされます。 3 Enterキーを押します。PGP BootGuardの詳細ログイン画面が表示されます。 この画面には、次の情報が表示されます。 4 システム上のすべてのディスクおよびパーティション。PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティション の暗号化ステータスも表示されます。 コンピューター名。 コンピューター ID。 現在選択されているディスクまたはパーティション。さらに、選択さ れたディスクまたはパーティションでバイパス機能が有効かどうかの 情報も表示されます。(バイパス機能は PGP Universal Policy が許可し ている場合のみシステムで管理者権限のあるユーザーが使用できます)。 PGP BootGuardログイン画面に戻るには、画面の右下の [戻る] をハイライ トしてからEnterキーを押します。 システム パーティションの変更 PGP WDE で暗号化されたブート ディスクでは、システム パーティションを変 更しないでください。変更すると、次回の起動が正常に行われなくなります。暗 号化されたディスクのパーティションを変更する必要がある場合は、先にディス クを復号化してからパーティションの変更を行ってください。 バイパス機能の使用 バイパス機能を使用すると、コンピューター起動時の認証をスキップできます。 ブート ディスクまたはパーティションは PGP Whole Disk Encryption を使用し て保護されていないがシステム上の別の固定ディスクまたはパーティションは 保護されている場合、PGP BootGuard のログイン画面が起動時に表示されます。 このような場合はバイパス機能を使用して認証をスキップし、ブート ディスク またはパーティションから起動できます。 177 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 注意 : バイパス機能を使用できるのは、ブート ディスクまたはパーティショ ンがPGP Whole Disk Encryptionで保護されていない場合だけです。ブート デ ィスクまたはパーティションが保護されている場合に認証を行わないと、オペ レーティング システムが読み込まれず、コンピューターは起動しません。 バイパス機能を使用するには、次の手順に従います。 1 PGP Whole Disk Encryption を使用して保護されているディスクまたはパー ティションがあるシステムを起動または再起動します。システムの起動時に、 PGP BootGuard ログイン画面が表示されます。 2 キーボードの↓キーを押します。右下隅の [詳細] がハイライトされます。 3 Enterキーを押します。PGP BootGuardの詳細ログイン画面が表示されます。 4 キーボードの↓キーを再度押します。右下隅の [バイパス] がハイライトさ れます。 5 Enterキーを押します。PGP BootGuardの詳細ログイン画面が消え、システ ムが通常どおりに起動します。 暗号化されたディスクまたはパーティションへのユーザーの追加 暗号化されたディスクまたはパーティションを作成するユーザーは、そのディス クまたはパーティションを他のユーザーが使用できるように設定できます。追加 されたユーザーは、自分用の一意のパスフレーズ、秘密鍵、またはトークン (PIV カード含む) を使用して、暗号化されたディスクまたはパーティションにアクセ スできます。暗号化ディスクには最高 120 ユーザーを構成できます。 暗号化ディスクに関連付けられているユーザーの種類を確認するには、ユーザー アクセス リストのユーザーの名前にカーソルを移動します。「ヒント」が表示 され、ユーザーの種類を示します。トークン ユーザーを示すにはトークン鍵ア イコンが使用され、SSO ユーザーには Windows ドメイン/ユーザー名が表示され ます。 注意 : PGP Whole Disk Encryptionで保護されたディスクまたはパーティショ ンにアクセスできるユーザーを複数設定すると、1人のユーザーがパスフレー ズを忘れたり、認証トークンをなくしたりした場合に、代替策としての役割を 果たします。暗号化されたディスクまたはパーティションに構成されたユーザ ーは、PGP Whole Disk Encryptionのログイン画面で認証を行い、そのシステ ム上の、保護されたディスクまたはパーティションをどれでもロック解除でき ます。 178 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows PGP Whole Disk Encryption で保護されたディスクまたはパーティションに ユーザーを追加するには、次の手順に従います。 1 PGP Desktop メイン画面の左側のペインにある [PGP ディスク] コントロー ル ボックスをクリックします。 2 ユーザーの追加先として、[PGP ディスク] 作業領域の一番上にあるディス クのリストから、暗号化されたディスクまたはパーティションを選択します。 3 [新規パスフレーズ ユーザー] をクリックします。ユーザーの種類を選択す るためのダイアログ ボックスが表示されます。 4 「ディスクの暗号化 『ページ : 162』」のユーザー アクセスの手順の指 示に従います。 メモ : PGP Whole Disk Encryptionで暗号化されたディスクまたはパーティシ ョンに他のユーザーを追加する場合、次の理由により、公開鍵による暗号化が 最も安全な保護方法です。(1) パスフレーズを新しいユーザーに開示する必要 がないため、パスフレーズが傍受されたり、盗聴されたりする危険性が最小限 になります。(2) 他のユーザーが別のパスフレーズを覚えておく必要がありま せん。(3) 各ユーザーが自分の秘密鍵を使用してディスクにアクセスするため、 ユーザーリストの管理が簡単になります。PGP Whole Disk Encryptionでブー ト ディスクまたはパーティションを保護する場合、公開鍵がトークンに保管 されている必要があります。 暗号化されたディスクまたはパーティションからのユーザーの削除 暗号化されたディスクまたはパーティションへのアクセス権をユーザーから削 除することが必要になる場合があります。 暗号化されたディスクまたはパーティションからユーザーを削除するには、次 の手順に従います。 1 ディスク全体 (パーティション) の暗号化の画面で、PGP Whole Disk Encryption で保護された適切なディスクまたはパーティションを選択しま す。 2 [ユーザー アクセス] リストから、削除するユーザーの名前を選択します。 3 [ユーザーの削除] をクリックします。[パスフレーズ] ダイアログ ボックス が表示されて、認証するための指示が表示されます。 4 有効なパスフレーズを入力して、[OK] をクリックします。これで、代替ユ ーザーが削除されます。 179 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows ユーザー パスフレーズの変更 シングル サインオンを使用している場合、「シングル サインオン機能を使用し ている場合のパスフレーズの変更 『ページ : 180』」の説明に従って、パスワ ードを変更してください。 暗号化されたディスクまたはパーティションのユーザー パスフレーズを変更 するには、次の手順に従います。 1 ディスク全体 (パーティション) の暗号化の画面で、PGP Whole Disk Encryption で保護された適切なディスクまたはパーティションを選択しま す。 2 [ユーザー アクセス] リストで、パスフレーズを変更するユーザーの名前を 選択します。 3 [パスフレーズの変更] をクリックします。現在のパスフレーズを入力するた めの指示が表示されます。 4 適切なパスフレーズを入力してから、[OK] をクリックします。[ユーザー パ スフレーズの変更] ダイアログ ボックスが表示されます。 5 新しいパスフレーズを入力します。 6 [パスフレーズの確認] フィールドに新しいパスフレーズを再度入力してか ら、[OK] をクリックします。これで、パスフレーズが変更されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 326』」 を参照してください。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入力 した文字は画面に表示されません。入力するパスフレーズの文字を確認する には、[キーボード入力の表示] チェック ボックスをオンにします。 シングル サインオン機能を使用している場合のパスフレーズの変更 PGP Whole Disk Encryptionのシングル サインオン機能を有効にした場合、 [Windowsセキュリティ] ダイアログ ボックスの [パスワードの変更] 機能を使 用してパスフレーズを変更することを推奨します。 メモ : [Windowsセキュリティ] ダイアログ ボックスは、CtrlキーとAltキーを 押しながらDelキーを押すとアクセスできます。 シングル サインオン機能の使用中にパスフレーズを変更するには、次の手順に 従います。 1 Ctrl キーと Alt キーを押しながら Del キーを押します。[Windows セキュリ ティ] ダイアログ ボックスが表示されます。 180 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 2 古いパスフレーズを入力します。 3 新しいパスフレーズを入力し、確認のため再度入力します。 4 [OK] をクリックします。WindowsのパスワードとPGP Whole Disk Encryptionのパスフレーズが同時に変更されます。次回ログインするときに は、新しいパスフレーズを使用してください。 注意 : ここに記載されている以外の方法でパスフレーズを変更した場合、PGP BootGuard画面での次回のログインは失敗します。その場合、古いパスフレー ズを入力する必要があります。古いパスフレーズを使用してPGP BootGuard画 面でログインに成功すると、Windowsログインのユーザー名とパスワードの画 面が表示されます。ここでWindowsログイン画面を使用して正しくログインす る必要があります。この時点でPGP Whole Disk Encryption機能によって新し いパスフレーズと同期されます。 ローカル ユーザーと PGP ディスク全体暗号化シングル サインオン機能 コンピュータがドメインのメンバーでない場合、PGPディスク全体暗号化は自動 的に、CTRLキー、ALTキー、およびDELキーの組み合わせを使用してサインイン するようにします。 このため、シングル サインオン ユーザーが追加されると、 ようこそ画面を使用する やCTRLキー、ALTキー、DELキーの組み合わせなど、 一部のWindowsユーザー アクセス機能が無効になります。 これらの機能は、コンピュータがドメインのメンバーになっていると自動的に無 効になります。 暗号化されたディスクまたはパーティションの再暗号化 パスフレーズや認証トークンが侵害されたことが疑われる場合、または以前アク セス権を持っていたユーザーが削除された場合は、保護されたディスクまたはパ ーティションを再暗号化することを推奨します。 ディスクまたはパーティションの再暗号化にあたり、PGP Whole Disk Encryption 機能では同じ暗号アルゴリズム (AES256) が使用されますが、基とな る暗号化鍵は別のものを使用してディスクまたはパーティションが再度暗号化 されます。結果はディスクまたはパーティションを復号化して再び暗号化するの と同様ですが、処理に要する時間は大幅に短縮されます。 メモ : 再暗号化は、既に暗号化されているすべてのパーティションに適用され ます。暗号化するパーティションを 1 つ選択すると、同じディスク上にある、 既に暗号化されているすべてのパーティションが 1 つずつ再暗号化されます。 暗号化されているディスクまたはパーティションを再暗号化するには、次の手 順に従います。 1 暗号化された適切なディスクまたはパーティションを選択します。 181 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 2 [ディスク] > [再暗号化] を選択します。認証するための指示が表示されます。 3 適切なパスフレーズを入力してから、[OK] をクリックします。再暗号化処 理が開始します。 パスフレーズを忘れた場合 パスフレーズを忘れた場合、コンピューターが設定されている場合、5 つのセキ ュリティに関する質問から 3 つに正解することによって、PGP BootGuard をバイ パスできます。5 つのセキュリティに関する質問を作成して、回答します。これ は、鍵を紛失したか鍵のパスフレーズを忘れた場合に鍵をリカバリするのと似て います。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者がローカル自己修復のオプションを無効にしてい る場合があります。また、管理者がローカル自己修復を登録中に設定するよう に指定していることもあります。この場合、PGP Desktopで設定したセキュリ ティに関する質問を入力するように要求されます。 セキュリティ用の質問を作成するには 1 PGP Desktop を使用して内蔵ドライブを暗号化します。パスフレーズ ユー ザーまたは Windows SSO ユーザーを使用できます。 2 PGP Desktopでユーザー名を右クリックし、[セキュリティに関する質問の 追加] を選択します。 メモ : WDE-AdminユーザーまたはADKにセキュリティに関する質問を作 成することはできません。 3 セキュリティに関する質問を 5 つ作成して回答します。右 (およびツールの ヒント) にユーザー名がLSRで表示され、「ローカル自己修復」がそのユー ザーに設定されたことを示します。 PGP BootGuard でパスフレーズをリカバリするには、次の手順に従います。 1 PGP BootGuard画面で、矢印キーを使用して [パスフレーズを忘れた場合] を選択し、ENTERを押します。 182 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 2 表示された最初のセキュリティに関する質問に回答します。回答を入力して、 Enter キーを押します。 3 引き続き質問に回答します。5 つの質問のうち、3 つに正しく答える必要が あります。 4 質問に正解すると、Windows オペレーティング システムが起動します。 Windows ダイアログ ボックスへのログオンが表示されたら、Windows ロ グイン名とパスワードを入力します。 Windows が起動し終わったら、PGP ディスク - [ユーザー パスフレーズの 変更] ダイアログ ボックスが表示されます。 5 ユーザー用の新しいパスフレーズを入力して確認し、[OK] をクリックしま す。このユーザーに新しいパスフレーズが作成されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 326』」 を参照してください。 通常は、セキュリティを強化するために、パスフレーズのフィールドに入力 した文字は画面に表示されません。入力するパスフレーズの文字を確認する には、[キーボード入力の表示] チェック ボックスをオンにします。 再度パスフレーズを忘れると、セキュリティに関する質問が表示されます。セキ ュリティに関する質問を変更する場合、ユーザー名を右クリックし、[セキュリテ ィに関する質問の変更] を選択します。 183 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows バックアップとリストア 最近のほとんどのバックアップ プログラムは、PGP WDE で暗号化されたディス ク上のデータを問題なくバックアップできますが、一部のバックアップ プログ ラムでは、問題が生じることがあります。これらのバックアップ プログラムで は、PGP WDE によって使用される、PGPWDE01 というファイルが検出される とエラーが発生します。この問題を解決するには、PGPWDE01 をバックアップ 対象から除外するようにバックアップ プログラムに対して指定する必要があり ます (大半のバックアップ プログラムでは、個々のファイルを除外できます)。 これらのプログラムでバックアップを再び作成できるようになったら、バックア ップが正常に機能することを確認してください。 PGP ディスク全体暗号化によって暗号化されたディスクに対する自動バックアップ ソフトウェ アの使用 PGP ディスク全体暗号化で保護されたディスクまたはパーティションは、自動的 にバックアップできます。PGP WDE を使って暗号化する前に、必ずシステムの バックアップを行ってください。 ソフトウェアによるバックアップ時には、いずれのファイルも復号化されること に注意してください。暗号化されたデータをバックアップするには、PGP Virtual Disk または PGP NetShare の保護フォルダーーを使用します。 暗号化されたディスクまたはパーティションからの PGP Desktop のアンインス トール PGP Whole Disk Encryption で保護されたディスクまたはパーティションがシス テムにある場合は、PGP Desktop がアンインストールされると、これらのディス クまたはパーティションにアクセスできなくなります。このため、PGP Whole Disk Encryption で保護されたディスクまたはパーティションがシステムにある 場合は、安全機能によって PGP Desktop をアンインストールできないしくみに なっています。この場合、暗号化されたディスクまたはパーティションを保護す るためにアンインストール処理が中止されているというエラー メッセージが表 示されます。 PGP Desktop をアンインストールするにはまず、システム上の、PGP Whole Disk Encryption を使用して保護されたディスクまたはパーティションをすべて復号 化します。 184 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows リムーバブル ディスクの使用 このセクションでは、リムーバブル ディスクの使用方法について説明します。 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用し ている場合、リムーバブル ディスクの暗号化がセキュリティ ポリシーによって 要求されることがあります。セキュリティ ポリシーによっては、リムーバブル ディスクを読み取り専用ディスクとしてマウントすることが要求される場合も ありますが、ディスクを暗号化するためのオプションが用意されています。 注意 : Microsoft Windowsの [ハードウェアの安全な取り外し] オプションを 必ず使用して、接続されたUSBデバイスを取り外す前に停止してください。 リムーバブル ディスクの暗号化 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用し ている場合、リムーバブル ディスクの暗号化がセキュリティ ポリシーによって 要求されることがあります。リムーバブル ディスクを挿入すると、[PGP Desktop - 記憶装置が接続されました] ダイアログ ボックスが表示されます。 次のいずれか 1 つを実行します。 リムーバブル ディスクがUSBフラッシュ ディスクや外付けハード ドライ ブなどの外付けドライブである場合、[暗号化] をクリックします。デバイス は自動的にユーザーの鍵で暗号化されます。ブート ディスクが他のユーザ ーの鍵で暗号化されている場合は、その鍵の所有者がユーザーとしてリムー バブル ディスクに追加されます。自分の鍵が見つからない場合、または他 のユーザーの鍵が見つからない場合は、パスフレーズ ユーザーを作成する ための指示が表示されます。 メモ :PGP Universal Server管理者が、すべてのリムーバブル ディスクが 自動的に暗号化されるように指定していて、ブート ディスクが暗号化され ていない場合、デバイスの暗号化にはユーザーの鍵リングにある最初の鍵 ペアが使用されます。 ディスクのサイズによっては、暗号化処理の完了までに時間がかかる場合が あります。ディスクが暗号化されている間も、リムーバブル ディスクは引 き続き使用できます。 警告 : ディスクを取り出す前に、暗号化処理が完了していることを確認し てください。 デバイスを暗号化しない場合は、[ロック] をクリックします。デバイスはロ ックされ、読み取り専用になります。ファイルに変更を加えたりファイルを デバイスから削除したりしようとすると、Windowsのエラー メッセージが 表示されます。 185 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows リムーバブル ディスクが音楽デバイスまたはデジタル カメラの場合は、[ ロック] をクリックします。このタイプのデバイスは、デバイスのコンテン ツが暗号化されていると動作しません。音楽デバイスやデジタル カメラを 間違って暗号化した場合は、復号化する必要があります。会社のセキュリテ ィ方針によっては、デバイスを復号化するためにIT部門またはPGP管理者に 問い合わせることが必要な場合があります。 すべてのリムーバブル ディスクの暗号化がセキュリティ ポリシーで要求され ていても、(機内にいるため会社のネットワークに接続していない場合など) PGP Universal Server を利用できないときには、リムーバブル デバイスを暗号化でき ません。したがって、デバイスは「ロック」され、読み取り専用になります。次 に PGP Universal Server に接続したときに、(まだ暗号化していない) ディスクの コンテンツを暗号化できます。 メモ :PGP管理者が、すべてのリムーバブル ディスクが暗号化されるように指 定していると、PGPトレイ メニューの [PGPサービスの終了] オプションを使 用できなくなります。 読み取り専用にロックされたディスクの使用 PGP Universal Server で管理された環境で PGP Whole Disk Encryption を使用し ている場合、リムーバブル ディスクを読み取り専用デバイスとしてマウントす るように、セキュリティ ポリシーで設定されていることがあります。リムーバ ブル ディスクを挿入すると、[PGP Desktop - 記憶装置が接続されました] ダイ アログ ボックスが表示されます。リムーバブル ディスクはロックされており、 ディスクを暗号化しないと、データをディスクに書き込むことはできません。デ バイスを暗号化することを選択した場合は、ディスクを引き続き通常どおりに使 用できます。 次のいずれか 1 つを実行します。 リムーバブル ディスクがUSBフラッシュ ディスクや外付けハード ドライ ブなどの外付けドライブである場合に、ディスクに書き込めるようにするに は、[暗号化] をクリックします。デバイスは自動的にユーザーの鍵で暗号化 されます。ブート ディスクが他のユーザーの鍵で暗号化されている場合は、 その鍵の所有者がユーザーとしてリムーバブル ディスクに追加されます。 自分の鍵が見つからない場合、または他のユーザーの鍵が見つからない場合 は、パスフレーズ ユーザーを作成するための指示が表示されます。 ディスクのサイズによっては、暗号化処理の完了までに時間がかかる場合が あります。ディスクが暗号化されている間も、リムーバブル ディスクは引 き続き使用できます。 警告 : ディスクを取り出す前に、暗号化処理が完了していることを確認し てください。 186 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows デバイスを暗号化しない場合は、[ロック] をクリックします。デバイスはロ ックされ、読み取り専用になります。ファイルに変更を加えたりファイルを デバイスから削除したりしようとすると、Windowsのエラー メッセージが 表示されます。 リムーバブル ディスクが音楽デバイスまたはデジタル カメラの場合は、[ ロック] をクリックします。このタイプのデバイスは、デバイスのコンテン ツが暗号化されていると動作しません。音楽デバイスやデジタル カメラを 間違って暗号化した場合は、復号化する必要があります。会社のセキュリテ ィ方針によっては、デバイスを復号化するためにIT部門またはPGP管理者に 問い合わせることが必要な場合があります。 他のシステムへのリムーバブル ディスクの移動 PGP Whole Disk Encryption を使用して USB フラッシュ ディスクなどのリムー バブル ディスクを保護している場合、PGP Desktop 9.5.2 またはそれ以降のバー ジョンがインストールされている別の Windows XP、Windows 2000、または Windows Vista システムにそのディスクを移動して、そのフラッシュ ディスク 上の暗号化されたファイルに別のシステムからアクセスできます。 ディスクのコンテンツにアクセスするには、認証する必要があります。 メモ : 暗号化されたリムーバブル ディスクを移動する際は、PGP Desktopの ライセンスを付加することを推奨します。<PGP Whole Disk Encryption機能を 使用してディスクを保護するには、適切なPGP Desktopライセンスが必要で す。ただし、リムーバブル ディスクをPGP Whole Disk Encryptionで保護した 場合、PGP Desktop 9.5.2 またはそれ以降のバージョンがインストールされて いる別のコンピューターで、そのリムーバブル ディスクを使用できます。こ の場合、別のコンピューターにはディスク全体暗号化をサポートするPGP Desktopライセンスは必要ありません。 暗号化されたリムーバブル ディスクの再フォーマット リムーバブル ディスクを暗号化してから、Windows ディスク管理ユーティリテ ィを使用してそのディスクを再フォーマットすると、次にディスクを挿入したと きにパスフレーズの入力を要求されます。 この要求を取り消すには、次の操作を行います。 1 [スタート] > [ファイル名を指定して実行] を選択して「cmd」と入力するこ とで、コマンド プロンプトを起動して、C:¥Program Files¥PGP Corporation¥PGP Desktopにナビゲートします。 2 次のコマンドを入力します。 pgpwde --fixmbr --disk 1 187 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化されたディスクがコンピューター上に複数存在する場合は、まず、 pgpwde --enumコマンドを実行する必要があります。このコマンドを実行 すると、暗号化されたディスクの一覧が表示されます。USBドライブがディ スク「1」ではなく、別の番号として情報が返された場合は、代わりにその 番号を使用します。たとえば、USBディスクがディスク「2」であれば、pgpwde --fixmbr --disk 2のように暗号化を削除するコマンドを入力します。 これでディスクを挿入したときに、パスフレーズを要求されなくなります。 PGP Universal Server で管理された環境での PGP WDE の使用 PGP Whole Disk Encryption 機能は、PGP Universal Server で管理された環境の PGP Desktop ユーザーが使用できるように構成できます。管理者は、会社全体の ユーザーに PGP Desktop インストーラーを導入できます。 PGP ディスク全体暗号化の管理 PGP 管理者が管理できる機能は次のとおりです。 PGPディスク全体暗号化機能をユーザーが利用できるようにするかどうか を設定できます。 PGP Universal Serverによって管理されている環境内で PGPディスク全体暗号化機能が利用できない場合には、この機能がポリシー により無効になっていないかどうかをPGP管理者に確認してください。 PGP ディスク全体暗号化機能の使用には、PGP Corporation から適切なライ センスを取得しておく必要もあります。この機能がポリシーでは有効である にも関わらず実際には使えない場合には、適切なライセンスを取得している かどうかを PGP 管理者に確認してください。 PGPディスク全体暗号化(WDE) で保護しているディスクまたはパーティシ ョンを回復可能にするかどうかを設定できます。PGPディスク全体暗号化で 暗号化されているディスクまたはパーティションのパスフレーズを忘れた 場合や、認証トークンを紛失した場合には、ディスクまたはパーティション にアクセスできません。ただし、PGP Universal Serverによって管理されて いる環境でPGPディスク全体暗号化機能を使用している場合は、ディスクま たはパーティションの回復オプションが利用可能であるかどうかをPGP管 理者に確認してください。 PGP Desktopをインストールするときに、ブート ディスクをPGPディスク 全体暗号化により暗号化する必要があるかどうかを設定できます。 PGP Universal Server によって管理されている環境で PGP Desktop を使用 している場合は、PGP 管理者にお尋ねください。 コンピュータでPGPディスク全体暗号化シングル サインオン (SSO) 機能 を利用するかどうかを設定できます。 188 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows この機能の詳細については、「PGP WDEシングル サインオンの使用 『ペ ージ : 173の"PGP WDEのシングル サインオンの使用"参照先 : 』」を参 照してください。 PGPディスク全体暗号化機能で使用するモードを設定できます。 PGP管理者が管理者鍵とスマート カードを使用して、暗号化されたディス クまたはパーティションにアクセスできるかどうかを設定できます。 暗号化モードの詳細については、「ディスクに対する認証方法の決定 『ページ : 152の"ディスクの認証方法の選択"参照先 : 』」を参照してください。 PGP Universal Server によって管理されている環境で PGP Desktop をインストー ルした後で、WDE 機能によるブート ディスクまたはパーティションの暗号化が 必要になる可能性があります。また逆に、PGP 管理者が PGP WDE 機能を無効に している可能性もあります。 PGP Universal Serverによって管理されている環境でPGP Desktopを使用してい る場合に、リムーバブル ディスクを挿入すると、そのディスクを暗号化するよ うに要求されることがあります。詳細については、「リムーバル ディスクの暗 号化 『ページ : 185の"リムーバブル ディスクの暗号化"参照先 : 』」を参照 してください。 ポリシーを別のポリシーに変更する必要がある場合、特にディスクの暗号化を有 効から無効にする場合でも、既にディスク全体暗号化によって暗号化されている ドライブは使用できることに注意してください。ただし、それ以外のドライブを 暗号化したり、暗号化された既存ドライブの再暗号化や、新規ユーザーを追加し たりすることはできなくなります。 詳細については、「PGP Universal Serverを介してのPGP Desktopの使用 『ペー ジ : 331の"PGP Universal Serverを介してのPGP Desktopの使い方"参照先 : 』 」を参照してください。 リカバリ トークンの作成 PGP Universal Server で管理された環境では、ユーザーによるディスク全体リカ バリ トークンの作成がポリシーで許可されている場合は、そのユーザーがディ スク、Windows パーティション、またはリムーバブル ディスクを PGP Whole Disk Encryption で暗号化するたびに、リカバリ トークンが自動的に作成されま す。パスフレーズや認証トークンを紛失した場合、このリカバリ トークンを使 用してディスクまたは Windows パーティションにアクセスできます。 ポリシーによってリカバリ トークンの作成が許可されていない場合や、PGP Universal Server で管理された環境で使用していない場合は、ディスク全体リカ バリ トークンを使用できません。 このリカバリ トークンは、PGP Whole Disk Encryption によって保護されたディ スクまたは Windows パーティションのセキュリティを管理する PGP Universal Server に自動的に送信されます。 189 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows PGP Universal Server で管理された環境で、PGP Whole Disk Encryption でディ スクまたは Windows パーティションを保護するためのパスフレーズまたは認 証トークンを紛失してしまった場合は、リカバリ トークンの使用方法について PGP 管理者に問い合わせてください。 リカバリ トークンは、PGP Whole Disk Encryption を使用して保護されたディス クまたは Windows パーティションにアクセスするために 1 度だけ使用できます。 リカバリ トークンが使用されると、新しいリカバリ トークンが自動的に作成さ れ、PGP Universal Server に送信されます。PGP Desktop ユーザーは、ディスク またはパーティション上で新しいユーザーを作成するか、または既存のユーザー を維持するかを選択できます。 リカバリ トークンは、暗号化されたディスクまたは Windows パーティションへ のアクセスにのみ使用します。リカバリ トークンはデータの暗号化や復号化に は使用できません。 注意 : パスフレーズの漏洩などでセキュリティが損なわれた場合や、認証トー クンを紛失した場合は、PGP Whole Disk Encryptionで保護されたディスクま たはWindowsパーティションを再度暗号化することを推奨します。この処理で は同じ暗号アルゴリズムでディスクまたはパーティションが再暗号化されま すが、基となる暗号化鍵は異なります。結果としてはディスクまたはパーティ ションを復号化して再び暗号化する操作と同じですが、処理に要する時間は大 幅に短縮されます。 Using a Recovery Token Once you have received the recovery token from your PGP Universal Administrator, follow the steps below to unlock your disk. When you enter a recovery token, you do not need to match the case (all uppercase) or dashes that you received from your PGP Universal Administrator. You can enter all lowercase characters without the dashes if you want. To use a recovery token on a boot disk At the PGP BootGuard screen, enter the recovery token in the passphrase field. To use a recovery token on a removable drive Insert the disk and enter the recovery token when prompted to enter the passphrase. 190 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 暗号化されたドライブからのデータのリカバリ まれに、破損または破壊した暗号化ドライブから、データをリカバリしなければ ならない場合があります。または、前の従業員が暗号化したドライブなど、ドラ イブにアクセスするためのログイン情報がない場合があります。そのような場合 は、次のような対処法があります。 1 リカバリ ディスクを使用する。ディスクまたはパーティションを暗号化す る前に作成されたリカバリ ディスクを使用して、ディスクを復号化できま す。詳細については、「リカバリ ディスクの作成と使用 『ページ : 191』」 を参照してください。 2 別のシステムを使用してドライブを復号化する。詳細については、「PGP WDEで暗号化されたディスクの復号化 『ページ : 193』」を参照してく ださい。 3 ディスク全体リカバリ トークンを使用する。PGP Universal Serverによって 管理されている環境でPGP Desktopを使用している場合、ディスクを暗号化 するとリカバリ トークンが自動的に作成されます。詳細については、「リ カバリ トークンの使用 『ページ : 190の"Using a Recovery Token"参照 先 : 』」を参照してください。 リカバリ ディスクの作成と使用 PGP Whole Disk Encryption によって保護されているブート ディスクまたはパ ーティションでマスター ブート レコードが損傷する可能性はきわめて低いと 言えますが、ゼロではありません。これが発生すると、システムが起動しなくな ります。 このような不測の事態に備えるため、PGP Whole Disk Encryptionを使用してブ ート ディスクまたはパーティションを暗号化する前に、リカバリCDまたはディ スケット、あるいはその両方を作成します。 注意 : リカバリ ディスクは、そのリカバリ ディスクを作成したバージョンの PGP Desktopのみと互換性があります。たとえば、9.0.xリカバリ ディスクを 使用して、PGP WDE 9.5ソフトウェアで保護されたディスクを復号化しようと すると、PGP WDE 9.5ディスクが動作不能と表示されます。 このセクションでは、リカバリ CD およびディスケットの両方を作成する方法を 説明します。また、その使用方法についても説明します。 191 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows リカバリ CD を作成するには、次の手順に従います。 1 PGP Desktop for Windows および Roxio Easy Media Creator または Roxio Easy CD Creator (あるいは ISO イメージから CD を作成できるその他のソフ トウェア) がシステムにインストールされていることを確認します。 2 Roxio Easy Media Creator または Roxio Easy CD Creator を開き、データ CD プロジェクトの作成を選択します。 3 [ファイル] > [CDイメージからCDに記録] の順に選択します。[ハード ディ スク イメージからCDを記録] 画面が表示されます。 4 [ファイルの種類] > [ISOイメージ ファイル (ISO)] を選択します。 5 PGPディレクトリに移動します。デフォルトのディレクトリは、「 C:\Program Files\PGP Corporation\PGP Desktop\」です。 6 [bootg.iso] を選択して、[開く] をクリックします。[CD記録の設定] 画面 が表示されます。 7 コンピューターの CD ドライブに新しい CD-R を挿入します。 8 CD記録の設定画面で [記録開始] をクリックします。ISOファイルがCDに記 録される間、[CDイメージ記録進行状況] 画面が表示されます。 9 ファイルのCDへの記録が完了したら、[OK] をクリックします。PGP Whole Disk EncryptionのリカバリCDが作成されます。 10 ドライブからリカバリ CD を取り出し、適切なラベルを付けます。 リカバリ ディスケットを作成するには 1 PGP Desktop for Windows およびリカバリ ディスケットを作成できるアプ リケーション (MagicISO など) がシステムにインストールされていること を確認します。 2 ディスク ドライブに新しいディスケットを挿入します。 3 MagicISO などの、リカバリ ディスケットを作成できるアプリケーションを 起動します。 4 [ツール] > [フロッピー ディスク イメージの書き込み] を選択します。[開 く] ダイアログ ボックスが表示されます。 5 PGPディレクトリに移動します。デフォルトのディレクトリは、「 C:\Program Files\PGP Corporation\PGP Desktop\」です。 6 [Bootg.img] を選択して、[開く] をクリックします。ファイルがディスケ ットに書き込まれます。 7 ドライブからリカバリ ディスケットを取り出し、適切なラベルを付けます。 8 MagicISO を終了します。 192 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows リカバリ ディスクまたはディスケットを使用するには、次の手順に従います。 注意 : リカバリ ディスクまたはディスケットを使用してディスクまたはパー ティションの復号化を開始した後は、復号化処理を中止しないでください。復 号化されるディスクのサイズによっては、この処理に時間がかかる場合があり ます。より迅速にドライブを復号化する方法は、同じバージョンのPGP Desktopがインストールされている別のシステムを使用する方法です。詳細に ついては、「PGP WDEで暗号化されたディスクの復号化 『ページ : 193』」 を参照してください。 1 システムを再起動したときに PGP Whole Disk Encryption リカバリのログイ ン画面が表示されなかったり、再起動時に PGP Whole Disk Encryption のリ カバリ ディスクを挿入するための指示が表示されたりした場合は、システ ムの CD ドライブにリカバリ CD を挿入するか、ディスク ドライブにリカ バリ ディスクを挿入します。 2 システムを再起動します。リカバリ ディスクから PGP Whole Disk Encryption のログイン画面が表示されます。 3 PGP Whole Disk Encryption で保護されているブート ドライブまたはパー ティション用の適切なパスフレーズを入力します。次の操作のいずれかを実 行できます。 Enterキーを押して、システムの起動を試行する。 「D」と入力して、ディスクを復号化する。 PGP WDE で暗号化されたディスクの復号化 PGP Whole Disk Encryption で保護されたディスク上で何らかのディスク リカ バリ操作を実行する場合、ベスト プラクティスとして最初にディスクを復号化 することを推奨します。ディスクを復号化するには、次のいずれかの操作を行い ます。 PGP Desktopの [ディスク] > [復号化] オプションを使用する (このオプシ ョンを使用してディスクを復号化する方法については、次の手順を参照して ください)。 用意してあるPGP WDEリカバリ ディスクを使用する (リカバリ ディスク の作成方法については、「リカバリ ディスクの作成 『ページ : 191の"リ カバリ ディスクの作成と使用"参照先 : 』」を参照してください)。 USB ケーブルでハード ディスクを別のシステムに接続し、そのシステムの PGP Desktop ソフトウェアから復号化する。 ディスクが復号化されたら、リカバリー アクティビティを実行してください。 193 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows PGP Desktop を使用してディスクを復号化するには、次の手順に従います。 1 PGP Desktop を開き、[PGP ディスク] コントロール ボックスをクリックし ます。[PGP ディスク] コントロール ボックスがハイライトされます。 2 [ディスク全体またはパーティションの暗号化] をクリックします。 Partition)(ディスク全体(パーティション)の暗号化 作業領域が表示され、PGP ディスク全体暗号化で保護することができるコンピュータ上のディスクの 一覧 (ディスク、ディスク パーティション、リムーバブル ディスクなど) が表示されます。 3 ディスク全体 (パーティション) の暗号化の作業領域の一番上にある [暗号 化するディスクまたはパーティションの選択] セクションで、コンピュータ ー上の、復号化するディスクまたはパーティションをクリックします。 4 [ディスク] > [復号化] を選択するか、または [復号化] をクリックします。 ディスクをロック解除するためのダイアログ ボックスが表示されます。 5 パスフレーズを入力してディスクをロック解除します。[PGP Desktop] ウィ ンドウに、復号化の進捗状況が表示されます。4 [PGP Desktop] ウィンドウに、ディスクの復号化が完了するまでの時間が表 示されます。復号化処理を一時停止またはキャンセルするには、[停止] をク リックします。必要な場合は、[スタート] > [シャットダウン] を選択してコ ンピューターをシャット ダウンできます。電源オン/オフ ボタンを押して コンピューターの電源を切らないでください。 別のシステムを使用して、PGP WDE で暗号化されたドライブを復号化するに は、次の手順に従います。 1 復号化するハード ドライブをコンピューターから取り外し、ドライブ エン クロージャに取り付けます。 2 PGP Desktop がインストールされているコンピューターに、ドライブ エン クロージャを USB ケーブルで接続します。 3 PGP Desktop がインストールされているコンピューターに表示されるパス フレーズ入力画面に、ドライブ エンクロージャに取り付けたドライブを復 号化するためのパスフレーズを入力します。 PGP Desktop によるセキュリティ確保のための特別な対策 PGP Desktop には、PGP Whole Disk Encryption 機能のセキュリティ上の問題を 回避するために役立つ機能が用意されています。セキュリティ確保のための対策 は、PGP 仮想ディスク ボリュームにも適用できます。 194 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows パスフレーズの消去 PGP Desktop は、入力されたパスフレーズを短時間だけ使用した後メモリから消 去し、パスフレーズのコピーも作成しません。つまり、通常パスフレーズがメモ リ内に保存されるのはほんの一瞬です。この非常に重要な機能がない場合は、ユ ーザーがコンピューターから離れた隙に、他のユーザーがコンピューターのメモ リに残っているパスフレーズを探し出してしまう可能性があります。気づかない うちに、このパスフレーズで保護されているデータへの完全アクセス権限がパス フレーズ傍受者に付与してしまうことになります。 仮想メモリの保護 パスフレーズやその他の鍵は、仮想メモリ システムがメモリの内容をディスク にスワップする際に、ディスクに書き込まれる可能性があります。そこで PGP Desktop は、パスフレーズや鍵がディスクに書き込まれないよう対策を講じてい ます。この機能により、侵入者に仮想メモリ ファイルがスキャンされてパスフ レーズを探し出されるのを未然に防止できます。 休止モードとスタンバイ モード Windowsの休止モードでは、コンピューターのすべてのメイン メモリ領域のイ メージがハード ディスク ドライブ上のファイルに書き込まれますが、パスフレ ーズは書き込まれません。PGP Corporationでは、スタンバイ モードではなく休 止モードを常に使用することを推奨しています。休止モードでは、コンピュータ ーがオフになった後で、PGP BootGuard画面で認証してログインし直すことが必 要となるためです。 メモリ静的イオン マイグレーションの防止 (Windows システム上で) PGP ディスク全体暗号化 (WDE) を使用してディスク またはパーティションを保護する場合、パスフレーズが鍵として使用されます。 この鍵は、暗号化ディスクまたは暗号化パーティション上のデータの暗号化や復 号化に使用されます。パスフレーズはメモリから直ちに消去されますが、鍵 (ち なみにパスフレーズを鍵から取得することは不可能です) は、メモリ内に残りま す。 195 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows 鍵はディスク上の仮想メモリに書き込まれないようになってはいるものの、メモ リのある部分がオフになったりリセットされたりせずに、長期間全く同じデータ を保存していると、そのメモリが静電荷を保持する可能性があります。(Windows システム上で) 暗号化ディスクまたは暗号化パーティションが長期間繰り返し復 号化されると、時間の経過とともに、検出可能な鍵の形跡がメモリに残ることが あります。この現象を利用した、鍵を回復するための機器も存在します。一般電 気店で購入することはできませんが、政府機関ではたいていこのような機器を所 持しています。 PGP Desktop では、鍵のコピー 2 つを RAM 上に保持することで、このような脅 威から鍵を保護します。 その他のセキュリティ対策 一般的に、データがどのくらい安全かは講じるセキュリティ対策により左右され るため、ずさんな管理下では、どのような暗号化プログラムを使ってもセキュリ ティを保護することはできません。たとえば、PGP ディスク全体暗号化を使用し て (Windows システム上で) ディスクまたはパーティションを保護していても、 コンピュータで機密ファイルを開いたままデスクから離れたりすると、誰でもそ の情報にアクセスできます。 セキュリティを確保するには、以下のヒントを参考にしてください。 パスワード保護機能が付いたスクリーン セーバーを使用すると、デスクを 離れた際に、他のユーザーが使用中のコンピュータにアクセスしたり、画面 を表示したりするのを防ぐことができます。 (Windows 上で) 暗号化されたディスクやパーティションを、ネットワーク 上の他のコンピュータから利用できないようにします。これについては、ネ ットワーク管理者に相談してください。ディスクまたはパーティションをロ ック解除すると、PGP ディスク全体暗号化(WDE) ではファイルを保護でき なくなります。それらのファイルに対するネットワーク アクセス権を持つ すべてのユーザーが、ファイルの内容にアクセスできるようになります。コ ンピュータの使用中でもロックしておく必要があるファイルの保管につい ては、PGP Virtual Disk 機能を使用することをお勧めします。 パスフレーズは、メモなどに書き留めないでください。書き留めておかなく ても記憶できるようなパスフレーズを選択することをお勧めします。パスフ レーズの記憶に問題がある場合は、ポスター、歌詞、詩、ジョークなど、思 い出しやすいものを使用するとよいでしょう。書き留めることだけはしない でください。 196 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows PGP Desktop を家庭で使用し、他のユーザーとコンピュータを共有している 場合、PGP ディスク全体暗号化(WDE) を使用して保護されている (Windows システム上の) ディスクやパーティション上のファイルを開いた ままで放置すると、他のユーザーに見られてしまう可能性があります。ディ スクまたはパーティションにディスク全体暗号化処理を行ったコンピュー タをシャット ダウンした場合、または暗号化されたリムーバブル ドライブ をコンピュータから取り外す場合、ディスクまたはパーティションのすべて のファイルは暗号化されたまま完全に保護された状態になります。 Windows プレインストール環境の使用 カスタマイズされた Windows プレインストール (PE) CD/UFD (USB フラッシュ ドライブ) を作成すると、復旧目的で利用できる、起動可能リカバリ ツールが提 供されます。たとえば、DOS コマンドを使用すると、ファイルのコピー、編集、 バックアップ、および削除が可能になります。 また、Windows PE は、PGP WDE で暗号化されたコンピューターを Windows Vista にアップグレードする場合にも使用できます。 PGP WDEのドライバーとツールを取得するには、「PGP Supportナレッジベース 記事 807 『https://support.pgp.com/?faq=807』」を参照してください。このKB 記事には、このセクションで説明するすべての手順が記載された、ダウンロード 可能な技術資料も含まれています。 PGP Whole Disk Encryption の IBM Lenovo ThinkPad システムでの使用 PGP WDE ドライバーを IBM Lenovo ThinkPad Rescue and Recovery にプレイン ストールして、Lenovo Rescue and Recovery 機能を自動的に検出するには、 Windows プレインストール環境 (PE) を使用します。 このオプションは、Rescue and Recoveryバージョン 3.0 以降を実行しているIBM Lenovoシステムに対してのみ使用できます。このオプションを使用すると、PGP WDEドライバーがLenovo Rescue and Recoverにプレインストールされ、 Lenovo Rescue and Recoveryのサポートが自動的に検出されます。また、PGP WDEドライバーが ¥windows¥system32¥driversディレクトリから取得されま す。IBM Lenovo Rescue and Recoveryにインストールされるファイルは、PGP WDEドライバー ファイル (pgpwded.sys) とPGPstart.exeファイル (この ファイルの詳細については、次の手順を参照) の 2 つです。 PGP Whole Disk Encryption を IBM Lenovo Rescue and Recovery にインストー ルするには、次のファイルが必要です。 pgppeツールに含まれているファイル : pgppe.exe、pgpstart.exe PGP Desktopインストール プログラムに含まれているファイル : pgpwded.sys、pgpbootb.bin、pgpbootg.bin、pgpsdk.dll、 pgpsdknl.dll、pgpwd.dll、pgpwde.exe 197 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows Windows Vista の場合にのみ必要なファイル : wimfltr ドライバーをインス トールする必要があります (Windows 自動インストール キットの一部)。 注意 : このオプションは、PGP Desktopがシステムにインストールされた後で しか使用しないでください。 Lenovo Rescue and Recovery を有効にするには、次の手順に従います。 1 PGP Desktop をインストールします。 2 Windowプレインストール環境ツールを「PGPサポート ナレッジベース記事 807 『https://support.pgp.com/?faq=807』」から取得して、インストール します。 3 Zipファイル内のPGPstart.exeファイルとPGPpe.exeファイルをPGP Desktopのインストール ディレクトリ (通常はc:¥Program Files¥PGP Corporation¥PGP Desktop) にコピーします。 4 コマンド プロンプトを起動して、PGP Desktop のディレクトリに変更しま す。 5 pgppe コマンドを次のように実行します。 pgppe /recovery Lenovo Rescue and Recovery のサポートを削除するには、次の手順に従いま す。 pgppeコマンドを次のように実行します。 pgppe /recovery /remove Microsoft Windows XP 回復コンソールでの PGP Whole Disk Encryption の使 用 Windows XP 回復コンソールを管理目的で使用する場合は、ディスクが暗号化さ れているときに、PGP WDE のドライバーを Microsoft Windows 回復コンソール にインストールする必要があります。そうしないと、回復コンソールは使用でき ません。 メモ : Windows PEまたはBartPEを使用して認証を行うには、パスフレーズ ユーザーを使用する必要があります。トークンまたはTPMユーザーはサポート されません。 注意 : PGP Desktopがインストールされ、ディスクがPGP WDEで暗号化され た後で、これらのドライバーをインストールしてください。 198 PGP Whole Disk Encryption によるディスクの保護 PGP Desktop for Windows PGP WDE のドライバーを Windows XP 回復コンソールにインストールするに は、次の手順に従います。 1 PGP Desktop をインストールします。 2 Windowプレインストール環境ツールを「PGPサポート ナレッジベース記事 807 『https://support.pgp.com/?faq=807』」から取得して、インストール します。 3 Zipファイル内のPGPstart.exeファイルとPGPpe.exeファイルをPGP Desktopのインストール ディレクトリ (通常はc:¥Program Files¥PGP Corporation¥PGP Desktop) にコピーします。 4 コマンド プロンプトを起動して、PGP Desktop のインストール ディレクト リに変更します。 5 pgppe コマンドを次のように実行します。 pgppe /cmdcons Windows XP 回復コンソールからドライバーを削除するには、次の手順に従い ます。 pgppeコマンドを次のように実行します。 pgppe /cmdcons /remove 199 11 PGP 仮想ディスクの使用 PGP 仮想ディスクを使用して、作業の整理、類似した名前を持つファイルの隔離、 同じ文書やプログラムの異なるバージョンの隔離を行うことができます。 このセクションでは、PGP Desktop の PGP 仮想ディスク機能について説明しま す。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP仮想ディスクについて .................................................................... 202 PGP仮想ディスクの新規作成 ................................................................ 203 PGP仮想ディスクのプロパティの表示.................................................. 206 PGP仮想ディスクの検索........................................................................ 207 マウント済みPGP仮想ディスクの使用.................................................. 207 代替ユーザーの使用............................................................................... 211 ユーザー パスフレーズの変更 .............................................................. 214 PGP仮想ディスクの削除........................................................................ 215 PGP仮想ディスクの管理........................................................................ 215 PGP仮想ディスクの暗号化アルゴリズム .............................................. 217 PGP仮想ディスクによる特別なセキュリティ措置................................ 218 Note: PGP Virtual Disks were called PGP Disks in previous versions of PGP Desktop. The phrase PGP Disk now includes both the PGP Virtual Disk and the PGP Whole Disk Encryption features. 201 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクについて PGP 仮想ディスクは、コンピューターに接続されたディスク上に確保され、暗号 化された領域です。PGP 仮想ディスクは、銀行の金庫のように働き、機密ファイ ルの保護にきわめて有効です。一方、コンピューターの他の部分はロック解除し て作業用に使用できます。 PGP 仮想ディスクは外観と機能は増設ハード ディスクと同様ですが、実際には どのコンピューター ディスク上にも常駐できる 1 つのファイルです。ファイル の保存領域としての PGP 仮想ディスクには、アプリケーションのインストール やファイルの保存を行うことも可能ですが、同時に、コンピューターの他の部分 に影響を与えずにいつでもロックできます。PGP 仮想ディスクに保存されている アプリケーションやファイルを使用する必要がある場合は、ディスクをロック解 除して、ファイルを再度アクセス可能にできます。 PGP 仮想ディスクのロック解除とロックは、コンピューターに対するマウント/ マウント解除によって行われます。PGP Desktop ではこの操作がほぼ自動的に遂 行されます。 PGP 仮想ディスクにはサイズの指定がありますが、動的にサイズ変更するディス クを作成することもできます。この場合、ディスクは必要に応じてサイズが大き くなります。ディスクの作成時に指定するサイズが、そのディスクの最大サイズ になります。 PGP 仮想ディスクをマウントし終えると、次の操作が行えます。 マウントされた PGP 仮想ディスクとの間のファイルの移動とコピー マウントされた PGP 仮想ディスクへのファイルの保存 マウントされた PGP 仮想ディスク内部へのアプリケーションのインストー ル PGP 仮想ディスク上のファイルやアプリケーションは、暗号化された状態で保存 されています。PGP 仮想ディスクがマウント解除されている際にコンピューター がクラッシュしても、ディスクの内容は暗号化されたまま保護されます。 PGP 仮想ディスクがマウント解除されていると、Windows エクスプローラーま たは Mac OS X Finder に表示されず、適切な認証のないユーザーはアクセスでき ません。 すべてのデータは暗号化されたファイル内にセキュリティ保護されており、解読 されるのはユーザーがこれらのファイルの 1 つにアクセスするときだけであると いうことに注意する必要があります。ボリュームのデータをこの方法で保管する と、PGP 仮想ディスクを操作したり他のユーザーと交換したりするのが容易にな りますが、ファイルがなんらかの理由で削除された場合にはデータが簡単に失わ れることにもなります。元のファイルが破損した場合にデータを復旧できるよう に、暗号化されたファイルのバックアップを作成することを推奨します。 202 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP仮想ディスク ボリュームに影響するPGPオプションについては、「ディス ク オプション 『ページ : 316』」を参照してください。 Caution: If you are using PGP Desktop in a PGP Universal Server-managed environment, you may be required to create a PGP Virtual Disk after installing PGP Desktop. If so, the size, file system, and algorithm may have been specified. For more information, see Using PGP Desktop with PGP Universal Server 『ページ : 331の"PGP Universal Serverを介してのPGP Desktopの使 い方"参照先 : 』. PGP 仮想ディスクの新規作成 PGP 仮想ディスクを新しく作成するには 1 PGP Desktop を開きます。 2 PGP Desktopメイン画面左側のペインにある [PGPディスク] コントロール ボックスをクリックし、[新規仮想ディスク] をクリックします。または、[フ ァイル] > [新規] > [PGP仮想ディスク] の順に選択します。画面の右側のコ ントロール ボックスに [新規仮想ディスク] 画面が表示されます。 3 [名前] フィールドに、新しいPGP仮想ディスクの名前を入力します。 4 [ディスク ファイルの場所] フィールドで、PGP仮想ディスク ボリュームが 作成されるデフォルトの場所を使用するか、または [参照] をクリックして 別の場所を指定します。 203 PGP 仮想ディスクの使用 PGP Desktop for Windows 5 [マウントするドライブ文字] メニューから、新しいPGP仮想ディスクをマウ ントするドライブ文字を選択します。 次の操作のいずれかを実行できます。 PGP Desktop が表示するドライブ文字を使用します。 [マウントするドライブ文字] メニューで、使用可能なドライブをリス トから選択します。 新しいPGP仮想ディスクをドライブとしてではなくフォルダーとして マウントする場合は、[マウントするドライブ文字] メニューから [フ ォルダー] を選択します。[マウントするドライブ文字] メニューの横 にフィールドが表示されるので、フォルダーの場所を指定します。 6 新しいPGP仮想ディスク ボリュームがコンピューターの起動時に自動的に マウントされるようにするには、[起動時にマウント] をオンにします。オン にすると、コンピューターの起動時にPGP仮想ディスクのパスフレーズの入 力が求められます。 7 指定した時間 (分単位) コンピューターを使用しないとPGP仮想ディスクが マウント解除されるようにするには、[次の期間アクティブでない状態が続 いたらマウント解除] を選択します。これは、頻繁にコンピューターから離 れる場合に役立ちます。PGP仮想ディスクをロックし忘れたときに備えた、 安全対策になります。 8 9 [容量] メニューから、PGP仮想ディスクのタイプを選択します。オプション は次のとおりです。 ダイナミック (サイズ変更可能) :このタイプのディスクは、追加の空き 領域が必要になるまでは小さな状態を保ち、ファイルが追加されるに つれて容量が増加します。PGP Desktopがこの処理を管理するため、必 要となるのはディスクの最大サイズの設定だけです。このディスクは、 後で圧縮することもできます。この種類のPGP仮想ディスクはFATまた はFAT32 でフォーマットされたディスクでのみ使用できます。 展開可能 :このタイプのディスクは、追加の空き領域が必要になるまで は小さな状態を保ち、ファイルが追加されるにつれて容量が増加しま す。PGP Desktopがこの処理を管理するため、必要となるのはディスク の最大サイズの設定だけです。このディスクは、後で圧縮することも できます。この種類のPGP仮想ディスクはNTFSでフォーマットされた ディスクでのみ使用できます。 固定サイズ :このタイプのディスクは、追加されるファイル数に関係な く同じサイズを保ちます。この種類のPGP仮想ディスクはすべての種類 のフォーマットされたディスクで使用できます。 [容量] メニューから、新しいPGP仮想ディスクのサイズ (ダイナミック デ ィスクの場合は最大サイズ) を設定します。使用できる数値は整数のみで、 小数は使用できません。メニューから、[KB] (キロバイト) 、[MB] (メガバイ ト) 、[GB] (ギガバイト) のいずれかを、入力した数値の単位として指定しま す。 204 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクに指定可能な最大サイズは、ハード ディスクのサイズや フォーマット形式によって異なります。 10 11 12 ボリュームのファイルシステム形式を、以下の中から指定してください。 FAT。ボリュームは 100 KB以上の容量が必要です。 FAT32 :ボリュームは 260 MB以上の容量が必要です。 NTFS :ボリュームは 5 MB以上、Windows Vistaの場合は 12 MBの容量 が必要です。 データの保護に使用する暗号化アルゴリズムを、以下の情報を参照しながら 指定してください。 AES (256 ビット) : AES (Advanced Encryption Standard) とは、128、 192、256 ビットで使用できるブロック暗号です。デフォルトでは、PGP 仮想ディスク ボリュームの作成には安全性の高い 256 ビットが使用さ れます。 EME2-AES (256 ビット) :EME2 (Encrypt-Mix-Encrypt v2) は各操作で 2 回暗号化する強力なアルゴリズムです。EME2 はIEEE規格作業部会が 現在見直し中のワイドブロック モード アルゴリズムです。 CAST5 (128 ビット) : CAST5 は 128 ビット ブロック暗号です。CAST は、軍事用に匹敵する強力な暗号化アルゴリズムで、許可されていな いアクセスを阻止する能力が非常に優れています。 Twofish (256 ビット) : Twofishは、 256 ビット ブロック暗号 (対称ア ルゴリズム) です。これは、米国標準技術局 (NIST: National Institute of Standards and Technology) がAES用に検討した 5 つのアルゴリズムの 1 つです (Rijndaelを選択) 。 新しいPGP仮想ディスクにアクセスできるユーザーが少なくとも 1 人必要 です。[ユーザー アクセス] セクションで、アクセスを与えるユーザーとア クセスに使用する方法を指定します。 ユーザー鍵 : 公開鍵暗号化方式を使用して認証を行うユーザーを追加 するには次の操作を行います。 [ユーザー鍵の追加] をクリックします。鍵リングに現在含まれて いる鍵ペアを示す [鍵ユーザーの追加] ボックスが表示されます。 [鍵ユーザーの追加] ボックスで、リストから選択する鍵ユーザー をダブルクリックします。または、リストされた鍵ユーザーを左 側から右側にをドラッグするか、選択してから [追加] をクリック します。完了したら、[OK] をクリックします。 パスフレーズ :[新規パスフレーズ ユーザー] をクリックします。[新規 ユーザーの作成] ダイアログ ボックスが表示されます。 205 PGP 仮想ディスクの使用 PGP Desktop for Windows 新しいパスフレーズ ユーザーごとに、ユーザーの名前とそのユー ザーのパスフレーズを入力します。確認のために、同じパスフレ ーズをもう一度入力します。[OK] をクリックし、パスフレーズ ユ ーザーを作成します。 他のパスフレーズ ユーザーを承認する場 合は、この手順を繰り返します。 パスフレーズ ユーザーのパスフレーズを変更するには、そのユー ザーを選択し、[パスフレーズの変更] をクリックします。 効果的で高品質なパスフレーズの作成については、「強力なパスフレーズの 作成 『ページ : 327』」を参照してください。 13 [作成] をクリックすると、新しいPGP仮想ディスクの作成が開始されます。 進行状況バーに、PGP仮想ディスクの初期化とフォーマット作業の進行状況 が表示されます。完了すると、新しいPGP仮想ディスクがPGPディスク管理 領域に表示されます。 14 最初に作成したユーザーには管理者のステータスが与えられます。同時に存 在できる管理者は 1 人だけです。ただし、管理者のステータスは他のユーザ ーに与えることができます。これは、公開鍵ユーザーでも、パスフレーズ ユ ーザーでもかまいません。[ユーザー アクセス] リストでユーザーの名前を クリックし、[管理者にする] をクリックします。 15 管理者以外のユーザーは、名前を選択し、[ユーザーの削除] をクリックして 削除します。管理者を削除する場合は、管理者ステータスを別のユーザーに 与えてから、前の管理者を削除してください。 PGP 仮想ディスクのプロパティの表示 PGP 仮想ディスクを作成した後は、[Disk Properties (ディスクのプロパティ)] 画 面からそのディスクと変更可能な設定に関する情報にアクセスできます。 PGP ディスク ボリュームのプロパティを表示するには PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスで、ディスクの名前をクリックします。[Disk Properties (ディスク のプロパティ)] は、メイン画面の右側に表示されます。PGP 仮想ディスク フ ァイルの場所、ディスク容量、マウント ドライブの文字、ディスク フォー マット、暗号化タイプ、ディスクのステータス (マウント、マウント解除) な どが表示されます。 206 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクの検索 以前にインストールした PGP Desktop を使用して PGP 仮想ディスクを作成した 場合、PGP ディスク検索アシスタントを使用するとこれらのボリュームを簡単に 検索できます。 コンピュータ上の仮想ディスクを検索するには 1 PGP Desktopを開き、[PGPディスク] コントロール ボックスをクリックし ます。PGPディスクのメイン画面が表示されます。 2 [ファイル] > [PGPディスクのスキャン] の順に選択します。PGPディスク検 索アシスタント ダイアログ ボックスが表示されます。 3 このダイアログ ボックスに表示される指示に従ってください。 ヒント : マウントされている特定のPGP仮想ディスク ボリュームを検索する には、PGP Desktopでボリュームの名前を右クリックし、エクスプローラでデ ィスクの場所を確認を選択します。Windowsエクスプローラで、そのボリュ ームの内容を表示する新しいウィンドウが開きます。 マウント済み PGP 仮想ディスクの使用 PGP 仮想ディスク上のファイルやフォルダーの作成、コピー、移動、および削除 は、コンピューター上の他のディスクに対して通常行う操作と同様です。 同じコンピューターから、またはネットワーク経由でボリュームにアクセスでき るユーザーは、そのボリューム上のデータにもアクセスできます。ただしデータ はボリュームのマウントが解除されるまで保護されないので、注意が必要です。 注意 :各PGP仮想ディスク ファイルは、暗号化されているので適切な権限がな いとアクセスできませんが、コンピューターから削除することはできます。シ ステムにアクセスできるユーザーならだれでも、PGP仮想ディスクが含まれた 暗号化ファイルを削除できます。そのため、暗号化ファイルのバックアップ コ ピーを取っておくことは、コンピューターの近くから離れる際にロックするこ とと同様に、重要な安全対策です。 PGP 仮想ディスクのマウント 新たに作成した PGP 仮想ディスクは自動的にマウントされ、ファイルの保存に 使用できるようになります。 207 PGP 仮想ディスクの使用 PGP Desktop for Windows ボリュームの内容をセキュリティで保護するには、マウント解除する必要があり ます。いったんマウント解除されたボリュームの内容は、暗号化ファイル内でセ キュリティ保護された状態に維持されます。ボリュームを再びマウントするまで、 ファイルにはアクセスできないためです。 PGP 仮想ディスクのマウントには、複数の方法があります。 PGP Desktopで、マウントするPGP仮想ディスクを選択して、[ディスク] > [マウント] の順に選択します。 PGP Desktopで、マウントするPGP仮想ディスクを選択します。続いて、 Windowsシステムの場合、右上隅にある [マウント] をクリックします。 Mac OS Xシステムの場合、ツールバーにある [マウント] アイコンをクリッ クします。 コンピューターの起動時に PGP 仮想ディスクがマウントされるように、PGP 仮想ディスクのプロパティを変更します。 Windows システムのみ PGP仮想ディスクの作成中に、[起動時にマウント] チェックボックスをオン にします。Windowsを起動すると、ボリュームが自動的にマウントされます。 PGP仮想ディスクの作成時にこの指定をしなかった場合は、オプションとし て後で設定できます。 Windowsエクスプローラーで、PGP仮想ディスク ファイルを右クリックし て、ショートカット メニューから [PGP] > [PGP仮想ディスクのマウント] の順に選択します。 マウントされた PGP 仮想ディスク ボリュームは、Windows エクスプローラー および Mac OS X Finder に空のドライブとして表示されます。 PGP 仮想ディスクのマウント解除 PGP 仮想ディスクをロックするには、マウント解除します。PGP 仮想ディスク のマウントが解除されると、そのボリュームの内容は暗号化ファイルとしてロッ クされます。ボリュームを再びマウントするまで、その内容にはアクセスできま せん。 注意 : ファイルを開いている状態でPGP仮想ディスクをマウント解除すると、 そのファイルのデータが失われることがあるので、注意してください。ディス クのマウント解除オプションを指定するには、[ツール] > [PGP] を選択して、 [ディスク] タブをクリックします。 オプションの1つに [Allow PGP Virtual Disks to unmount even while files are still open (ファイルが開いている状 態でもPGP仮想ディスクのマウント解除を許可する)] があります。このオプ ションを選択すると、[Don't ask before unmounting (マウント解除の前に確 認しない)] オプションも使用可能になります。これらのオプションを理解して いない場合は、使用しないでください。 これらのオプションは定期的なバッ クアップでデータを保護している上級ユーザーにとっては役立つ場合があり ますが、多くのユーザーには推奨されません。 208 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスク ボリュームをマウント解除するには、次のようないくつかの 方法があります。 PGP Desktopメイン画面左側のペインにある [PGPディスク] コントロール ボックスをクリックし、マウント解除するボリュームを選択します。右上隅 の [マウント解除] をクリックするか、 [ディスク] > [マウント解除] の順 に選択します。 Windowsエクスプローラで、PGP仮想ディスクのファイルを右クリックし、 ショートカット メニューから [PGP] > [PGP仮想ディスクのマウント解除] の順に選択します。 すべてのPGP仮想ディスクをマウント解除するには、ホットキーを使用しま す。デフォルトのほーっとキーはCtrl+Shift+Uです。ホットキーは、最初に 有効にする必要があります。 PGP 仮想ディスクのマウントが解除されると、そのボリュームの内容はロックさ れ、再びマウントされるまでアクセスできなくなります。 PGP 仮想ディスクの圧縮 PGP 仮想ディスクの空き領域を増やすには、ディスクを圧縮します。PGP 仮想 ディスクがマウントされている場合は、圧縮する前にディスクのマウントを解除 する必要があります。 メモ :FATまたはFAT32 フォーマットの動的な (サイズが固定されていない) PGP仮想ディスクのみが圧縮できます。NTFSフォーマットのディスクまたは サイズが固定されたディスクは圧縮できません。 PGP 仮想ディスクを圧縮するには 次のいずれかを実行します。 Windowsエクスプローラで、.pgdファイルの保存場所に移動します。 ファイルを右クリックして、[PGP Desktop] > [未使用領域の圧縮] の 順に選択します。 PGP Desktopメイン画面左側の [PGPディスク] コントロール ボック スをクリックして、圧縮するPGP仮想ディスクを選択してから、[ディ スク] > [Compact (圧縮)] の順に選択します。また、[PGPディスク] コ ントロール ボックスの [PGP仮想ディスク] を右クリックし、ショー トカット メニューから [Compact (圧縮)] を選択することもできます。 PGP 仮想ディスクの再暗号化 PGP 仮想ディスクに保存されているデータはすべて再暗号化できます。再暗号化 を行う理由としては、次のいずれか、あるいは両方が考えられます。 209 PGP 仮想ディスクの使用 PGP Desktop for Windows 現在ボリュームの保護に使用してる暗号化アルゴリズムを変更する場合 セキュリティの侵害が疑われる場合 再暗号化では、PGP 仮想ディスクを再び暗号化しますが、異なる基本暗号化鍵を 使用します。 注意 : 熟練したユーザーは、PGP仮想ディスクの基本暗号化鍵をコンピュータ のメモリから検索することも可能です。このようなユーザーは、ユーザー リ ストから削除された後でも、鍵を使用してボリュームにアクセスできます。デ ィスクの再暗号化によってこの基本鍵を変更し、このような侵入を予防しま す。 PGP 仮想ディスク ボリュームを再暗号化するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、再暗号化する PGP 仮想ディスクを選択します。 2 再暗号化する PGP 仮想ディスクがマウントされている場合は、マウントを 解除します。 3 再暗号化する PGP 仮想ディスク ボリュームを選択します。 4 [ディスク] > [再暗号化] を選択します。 5 ボリュームのパスフレーズを入力します。[PGP Re-Encryption Assistant (PGP 再暗号化アシスタント が表示されます。 6 この画面に表示される説明を読み、[次へ] をクリックします。次の内容を示 すダイアログ ボックスが表示されます。 PGP 仮想ディスクを保護している現在の暗号化アルゴリズム 最初に選択したもの以外に使用可能な暗号化アルゴリズム たとえば、PGP仮想ディスクが現在AESで暗号化されている場合、新規のア ルゴリズム リストには [CAST5] オプションと [Twofish] オプションが 表示されます。 7 次のいずれか 1 つを実行します。 現在のアルゴリズムを使用してボリュームを再暗号化するには、[同じ アルゴリズムに再暗号化する] チェックボックスをオンにして、[次へ] をクリックします。 PGP仮想ディスク ボリュームは、前回と同じ暗号 化アルゴリズムを使用して再暗号化されます。 別のアルゴリズムを使用してボリュームを再暗号化するには、新規の アルゴリズム メニューからアルゴリズムを選択し、[次へ] をクリック します。 PGP仮想ディスク ボリュームは、選択した新規の暗号化アル ゴリズムを使用して再暗号化されます。 8 再暗号化の進行状況に [Done (完了)] と表示されたら、[次へ] をクリックし ます。 9 [完了] をクリックすると、再暗号化プロセスが終了します。 210 PGP 仮想ディスクの使用 PGP Desktop for Windows 代替ユーザーの使用 このセクションでは、PGP 仮想ディスクに対して代替ユーザー アカウントを追 加、削除、および無効にする方法を説明します。また、管理者に付与された権限 も含め、ユーザーの権限を変更する方法についても説明します。 PGP 仮想ディスクへの代替ユーザー アカウントの追加 PGP 仮想ディスクの管理者は、他のユーザーも PGP 仮想ディスクを使用できる ように設定 (代替ユーザー アカウントを追加) することができます。各ユーザー がボリュームにアクセスするには、パスフレーズまたは秘密鍵を使用します。 PGP仮想ディスクが現在マウントされていないことを確認します。マウントされ ていると、代替ユーザー アカウントを追加できません。 代替ユーザー アカウントを PGP 仮想ディスクに追加するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、代替ユーザー アカウントを追加する PGP 仮想ディ スクを選択します。 2 次のいずれか 1 つを実行します。 3 新規の公開鍵ユーザーを追加するには、鍵ユーザーの追加 をクリック します。鍵ユーザーの追加 ダイアログ ボックスが表示されます。 新規のパスフレーズ ユーザーを追加するには、[新規パスフレーズ ユ ーザー] をクリックします。[PGPディスク新規ユーザー] ダイアログ ボックスが表示されます。 次のいずれか 1 つを実行します。 鍵ユーザーの追加 を選択した場合は、鍵ユーザーの追加 ダイアログ ボックスで一覧から公開鍵を選択し、[OK] をクリックします。 [新規パスフレーズ ユーザー] を選択した場合は、[PGPディスク新規ユ ーザー] ダイアログ ボックスにユーザー名と、ユーザーを追加する PGP仮想ディスクのパスフレーズを入力し、[PGPディスク新規ユーザ ー] ボックスに再びパスフレーズを入力してから、[OK] をクリックし ます。 以上で、代替ユーザー アカウントが追加されます。 211 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクからの代替ユーザー アカウントの削除 任意の一時点で、代替ユーザーの PGP 仮想ディスク アクセス権限を削除するこ とができます。 PGP仮想ディスクが現在マウントされていないことを確認します。マウントされ ているボリュームの代替ユーザー アカウントは削除できません。 代替ユーザー アカウントを PGP 仮想ディスクから削除するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを削除する PGP 仮想ディスク を選択します。 2 [ユーザー アクセス] リストで、アカウントを削除する代替ユーザーの名前 を選択します。管理者は削除対象外です。 3 [ユーザーの削除] をクリックします。[パスフレーズ] ダイアログ ボックス が表示され、管理者のパスフレーズまたは削除するユーザー アカウントの パスフレーズを入力するように求められます。 4 正しいパスフレーズを入力し、[OK] をクリックします。以上で、代替ユー ザー アカウントが削除されます。 代替ユーザー アカウントの無効化および有効化 代替ユーザー アカウントを完全に削除せずに、PGP 仮想ディスクへアクセスで きないようにするには、アクセスを一時的に無効にします。 PGP仮想ディスクが現在マウントされていないことを確認します。マウントされ ているボリュームの代替ユーザー アカウントを無効にしたり、有効にしたりす ることはできません。 PGP 仮想ディスクの代替ユーザー アカウントを無効または有効にするには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディスク を選択します。 2 [ユーザー アクセス] リストで、次のいずれかの操作を行います。 ユーザーを無効にするには、対象となる代替ユーザー アカウントの名 前を右クリックし、[Disable (無効)] を選択します。[パスフレーズ] ダイアログ ボックスが表示され、管理者のパスフレーズまたは無効に するユーザー アカウントのパスフレーズを入力するように求められ ます。正しいパスフレーズを入力し、[OK] をクリックします。以上で、 代替ユーザー アカウントが無効になります。 212 PGP 仮想ディスクの使用 PGP Desktop for Windows 以前に無効にしたユーザーを有効にするには、対象となる代替ユーザ ー アカウントの名前を右クリックし、有効 を選択します。[パスフレ ーズ] ダイアログ ボックスが表示され、管理者のパスフレーズまたは 無効にするユーザー アカウントのパスフレーズを入力するように求 められます。正しいパスフレーズを入力し、[OK] をクリックします。 以上で、代替ユーザー アカウントが有効になります。 読み取り/書き込みおよび読み取り専用ステータスの変更 PGP 仮想ディスクのユーザーには、読み取り/書き込みの両方の全権限か、読み 取り専用の権限を割り当てることができます。ユーザーに割り当てたこれらの権 限はいつでも変更できます。 選択した PGP 仮想ディスクが現在マウントされていないことを確認します。マ ウントされているボリュームの権限は変更できません。 PGP 仮想ディスクに対するユーザーの権限を変更するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディスク を選択します。 2 [ユーザー アクセス] リストで、ステータスを変更するユーザーの名前を選 択します。 3 次のいずれか 1 つを実行します。 ユーザーの権限を読み取り専用アクセスに変更するには、ユーザー名 を右クリックし、[Read-Only (読み取り専用)] を選択します。 ユーザーの権限を読み取り/書き込みアクセスに変更するには、ユーザ ー名を右クリックし、[Read/Write (読み取り/書き込み)] を選択しま す。 パスフレーズの入力 ダイアログ ボックスが表示されます。 4 PGP仮想ディスクの管理者パスフレーズを入力し、[OK] をクリックします。 これで、選択したユーザーの権限が変更されます。 代替ユーザーへの管理者ステータスの付与 ユーザー アカウントのステータスを代替ユーザーから管理者に変更できます。 選択したPGP仮想ディスクが現在マウントされていないことを確認します。マウ ントされているボリュームで、代替ユーザーを管理者にすることはできません。 213 PGP 仮想ディスクの使用 PGP Desktop for Windows 管理者ステータスを付与するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、ユーザー アカウントを変更する PGP 仮想ディスク を選択します。 2 [ユーザー アクセス] リストから、PGP 仮想ディスクの管理者にするユーザ ーを選択します。パスフレーズ ユーザー、または (現在管理者でない場合 は) 自分のユーザー名を選択してください。公開鍵ユーザーを PGP 仮想ディ スクの管理者にすることはできません。 3 左側のオプション バーの 管理者の作成 をクリックします。これで、選択 したユーザー アカウントが管理者になります。 メモ : 一度に管理者のステータスを与えられるユーザー アカウントは 1 人だ けです。管理者のステータスは、いったん 1 人のアカウントに付与されると、 別のアカウントからは削除されます。 ユーザー パスフレーズの変更 選択したPGP仮想ディスクが現在マウントされていないことを確認します。マウ ントされているボリュームのパスフレーズは変更できません。 PGP 仮想ディスク ボリュームのユーザー パスフレーズを変更するには 1 PGP Desktop メイン画面左側のペインにある [PGP 仮想ディスク] コントロ ール ボックスをクリックし、ユーザーとして登録している PGP 仮想ディス クを選択します。 2 [ユーザー アクセス] リストで、パスフレーズ ユーザーの名前を選択し、[パ スフレーズの変更] をクリックします。パスフレーズの入力 ダイアログ ボ ックスが表示されます。 ヒント : また、ユーザーの名前を右クリックして、ショートカット メニュ ーから ユーザー パスフレーズの変更 を選択することもできます。 3 ユーザーの現在のパスフレーズを入力し、[OK] をクリックします。PGP確 認用パスフレーズの入力 ダイアログ ボックスが表示されます。 4 新しいパスフレーズを入力し、確認用に同じパスフレーズを再入力して、 [OK] をクリックします。これで、パスフレーズが変更されます。 214 PGP 仮想ディスクの使用 PGP Desktop for Windows PGP 仮想ディスクの削除 特定の PGP 仮想ディスクが必要なくなった場合は、そのディスクを完全に削除 することもできます。 注意 : PGP仮想ディスクを削除すると、そのディスク上のすべてのデータも削 除されます。PGP仮想ディスクを削除するとその中のデータは復元できなくな ります。.他の場所に保存しておく必要があるデータは、PGP仮想ディスクを削 除する前にコピーしてください。 選択したPGP仮想ディスクが現在マウントされていないことを確認します。マウ ントされているPGP仮想ディスク ボリュームは削除できません。 PGP 仮想ディスクを削除するには 1 PGP Desktop メイン画面左側のペインにある [PGP ディスク] コントロール ボックスをクリックし、削除する PGP 仮想ディスクを選択します。 2 [ディスク] > [削除] の順に選択します。確認のダイアログ ボックスが表示 されます。 3 次のいずれか 1 つを実行します。 [OK] をクリックして、PGP仮想ディスクをPGP Desktopのリストから 削除します。PGP仮想ディスクは、コンピュータに残ったままになりま す。 [PGPディスクの削除] をクリックして、PGP仮想ディスクをPGP Desktopのリストから削除し、ハード ディスク ドライブからも削除し ます。 PGP 仮想ディスクの管理 このセクションでは、お使いのコンピューターで使用する PGP 仮想ディスクの 適切な扱い方について説明します。 リモート サーバー上の PGP 仮想ディスク ボリュームのマウント PGP 仮想ディスク ボリュームは、どの種類のサーバー (Windows または UNIX) にも配置できます。そのボリュームは、Windows コンピューターおよび PGP Desktop を使用してだれでもマウントできます。 215 PGP 仮想ディスクの使用 PGP Desktop for Windows メモ :PGP仮想ディスク ボリュームを最初にローカルにマウントしたユーザ ーには、そのボリュームの読み取りと書き込みの両方の権限が与えられます。 マウント中のボリュームには、他のユーザーが同じ権限でアクセスすることは できません。自分以外のユーザーにボリューム内のファイルへのアクセスを許 可するには、ボリュームを読み取り専用モードでマウントしておく必要があり ます (FATおよびFAT32 ファイル システム形式にのみ適用可能)。そうするこ とで、ボリュームの全ユーザーが読み取り専用アクセス権を持つようになりま す。 PGP 仮想ディスクが Windows サーバー上に保存されると、ボリュームをリモー トでサーバーにマウントでき、他のユーザーと共有することもできます。ただし この方法では、ボリューム内のファイルがセキュリティで保護されなくなること に注意してください。 PGP 仮想ディスク ボリュームのバックアップ ハードウェアの障害やその他の損失からデータを保護する最良の手段として、 PGP 仮想ディスクの内容をバックアップしておくことをお勧めします。 マウントされている、つまり復号化されている PGP 仮想ディスクの内容を、他 のボリュームと同様にバックアップすることはお勧めできません。マウントされ ているディスクの内容は暗号化されず、バックアップを復元できれば誰でもアク セスできます。代わりに、暗号化されたボリュームのバックアップ コピーを作 成してください。 PGP 仮想ディスクをバックアップするには 1 PGP 仮想ディスクのマウントを解除します。 2 マウント解除されている暗号化ファイルを、通常のファイルをバックアップ するときと同じように、ディスケットやテープ、リムーバブル カートリッ ジにコピーします。この方法を取ると、他のユーザーがバックアップに不正 にアクセスできたとしても、暗号化ファイルの内容を解読することはできま せん。 暗号化ファイルのバックアップを作成するときは、次の点に注意してください。 脆弱なパスフレーズを使用して暗号化したファイルをネットワーク ドライ ブにバックアップすると、他のユーザーがそのファイルを入手し、パスフレ ーズを見破る危険性が高まることを常に念頭に入れておいてください。セキ ュリティを高めるには、物理的に取り外し安全な場所に保管できるデバイス にのみバックアップしてください。 冗長で複雑なパスフレーズを使用すると、データのセキュリティがさらに高 まります。 216 PGP 仮想ディスクの使用 PGP Desktop for Windows ネットワークに接続している場合は、マウントされているPGP仮想ディスク のファイルがネットワーク バックアップ システムによってバックアップ されないことを確認します。詳しくはシステム管理者にお尋ねください。マ ウントされているPGP仮想ディスクのファイルは復号化されており、そのま まネットワーク バックアップ システムにコピーされるおそれがあります。 PGP 仮想ディスクの交換 PGP Desktop がコンピューターにインストールされている他のユーザーと、PGP 仮想ディスクを交換できます。この交換を行うには、ボリューム データが保存 されている PGP 仮想ディスク データ ファイルのコピーを送信します。PGP 仮 想ディスクを他のユーザーと交換するには、次のような方法があります。 電子メールの添付ファイル リムーバブル ディスクまたは CD ネットワーク経由 他のユーザーは PGP 仮想ディスク ファイルを受け取ったら、そのファイルを PGP Desktop が稼働中のシステムにマウントして、適切なパスフレーズを使用し てアクセスできます。ボリュームが公開鍵で暗号化されている場合は、アクセス 用の秘密鍵を使用します。 メモ :次のような理由から、公開鍵は、PGP仮想ディスクに代替ユーザーを追 加する際の最も安全な保護手段です。(1) パスフレーズを代替ユーザーとやり 取りする必要がありません。やり取りする方法によっては、パスフレーズが傍 受されたり、他人に聞かれたりするおそれがあります。(2) 代替ユーザーは新 たなパスフレーズを覚えておく必要がないため、パスフレーズを忘れてしまう という事態が起こりません。(3) 代替ユーザーが各自の秘密鍵を使用してボリ ュームのロックを解除するように設定すると、ユーザーリストの管理が簡単に なります。 PGP 仮想ディスクの暗号化アルゴリズム 暗号化は、データを他人に使用されないように数式でスクランブルする技術です。 正しい数学的鍵を適用すると、スクランブルされたデータを元のデータに復元で きます。PGP 仮想ディスク ボリュームの暗号化式では、暗号化処理の一部でラ ンダムなデータを使用します。 PGP Desktop アプリケーションでは、PGP 仮想ディスク ボリューム保護のため の強力なアルゴリズム (AES-256、CAST、Twofish など) が用意されています。 217 PGP 仮想ディスクの使用 PGP Desktop for Windows Advanced Encryption Standard (AES) は、NIST が承認している暗号化の標 準規格です。この基本になる暗号化方式は、Joan Daemen 氏と Vincent Rijmen 氏が開発したブロック暗号方式の Rijndael です。AES は、従来の標 準規格である Data Encryption Standard (DES) に取って代わるものです。 PGP 仮想ディスク ボリュームは、この AES の中でも最も強力な AES-256 (鍵 サイズが 256 ビットの AES) で保護できます。 CAST は、処理速度が速く解読が非常に難しいため、優れたブロック暗号方 式であると評価されています。CAST は、Northern Telecom (Nortel) 社の設 計者である Carlisle Adams 氏と Stafford Tavares 氏のイニシャルを取って名 付けられました。Nortel 社では CAST の特許を申請中ですが、一般ユーザー は特許権使用料なしで CAST を使用できるようにすると公約しています。 CAST は暗号化の分野で定評のある人々によって設計された、優れた暗号化 方式です。 この方式は非常にオーソドックスな方法に基づいて設計されているだけで なく、これまでに証明されてきた多くの理論を取り入れています。そのため、 この 128 ビット鍵の解読は不可能であると言われています。つまり、CAST には事実上脆弱な鍵というものは存在しません。また、CAST は線形および 微分を用いた暗号分析にも耐えると言われています。この 2 つは既刊文献に おいて最も強力な形式の暗号分析とされており、両方ともデータ暗号化標準 (DES) の解読に有効です。 比較的新しい Twofish は、高い評価を受けている 256 ビット ブロック暗号 化方式 (対称アルゴリズム) です。これは、米国立標準技術研究所 (NIST) が 新しい AES (Advanced Encryption Standard) 用に検討した 5 つのアルゴリ ズムの 1 つです。 PGP 仮想ディスクによる特別なセキュリティ措置 PGP Desktop は、PGP 仮想ディスク ボリュームのセキュリティ対策として、他 社の製品にはない特別な機能を備えています。 These precautions also apply to whole disk encrypted drives. パスフレーズの消去 PGP Desktop は、入力されたパスフレーズを短時間だけ使用した後メモリから消 去し、パスフレーズのコピーも作成しません。つまり、通常パスフレーズがメモ リ内に保存されるのはほんの一瞬です。この非常に重要な機能がない場合は、ユ ーザーがコンピューターから離れた隙に、他のユーザーがコンピューターのメモ リに残っているパスフレーズを探し出してしまう可能性があります。気づかない うちに、このパスフレーズで保護されているデータへの完全アクセス権限がパス フレーズ傍受者に付与してしまうことになります。 218 PGP 仮想ディスクの使用 PGP Desktop for Windows 仮想メモリの保護 パスフレーズやその他の鍵は、仮想メモリ システムがメモリの内容をディスク にスワップする際に、ディスクに書き込まれる可能性があります。そこで PGP Desktop は、パスフレーズや鍵がディスクに書き込まれないよう対策を講じてい ます。この機能により、侵入者に仮想メモリ ファイルがスキャンされてパスフ レーズを探し出されるのを未然に防止できます。 休止状態 Windowsの休止モードでは、PGP仮想ディスク情報を含む、コンピュータのすべ てのメイン メモリ領域のイメージが、ハード ディスク ドライブ上のファイル に書き込まれます。休止を実行したときにPGP仮想ディスクを開いていた場合は、 セッション鍵を含む機密データがハード ディスク ドライブに書き込まれます が、パスフレーズは書き込まれません。 Because hibernation is inherently insecure, PGP Corporation recommends using the PGP Whole Disk Encryption feature if you use hibernation or make sure to enable the PGP Virtual Disk options Unmount when computer goes to sleep and Prevent sleep if disk(s) cannot be unmounted, located on the Disk tab of the PGP Options. メモリ静的イオン マイグレーションの防止 PGP 仮想ディスク ボリュームをマウントすると、パスフレーズが鍵に置き換え られます。この鍵は、PGP 仮想ディスク ボリューム上のデータの暗号化や復号 化に使用されます。前述のように、パスフレーズはメモリから直ちに消去されま すが、鍵 (ちなみにパスフレーズを鍵から取得することは不可能です) はディス クがマウントされている間、メモリ内に残ります。 鍵はディスク上の仮想メモリに書き込まれないようになってはいますが、長期間 にわたって電源をオフまたはリセットせずにいた場合、同一データが保存され続 けた特定のメモリ箇所は静電気が帯電しがちになります。このように、PGP 仮想 ディスク ボリュームが長期間マウントされていると、時間の経過と共に、検出 可能な鍵の形跡がメモリに残ることがあります。この現象を被った鍵を回復する ための機器も存在します。そのような機器は、一般電気店では購入できませんが、 政府機関にはたいてい 2 ~ 3 基あります。 PGP Desktop では、鍵のコピー 2 つ (1 つは通常のコピー、もう 1 つはビットを 反転したコピー) を RAM 上に保持して 2 ~ 3 秒ごとに両方のコピーを反転させ ることで、鍵を保護しています。 219 PGP 仮想ディスクの使用 PGP Desktop for Windows その他のセキュリティ対策 一般的に、データの安全性は講じるセキュリティ対策により左右されるため、ず さんな管理下では、どのような暗号化プログラムを使ってもセキュリティを保護 することはできません。たとえば、コンピューターで機密ファイルを開いたまま デスクから離れたりすると、だれでもその情報にアクセスできます。 最適なセキュリティを確保するには、次のヒントを参考にしてください。 コンピューターから離れるときは、PGP 仮想ディスク ボリュームのマウン トを解除します。これにより、ボリュームの内容は、次回アクセスするまで、 保存した暗号化ファイル内に安全に保管されます。 パスワード保護機能付きのスクリーン セーバーを使用すると、自分がデス クを離れている間に他のユーザーが自分のコンピューターにアクセスした り画面を表示したりするのが困難になります。 PGP 仮想ディスク ボリュームを、ネットワーク上の他のコンピューターか ら見られないようにします。これを確実に行うためには、必要に応じてネッ トワーク管理者に相談してください。マウントされている PGP 仮想ディス ク ボリューム内のファイルがネットワーク上で見えると、だれでもこのフ ァイルにアクセスできてしまいます。 パスフレーズは決して書き留めないでください。パスフレーズは覚えやすい ものを選んでください。パスフレーズを覚えづらい場合は、ポスター、歌詞、 詩、ジョークなどを使用することを推奨します。ただし、書き留めるのは厳 禁です。 自宅で PGP Desktop を使用していてコンピューターを家族と共有している なら、通常は家族も PGP 仮想ディスク ボリューム ファイルを見ることが できます。PGP 仮想ディスク ボリュームを使用後に必ずマウント解除して おきさえすれば、自分以外の家族にボリュームの内容を読み取れずに済みま す。 自分が使用しているコンピューターに別のユーザーが物理的にアクセスで きる状態だと、PGP 仮想ディスクのファイル、その他のファイルやボリュー ムを削除されてしまうおそれがあります。物理的アクセスの問題に対処する には、PGP 仮想ディスク ファイルをバックアップしておくか、自分だけが 別の場所に保管できる外付けデバイスに保存してください。 PGP 仮想ディスク ボリュームのコピーには、コピー元のボリュームと同じ 基本暗号化鍵が使用されることに注意してください。ボリュームのコピーを 他のユーザーと交換し、両者がマスター パスワードを変更しても、データ の暗号化には交換前と同じ鍵が使用されます。ボリュームから鍵を探し当て るのは技術的に不可能ではありません。 ボリュームを再暗号化し、暗号化に使用した鍵を変更しておくことを推奨し ます。 220 12 PGP Portable でのモバイル データの作成とアクセス PGP Desktop ソフトウェアを持たないユーザーに暗号化されたファイルを配布 するために、PGP Portable を使います。PGP ソフトウェアをインストールして いないまたはインストールできない他のシステムへファイルを安全に転送する ために PGP Portable を使います。 PGP Portable により以下が提供されます。 セキュリティ保護された文書の可搬性 セキュリティ保護された文書の配布の容易さ PGP Portable のユーザーには次の 2 つのタイプがあります。セキュリティ保護さ れたデータが入っている PGP Portable ディスクを作成するユーザー、および PGP ソフトウェアを持たないがセキュリティ保護されたデータにアクセスする必要 があるユーザーです。 両方のタイプのユーザであることもあるでしょう。たと えば、顧客側でコンピューターに取り込み使用することができる PGP Portable ディスクを作成します。 Windows システムで、暗号化されたデータにアクセスできるほか、PGP Portable ディスクを作成できます。 この章の内容 PGP Portableディスクの作成 ................................................................ 221 PGP Portableディスクのデータへのアクセス....................................... 224 PGP Portable ディスクの作成 PGP Portable ディスクは次の 2 つのうちのいずれかの方法で作成することができ ます。Windows エクスプローラのショートカット メニューを使用するか、また はコマンド ライン ツールを使用します。このセクションでは通常のショートカ ット メニューについて説明します。コマンド ラインの説明については、「PGP Portable コマンド ライン ツールの使用」を参照してください。 PGP Portable ディスクを作成するには、次のことを確認してください。 PGP Desktop を実行している Windows システム上に PGP Portable がイン ストールされている。 221 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows PGP Universal Server にバインドされた PGP Desktop のインストールに対 して適切にライセンス供与を受けている。 PGP Portable ディスクは次の 2 つの対象のうちの 1 つで作成することができます。 ローカル ドライブのフォルダー、リモート ファイルの共有または CD/DVD。 128 GB を超えない、USB フラッシュ ドライブなど、ローカルでマウント されるリムーバブル デバイス。 PGP Portable ディスクを作成する場合は、PGP Universal Server ポリシーもパス フレーズの強度を高めます。PGP Universal Server ポリシーを満たさないパスフ レーズを使用する場合、エラー メッセージが表示されます。 フォルダーから PGP Portable ディスクを作成 PGP Portable ディスクを含む CD または DVD に最終的に記録する場合、このオ プションを使ってください。 メモ :保護し、フォルダーに共有したいデータをコピーしたことを確認してく ださい。 フォルダーから PGP Portable ディスクを作成するには、次の手順に従います。 1 ソース フォルダーを探して右クリックし、ショートカット メニューから [PGP Portableディスク フォルダーを作成] を選択します。 2 [PGP Portable ディスクを作成] ダイアログ ボックスに、パスフレーズを入 力し確認します。このパスフレーズは PGP Portable ディスクのデータにア クセスするために必要です。 3 [作成] をクリックします。 PGP Portableディスクを作成するために使用しているフォルダーが読 み取り専用デバイス (CDまたはDVDなど) 上にある場合、[名前を付け て保存] ダイアログ ボックスが表示されます。 作成するPGP Portable ディスクの保存先フォルダーがあるローカル ドライブの保存場所を 参照して指定し、[保存] をクリックします。 完了すると、保存先フォルダーが作成されます。フォルダー名はソース フ ォルダー名の後ろに "-PGP Portable" を追加したものです。 4 保存先フォルダーの内容全体を CD/DVD に記録します。PGP Portable ディ スクの保存先フォルダーには次のものが入っています。 PGP Portable Windows実行可能ファイル (pgpportable.exe) PGP Portable Mac OS X実行可能ファイル (PGP Portable App) Windows自動実行ファイル (autorun.inf) PGP Portableディスク ファイル (pgpportable.pgd) 222 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows PGP Portableディスク ファイル (pgpportable.pgd) にはその中に、元の ターゲット フォルダーにあるすべてのファイルが含まれています。PGP Portableディスク ファイルは で指定されたパスフレーズで暗号化されま す。 PGP Portable ディスクからこれらのファイルを削除しないでください。 ヒント : フォルダー自体ではなく、フォルダーの内容のみをディスクに記 録するようにしてください。フォルダーをディスクに記録する場合、PGP Portableは自動実行が有効になっているシステムにおいても、 自動的には起 動しません。 リムーバブル USB デバイスから PGP Portable ディスクを作成 PGP Portable ディスクをフラッシュ ドライブなどのリムーバブル USB デバイス に直接作成する場合、このオプションを使います。 メモ :リムーバブルUSBデバイスは 128 GB (137438953472 バイト) 未満にす る必要があります。128 GBを超えるリムーバブルUSBデバイスにPGP Portable ディスクを作成しようとすると、エラー メッセージが表示されます。 リムーバブル USB デバイスから PGP Portable ディスクを作成するには、次の 手順に従います。 1 マウントされたリムーバブルUSBデバイスを探して右クリックし、ショート カット メニューから [PGP Portableディスクを作成] を選択します。 2 PGP Portable ディスク作成アプリケーションが、ドライブの内容が消去され るという警告と共に表示されます。 3 [PGP Portable ディスクを作成] ダイアログ ボックスに、パスフレーズを入 力し確認します。このパスフレーズは PGP Portable ディスクのデータにア クセスするために必要です。 4 [フォーマットする] をクリックします。完了すると、PGP Portableディスク が作成されます。PGP Portableディスク ファイルは指定されたパスフレー ズへ暗号化されます。 5 パスフレーズの入力を求めるメッセージが表示され、PGP Portable ディスク がマウントされます。通知メッセージはシステム トレイから表示され、マ ウントされた PGP Portable ディスクのドライブ番号の通知を表示します。 6 必要に応じて、保護したいデータをマウントされた PGP Portable ディスク にコピーします。PGP Portable ディスクが最初に作成されたときには、その ディスクにはファイルが入っていません。 7 PGP Portableディスクのマウント解除 (システム トレイにある [PGP Portable] アイコンをクリックし、[マウント解除および終了] を選択します)。 PGP Portableディスクにマウントされていたドライブがマウント解除され ます。 223 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows 8 USB デバイスを適切に取り出し、コンピューターからデバイスを取り外し ます。PGP Portable をサポートする他のシステムの PGP Portable ディスク の内容にアクセスできます。 警告 : リムーバブルUSBデバイスを物理的にシステムから取り外す前に、 適切にマウント解除するようにしてください。適切に行わないとファイル の内容が破損する可能性があります。 リムーバブル デバイスには次のファイルが含まれています。 PGP Portable Windows実行可能ファイル (pgpportable.exe) PGP Portable Mac OS X実行可能ファイル (PGP Portable.app) Windows自動実行ファイル (autorun.inf) PGP Portableディスク ファイル (pgpportable.pgd) PGP Portable ディスクからこれらのファイルを削除しないでください。 読み取り/書き込みまたは読み取り専用の PGP Desktop ディスクの作成 PGP Desktop ディスクへの読み取り/書き込みアクセス権を設定するには、PGP Desktop ディスクが読み取り/書き込みメディア (フラッシュ ドライブまたは他 のリムーバブル ディスクなど) に保存されている必要があります。読み取り/書 き込みアクセスは、アクセスが作成されたリムーバブル デバイス上にあるとき にのみ、PGP Desktop ディスクに対して有効です。 読み取り専用のメディアに作成された PGP Desktop ディスクはディスク自 体が読み取り専用です (たとえば CD-ROM)。 作成されたリムーバブル デバイスでアクセスされた PGP Desktop ディスク は読み取り/書き込み用です (たとえば、読み取りおよび書き込みとしてマウ ントされている USB ドライブ)。 PGP Portable ディスクのデータへのアクセス PGP Portable ディスクの内容は次の 3 とおりの方法でアクセスすることができま す。 CD、DVD またはリムーバブル USB ドライブを Windows システムにマウン トし、PGP Portable ディスク アプリケーション (自動実行が可能な場合、 自動的に起動) を実行させます。 CD、DVD またはリムーバブル USB ドライブを Mac OS X システムにマウン トし、PGP Portable ディスク アプリケーションを実行させます。 224 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows PGP Portable ディスク上のデータにアクセスする場合、次の 2 つの項目を実際に マウントします。PGP Portable ディスクがあるリムーバブル デバイス、および PGP Portable ディスク自体 (別の項目としてマウントされています)。終了したら、 リムーバブル デバイスを安全に取り外す前に、必ず PGP Portable ディスクをマ ウント解除してください。 PGP Portable ディスクのデータにアクセスする手順は Windows および Mac OS X システムで同様です。 警告 : リムーバブル デバイスを物理的にシステムから取り外す前に、それが 適切にマウント解除されることを確認してください。適切に行わないとファイ ルの内容が破損する可能性があります。 T Windows システムを使って、PGP Portable ディスク上のデータにアクセスす るには、次の手順に従います。 1 PGP Portable ディスクが保存されているリムーバブル デバイスを挿入しま す。CD/DVD またはフラッシュ ドライブやリムーバブル ドライブを使用で きます。 2 次のいずれか 1 つを実行します。 自動実行が可能なWindowsシステムでは、[PGP Portableディスクをマ ウント] を選択します。 自動実行が不可能なWindowsシステムでは、マウントされたリムーバ ブル デバイスを起動し、PGP Portableアプリケーション (pgpportable.exe) を参照します。アプリケーションをダブルクリ ックします。 Windows 7 システムで、Window エクスプローラの USB ディスク ア イコンをダブルクリックしてディスクを開きます。 [PGP Portable] ダイアログ ボックスが表示されます。 3 PGP Portable ディスクのパスフレーズを入力します。PGP Portable ディス クがマウントされます。 225 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows 通知メッセージはシステム トレイから表示され、マウントされた PGP Portable ディスクのドライブ番号の通知を表示します。PGP Portable ディス クが読み取り/書き込みデバイスとしてマウントされている場合は、データ を追加することができます。PGP Portable ディスクが読み取り専用デバイス としてマウントされている場合は、データを追加することができません。 メモ : PGP Portableディスクのボリューム名はPGP Portable固有のもの で、作成された時のボリュームの名前とは一致しないことがあります。 4 PGP Portableディスクを使用し終わったら、PGP Portableディスクをマウン ト解除してください (システム トレイでPGP Portableアイコンをクリック し、[マウント解除および終了] をクリックします)。PGP Portableディスクに マウントされていたドライブがマウント解除されます。 5 USB デバイスまたはディスクをコンピューターから適切に取り出します。 PGP Portable ディスクのパスフレーズの変更 PGP Portable ディスクに関連付けられたパスフレーズを変更することが必要な 場合もあります。読み取り専用の PGP Portable ディスク上のパスフレーズは変 更することができません (CD/DVD メディアに記録された PGP Portable ディスク を含む)。 Windows システムを使って、PGP Portable ディスク上のパスフレーズを変更 するには、次の手順に従います。 1 PGP Portable ディスクが保存されているリムーバブル デバイスを挿入しま す。CD/DVD またはフラッシュ ドライブやリムーバブル ドライブを使用で きます。 2 次のいずれか 1 つを実行します。 3 自動実行が可能なWindowsシステムでは、[PGP Portableディスクをマ ウント] を選択します。 自動実行が不可能なWindowsシステムでは、マウントされたリムーバ ブル デバイスを起動し、PGP Portableアプリケーション (pgpportable.exe) を参照します。アプリケーションをダブルクリ ックします。 Windows 7 システムで、Window エクスプローラの USB ディスク ア イコンをダブルクリックしてディスクを開きます。 要求されたら、PGP Portable ディスクのパスフレーズを入力します。PGP Portable ディスクがマウントされます。通知メッセージはシステム トレイ から表示され、マウントされた PGP Portable ディスクのドライブ番号の通 知を表示します。 226 PGP Portable でのモバイル データの作成とアクセス PGP Desktop for Windows 4 [システム トレイ] アイコンを右クリックして [PGP Portableを開く] を選 択し、PGP Portableを開きます。 5 [PGP Portable] ダイアログ ボックスにある [パスフレーズの変更] をクリ ックします。 6 現在のパスフレーズを入力し、新しいパスフレーズを入力して確認し、[変 更] をクリックします。これで、パスフレーズが変更されます。 作成しているパスフレーズの強さに関する基本的なガイドラインがパスフ レーズの品質バーに示されます。詳細については、「パスフレーズの品質バ ー 『ページ : 326』」 を参照してください。 PGP Portable ディスクのマウント解除 リムーバブル デバイスを物理的にシステムから取り外す前に、適切にマウント 解除するようにしてください。適切に行わないとファイルの内容が破損する可能 性があります。 PGP Portable ディスクをマウント解除するには、次の手順に従います。 1 PGP Portable を開きます。これには、次のいずれかの操作を行います。 Windowsシステム上のPGP Portableを開くには、[システム トレイ] ア イコンを右クリックして、[マウント解除および終了] を選択します。 Mac OSシステム上のPGP Portableを開くには、ドック上のアイコンを クリックして、[マウント解除および終了] を選択します。 PGP Portable ディスクがマウント解除されます。 2 システムからデバイスを安全に外に出し、押し出します。 227 13 PGP NetShare の使用 PGP NetShare は、共有ファイル保存領域の終端間の暗号化を透過的に行います。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 PGP NetShareについて.......................................................................... 230 PGP NetShareのライセンス取得 ........................................................... 233 承認されたユーザーの鍵 ....................................................................... 233 PGP NetShare管理者 (所有者) の設定.................................................. 234 "ブラックリスト" または "ホワイトリスト" に記載されたファイル、フォル ダー、およびアプリケーション ............................................................ 234 保護フォルダーの使用 ........................................................................... 237 PGP NetShareユーザーの使用............................................................... 246 PGP NetShareアクセス リストのインポート ....................................... 250 Active Directoryグループの使用 ............................................................ 251 PGP NetShare保護フォルダーの復号化 ................................................ 252 フォルダーの再暗号化 ........................................................................... 253 パスフレーズのクリア ........................................................................... 254 保護フォルダーの外にあるファイルの保護 .......................................... 254 PGP NetShareで保護されたファイルのバックアップ .......................... 256 ショートカット メニューを使用したPGP NetShare機能へのアクセス257 PGP Universal Serverによって管理された環境にあるPGP NetShare ... 258 保護されたファイルまたはフォルダーのプロパティへのアクセス ...... 259 PGP DesktopのPGP NetShareメニューの使用...................................... 260 229 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare について PGP NetShare を使用すると、会社のファイル サーバー、保護フォルダー、USB ドライブのようなリムーバブル メディアなどの共有場所にある保護されたファ イルを特定のユーザー間で共有することができます。 メモ : 簡単にアクセスできる共有場所がない場合には、USBリムーバブル ド ライブを使用することもPGP NetShareファイルを共有する方法の 1 つです。 ファイルは暗号化によって保護されますが、共有後も、Notepad、Microsoft Word、 HTML、Microsoft Excel などの通常のアプリケーション ファイルと同様に表示 されます。アプリケーションからはファイルの読み書きを直接行うことが可能で、 ファイルが保護されていることはアプリケーションからは分かりません。共有場 所にアクセスするとファイルの存在は特定のユーザー以外でも確認できますが、 読み取ったり使用したりすることはできません。 PGP NetShare はクライアント専用のソフトウェアです。ファイル サーバーにイ ンストールしても意味を成さず、既存のストレージ インフラストラクチャが使 用されます。保護されたファイルとフォルダーの暗号化および復号化が行われる のは、クライアントのみです。サーバーをバックアップすると、暗号化されたフ ァイル (暗号テキスト) がアーカイブに保存されます。この暗号化ファイルは、 ファイルの表示を承認されていないユーザーは読み取ることができません。 保護されたファイルへのアクセスを許可されたユーザーは承認されたユーザー と呼ばれ、保護されたファイルを格納するフォルダーは保護フォルダーと呼ばれ ます。 ユーザーには、そのユーザーが実行できるアクションのタイプを指定した役割が 割り当てられます。役割の詳細については、「PGP NetShareにおける役割 『ペ ージ : 232の"PGP NetShareロール"参照先 : 』」を参照してください。 保護フォルダーは、保護されたファイルを格納するように指定されたフォルダー です。保護フォルダーに変換されるフォルダー内のファイルは自動的に暗号化さ れ、保護フォルダーの作成後に保護フォルダーに移動されるファイルは追加時に 暗号化されます。[ツール] > [PGPオプション] の [NetShare] タブで [個々のフ ァイルの保護] を選択することで、個々のファイルを保護することもできます。 注意 : PGP NetShareでは保護フォルダー内のファイルのアクセス制御は行わ れません。これはファイルレベルのアクセス制御であるため、保護フォルダー 内のファイルへのアクセス権を持つユーザーは、暗号化されていない新規ファ イルを追加したり、暗号化された既存のファイルを削除したりすることができ ます。そのため、保護フォルダーは安全な共有場所に作成することが重要です。 ただし、上記の場合には、ネットワークの管理者が保護フォルダー内のファイ ルをバックアップする際に読み取りの権限がいらないことも意味します。 230 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare では、PGP Desktop の PGP 仮想ディスクと PGP ディスク全体暗 号化の両方の機能を使用できます。つまり、PGP 仮想ディスクに保護フォルダー を作成することも、ドライブが PGP WDE によって暗号化されている場合に保護 フォルダーを作成することもできます。PGP NetShare の保護は、通常はネット ワーク経由で共有して使用する環境のファイルのために設計されています。PGP 仮想ディスクと PGP ディスク全体暗号化では、ローカル システムの個々のドラ イブやドライブの一部が保護されます。これらの 3 つの機能は、それぞれ異なっ た状況に合わせて設計された重要なセキュリティ製品です。実際には、同じシス テム上で 3 つの機能をすべて使用して、データに対する強力なセキュリティを実 現することができます。 以下に、PGP NetShare の使用方法を理解するのに役立つ事例を示します。 あなたは、2 つの主要製品を持つ、小さなファイナンス企業の副社長です。 社長はあなたを自分のオフィスに呼び出し、別の主要製品の追加が問題なく 達成できるかどうかの判断を陣頭指揮を取って開始するようにあなたに指 示します。 あなたや、マーケティング、営業、設計、製造、サポートの各部門の代表者 は、各側面から問題を検討し、改善提案を作成するように要求されています。 プロジェクト全体を秘密裏に遂行する必要があります。 幸いなことに、企業の全員が PGP Universal Server によって管理された環境 で PGP Desktop を使用しているので、必要となるファイルの作成、共有、 更新、および安全な保管のための手段は既に用意されています。それが PGP NetShare です。 プロジェクト メンバーは物理的に離れた場所にいるので、誰でもアクセス できる場所にプロジェクト用の保護フォルダーを設定する必要があります。 たとえば、企業ネットワークに保護フォルダーを作成すると、プロジェクト メンバー全員がそのフォルダーにアクセスできます。 保護フォルダーの作成が完了すると、プロジェクト メンバーは、暗号化で ファイルが保護されるということを意識せずに、新たにファイルを追加した り、既存のファイルを開いて作業したり、またはファイルを削除したりする ことができます。暗号化や復号化は自動的に行われます。 PGP NetShare のもう 1 つの利点は、承認されたユーザー以外にもファイルが通 常どおりに表示されることで、これにより、ネットワークの管理者が、企業ネッ トワークの他のすべてのファイルと同じように保護フォルダー内のファイルを バックアップできます。バックアップされるファイルも暗号化によって保護され ます。 メモ : PGP NetShare追跡エンジンは、EFSで保護されたオブジェクトを無視し ます。これは、EFSがNTFSと密接に連携していることに起因する問題を回避す るための正常な動作です。EFSによって暗号化されているファイルまたはフォ ルダーは、PGP NetShareで保護されたフォルダーにすべて移動またはコピー されますが、EFS暗号化の状態を保持して、PGP NetShareで保護された状態に はなりません。これらのオブジェクトをPGP NetShareで保護するには、フォ ルダーに移動/コピーする前にEFS暗号化を削除してください。 231 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare では、保護フォルダー内のファイルに対する完全なセキュリティ が確保されます。保護フォルダーにアクセスしているときも、保護フォルダーを プロジェクト メンバ間で受け渡ししているときも、データは常に暗号化されて います。 注意 : 保護されたファイルに対して 名前を付けて保存 を選択し、保護フォル ダーの外に保存すると、新たに保存したファイルは保護されません。 PGP NetShare ロール 管理者 : これは保護されたフォルダーの「所有者」です。管理者は、ユーザ ーを追加および削除したり、ユーザーのロールとグループ管理者のロールを 変更したりできます。管理者は、保護されたフォルダーに対する読み取りと 書き込みのすべての権限を持ちます。保護されたフォルダーごとに管理者は 1 人だけ設定でき、作成者により自動的に作成されますが、保護されたフォ ルダーに管理者を指定する必要はありません。フォルダーごとの管理者は一 人だけです。 管理者になるには、保護されたフォルダーを作成し、自分自身をメンバー として追加して管理者のロールを適用します。一度に複数の管理者セットの メンバーになることができます。 グループ管理者は管理者ロールを削除できませんが、管理者はそのロールを 別のメンバーに再割り当てすることができます。 管理者は、保護されたフォルダーに対するすべての書き込みアクセス権が必 要です。 グループ管理者 : 保護されたフォルダーの「管理者」です。管理者はユーザ ーの追加や削除、ユーザーからグループ管理者への昇格、およびグループ管 理者からユーザーへの降格を行うことができます。必要なだけグループ管理 者を設けることができます。グループ管理者は、保護されたフォルダーに対 する読み取りと書き込みのすべての権限を持ちます。PGP NetShareで保護 フォルダーごとに複数のグループ管理者を指定することが可能です。 グループ管理者は、保護されたフォルダーに対するすべての書き込みアクセ ス権を持っている必要があります。 ユーザー : 共有場所にある保護されたファイルへのアクセスを許可された ユーザーで構成されます。保護されたフォルダー内のファイルは、ユーザー の鍵で暗号化されます。保護されたフォルダーが作成され、ある人がPGP NetShareに追加されて、管理者またはグループ管理者がその人にユーザーの ロールを割り当てると、その人はユーザーになります。保護されたフォルダ ーに対しては、すべてのユーザーが同じ読み取り/書き込み権限を持ちます。 ユーザーには、他のユーザーのロールを変更する権限はありません。一度に 複数のユーザー セットのメンバーになることが可能です。ユーザーには、 ファイルまたはフォルダーを復号化する権限はありません。これは制限され ているので、ユーザーはファイルを復号化して、新しい役割分担でファイル を再暗号化することはできません。 232 PGP NetShare の使用 PGP Desktop for Windows メモ :以前のバージョンのPGP Desktopで保護されているフォルダーがある場 合は、既存のユーザー用の新しいロールを手動で選択する必要があります。詳 細については、「ユーザーのロールの変更 『ページ : 248の"ユーザーの役割 の変更"参照先 : 』」を参照してください。 PGP NetShare のライセンス取得 PGP NetShare を使用するには、PGP Desktop 9.5 以降を実行していること、お よび PGP NetShare をサポートするライセンスを所有していることが条件となり ます。 PGP Desktop のコピーが PGP NetShare をサポートしているかどうかを確認 するには 1 PGP Desktop を開きます。 2 [ヘルプ] > [ライセンス] を選択します。[PGP Desktopライセンス] ダイアロ グ ボックスが表示されます。 3 [製品情報] セクションで、[PGP NetShare] アイコンを見つけます。 製品 名の上にマウス ポインタを置くと、その製品に関する情報や、その製品の 使用が許可されているかどうかが表示されます。PGP NetShareがサポート されていない場合は、PGP NetShareをサポートするライセンスの取得につ いてPGP管理者に問い合わせてください。 1 つまたは複数の保護フォルダーを作成するのに使用した PGP NetShare ライセ ンスが期限切れとなった場合、新しい保護フォルダーの作成、現在保護フォルダ ーにあるファイルの使用、既存の保護フォルダーへのファイルの追加はできませ ん。また、新しい保護フォルダーの承認されたユーザーのメンバーに加わること もできません。 既存の保護フォルダーから復号化したファイルへのアクセス権を取り戻すには、 新規のPGP NetShareライセンスを取得するか、[PGP NetShareから <file name> を削除します] コマンドを使用して、保護フォルダー内のファイルまた はフォルダーを復号化する必要があります。詳細については、「ショートカット メニューを使用したPGP NetShare機能へのアクセス 『ページ : 257』」を参 照してください。 承認されたユーザーの鍵 PGP NetShare は、指定されたユーザーの PGP 鍵を使用して、保護フォルダー内 の復号化されたファイルを使用するアクセス権を制御します。また、承認された ユーザーの秘密鍵を使用して、保護フォルダーに追加された新規ファイルの署名 を行います。 233 PGP NetShare の使用 PGP Desktop for Windows メモ : PGP NetShareでは、パスフレーズを使用したファイルの保護はサポー トしていません。ファイルの保護には、PGP鍵を使用する必要があります。 ユーザーの作成時に、保護フォルダー内のファイルを使用できるユーザーの公開 鍵が作成者によって指定されます。それらのファイルを使用するには、ファイル を復号化してアクセスできるように、ユーザーが自分のコンピュータ上に対応す る秘密鍵を保管している必要があります。 PGP NetShare 管理者 (所有者) の設定 保護フォルダーの PGP NetShare 管理者は必須ではありませんが、承認されたユ ーザーまたはグループ管理者の中から選定することをお勧めします。管理者の役 割は、保護フォルダー内のファイルやフォルダーを監視し、ユーザーおよびグル ープ管理者の追加や削除を行い、保護フォルダー内での活動が計画どおりに行わ れているかどうかを確認することです。 すべての承認されたユーザーがファイルやフォルダー、場合によってはユーザー の追加や削除を行えるため、時間の経過とともに、保護フォルダー内でファイル の追加や削除が不適切に行われたり、ユーザーの追加や削除が不適切に行われた りする可能性があります。 保護フォルダーの管理者は、ユーザーや保護フォルダーでこれらの問題を監視し、 発生した問題を解決する必要があります。 I "ブラックリスト" または "ホワイトリスト" に記載されたファイ ル、フォルダー、およびアプリケーション ファイル、フォルダー、およびアプリケーションによっては、"ブラックリスト" ま たは "ホワイトリスト" に記載されている場合があります。ブラックリストまた はホワイトリストに記載された項目は、強制的に保護されるか、決して保護され ないかのいずれかになります。 「ブラックリスト」のファイルとその他の保護できないファイル PGP NetShare では、特定のファイルとフォルダーを保護できません。PGP NetShare でファイルまたはフォルダーを保護する前に、この「ブラックリスト」 をチェックしてください。ファイルまたはフォルダーがブラックリストに載って いることがわかったら、PGP NetShare は引き続き保護フォルダーを作成します が、これらのファイルやフォルダーはスキップされ、PGP NetShare アシスタン トの[進捗状況] 画面に項目がブラックリストにあるというメッセージが表示さ れます。 234 PGP NetShare の使用 PGP Desktop for Windows ブラックリストに記載されているファイルは次のとおりです。 ファイルの拡張子が *.skr、*.pkr、および *.pgdのすべてのファイル (鍵またはPGP仮想ディスクの暗号化を妨げます) 。 PGP Desktopインストール フォルダーとその中にあるすべてのファイル ( デフォルトの格納場所はC:¥Program Files¥PGP Corporation¥PGP Desktopです) 。 PGP環境設定フォルダーとその中にあるすべてのファイル (デフォルトの格 納場所は、 C:\Documents and Settings\[your user name]\Application Data\PGP Corporation\PGPのユーザー フォル ダーです) 。 PGP のデフォルトの鍵リング フォルダー (デフォルトの格納場所は [マイ ドキュメント] フォルダーです) 。 PGP NetShareで保護フォルダーに追加できないその他のファイルは、システム 属性が設定されているファイルまたはフォルダー、およびWindowsインストール ディレクトリ内にあるすべてのファイルとフォルダー (デフォルトの格納場所は C:¥WindowsおよびC:¥Windows¥System32です)、さらにWindowsエクスプロ ーラでサムネイル画像を表示する際に作成されるThumbs.dbファイルです 。 システム ファイルまたはシステム フォルダーがPGP NetShareに追加されると、 これらのファイルやフォルダーはスキップされ、PGP NetShareアシスタントの [進捗状況] 画面に項目がシステム ファイルまたはシステム フォルダーである というメッセージが表示されます。 "Blacklisted" and "Whitelisted" Folders Specified by PGP Universal Server If you are using PGP Desktop in a PGP Universal Server-managed environment, your PGP administrator may have specified certain folders as "blacklisted" or "whitelisted." Blacklisted folders Blacklisted folders are folders that are never added to PGP NetShare and encrypted. An example of a blacklisted folder may be your C:\Program Files folder or your C:\Windows\Temp folder. If your PGP administrator has specified that a folder be blacklisted and that folder does not exist, it is not created on your system. Note: If your PGP Universal administrator specified a folder be blacklisted, and that folder is already protected by PGP NetShare, then that folder is removed from PGP NetShare and the folder and files within it are decrypted only if the user initiates an action, such as moving a file into or out of the folder, or re-encrypts the folder. 235 PGP NetShare の使用 PGP Desktop for Windows Whitelisted folders Whitelisted folders are folders that are always added to PGP NetShare and the contents are encrypted. If your PGP administrator has specified that a folder be whitelisted and that folder does not exist, it is created on your system. For example, if your PGP administrator specified that C:\Documents and Settings\[user name]\My Documents\secured is a whitelisted folder, and the subfolder \secured does not exist, then it is created. You cannot remove whitelisted folders from PGP NetShare. Note: If you remove a folder that your PGP Universal administrator has specified as whitelisted, that folder is automatically recreated the next time you access PGP NetShare or restart PGP Desktop. アプリケーション ベースの暗号化リストと復号化バイパス リスト PGP Universal Server によって管理された環境で PGP Desktop を使用している場 合は、一部のアプリケーションによって作成されたファイルが決して復号化され ないか、または常に暗号化されるように、PGP Universal Server によって指定さ れている可能性があります。 アプリケーション ベースの暗号化リスト このリストに含まれているアプリケーションは、そのアプリケーションによって 作成されたファイルが強制的に暗号化されることを意味します。アプリケーショ ン ベースの暗号化リスト内のアプリケーションによって作成されたファイルは、 ユーザーの鍵で自動的に暗号化され、一時ファイルやシステム キャッシュなど の場所にかかわらず常に暗号化されます。このリストに含まれるアプリケーショ ンの種類の例としては、Microsoft Office、Microsoft Excel、Adobe Acrobat など があります。 他の種類の暗号化 (ホワイトリストに記載されたフォルダーなど) は、アプリケ ーション ベースの暗号化リストに含まれているアプリケーションによって作成 されたファイルより優先されます。 たとえば、PGP 管理者は、Microsoft Excel をアプリケーション ベースの暗号化 リストに含めるように指定することで、財務部門によって作成されるすべてのス プレッドシートが確実に保護されるようにすることができます。 236 PGP NetShare の使用 PGP Desktop for Windows 復号化バイパス リスト このリストに含まれているアプリケーションは、そのアプリケーションによって 作成されたファイルが自動的には復号化されなくなることを意味します。これら のアプリケーションは、PGP NetShare ヘッダーやファイル暗号化テキストなど、 オンディスク ファイル コンテンツとして提供されます。復号化バイパス リス ト内のアプリケーションは、ファイルが暗号化されたまま読み取られるように、 ファイルの読み取り時に PGP NetShare フィルターを事実上バイパスします。そ のため、暗号化されたデータを他のアプリケーションに渡すことができます。こ のリストに含まれるアプリケーションの種類の例としては、バックアップ プロ グラムや FTP プログラムなどがあります。 他の種類の暗号化 (ブラックリストに記載されたフォルダーなど) は、復号化バ イパス リストに含まれているアプリケーションによって作成されたファイルよ り優先されます。 たとえば、企業のバックアップ プログラムを復号化バイパス リストに含めるよ うに、PGP 管理者が指定した場合、このアプリケーションによって作成されたバ ックアップ ファイルはすべて保護され、暗号化を保持したまま別の場所に送信 されます。 保護フォルダーの使用 保護フォルダーは、保護されたファイルを格納するように指定されたフォルダー です。保護フォルダーに変換されるフォルダー内のファイルは自動的に暗号化さ れ、保護フォルダーの作成後に保護フォルダーに移動されるファイルは追加時に 暗号化されます。[ツール]-[PGPオプション] の [NetShare ] タブで [個々のファ イルの保護] を選択することで、個々のファイルを保護することもできます。 PGP NetShareバージョン 9.10 から、WebDAVプロトコルをサポートするWebサ ーバー上のフォルダー (Microsoft SharePointなど) は、PGP NetShareで保護で きるようになります。.mhtファイルなどの一定の種類のファイルは、正常に機 能するにはSharePointが必要であり、そのように使用される場合は、PGP NetShareで暗号化できません。SharePointファイルの保護に関する技術的詳細に ついては、「PGP Corporationサポート ナレッジベース記事 #1120 『http://support.pgp.com/?faq=1120』」を参照してください。 PGP NetShareをSharepointで使用する場合、[チェックアウトが必要] のオプショ ンをSharepointに対して [いいえ] に設定しているか確認してください。これに より、承認されているすべてのユーザーはPGP NetShareフォルダーにより管理 されているすべてのファイルにアクセスすることができます。 ヒント : 必ず適切なバックアップ戦略を設定し、PGP NetShare保護フォルダ ーすべてを定期的にバックアップしてください。 237 PGP NetShare の使用 PGP Desktop for Windows 保護されたフォルダーの場所の選択 PGP Corporation は、PGP NetShare 保護フォルダーを作成する際は、すべての承 認されたユーザーがアクセスでき、それ以外のユーザーからはアクセスできない 場所に作成することをお勧めします。 保護フォルダーは誰からもアクセスできる場所に作成できますが、PGP NetShareでは保護フォルダー内のファイルのアクセス制御は行われません。 保護フォルダー内のファイルにどのような操作を行うのか、また各ファイルに誰 がアクセスできるのかということが、PGP NetShare で提供できる保護に影響を 及ぼします。PGP NetShare 保護フォルダーの場所を選択する際には、次の状況 を考慮する必要があります。 一般的な使用方法 『ページ : 238』 ファイル アクセス 『ページ : 239』 暗号テキストへの直接アクセス 『ページ : 239の"暗号化されたデータ (暗 号テキスト) への直接アクセス"参照先 : 』 破損、削除、または上書きからのファイルの保護 『ページ : 239』 「ブラックリスト」のファイルとその他の保護できないファイル 『ページ : 234』 一般的な使用方法 承認されたユーザーによる通常の使用では、PGP NetShare は保護フォルダー内 のファイルを完全に保護します。通常の使用とは、保護されたファイルを開いて 変更を加えてから保存すること、保護フォルダーに新しいファイルを作成するこ と、または保護フォルダーにファイルを移動またはコピーすることを意味します。 PGP NetShare 保護フォルダーとの間でファイルの移動やコピーを行うと、PGP NetShare はファイルを保護された状態のまま維持しようとします。これにより、 たとえば、保護フォルダーから USB ドライブにファイルをコピーでき、かつフ ァイルの保護は維持されます。保護フォルダーからファイルの移動またはコピー を行う場合は、ロック状態を示す表示の確認やファイルのプロパティの検査を行 って、移動先やコピー先のファイルが引き続き保護されていることを常に確認す る必要があります。 238 PGP NetShare の使用 PGP Desktop for Windows ファイル アクセス PGP NetShare で保護されたファイルの復号化したデータは、使用しているすべ てのアプリケーションから完全にアクセスできます。 これには PGP Zip など、PGP Corporation の他のアプリケーションも含まれます。そのため、PGP Zip アーカイ ブを作成して、PGP NetShare で保護されたファイルを格納すると、PGP Zip ア ーカイブにはそのファイルを復号化したものが格納されます。 保護されたファイルに対して [名前を付けて保存] を選択し、保護フォルダーの 外に保存すると、新たに保存したファイルは保護されないことに注意してくださ い。 暗号化されたデータ (暗号テキスト) への直接アクセス PGP NetShare をバイパスして、暗号化されたファイルの暗号化データ (暗号テ キスト) に直接アクセスできる場合があります。 これにより、たとえば、保護されたファイルに物理的アクセスができても PGP Desktop がインストールされていないユーザー (ネットワーク管理者など) が、 ファイルサーバー上の保護されたファイルのバックアップ、移動、コピー、また は FTP 転送を行うことができます。この場合、保護されたファイルの暗号テキス トが、バックアップ、移動、コピー、または FTP 転送されます。 破損、削除、または上書きからのファイルの保護 PGP NetShareでは、ファイルへのアクセス制御を行いません。適切な承認のな いユーザーは保護フォルダ内のファイルを開けませんが、ファイルにアクセスす ることは可能です。つまり、PGP NetShareで保護されたファイルでも、アクセ ス権を持つユーザーによって破損、削除、または上書きされるおそれがあります。 PGP NetShareはファイルの内容を保護しますが、ファイル自体は保護できませ ん。 PGP NetShare で提供される暗号によるアクセス制御と保護に加えて、標準の強 力なファイル アクセス制御も引き続き使用することをお勧めします。 新規 PGP NetShare 保護フォルダーの作成 保護フォルダーは、PGP NetShare で保護されたファイルを保存するフォルダー です。 ヒント : PGP NetShare保護フォルダーを新規作成すると、既にフォルダーに 入っているファイルの最終変更日付がPGP NetShare操作の日付に変更されま す。変更日付を変えたくない場合は、最初に空のPGP NetShareフォルダーを 作成してから、次にファイルを追加してください。 239 PGP NetShare の使用 PGP Desktop for Windows メモ : PGP NetShareの保護フォルダーを作成するには、書き込み許可が必要 です。 PGP NetShare 保護フォルダーを新規作成するには 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリックし ます。PGP NetShare の作業領域が表示されます。 2 次のいずれか 1 つを実行します。 保護フォルダーにするフォルダーを「Drag and Drop Folder Here (ここ にフォルダーをドラッグ アンド ドロップしてください) 」と表示され ているフィールドにドラッグすると、PGP NetShare アシスタントが開 き、保護フォルダーを指定する手順を省略できます。 [PGP NetShare] コントロール ボックスで [フォルダーの追加] をクリ ックするか、または [NetShare] > [フォルダーの追加] の順に選択し ます。PGP NetShareアシスタントの [フォルダーの選択] 画面が表示さ れます。 [参照] をクリックします。[フォルダーの参照] ダイアログ ボック スが表示されます。 作成中の保護フォルダーに保存するファイルが入ったフォルダー に移動します。保護フォルダーに保存するファイルを入れる空の フォルダーを作成するには、[フォルダーの新規作成] をクリック します。 [OK] をクリックして、[フォルダーの参照] ダイアログ ボックス を閉じます。 [フォルダーの選択] 画面が再び表示されます。 240 PGP NetShare の使用 PGP Desktop for Windows (オプション) [説明] フィールドに、作成中の保護フォルダーの説明を入 力することもできます。 3 [次へ] をクリックします。[ユーザーの追加] 画面が表示されます。 4 作成する保護フォルダーのユーザーを追加するには、下向きの矢印アイコン をクリックします。鍵リング上の鍵リストが表示されます。 5 ユーザーを選択し、[追加] をクリックします。 メモ : 保護フォルダー内のファイルにアクセスする場合は、自分の鍵を忘 れずに追加してください。これを行わないと、保護フォルダー内のファイ ルを使用できなくなります。 また、[追加] をクリックして、承認されたユーザーを追加することもできま す。[ユーザーの選択] ダイアログ ボックスが表示されます。 6 次のいずれか 1 つを実行します。 [鍵ソース] 列から [追加する鍵] 列に鍵をドラッグします。 [鍵ソース] 列で鍵をクリックし、[追加] をクリックします。 [鍵ソース] 列で鍵をダブルクリックします。 PGP Global Directoryから鍵を追加するには、[PGP Global Directory] ア イコンをクリックします。[検索] フィールドに検索する文字列を入力 し、拡大鏡をクリックして検索を開始します。[鍵ソース] 列に表示さ れた検索結果から [追加する鍵] 列に鍵を追加します。 メモ : PGP NetShareからは、承認ユーザーとして保護フォルダーに追加さ れたことがその新規メンバに通知されません。通常は、保護フォルダーが 作成され、その承認ユーザーになったことをメンバーに連絡するのは、新 しい保護フォルダーの作成者の責任です。 7 [ユーザー選択] 画面の手順が完了したら、[OK] をクリックします。[ユーザ ーの追加] 画面が表示されます。 8 各ユーザーに役割を割り当てるには、ユーザー名を右クリックし、次の中か ら役割を選択します。 管理者 : PGP NetShare保護フォルダーごとに 1 人の管理者のみを作成 します。この役割は、フォルダーに対する完全な読み込み/書き込み権 限を持ち、ユーザーの追加や削除、および他のユーザーへの役割の割 り当てを行うことができます。また、別のユーザーを管理者に昇格さ せることもできます。 グループ管理者 : 各PGP NetShare保護フォルダーに対して、必要な数 のグループ管理者を作成します。この役割は、フォルダーに対する完 全な読み込み/書き込み権限を持ち、ユーザーの追加や削除を行うこと ができ、別のユーザーを管理者に昇格させることができます。 241 PGP NetShare の使用 PGP Desktop for Windows ユーザー :各PGP NetShare保護フォルダーに対して、必要な数のユーザ ーを作成します。この役割は、フォルダーに対する完全な読み取り/書 き込み権限を持ちます。 ユーザーの役割は、保護フォルダーの作成後にいつでも変更できます。役割 を変更するには、PGP Desktop で保護フォルダーをクリックし、ユーザー名 を右クリックします。 9 [次へ] をクリックします。[署名者の選択] 画面が表示されます。 10 ローカルの鍵リングから秘密鍵を 1 つ選択します。この鍵は、ファイルが保 護フォルダー内で暗号化によって保護される際の署名に使用されます。 11 [パスフレーズ] に、鍵のパスフレーズを入力します。 12 [次へ] をクリックします。[進捗状況] 画面が表示されます。 これで、指定した保護フォルダー内のファイルが暗号化され、ユーザーが承 認ユーザーとして追加されました。 メモ : 暗号化プロセスを取り消すと、既に暗号化されたファイルはそのま ま保持されます。ファイルを元の暗号化されていない状態に戻す方法につ いては、「フォルダーの削除 『ページ : 252の"PGP NetShare保護フォル ダーの復号化"参照先 : 』」を参照してください。 13 このプロセスが完了したら、[完了] をクリックします。 新規 PGP NetShare 保護フォルダー内のファイルの使用 PGP NetShare の承認されたユーザーになると、保護フォルダー内のファイルを 次の 3 通りの方法で使用できるようになります。 保護フォルダーをダブルクリックして開き、使用する特定のファイルをダブ ルクリックします。 使用したいファイルの作成元アプリケーションからファイルを開きます。 ハイパーテキスト リンクとして表示されるパスをクリックして保護フォル ダーを開き、使用する特定のファイルをダブルクリックします。 PGP NetShare 保護フォルダーのメンバシップ用の秘密鍵のパスフレーズがコン ピューター上でキャッシュされている場合は、ファイルを開くために特別な操作 をする必要はなく、自動的に開きます。 パスフレーズがキャッシュされていない場合は、保護フォルダーはロックされま す。保護フォルダー内のファイルを開く前に認証が必要になります。詳細につい ては、「保護フォルダーのロック解除 『ページ : 243』」を参照してください。 242 PGP NetShare の使用 PGP Desktop for Windows メモ : PGP NetShareで保護されたテキスト文書をWindows VistaでNotepad を使用して開くと、ファイルがロックされていないことを示す通知が 2 回表示 されます。これは、Notepadがどのようにファイルにアクセスするかの結果で す。 保護フォルダーのロック解除 [ロック解除] ボタンは、アクセスできないがロック解除できる可能性のあるフォ ルダーにアクセスする場合、またはフォルダーを手動でロック解除する必要のあ る場合に使用できます。次のいずれかの理由によって保護フォルダーがロックさ れている場合、保護フォルダーを手動でロック解除する必要があります。 [パスフレーズ] ダイアログ ボックスの入力タイマーが時間切れになった。 有効なパスフレーズを入力することなく、[パスフレーズ] ダイアログ ボッ クスで [キャンセル] がクリックされた。 これ以降に保護フォルダーにアクセスしようとすると、[アクセスが拒否されまし た] ダイアログ ボックスが表示されます。保護フォルダー内のファイルを使用で きるようにするには、保護フォルダーのロックを解除する必要があります。 保護フォルダーのロックを解除するには 1 保護フォルダーを右クリックし、[PGP Desktop > [PGP NetShareプロパテ ィ] を選択します。 2 [PGP NetShare プロパティ] タブが表示されます。 3 [ロック解除] をクリックします。[ロック解除します] ダイアログ ボックス が表示されます。 243 PGP NetShare の使用 PGP Desktop for Windows 4 適切なパスフレーズを入力してから、[OK] をクリックします。[ロック解除 します] ダイアログが消えます。パスフレーズがキャッシュされ、保護フォ ルダー内のすべてのファイルにアクセスできるようになります。 メモ : PGP Universal Server管理者がオプションを有効にしている場合、PGP トレイ メニューから [NetShareロックの再スキャン] を選択できます。フォ ルダーにアクセスしようとした時に挿入しなかったスマート カードまたはト ークンに鍵がある場合、このオプションを使用してPGP NetShareで保護され たフォルダーのロック解除を行います。 保護フォルダー内のファイルの確認 保護フォルダーのメンバーになると、保護フォルダー内のすべてのファイルに対 して完全なアクセス権が与えられます。保護フォルダーの作成者であれば、多く の場合はそこに保存されているファイルが分かっています。ただし、保護フォル ダーの他のメンバーによって追加されたユーザーの場合は、保護フォルダー内で 自分が使用できるファイルがすぐには分からない場合があります。 保護フォルダー内のファイルを確認するには、次の操作を実行します。 1 PGP Desktop を開き、[PGP NetShare] コントロール ボックスをクリックし ます。 2 保護フォルダーへのパスをクリックします。これはハイパーリンクとして表 示されます。保護フォルダーに保存されたファイルやフォルダーが、新規ウ ィンドウに表示されます。 アクセスが拒否される場合は、保護フォルダーがロックされています。アクセス できるようにするには、ロックされたフォルダーの [プロパティ] 画面で [PGP NetShare] タブを開いてそのフォルダーをロック解除するか、コンピュータを再 起動する必要があります。保護フォルダをロック解除する操作の詳細については、 「新規PGP NetShare保護フォルダ内のファイルの使用 『ページ : 242の"新規 PGP NetShare保護フォルダー内のファイルの使用"参照先 : 』」を参照してく ださい。 保護フォルダーへのサブフォルダーの追加 PGP NetShare を使用して、作成後の保護フォルダーにファイルとフォルダーの 両方を追加できます。 保護フォルダーに追加したフォルダー内のすべてのファイルは、保護フォルダー に追加された時点で自動的に保護されます。これにより、フォルダーとフォルダ ー内のファイルは承認されたユーザーしか使用できなくなります。 244 PGP NetShare の使用 PGP Desktop for Windows 別の一連の承認されたユーザー用の保護フォルダーとして既に設定されている フォルダーを追加しないように注意してください。そうしないと、親フォルダー に設定されている別の一連の承認されたユーザーが、新しく追加されたサブフォ ルダーにも設定されてしまう可能性があります。 メモ : PGP NetShare追跡エンジンは、EFSで保護されたオブジェクトを無視し ます。これは、EFSがNTFSと密接に連携していることに起因する問題を回避す るための正常な動作です。EFSによって暗号化されているファイルまたはフォ ルダーは、PGP NetShareで保護されたフォルダーにすべて移動またはコピー されますが、EFS暗号化の状態を保持して、PGP NetShareで保護された状態に はなりません。これらのオブジェクトをPGP NetShareで保護するには、フォ ルダーに移動/コピーする前にEFS暗号化を削除してください。 フォルダー ステータスの確認 NetShareフォルダーの作業領域、[PGP NetShare] コントロール ボックス、また は [NetShare] メニューから利用できる [フォルダーのステータスを確認] コマ ンドは、指定したPGP NetShareフォルダーのステータスに関する最新の情報を 提供します。 保護フォルダーのフォルダー ステータスを確認するには、 1 PGP NetShareの作業領域の [フォルダーのステータス] セクションで、[フ ォルダーのステータスを確認] をクリックします。PGP NetShareフォルダー を選択しておく必要があります。 245 PGP NetShare の使用 PGP Desktop for Windows 2 選択したフォルダーのステータスについては、[フォルダーのステータスを 確認] ボタンの左に表示されるテキストを参照してください。(たとえば、す べてのフォルダーとファイルが暗号化されています。) ヒント :保護フォルダーを最後に更新した日時とそのユーザーの鍵IDが、 ユーザー リストの下に表示されます。 保護フォルダーの他の場所へのコピー 常に保護フォルダー内で作業することにより、最大のセキュリティが実現されま す。そのため、フォルダーをコピーする必要があるときは、最初に移動先として 保護フォルダーを作成することをお勧めします。保護フォルダーから別の保護フ ォルダーへファイルを移動するときは常に、環境は保護された状態のままになり ます。 PGP NetShareでは、保護フォルダーが他の場所に移動された場合でも、ファイ ルの暗号化が維持されます。ただし、ファイルをコピーする方法と場所によって は、フォルダーが保護されなくなる可能性があります。フォルダー内のファイル は保護された状態が保たれますが、フォルダーはPGP NetShareの情報を失う場 合があり、この場合、PGPのアイコンが表示されなくなります。 保護されていない場所にフォルダーをコピーした場合は、最善の方法として、フ ォルダーとファイルが暗号化されていることを確認するために、「フォルダ ス テータスの確認 『ページ : 245の"フォルダー ステータスの確認"参照先 : 』」 の説明に従ってフォルダーのステータスを確認してください。 フォルダーが暗号化されていない場合は、次の操作を行います。 1 PGP NetShareで保護フォルダを作成するアクセス許可がある場合は、「新 規PGP NetShare保護フォルダーの作成 『ページ : 239』」の説明に従っ て、移動先に新しい保護フォルダーを作成します。 2 保護されなくなっているフォルダーの内容を、新しい保護フォルダーにコピ ーします。 3 「PGP NetShareアクセス リストのインポート 『ページ : 250』」の説明 に従って、元のフォルダーのアクセス リストを新しいフォルダーにインポ ートします。 PGP NetShare ユーザーの使用 PGP Desktop 9.5 またはそれ以降を使用しており PGP Desktop に適切な鍵ペア があるユーザーは、PGP NetShare の保護フォルダーのユーザーになれます。 以下の鍵ペアを使用できます。 PGP Desktop で作成 246 PGP NetShare の使用 PGP Desktop for Windows OpenPGP アプリケーションで作成され、PGP Desktop にインポートされた 鍵ペア PGP Desktop にインポートされた X.509 証明書 ユーザーになるには、次の 2 つの方法があります。 PGP Desktop を使用して保護フォルダーを作成し、自分自身を承認されたユ ーザーのメンバーとして追加できます。 既存のユーザーに自分を追加してもらうことができます。 ユーザーになると、 他のすべてのメンバーと同じ権限が与えられます。 PGP NetShare ユーザーの追加 保護フォルダーの作成時に PGP NetShare のほとんどのユーザーが追加されます が、その保護フォルダーの管理者またはグループ管理者であれば、作成した後に いつでもメンバーを追加できます。 注意 : PGP NetShareへのユーザーの追加は慎重に行ってください。追加した ユーザーには、他のユーザーと同じアクセス権とユーザー権限がすべて与えら れます。追加したメンバーは保護フォルダーに新しいファイルを追加したり、 保護フォルダーの既存のファイルを削除したりすることができます。 新しい PGP NetShare ユーザーを追加するには 1 新規ユーザーを追加する PGP NetShare フォルダーを選択します。 2 [ユーザー アクセス] セクションで、[ユーザーの追加] をクリックします。 [ユーザーの選択] ダイアログ ボックスが表示されます。 3 次のいずれか 1 つを実行します。 [鍵ソース] 列から [追加する鍵] 列に鍵をドラッグします。 [鍵ソース] 列で鍵をクリックし、[追加] をクリックします。 PGP Global Directoryから鍵を追加するには、[PGP Global Directory] ア イコンをクリックします。[検索] フィールドに検索する文字列を入力 し、拡大鏡をクリックするか、Enterキーを押して検索を開始します。 [鍵ソース] 列に表示された検索結果から [追加する鍵] 列に鍵を追加 します。 メモ : PGP NetShareからは、承認されたユーザーとして追加されたことが その新規メンバーに通知されません。通常は、現在承認されていることを 新規ユーザーに連絡するのは、そのユーザーを追加した管理者の責任です。 4 [OK] をクリックします。ユーザーのリストにユーザーが追加されます。 5 [適用] をクリックします。[署名者の選択] 画面が表示されます。 247 PGP NetShare の使用 PGP Desktop for Windows 6 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用し ます。この鍵は、ファイルを暗号化する際の署名に使用されます。ユーザー が追加されると、セキュリティ確保のために保護フォルダー内のファイルが 自動的に再暗号化されます。 7 選択した鍵のパスフレーズがキャッシュにない場合は入力して、[次へ] をク リックします。[進捗状況] 画面が表示され、指定した保護フォルダー内のフ ァイルが再暗号化されます。 8 [完了] をクリックします。 ユーザーの役割の変更 ユーザーの役割は、保護フォルダーの作成後にいつでも変更できます。役割の詳 細については、「PGP NetShareにおける役割 『ページ : 232の"PGP NetShare ロール"参照先 : 』」を参照してください。 役割を「ユーザー」から「管理者」または「グループ管理者」に変更するには、 そのユーザーが保護フォルダーに対してすべての権限を所有していることを確 認してください。 ユーザーの役割を変更するには 1 PGP Desktop で、新規ユーザーを追加する PGP NetShare フォルダーを選択 します。 248 PGP NetShare の使用 PGP Desktop for Windows 2 [ユーザー アクセス] セクションで、ユーザー名を選択し、[ロールの変更] を クリックします。 ヒント : ユーザー名を右クリックし、ロールを選択することもできます。 3 4 表示されるリストからこのユーアーに適用するロールを選択します。 管理者 : PGP NetShare保護フォルダーごとに 1 人の管理者のみを作成 します。この役割は、フォルダーに対する完全な読み込み/書き込み権 限を持ち、ユーザーの追加や削除、および他のユーザーへの役割の割 り当てを行うことができます。また、別のユーザーを管理者に昇格さ せることもできます。 グループ管理者 : 各PGP NetShare保護フォルダーに対して、必要な数 のグループ管理者を作成します。この役割は、フォルダーに対する完 全な読み込み/書き込み権限を持ち、ユーザーの追加や削除を行うこと ができ、別のユーザーを管理者に昇格させることができます。 ユーザー :各PGP NetShare保護フォルダーに対して、必要な数のユーザ ーを作成します。この役割は、フォルダーに対する完全な読み取り/書 き込み権限を持ちます。 [適用] をクリックして、変更を保存します。 保護フォルダーからのユーザーの削除 PGP NetShare 保護フォルダーのメンバを削除するには、そのユーザーを削除す る必要があります。 249 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare 保護フォルダーからユーザーを削除するには 1 [PGP NetShare] 画面で、ユーザーを削除する保護フォルダーを選択します。 2 画面下の [ユーザー アクセス] リストで、削除するユーザーの名前をクリッ クし、[ユーザーの削除] をクリックします。ユーザーがリストから削除され ます。 3 [適用] をクリックします。[署名者の選択] 画面が表示されます。 4 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用し ます。この鍵は、ファイルを暗号化する際の署名に使用されます。保護フォ ルダーからメンバーが削除されると、セキュリティ確保のために PGP NetShare によって保護フォルダー内のファイルが自動的に再暗号化されま す。 5 再暗号化を行うメッセージが表示されたら、選択した鍵のパスフレーズを入 力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護 フォルダー内のファイルが再暗号化されます。 6 [完了] をクリックします。削除したユーザーは保護フォルダーのメンバーで はなくなるため、そのフォルダー内のファイルにアクセスできません。 PGP NetShare アクセス リストのインポート アクセス リストをインポートすると、自分がメンバーになっている特定の承認 されたユーザーの集合から、やはり自分がメンバーになっている別の承認された ユーザーの集合に、メンバーの集合と各メンバーの鍵をインポートできます。 このオプションは、保護フォルダーが複数ある場合にのみ使用できます。 アクセス リストをインポートするには 1 [PGP NetShare] 画面で、別の保護フォルダーのメンバーをインポートする 保護フォルダーを選択します。 2 画面下の [ユーザー アクセス] リストで、[アクセス リストのインポート] をクリックします。 [PGPユーザー アクセス リストのインポート] ダイア ログ ボックスが表示されます。 3 インポートするメンバーが格納されている既存の保護フォルダーの名前を クリックし、[インポート] をクリックします。 4 [適用] をクリックします。[署名者の選択] ダイアログ ボックスが表示され ます。 250 PGP NetShare の使用 PGP Desktop for Windows 5 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用し ます。この鍵は、ファイルを暗号化する際の署名に使用されます。保護フォ ルダー内のメンバー構成が変更されると、セキュリティ確保のために保護フ ォルダー内のファイルが自動的に再暗号化されます。 6 再暗号化を行うメッセージが表示されたら、選択した鍵のパスフレーズを入 力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護 フォルダー内のファイルが再暗号化されます。 7 [完了] をクリックします。保護フォルダーに新しいメンバーが追加されます。 Active Directory グループの使用 PGP NetShare は Active Directory と統合されるため、Active Directory のグルー プを利用して、保護フォルダーにユーザーを容易に追加できます。PGP NetShare では LDAP (Lightweight Directory Access Protocol) を使用して、組織 内の Active Directory からグループ情報を取得します。 グループを利用するための PGP NetShare の設定 グループ情報を取得するためには、PGP Universal Serverにバインドし、[グルー プの展開への使用] オプションを有効にする必要があります。次の手順では、ス タンドアロン環境にPGP Desktopをインストールした場合について説明します。 PGP Desktopがインストールされ、PGP Universal Server環境と統合されている 場合、LDAPの統合は自動で行われるため、この手順に従う必要はありません。 メモ :PGP NetShareフォルダーに一度に追加できるユーザー数は限られてい ます (50 人)。このハードコード化された制限をカスタマイズすることは可能 ですが、そうすることによる影響が少なからずあるため、PGP Corporationか らのサポートを必ず受けてください。詳細については「PGPサポート ナレッ ジベース記事 830 『https://support.pgp.com/?faq=830』」を参照してくださ い。 グループを利用するために PGP NetShare を設定するには 1 PGP Universal Serverを優先鍵サーバーのリストに追加します。追加するに は、新しいメッセージング サービスを作成し、PGP Universal Serverの名前 を指定します。詳細については、「サービスの作成とアカウント プロパテ ィの編集 『ページ : 97の"新規メッセージング サービスの作成"参照 先 : 』」を参照してください。 2 PGP Universal Serverにバインドします。これには、「Lotus Notesおよび MAPIを使用したメッセージング 『ページ : 335』」の説明に従って、PGP Universal Serverに手動バインドしてください。 251 PGP NetShare の使用 PGP Desktop for Windows 3 PGP 鍵生成アシスタントで、鍵モードに [GKM]、[CKM]、または [SCKM] を 選択します。[SKM] は選択しないでください。 4 PGP Universal Server上で鍵が利用可能かどうかを確認します。確認するに は、PGP Desktopで [PGP鍵] コントロール ボックスを選択します。次に、 [鍵の検索] をクリックします。PGP Universal Serverの名前を選択し、自身 の名前を入力して、[検索] をクリックします。 5 グループの展開を有効にします。確認するには、PGP Desktop で [PGP メッ セージング] コントロール ボックスを選択します。 6 [メッセージング] > [グループの展開への使用] を選択します。有効である ことを示すチェックが、メニュー項目の横に表示されます。 グループの更新 PGP Universal Server で管理された環境で PGP NetShare を使用しており、PGP 管理者が Active Directory グループを確立している場合、PGP NetShare を使用し て、グループのメンバー構成が最新の状態かどうかを確認できます。 Active Directory グループを更新するには 1 [PGP NetShare] 画面で、Active Directory グループを更新する保護フォルダ ーを選択します。 2 [ユーザー アクセス] セクションで、[グループの更新] をクリックします。 PGP NetShareによってActive Directoryのグループ メンバー構成がチェッ クされ、必要に応じて更新されます。 PGP NetShare 保護フォルダーの復号化 [フォルダーの削除] コマンドは、保護フォルダー内のファイルを、通常の復号化 された状態に戻します。 保護フォルダーに格納されているフォルダーとファイルはすべて復号化され、フ ァイルの上に表示されていた PGP アイコンはなくなります。 PGP NetShare 保護フォルダーからファイルの保護を削除するには 1 [PGP NetShare] 画面で、ファイルの保護を削除する保護フォルダーを選択 します。 2 PGP Desktopウィンドウの左側にあるPGP NetShareコントロール ボック スで [フォルダーの削除] をクリックします。[復号化の確認] ダイアログ ボ ックスが表示されます。 252 PGP NetShare の使用 PGP Desktop for Windows 3 保護が削除されるのが指定したフォルダーであることを確認し、[次へ] をク リックします。パスフレーズがキャッシュされていない場合、[保護フォル ダーのロック解除] ダイアログ ボックスが表示されます。 4 ファイルの暗号化の際に使用した鍵のいずれかに設定されたパスフレーズ を入力し、[OK] をクリックします。一定の時間内に適切なパスフレーズを 入力する必要があります。入力しないと、復号化プロセスがキャンセルされ ます。[進捗状況] 画面が表示され、ファイルが復号化されます。 5 [完了] をクリックします。これで、保護フォルダー内にあるファイルは、暗 号化によって保護されなくなり、PGP NetShare保護フォルダーのリストか ら削除され、ロック アイコンが表示されなくなります。 ヒント : Windowsエクスプローラでフォルダーを右クリックし、ショートカ ット メニューから [PGP NetShareからフォルダーを削除] を選択して、フォ ルダーを復号化できます。 フォルダーの再暗号化 フォルダーを再暗号化すると、指定した保護フォルダー内のファイルが再暗号化 されます。再暗号化では、基本暗号化鍵を変更できるので、現在の鍵を特定でき た可能性があるユーザーからのアクセスを防止できます。そのフォルダーを再暗 号化できるのは、フォルダーのグループ管理者または管理者である必要がありま す。 [フォルダーの再暗号化] コマンドを使用すると、必要なときにいつでも再暗号化 を実行できます。たとえば、不正なユーザーが保護フォルダー内のファイルへの アクセスを取得したと考えられる場合です。 再暗号化が必要になる理由として、次のことが挙げられます。 保護されたフォルダーに、暗号化されていないファイルが含まれていること が疑われる場合。たとえば、承認されていないユーザーが保護されたフォル ダーにファイルを配置した場合などです。 承認されたユーザーの鍵情報が漏洩した場合。 承認されたユーザーが新たに追加され、保護フォルダーへのアクセスを必要 とする場合。この場合、アクセスは自動的に許可されません。 保護フォルダーを再暗号化するには、次の操作を実行します。 1 [PGP NetShare] 画面で、再暗号化する保護フォルダーを選択します。 2 PGP Desktopウィンドウの左側にあるPGP NetShareコントロール ボック スで [フォルダーの再暗号化] をクリックします。[ユーザーの追加] 画面が 表示されます。 253 PGP NetShare の使用 PGP Desktop for Windows 再暗号化中に保護フォルダーにメンバを追加することも、そのフォルダーか ら既存のメンバーを削除することもできます。 3 [次へ] をクリックして続行します。[署名者の選択] 画面が表示されます。 4 ローカルの鍵リングから秘密鍵を 1 つ選択するか、デフォルトの鍵を使用し ます。この鍵は、ファイルを暗号化する際の署名に使用されます。 5 再暗号化を行うメッセージが表示されたら、パスフレーズを入力し、[次へ] をクリックします。[進捗状況] 画面が表示され、指定した保護フォルダー内 のファイルが再暗号化されます。 6 [完了] をクリックします。再暗号化プロセスが完了します。 パスフレーズのクリア デフォルトでは、[PGP Desktop オプション] の [全般] タブの設定に応じて、PGP NetShare はパスフレーズをキャッシュします。これにより、保護フォルダー内 の保護されたファイルを使用するためにパスワードを入力する必要がなくなる ため、PGP NetShare を使用しやすくなります。 ただし、コンピューターのそばを離れる場合は、許可されていないユーザーがパ スフレーズを入力せずに PGP Desktop を使用できてしまうため、パスフレーズ がキャッシュされた状態のままにしないようにする必要があります。 パスフレーズをクリアするには 1 Windows のシステム トレイにある PGP のアイコンをクリックします。 2 表示されるメニューから [キャッシュのクリア] を選択します。このコマン ドが有効になるには少なくとも 1 つのパスフレーズがキャッシュされる必 要があります。キャッシュされているパスフレーズがクリアされます。 保護フォルダーの外にあるファイルの保護 PGP NetShareには、PGP NetShareの保護フォルダーの外にある個々のファイル を保護できるようにする詳細オプションが用意されています。このオプションは デフォルトで無効になっています。 メモ : PGP Universal Serverによって管理されている環境でPGP Desktopを使 用している場合は、PGP管理者がこのオプションを使用できないようにしてい る場合があります。 254 PGP NetShare の使用 PGP Desktop for Windows PGP NetShare保護フォルダーの外にある個々のファイルを保護するには、まず、 [PGPオプション] の [NetShare] タブにある 個々のファイルの保護 を選択する 必要があります。詳細については、「PGP NetShareオプション『ページ : 314』」 を参照してください。このオプションを有効にするまでは、PGP NetShareの保 護フォルダーの外にあるファイルは保護できません。 [個々のファイルを保護します] オプションを選択すると、Windowsエクスプロー ラーのPGP Desktopショートカット メニューを使用して、保護フォルダーの外 にある個々のファイルを保護できます。 個別に保護されたファイルは、PGP Desktopユーザー インターフェイスのPGP NetShare作業領域には表示されませ ん。 注意 : PGP NetShareは個別に保護されたファイルを保護しようとしますが、 一部のアプリケーション (Microsoft Wordなど) には、保護されたファイルが 削除されたとPGP NetShareに認識される方法で、変更したファイルを保存す るものがあります。こうした環境では、PGP NetShareはこれらのファイルの 保護を続行できません。これが当てはまるのは、保護フォルダー内にない個別 に保護されたファイルだけで、PGP NetShareの保護フォルダー内のファイル には当てはまらないことに注意してください。保護対象ファイルが保護されな い状態になることを回避するため、PGP Corporationは、保護するファイルを PGP NetShareの保護フォルダーに保管することを強く推奨します。 [個々のファイルを保護します] オプションを有効にするには 1 [ツール] > [PGPオプション] の順に選択します。 2 [NetShare] タブをクリックします。 3 [NetShare] タブで、[個々のファイルを保護します] オプションを選択しま す。デフォルトの設定では、オフになっています。 PGP NetShare を使用して個々のファイルを保護するには 1 エクスプローラーで、PGP NetShare を使用して保護するファイルを右クリ ックします。 2 ショートカット メニューで、[PGP Desktop > PGP NetShareに <filename> を追加します] の順に選択します。 3 PGP NetShare アシスタントが表示されたら、承認されたユーザーを追加し、 署名用の秘密鍵を選択します。 4 暗号化処理が完了したら、[完了] をクリックします。Windowsエクスプロ ーラーでは、保護されたファイルにPGP NetShareアイコンが表示されます。 ショートカット メニューを使用して、保護されたファイルの PGP NetShare プ ロパティを表示したり、保護フォルダーの外にある個別に保護されたファイルを 再暗号化したり、各ファイルの保護を無効にしたりすることもできます。 255 PGP NetShare の使用 PGP Desktop for Windows ショートカット メニューを使用して、保護されたファイルの PGP NetShare プロパティを表示するには 1 エクスプローラーで、PGP NetShare プロパティを表示する保護されたファ イルを右クリックします。 2 ショートカット メニューで、[PGP Desktop > PGP NetShareプロパティ] の順に選択します。選択したファイルのプロパティ ウィンドウが表示され ます。 3 プロパティを確認したら、[OK] をクリックします。 ショートカット メニューを使用して、保護されたファイルを再暗号化するには 1 エクスプローラーで、再暗号化する保護されたファイルを右クリックします。 2 ショートカット メニューで、[PGP Desktop > 再暗号化] の順に選択します 。 3 PGP NetShare アシスタントが表示されたら、承認されたユーザーを追加ま たは削除し、署名用の秘密鍵を選択します。 4 再暗号化処理が完了したら、[完了] をクリックします。 ショートカット メニューを使用して、個別に保護されたファイルから保護を削 除するには 1 エクスプローラーで、保護を無効にする保護されたファイルを右クリックし ます。 2 ショートカット メニューで、[PGP Desktop > PGP NetShareから [file name] を削除します] の順に選択します。 3 PGP NetShareアシスタントが表示されたら、[次へ] をクリックすることで、 そのファイルの保護を無効にする確認を行います。 4 ファイルが復号化されたら、[完了] をクリックします。 PGP NetShare で保護されたファイルのバックアップ PGP NetShare で保護されたファイルとフォルダーはバックアップできます。バ ックアップ プロセス時にファイルがどのように処理されるかは、PGP Universal Server によって管理された環境で PGP NetShare を使用しているかどうかによっ て決まります。 256 PGP NetShare の使用 PGP Desktop for Windows 管理されていないクライアントを使用したファイルのバックアッ プ 保護されたファイルとフォルダーが、管理されていない (スタンドアロン) クラ イアントによってバックアップされる場合、保護されたファイルはバックアップ 時に透過的に復号化され、バックアップ メディアに平文で保存されます。暗号 化された元の状態にこれらのファイルを戻す場合も、暗号化は透過的に行われま す。 PGP Universal Server で管理されたクライアントを使用したファ イルのバックアップ 管理されたクライアントを使用して、保護されたファイルとフォルダーをバック アップする場合、暗号化の処理方法は、バックアップ アプリケーションが PGP Universal Server 管理者によってアプリケーション バイパスとして設定されて いるかどうかによって決まります。 バックアップ アプリケーションが復号化バイパス リストに含まれている 場合、保護されたファイルは、バックアップされた後もバックアップ メデ ィア上で暗号化されたままになります。これらのファイルを元の場所に復元 するときも、暗号化された状態は保たれます。 バックアップ アプリケーションが復号化バイパス リストに含まれていな い場合は、管理されていないクライアントを使用してファイルをバックアッ プする場合と同様になります。この場合、保護されたファイルはバックアッ プ時に透過的に復号化され、バックアップ メディアに平文で保存されます。 暗号化された元の状態にこれらのファイルを戻す場合も、暗号化は透過的に 行われます。 メモ : PGP Corporationでは、データをバックアップする際とリストアする際 に方法を統一することを推奨しています。たとえば、管理されていないクライ アントを使用してファイルをバックアップする場合は、ファイルをリストアす る際にも、管理されていないクライアントを使用する必要があります。 ショートカット メニューを使用した PGP NetShare 機能へのア クセス いくつかの PGP NetShare 機能は、Windows エクスプローラー内で項目を右ク リックして表示されるショートカット メニューから利用できます。 Windowsエクスプローラーで項目を右クリックして、そのフォルダー、および [ 個々のファイルを保護します] オプションを有効にしている場合はファイルを保 護できます。表示されるショートカット メニューから [PGP Desktop] > [PGP NetShareに <filename> を追加します] の順に選択して、その項目をPGP NetShareの保護対象として指定する処理を開始します。 257 PGP NetShare の使用 PGP Desktop for Windows PGP NetShareを使用して、保護フォルダーの外にある個別のファイルを保護す る操作の詳細については、保護フォルダーの外にあるファイルの保護 『ページ : 254』を参照してください。 ファイルやフォルダーを PGP NetShare で保護すると、エクスプローラー内のシ ョートカット メニューから、次の 3 つのコマンドを実行できるようになります。 PGP NetShareプロパティ : このコマンドを使用すると、ファイルまたはフ ォルダーのプロパティ画面の [PGP NetShare] タブが開きます。このタブで は、保護されたファイルを使用できるユーザーの表示、ロックされているフ ァイルやフォルダーのロック解除、および保護されたファイルを使用できる ユーザーの追加を行うことができます。 再暗号化 : このコマンドを使用すると、指定したフォルダーやファイルが 新しい基本暗号化鍵で再暗号化されます。 この<file name>をPGP NetShareから削除してください。このコマンドを 使用すると、指定したフォルダーやファイルのPGP NetShare保護が無効と なります。 適用可能な手順については、「保護フォルダーの外にあるファイルの保護 『ペ ージ : 254』」を参照してください。 PGP Universal Server によって管理された環境にある PGP NetShare PGP Universal Server で管理された環境で PGP NetShare を使用している場合、 PGP 管理者はコンピューター上での PGP NetShare の動作に影響を与える設定を 構成できます。 これらの設定は次のとおりです。 ユーザーによるPGP NetShareフォルダーの作成および管理を許可。 この 設定が有効になっている場合、PGP NetShare保護フォルダーを作成できま す。無効になっている場合、他の人が作成した保護フォルダーを使用できま すが、保護フォルダーを作成することはできません。この設定はデフォルト で有効になっています。 ユーザーによる上級ユーザー モードの有効化を許可。 この設定が有効にな っている場合、[PGPオプション] の [上級ユーザー モード] を有効にできま す。これにより、保護フォルダーから移動された個々のファイルを保護でき るようになります。この設定はデフォルトで無効になっています。 258 PGP NetShare の使用 PGP Desktop for Windows Force the encryption of files in the following folders (次のフォルダーに あるファイルの暗号化を実施) 。 これらのフォルダーは、「ホワイトリス ト」のフォルダーと呼ばれます。ホワイトリストのフォルダーは、PGP NetShareに必ず追加され、その内容は暗号化されます。詳細については、 「PGP Universalによって指定される「ブラックリスト」および「ホワイト リスト」のフォルダー 『ページ : 235の""Blacklisted" and "Whitelisted" Folders Specified by PGP Universal Server"参照先 : 』」を参照してくださ い。 Prevent the encryption of files in the following folders (次のフォルダー あるファイルの暗号化を防止)。 これらのフォルダーは、「ブラックリスト 」のフォルダーと呼ばれます。ブラックリストのフォルダーは、PGP NetShareに追加されることも暗号化されることもありません。 詳細につい ては、「PGP Universalによって指定される「ブラックリスト」および「ホ ワイトリスト」のフォルダー 『ページ : 235の""Blacklisted" and "Whitelisted" Folders Specified by PGP Universal Server"参照先 : 』」を参 照してください。 これらの設定について質問がございましたら、PGP 管理者に問い合わせてくださ い。 保護されたファイルまたはフォルダーのプロパティへのアクセス PGP NetShare によって保護されているすべてのファイルのプロパティ画面には [PGP NetShare] タブがあり、ファイルに関する情報が表示されます。 259 PGP NetShare の使用 PGP Desktop for Windows ファイルの [プロパティ] ダイアログ ボックスの [PGP NetShare] タブにア クセスするには 1 Windows エクスプローラーで、次のいずれかの操作を行います。 ファイルを右クリックし、一覧から [プロパティ] を選択します。 リストから、[ファイル] > [プロパティ] を選択します。 選択したファイル のプロパティ画面が表示されます。 2 [PGP NetShare] タブをクリックします。[PGP NetShare] タブが表示され ます。 3 ファイルの [PGP NetShare] タブに、暗号化されたファイルを使用できるユ ーザーの名前が表示されます。このタブでは、次の操作を実行できます。 4 ロック解除 : ロックされている保護フォルダーをロック解除します。 編集 : [ユーザーの追加] 画面を表示し、選択したファイルやフォルダ ーを使用できるユーザーの追加/削除を行うことができます。ユーザー が追加または削除された場合、ファイルやフォルダーは再暗号化され ます。 ユーザー名を右クリックすると、各ユーザーの役割が表示されます。 このタブでは、ユーザーの役割を変更できません。ユーザーの役割の 変更については、「ユーザーの役割の変更 『ページ : 248』」を参照 してください。 [プロパティ] ダイアログを閉じるには、[OK] をクリックします。 PGP Desktop の PGP NetShare メニューの使用 PGP Desktop メニューの中で、[ファイル]、[編集]、および [NetShare] の 3 つの メニューには、NetShare に関連するコマンドが含まれています。 [ファイル] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、[ファイル > 新 規PGP NetShareフォルダー] の順に選択すると、新しい保護フォルダーを作成 できます。 操作手順は、「新規PGP NetShare保護フォルダーの作成 『ページ : 239』」 と同じです。 260 PGP NetShare の使用 PGP Desktop for Windows [編集] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、PGP Desktopの [編集] メニューの [名前の変更] コマンドでは、保護フォルダーの名前を変更で きます。 [編集] メニューを使用して PGP NetShare 保護フォルダーの名前を変更する には 1 PGP Desktopを開き、[PGP NetShare] コントロール ボックスをクリック します。 2 複数の保護フォルダーがある場合は、名前を変更する保護フォルダーの名前 をクリックします。 3 [編集] > [名前の変更] の順に選択します。 4 保護フォルダーの新しい名前を入力します。 5 Enterキーを押すか、保護フォルダー名以外の場所をクリックします。これ で、保護フォルダーの名前が変更されます。 [編集] メニューの [エクスプローラーでファイルを表示...] オプションは、保護 フォルダーのパスをクリックした場合と同等です。このオプションを選択すると、 選択したフォルダーがWindowsエクスプローラー内で開きます。 [NetShare] メニュー [PGP NetShare] コントロール ボックスが選択されているとき、[NetShare] メニ ューでは次のコマンドを選択できます。 フォルダーの追加 : このコマンドを選択して、保護フォルダーを新規作成 できます。操作手順は、「新規PGP NetShare保護フォルダーの作成 『ペー ジ : 239』」と同じです。このコマンドをアクティブにするには、[PGP NetShare] コントロール ボックスを選択する必要があります。 フォルダーの削除 : このコマンドを選択して、保護フォルダーを通常の復 号化された状態に戻す処理を開始できます。保護フォルダーに格納されてい るフォルダーとファイルはすべて復号化され、ファイルの上に表示されてい たPGPアイコンはなくなります。このコマンドをアクティブにするには、保 護フォルダーを選択する必要があります。 261 PGP NetShare の使用 PGP Desktop for Windows フォルダーの再暗号化 : このコマンドを選択して、保護フォルダー内にあ るファイルを再暗号化できます。再暗号化では、基本暗号化鍵を変更できる ので、現在の鍵を特定できた可能性があるユーザーからのアクセスを防止で きます。保護フォルダーへのユーザーの追加や削除を行うと、再暗号化が自 動的に実行されます。[フォルダーの再暗号化] コマンドを使用すると、必要 なときにいつでも再暗号化を実行できます。たとえば、許可されていないユ ーザーが保護フォルダー内のファイルへのアクセスを取得したと考えられ る場合です。このコマンドをアクティブにするには、保護フォルダーを選択 する必要があります。 フォルダーのステータスを確認 : このコマンドを選択して、選択した保護 フォルダーのステータスに関する最新情報を取得できます。このコマンドを アクティブにするには、保護フォルダーを選択する必要があります。 最近使ったフォルダーのクリア : このコマンドを選択して、フォルダーを 保護フォルダーのリストから削除できます。[フォルダーの削除] コマンドと は異なり、[最近使ったフォルダーのクリア] では保護フォルダー内のファイ ルを復号化しません。このコマンドをアクティブにするには、保護フォルダ ーを選択する必要があります。 262 14 PGP Zip の使用 PGP Zip を使用すると、PGP Zip アーカイブと呼ばれる暗号化された圧縮パッケ ージを作成、開封、および編集できます。このセクションでは、PGP Desktop の PGP Zip 機能の使用方法について説明します。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 概要 ........................................................................................................ 263 PGP Zipアーカイブの作成 ..................................................................... 264 PGP Zipアーカイブの開封 ..................................................................... 274 PGP Zip SDAの開封 ............................................................................... 275 PGP Zipアーカイブの編集 ..................................................................... 276 署名済みPGP Zipアーカイブの検証....................................................... 278 概要 PGP Zip アーカイブ パッケージは、配布やバックアップを容易にするために、暗 号化と圧縮処理を施した単一のファイルです。これらのアーカイブ ファイルに は、さまざまなファイルやフォルダの組み合わせを保存でき、特に、セキュリテ ィを保護して配布やバックアップを行うときに便利です。 PGP Zip アシスタントを使用して、新規の PGP Zip アーカイブ パッケージを作 成します。このアシスタントを利用すると、アーカイブ用のファイルまたはフォ ルダの選択と、次に示す暗号化またはパッケージの作成を段階的に行うことがで きます。 1 人または複数の受信者の PGP 鍵を使用して、ファイルやフォルダの暗号 化とパッケージの作成を行います。受信者のコンピュータには PGP Desktop が必要です。 263 PGP Zip の使用 PGP Desktop for Windows パスフレーズを使用して、ファイルやフォルダの暗号化とパッケージの作成 を行います。受信者のコンピュータには PGP Desktop が必要です。 パスフレーズで保護された自己復号化アーカイブ (PGP Zip SDA) として、 ファイルやフォルダの暗号化とパッケージの作成を行います。受信者のコン ピュータには PGP Desktop は必要ありませんが、Microsoft Windows が実 行されている必要があります。 暗号化なしで、パッケージも作成しませんが、受信者に送信して、そのファ イルの送信者であることを検証できるようにファイルを作成します。 PGP Zip アシスタントを使用して PGP Zip アーカイブ ファイルを作成するとき は、元のファイルを自動的に PGP シュレッダに送るオプションを使用すると、 それらのファイルをコンピュータから安全かつ永久に削除できます。 PGP Zip アーカイブ ファイルを受信すると、次の操作を行うことができます。 アーカイブ内のファイルやフォルダをすべて抽出します。 アーカイブ内の一部のファイルやフォルダを抽出します。 アーカイブ内の一部のファイルやフォルダを抽出し、同時に他のファイルや フォルダを追加します。 アーカイブにファイルやフォルダを新しく追加します。 アーカイブを以下のように編集します。 暗号化のタイプを変更します。 署名鍵を変更します。 受信者を変更します。 PGP Zip アーカイブは、PGP Desktop (PGP Universal Server 管理者により構成 されている場合) の目的の暗号、または AES256 に暗号化されます。PGP Zip ア ーカイブは、 Mac OS X と Windows プラットフォーム間で移動できます。PGP Zip アーカイブの移動先のコンピュータには、PGP Desktop がインストールされてい る必要があります。 PGP Zip アーカイブの作成 PGP Zip アーカイブを作成するには 1 [PGP Zip] コントロール ボックスをクリックして、[新規PGP Zip] をクリッ クします。PGP Zipアシスタントが表示されます。 2 次のいずれかを実行します。 アシスタントで指定される領域にファイルをドラッグ アンド ドロッ プします。 264 PGP Zip の使用 PGP Desktop for Windows 作成するPGP Zipアーカイブにディレクトリ全体を追加するには、[ディ レクトリの追加] 作成するPGP Zipアーカイブにファイルを追加するには、[ファイルの追 加] をクリックします。 をクリックします。 作成するPGP Zipアーカイブからファイルまたはディレクトリを削除 するには、[選択したファイルの削除] をクリックします。 作成するPGP Zipファイルの追加オプションを選択するには、[PGP Zip をクリックします。ほとんどのユーザーには、デ 詳細オプション] フォルト設定が適切です。 メモ : ファイルとフォルダを組み合わせて追加するには、 と の両 方のボタンを使用します。 ディレクトリをファイル リストに追加する と、PGP Zipアシスタントで全ファイルが別々に表示され、それらのファイ ルを確認しやすくなります。PGP Zipアーカイブに多数のファイルを追加す る必要がある場合は、まずディレクトリ全体をPGP Zipアーカイブのファイ ル リストに追加してから、追加しないファイルだけを削除すると効率的で す。この操作を行う場合は、処理を続行する前に、PGP Zipアーカイブに格 納しないファイルをすべて削除したことを確認します。 3 PGP Zipアーカイブを作成した後、元のファイルを完全に削除するには、[作 業が終了したら、元のファイルをPGPシュレッダに送信します] を選択しま す。 注意 : PGP Zipアーカイブの作成後に、元のファイルをPGPシュレッダに送 信した場合、それらのファイルは回収できなくなります。ファイル復元ユ ーティリティを使用しても回収はできません。ファイルは恒久的に削除さ れ、復元不可能になります。このオプションを使用する際には注意してく ださい。 4 特別オプションを指定するには、[PGP Zip詳細オプション] します。 をクリック すべてのファイルを単一の暗号化ファイルに格納するPGP Zipアーカ イブ パッケージではなく、個別の暗号化ファイルを作成するには、 (出 [ 力ファイルを個々に) Zip処理しないでください ] を選択します。 テキスト ファイルのみのジップ アーカイブを作成するには、[テキス ト ファイルの改行を変換します] を選択します。 組織のセキュリティ ポリシーで指定されているとおりにPGP Secure Viewerを必要とするZipアーカイブを作成するには、復号化時にPGP Secure Viewerを必要とする を選択します。このモードを選択すると、 ファイルが復号化されたとき、そのファイルは [PGP Secure Viewer] ウィンドウに表示されます。このオプションを使用すると、旧式の電 波傍受による攻撃から保護されます。 265 PGP Zip の使用 PGP Desktop for Windows 旧タイプの電子メール アプリケーションを使用して、このZipアーカイ ブをバイナリ ファイルとして電子メールで送るには、テキストの出力 を選択します。ファイルをASCIIテキストとして保存すると、暗号化 ファイルのサイズがおよそ 30% 増えます。このオプションは、PGP Universal Serverで管理されていない環境でPGP Desktopを使用してい る場合は、利用できません。 これらのPGP Zipオプションの設定を後日使用できるように保存する には、これらの設定を次回復元する を選択します。 特別なオプションの選択が終わったら、[OK] をクリックします。これ らのいずれのオプションも変更しない場合は、[キャンセル] をクリッ クします。 [新規 PGP Zip] ダイアログ ボックスが再び表示されます。 5 PGP Zipアーカイブに格納するファイルの選択が完了したら、[次へ] をクリ ックします。 6 必要な暗号化のタイプを選択し、[次へ] をクリックします。 ヒント : 各オプションの上にカーソルを移動させると、オプション リスト の下にある情報フィールドに詳細が表示されます。 受信者鍵 : ファイルを受信者の公開鍵に暗号化して、PGP Zipアーカイ ブを作成します。これにより、この受信者のみがPGP Desktopを使用し てアーカイブを開くことができます。これは最も安全なオプションで す。「受信者鍵による暗号化 『ページ : 267』」を参照してください。 パスフレーズ :アーカイブの保存時に指定するパスフレーズでファイ ルを暗号化して、PGP Zipアーカイブを作成します。パスフレーズを知 っていて、PGP Desktopを使用しているユーザーのみがアーカイブを開 くことができます。「パスフレーズを使用した暗号化 『ページ : 269』」を参照してください。 PGP自己復号化アーカイブ :アーカイブの保存時に設定したパスフレ ーズでPGP自己復号化アーカイブを作成します。PGP自己復号化アー カイブを復号化する場合、PGP Desktopは必要ありませんが、受信者 がMicrosoft Windowsオペレーティング システムを使用している必 要があります。「PGP自己復号化アーカイブ (SDA) の作成 『ページ : 271』」を参照してください。 署名のみ :PGP署名を暗号化されていないZipファイルに追加します。 受信者は、PGP Desktopを使用してこのZipアーカイブを開くことがで きます。また、この署名により、Zipアーカイブが署名者本人から送ら れてきたものであり、転送中に変更が加えられていないことが証明さ れます。詳細については、署名のみ 『ページ : 273の"署名のみのア ーカイブの作成"参照先 : 』を参照してください。 266 PGP Zip の使用 PGP Desktop for Windows メモ : PGP Universalによって管理されている環境でPGP Desktopを使用 している場合、パスフレーズ (共通鍵) 暗号方式は無効になっている場合も あります。 受信者鍵による暗号化 [受信者鍵] は、次の場合に使用できます。 ファイルに対して最大のセキュリティを提供する場合 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得している場合 パスフレーズをファイルの受信者に開示しない場合 受信者の公開鍵を使用した PGP Zip アーカイブの暗号化は、最大のセキュリティ を実現できる方法です。これは、最も強力なセキュリティが必要で、かつ必要条 件が満たされる場合には最善の方法です。 いずれの方法でもファイルのセキュリティ保護が完了してから、作成した PGP Zip アーカイブ ファイルを受信者に送信します。受信者は PGP Desktop を使用 して PGP Zip アーカイブ ファイルを開きます。ファイルの暗号化を行った際に 使用した鍵を持つユーザーは、誰でもその PGP Zip アーカイブ ファイルを開く ことができ、それら全員が同じ項目にアクセスできます。受信者によっては一部 の項目しかアクセスできないようにする必要がある場合は、受信者ごとに別の PGP Zip アーカイブ ファイルを作成する必要があります。 受信者鍵で暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zipアーカイブの作成 『ペー ジ : 264』」の説明にあるように、PGP Zipアーカイブの作成を開始します。 2 [暗号化] ダイアログ ボックスで、[受信者鍵] を選択します。 3 [次へ] をクリックします。ユーザー鍵の追加 ダイアログ ボックスが表示さ れます。 4 PGP Zip アーカイブの受信者を選択します。次のいずれかを実行します。 鍵リングにある鍵のリストから選択するには、矢印をクリックします。 鍵リングにない鍵を所有している受信者にファイルを送信するには、[ 追加] をクリックします。[受信者の選択] ダイアログ ボックスが表示 されます。 追加分の名前の選択が完了したら、[OK] をクリックし、[ユーザー鍵の追加] パネルに戻ります。 鍵を削除するには、受信者名を選択し、[削除] をクリックします。 5 [次へ] をクリックします。[署名と保存] 画面が表示されます。 267 PGP Zip の使用 PGP Desktop for Windows 6 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘密 鍵を指定することもできます。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付するた めに使用されます。アーカイブの受信者は、対応する公開鍵を使用してデジ タル署名を検証すると、送信者を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リ ストから [なし] を選択します。 PGP Zipアーカイブへの署名を選択した場合は、署名鍵 リストから鍵 を選択してから、その鍵の署名用のパスフレーズを入力します。これ は、Zipの安全性を高めるために使用するパスフレーズとは異なります。 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 PGP Desktopを使用したセッション中にパスフレーズを既に入力した場合 は、[オプション] 設定によってはパスフレーズがキャッシュされていること があります。この場合には、[パスフレーズがキャッシュされています] とい うメッセージが表示されます。パスフレーズがキャッシュされている場合で も、PGP Zipアーカイブ ファイルを署名しないように選択することは可能で す。 7 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどうか を確認します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windowsの [ファイル] ダイアログで場所を選択 して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存 場所を変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納された PGP Zipアーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納されたPGP Zipアーカイブの ファイル名は、格納されたいずれかの項目の名前の後ろに .pgpを追加した ものになります。必要に応じて、PGP Zipアーカイブ ファイル名を変更して ください。 8 [署名のみ] オプションを選択した場合は、[分離署名の保存] をクリックし ます。 9 [次へ] をクリックします。PGP Zipアーカイブが作成されます。 10 [完了] をクリックします。これで、暗号化に使用した鍵を所有している受信 者にPGP Zipアーカイブを送信する準備ができました。暗号化に使用した鍵 の 1 つがあなたの鍵であれば、そのファイルはどの場所にでも保管できます。 268 PGP Zip の使用 PGP Desktop for Windows パスフレーズを使用した暗号化 パスフレーズは、次の場合に使用します。 受信者の鍵を使用せずに、PGP Zip アーカイブを作成する場合。これは、受 信者の鍵を使用して暗号化するよりも安全性は劣りますが、十分に安全性の 高い方法です。 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 パスフレーズをファイルの受信者に開示しない場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得していない場 合 ヒント : パスフレーズを使用した暗号化は、従来型の暗号化とも呼ばれます。 PGP Zip アーカイブをパスフレーズで暗号化すると、特に強力なパスフレーズを 使用した場合は大変強力なセキュリティを実現できます。ただし、受信者の鍵で 暗号化すれば、さらに強力なセキュリティが得られます。受信者の鍵で暗号化し た場合、PGP Zip アーカイブの受信者がファイルを復号化するには、秘密鍵とパ スフレーズが必要です。各受信者の秘密鍵にもパスフレーズがあります。 パスフレーズで暗号化した場合は、全員が同じパスフレーズを使用してファイル を開き、秘密鍵を必要としません。ファイルの受信者は、PGP Desktop を使用し、 ファイルを復号化できるパスフレーズを知っている必要があります。 注意 : セキュリティ対策に抜けがないように、PGP Zipアーカイブに対するパ スフレーズがファイルの受信者以外には開示されていないことを確認してく ださい。承認されていないユーザーにパスフレーズが開示された場合は、別の パスフレーズを使用して新規のPGP Zipアーカイブを作成してください。ただ し、元のアーカイブ ファイルとその内容の安全性を取り戻すことはできませ ん。 いずれの方法でもファイルのセキュリティ保護が完了してから、作成したPGP Zipアーカイブ ファイルを受信者に送信します。受信者はPGP Desktopを使用し てPGP Zipアーカイブ ファイルを開きます。ファイルとパスフレーズを持つユー ザーは、そのPGP Zipアーカイブ ファイルを開くことができ、それら全員が同じ 項目にアクセスできます。複数の受信者がそれぞれ別の項目にアクセスできるよ うにする必要がある場合は、受信者ごとに別のPGP Zipアーカイブ ファイルを作 成する必要があります。 注意 : PGP Universalによって管理されている環境でPGP Desktopを使用して いる場合、パスフレーズでの暗号化は無効になっている場合もあります。 269 PGP Zip の使用 PGP Desktop for Windows パスフレーズを使用して暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zipアーカイブの作成 『ペー ジ : 264』」の説明にあるように、PGP Zipアーカイブの作成を開始します。 手順 6 の説明に従って作業を行い、完了したらこのセクションに戻ります。 2 [暗号化] ウィンドウで、[パスフレーズ] を選択します。 3 [次へ] をクリックします。パスフレーズの作成 ダイアログ ボックスが表示 されます。 4 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択 します。 5 使用するパスフレーズを [パスフレーズ] フィールドに入力します。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予測 量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と 比較した結果を基に、そのパスフレーズの強度が表示されます。詳細につい ては、「パスフレーズの品質バー 『ページ : 326』」 を参照してください。 6 [確認] フィールドにパスフレーズをもう一度入力します。 7 [次へ] をクリックします。[署名と保存] ダイアログ ボックスが表示されま す。 8 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘密 鍵を指定することもできます。 ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付するた めに使用されます。アーカイブの受信者は、対応する公開鍵を使用してデジ タル署名を検証すると、送信者を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リ ストから [なし] を選択します。 PGP Zipアーカイブへの署名を選択した場合は、署名鍵 リストから鍵 を選択してから、その鍵の署名用のパスフレーズを入力します。これ は、Zipの安全性を高めるために使用するパスフレーズとは異なります。 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 PGP Desktopを使用したセッション中にパスフレーズを既に入力した場合 は、[オプション] 設定によってはパスフレーズがキャッシュされていること があります。この場合には、[パスフレーズがキャッシュされています] とい うメッセージが表示されます。パスフレーズがキャッシュされている場合で も、PGP Zipアーカイブ ファイルを署名しないように選択することは可能で す。 9 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどうか を確認します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windowsの [ファイル] ダイアログで場所を選択 して、ファイルの保存場所を変更します。 270 PGP Zip の使用 PGP Desktop for Windows PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存 場所を変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納された PGP Zipアーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納されたPGP Zipアーカイブの ファイル名は、格納されたいずれかの項目の名前の後ろに .pgpを追加した ものになります。必要に応じて、PGP Zipアーカイブ ファイル名を変更して ください。 10 [次へ] をクリックします。PGP Zipアーカイブが作成されます。 11 [完了] をクリックします。これで、暗号化に使用した鍵を所有している受信 者にPGP Zipアーカイブを送信する準備ができました。受信者がアーカイブ を開封できるように、パスフレーズを忘れずに伝えてください。 PGP 自己復号化アーカイブ (SDA) の作成 PGP自己復号化アーカイブは、次の場合に使用します。 受信者の鍵を使用せずに、PGP Zip 自己復号化アーカイブを作成する場合。 これは、受信者の鍵を使用して暗号化するよりも安全性は劣りますが、十分 に安全性の高い方法です。 受信者のコンピューターに PGP Desktop がインストールされておらず、す べての受信者が Windows システムを使用している場合 パスフレーズをファイルの受信者に開示しない場合 各受信者の公開鍵を鍵リングまたは PGP 鍵サーバーから取得していない場 合 PGP 自己復号化アーカイブ (SDA) は、PGP Desktop がインストールされていな くても Windows コンピューターであれば開封できる PGP Zip アーカイブです。 PGP Zip SDA ファイルは、Windows 標準の実行可能 (.exe) ファイルで、ダブル クリックするだけで開封することができます。 自己復号化のメカニズムでは一定量の領域 (通常は 100KB 程度) が余分に必要と なるため、PGP Zip SDA ファイルは一般的な PGP Zip アーカイブよりも若干大き くなります。 メモ : PGP Universal Serverによって管理されている環境でPGP Desktopを使 用している場合、PGP Zip SDA作成は無効になっている場合もあります。 271 PGP Zip の使用 PGP Desktop for Windows PGP Zip SDAを作成したら、どのような受信者にもファイルを送信できます。フ ァイルとパスフレーズを持つユーザーは、そのPGP Zipアーカイブ ファイルを開 くことができ、それら全員が同じ項目にアクセスできます。複数の受信者がそれ ぞれ別の項目にアクセスできるようにする必要がある場合は、受信者ごとに別の PGP Zipアーカイブ ファイルを作成する必要があります。 注意 : セキュリティ対策に抜けがないように、PGP Zip SDAに対するパスフレ ーズがファイルの受信者以外には開示されていないことを確認してください。 承認されていないユーザーにパスフレーズが開示された場合は、別のパスフレ ーズを使用して新規のPGP Zip SDAを作成してください。ただし、元のアーカ イブ ファイルとその内容の安全性を取り戻すことはできません。 PGP Zip SDA を作成するには 1 この作業を行ったことがない場合は、「PGP Zipアーカイブの作成 『ペー ジ : 264』」の説明にあるように、PGP Zipアーカイブの作成を開始します。 手順 6 の説明に従って作業を行い、完了したらこのセクションに戻ります。 2 [暗号化] ダイアログ ボックスで、[PGP自己復号化アーカイブ] を選択しま す。 3 [次へ] をクリックします。パスフレーズの作成 ダイアログ ボックスが表示 されます。 4 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択 します。 5 使用するパスフレーズを [パスフレーズ] フィールドに入力します。 パスフレーズの品質バーでは、入力したパスフレーズ内のエントロピー予測 量を真の 128 ビット ランダム文字列 (AES128 鍵のエントロピーと同量) と 比較した結果を基に、そのパスフレーズの強度が表示されます。詳細につい ては、「パスフレーズの品質バー 『ページ : 326』」 を参照してください。 6 [確認] フィールドにパスフレーズをもう一度入力します。 7 [次へ] をクリックします。 8 PGP Zip アーカイブの保存場所やファイル名を変更する必要があるかどうか を確認します。必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windowsの [ファイル] ダイアログで場所を選択 して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存 場所を変更します。 ファイルの保存場所のテキスト文字列の最後にファイル名を手動で入 力して、PGP Zip アーカイブのファイル名を変更します。 272 PGP Zip の使用 PGP Desktop for Windows ファイル、ディレクトリ、またはドライブのいずれかが 1 つだけ格納された PGP Zipアーカイブのデフォルトのファイル名は、その名前の後ろに .pgp を追加したものになります。複数の項目が格納されたPGP Zipアーカイブの ファイル名は、格納されたいずれかの項目の名前の後ろに .pgpを追加した ものになります。必要に応じて、PGP Zipアーカイブ ファイル名を変更して ください。 9 [次へ] をクリックします。PGP Zip SDAが作成されます。 10 [完了] をクリックします。これで、受信者にPGP Zip SDAを送信する準備が できました。 署名のみのアーカイブの作成 署名のみは、次の場合に使用します。 ファイルを暗号化する必要がない場合。この場合、受信者にパスフレーズを 開示せずに済みます。 受け取った PGP Zip アーカイブの確認に受信者が使用できる署名ファイル を生成する場合。各ファイルは個別に処理され、ファイルごとに別個の分離 署名が作成されます。 各受信者のコンピューター (Windows または Mac OS X) に PGP Desktop がインストールされている場合 ファイルを送信したことを確認し、ファイルが送信中に変更されていないこ とを受信者に保証する場合。 受信者に対してファイルを暗号化する必要がない場合は、[署名のみ] オプション を選択できます。ファイルを暗号化して 1 つの PGP Zip アーカイブに圧縮する代 わりに、このオプションでは、それらの圧縮のみを行います。 [署名のみ] オプションで暗号化を行うには 1 この作業を行ったことがない場合は、「PGP Zipアーカイブの作成 『ペー ジ : 264』」の説明にあるように、PGP Zipアーカイブの作成を開始します。 手順 6 の説明に従って作業を行い、完了したらこのセクションに戻ります。 メモ : 圧縮し、署名するファイルを選択すると、[元のファイルをPGPシュ レッダに送信します] オプションを選択していても無視されます。 2 [暗号化] ダイアログ ボックスで、[署名のみ] を選択します。 3 [次へ] をクリックします。[署名と保存] パネルが表示されます。 4 作成する PGP Zip アーカイブの署名鍵として、鍵リング上にある自分の秘密 鍵を指定します。 273 PGP Zip の使用 PGP Desktop for Windows ここで指定した署名鍵は、PGP Zip アーカイブにデジタル署名を添付するた めに使用されます。アーカイブの受信者は、対応する公開鍵を使用してデジ タル署名を検証すると、送信者を確認できます。 ファイルに署名する必要がないか、署名を望まない場合は、署名鍵 リ ストから [なし] を選択します。 PGP Zipアーカイブへの署名を選択した場合は、署名鍵 リストから鍵 を選択してから、その鍵の署名用のパスフレーズを入力します。これ は、Zipの安全性を高めるために使用するパスフレーズとは異なります。 パスフレーズの入力時にキー操作を表示するには、[キー操作の表示] を選択します。 PGP Desktopを使用したセッション中にパスフレーズを既に入力した場合 は、[オプション] 設定によってはパスフレーズがキャッシュされていること があります。この場合には、[パスフレーズがキャッシュされています] とい うメッセージが表示されます。パスフレーズがキャッシュされている場合で も、PGP Zipアーカイブ ファイルを署名しないように選択することは可能で す。 5 PGP Zip アーカイブの保存場所を変更する必要があるかどうかを確認します。 必要に応じて、次の操作を行うことができます。 [参照] をクリックし、Windowsの [ファイル] ダイアログで場所を選択 して、ファイルの保存場所を変更します。 PGP Zip アーカイブを保存する場所を手動で入力して、ファイルの保存 場所を変更します。 署名のみのPGP Zipアーカイブのデフォルト ファイル名は、その名前の後ろ に .sigを追加したものになります。 6 PGP Zipアーカイブと一緒に署名ファイルを個別に保存する場合は、[分離署 名の保存] をクリックしてオンにします。 7 [次へ] をクリックします。署名のみのPGP Zipアーカイブが作成されます。 8 [完了] をクリックします。 PGP Zip アーカイブの開封 PGP Zip アーカイブを開封するコンピュータには、PGP Desktop がインストール されている必要があります。 PGP ジップ アーカイブを開封するには 1 PGPジップ アーカイブ ファイルをダブルクリックします。ファイルの拡張 子は、.pgpです。 274 PGP Zip の使用 PGP Desktop for Windows PGP ジップ アーカイブが鍵を使用して暗号化されている場合は、PGP の [Enter Passphrase for Listed Key (表示されている鍵のパスフレー ズを入力してください)] ダイアログ ボックスが表示されます。 PGP ジップ アーカイブがパスフレーズを使用して暗号化されている 場合は、PGP の [Enter Passphrase (パスフレーズを入力してください)] ダイアログ ボックスが表示されます。 PGP Desktop に PGP ジップ アーカイブの内容が表示されます。PGP Desktop アプリケーションを開いていない場合は、PGP ジップの項目がアク ティブな状態で PGP Desktop が開きます。 2 項目を抽出するには、次の操作を行います。 単一の項目を抽出するには、その項目を右クリックして、ショートカ ット メニューから [抽出] を選択します。 複数の項目を抽出するには、項目を選択し、いずれか 1 つを右クリッ クしてショートカット メニューから [抽出] を選択します。 [フォルダーの参照] ダイアログ ボックスが表示されます。 3 ファイルの抽出先とするフォルダを指定し、[OK] をクリックします。フォ ルダを新規作成するには、[New Folder (新規フォルダ)] を選択します。フ ァイルが、指定した保存場所に抽出されます。 PGP ジップ アーカイブから復号化したファイルを元のファイルと同じ保存 場所に抽出すると、元のファイルは上書きされます。上書きを防止するため、 ファイルごとに、既存のファイルを上書きするかどうかを確認するメッセー ジが表示されます。 PGP Zip SDA の開封 PGP Zip SDA を開封するには、PGP Desktop がインストールされている必要はあ りません。 PGP Zip SDA を開封するには 1 PGP Zip SDAファイルをダブルクリックします。ファイルの拡張子は、.exe です。[PGP Self Decrypting Archive - Enter Passphrase (PGP自己復号化アー カイブ - パスフレーズを入力してください)] ダイアログ ボックスが表示 されます。 2 目的の保存場所に出力が抽出されることを確認します。抽出先が異なる場合 は、[参照] をクリックして適切な保存場所を選択するか、フィールドに入力 します。 275 PGP Zip の使用 PGP Desktop for Windows メモ : PGP Zip SDAから復号化したファイルを元のファイルと同じ保存場 所に抽出すると、元のファイルは上書きされます。上書きを防止するため、 ファイルごとに保存場所の変更を促すメッセージが表示されます。ファイ ル名を変更することもできます。保存場所またはファイル名を変更せずに [保存] をクリックすると、警告ダイアログ ボックスが表示されます。この 警告をバイパスすると、PGP Zip SDAを復号化したファイルに元のファイ ルは上書きされます。 3 PGP Zip SDAのパスフレーズを入力して、[OK] をクリックします。PGP Zip SDAが復号化されます。 PGP Zip アーカイブの編集 PGP Zip アーカイブは固定化されたファイルではありません。いつでも、次の操 作を行うことができます。 ファイルを抽出する。 ファイルを追加する。 アーカイブ自体の設定を編集する。 PGP Zip アーカイブを編集するには 1 PGP Desktop を開き、[PGP Zip] コントロール ボックスをクリックします。 [PGP Zip] コントロール ボックスがハイライトされます。 2 [PGP Zip] コントロール ボックスの上部にある PGP Zip アーカイブのリス トで、編集する PGP Zip アーカイブの名前をクリックします。アーカイブの 設定と、アーカイブ内のファイルやフォルダーが表示されます。 276 PGP Zip の使用 PGP Desktop for Windows 目的のPGP Zipアーカイブがリストにない場合は、[PGP Zipを開く] をクリ ックして、.pgpファイルに移動します。次に、そのファイルを選択して [開 く] をクリックしてください。 3 PGP Zipアーカイブの設定を編集するには、[編集] をクリックし、次のよう に必要な変更を行います。 PGP Zipアーカイブにファイルを追加するには、[PGP Zip] コントロー ル ボックスの [ファイルの追加] をクリックし、追加するファイルを 選択して、[開く] をクリックします。 ファイルがアーカイブに追加さ れます。 アーカイブにフォルダーを追加し、そのフォルダーにファイルを入れ るには、[PGP Zip] コントロール ボックスの 新規フォルダー をクリ ックし、新しいフォルダーに必要に応じて説明的な名前を入力します。 新しいフォルダーを選択し、[PGP Zip] コントロール ボックスの [ファ イルの追加] をクリックします。次に、フォルダーに追加するファイル を選択し、開く をクリックします。 ファイルがアーカイブのフォル ダーに追加されます。 アーカイブからファイルを抽出するには、抽出するファイルを右クリ ックし、表示されるショートカット メニューから [抽出] を選択しま す。ファイルの場所を指定し、[OK] をクリックします。 指定した場 所にファイルのコピーが作成されます。PGP Zipアーカイブには元のフ ァイルが残ります。 アーカイブからファイルまたはフォルダーを削除するには、削除する 項目を選択し、キーボードのDeleteキーを押します。[編集] > [削除] の 順に選択しても同じです。指定した項目が削除されます。 277 PGP Zip の使用 PGP Desktop for Windows 4 変更内容をPGP Zipアーカイブに保存するには、画面右上の [保存] を クリックするか、[PGP Zip] コントロール ボックスの [PGP Zipの保 存] をクリックします。 保存場所とファイル名を指定します。指定し た名前のファイルがその場所に既に存在する場合は、既存のファイル を上書きするかどうかを尋ねるメッセージが表示されます。アーカイ ブを保護しているパスフレーズを入力し、[OK] をクリックします。 署名鍵を変更するには、変更するPGP Zipファイルを [PGP Zip] コント ロール ボックス内で選択し、[編集] をクリックします。次に、新しい 署名鍵を選択します。 完了したら、[保存] をクリックします。 暗号化の種類 (鍵または従来型) を変更するには、変更するPGP Zipフ ァイルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリ ックします。次に、暗号化の種類 (鍵または従来型) を選択します。 完 了したら、[保存] をクリックします。 PGP Zipアーカイブに受信者を追加するには、変更するPGP Zipファイ ルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリック して、[受信者の追加] をクリックします。[受信者の追加] ダイアログ ボックスで、追加する受信者を選択し、[OK] をクリックします。完了 したら、[保存] をクリックします。 アーカイブから受信者を削除するには、変更するPGP Zipファイルを [PGP Zip] コントロール ボックス内で選択し、[編集] をクリックしま す。次に、削除する受信者を選択し、[受信者の削除] をクリックしま す。 完了したら、[保存] をクリックします。 完了したら、[保存] をクリックします。変更を行ったPGP Zipアーカイブは、 上書きするか、または別名で保存できます。 署名済み PGP Zip アーカイブの検証 署名済み PGP Zip アーカイブを受信したら、送信者の確認や、受け取る前にアー カイブが改ざんされていないことの確認のために、署名を検証する必要がありま す。 PGP Zip アーカイブを検証するには 1 [PGP Zip] コントロール ボックスをクリックして、[PGP Zipを開く] をクリ ックします。[開く] ダイアログ ボックスが表示されます。 2 検証する署名済み .pgpファイルに移動し、ファイルをクリックして、[開く] をクリックします。 (署名に加えて) メッセージが暗号化されている場合は、あなたの秘密鍵のパ スフレーズか、メッセージの暗号化に使用された公開鍵に対応するいずれか の秘密鍵のパスフレーズを求めるメッセージが表示されます。 278 PGP Zip の使用 PGP Desktop for Windows 秘密鍵が鍵リングにない場合は、メッセージを復号化できないことが示され ます。残念ですが、この場合はアーカイブの検証もできません。[キャンセ ル] をクリックして検証を終了してください。 3 秘密鍵のパスフレーズを入力し、[OK] をクリックします。 メモ : 秘密鍵のパスフレーズがキャッシュされている場合は、パスフレー ズを求めるメッセージは表示されません。 PGP Zip アーカイブと同じ場所にアーカイブの内容が保存され、検証したア ーカイブに関する情報が [検証履歴] 画面に表示されます。 4 検証済みのアーカイブのリストを削除するには、[検索履歴のクリア] をクリ ックします。[検証履歴] 画面にリストされていたすべての履歴が削除されま す。 279 15 PGP シュレッダを使用した ファイルの細断処理 データの断片を残さずに機密ファイルを完全に破棄するには、PGP シュレッダ ユーティリティを使用してください。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 PGPシュレッダによるファイルおよびフォルダの恒久的な削除 .......... 281 PGP空き領域細断処理アシスタントの使用........................................... 284 PGP シュレッダによるファイルおよびフォルダの恒久的な削除 機密ファイルまたはフォルダを完全に破棄するには、PGP シュレッダ機能を使用 します。PGP シュレッダを使用してファイルまたはフォルダを削除すると、その 項目のすべての痕跡が削除されます。 PGPシュレッダは、ランダムなテキストでデータを上書きすることによって機能 します。この処理が複数回繰り返されますが、これをパスと呼びます。ファイル を削除する際は、PGPシュレッダ機能が実行するパスの数を設定できます。これ には、[環境設定] 画面の [ディスク] パネルを開きます。オプションの設定と環 境設定の詳細については、「ディスクのオプション/環境設定 『ページ : 316の "ディスク オプション"参照先 : 』」を参照してください。 細断処理セッションは、指定したパスの数、プロセッサの速度、実行している他 のアプリケーションの数などの要因によって時間がかかることがあります。 281 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows メモ : PGPシュレッダを 3 パスに設定すると、米国国防総省 5220.22-M標準に 指定されているのメディア抹消処理要件を上回ります。これ以上のパスも許可 されていますが、最近のディスク ハードウェアでは 2 パス以上は必要ありま せん。また、28 パス前後までは、細断処理による効果は上がり続けます。PGP シュレッダ機能は、49 パスまで設定できますが、パスが多いほど確実に削除 するために必要な時間が長くなります。 PGP シュレッダには、次のように複数の使用方法があります。 デスクトップの [PGP シュレッダ] アイコンを使用する。このアイコンは、 PGP Desktop をインストールすると作成されます。 [ツール] > [ファイルの細断処理] の順に選択し、細断処理するファイルまた はフォルダを参照して指定する。 Windowsエクスプローラのショートカット メニューを使用する。これには、 ファイルを右クリックし、PGP Desktop > [PGP Shred [file name] (PGP細 断処理 <file name>) ] の順に選択します。 PGP 細断処理は次の項目は削除しません。 読み取り専用の Windows システム ファイル。 Windows エクスプローラでサムネイル グラフィックスを表示する際に作 成される Thumbs.db ファイルは、特別で、ファイルがシステム属性を持っ ていても細断処理できます。 WebDav または Sharepoint ファイル。 削除できるファイルは、ローカル フ ァイルで CIFS 共有ファイルです。 削除できないファイルを含むディレクトリ。 すでにファイルやプログラムのデータを削除した後では、その空きディスク領域 に対して PGP Desktop の PGP 空き領域細断処理アシスタントを使うことにより、 ファイルの痕跡を消去することができます。 NTFSなどのジャーナリング ファイル システムでは、PGP空き領域抹消アシス タントを使用することをお勧めします。このようなファイル システムで、ファ イル システム ジャーナル内のディスクに書き込まれたすべての内容に対して コピーが作成されるためです。このコピー機能は、損傷したディスクの修復時に は役立ちますが、機密データを削除するときには注意が必要になります。ファイ ルを細断処理しても、作成されたジャーナルのエントリは削除されないからです。 特にNTFSでは、内部データ構造に 1K未満の小さなファイルが保存されることが あります。これは、PGP空き領域抹消アシスタントの [NTFS内部データ構造の 完全削除] オプションを使用しないと適切に削除できません。 Tip: Consider other occurrences of the data that might linger elsewhere on your disk, such as temp files. For this reason, consider using PGP Whole Disk Encryption to protect all data on your system. 282 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows デスクトップの [PGP シュレッダ] アイコンを使用したファイルの細断処理 デスクトップの [PGP シュレッダ] アイコンを使用してファイルを細断処理す るには 1 細断処理するファイルまたはフォルダをドラッグし、[PGP シュレッダ] ア イコンにドロップします。選択したファイルやフォルダーを細断処理 (完全 削除) するかどうかをたずねる確認ダイアログ ボックスが表示されます。 2 [はい] をクリックします。これで、ファイルが完全に削除されます。 PGP Desktop 内のファイルの細断処理 PGP Desktop でファイルを完全削除するには、次の手順に従います。 1 PGP Desktopメイン アプリケーション ウィンドウで [ツール] > [ファイル の完全削除] の順に選択します。[開く] ダイアログ ボックスが表示されま す。 2 細断処理するファイルを選択し、[開く] をクリックします。選択したファイ ルやフォルダーを細断処理 (完全削除) するかどうかをたずねる確認ダイア ログ ボックスが表示されます。 3 [はい] をクリックします。これで、ファイルが完全に削除されます。 Windows エクスプローラでのファイルの細断処理 Windows エクスプローラで右クリックしてファイルを細断処理するには 1 Windows エクスプローラで、細断処理するファイルまたはフォルダを右ク リックします。選択したファイルやフォルダーを細断処理 (完全削除) する かどうかをたずねる確認ダイアログ ボックスが表示されます。 2 [はい] をクリックします。これで、ファイルが完全に削除されます。 283 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows PGP 空き領域細断処理アシスタントの使用 ディスクの空き領域を完全削除するには、次の手順に従います。 1 PGP Desktopが開いている場合、[ツール] > [PGP空き領域の完全削除] を選 択します。PGP空き領域細断処理アシスタントの最初の画面が表示されます。 2 情報に目を通し、[次へ] をクリックしてください。[Gathering Information (情 報を収集しています) ] ダイアログ ボックスが表示されます。 3 [ドライブの細断処理] フィールドで、細断処理するディスクまたはボリュー ムと、PGP空き領域細断処理で実行するパスの数を選択します。 データを 確実に削除するには、PGP細断処理の 3 パスで十分ですが、パス数は 49 ま で指定できます。パス数を選択する際には、次のガイドラインを参考にして ください。 4 個人ユーザーで 3 パス。 商用で 10 パス。 軍事用で 18 パス。 最大限のセキュリティ : 26 パス NTFS 内部データ構造を細断処理するかどうかを選択してください。このオ プションは、一部のコンピューターでは使用できません。 注意 : すでに選択したパーティションがブート パーティションではない 場合は、内部NTFSデータ構造を上書きして細断処理を行うオプションを選 択できます。NTFS内部データ構造には、データの削除後も、その痕跡が残 る可能性があるためです。空き領域細断処理操作の進行中はパーティショ ンの容量がすべて使用されるため、ディスクを使用する操作は一切行わな いでください。また、NTFS内部データ構造に空きがある場合、その一部は ドライブの空き領域として認識されないことがありますが、このオプショ ンを使うとそのような空き領域のデータも細断処理できます。なお、この 細断処理操作に伴うディスクへの悪影響は、一切ありません。 5 [次へ] をクリックします。 選択したドライブまたはボリュームに関する統 計情報を含む [完全削除の実行] ダイアログ ボックスが表示されます。 6 次のいずれか 1 つを実行します。 空き領域細断処理をすぐに開始するには、[Begin Shred (細断処理の開 始) ] をクリックします。PGP空き領域完全削除アシスタントが、指定 されたディスクまたはボリュームをスキャンし、消されたデータの痕 跡を細断処理します。 完了すると、[Perform Shred (細断処理の実行) ] 画面の最下部に、選択し たドライブのデータが細断処理されたことを示すメッセージが表示され ます。 284 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows 空き領域細断処理の実行時間を設定するには、[スケジュール] をクリ ックします。PGP空き領域細断処理のスケジュールを設定するときに Windowsタスク スケジュールを使用すること、また、ジョブの実行に はWindowsログイン パスワードが必要であることを示すメッセージ が表示されます。 ジョブのスケジュールを設定するには、[OK] をクリックし、[PGP Enter Confirmed Passphrase (PGP確認パスフレーズの入力) ] ダイアログ ボ ックスにWindowsログイン パスワードを入力して、スケジュール設定情 報を入力します。 ジョブを取り消し、[Perform Shred (細断処理の実行) ] ダイアログ ボッ クスに戻るには、[キャンセル] をクリックします。 7 [次へ] をクリックします。[Completing (完了) ] ダイアログ ボックスが表示 されます。 8 [完了] をクリックします。 空き領域の細断処理のスケジュール設定 Windows タスク スケジューラを使用すると、コンピュータの空き領域にあるデ ータを定期的に細断処理するように設定できます。 空き領域の細断処理のスケジュールを設定するには 1 [Perform Shred (細断処理の実行) ] ダイアログ ボックスが表示されるまで、 「PGP空き領域完全削除アシスタントの使用 『ページ : 284の"PGP空き領 域細断処理アシスタントの使用"参照先 : 』」の手順に従ってください。 2 [スケジュール] をクリックします。 3 PGP空き領域細断処理のスケジュールを設定するときにWindowsタスク ス ケジュールを使用すること、また、ジョブの実行にはWindowsログイン パ スワードが必要であることを示すメッセージが表示されます。続行するには、 [OK] をクリックします。[PGP Enter Confirmed Passphrase (PGP確認パス フレーズの入力) ] ダイアログ ボックスが表示されます。 4 最初のフィールドにWindowsログイン パスワードを入力し、確認用に同じ パスワードを 2 番目のフィールドに入力してから、[OK] をクリックします。 [Windowsタスク スケジュール] ダイアログ ボックスが表示されます。 5 次に示す [Schedule Task (タスクのスケジュール) ] 領域で、タスクを実行 する頻度を指定します。 日単位 : 指定した日時にタスクが 1 回実行されます。[OK] をクリック してダイアログ ボックスを閉じ、各指定日でタスクを実行する時刻を [開始時刻] テキスト ボックスに入力します。 285 PGP シュレッダを使用したファイルの細断処理 PGP Desktop for Windows 週単位 : 数週間おきに、指定した曜日と時刻にタスクが実行されます。 表示されているテキスト ボックスに、何週間おきに細断処理を実行す るかを入力し、[タスクのスケジュール (週単位) ] から曜日を選択しま す。 月単位 : 数カ月おきに、指定した日時にタスクが実行されます。表示 されているテキスト ボックスに時刻を入力し、タスクを実行する日を 次に入力します。[実行する月の選択] をクリックし、タスクを実行す る月を指定します。 1 回だけ実行 : 指定した日時に 1 回だけタスクが実行されます。表示さ れているテキスト ボックスに時刻を入力し、[開始日] テキスト ボッ クスのリストから月と日を選択します。 コンピュータ起動時 : コンピュータの起動時にのみ、タスクが実行さ れます。 ログオン時 :コンピュータにログオンしたときにタスクが実行されま す。 アイドル状態時にタスクを実行 : [分] テキスト ボックスに指定した 間コンピュータがアイドル状態になったときに、タスクが実行されま す。 6 [開始時刻] フィールドに、タスクを開始する時刻を入力します。 7 [タスクのスケジュール (日単位) ] フィールドに、タスクを実行する頻度を 指定します。 8 [詳細設定] をクリックすると、タスクの開始日や終了日、期間などの追加オ プションを選択するためのダイアログ ボックスが開きます。 9 [OK] をクリックします。確認のダイアログ ボックスが表示されます。 これで、新しい PGP フォルダまたは空き領域の抹消タスクのスケジュールが設 定されました。タスクを編集または削除するには、Windows タスク スケジュー ラを使用してください。 286 16 スマート カードおよびトー クンへの鍵の保存 PGP Desktop 環境下では、スマート カードまたはトークン上に PGP 鍵ペアを作 成したり、コピーしたりすることができます。このような持ち運び可能なデバイ スに PGP 鍵ペアを保管しておくと、コンピュータ内に鍵ペアを保存する必要が ありません。また、移動先でも PGP 鍵ペアを手元に置いておけるので、鍵ペア の脆弱性を軽減し、より強固なセキュリティを確保することができます。このセ クションでは、PGP Desktop とスマート カードを併用する方法について説明し ます。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 この章の内容 スマート カードおよびトークンについて ............................................ 288 スマート カードのプロパティの確認 ................................................... 291 スマート カード上でのPGP鍵ペアの生成 ............................................ 292 スマート カードから鍵リングへの公開鍵のコピー.............................. 294 鍵リングからスマート カードへの鍵ペアのコピー.............................. 294 スマート カードからの鍵の抹消........................................................... 296 複数のスマート カードの使用 .............................................................. 296 トークンの特別使用............................................................................... 298 287 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows スマート カードおよびトークンについて PGP Desktopでスマート カードを使用するには、互換性のあるスマート カード リーダーを用意します。また、スマート カードとトークンのいずれを使用する 際にも、適切なソフトウェア ドライバをあらかじめコンピュータにインストー ルしておいてください。ドライバにはPKCS-11 (暗号化トークン インターフェイ ス規格) ライブラリが含まれている必要があります。 ソフトウェア ドライバには、使用するスマート カードまたはトークンの製造会 社が提供しているものを使用してください。 PGP Desktop は、さまざまな種類のスマート カードを認識します。たとえば、 Athena、AET SafeSign、Axalto (旧 Schlumberger) 、SafeNet (旧 Rainbow) 、 Aladdin、GemPlus 製のスマート カードをサポートしています。また、ActivCard Gold 2.0 プロファイルを含む米国国防総省共通アクセス カードもサポートして います。 上記以外にも、ソフトウェア ドライバに標準規格に基づいた PKCS-11 ライブラ リを備えている製造会社のスマート カードも使用できます。ある製造会社の PKCS-11 ライブラリがコンピュータにインストールされており、これが Mozilla Firefox や Thunderbird などの他の PKCS-11 対応アプリケーションで正しく使用 できれば、PGP Desktop でも使用できる可能性があります。 PGP 鍵ペアを作成してスマート カードに保存した際には、パスフレーズではな くスマート カードの PIN を使用して秘密鍵にアクセスします。また PGP Desktop は、キーパッドやバイオメトリック デバイスなどを使用して、認証を 独自に処理するスマート カードもサポートします。PGP Desktop でパスフレー ズのダイアログ ボックスが表示されたら、パスフレーズを入力せずに [OK] を クリックしてください。これにより、デバイス独自の認証方法が使用されます。 メモ : スマート カード上に鍵ペアを生成すると、その秘密部分はエクスポー トすることができないので、デバイス内にのみ留まります。復号化と署名はデ バイス上で直接行われます。スマート カード上に直接鍵ペアを生成するので はなく、コンピュータ上で鍵ペアを生成してからその鍵ペアをスマート カー ドにコピーする場合は、鍵ペアの秘密部分もコンピュータからエクスポートで きます。 米国国防総省共通アクセス カード 米国国防総省共通アクセス カード (CAC) の仕組みは、他のスマート カードと は多少異なります。これらのカードは読み取り専用であり、署名用と暗号化用に 別個の証明書が用意されています。PGP Desktop は、使用目的に基づいてこの 2 つの証明書を選別します。たとえば、ファイルの署名用の鍵を選択するように求 めるメッセージが表示された場合は、CAC の署名用証明書のみが一覧表示されま す。 288 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows JavaCard Axalto スマート カードは JavaCard です。このカード上では、Java アプレット と呼ばれる小さな Java モジュールが実行されます。また、スマート カードの動 作や設定を変更するさまざまなアプレットを実行するよう設定することができ ます。これをパーソナライゼーションと呼びます。JavaCard を PGP Desktop で 使用する際は、使用できるパーソナライゼーション プロファイルは数が限られ ています。 また、これらのパーソナライゼーション プロファイルを PGP Desktop で使用す るには、多少の変更が必要です。以下に具体的に説明します。 プロファイルは PKCS-11 サポートを有効にしている必要があります。ほと んどの場合、PKCS-11 をサポートするプロファイルのタイトルには、 「Netscape」または「Entrust」という名前が表示されます。 PGP Desktop 鍵 1 つにつき、PKCS-11 秘密鍵は少なくとも 2 つ使用されま す。そのため PGP Desktop で正しく使用できるようにするには、プロファ イルで利用できる秘密鍵の最大数を 2 つ以上に設定してください。 詳細については、お使いの JavaCard のマニュアルを参照してください。 互換性のあるスマート カード PGP Desktop は以下のカードを識別し、動作します。 ActivCard Gold 2.0 プロファイルを備えた米国国防総省共通アクセス カー ド (CAC) : ActivCard Gold 2.0 プロファイルの詳細については、ActivCardの Webサイト 『www.activcard.com』を参照してください。 ASEKey 1.0 を含むAET SafeSignスマート カード。AET SafeSignが提供す るスマート カードの詳細については、CryptoshopのWebサイト 『www.cryptoshop.com』を参照してください。 eToken PRO USB 16K、32K、および 64KなどのAladdinスマート カード 、Aladin eToken NG-OTP 32K、eToken PRO Java :Aladdin eToken製品の詳 細については、Aladdin SupportのWebサイト 『 http://www.aladdin.com/support/default.asp』を参照してください。 ASEKey USBトークンなどのAthena Smart Card Solutionsスマート カー ド :Athena Smart Card Solutionsが提供するスマート カードの詳細につい ては、Athena Smart CardのWebサイト 『www.athena-scs.com』を参照し てください。 Cryptoflex 32KなどのAxalto (旧称Schlumberger) スマート カード : Axaltoが提供するスマート カードの詳細については、AxaltoのWebサイト 『www.axalto.com』を参照してください。 Axalto Cyberflex Access 32K V2 :Axaltoが提供するスマート カードの詳 細については、AxaltoのWebサイト 『www.axalto.com』を参照してくださ い。 289 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows EMC RSA SecurID SID800 トークン (v1 および 2) :EMCが提供するトーク ンの詳細については、EMC/RSAのWebサイト 『http://www.rsa.com/』を 参照してください。 Gemalto .NET v2スマート カード :Gemaltoスマート カードの詳細につい ては、GemaltoのWebサイト 『http://www.gemalto.com』を参照してくだ さい。 SafesITeおよびGemXpresso Proなど、GemSafe Libraries 4.2.0-015 (Gold) を使用するGemPlusスマート カード。GemPlusが提供するスマート カー ドの詳細については、GemPlusのWebサイト 『www.gemplus.com』を参 照してください。 ActivClientバージョン 6.1 クライアント ソフトウェアを使用したGiesecke and Devrient Sm@rtCafe Expert 3.2 個人識別確認カード :G&DのPIVカー ドの詳細については、Giesecke and Devrient Webサイト 『 http://www.gi-de.com/』を参照してください。 ActivClientバージョン 6.1 クライアント ソフトウェアを使用したOberthur ID-One Cosmo V5.2 個人識別確認カード :Oberthurが提供するPIVカードの 詳細については、OberthurのWebサイト 『http://www.oberthurcs.com/index.aspx』を参照してください。 iKey 2032 を含むSafeNetスマート カード (PGP DesktopはSafeNet iKey 1000 または 4000 とは互換性がありません) :SafeNetが提供するスマート カードおよびUSBトークンの詳細については、SafeNetのWebサイト 『www.safenet-inc.com/products/tokens/index.asp』を参照してください。 T-Systems Telesec NetKey 3.0 およびTCOS 3.0 IEIカード :T-Telesec NetKeyスマート カードの詳細については、T-SystemsのWebサイト 『 www.t-systems.com』を参照してください。 PGP Desktopでは、ソフトウェア ドライバーに標準規格に基づいたPKCS-11 ラ イブラリを備えている他の製造会社のスマート カードも使用できます。 標準規 格以外のスマートカードがPGP Desktopで正しく動作しない場合は、スマート カードをコンピューターに接続しても [PGP鍵] コントロール ボックスに [スマ ート カード鍵] と表示されません。 スマート カードの認識 PGP Desktop で使用したいスマート カードのプロパティを調べたり、スマート カード上に PGP 鍵ペアを生成する前に、システムで使用できるスマート カード を PGP Desktop が認識することを確認する必要があります。 以下は、そのための一般的な要件です。 スマート カードの PKCS-11 をサポートするソフトウェア ドライバが、コ ンピュータにインストールされていることを確認します。 290 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows スマート カードがコンピュータに装着されていることを確認します。USB トークンを使用する際は、通常 USB ポートに挿入します。またスマート カ ードは、適切なスマート カード リーダーに挿入してください。 ドライバをインストールし、スマート カードを装着したら、PGP Desktop がシ ステムを認識するかどうかを検証します。検証する方法は、次の 2 とおりです。 PGP Desktop でスマート カードが認識されるかどうかを調べるには、PGP Desktop を開いて [PGP 鍵] コントロール ボックスをクリックします。[PGP 鍵] コントロール ボックスの [すべての鍵] の下に [スマート カード鍵] が表示されると、コンピュータ上のスマート カードが認識されていること を示しています。 上の方法より少し複雑になりますが、PGP Desktopを開いて [PGP鍵] コン トロール ボックスをクリックし、[ファイル] メニューの [新規PGP鍵] か ら選択する方法もあります。[PGP鍵生成アシスタント] 画面が表示されたら、 画面の下部を確認します。トークンに鍵を生成の場合 :<smart card information> チェックボックスが使用できる状態になっていれば (アクテ ィブになっていれば)、コンピュータ上のスマート カードが認識されていま す。この方法では、PGP Desktopがコンピュータ上で認識したスマート カ ードに関する情報も確認でき、最初に述べた方法より便利です。 スマート カードのプロパティの確認 PGP Desktop 画面では、スマート カードに保存されている PGP 鍵は、カード上 に鍵が表示された特別なアイコンで示されます。この PGP 鍵のプロパティを表 示すると、製造会社名、シリアル番号、サポートされている鍵の種類など、スマ ート カードに関する情報を確認することができます。 スマート カードのプロパティを表示するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カ ード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 プロパティを表示する鍵をハイライトします。 [鍵] > [スマート カードのプロパティ] の順に選択します。[PGPスマート カ ードのプロパティ] ダイアログ ボックスに、鍵が保存されているスマート カードについて以下の情報が表示されます。 製造会社名 スマート カードのモデル スマート カードのシリアル番号 291 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 4 カードに保存できる PGP 鍵の種類や PIN に含めることのできる文字数 などのスマート カードの機能 現在スマート カードに保存されている、サブ鍵を含む秘密鍵の合計数 [OK] をクリックします。 スマート カード上での PGP 鍵ペアの生成 スマート カード上に PGP 鍵ペアを生成するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カ ード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 [PGP 鍵] コントロール ボックスをクリックします。スマート カードが検 出されると、[PGP 鍵] コントロール ボックスに [スマート カード鍵] が表 示されます。 4 [ファイル] > [新規PGP鍵] の順に選択します。PGP鍵生成アシスタントの [Introduction (ようこそ)] ダイアログ ボックスが表示されます。 PGP Desktopが一度に認識できるソフトウェア ドライバは、同一のスマー ト カード製造会社の製品に限られます。複数の製造会社のソフトウェア ド ライバがコンピュータにインストールされている場合は、PGP Desktopで使 用する製造会社のスマート カードを指定する必要があります。詳細につい ては、「複数のスマート カードの使用 『ページ : 296』」を参照してく ださい。 5 [トークン上に鍵を生成 : [スマート カードまたはトークンの名前]] チェッ クボックスをオンにして [次へ] をクリックします。名前と電子メールの割 り当て ダイアログ ボックスが表示されます。 6 [フルネーム] フィールドに自分の名前を入力し、[一次電子メール] フィー ルドに電子メール アドレスを入力します。この暗号鍵に電子メール アドレ スを複数設定する場合は、[詳細] をクリックし、[その他のアドレス] フィ ールドに電子メール アドレスを入力してください。 ヒント : 実名や電子メール アドレスの入力は必須ではありません。実名と 電子メール アドレスを使うと、他のユーザーにとって公開鍵の所有者が識 別しやすくなります。 7 詳細な鍵設定を指定するには、[Advanced (詳細設定)] をクリックします。 [鍵詳細設定] ダイアログ ボックスが表示されます。次の設定を指定します 。 292 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 鍵タイプ : RSA (Diffie-Hellman/DSS鍵はサポートされていません) 鍵のサイズ : 1028 から 2048 まで 有効期限 : 無期限または日付を指定 使用可能アルゴリズム : AES、CAST、TripleDes、IDEA、Twofish 優先アルゴリズム : 使用可能アルゴリズムのいずれかを選択 使用可能なハッシュ : SHA-2-256、SHA-2-384、SHA-2-512、 RIPEMD-160、SHA-1、MD-5 使用するハッシュ : 使用可能ハッシュのいずれかを選択 設定によっては、使用するスマート カードでサポートしていないために使 用できない場合があります。 [OK] をクリックして設定を保存し、[鍵詳細設定] ダイアログ ボックスを終 了します。 8 [次へ] をクリックします。 9 [パスフレーズの割り当て] ダイアログ ボックスで、スマート カードに対応 するPINを入力します。PINが暗号鍵のパスフレーズとなります。通常、セキ ュリティ強化のため、入力するパスフレーズの文字は画面に表示されません。 ただし、入力時に誰にも見られていないことがわかっていれば、[キー操作 の表示] チェックボックスをオンにして、パスフレーズの文字を表示できま す。 10 [次へ] をクリックすると、鍵生成処理が開始されます。新しい鍵ペアが、ス マート カード上に直接生成されます。この処理には数分かかる場合があり ます。 11 鍵の生成が完了したら、[次へ] をクリックします。作成した鍵の公開鍵部分 をPGP Global Directoryに追加するように求められます。 12 画面上のメッセージを読み、次のいずれかの操作を行います。 13 公開鍵をPGP Global Directoryに通知するには、[次へ] をクリックしま す。 公開鍵がPGP Global Directoryに通知されないようにするには、[省略] をクリックします。 [完了] をクリックします。以上で、新しい鍵ペアが、スマート カード上に 直接生成されます。 鍵ペアの秘密部分はスマート カードのみに保存されるため、スマート カードを コンピュータから取り外すと、公開鍵のみが鍵リングに残ります。このため、鍵 ペアのアイコンが 1 つの鍵に変化し、鍵ペアの秘密部分がコンピュータ上にない ことを示します。 293 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows スマート カードから鍵リングへの公開鍵のコピー 暗号鍵をスマート カードに保存しておくと、実際にコンピュータまで行き、シ ステムのPGP Desktop鍵リングに、鍵ペアの公開部分を自動的にコピーできます。 なおコピー先のコンピュータには、互換性のあるスマート カード リーダーまた はUSB空きポートが装備されており、PGP Desktoppと適切なドライバがインス トールされている必要があります。 公開鍵をスマート カードから別のユーザーの鍵リングにコピーするには、次の 操作を行います。 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カ ード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 暗号鍵が PGP Desktop に表示されるまで待ちます。公開鍵がコンピュータ に自動的にコピーされると、その公開鍵が PGP Desktop 内に表示されます。 4 スマート カードをコンピュータから取り出します。これで、公開鍵がその コンピュータに保存されます。 鍵リングからスマート カードへの鍵ペアのコピー PGP Desktop を使うと、既存の鍵ペアをコンピュータからスマート カードにコ ピーできます。この機能は、鍵ペアのバックアップ作成や公開鍵の配布時に便利 です。スマート カードにコピーできるのは、RSA 鍵のみです。 メモ : ただし、Diffie-Hellman/DSS鍵をスマート カードにコピーすることはで きません。 スマート カードに鍵ペアをコピーする操作は、スマート カード上に鍵ペアを直 接作成する操作とは異なります。直接作成する操作は、スマート カードでは利 用できません。鍵ペアを直接スマート カード上に作成した場合、秘密鍵を使用 するには、その鍵ペアが入っているカードをコンピュータに差し込む必要があり ます。 スマート カードにコピーする既存の鍵ペアがある場合、鍵ペアの秘密部分は、 コンピュータから削除しない限りスマート カードとコンピュータの両方に保存 されます。 既存の鍵ペアをスマート カードにコピーする主な理由は次の 2 つです。 294 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows コンピュータ上の鍵ペアをバックアップしたり、公開鍵をスマート カード から他のユーザーの鍵リングにコピーしたりする。この場合、同じ秘密鍵の コピーを 2 つ持つことになります。1 つは最初に作成したコンピュータ上に、 もう 1 つはスマート カード上に保存されます。 スマート カード上に直接作成したときのように、これを唯一の秘密鍵とし て使用する。この場合は、PGP Desktop のオプションを使用して、秘密鍵を コンピュータから削除してください。PGP 鍵ペアをコンピュータ上に作成し た後で、セキュリティ強化のためにスマート カードを使用して鍵ペアを管 理する場合において、かつ新しい鍵ペアの作成を行わないときに、コンピュ ータから秘密鍵を削除するオプションを選択します。 PGP鍵ペアをスマート カードにコピーすると、スマート カード上の鍵ペアのパ スフレーズは、自動的にスマート カードのPINになります。ただし、コンピュー タ上にあるコピー元の鍵ペアのパスフレーズは変わりません。パスフレーズがそ れぞれ異なる同一の鍵ペアが、2 つ存在することになります。 コンピュータから秘密鍵を削除し、スマート カード上の秘密鍵のみを保持して おく際には、その秘密鍵のパスフレーズとしてスマート カードの PIN を使用し ます。 既存の PGP 鍵ペアをスマート カードにコピーするには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カ ード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 コピーする鍵ペアを右クリックし、[追加先] > [スマート カード鍵] の順に 選択します。コピー後、コピーした鍵ペアのPGPパスフレーズが、スマート カードのPINに自動的に変更されるという警告ダイアログ ボックスが表示 されます。 4 [OK] をクリックして続行します。[PGP Enter Passphrase (PGPパスフレー ズの入力)] ダイアログ ボックスが表示されます。 5 暗号鍵のパスフレーズを入力し、[OK] をクリックします。[PGP Enter Passphrase (PGPパスフレーズの入力)] ダイアログ ボックスが表示されま す。 6 スマート カードのPINを入力し、[OK] をクリックします。鍵ペアがスマー ト カードにコピーされます。コンピュータ上の鍵ペアの秘密鍵を鍵リング から削除して、スマート カード上にのみ保存するかどうかを尋ねるダイア ログが表示されます。 7 次のいずれか 1 つを実行します。 鍵リングから鍵ペアの秘密部分を削除するには、[はい] をクリックし ます。鍵ペアの秘密部分がコンピュータ上の鍵リングから削除され、 スマート カード上にあるものが唯一の秘密鍵になります。 295 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows 鍵リングに鍵ペアの秘密部分を残すには、[いいえ] をクリックします。 秘密部分は削除されません。この場合、同じ鍵ペアが 2 つ、コンピュ ータ上とスマート カード上に 1 つづつ存在することになります。 スマート カードからの鍵の抹消 スマート カードに保存されているすべてのデータを削除するには、[PGPスマー ト カードのプロパティ] ダイアログ ボックスから[Wipe Contents (データの抹 消)] 機能を使用します。 スマート カード上のデータを抹消するには 1 スマート カードをスマート カード リーダーに挿入するか、トークンを USB ポートに挿入します。[PGP 鍵] コントロール ボックスの [スマート カ ード鍵] のセクションに鍵が表示されます。 2 PGP Desktop を開きます。 3 [PGP鍵] ボックスで、[スマート カード鍵] を選択します。スマート カード 上のPGP鍵が表示されます。 4 データを抹消するスマート カードまたはトークンを選択します。 5 [鍵] > [Wipe Smart Card (スマート カードからのデータの抹消)] の順に選 択します。スマート カードまたはトークン上にある鍵をすべて削除するか どうかを確認するメッセージが表示されます。 6 [OK] をクリックします。[PGP Enter Passphrase (PGPパスフレーズの入力)] ダイアログ ボックスが表示されます。 7 このスマート カードのPINを入力します。通常、セキュリティ強化のため、 入力するパスフレーズの文字は画面に表示されません。ただし、入力時に誰 にも見られていないことがわかっていれば、[キー操作の表示] チェックボッ クスをオンにして、パスフレーズの文字を表示できます。 8 [OK] をクリックします。これで、スマート カード上に保存されている鍵が すべて削除されます。 複数のスマート カードの使用 PGP Desktop は、さまざまな製造会社のスマート カードをサポートしています。 ただし、同時に使用できるのは、同じ製造会社のスマート カードだけです。 296 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows PGP Desktop を起動すると、特定の製造会社のスマート カードをサポートする ソフトウェア ドライバがコンピュータ上で検索されます。条件に合ったソフト ウェア ドライバが見つかると、その製造会社のスマート カードを使用するもの として、見つかったドライバが読み込まれます。 ある製造会社のソフトウェア ドライバだけがコンピュータにインストールされ ている場合は、何も問題はありません。PGP Desktop によってそのソフトウェア ドライバが自動的に検出され、対応する製造会社のスマート カードが使用でき るようになります。カードの認識とドライバの検索は自動的に行われるので、特 別な操作は必要ありません。 ただし、場合によっては、複数の製造会社によるスマート カードを使用するこ とが必要になることがあります。こうした状況が発生し、複数の製造元によるソ フトウェア ドライバがコンピュータにインストールされている場合、使用する スマート カードを PGP Desktop に伝える必要があります。そうしないと、PGP Desktop はどのソフトウェア ドライバを使用したらよいか判断できず、希望の ものが選択されるとは限りません。 使用するスマート カードのソフトウェア ドライバを指定するには 1 PGP Desktop を開きます。 2 [ツール] > [PGPオプション] の順に選択します。[PGPオプション] ダイアロ グ ボックスが表示されます。 3 [鍵] タブをクリックします。 4 [同期化] セクションで、[スマート カードおよびトークンに同期] リストか ら使用するソフトウェア ドライバの製造会社を選択します。 コンピュータ上に 1 つの製造会社のソフトウェア ドライバしかインス トールされていない場合は、デフォルト設定の [自動的] を使用します。 スマート カードをまったく使用しないようにするには、[なし] を選択 します。 リストにない製造会社を指定するには、[その他] を選択します。[スマ ート カード ドライバの選択] 画面が開きます。この画面で、適切なス マート カードの製造会社のソフトウェア ドライバであるDLLファイ ルを選択し、[開く] をクリックします。これで、選択したソフトウェ ア ドライバがサポートしているスマート カードを使用できるように なります。 この時点で PGP Desktop では、選択された製造会社のスマート カードが使用さ れるものと判断します。製造会社の異なるスマート カードをコンピュータに追 加した場合、PGP Desktop にはそのスマート カードは認識されません。別のス マート カード製造会社に変更するには、上記の手順を実行する必要があります。 297 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows トークンの特別使用 コンピュータのブート ドライブがディスク全体暗号化で保護されている場合、 PGP Desktopでは起動時の認証にAladdin eToken Pro USBトークンが使用され ます。PGPディスク全体暗号化を使用したブート ドライブの保護の詳細につい ては、「PGPディスク全体暗号化によるディスクの保護 『ページ : 141の"PGP Whole Disk Encryptionによるディスクの保護"参照先 : 』」を参照してください。 このときに使用できるのはAladdin eToken Pro USBトークンのみです。このトー クンの設定方法については、「Aladdin eTokenの設定 『ページ : 298』」を参 照してください。 Aladdin eToken の設定 PGP Desktop for Windows の PGP ディスク全体暗号化機能でトークンを使用す るときは、PGP 鍵ペアを格納した Aladdin eToken Pro USB トークンが必要です 。 PGP ディスク全体暗号化で使用する Aladdin eToken Pro USB トークンを作成 するには 1 Aladdin eToken Pro USB トークンを入手します。ディスク全体暗号化に使用 できるのはこのトークンだけです。対応しているモデルは、16K、32K、64K の 3 つです。16K モデルと 32K モデルは 1,024 ビットの鍵を、64K モデルは 2,048 ビット以下の鍵をそれぞれサポートしています。 2 Aladdinの適切なドライバー ソフトウェアがコンピューターにインストー ルされていることを確認してください。Aladdinドライバーの詳細について は、「Aladdin eTokenに必要なドライバー 『ページ : 158』」を参照して ください。 ドライバー ソフトウェアをインストールすると、PGP Desktopの [PGP鍵] コントロール ボックスに [スマート カード鍵] と表示されます。 3 PGP Desktop for Windows を開く 4 Aladdin eTokenに鍵ペアを作成するか、ショートカット メニューの [追加先 ] を使用してトークンに既存の鍵ペアをコピーします。鍵ペアの作成手順に ついては、「スマート カード上でのPGP鍵ペアの作成『ページ : 292の"ス マート カード上でのPGP鍵ペアの生成"参照先 : 』」を参照してください。 また、鍵ペアのコピー手順については、「鍵リングからスマート カードへ の鍵ペアのコピー 『ページ : 294』」を参照してください。 既存の鍵ペアをトークンに送信する場合は、1024 ビットまたは 2048 ビット の RSA 鍵であることが必要です。Aladdin eToken Pro トークンでは、現在 その他の鍵サイズおよび DH/DSS 鍵をサポートしていません。 298 スマート カードおよびトークンへの鍵の保存 PGP Desktop for Windows トークン上に鍵ペアを作成するか、既存の鍵ペアをトークンにコピーすると、 鍵ペアのパスフレーズがトークンの PIN に変わります。Aladdin eToken Pro トークンのデフォルトの PIN は 1234567890 です。この PIN は事前に設定 されたものなので、Aladdin ソフトウェアで必ず変更してください。 5 これで、PGP のディスク全体暗号化で Aladdin eToken 上の PGP 鍵ペアを使 用できます。 299 A PGP Desktop オプションの 設定 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professionalにのみ適用します。ご使用のバージョンを確認するには、「ライセン ス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 PGP Desktop は、多様なニーズを満たすように設定されていますが、必要に応じ て一部の設定を調整することもできます。このセクションでは、PGP Desktop で 設定できるオプションについて説明します。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 301 PGP Desktop オプションの設定 PGP Desktop for Windows この章の内容 [PGPオプション] ダイアログ ボックスへのアクセス .......................... 302 全般オプション...................................................................................... 303 鍵オプション ......................................................................................... 305 マスター鍵オプション ........................................................................... 307 メッセージング オプション .................................................................. 308 PGP NetShareオプション ...................................................................... 314 ディスク オプション............................................................................. 316 通知機能オプション............................................................................... 319 詳細オプション...................................................................................... 321 [PGP オプション] ダイアログ ボックスへのアクセス このセクションに説明されている機能は、PGP Desktop Virtual Disk Professionalにのみ適用します。ご使用のバージョンを確認するには、「ライ センス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professionalにのみ適用します。ご使用のバージョンを確認するには、「ライ センス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professionalにのみ適用します。ご使用のバージョンを確認するには、「ライ センス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professionalにのみ適用します。ご使用のバージョンを確認するには、「ライ センス」 のセクションを参照してください。 このセクションに説明されている機能は、PGP Desktop Virtual Disk Professionalにのみ適用します。ご使用のバージョンを確認するには、「ライ センス」 のセクションを参照してください。 [PGP オプション] にアクセスするには 1 次のいずれか 1 つを実行します。 302 PGP Desktop オプションの設定 PGP Desktop for Windows Windowsのシステム トレイの [PGPトレイ] アイコンをクリックし、 [オプション] を選択します。 PGP Desktopを開いて、[ツール] > [PGP] [オプション] の順に選択しま す。 2 タブを選択して、必要な変更を加えます。特定のタブで操作を終えたら、別 のタブを選択します。 3 変更を保存して終了するには、[OK] をクリックします。また、変更を取り 消すには、[キャンセル] をクリックします。 全般オプション このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 [全般] タブでは、PGP Desktop 全体に関わるさまざまな設定を行います。 [環境設定] ダイアログ ボックスの [全般] タブには、次のオプションがあります。 PGPアイコンをWindowsシステム トレイに表示。このチェック ボックス をオンにすると、PGP Desktopがアクティブになっているとき、Windows システム トレイに [PGP] アイコンが表示されます。[PGPトレイ] アイコン からは、PGP Desktopのさまざまな機能にすばやくアクセスすることができ ます。[PGP] アイコンがWindowsシステム トレイに表示されないようにす るには、このチェックボックスをオフにしてください。[PGP] アイコンを復 元するには、PGP Desktopを起動し、[ツール] メニューから [PGPオプショ ン] を選択します。[全般] タブにアクセスし、チェックボックスをオンにし ます。 メモ :PGP Universal Serverによって管理されている環境でPGP Desktop を使用している場合、このオプションが必要になることがあります。 Windows システム トレイから [PGP トレイ] アイコンを削除しても、PGP Desktop サービスは遮断されません。Windows システム トレイから [PGP トレイ] アイコンを削除しても、PGP Desktop サービスは継続されます。 PGPサービスを停止するには、[PGPトレイ] アイコンをクリックします。表 示されるコマンドの一覧から [Stop PGP Services (PGPサービスの停止)] を選択します。警告ダイアログ ボックスが表示されます。ここで、PGPサ ービスを停止することを確認する必要があります。 メモ : 必要がないかぎり、PGP Desktopサービスを停止しないでください。 [My Passphrase (マイ パスフレーズ)] :パスフレーズを保存するオプショ ンがあります。 303 PGP Desktop オプションの設定 PGP Desktop for Windows パスフレーズを現在のWindowsセッションで保存する。 コンピュー ターをログオフするまで、パスフレーズがメモリに自動的に保存され ます。これをパスフレーズのキャッシュといいます。このオプション を有効にすると、公開鍵ごとに 1 回、パスフレーズの入力を要求する メッセージが表示されます。その後は、コンピューターをログオフす るまで、同じ鍵のためにパスフレーズを入力する必要はありません。 注意 : このオプションをオンにしたら、コンピューターから離れるときに は必ずログオフしてください。ログオフしないと、パスフレーズがキャッ シュに残ったままになる可能性があります。そのため、コンピューターか ら離れている間に、他のユーザーに鍵を使用され、暗号化したメッセージ を解読されたり、メッセージを暗号化されたりする可能性があります。コ ンピューターに長時間ログオンすることが多い場合は、他のパスフレーズ キャッシュ オプションを選択してください。 Save my passphrase for X (hh:mm:ss) (パスフレーズを保存する期 間 (時 : 分 : 秒))。パスフレーズが指定した期間だけメモリに保存さ れます。このオプションをオンにすると、初回だけ署名と復号化の際 にパスフレーズを入力するよう求めるメッセージが表示されます。そ の後は、指定した期間が経過するまで、パスフレーズを入力する必要 がなくなります。デフォルト設定は、00:02:00 (2 分) です。 [Do not save my passphrase (自分のパスフレーズを保存しない)] :パ スフレーズがメモリに保存されなくなります。このオプションを有効 にすると、パスフレーズが必要となる操作を実行するたびにパスフレ ーズの入力が必要になります。 パスフレーズを保存しないと選択した場合でも、PGP NetShare に追加さ れたフォルダー内のすべてのファイルにアクセスするためにパスフレー ズを一度だけ入力するように求められるだけです。 製品の言語。このオプションを使用すると、PGP Desktopユーザー インタ ーフェイスの言語を選択することができます。ドロップダウン リストから、 次のオプションを選択してください。選択肢は、英語 (デフォルト)、ドイツ 語、フランス語、日本語、およびスペイン語です。 メモ : 言語を変更したら、コンピューターからログオフし、再度ログイン してください。 Check for updates every X days. When enabled, PGP Desktop checks for software updates automatically at the specified interval. The default is one day. If a newer version of PGP Desktop is available for download, a notification screen is displayed that lets you download the new version. When disabled, PGP Desktop does not automatically check for software updates. This option requires an active Internet connection. Note: If you are using PGP Desktop in a PGP Universal Server-managed environment, this option may be required. PGP Desktop then searches for updates on its associated PGP Universal Server. 304 PGP Desktop オプションの設定 PGP Desktop for Windows 鍵オプション このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 [鍵] タブでは、PGP Desktop 鍵の設定を行うことができます。 [鍵] タブでは、以下のオプションを変更できます。 [同期化] :これらの設定では、鍵リングの鍵を共用サーバーとどのように同期 化するかを指定します。 [Synchronize with keyservers daily (毎日、鍵サーバーと同期する)] : このオプションを選択すると、PGP Desktopは、鍵リング上の公開鍵を 鍵サーバーのリストとの間で同期する処理を毎日実行します。このリ ストには、PGP Global Directoryが含まれます。 メモ : PGP Universal Serverによって管理されている環境でPGP Desktop を使用している場合、このオプションが必要になることがあります。 このオプションがオンのときは、公開鍵が変更されると、新しい公開鍵 が自動的にダウンロードされます。また、鍵サーバーから削除された公 開鍵は、ローカルの鍵リング上でも自動的に無効になります。 305 PGP Desktop オプションの設定 PGP Desktop for Windows PGP Desktopを使用して鍵リング上の鍵ペアに変更を加えても、使用し ているコンピューターから鍵サーバーにその変更が自動的にアップロー ドされることはありません。変更した公開鍵を鍵サーバーに手作業でア ップロードする必要があります。公開鍵の変更作業が終了した際に、PGP Desktopにより公開鍵のアップロードが要求されます。別な方法で鍵を鍵 サーバーに送信するには、変更した鍵を右クリックし、表示されるショ ートカット メニューから [Send To (送信)] を選択して、リストから適 切な鍵サーバーを選択します。 署名の検証時に自動的に鍵を検索する :このオプションを有効にする と、公開鍵がローカル鍵リングで入手できない場合に、PGP Desktop が設定済みの鍵サーバーから検証された鍵を検索するように指定でき ます。 メモ : PGP Universal Serverによって管理されている環境でPGP Desktop を使用している場合、このオプションは使用されません。PGP Universal Serverでは、鍵が検索されるかどうか、また、検出された場合にキャッシ ュされるかどうかが定義されます。PGP Universal Serverによって管理され ている環境で検索された鍵は、鍵リングに保存されません。 公開鍵が見つかった場合は、次の 3 つのオプションがあります。 鍵リングに保存しない。設定されている鍵サーバーで見つかった 公開鍵は、現在対処している署名を検証するために、1 回だけ使 用されます。鍵はその後も鍵リングに保存されません。 鍵リングに保存するかどうか尋ねる。見つかった公開鍵をローカ ルの鍵リングに保存するかどうかを尋ねるように指定します。 鍵を鍵リングに保存する。 見つかった受信者の公開鍵がローカル の鍵リングに自動的に保存されます。 鍵リングをトークンおよびスマート カードと同期する。スマート カ ードおよびトークンと同期する方法を以下のように指定できます。 自動。コンピューター上で最初に見つかったスマート カード/ト ークン製造会社のPKCS-11 ドライバーが自動的に読み込まれ、使 用されます。1 つの製造会社のPKCS-11 ドライバーしかコンピュ ーターにインストールされていない場合は、この設定を選択して ください。 スマート カード/トークン製造会社のリスト。リストから選択し たスマート カード/トークン製造会社のPKCS-11 ドライバーが読 み込まれ、使用されます。複数の製造会社のPKCS-11 ドライバー がコンピューターにインストールされている場合は、ドロップダ ウン リストから使用する製造会社のスマート カード/トークン を指定してください。 306 PGP Desktop オプションの設定 PGP Desktop for Windows その他。このオプションを選択すると、[スマート カード ドライ バーの選択] ダイアログ ボックスが表示され、PKCS-11 ドライバ ーを選択できるようになります。ドライバーを選択すると、その 製造会社のスマートカード/トークンが認識され、使用されます。 使用したいスマート カード/トークンの製造会社がリストに含ま れていないときに、この設定を使用してください。 ある製造会社の PKCS-11 ライブラリがコンピューターにインストー ルされており、これが Mozilla Firefox や Thunderbird などの他の PKCS-11 対応アプリケーションで正しく使用できれば、PGP Desktop でも使用できる可能性があります。 まれに標準規格以外のスマートカードがPGP Desktopで正しく動作 しない場合は、スマート カードをコンピューターに接続しても [PGP 鍵] コントロール ボックスに [スマート カード鍵] と表示されませ ん。 なし。コンピューターに接続されているスマート カードまたはト ークンは検出されず、使用もできません。 鍵サーバー。このオプションをクリックすると、[PGP鍵サーバー リス ト] ダイアログ ボックスが表示されます。このダイアログ ボックスで は、鍵を自動的に検索する際に使用する鍵サーバーのリストを追加、 編集、または削除できます。 バックアップ。これらの設定では、鍵をバックアップする時間と場所を指定 します。 PGPの終了時に鍵をバックアップ。 このオプションをオンにすると、 指定した場所に鍵が自動的にバックアップされます。 鍵リング フォルダー (デフォルト)。 コンピューター上のデフォ ルトの鍵リング フォルダーに鍵がバックアップされます。デフォ ルトの場所は "マイ ドキュメント" フォルダーです。 バックアップする場所。 コンピューター上の指定した場所に、鍵 をバックアップします。フルパスを入力するか、[参照] をクリッ クして場所を指定します。 マスター鍵オプション このセクションに説明されている機能は、PGP Desktop Virtual Disk Professional にのみ適用します。ご使用のバージョンを確認するには、「ライセンス」 のセク ションを参照してください。 307 PGP Desktop オプションの設定 PGP Desktop for Windows [マスター鍵] リストは、メッセージング、ディスク暗号化、PGP NetShare、お よびPGP Zip用の鍵を選択するときに毎回、デフォルトでセットとして追加され る鍵です。これにより、繰り返し使用する公開鍵を [Recipients (受信者)] フィ ールドにドラッグする手間が省けます。 マスター鍵リストを使用するには、[Use Master Key List (マスター鍵リストの 使用)] チェック ボックスをオンにします。このボックスをオンにしなければ、 マスター鍵リストの鍵の追加や削除はできません。 マスター鍵の追加方法については、「マスター鍵リストへの鍵の追加 『ページ : 55の"Adding Keys to the Master Key List"参照先 : 』」を参照してください。マ スター鍵の削除方法については、「マスター鍵リストからの鍵の削除 『ページ : Error! Bookmark not defined.の"Deleting Keys from the Master Key List"参照 先 : 』」を参照してください。 メモ : セットアップ アシスタントを使用して鍵を生成すると、その鍵はマス ター鍵リストに自動的に追加されます。鍵の生成を省略してPGP Desktopに鍵 をインポートした場合、鍵はマスター鍵リストに自動的には追加されません。 メッセージング オプション [メッセージング] タブでは、電子メールと IM メッセージングの設定を行います。 308 PGP Desktop オプションの設定 PGP Desktop for Windows メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 [メッセージング] タブでは、以下のオプションを設定することができます。 セキュア電子メール : PGP Desktopですべての電子メール アカウントを 自動的にセキュリティ保護するには、[セキュア電子メール] チェック ボッ クスをオンにします。オンにすると、受信および送信電子メール メッセー ジの両方がPGP Desktopを通るようになり、適切なポリシーに基づいてメッ セージがセキュリティ保護されます。 PGP Desktopでメッセージが自動的に保護されないようにするには、[セキュ ア電子メール] チェックボックスをオフにしてください。 [セキュア電子メール] チェック ボックスをオンにすると、以下のオプショ ンが追加で選択できます。 新しいアカウントを検出 : このチェックボックスをオンにすると、電 子メールに関する活動がPGP Desktopによって監視され、新しい電子メ ール アカウントも自動的に検出されます。新しいアカウントが検出さ れると、そのアカウントから送信されるメッセージをセキュリティ保 護するかどうかを尋ねるメッセージがPGP Desktopで表示されます。 309 PGP Desktop オプションの設定 PGP Desktop for Windows メモ : PGP Universalによって管理されている環境でPGP Desktopを使用 している場合に、ワイルドカード (*) バインディングを使用すると、すべ てのメール サービスが「*」のバインディングに一致するので、このオプ ションは機能しなくなります。そのため、このオプションを選択しなくて も、すべての新規アカウントが自動的にポリシーにそって作成されます。 自分の電子メール アドレスを鍵に自動的に追加する : このチェック ボックスをオンにすると、メッセージを送信するために使用する電子 メール アドレスが自分の鍵にPGP Desktopによって自動的に追加され ます。このオプションはデフォルトで選択されています。PGP Universal Serverによって管理されている環境でPGP Desktopを使用している場 合、このオプションが無効になる可能性があります。 このチェックボックスをオフにすると、電子メール アドレスは自分の鍵 に自動的には追加されません。自分の電子メール アドレスを知られたく ない場合など、プライバシーを保護する場合に使用します。 受信メールに注釈を付けてください。このチェック ボックスをオンに すると、PGP Desktopが入力メッセージを処理した際に行ったアクショ ンの詳細な説明テキストを、受信電子メールに付けることができます。 コメントのレベルは、以下の 3 つから選択できます。 最大 : 詳細なコメント。PGP Desktopによりメッセージ処理中に 実行されたすべてのアクションの詳細情報が、受信電子メールに 追加されます。 標準 : 不具合と成功。このオプションはデフォルトで選択されま す。不明な鍵や不明な署名者など処理上の不具合が発生すると、 コメントを付与します。この設定では、受信電子メールが正しく 復号されたか、または署名されている場合にも、コメントが追加 されます。 最小 : 不具合のみ。処理に不具合が発生した場合のみ、コメント が追加されます。 セキュアなメッセージにコメントを追加する : ここで入力したテキ ストが、暗号化または署名したメッセージに常に挿入されるようにな ります。入力したコメントは、セキュリティ保護されたメッセージの [--PGPメッセージ ブロックの開始--] テキスト ヘッダーとPGP Desktopバージョン番号の下に表示されます。これらのコメントは、復 号化された電子メールでは表示されません。 メモ :PGP Desktopによって管理された環境では、あらかじめテキストが 入力されていることがあります。 AOL® インスタント メッセージ (AIM®) の暗号化 : PGP Desktopと互換 性のあるインスタント メッセージング ソフトウェアを使用したメッセー ジのやり取りが、自動的に暗号化されるようになります。 AOL® Instant Messenger™ および互換性のあるソフトウェア アプリケー ションがサポートされています。 310 PGP Desktop オプションの設定 PGP Desktop for Windows AIMユーザー情報に「PGP有効化」を表示する : このオプションをオ ンにすると、[AIM友だちリスト] や [友だちの情報を見る] コマンドな どのスクリーン ネームに [PGP有効化] が表示されます。このオプシ ョンがオフの場合、スクリーン ネームに [PGP有効化] は表示されま せん。この文字列の表示形態は、ご使用のインスタント メッセージン グ クライアントにより異なります。 友だちアイコン上にPGPロック アイコンを表示します。このオプショ ンをオンにすると、PGP固有のロック アイコンが友だちアイコンとと もに表示され、IMセッションが保護されていることを示します。この オプションをオフにすると、通常のアイコンが表示されます。 プロキシ オプション 詳細なメッセージング オプションにアクセスするには、[プロキシ オプション] ボタンをクリックします。 [電子メール] タブ 電子メールの送受信にコンピューターでプロキシを手動で構成する必要がある 場合、このタブを使用します。 PGP Desktopは、電子メール アプリケーションと電子メールを配信するメール サーバーの間に「存在」します。この構成により、PGP Desktopが電子メール ト ラフィックを自動的にフィルタしたり、プロキシ処理したりすることが可能にな ります。また、ユーザーの作業を中断させることなく、適切なポリシーに基づい てメッセージを保護することができます。 通常、PGP プロキシ設定を変更する必要はありません。ただし、特定の環境では、 プロキシ設定を手作業で指定する必要があります。ネットワーク管理者の推奨す る設定を選択してください。 自動 : これがデフォルトの推奨設定です。この設定では、電子メールは自 動的かつ透過的に保護されます。手動プロキシ設定を使用するように指示さ れている場合以外は、このオプションを使用してください。 311 PGP Desktop オプションの設定 PGP Desktop for Windows Manual Proxy. このオプションは、コンピューターでメールにSSHトンネ リングを使用している場合や、PGP Desktopを実行しているコンピューター をメール サーバーとして使用している場合に選択します。詳細については、 「手動モードの設定 『ページ : 312』」を参照してください。 [インスタント メッセージング] タブ コンピューターがネットワーク ファイアウォールで保護されている場合、IM チ ャット セッション用に AIM で使用されるネットワーク ポートの変更が必要と なることがあります。通常、この設定を変更する必要はありません。 手動プロキシの使用 このチェックボックスをオンにして、IMチャット セッ ション用にAIMで使用されるネットワーク ポートを変更します。デフォル ト (5190) 以外のポート番号に値を変更します。この設定を変更する必要が ある場合はネットワーク管理者からの指示があります。また、その場合は、 正しいポート番号についても指示があります。 手動モードの設定 電子メール プロキシに対して手動を指定した場合、電子メール クライアント内 の設定同様、[PGPメッセージング] 設定も構成する必要があります (使用する値 については、システム管理者に問い合わせてください)。 1 [PGP メッセージング] コントロール ボックスで、手動モードにするサービ スを選択します。[新規サービス] パネルが表示されます。 2 [サーバー設定] をクリックします。指定したサービスの [サーバー設定] 画 面が表示されます。 3 新しいサービスで使用するサーバー タイプを選択します。 [インターネット メール] : POPまたはIMAPでメールに接続するスタン ドアロンのPGP Desktopユーザーの場合。 [PGP Universal] : PGP Universal Serverで管理された環境のPGP Desktopユーザーの場合。正しい設定方法の詳細については、PGP Universal Server管理者に問い合わせてください。 312 PGP Desktop オプションの設定 PGP Desktop for Windows 4 [MAPI/Exchange] : Microsoft Exchange/MAPIサーバーのクライアン トとしてMicrosoft Outlookを使用しているPGP Desktopユーザーの場 合。正しい設定方法については、電子メールの管理者に問い合わせて ください。 [Lotus Notes] : Lotus Dominoサーバーの電子メール クライアントと してLotus Notesを使用しているPGP Desktopユーザーの場合。正しい 設定方法については、電子メールの管理者に問い合わせてください。 [受信メール サーバー] セクションで、[ローカル ポートをリダイレクト] フ ィールドにポート番号を入力します。 PGP Desktop は、メール サーバーからメール クライアントに送信される電 子メール メッセージを、このポートで監視します。 5 [送信メール サーバー (SMTP)] セクションで、[ローカル ポートをリダイ レクト] フィールドにポート番号を入力します。 PGP Desktop は、メール クライアントからメール サーバーに送信される電 子メール メッセージを、このポートで監視します。 6 [OK] をクリックします。[サーバー設定] ダイアログ ボックスが閉じます。 7 電子メール クライアントを開いて、電子メール アカウントの設定を開きま す (アカウントが複数ある場合は、各アカウントをそれぞれ設定してくださ い)。 8 Microsoft Outlookの [受信メール サーバー (POP3 またはIMAP)] と [送信 メール サーバー (SMTP)] の両方の設定に、「127.0.0.1」と入力します。 9 [詳細設定] をクリックします。 313 PGP Desktop オプションの設定 PGP Desktop for Windows 10 [インターネット電子メール設定] ダイアログ ボックスで [詳細設定] をク リックします。[インターネット電子メール設定] ダイアログ ボックスの [ 詳細] タブが表示されます。 11 受信メール サーバー (POP3 またはIMAP) のボックスに、[ローカル ポート をリダイレクト] フィールドで受信メール サーバーに対して指定したポー ト番号 (手順 7) を入力します。 12 送信メール サーバー (SMTP) のボックスに、[ローカル ポートをリダイレ クト] フィールドで送信メール サーバーに対して指定したポート番号 (手 順 8) を入力します。 13 [OK] をクリックして、アカウントの設定を完了します。以上で、選択した サービスに対して手動モードが設定されます。 14 コンピューターでサービスに対する手動モードの設定が完了したら、コンピ ューターを再起動してください。 PGP NetShare オプション 共有のネットワーク ファイルを保護する際に、[NetShare] オプションのタブを 使用して設定を変更します。 314 PGP Desktop オプションの設定 PGP Desktop for Windows メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 フォルダーの概観 : PGP NetShareで保護されているファイルやフォルダー に小さいPGPロック アイコンが表示されるようにするには、[セキュリティ 保護されたファイルとフォルダーにPGPアイコンを重ねる] を選択します。 詳細 : [個々のファイルを保護する] を選択して、保護フォルダーの外にあ る個々のファイルをPGP NetShareを使用して保護します。 メモ : PGP Universal Serverによって管理されている環境でPGP Desktop を使用している場合は、PGP管理者がこのオプションを使用できないよう にしている場合があります。 PGP NetShareを使用して、保護フォルダーの外にある個別のファイルを保護す る操作の詳細については、「保護フォルダーの外にあるファイルの保護 『ペー ジ : 254』」を参照してください。 315 PGP Desktop オプションの設定 PGP Desktop for Windows ディスク オプション [ディスク] タブには、PGP 仮想ディスク機能を使用して保護されたボリュームに 適用される設定が含まれます。[ディスク] タブには、PGP シュレッダのオプショ ンも表示されます。 メモ : PGP Universal Server管理環境でPGP Desktopを使用している場合は、 PGP Universal Server管理者が特定の機能を無効にしている場合があります。 機能が無効にされると、左側の制御項目が表示されなくなり、その機能に対す るメニューやその他のオプションが使用できなくなります。このユーザー ガ イドに記載された図は、すべての機能が有効になっているデフォルトのインス トール環境を示しています。PGP Universal Server管理者がこの機能を無効に している場合は、ここに記載された説明は当てはまりません。 メモ : PGP Universalによって管理されている環境でPGP Desktopを使用して いる場合、これらのオプションはすでに設定されている場合もあります。 PGP ディスクのマウント解除 PGP 仮想ディスク ボリュームのオプションには以下のものがあります。 ファイルが開いている状態でもPGP仮想ディスクのマウント解除を許可す る。 通常、PGP仮想ディスク ボリューム上のファイルを開いていると、そ のボリュームのマウントを自動的に解除することはできません。しかしこの オプションをオンにすると、ファイルが開いていてもマウントを解除できる ようになります (「強制マウント解除」と呼びます)。 316 PGP Desktop オプションの設定 PGP Desktop for Windows マウント解除の前にこのメッセージを表示しないを選択すると、ファ イルが開いている可能性があるというメッセージを表示せずに、PGP 仮想ディスク ボリュームのマウントを強制的に解除できるようにな ります。 警告 : ファイルを開いている状態でPGP仮想ディスク ボリュームのマウ ントを強制解除すると、データが失われることがあるので、注意してくだ さい。 コンピューターがスリープ状態に入るときにマウント解除する。このチェッ ク ボックスをオンにすると、コンピューターがスリープ モード (スタンバ イ、休止状態などあらゆるスリープ モードに適用されます) に切り替わる ときに、PGP仮想ディスク ボリュームのマウントがすべて自動的に解除さ れます。 PGP仮想ディスクのマウントが解除できないときは、ディスクをマウン ト解除できない場合はスリープ状態にしない を選択して、コンピュー ターがスリープ状態にならないようにします。このオプションは、 Microsoft Windows Vistaシステムでは使用できません。Windows Vista では、アプリケーションによるスリープ状態の防止が許可されていま せん。 警告 :休止処理が呼び出されたときにPGP仮想ディスクが開いていると、 Windowsによって機密性の高いデータがディスクに書き込まれるため、 Windowsの休止は本質的に安全ではありません。PGP Corporationでは、休 止を使用する場合はPGPディスク全体暗号化機能を使用するか、または [コンピュータがスリープ状態に入るときにマウント解除する] オプション および [ディスクをマウント解除できない場合はスリープ状態にしない] オプションを有効にしておくことを推奨しています。 完全削除 PGP シュレッダ機能を使用すると、機密ファイルを安全に削除できます。他の設 定同様、PGP シュレッダ機能では提供されるセキュリティ レベルの調整が可能 です。 PGP シュレッダ機能のオプションには以下のものがあります。 パスの数。 ファイルを通常通り削除すると、PGPシュレッダの機能により、 そのファイルは安全に削除されます。削除したファイルが使用していたディ スク領域は、数字の「0」により上書きされます。 この方法を使用すると、数回の上書き「パス」だけで非常に安全にファイル を削除できます。このため、3の設定がデフォルトで、非常に高いレベルの セキュリティが提供されますが、この設定を変更することによって、希望す るセキュリティ レベルを反映させることができます。設定可能な最大パス 数は 49 です。 317 PGP Desktop オプションの設定 PGP Desktop for Windows セキュリティを強化すると、コンピューターのプロセッサのスピードなどが 原因となって、ファイルの共有に要する時間が長くなることがあるのでご注 意ください。 パス数を選択する際には、次のガイドラインを参考にしてください。 個人ユーザーで 3 パス。 商用で 10 パス。 軍事用で 18 パス。 最大限のセキュリティで 26 パス。 Windowsのごみ箱を空にするときに自動的に完全削除する。 このチェック ボックスをオンにすると、Windowsのゴミ箱を空にした際には、PGPシュレ ッダ機能によって常にその内容が細断処理されるようになります。機密性の 有無にかかわらず、PGPシュレッダ機能によってゴミ箱内のすべてのファイ ルの細断処理が行われるため、非常に大きなファイルが含まれていると処理 に時間がかかる可能性があります。そのため、このオプションの使用には注 意が必要です。 またこのオプションは、(Shift キーを押しながらアイテムを削除して)ご み箱をバイパスすることで削除したファイル、オペレーティング システム によって自動的に削除されたシステムおよびアプリケーションの「temp」 ファイルを自動的にシュレッダにかけます。 この自動細断では、選択済みの PGP シュレッダ機能の設定が、手動でファ イルを細断する場合と同様に使用されます。 Windowsデスクトップ上に [PGPシュレッダ] アイコンを置きます。PGP シュレッダ機能を便利に使用できるアイコンをコンピューターのデスクト ップに置く場合は、このチェック ボックスをオンにします。このアイコン は、Windowsのゴミ箱アイコンと同様に、ファイルをアイコンの上にドラッ グする方法で使用できます。このオプションはデフォルトで選択されていま す。 細断処理する前に常に警告を表示する。細断処理を実行する前に確認用のダ イアログ ボックスを表示するには、このチェックボックスをオンにします。 これにより、細断されるのが細断処理の対象とするファイルだけであること の確認が二重に行えます。このオプションはデフォルトで選択されています。 Tip: Please consider other occurrences of the data that might linger elsewhere on your disk, such as temp files. For this reason, consider using PGP Whole Disk Encryption to protect all data on your system. 318 PGP Desktop オプションの設定 PGP Desktop for Windows 通知機能オプション [通知機能] タブでは、PGP Desktop通知機能のオプションを設定します。この通 知機能は、電子メール メッセージを送受信する際に画面の隅にステータス メッ セージを表示します。また、PGPディスク全体暗号化機能とPGP NetShare機能 を使用する際にも、ステータス メッセージを表示します。 PGP Desktop通知機能の詳細については、「PGP Desktop通知機能の警告 『ペ ージ : 35』」を参照してください。 使用オプション 通知機能を有効にするには、[Use PGP Notifier (PGP通知機能の使用)] を選 択し、[画面位置] を指定します。 画面の位置 : PGP Desktopの通知は、画面の 4 つの隅 ([Lower Right (右下 )]、[Lower Left (左下)]、[Upper Right (右上)]、または [Upper Left (左上 )]) のいずれかに表示できます。PGP Desktopの通知を表示する位置を選択 します。デフォルトの位置は [Lower Right (右下)] です。 メッセージング オプション PGP Desktop の通知機能の設定には、次のようなものがあります。 319 PGP Desktop オプションの設定 PGP Desktop for Windows 送信電子メールの処理時に通知 : このチェックボックスをオンにすると、 電子メールを送信する際にPGP Desktop通知機能が表示され、暗号化および 署名処理のステータスが通知されます。メール送信時にPGP Desktopによる 通知を表示しないようにするには、このチェック ボックスの選択を解除し ます。 受信者の鍵が見つからない場合、電子メールを送信する前に確認 : PGP Desktopは、送信した電子メール メッセージの各受信者の公開鍵を探します。 受信者の公開鍵が見つからない場合、デフォルトでは、電子メールは暗号化 されることなくクリア テキストで送信されます。この通知機能オプション をオンにすると、受信者の公開鍵が見つからないことが通知され、送信する かどうかが尋ねられます。 PGP Desktopのデフォルト ポリシー設定の詳細については、「サービスと ポリシー 『ページ : 94』」を参照してください。 電子メールの送信前に常に確認 : このチェックボックスをオンにする と、電子メールを送信するたびに確認を求めるメッセージが表示され ます。通知機能で暗号化のステータスを確認した後に、電子メールを 送信するかブロックするかを判断できます。 Delay outbound email for n second(s) to confirm (確認のために電 子メールの送信をn秒遅延させる) : nは 1 ~ 30 の数で、デフォルトは 4 秒です。電子メールの送信を遅らせ、PGP Desktopの通知を表示する 時間の長さを変更するには、上矢印または下矢印をクリックします。 遅延時間は、PGP Desktopから通知されるメッセージを確認するために 使用します。 受信電子メールの各通知を表示 : 受信電子メールに対しては、受信時に通 知するステータスの種類を選択できます。オプションは次のとおりです。 [When receiving secured email (セキュリティ保護された電子メール を受信した場合)]— セキュリティ保護された電子メールを受信するた びに通知機能が表示されます。このボックスには、送信者、件名、暗 号化および検証のステータス、および送信者の電子メール アドレスが 表示されます。 [Only when message verification fails (メッセージ検証に失敗した場 合のみ)] — PGP Desktopが受信電子メールの署名を検証できない場合 にのみ通知が表示されます。 [Never (無期限)] — メールの受信時に通知機能が表示されないように する場合は、このオプションを選択します。このオプションは、送信 メールに対する通知機能には影響を与えません。 PGPで暗号化されたインスタント メッセージについて通知する — セキュ リティ保護されたインスタント メッセージ チャットの開始時と終了時に、 PGP Desktopの通知機能がわずかの間表示されるようにする場合にこのチ ェックボックスを選択します。 320 PGP Desktop オプションの設定 PGP Desktop for Windows 詳細オプション [PGP オプションの詳細設定] タブでは、非常に詳細な設定を行えます。ほとんど のユーザーはこの設定を変更する必要はありません。 321 PGP Desktop オプションの設定 PGP Desktop for Windows キーボード ホット キー。PGP Desktopでは、作業をよりすばやく、より容 易にするユーザー設定のホット キーをいろんな方法で作成できます。ホッ ト キーのセットがPGP Desktopに添付されていますが、ニーズに合わせて ホット キーの割り当てを変更できます。[編集] をクリックすると、[PGP Hotkeys (PGPホットキー)] ダイアログ ボックスが表示されます。 PGP Universal。 PGP Universalとの通信にHTTPSプロキシを使用する ネ ットワーク管理者の指示がない限り、これらの設定を変更しないでください。 PGP Universal Server のインストールで、プロキシ経由のセキュリティ保護 されたクライアントとサーバー間の接続が必要な場合、これらのオプション 設定を使用して指定できます。ネットワーク管理者の指示に従って、正しい サーバー名、通信ポート、ユーザー ID およびパスワードを指定してくださ い。 鍵または鍵モードを変更するには、[鍵のリセット] をクリックします。鍵モ ードの詳細については、「鍵モード 『ページ : 124』」を参照してくださ い。このオプションは、PGP Universal Serverで管理されていない環境でPGP Desktopを使用している場合のみ、利用できます。 FIPS 140-2 の動作確認と完全性確認を有効にする。 ユーザーまたは組織で FIPS 140-2 検証を必要とする場合には、このオプションを選択します。ただ し、コンピューターの性能が低下することを認識しておく必要があります。 この設定を有効にするには、コンピューターを再起動する必要があります。 暗号化するときには、組み込みの推奨ファイル名を無視してください。ファ イルを暗号化する際にPGP Desktopが行う提案を無視する場合に、このオプ ションを選択します。 322 PGP Desktop オプションの設定 PGP Desktop for Windows (日本などの) 英語以外の環境で PGP Desktop バージョン 8.1 を使用してい る場合、PGP Desktop では推奨されたファイル名が間違ってエンコードされ ます。PGP Desktop 8.1 で暗号化されたファイルを PGP Desktop 9.x で復号 化するときに PGP Desktop 8.1 と 9.x との間で処理が正しく行われるように、 この設定をオンにしてください。 323 B パスワードおよびパスフレ ーズの使用 パスワードとパスフレーズは、ものを保護するために使用されます。一般的に、 パスフレーズはパスワードより長く、使用できる文字の種類も豊富です。 単純なパスワードの例は、4 文字の単語 2 つを引用符を含めずに連結した 「whenjobs」です。パスワードを強度を上げるには、「WhenJobs」のように大 文字を使用するのも 1 つの方法です。「When9Jobs4」のように数字を追加する と、パスワードを一段と破られにくいものにすることができます。 パスフレーズはパスワードと比べて長く、使用できる文字の種類も豊富です。単 純なパスフレーズの例は、引用符なしでピリオドを含めた「Mb&1a>ttA」です。 このパスフレーズは、覚えづらいように思われるかもしれませんが、実際には覚 えやすい単純なフレーズに基づいています。 パスフレーズは、よく読む本から引用した短いフレーズに句読点を加えたり、大 文字/小文字の区別をしただけのものでもかまいません。たとえば、"Because that's not golf, I replied" などが考えられます。ここでは引用符も含まれます。こ れは強力なパスフレーズには見えないかもしれませんが、実際には、上記の他の 例と比較すると 2 倍以上の強度があります。 このセクションでは、パスワードとパスフレーズの違いや、PGP Desktop にある パスフレーズの品質バーについて説明します。また、強力なパスフレーズを作成 するためのいくつかのガイドラインも記載しています。 この章の内容 パスワードまたはパスフレーズの使用の選択....................................... 325 パスフレーズの品質バー ....................................................................... 326 強力なパスフレーズの作成.................................................................... 327 What if You Forget Your Passphrase? ................................................... 329 パスワードまたはパスフレーズの使用の選択 パスワードとパスフレーズのどちらを使用するかは、保護する内容によって決め るとよいでしょう。情報の価値が高いほど、保護も強化する必要があります。 325 パスワードおよびパスフレーズの使用 PGP Desktop for Windows ほとんどの Word 文書はまったくセキュリティ保護されていませんが、それは、 そのような手間を掛けるほど重要な内容ではないからです。銀行口座にオンライ ンでアクセスする際に、一部の銀行では 4 桁の PIN (暗証) 番号しか必要としませ んが、口座の金額によっては、きわめてレベルの低いセキュリティ保護だと言え ます。また、それほど重要でない日常的な通信には、Hotmail などの無料の電子 メール アカウントが使用されることがありますが、機密度が低ければ、単純な パスワードでも十分です。一方、製品、顧客、財務などに関する重要な情報の送 受信には、通常より高レベルのセキュリティを備えた会社の電子メール アカウ ントが使用されるのが普通です。 PGP Desktop では、PGP 鍵ペアと PGP 仮想ディスク ボリュームの両方に対し てパスフレーズを作成しますが、PGP 鍵ペアのパスフレーズが脆弱だと、秘密鍵 ファイルに物理的にアクセスできた攻撃者は、パスフレーズさえ推測できれば、 メッセージを読んだり本人になりすましてメッセージを送信したりできます。 パスフレーズの品質バー PGP Desktop でパスフレーズを作成すると、作成しているパスフレーズの強度に 関する基本ガイドラインが、パスフレーズの品質バーに表示されます。この強度 はあくまで目安ですが、文字数だけで判断するより信頼性があります。 一般的に、パスフレーズの品質バーが長いほどパスフレーズの強度は高くなりま す。このバーの長さは実際には何を意味しているのでしょうか。 パスフレーズの品質バーは、入力されたパスフレーズの無作為性の量 (エントロ ピー) を真の 128 ビット ランダム文字列 (AES128 鍵と同量のエントロピー) と 比較したものです。これは、128 ビットのエントロピーと呼ばれます。 エントロピーとは、パスワードまたは鍵の解読の難しさを表す測定単位です。 つまり、パスフレーズの品質バーの約半分の長さに相当するパスフレーズのエン トロピーは、およそ 64 ビットです。また、品質バーが最大値を示すパスフレー ズのエントロピーはおよそ 128 ビットです。 それでは、128 ビットのエントロピーの強度とはどの程度なのでしょうか。1990 年代後半、あらゆる可能性の鍵値を試すことによって DES 鍵を数時間で突き止 める、特殊な「DES クラッカー」コンピューターが構築されました。 DES 鍵 1 つを 1 秒で突き止めるコンピューターを構築したと仮定すると (このコ ンピューターは 1 秒あたり 255 個の鍵を試すことができることになります)、こ のコンピューターが 128 ビットの AES 鍵を 1 つ探り当てるまでに約 149 兆年か かります。ちなみに、宇宙が誕生してからまだ 200 億年しか経っていないと言わ れていますので、実際には鍵を突き止めることはできないと言っても過言ではな いでしょう。 次に、各文字のエントロピーはどのように測定されるのでしょうか。選択肢 (こ の場合は文字の種類) が大きいほど、選択された文字に割り当てられるエントロ ピーは大きくなります。 326 パスワードおよびパスフレーズの使用 PGP Desktop for Windows たとえば、数字を使った PIN では、0 ~ 9 の数字、つまり合計 10 文字からしか 選択できません。この場合の文字の種類はかなり少ないので、この中から選択さ れた文字のエントロピーも比較的低くなります。 英語バージョンの PGP Desktop を使用する場合、パスフレーズに選択できる文 字はこれとは異なります。この場合は、3 とおりの文字セット、つまり、大文字 と小文字 (計 52 文字)、0 ~ 9 の数字 (10 文字)、標準キーボードに備わった句 読点文字 (32 文字) を使用してパラフレーズを作成できます。 PGP Desktop で文字を入力すると、それがどの文字セットに属するかに基づいて エントロピー値が自動的に決定され、その値がパスフレーズの品質バーに適用さ れます。 文字セットが大きいほど各文字のエントロピーも大きくなるのは、英語以外の言 語でも同じです。そのため、アルファベットより多いアジアやアラブ圏の文字セ ットを使用すると、選択された文字のエントロピーの量はそれに呼応して大きく なり、パスフレーズの品質バーが最大値になりやすいのです。 強力なパスフレーズの作成 パスフレーズは、使い勝手と強度をバランス良く兼ね備えたものを作成するのが 理想的です。大文字、小文字、数字、句読点を組み合わせた長いものを作成する と、パスフレーズとしては強力になりますが、覚えにくくなるという欠点があり ます。 覚えにくいパスフレーズは書き留められることが多い、という研究報告があり、 それでは強力なパスフレーズを作成しても役に立ちません。書き留めないと覚え られないかすぐに忘れてしまうような長いパスフレーズを作成するよりも、短く ても推測されにくいものを作成した方が賢明です。 強力なパスフレーズを作成するには、複数の単語からなるフレーズを選び、それ を文字単位に短縮するという方法を利用するとよいでしょう。たとえば、次のフ レーズを考えてみましょう。 My brother and I are greater together than apart. このフレーズから各単語の頭文字をとると、次のパスフレーズができます。 Mb&1a>ttA. このパスフレーズは、大文字と小文字、数字、句読点を組み合わせた 10 文字か ら成ります。10 文字のパスフレーズは、比較的短いと言えます。10 文字では十 分でないと感じる場合は、同じ方法でもう 1 つ別のパスフレーズを作成し 2 つの パスフレーズをつなげて使用するか、初めから長いフレーズを選択してパスフレ ーズを作成するとよいでしょう。 また、句読点と大文字/小文字を使用した単純なパスフレーズを作成するのも効果 的です。次に、エントリの例を示します。 Edited by John Doe (not John Doe, Editor) 327 パスワードおよびパスフレーズの使用 PGP Desktop for Windows このパスフレーズは長すぎることもなく、複雑でもないうえ、ある程度の強度も 持っています。なお、お気に入りの本からの引用を使用するようなときは、その 本を紛失しないように注意してください。 PGP Desktop でパスフレーズを作成する際には、スペースも含め、最高 255 文 字まで使用できます。 パスフレーズの強度を上げる方法として、上記以外に、短い一般的な単語を複数 つなげる方法もあります。ダイスウェア (Diceware™) と呼ばれるこの方法では、 7,776 個の短い英単語、略語、覚えやすい文字列で構成される、ダイスウェア単 語リストという特殊なリストから、サイコロを使って無作為に単語が選択されま す。こうして選択した単語を十分な数だけつなげると、推測されにくい強力なパ スフレーズを作成できます。ダイスウェアの FAQ によると、10 語からなるダイ スウェア パスフレーズでは 128 ビットのエントロピーを実現することが可能で す。 ダイスウェアの詳細については、ダイスウェア パスフレーズのホーム ページ 『http://world.std.com/~reinhold/diceware.html』を参照してください。 パスフレーズの作成時に考慮すべき点は、次のとおりです。 長年記憶に残っているフレーズを使用してください。そのようなフレーズは、 忘れる可能性が低いためです。 パスフレーズは 8 文字以上で指定してください。長さは強力なパスフレーズ の最も重要な要件ではありませんが、短くするよりは安全です。 大文字と小文字、数字、句読点を組み合わせて使用してください。 注意 :できるだけASCII文字だけを使用してください。パスフレーズでは 「§」などの一部の特殊文字がサポートされていないので、このことは国際 キーボードを使用する際は特に重要です。 パスフレーズを定期的に変更してください (目安としては 3 か月に一度)。パ スフレーズは同じものを長く使用するほど、攻撃者に推測されてしまう確率 が高まります。 パスフレーズの作成時に避けたいことは、次のとおりです。 パスフレーズを書き留めるのは避けてください。 パスフレーズは他人に教えないでください。 パスフレーズを入力しているところをだれにも見られないように気をつけ てください。 「password」または「passphrase」を使用することは厳禁です。 "abcdefgh"、"12345678"、"qwertyui"、"88888888"、"AAAAAAAA" などのパ ターンを使用しないでください。 一般的な単語を使用しないでください。熟練した攻撃者のほとんどは通常、 一般的な単語を集めたパスワード解読辞書を使用しています。また、一般的 な単語 2 つの組み合わせ、複数形、先頭文字だけ大文字にしたものなども使 用を避けてください。 328 パスワードおよびパスフレーズの使用 PGP Desktop for Windows 自分に関連した数字を使用しないでください。この数字が自分以外のだれか に知られていると、攻撃者にそれを見破られるおそれがあります。生年月日、 電話番号、社会保障番号、住所などを使用しないでください。 名前は使用しないでください。たとえば、人の名、架空のキャラクタの名前、 ペットの名前、昨冬に休暇で訪れた場所、自分のログイン名、勤め先の名前、 好きなチームの名前、体の部位、本の題名、特に聖書などは避けてください。 上記の単語を逆さに並べたり、前後に 1 桁の数字を付けただけのパスフレー ズも使用しないでください。 What if You Forget Your Passphrase? If you forget your passphrase, you will never again be able to decrypt any information encrypted to your key. You can, however, reconstruct your key if your PGP administrator has implemented a key restoration policy for your company. For more information, see PGP Key Reconstruction 『ページ : 80の "PGP Universal Serverによる鍵の復元"参照先 : , ページ : Error! Bookmark not defined.の"If You Lost Your Key or Passphrase"』 and contact your PGP administrator. 329 C PGP Universal Server を介 しての PGP Desktop の使い 方 PGP Universal Serverを導入すると社内全体のセキュリティ対策として、PGP管 理者が設定するポリシーに基づき、電子メール メッセージを自動的かつ (エンド ユーザーに対して) 透過的に保護できるようになります。またPGP管理者は、社 内のPGP Desktopの導入を管理する際にもPGP Universalを使用することができ ます。PGP Universal Serverの詳細については、「PGP Webサイト上のPGP Universal Server 『http://www.pgp.com/products/universal/index.html』」を参 照してください。 PGP Universal Server によって管理された環境で PGP Desktop を使用すると、立 証済み PGP 暗号化技術を各ユーザーのコンピューターでも活用できるほか、PGP Desktop の他のセキュリティ機能を利用できます。その他の主要なセキュリティ 機能には、PGP ディスク全体暗号化機能、PGP ジップ アーカイブ、および PGP 細断処理などがあります。 PGP Universal Server の管理環境で PGP Desktop を使用するには、PGP 管理者 からインストーラー アプリケーションを入手して、PGP Desktop をインストー ルする必要があります。 自宅用に購入した PGP Desktop のバージョンを使用しており、企業環境では使 用しない場合は、おそらくスタンドアロン バージョンを使用しているので、こ のセクションは適用されません。 注意 : 企業環境でPGP Desktopを使用しており、PGP管理者以外からPGP Desktopインストーラーを入手した場合は、そのPGP Desktopバージョンをイ ンストールまたは使用する前にPGP管理者に確認してください。 このセクションでは、PGP Universal Server が管理している電子メール ドメイン で PGP Desktop を使用する場合の違いについて説明します。 この章の内容 概要 ........................................................................................................ 332 PGP管理者の方へ .................................................................................. 333 PGP Universal Serverへの手動バインド................................................ 333 331 PGP Universal Server を介しての PGP Desktop の使い方 PGP Desktop for Windows 概要 PGP Desktop のインストーラーは、PGP 管理者が以下のいずれかの設定をすで に行っています。 ポリシー設定なし : あなたのPGP Desktopには、組み込まれている設定は一 切ありません。ライセンスでサポートされているすべての機能を使用できま す。 ポリシー設定の自動検出 : PGP Desktopは、インストーラーを作成したPGP Universal Serverに接続し、設定のダウンロードを行います。設定によって は、PGP Desktopを指定された方法で使用しなければならない可能性があり ます。 ポリシー設定のプリセット : PGP Desktopのコピーには、適切な設定が組み 込まれています。設定によっては、PGP Desktopを指定された方法で使用し なければならない可能性があります。 PGP Universal Server から設定を取り込んだ PGP Desktop では、指定された方法 で使用することが必要になる場合があります。たとえば、 PGP Desktop をインストールする際に、ブート ドライブに対するディスク 全体暗号化処理や PGP 仮想ディスク ボリュームの作成などを行う必要があ る場合があります。 PGP Desktop の一部の機能では、使用許可が必要になったり、特定の手順に 従わなければならないことがあります。たとえば、AIM インスタント メッ セージング セッションを必ず暗号化する、ファイルを削除するときに細断 処理が自動的に行われるなど、設定によってさまざまです。 PGP Desktop の一部の機能を使用できないことがあります。たとえば、従来 型の暗号化の使用や、自己復号化アーカイブ (SDA) の作成ができないよう な設定になっているかもしれません。 特定のメッセージング ポリシーに従うように要求されることがあります。 たとえば、一部の電子メール ドメインに対してメッセージの暗号化と署名 をつねに行わなければならないことがあります。 PGPメッセージングやPGP NetShareなどの特定の機能が無効になっている 場合や、Windowsシステムで [PGPディスク全体暗号化ブートガード] 画面 がカスタマイズされている場合があります。詳細については、「PGP Universal管理者による機能のカスタマイズ 『ページ : 5の"Features Customized by Your PGP Universal Server Administrator"参照先 : 』」を参 照してください。 PGP Universal Server の管理環境で管理可能な PGP Desktop の機能については、 このユーザー ガイドを参照してください。 332 PGP Universal Server を介しての PGP Desktop の使い方 PGP Desktop for Windows お使いの PGP Universal Server の管理環境下の PGP Desktop が、スタンドアロ ンの PGP Desktop とどのように異なるのかについては、PGP 管理者にお問い合 わせください。 PGP 管理者の方へ PGP Corporation は、組織内の一部あるいはすべてのユーザーへの PGP Desktop の導入を管理する PGP 管理者の方には、PGP Desktop ユーザーが各自の暗号鍵 を管理するクライアント鍵モードを使用することをお勧めします。 PGP 管理者が PGP Universal Server 上で PGP Desktop インストーラーを作成す るときに、PGP Desktop ユーザーが鍵を自分で管理するクライアント鍵モードか、 PGP Universal Server が鍵を管理するサーバー鍵モードのどちらかを指定するこ とができます。 これらの設定は、内部ユーザーのデフォルト ユーザー グループ ポリシー設定 ([ユーザー グループ] > [ポリシー オプション] > [鍵の設定 : デフォルト]) の一 部である [鍵の設定 : デフォルト] 画面の [鍵管理] セクションで行うことがで きます。 PGP Desktop ユーザーに対して、クライアント鍵モードには次のようなメリット があります。 PGP Desktop 機能の多くは、ユーザーが各自の秘密鍵を管理しているときに のみ使用できます。そのため、PGP Universal Server がユーザーの秘密鍵を 管理している環境では、PGP Desktop ユーザーはそれらの機能を使用できな くなります。 管理者が PGP Desktop ユーザーに使用を許可できるオプションのうち、サ ーバー鍵モードではその一部が使用できなくなります。たとえば、PGP 仮想 ディスクの自動作成を行うことはできません。 PGP Universal Server への手動バインド PGP Desktopを使用してPGP Universal Serverに手動でバインドし (メッセージ ング サービスを表示する場合には、サーバー設定 をクリック)、登録する場合、 消費者ポリシーではなく電子メール ポリシーのみをダウンロードします。PGP Universal Server管理者は消費者ポリシー (鍵モード、ディスクの暗号化の強制な ど) で、その他のオプションを指定していることがあります。完全に消費者ポリ シーを管理して施行するには、PGP Universal Serverの「マーク付き」インスト ールを使用する必要があります。マーク付きのインストールがない場合に取得す るには、管理者に問い合わせてください。 333 PGP Universal Server を介しての PGP Desktop の使い方 PGP Desktop for Windows さらに、PGP Universal Serverに手動でバインドする場合、 PGPtrustedcerts.ascファイルはC:\Documents and Settings\AllUsers\Application Data\PGPCorporation\PGPには存在しません。手動 でPGP Universal Serverにバインドするには、このファイルを作成し、そのファ イルで組織の鍵のユーザー IDがPGPSTAMPにより指定されるサーバーに確実 に一致させる必要があります (ドメイン名およびIPアドレスが一致する必要があ ります)。 334 D Lotus Notes および MAPI を 使用したメッセージング このセクションでは、PGP Desktop と、Lotus Notes および MAPI の併用につい て説明します。 この章の内容 Lotus NotesおよびMAPIの互換性 ......................................................... 335 PGP DesktopとLotus Notesの併用 ....................................................... 336 PGP Universal Serverへのバインド ....................................................... 337 Notesアドレス ....................................................................................... 339 Notesクライアントの設定 ..................................................................... 339 Lotus Notesネイティブ暗号化の使用.................................................... 340 Lotus Notes および MAPI の互換性 「電子メール メッセージのセキュリティ保護 『ページ : 87の"電子メールをセ キュアにする"参照先 : 』」の説明にあるように、PGP Universalによって保護 された環境では、PGP DesktopメッセージングとLotus NotesまたはMAPI電子メ ール クライアントを併用できるように正しく設定しまうと、POPまたはIMAP電 子メール クライアントと併用するときと同じようにPGP Desktopメッセージン グを使用することができるようになります。ここには、第 4 章の説明を補足する 情報が記載されています。 Lotus Notesは、メッセージングやカレンダー設定、スケジュール設定の機能を 持つグループウェア アプリケーションです。Lotus Notes電子メール クライア ントについての情報は、『PGP Desktop for Windowsリリース ノート』を参照 してください。 MAPI (Messaging Application Programming Interface) は、Microsoft Exchange 環境でクライアント インターフェイスとして使用されるメッセージング アー キテクチャです。 PGP Desktop は Lotus Notes および MAPI と互換性があるため、電子メールに対 して PGP のメッセージング保護機能が使用できるほか、Lotus Notes と MAPI の各種機能も利用することができます。 335 Lotus Notes および MAPI を使用したメッセージング PGP Desktop for Windows PGP Desktop インストールでは、Lotus Notes のシングルユーザーとマルチユー ザーの両方のインストールに対応しています。 PGP Desktop と Lotus Notes の併用 このセクションでは、Lotus Notes 環境における PGP Desktop と PGP Universal の相互運用性の概要について説明します。 Lotus Notes 組織内の受信者への電子メールの送信 Lotus Notes 環境内では、PGP Desktop は SMTP と Notes の両方のアドレッシン グを使用できます。 Notes アドレスの使用 PGP Desktop を使用する Notes クライアントでは、鍵の検索に Notes アドレス を使用できます。Lotus Notes 電子メール クライアントが電子メールを送信する と、PGP Desktop クライアントがこの送信を認識し、その Notes アドレスに自 動的に鍵を追加します。この鍵は PGP Universal に同期されるので、Notes アド レスによる鍵の検索が容易になります。 すべてのPGP Universal Server鍵には、たとえばjosem@example.comのような SMTP電子メール アドレスが関連付けられています。内部のLotus Notes電子メ ール クライアント ユーザーの鍵に、SMTP電子メール アドレスのほか、 CN=josem/O=notes6@notes6 のようなNotesアドレスも添付することができま す。外部ユーザーとの連絡には常にSMTP電子メール アドレスが使用されるので、 外部ユーザーの鍵にNotesアドレスが添付されることはありません。PGP Universal Satellite for Windowsからは、SMTP電子メール アドレスかNotesアド レスのいずれかを指定して鍵が要求されるので、内部のLotus Notes電子メール クライアント ユーザーの鍵には、この両方のアドレスが添付されます。 PGP Desktop を使用する受信者に対する SMTP アドレスの使用 PGP Desktop を使用する Lotus Notes クライアントでは、組織内の鍵の検索に SMTP ID を使用できます。Lotus Notes を使用する一部の企業ではすべての内部 通信に SMTP ID を使用しますが、その他の企業は従業員の選択に任せています。 PGP Desktop はどちらの設定でも相互運用します。このシナリオでは通常、Lotus Notes で MIME を使用して電子メールが作成され、PGP Desktop プロキシで S/MIME が実行されます。 336 Lotus Notes および MAPI を使用したメッセージング PGP Desktop for Windows Lotus Notes 組織外の受信者への電子メールの送信 PGP Desktop を使用する Lotus Notes クライアントでは、組織外の電子メール ル ーティングおよび鍵の検索に SMTP ID が使用されます。PGP Desktop はどちら の設定でも相互運用します。このシナリオでは通常、Lotus Notes で MIME を使 用して電子メールが作成され、PGP Desktop プロキシで S/MIME または PGP/MIME が実行されます。受信者は電子メールを受信し、復号化します。 PGP Universal Server へのバインド Lotus NotesやMAPI電子メール クライアントはそれぞれDominoまたは Exchangeメール サーバーに直接接続する必要があるため、PGP Universalによっ て保護された環境でPGP Desktopと併用するには、特別な設定を要することがあ ります。 ここで説明する内容は、PGP Desktopをスタンドアロンのプログラムとして使用 している、つまりPGP Universal Serverによって管理されていない環境である場 合には当てはまりません。 Lotus Notes や MAPI 電子メール クライアントは、それぞれのメール サーバー との通信に加え、PGP Universal Server との接続も確立する必要があります。そ のため、各メール サーバーに関するポリシーのほかに、メール サーバーと PGP Universal Server の両方に適用されるポリシーをもう 1 つ別に作成しなければな りません。 このように、メール サーバーと PGP Universal Server が、協調しながら処理を 行うよう設定することをバインドと呼びます。バインドを行うと、電子メール ク ライアントは、各メール サーバーにアクセスしてメールの送受信をしながら、 PGP Universal Server からメッセージ送信相手の公開鍵とポリシーも取得できる ようになります。前述のように、適切な PGP Desktop メッセージング ポリシー を作成することにより、バインドが行われます。 バインドを行うのに必要な PGP Desktop メッセージング ポリシーは、プリバイ ンドと手動バインドという 2 つの方法で作成することができます。 プリバインド プリバインドでは、PGP 管理者が、バインドを行う際に必要な PGP Desktop メ ッセージング ポリシーを事前に作成して PGP Desktop のインストーラーを設定 します。そのため、PGP Desktop をインストールした時点で、適切なポリシーが すでに設定されています。 337 Lotus Notes および MAPI を使用したメッセージング PGP Desktop for Windows 手動バインド 手動バインドでは、PGP 管理者は、PGP Desktop のインストーラを作成する際 に、バインドを行う際に必要な PGP Desktop メッセージング ポリシーを設定し ません。そのため、ユーザーが自分でポリシーを作成する必要があります。 メール サーバーと PGP Universal Server を手動でバインドするには、まず PGP Universal Server に関するサービスを作成します。その後 PGP Universal Server への参照を含む別のサービスをメール サーバーに対して作成します。 PGP Desktop メッセージング ポリシーを使用し、メール サーバーと PGP Universal Server に対して手動バインドを行うには、次の操作を実行します。 1 PGP Desktop を開きます。 2 [PGP メッセージング] コントロール ボックスをクリックします。 3 既存のスタンドアロン サービスの下で、[Universal Server <none>] をク リックし、[新規作成] を選択します。 4 [新規PGP Universalサービス] メニューでUniversal Server名を入力し、[OK] をクリックします。 5 電子メール クライアントを使用して、自分のアドレスにメッセージを送信 します。MAPI ユーザーには、この操作は必要ない場合があります。必要な い場合は、手順 8 に進みます。 6 [操作はユーザーによって中止されました] ダイアログ ボックスで [OK] を クリックします。 7 受信箱にある「PGP Universal」からの電子メールを読みます。PGP 鍵生成 ウィザード ダイアログ ボックスが表示されます。 8 [次へ] をクリックします。 9 [鍵管理の選択] から [鍵モード] を選択し、[次へ] をクリックします。 10 PGP Desktopをスタンドアロン アプリケーションとして使用している場合 は、[鍵ソースの選択] で [PGP Desktopの鍵] を選択します。それ以外の場 合は、[新しい鍵] または [鍵のインポート] を選択します。 11 [次へ] をクリックします。 12 鍵セットを選択し、[次へ] をクリックします。 13 [完了] をクリックします。 338 Lotus Notes および MAPI を使用したメッセージング PGP Desktop for Windows Notes アドレス 通常、PGP Desktopの暗号鍵には、次の例のような、SMTP電子メール アドレス が少なくとも 1 つ関連付けられています。josem@example.com PGP Universal Server管理環境では、Lotus Notes電子メール クライアント ユー ザーのPGP Desktop鍵に、SMTP電子メール アドレスのほか、次の例ような Notesアドレスも添付することができます。CN=josem/O=notes6@notes6(PGP Desktopをスタンドアロンで使用しているユーザーの鍵にはNotesのIDはなく、 常にSMTP電子メール アドレスだけが使用されます。) PGP Universal Server の管理環境下で PGP Desktop と Lotus Notes 電子メール クライアントを併用するための詳細な情報については、PGP 管理者にお問い合わ せください。 Notes クライアントの設定 PGP Desktop を Lotus Notes 電子メール クライアントと併用するには、電子メ ール クライアントの場所レコードの [Home/Mail Server Setting (自宅/メール サーバーの設定)] フィールドで、[サーバー] タブに WINS ホストだけでなく、完 全な Notes 名 (host/orgName) も表示されているかどうか確認してください。 Lotus Notes でリッチ テキスト形式の電子メールを作成する場合、S/MIME 暗号 化がポリシーで要求されていても、PGP Desktop ではメッセージのセキュリティ 保護に S/MIME 暗号化が使用されないことに注意してください。代わりに、PGP パーティション暗号化方式が使用されます。 PGP Corporationは、現在の [保存場所] ドキュメントの [基本設定] タブにある [ インターネット メール アドレス] フィールドに値を入力することをお勧めしま す。OCNOTESでは、ユーザーのSMTP電子メール アドレスを判断する際に、こ のフィールドを使用します。このフィールドを空欄にすると、PGP Desktopは Domino Serverのグローバル ドメイン文書に基づいて、ユーザーのSMTP電子メ ール アドレスを作成します。 「アイランド モード」で操作中に PGP Desktop が一部またはすべての受信者の 鍵の検索に失敗すると、PGP Desktop はレプリケーターから自宅サーバーにメッ セージがプッシュされる際に鍵を検索することでメッセージの再暗号化を試み ます。 PGP Desktop が一部の受信者の鍵の検索に失敗し、Notes ネイティブの暗号化オ プションがオンになっている場合、PGP Desktop は Lotus Notes クライアントに 対して、暗号化に失敗した受信者へのメッセージを暗号化することを許可します。 339 Lotus Notes および MAPI を使用したメッセージング PGP Desktop for Windows Notes.ini 設定ファイル PGP Desktopは、notes.ini設定を更新して、次の 2 つのエントリを追加しま す。 NSF_HOOKS=nPgpOvid.dll EXTMGR_ADDINS=nPgpOvid.dll この 2 つのエントリは変更したり、削除したりしないでください。PGP Desktop は、起動時にnotes.iniファイルを毎回スキャンします。この 2 つのエントリ が見つからない場合は、これらのエントリが再び追加されます。 Lotus Notes ネイティブ暗号化の使用 Lotus Notes ネイティブ暗号化を使用すると、Notes ユーザーは Notes 鍵で暗号 化された内部電子メールを送信することができます。PGP Desktop が Notes ネ イティブ暗号化を使用するように設定されている場合、メッセージを作成する際 にチェックボックスを選択することで、内部ユーザー向けに機密情報を暗号化し て送信できます。すべての Lotus Notes ユーザーに Notes 鍵があります。 To (宛先): フィールドの電子メール アドレスがLotus Notes形式 (CN=Alice Cameron/O=Example Corp) に一致し、Notesネイティブ暗号化が有効な場合、 PGP DesktopはLotus Notesを使用して電子メールを暗号化して送信することを 認めます。To (宛先): フィールドの電子メール アドレスがSMTPアドレス (alicec@example.com) の場合、PGP Desktopは電子メールをPGP鍵で暗号化しま す。 Notesネイティブ暗号化は、PGP Universal Serverで管理されていない環境とスタ ンドアロン環境の両方で利用できます。スタンドアロン環境でNotesネイティブ 暗号化を有効にするには、「PGPサポート ナレッジベース記事 #1613 『https://support.pgp.com/?faq=1613』」を参照してください。 PGP Desktopは、署名と暗号化を行うオプションが選択されている場合、すべて の送信Lotus Notesメッセージに署名ボタンと暗号化ボタンのメッセージング ポリシーを適用します。これらのポリシーの詳細については、「セキュリティ ポ リシーの情報と例 『ページ : 111』」を参照してください。ポリシーがスタン ドアロン環境に存在しない場合、作成する必要があります。 Lotus Notes ネイティブ暗号化を使用するには 1 Lotus Notes でメッセージを作成します。 2 メッセージ ツールバーで [署名]、[暗号化] のボックスを選択します (テン プレートで利用できる場合)。そうでない場合、配信方法オプションを選択 し、セキュリティ オプション セクションで、[署名]、[暗号化] のボックス を選択します。 340 Lotus Notes および MAPI を使用したメッセージング PGP Desktop for Windows メモ : Notesネイティブ暗号化を使用して電子メールを送信するたびにこ れらのボックスを選択する必要があります。 3 メッセージを送信します。 メール ポリシーが暗号化に設定され、メール受信者がNotesユーザー の場合、メッセージがNotesネイティブ暗号化を使用して暗号化され、 送信されます。メッセージが処理され、Lotus Notesを使用して暗号化 されていることを確認するには、通知機能メッセージで [詳細] をクリ ックします。受信者がメッセージを開くと、PGP注釈は含まれていませ ん。 メール ポリシーが暗号化に設定され、メール受信者が SMTP アドレス の場合、PGP Desktop は PGP 鍵を検索し、PGP Desktop を使用してメ ッセージが暗号化され、送信されます。受信者がメッセージを開くと、 標準 PGP 注釈が含まれています。 メール ポリシーが暗号化に設定され、メール受信者がSMTPアドレス でLotus Notes Dominoサーバーに接続されている場合、Lotus Notesは SMTPアドレスをLotus Notesアドレスに分解しようとします。成功す ると、メッセージがNotesネイティブ暗号化を使用して送信されます。 メッセージが処理され、Lotus Notesを使用して暗号化されていること を確認するには、通知機能メッセージで [詳細] をクリックします。受 信者がメッセージを開くと、PGP注釈は含まれていません。 メール ポリシーが署名に設定され、Lotus Notesが送信者のNotes鍵で メッセージを署名します。Lotus NotesまたはPGP Desktopを使用した 暗号化は行われません。メッセージを署名するボックスが選択されて いない場合、PGP Desktopは送信者のPGP鍵を使用してメッセージを署 名します。 341 索引 [ N [スタート] メニュー - 35 [電源の瞬断に対する安全対策] オプション - 158 NetShare - See PGP NetShare Notes ID - See Lotus Notes 電子メール クラ イアント A P AES、PGP 仮想ディスクのアルゴリズム 217 Aladdin eToken Pro USB トークン - 153, 155, 158, 298 PGP BootGuard 画面 - 161, 167, 170, 171 PGP Desktop PGP Universal によって管理された環境 332 PGP トレイ アイコン - 31 SSL/TLS サポート - 122 アップグレード - 23 アンインストール - 26 インストール - 23 システム要件 - 21 セットアップ アシスタント - 26 ポリシーの説明 - 94 メイン画面 - 29, 30 説明 - 13 PGP Desktop のインストール - 21 PGP Desktop ログ - 39 PGP Desktop を別のコンピューターに移動 27 PGP Global Directory - 13, 53 PGP NetShare - 13, 229, See 保護されたフォ ルダー B BartPE、PGP WDE での使用 - 197 BootGuard - See PGP BootGuard 画面 bypass, PGP WDE SSO login - 176 C CAC - 288 CAST、PGP 仮想ディスクのアルゴリズム 217 CPU 使用率、暗号化中 - 158 F FIPS - 321 I IBM Lenovo Rescue and Recovery - 197 IM セッションの暗号化 - 87, 129, 135, PGP メッセージング See J JavaCards - 288 L Lotus Notes 電子メール クライアント - 335, 339, 340 M MAPI - 335 343 索引 PGP Desktop for Windows PGP WDE でのバイパス - 177 音声 - 170 使用される方法、特定 - 152 PGP Zip - 13, 263 アーカイブ、作成 - 264 アーカイブの暗号化 - 267, 269 アーカイブの編集 - 276 アーカイブを開く - 274, 276 アーカイブ後のファイルの細断処理 264 ファイルの抽出 - 276 ファイルまたはフォルダーの削除 - 276 ファイルまたはフォルダーの追加 - 276 自己復号型アーカイブ - 271, 275 署名のみ - 273 署名付きアーカイブの検証 - 278 詳細オプション、アーカイブの作成 264 変更内容の保存 - 276 PGP ディスク全体暗号化 - 13, 141 [Netshare] メニュー オプション - 261 [ファイル] メニュー オプション - 260 [編集] メニュー オプション - 261 Active Directory グループ - 251, 252 PGP Universal によって管理された環境 258 PGP 仮想ディスクまたは PGP WDE、使用 - 230 アプリケーション ベースの暗号化リスト - 236 オプション - 254 コーディネータ、設定 - 234 パスフレーズ、消去 - 254 ファイルまたはフォルダーのプロパティ - 257 フォルダー ステータス、確認 - 245 ブラックリストのファイル - 234, 235 ホワイトリストのフォルダー - 235 ユーザー - 246, 250, 251 ライセンス - 233 通知機能 - 38 破損、削除、または上書きされたファイ ルの使用 - 239 復号化バイパス アプリケーション - 236 別のフォルダーからのアクセス リストの インポート - 250 保護されたファイルのバックアップ 256 役割 - 232, 248 PGP NetShare における Active Directory グル ープ - 251, 252 PGP NetShare のコーディネータ - 234 PGP Universal - 80, 331 PGP Universal Server - 5, 13, 42, 53, 80, 81, 188, 258, 321, 331, 333, 336 PGP Universal サービス プロトコル (USP) 53 PGP WDE のリムーバブル ドライブ - 185, 186, 187 PGP WDE の言語サポート - 171 PGP Whole Disk Encryption セキュリティ確保のための対策 - 194 PGP Whole Disk Encryption での認証 - 152, 170, 177 344 索引 PGP Desktop for Windows セキュリティ確保のための対策 - 218 パスフレーズ、変更 - 214 バックアップ - 216 マウント - 203, 207 マウント解除 - 207, 208 暗号アルゴリズム - 217 維持 - 215 検索 - 207 交換 - 217 再暗号化 - 209 新規作成 - 203 代替ユーザー - 211 PGP 仮想ディスク ボリューム - 207, 208 PGP 仮想ディスク ボリュームのマウント 207 PGP 仮想ディスク ボリュームの自動マウン ト - 203 PGP 完全削除 - 13, 281 PGP Zip、使用 - 264 ファイル、完全に削除 - 283 空き領域の細断 - 284, 285 PGP 管理者 - 188, 331, 332 PGP 鍵 - See 鍵 鍵ペアの作成 - 42 PGP 鍵サーバー リスト - See 鍵サーバー PKCS-11 ライブラリ - 288 PKCS-12 X.509 証明書、インポート - 61 PGP BootGuard 画面 - 167, 170 PGP Universal Server、管理された - 188 アンインストール - 184 キーボード配列 - 171 サードパーティ アプリケーションとの互 換性 - 151 サポートされているディスクの種類 146 シングル サインオン、使用 - 152, 173, 175, 176 セキュリティ確保のための対策 - 194 ディスク、セキュリティの維持 - 176 ディスク、暗号化済みの使用 - 166 ディスクの暗号化 - 162 ディスクの種類、サポート - 146 ディスクの準備 - 144 ディスク暗号化時のオプション - 150, 154, 158 トークンを使用した認証 - 153, 155 パーティション - 154 パスフレーズ - 152, 161, 175, 180, 182 ユーザー、操作 - 178, 179, 180 ライセンス - 143 リカバリ ディスク、作成 - 191 リカバリ トークン - 189 リムーバブル ドライブ - 185, 187 暗号化オプション - 154, 158 暗号化されたディスクの再暗号化 - 181 暗号化されたディスクの復号化 - 193 暗号化時間、計算 - 150 暗号化中のディスク エラー - 162, 166 公開鍵認証 - 153 使用される暗号アルゴリズム - 147 自動バックアップ ソフトウェア - 184 通知機能 - 39 電源、暗号化中 - 150 認証オプション - 152, 177 PGP トレイ アイコン - 31 PGP メッセージング - 13, 87, 127 サービスとポリシー - 94 サービスの説明 - 94 PGP ログ - 39 PGP 仮想ディスク - 13, 201, 218 R Rescue and Recovery - See IBM Lenovo Rescue and Recovery S SSL/TLS サポート - 122 T TPM - See トラステッド プラットフォーム モジュール (TPM) 認証 Twofish、PGP 仮想ディスクのアルゴリズム - 217 U Unversal Server 345 See PGP Universal 索引 PGP Desktop for Windows USP - See PGP Universal サービス プロトコ ル (USP) PGP NetShare - 254, 314 インスタント メッセージング - 308, 312 ディスク - 316 プロキシ - 311 マスター鍵 - 307 メッセージング - 308 暗号化 - 154, 158 鍵 - 305 詳細 - 321 全般 - 303 通知機能 - 314 オフライン ポリシー - 37, 90, 93, 95 W Windows Preinstallation Environment、PGP WDE での使用 - 197 Windows エクスプローラー - 33 Windows ログイン ダイアログ ボックス、 表示 - 176 WINS ホスト - 339 X X.509 証明書 - 61 か あ キーボード ホット キー - 321 キーボード、PGP WDE でサポートされてい る - 147, 171 クライアント鍵モード (CKM) - 124 コントロール ボックス - 30 アーカイブ - 263 開く - 274, 276 作成 - 264 自己復号型 - 271, 275 署名のみ - 273 署名済みの検証 - 278 詳細オプション - 264 編集 - 276 アクセス リスト、PGP NetShare 内でのイン ポート - 250 アップグレード - 23, 25 アプリケーション ウィンドウ - 30 アプリケーション、暗号化を強制またはバ イパス - 236 アンインストール - 26, 184 インスタント メッセージング - 129 オプション - 312 セッションの暗号化 - 131 インポート、秘密鍵と証明書 - 61 エクスポート スマート カードからの鍵 - 294 鍵をファイルへ - 50 オプション - 301 さ サードパーティ ソフトウェア、互換性 151, 184 サーバー クライアント鍵モード (SCKM) 124 サーバー鍵モード (SKM) - 124 サービス - 94 サービス、メッセージング - 94, 95, 97, 101 サブスクリプション ライセンス - 6 サブ鍵 - 70 346 索引 PGP Desktop for Windows アイコン - 70 サイズ - 70 サイズの設定 - 72 プロパティ - 70 暗号化 - 72 暗号化と署名 - 72 確認 - 72 記号 - 70 個別 - 70 削除 - 75 失効 - 74 署名 - 72 新規作成 - 72 操作 - 70 表示 - 70 有効期限 - 70, 72 有効性 - 70 サブ鍵の表示 - 70 サポート、お問い合わせ - 11 システム要件 - 21, 146, 151, 155, 158 ショートカット メニュー、PGP Netshare 257 シングル サインオン - 152, 173 PGP WDE でのログイン - 175 PGP WDE での使用 - 173, 174, 175 バイパス、PGP WDE - 176 パスフレーズ、変更 - 175, 180 スタンバイ、PGP WDE - 195 スマート カード - 15, 287 JavaCards - 288 PKCS-11 - 288 カード、PGP WDE でサポートされている - 157 パーソナライゼーション - 288 パスフレーズの変更 - 294 プロパティ - 291 リーダー、PGP WDE でサポートされてい る - 156 鍵の抹消 - 296 鍵ペア、新規作成 - 292 鍵ペアのコピー - 294 公開鍵のコピー - 294 認証、PGP BootGuard で - 156 スリープ、Mac OS X と PGP WDE - 196 セキュアなインスタント メッセージング (IM) - 129 セキュリティ確保のための対策 - 194, 218 セットアップ アシスタント - 26 た タスク、スケジュール設定された空き領域 抹消 - 285 ディスク PGP WDE でサポートされている - 146 オプション - 316 スケジュール設定された抹消 - 285 リカバリ、作成 - 191 リムーバブル - 185, 187 暗号化 - 160, 162 暗号化されたディスクへのユーザーの追 加 - 178 暗号化済みの使用 - 166 暗号化中のエラー - 166 ディスクの読み取り/書き込みエラー - 162 ディスク通知機能 - 38 データ リカバリ - 191 デジタル署名 - 48, 51, 64, 71, 85, 267, 269, 273 デフォルトのポリシー - 94, 111, 112, 113, 114 トークン - 155, 287 347 索引 PGP Desktop for Windows PGP NetShare のブラックリスト - 234 ファイル、完全に削除 - 283 プロパティ、PGP NetShare - 257 公開鍵のエクスポート - 50 保護されたフォルダーで使用 - 242, 243, 244 保護フォルダーの外にあるファイルの保 護 - 254 ファイル、完全に削除 - 283 ファイルの細断処理 - 281 ファイルの抹消 - See ファイルの細断処理, See 空き領域の細断 フィンガープリント、デジタルの検証 - 66 フォルダー、PGP NetShare での保護 - 230 フォルダーの抹消 - 283, 285 フォレンジック、データのリカバリ - 191 プライマリ名、鍵 - 60, 61 ブラックリストに記載された、PGP NetShare - 234, 236 プロパティ - 58, 259, 291 ポリシー - 94 デフォルトのポリシー - See デフォルト のポリシー メッセージングの作成 - 104 メッセージングの例 - 111 削除 - 121 順序変更 - 122 ホワイトリストに記載された、PGP NetShare - 235, 236 PGP WDE でサポートされているトークン - 157 PGP WDE での認証 - 153 PGP Whole Disk Encryption、使用 - 153, 155 コピー - 294 プロパティ - 291 鍵の抹消 - 296 鍵ペアの新規作成 - 292 ドライブ、PGP WDE のリムーバブル - 187 トラブルシューティング - 10, 102, 166 トレイ アイコン - See PGP トレイ アイコ ン は パーティション、暗号化 - 146, 154, 160, 177 バイオメトリック単語リスト、説明 - 58 パスフレーズ - 45, 218, 325 PGP WDE でサポートされている文字 161 PGP WDE での認証 - 152 PGP Zip での認証 - 269 PGP ディスク全体暗号化 - 152 PGP 仮想ディスクの代替ユーザーの追加 - 178 オプション - 303 キャッシュの消去 - 254 シングル サインオン - 152 強力、作成 - 327 設定 - 42 代替、追加 - 178, 211 変更 - 63, 175, 180, 214, 226, 294 忘れた - 80, 329 パスフレーズの品質バー - 326 パスフレーズの変更 - 63 パスワード - See パスフレーズ バックアップ ソフトウェア、使用 - 184, 256 ファイル ま マスター鍵オプション - 55, 307 メーリング リスト ポリシー - 111, 112, 113, 114, 116 メッセージング - 94 348 索引 PGP Desktop for Windows [最大 CPU 使用率] オプション - 150, 158 [電源の瞬断に対する安全対策] オプショ ン - 150, 158 PGP WDE からのユーザーの削除 - 179 PGP WDE でのパーティション - 154 PGP WDE で暗号化されたディスクの使用 - 166, 188 PGP WDE のオプション - 154 PGP WDE の所要時間の計算 - 150 PGP Zip のパスフレーズ - 269 PGP Zip の受信者鍵 - 267 インスタント メッセージング セッショ ン - 131 ディスクまたはパーティション - 160, 162 ディスクまたはパーティションの再復号 化 - 181 パイロット テスト - 151 ユーザーの追加 - 178 使用されるアルゴリズム - 147, 217 実行中のディスク エラー - 162, 166 初期の時間の短縮 - 150, 158 暗号化されたドライブからのデータの回復 - 191 暗号化されたリムーバブル ディスクの再フ ォーマット - 187 永久ライセンス - 6 音、PGP WDE 認証中 - 170 音声、PGP WDE 認証 - 170 仮想ディスク - See PGP 仮想ディスク 仮想ディスクの交換 - 217 仮想ディスクの配布 - 217 概要、PGP Desktop - 1 管理されたユーザー - 5 管理されていないユーザー - 5 技術サポート - 11 技術サポート、お問い合わせ - 11 休止 - 195, 219, See スリープ、Mac OS X と PGP WDE 共通アクセス カード (CAC) - 288 強力なパスフレーズ - 327 空き領域の完全削除 - See 空き領域の細断 空き領域の細断 - 13, 283, 284, 285 Lotus Notes - 335 MAPI - 335 オプション - 308 トラブルシューティング - 102 メッセージング ログ - 127 削除 - 101 新規作成 - 97 通知機能 - 35 複数 - 101 無効化と有効化 - 101 や ユーザー - 211, 246 PGP NetShare、アクセス リストのインポ ート - 250 PGP Whole Disk Encryption、追加または 削除 - 178, 179 保護されたフォルダー、承認された 230, 246, 247, 249 ユーザー インターフェイス、メイン ウィ ンドウ - 30 ユーザー名、鍵 - 60 ら ライセンス - 6, 7, 26, 143, 233 リカバリ ディスク、PGP WDE での作成 191 リカバリ トークン - 189 ローカル ポリシー - See オフライン ポリ シー ローカル ユーザー - 174, 181 ログ、メッセージング - 39, 127 ログイン、PGP BootGuard 画面 - 167 ロックアウトされた、PGP BootGuard 画面 170 わ ワイルドカード、ポリシー - 109 漢字 圧縮、PGP 仮想ディスク - 209 暗号 - 17 暗号化 349 索引 PGP Desktop for Windows 鍵の復元 - 80, See 鍵の再構築 鍵の分割 - 78 鍵の保護 - 85 鍵ペア - 15 スマート カード - 292, 294 作成 - 42 鍵ペアの生成 - 42, 292 鍵モード - 124, 321 鍵モードのリセット - 124, 321 鍵リング - 41, 46, 64 個別の署名サブ鍵 - 13 公開鍵 - 15 PGP WDE での認証 - 153 PGP ディスク全体暗号化 - 153 スマート カードからのコピー - 294 その他の取得 - 51 ファイルへのエクスポート - 50 ファイルへの保存 - 50 検証 - 66 鍵サーバーの検索 - 52 鍵サーバーへの送信 - 48 鍵サーバーへの送信の利点 - 48 署名 - 67 他のユーザーへの配布 - 48 電子メール メッセージ、添付 - 50 電子メール メッセージからのコピー 53 無効化と有効化 - 65 再暗号化 - 181, 253 作成 - 42, 97, 104, 203, 264, 327 PGP Zip アーカイブ - 264 PGP 仮想ディスク ボリューム - 203 パスフレーズ、強力 - 327 メッセージング サービス - 97 メッセージング ポリシー - 104 鍵ペア - 42, 292 削除 - 59, 75, 296 空き領域の細断処理のスケジュール設定 285 警告 - See 通知機能 鍵 - 41, 57 インポート - 61 エクスポート - 50, 294 オプション - 305 サブ鍵 - 70 プロパティ - 58 マスター鍵 - 55 検証のための信頼度指定 - 69 鍵サーバー、アップロード - 50 鍵リングからの削除 - 64 公開の検証 - 66 公開鍵のファイルへの保存 - 50 作成 - 42 失効 - 77, 78 写真 ID の置換 - 59 署名 - 67, 69 電子メール、添付 - 50 配布、公開 - 48 表示 - 41 復元 - 80 複数のユーザー名と電子メール アドレス - 60 分割 - 78, 79 分割鍵の再結合 - 78, 80 紛失 - 80 保護 - 85 無効化 - 65 有効化 - 65 鍵 ID - 58 鍵サーバー - 15, 53 リスト - 305 検索 - 52 鍵の失効を知らせるために使用 - 78 公開鍵の送信 - 48 別のユーザーの公開鍵の取得 - 52 鍵サーバーの検索 - 52 鍵と署名の失効 - 69, 74, 78 鍵のバックアップ - 47 鍵の検証 - 69 鍵の再構築 - 47, 80, 182 350 索引 PGP Desktop for Windows オプション - 311 サービスとポリシー - 94 セキュリティ保護 - 87 メッセージング ログ - 127 鍵モード - 124 公開鍵のコピー - 53 公開鍵の添付 - 50 通知機能 - 35 複数のアカウント - 101 電子メール サーバー、「メッセージング サ ービス」を参照 - See メッセージング 読み取り/書き込みエラー - 162 読み取り専用のディスクまたはパーティシ ョンの情報 - 177 秘密鍵 - 15, 42, 45, 61 評価ライセンス - 6 復号化 - 193 複数のメッセージング サービス - 101 分割鍵の再結合 - 78, 80 文字、PGP WDE でサポートされている 161 保護されたフォルダー - 237, 259, See 保護 されたフォルダー PGP 仮想ディスク - 215 サブ鍵 - 75 ファイル、完全に削除 - 283 メッセージング ポリシー - 121 ユーザー - 212, 249 ユーザー ID - 64 鍵 - 64, 296 公開鍵からの署名 - 69 使用する基本ステップ - 17 指定された失効権限者 - 77 自己復号型アーカイブ - 271, 275 自動バックアップ ソフトウェア、PGP WDE ディスクに対して使用 - 184 失効権限者、鍵 - 77 写真 ID、鍵 - 59 受信電子メール - 88 受信電子メールの通知機能 - 36 署名 - 64 PGP Zip アーカイブ - 273, 276 鍵 - 64, 67 公開鍵 - 67 署名、鍵からの削除 - 64, 69 署名付き PGP Zip アーカイブの検証 - 278 承認されたユーザー、PGP NetShare 内 - 230, 246 信頼度、鍵検証のための指定 - 69 信頼度指定 - 69 全般オプション - 303 送信電子メール - 90 送信電子メールの通知機能 - 37 単語リスト、バイオメトリック - 58 通知機能 - 35, 319 インスタント メッセージング - 38 説明 - 35 電子メール - 87 351 索引 PGP Desktop for Windows Active Directory グループ - 251 アクセス リスト、インポート - 250 サブフォルダー - 244 ステータス - 245 ファイル、外にあるファイルの使用 254 ファイル、使用 - 242, 244 ファイルとフォルダーのバックアップ 256 ファイルの表示 - 244 ブラックリストのファイル - 234 プロパティ - 259 ユーザー、保護されたフォルダー - 233, 246, 250, 251 ライセンス - 233 ロック解除 - 243 再暗号化 - 253 作成 - 239 削除 - 252 場所、特定 - 238 保護フォルダーのロック解除 - 243 保護鍵モード (GKM) - 124 忘れたパスフレーズ - 80 抹消、スマート カードからの鍵 - 296 役割、PGP NetShare - 232, 248 予備復号鍵 (ADK) - 75 用語 - 5, 13, 16, 94, 124, 230 352
© Copyright 2024 Paperzz