第 3 章 : 機密性の高いデータの保護

公開日: 2007年2月6日

世界中で毎年、適切な保護機能のない数十万台ものコンピュータが行方不明になったり、盗まれたり、不適切に廃棄されたりしています。2006 年度に行われた CSI/FBI のコンピュータ犯罪およびセキュリティ調査によると、データの損失に関連するコストは前年度よりも 65 パーセント増加しています。

マイクロソフトが Windows Vista® に搭載する機能としてユーザーから挙がっていた要望の中でも最も多かったのは、データの盗難や漏洩のリスクからコンピュータを保護する有効なテクノロジとサービスでした。このような要望が挙がるのは、悪意のあるユーザーがクライアントコンピュータで異なるオペレーティングシステムを実行するとか、ディスクドライブを別のコンピュータに移設するとか、その他のオフラインの攻撃方法を用いれば、紛失または盗難に遭ったコンピュータのデータを表示できるからです。消費者情報やプライバシーを保護する最近の法律や政府の規制によって、多くの場合、データをセキュリティで保護することは法的な義務にもなっています。

このようなセキュリティ上の理由により、マイクロソフトは組織がクライアントコンピュータにあるデータをより適切に保護できるように、新しい強力な機能とサービスを開発しました。この章で説明する機能とサービスは、エンタープライズクライアント環境において Windows Vista を実行しているクライアントコンピュータのデータを保護するように設計されています。これらの機能の構成は、特定の要件や環境によって異なります。この章では、データ保護のニーズに適切に対応するため、次の機能とサービスを構成する方法を特定する設計プロセスを紹介します。

BitLocker™ ドライブ暗号化
暗号化ファイルシステム (EFS)
Rights Management Services (RMS)
デバイス管理

BitLocker、EFS、RMS、およびデバイス管理を活用すれば、企業の機密データを保護するのに役立ちます。ただし、それぞれのテクノロジ/保護方法で、データをセキュリティで保護するための特有の機能が実行されます。実際、これらのテクノロジ/保護方法はどれも、データ保護の機能を相互に補完するようになっています。企業の全体的なセキュリティ戦略に基づいて使用することを強くお勧めします。組織のセキュリティ上のニーズに応じて、各テクノロジを個別に使用したり、併用したりすることができます。次の表は、企業で発生するさまざまな状況に対して、保護対策に使用できるテクノロジ/保護方法を示したものです。

表 3.1 Windows Vista のデータ保護テクノロジの比較

シナリオ

BitLocker

EFS

RMS

デバイス管理

ラップトップのデータ保護

支社のサーバーのデータ保護

ローカルでのシングルユーザーファイル/フォルダ保護

デスクトップのデータ保護

共有コンピュータのファイル/フォルダ保護

リモートのファイル/フォルダ保護

信頼されていないネットワークでの管理者の保護

リモートでのドキュメントポリシーの強制適用

転送時のコンテンツ保護

共同作業時のコンテンツ保護

データ盗難に対する保護

トピック

BitLocker ドライブ暗号化
 暗号化ファイルシステム
 Rights Management Services
デバイス管理
 関連情報

BitLocker ドライブ暗号化

BitLocker ドライブ暗号化は、クライアントコンピュータのデータ保護に役立ちます。Windows のボリューム全体が暗号化されるため、承認されていないユーザーが Windows のファイル保護やシステム保護を解除したり、セキュリティで保護されたドライブの情報をオフラインで表示したりできなくなります。BitLocker は、起動プロセスの早い段階でクライアントコンピュータのシステムとハードウェアの完全性をチェックします。システムファイルやデータに対して悪意のある操作が試みられていると判断される場合、クライアントコンピュータの起動プロセスは完了しません。

犯罪者は別のオペレーティングシステムから起動したりソフトウェア攻撃ツールを実行するなどの方法で、Windows Vista のファイル保護やシステム保護を迂回しようとしたり、保護されたドライブのファイルをオフラインで表示させようとしますが、BitLocker を使用すればこういった試みを阻止することができます。

BitLocker ドライブ暗号化を利用すると、ユーザーが暗証番号 (PIN) を入力するか、適切な解読キーが保存された USB フラッシュドライブを挿入するまで、通常の起動手順をロックすることができます。最大限の保護を実現できるのは、コンピュータでトラステッドプラットフォームモジュール (TPM 1.2) を使用してユーザーデータを保護する場合で、システムがオフラインになっている間は、Windows Vista を実行しているクライアントコンピュータを改変できなくなります。TPM テクノロジの詳細については、Trusted Computing Group の Web サイト (英語) にある仕様と資料を参照してください。TPM を使用できない場合でも BitLocker でデータを保護することはできますが、システムの完全性は検証されません。

BitLocker は、クライアントコンピュータ用の Windows Vista Enterprise エディションと Ultimate エディションで利用できます。

注 : BitLocker には Windows パーティションを保護する機能が備わっていますが、これは EFS に代わる機能ではありません。BitLocker では Windows パーティションの外部に保存されたデータは暗号化されませんが、Windows パーティション内部の EFS キーが暗号化されるので、EFS のセキュリティ層を追加する役割を果たします。

リスク評価

一般的にモバイルコンピュータは、紛失や盗難のリスクが高い安全とは言えない環境にさらされています。悪意のあるユーザーがコンピュータ自体を手に入れた場合、システムやデータを保護する多くのセキュリティ機能を迂回することができます。共有環境または公開環境にあるデスクトップコンピュータも、大きなリスクにさらされています。BitLocker の主な目的は、紛失または盗難にあったモバイルコンピュータからデータが盗まれないようにすることです。

攻撃者がコンピュータに物理的にアクセスできる場合、次のような危険な操作が行われる可能性があります。

攻撃者は Windows Vista にログオンしてファイルをコピーできます。
攻撃者はクライアントコンピュータを再起動して、別のオペレーティングシステムで次の操作を実行できます。
- ファイル名の表示。
- ファイルのコピー。
- 休止状態のファイルまたはページングファイルの内容を読み取り、処理中のドキュメントのプレーンテキストを検出する。
- 休止状態のファイルの内容を読み取り、ソフトウェアの秘密キーのプレーンテキストを検出する。

EFS でファイルを暗号化している場合でも、ユーザーが不注意にファイルを暗号化された場所から暗号化されていない場所へ移動またはコピーしていることもあります。暗号化されていない場所では、ファイル情報はプレーンテキストのままで放置されています。また、指示を受けていない IT スタッフが、処理中のファイルのバックアップが保存されている隠しフォルダを暗号化していない場合もあります。承認されていない第三者がシステムまたはブートファイルの改変や変更を行うなど、運用上のリスクもあります。このような改変が行われると、通常のシステム運用が妨げられます。

リスクの軽減

こういったリスクを軽減するためには、コンピュータの起動手順を保護し、承認されている場合にのみシステムが起動されるようにする必要があります。さらに、オペレーティングシステムとデータファイルも保護する必要があります。

リスク軽減の考慮事項

BitLocker を使用すると、上の「リスク評価」の項で定義したリスクを軽減することができます。ただし、BitLocker を使用する前に次の要件を考慮して、このデータ保護機能の最善の使用方法を検討することをお勧めします。

最適の構成で BitLocker を使用するには、クライアントコンピュータのマザーボードに TPM 1.2 チップが搭載されており、チップに Trusted Computing Group 準拠の BIOS が実装されている必要があります。さらに認証を追加する場合は、スタートアップキーがオプションで必要となります。スタートアップキーは、追加的な物理キー (読み取り可能なキーが保存された USB フラッシュドライブ) か、またはユーザーが設定する PIN 値のいずれかになります。また、強力なユーザーログオン/パスワードプロトコルも必要です。
BitLocker を使用するには、コンピュータのハードドライブで適切にパーティションを作成する必要があります。BitLocker には、2 つの NTFS ドライブボリュームが必要です。1 つはシステムボリューム、もう 1 つはオペレーティングシステムボリュームとなります。システムボリュームのパーティションは、最低でも 1.5 GB 必要です。
BitLocker を外部キー認証を使用しない構成にした場合、ハードウェアベースの攻撃に対して脆弱になります。
BitLocker で USB キーまたは PIN を使用する場合、キーを紛失するとか PIN を忘れた場合の対応手順を確立しておく必要があります。
BitLocker を使用するとシステムのパフォーマンスが多少低下しますが、一般的にはユーザーが気づかない程度の低下です。ただし、サーバーなどパフォーマンスが重要なシステムの場合、構成を徹底的にテストして、BitLocker の負荷がパフォーマンスに大きな影響を与えないことを確認する必要があります。
コンピュータベンダーによっては、TPM 管理ツールを使用して、構築プロセス中に TPM デバイスの状態や BIOS 管理者のパスワードを手動で構成する必要があります。この場合、完全に自動化された (つまり、スクリプトによる) システム展開やアップグレードを実行するのは不可能になります。
TPM デバイスを使用するには、コンピュータベンダーが提供する EK (Endorsement Key) 資格情報が必要です。この資格情報は、システムが引き渡された後で付加価値再販業者 (VAR) または IT サポートスタッフから提供される場合もあります。EK は安全に保管する必要があり、コンピュータの実行時には利用状況を把握する必要があります。
コンピュータで TPM を使用できない場合、起動手順でスタートアップキーを使用してボリュームのロックを解除できるように、コンピュータが USB デバイスに対応している必要があります。
ソフトウェアまたはシステムの更新プログラムを夜間にリモートで配布し、ユーザーのコンピュータをユーザーがいないときに再起動しているような場合、BitLocker を使用するとソフトウェアの配布手順を変える必要が出てくる場合があります。次に例を示します。
- コンピュータを保護するために TPM と PIN (または TPM とスタートアップキー) を使用している場合、ソフトウェアの更新プログラムを午前 2:00 に展開してコンピュータの再起動が必要になっても、PIN またはスタートアップキーを入力するまでコンピュータは再起動されません。
- 現在 Wake-on-LAN 機能または BIOS 自動電源投入機能を使用してメンテナンスのためにコンピュータを起動している場合、これらのコンピュータも TPM と PIN (または TPM とスタートアップキー) の影響を受けます。
OEM 配布の BIOS/TPM ファームウェアを更新すると、BitLocker 対応コンピュータに影響する可能性があります。OEM のインストール手順を確認して、更新した後でも回復情報 (回復パスワードとキー) が保持されるかどうか、また追加的な保護機能 (PIN またはスタートアップキー) も保持されるかどうかを確認する必要があります。
アプリケーションを更新すると、BitLocker 対応コンピュータに影響する可能性があります。インストールまたは更新中に、ブートマネージャまたは BitLocker がチェックするファイルが更新プログラムによって変更された場合、システムの起動に失敗してコンピュータは強制的に回復モードに移行します。Windows Vista の起動環境に影響を与えるようなアプリケーションのインストールまたは更新作業を実行する場合、その前に BitLocker 対応コンピュータでテストを実施してください。
ドメイン内のすべてのドメインコントローラは、Microsoft® Windows Server® 2003 Service Pack 1 (SP1) 以降を実行している必要があります。

注 : Windows Server 2003 では、スキーマを拡張して BitLocker 回復情報を Active Directory® ディレクトリサービスに保存できるようにする必要があります。

リスク軽減の手順

次に説明するリスク軽減の手順を実行して、管理対象のクライアントコンピュータ上の機密データを保護するためにはどのような BitLocker 構成が最適かを評価してください。

このリスク軽減の手順を実行するには

BitLocker テクノロジと機能を調べます。

注 : BitLocker の詳細については、Microsoft TechNet® Web サイトの「 BitLocker Drive Encryption 」ページを参照してください。

現在の環境における BitLocker の必要性を評価します。
組織で使用しているハードウェア、ファームウェア、およびソフトウェアが BitLocker の要件を満たしていることを確認します。
BitLocker による保護を必要とする組織内のシステムを特定します。
システムに必要な保護レベルを特定します。PIN または暗号化キーが保存された USB キーをオペレーティングシステムの起動要件とすることができます。この場合、オペレーティングシステムはこれらのキーがなければ起動しません。
テストシステムに必要なドライバをインストールします。
グループポリシーオブジェクト (GPO) を使用して、テストシステムで BitLocker を構成します。
テストが成功した場合は、運用システムにドライバをインストールして BitLocker を構成します。

BitLocker に対してグループポリシーを使用してリスクを軽減する

BitLocker の構成を管理するために、2 つのグループポリシーテンプレートを使用することをお勧めします。これらのテンプレートを使用すると、BitLocker の他の要素とは切り離して、TPM 構成を管理できます。次の表は、VolumeEncryption.admx テンプレートで BitLocker に対して使用できるグループポリシー設定の概略を示したものです。これらの設定は、グループポリシーオブジェクトエディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

表 3.2 BitLocker ドライブ暗号化の設定

ポリシー設定

説明

Windows Vista の既定値

Active Directory ドメインサービスへの BitLocker バックアップを有効にする

BitLocker の回復情報のバックアップを Active Directory に作成する機能を有効にします。この回復情報には、回復パスワードと一意の識別子データが含まれます。

未構成

コントロールパネルセットアップ : 回復フォルダを構成する

BitLocker セットアップウィザードで回復キーをフォルダに保存するかどうかをユーザーに質問するように構成します。BitLocker セットアップウィザードでは、回復キーの保存先フォルダの場所を入力するように指示されますが、ここではその際に表示される既定のパスを指定します。

未構成

コントロールパネルセットアップ : 回復オプションを構成する

BitLocker セットアップウィザードで回復パスワードを作成するかどうかをユーザーに質問するように構成します。回復パスワードは、ランダムに生成される 48 桁のシーケンスです。

未構成

コントロールパネルセットアップ : 詳細なスタートアップオプションを有効にする

BitLocker セットアップウィザードでコンピュータの PIN を作成するかどうかをユーザーに質問するように構成します。PIN は、コンピュータを起動するたびにユーザーが入力する 4 ～ 20 桁のシーケンスです。桁数の設定にポリシーを使用することはできません。

未構成

暗号化方法を構成する

BitLocker で使用する暗号化アルゴリズムとキーサイズを構成します。このポリシー設定は、完全に暗号化が解除されたディスクに適用されます。ディスクが既に暗号化されている場合、または暗号化の処理中である場合、暗号化方法を変更することはできません。

未構成

TPM プラットフォーム検証プロファイルを構成する

ディスクボリュームの暗号化キーを TPM によってセキュリティ保護する方法を構成します。互換性のある TPM がコンピュータ上に存在しない場合、このポリシー設定は適用されません。また、このポリシーを変更しても暗号化キーの既存のコピーには影響しません。

未構成

上の表では各設定を簡単に説明しました。特定の設定の詳細については、グループポリシーオブジェクトエディタで、その設定の [説明] タブを参照してください。

次の表は、TPM.admx テンプレートで TPM に対して使用できるグループポリシー設定の概略を示したものです。これらの設定は、グループポリシーオブジェクトエディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\システム\トラステッドプラットフォームモジュールサービス

表 3.3 トラステッドプラットフォームモジュールの設定

ポリシー設定

説明

Windows Vista の既定値

Active Directory ドメインサービスへの TPM バックアップを有効にする

Active Directory 内の TPM の回復情報のバックアップを管理します。この回復情報には、TPM 所有者のパスワードを暗号化した値が含まれます。

未構成

ブロックされる TPM コマンドの一覧を構成する

Windows によってブロックされる TPM コマンドのグループポリシーの一覧を管理します。

未構成

ブロックされる TPM コマンドの既定の一覧を無視する

ブロックされる TPM コマンドの既定の一覧の適用の有無を管理します。

未構成

ブロックされる TPM コマンドのローカルの一覧を無視する

ブロックされる TPM コマンドのローカルの一覧の適用の有無を管理します。

未構成

この表では各設定を簡単に説明しました。特定の設定の詳細については、グループポリシーオブジェクトエディタで、その設定の [説明] タブを参照してください。

適用するセキュリティポリシーは、BitLocker のパスワードとキー管理を効果的にサポートする必要があります。これらのポリシーは、十分に情報のセキュリティを確保できるほど包括的で、同時に BitLocker のサポートが困難にならない程度に緩やかにする必要があります。次に、そういったポリシーの例をいくつか示します。

Active Directory 内の回復パスワードのバックアップを常に必須とする。
Active Directory 内の TPM 所有者情報のバックアップを常に必須とする。
バックアップまたは代替の回復方法として、回復パスワードと共に回復キーを使用する。
TPM と共に PIN または USB スタートアップキーを使用している場合は、定期的にこれらの値を変更する。
TPM 対応コンピュータでは、BIOS 管理者パスワードを使用して第三者のアクセスを防止する。
USB スタートアップキーなどのキーマテリアルをコンピュータの周辺に保管しないようにユーザーに周知徹底する。
サポートや障害復旧のために、回復キーは 1 か所に保存する。
回復マテリアルのバックアップは安全なオフラインの場所に保管する。

ページのトップへ

暗号化ファイルシステム

暗号化ファイルシステム (EFS) を使用すると、ファイルやフォルダを暗号化して不正なアクセスからデータを保護することができます。EFS は NTFS ファイルシステムに統合されており、アプリケーションの側で特別な操作をする必要は一切ありません。ユーザーまたはプログラムが暗号化されたファイルへのアクセスを試みると、オペレーティングシステムによってコンテンツの解読キーを取得する試みが自動的に実行され、ユーザーに代わって暗号化と暗号化解除の操作がバックグラウンドで実行されます。承認されたキーを持っているユーザーは、その他のファイルとまったく同じように暗号化されたファイルにアクセスして作業を行うことができます。それ以外のユーザーはアクセスを拒否されます。Windows Vista には、セキュリティ、パフォーマンス、管理性に関する EFS の新機能が数多く搭載されています。EFS 用の Windows Vista の新機能を次に紹介します。

ユーザーキーをスマートカードに保存できます。
回復キーをスマートカードに保存できるので、専用の回復ステーションを使用しないリモートデスクトップセッションでも、データを安全に復元できます。
EFS とシステムの起動時に生成されるキーを使用して、Windows ページングファイルを暗号化することができます。このキーはシステムのシャットダウン時に破棄されます。
EFS を使用してオフラインファイルキャッシュを暗号化することができます。Windows Vista では、この暗号化機能で使用されるのはシステムキーではなくユーザーのキーです。したがって、オフラインファイルキャッシュの各ファイルには、キャッシュを利用する本来のユーザーだけがアクセスできます。
多くの新しい構成オプションがグループポリシーで提供されているので、エンタープライズポリシーを適用する際に役立ちます。
EFS は、多種多様なユーザー証明書とキーをサポートします。

多くの新しいグループポリシーオプションが Windows Vista に追加されており、管理者はこれらを使用して EFS に対する組織のポリシーを定義、実装できます。オプションにはたとえば、EFS でスマートカードを必須とする機能、ページファイルの暗号化を強制する機能、EFS の最小のキー長を定める機能、ユーザーのドキュメントフォルダの暗号化を強制する機能などがあります。

注 : 最大限のデータ保護を実現するために、BitLocker と EFS を組み合わせて利用することをお勧めします。

リスク評価

データに不正にアクセスされると、ビジネスプロセスや収益性が損なわれる可能性があります。特に、複数のユーザーが同じシステムにアクセスできるようになっている場合や、ユーザーがモバイルコンピュータシステムを使用している場合に、データは侵害されるリスクにさらされます。EFS の主な目的は、モバイルコンピュータの紛失や盗難の結果、または社内ユーザーによる情報漏洩の結果、データが盗まれたり侵害される事態をできるだけ防ぐことです。共有状態にあるコンピュータも、このようなデータリスクにさらされる可能性があります。

データを暗号化していないコンピュータに攻撃者が物理的にアクセスできる場合、次のような危険な操作が行われる可能性があります。

攻撃者はコンピュータを再起動し、自身のユーザー特権をローカル Administrator に昇格させてユーザーデータにアクセスする可能性があります。また、ツールをダウンロードしてブルートフォース攻撃を実行し、ユーザーのパスワードを取得する可能性もあります。その結果、攻撃者は特定のユーザーとしてログオンして、そのユーザーのデータにアクセスできるようになります。
攻撃者は、Windows Vista にログオンし、ユーザーが使用できるすべてのデータをリムーバブルデバイスにコピーするとか、電子メールで送信するとか、ネットワーク経由でコピーするとか、FTP を使用してリモートサーバーに転送するといった操作を試みる可能性があります。
攻撃者はコンピュータを再起動し、別のオペレーティングシステムを立ち上げてハードドライブから直接ファイルをコピーする可能性があります。
攻撃者はコンピュータを別のネットワークに接続し、盗んだコンピュータを起動してリモートでそのコンピュータにログオンする可能性があります。
ユーザーがネットワークファイルをオフラインファイルにキャッシュしている場合、攻撃者は特権を Administrator/LocalSystem に昇格させると、オフラインファイルキャッシュの内容を調べることができます。
せんさく好きな同僚が、共有コンピュータの他のユーザーが所有している機密ファイルを開く場合があります。
攻撃者は、別のオペレーティングシステムを使用してコンピュータを再起動し、ページングファイルの内容を読み取って、処理中のドキュメントのプレーンテキストを検出する可能性があります。

リスクの軽減

データの侵害を招くこのような潜在的なリスクを軽減するため、ハードディスクに保存するときにデータを暗号化することができます。Windows Vista では EFS テクノロジが強化されているので、次のような状況に役立ちます。

EFS では内容の暗号化解除を許可するキーを取得するように要求されるので、攻撃者は別のオペレーティングシステムを使用しても、暗号化されたファイルを読み取れなくなります。このキーをスマートカードに保存しておくと、セキュリティをさらに強化できます。
EFS で使用される暗号化の強度をグループポリシーで適用できます。
ユーザーの EFS キーをスマートカードに保存すると、攻撃者はブルートフォースパスワード攻撃でユーザーのデータにアクセスできなくなります。また、BitLocker と EFS を組み合わせると、攻撃者はユーザーのパスワードハッシュやキャッシュされた資格情報にアクセスできなくなります。
攻撃者がユーザーの機密データにアクセスするのを阻止するため、グループポリシーを使用してユーザーのドキュメントフォルダを暗号化することができます。またはログオンスクリプトを使用して、その他の場所を暗号化したり、ユーザーのデータパーティション全体を暗号化することもできます。
EFS を使用して、複数のドライブやネットワーク共有を暗号化することができます。
EFS を使用して、システムページングファイルやオフラインファイルキャッシュの内容を保護できます。

リスク軽減の考慮事項

Windows Vista の EFS を使用すると、上の「リスク評価」の項で説明したリスクを軽減できます。ただし、EFS を展開する前に次の注意事項を考慮してください。

キー管理とデータ回復の要件に応じたテスト済みの手順を実装する必要があります。信頼性の高い周到な手順が用意されていない場合、キーを失ったときに重要なデータにアクセスできなくなります。
通常の操作では、EFS を使用すると認識できない程度の負荷が発生します。ただし、パフォーマンスが重要となるシステムの場合、EFS の負荷がパフォーマンスに悪い影響を与えないように徹底的にテストを行う必要があります。
特定のボリュームで EFS を有効にした場合、同じボリューム上のファイルは圧縮できなくなります。
必要に応じて、機密ファイルの場所を暗号化する追加のスクリプトを展開してテストを行います。
次のような行為を行わないように、ユーザーと IT スタッフには周知徹底する必要があります。

暗号化された場所から暗号化されていない場所へのファイルのコピーまたは移動。この操作によって、ファイルがプレーンテキストファイルとして放置される可能性があります。
処理中のファイルのバックアップが格納されている隠しフォルダを暗号化していない。

EFS 構成を徹底的にテストして、ドキュメントフォルダ、デスクトップ、一時フォルダなど、機密ファイルが保存されるすべての場所に対して暗号化が設定されていることを確認します。

注 : EFS を展開できるのは、次の Windows Vista のエディションに限られます。Business、Enterprise、および Ultimate。

リスク軽減の手順

次に説明するリスク軽減の手順を実行して、管理対象のクライアントコンピュータ上の機密データを保護するためにはどのような EFS 構成が最適かを評価してください。

このリスク軽減の手順を実行するには

EFS テクノロジと機能を調べます。

注 : 詳細については、Microsoft.com の記事「暗号化ファイルシステムの最善の使用方法」を参照してください。

現在の環境における EFS の必要性を評価します。
グループポリシーを使用する EFS の構成を調べます。
EFS を必要とするコンピュータシステムとユーザーを特定します。
必要な保護レベルを特定します。たとえば、組織で EFS にスマートカードを使用する必要があるかどうかなどです。
グループポリシーを使用して、環境に適した EFS を構成します。

EFS による具体的なリスク軽減手順

グループポリシーを使用して EFS を管理するには、次の場所でいくつかのセキュリティ設定を行います。

コンピュータの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\ファイルシステムの暗号化

データ回復エージェント (DRA) を追加または作成するには、[ファイルシステムの暗号化] を右クリックして [プロパティ] をクリックし、[ファイルシステムの暗号化のプロパティ] ダイアログボックスを開きます。

図 3.1 [ファイルシステムの暗号化のプロパティ] ダイアログボックス

図 3.1 [ファイルシステムの暗号化のプロパティ] ダイアログボックス
画像を画面全体に表示

また、EFS 設定を含むグループポリシーテンプレートが 4 つあります。次の表でこれらのテンプレートについて説明します。

表 3.4 EFS のグループポリシー設定

テンプレートと設定

パスと説明

Windows Vista の既定値

GroupPolicy.admx
EFS 回復ポリシーの処理

コンピュータの構成\
管理用テンプレート\
システム\グループポリシー
暗号化ポリシーをいつ更新するかを決定します。

未構成

EncryptFilesonMove.admx
暗号化フォルダに移動されたファイルを自動的に暗号化しない

コンピュータの構成\
管理用テンプレート\
システム\
暗号化されたフォルダにエクスプローラでファイルを移動した場合に、そのファイルを暗号化しません。

未構成

OfflineFiles.admx
オフラインファイルのキャッシュを暗号化する

コンピュータの構成\
管理用テンプレート\
ネットワーク\オフラインファイル\
この設定によって、オフラインファイルを暗号化するかどうかが決定されます。

注 : Windows XP では、これらのファイルはシステムキーによって暗号化されます。Windows Vista では、ユーザーのキーによって暗号化されます。

未構成

Search.admx
暗号化されたファイルのインデックス作成を許可する

コンピュータの構成\
管理用テンプレート\
Windows コンポーネント\
検索\
この設定を指定すると、暗号化された項目も Windows 検索サービスのインデックス対象となります。

注 : 暗号化されたファイルのインデックスを作成し、そのインデックスが EFS などの手段で十分に保護されていない場合、データセキュリティ上の問題が生じる可能性があります。

未構成

この表では各設定を簡単に説明しました。特定の設定の詳細については、グループポリシーオブジェクトエディタで、その設定の [説明] タブを参照してください。

ページのトップへ

Rights Management Services

Rights Management Services (RMS) は、機密性の高い電子メール、ドキュメント、Web コンテンツ、その他の情報に対してセキュリティおよび利用時のポリシーを適用するために使用します。RMS では、ファイルまたは電子メールメッセージを社内全体またはインターネットに転送したときに認証され明示的に承認されたユーザーのみがアクセスできるように、情報を強力に暗号化して情報のセキュリティを確保します。RMS には、次の 3 つのコンポーネントがあります。

RMS サーバー。Windows Vista では、Windows Server 2003 以降の Windows Rights Management Services が必要です。
RMS クライアント。これは Windows Vista に含まれています。
RMS プラットフォームまたはアプリケーション。これは、管理対象の情報を暗号化したり利用状況を管理するために設計されたプラットフォームまたはアプリケーションです。

リスク評価

承認されていないユーザーが機密情報を表示できる環境は危険ですが、RMS では、組織が抱えるこのようなリスクを軽減できます。機密情報は、ミスや悪意のある操作によって承認されていないユーザーに配布されたり、そのようなユーザーが利用できる状態になったりする場合があります。このようなリスクの具体的な例を次に紹介します。

承認されていないユーザーがネットワークを参照している、USB フラッシュやポータブルハードドライブにアクセスしている、または十分に保護されていないサーバー共有やストレージにアクセスしている。
承認されたユーザーが、組織内外の承認されていない相手に機密情報を送信している。
承認されたユーザーが、承認されていない場所またはアプリケーションに機密データをコピーまたは移動している、あるいは承認されたデバイスからリムーバブル記憶域デバイスなどの承認されていないデバイスに機密データをコピーまたは移動している。
承認されたユーザーが不注意により、ピアツーピア (P2P) テクノロジまたはインスタントメッセージング経由で承認されていない相手にも機密情報にアクセスできるようにしてしまう。
承認されたユーザーが機密ファイルを印刷し、その印刷されたドキュメントを承認されていないユーザーが見つける。さらに、配布、コピー、ファックス送信、電子メール送信を行う。

リスクの軽減

ユーザーが共有および共同作業を行う情報を効果的に保護するには、使用するメカニズムとは関係なく、ホスト、デバイス、および共有の間で転送されるときに情報がシームレスに保護されるように、RMS によって直接的に情報をセキュリティ保護することをお勧めします。

リスク軽減の考慮事項

RMS を使用すると、上の「リスク評価」の項で説明したリスクを軽減できます。ただし、RMS を展開する前に次の注意事項を考慮してください。

RMS を使用する場合、RMS サーバーとして Windows Rights Management Services for Windows Server 2003 以降が必要です。また、RMS 対応アプリケーションをクライアントコンピュータにインストールする必要があります。
SharePoint と RMS を統合して使用する場合は、Microsoft SharePoint® Server が必要です (この場合、RMS は SharePoint サイトにあるドキュメントと情報を保護します)。
RMS ソリューションのオプションであるスマートカード統合を利用する場合は、コンテンツにアクセスするために使用する各クライアントコンピュータがスマートカードと互換性があることを確認します。
Outlook Web Access (OWA) などの Web ベースのアプリケーションを RMS と併用する場合は、Internet Explorer 用の Rights Management アドオンが必要になります。
RMS の展開、サポート、トラブルシューティングを適切に実行できるように、IT スタッフをトレーニングする必要があります。

リスク軽減の手順

次に説明するリスク軽減の手順を実行して、管理対象のクライアントコンピュータ上の機密データを保護するためにはどのような RMS 構成が最適かを評価してください。

このリスク軽減の手順を実行するには

Rights Management Services テクノロジと機能を調べます。
注 : Rights Management Services (RMS) の詳細については、「 Windows Rights Management Services 」を参照してください。
現在の環境における Rights Management Services の必要性を評価します。
Rights Management Services のアプリケーションとサービスに必要なサポートを特定します。
次のような想定される RMS 展開アーキテクチャを評価します。
- 1 つのサーバー (または 1 つのクラスタ)
- 1 つの証明書、1 つのライセンス
- 1 つの証明書、複数のライセンス
- 複数の証明書、1 つのライセンス
- 複数の証明書、複数のライセンス
Rights Management Services を使用してセキュリティ保護する情報を特定します。
特定の情報にアクセスする必要があるユーザーとグループを特定します。
情報に対して必要なアクセスのみが許可されるように Rights Management Services を構成します。

グループポリシーを使用して RMS を管理する

RMS の構成をグループポリシーで設定する作業は、Windows Vista のインストール中には行われません。RMS はそもそもサーバーベースのソリューションであるため、このサービスの動作は RMS サーバーで構成する必要があります。

また、RMS 対応アプリケーションでも、RMS の保護コンテンツの処理方法を制御するための設定が個別に用意されている場合があります。たとえば、Microsoft Office 2003 以降、Microsoft Outlook® や Microsoft Word などのアプリケーションには、RMS 関連の設定が存在します。これらの設定の詳細については、「Office 2003 Policy Template Files and Deployment Planning Tools」(英語) を参照してください。

ページのトップへ

デバイス管理

ユーザーが USB キードライブやその他のリムーバブル記憶域デバイスなどの新しいプラグアンドプレイ (PnP) ハードウェアをクライアントコンピュータに追加できる場合、IT 管理者にとってはセキュリティ上の重大な問題となります。こういったデバイスがあると、ユーザーがサポート対象外のハードウェアをインストールするのに使用した場合クライアントコンピュータの保守作業が難しくなる原因となるばかりか、データセキュリティ上の脅威となる可能性もあります。

悪意のあるユーザーは、リムーバブル記憶域デバイスを使用して企業の知的財産を盗むことができます。攻撃者は、"自動実行" スクリプトを含む悪意のあるソフトウェアをリムーバブル記憶域デバイスに保存し、このデバイスによって悪意のあるソフトウェアを人のいないクライアントコンピュータにインストールすることができます。

Windows Vista では、IT 管理者はグループポリシーを使用して、サポートされていないデバイスまたは承認されていないデバイスのインストールを管理できます。たとえば、特定のデバイスクラス (プリンタなど) のインストールを全面的に許可し、一方であらゆる種類のリムーバブル記憶域デバイスのインストールを禁止することができます。管理者は、これらのポリシーを上書きして承認されたハードウェアをインストールすることを許可できます。

ただし、デバイスは特定のユーザーのためにインストールされるのではなく、特定のコンピュータにインストールされるのだということを理解することが重要です。ユーザーがデバイスをインストールした後、通常はそのコンピュータのすべてのユーザーがそのデバイスを利用できるようになります。現在、Windows Vista では、インストールされたデバイスの読み取りアクセス権と書き込みアクセス権を対象にしたユーザーレベルのアクセス制御がサポートされています。たとえば、USB フラッシュドライブなどのインストールされたデバイスに対する完全な読み取りアクセス権と書き込みアクセス権を特定のユーザーアカウントに許可し、同じコンピュータ上の別のユーザーアカウントには読み取りアクセス権のみを許可することが可能です。

デバイス管理とその構成方法の詳細については、「グループポリシーを使用したデバイスインストールの制御のステップバイステップガイド」を参照してください。

リスク評価

承認されていないデバイスの追加や取り外しを行うと、攻撃者が悪意のあるソフトウェアの実行、データの削除、不要なデータの追加を実行できるようになる可能性があるので、セキュリティ上のリスクが高まります。次に、そのような状況の例を紹介します。

承認されたユーザーが、意図的かどうかに関係なく、機密ファイルを承認されたデバイスから承認されていないリムーバブル記憶域デバイスにコピーする可能性があります (暗号化された場所からリムーバブルデバイス上の暗号化されていない場所にコピーする操作も含む)。
攻撃者が Windows Vista にログオンして、リムーバブル記憶域デバイスにデータをコピーする可能性があります。
攻撃者が、悪意のあるソフトウェアと自動実行スクリプトをリムーバブル記憶域デバイスに保存し、このデバイスによって悪意のあるソフトウェアを人のいないクライアントコンピュータにインストールする可能性があります。
攻撃者が、承認されていないキー入力記録デバイスをインストールしてユーザーアカウントの詳細を記録し、その詳細を使用してさらに激しい攻撃を開始する可能性があります

リスクの軽減

このようなリスクを軽減するため、管理対象のコンピュータシステムでは、承認されていないデバイスのインストールや使用が行われないように管理することをお勧めします。USB フラッシュドライブやその他のリムーバブル記憶域デバイスなど、プラグアンドプレイデバイスの使用を管理するために、グループポリシー設定を使用できます。

リスク軽減の考慮事項

Windows Vista のグループポリシーを使用すると、デバイスのインストールに関する設定を適用して、上述の「リスク評価」の項で説明したリスクを軽減できます。ただし、運用環境内のクライアントコンピュータにデバイス管理を展開する前に、次のリスク軽減の注意事項を考慮してください。

デバイスに制限を適用すると、正当なファイル共有がブロックされたり、モバイルユーザーが効果的に作業できなくなる可能性があります。
デバイスに制限を適用すると、BitLocker ドライブ暗号化プロセスに含まれる USB キーを使用できなくなる可能性があります。たとえば、リムーバブルディスクへの書き込みアクセス権を拒否するポリシー設定が特定のユーザーに対して適用されている場合、たとえそのユーザーが管理者であっても、BitLocker セットアッププログラムは USB フラッシュドライブにスタートアップキーを書き込むことができなくなります。
一部のデバイスは、"リムーバブルストレージ" IDと "ローカルストレージ" ID の両方で特定されます。一部の起動可能 USB フラッシュドライブがその一例です。したがって、GPO を徹底的にテストしてデバイスの制限と許可が適切に設定されていることを確認することが重要です。

リスク軽減の手順

次に説明するリスク軽減の手順を実行して、管理対象のクライアントコンピュータ上の機密データを保護するためにはどのようなデバイス管理構成が最適かを評価してください。

このリスク軽減の手順を実行するには

Windows Vista のデバイス管理機能を調べます。

注 : 詳細については、「グループポリシーを使用したデバイスインストールの制御のステップバイステップガイド」を参照してください。

現在の環境におけるデバイス管理の必要性を評価します。
デバイス管理に対するグループポリシーの設定を調べます。
ご利用の環境で必要とするリムーバブルデバイスを特定して、これらのデバイスのハードウェア ID または互換性 ID を記録します。
リムーバブルデバイスを必要とするコンピュータシステムとユーザーを特定します。
必要とする特定のデバイスクラスのインストールは可能となるように、グループポリシーを構成します。
特定の機能を必要とするコンピュータシステムにデバイスをインストールできるように、グループポリシーを構成します。

デバイスのインストールを管理するためにグループポリシーを使用する

デバイスのインストールを管理するには、DeviceInstallation.admx グループポリシーテンプレートを使用することをお勧めします。表 3.5 は、このテンプレートで使用できるグループポリシー設定の概略を示したものです。これらの設定は、グループポリシーオブジェクトエディタ内の次の場所で構成できます。

コンピュータの構成\管理用テンプレート\システム\デバイスのインストール\デバイスのインストールの制限

表 3.5 USB デバイス管理の設定

ポリシー設定

説明

Windows Vista の既定値

管理者によるデバイスのインストールの制限ポリシーの上書きを許可する

Administrators グループのメンバは、その他のポリシー設定と関係なく、あらゆるデバイスのインストールとドライバの更新を実行できます。この設定が適用されていない場合、管理者にはデバイスのインストールを制限するすべてのポリシーが適用されます。

未構成

これらのデバイスセットアップクラスと一致するドライバを使用したデバイスのインストールを許可する

ユーザーによるインストールを許可するデバイスが記述された、デバイスセットアップクラス GUID の一覧を指定します。ただし、次のポリシー設定で特に禁止されているデバイスはインストールできません。
これらのデバイス ID と一致するデバイスのインストールを禁止する
これらのデバイスセットアップクラスと一致するドライバを使用したデバイスのインストールを禁止する
リムーバブルデバイスのインストールを禁止する
この設定は、[他のポリシー設定で記述されていないデバイスのインストールを禁止する] が有効な場合にしか使用できません。

未構成

これらのデバイスセットアップクラスと一致するドライバを使用したデバイスのインストールを禁止する

このポリシーによってデバイスのインストールが禁止されているときにユーザーに表示される、通知バルーンのタイトル内のカスタムメッセージを指定します。

未構成

インストールがポリシーによって禁止されている場合にカスタムメッセージを表示する (バルーンタイトル)

この設定では、ポリシー設定によってインストールが禁止されているときにユーザーに表示される通知バルーンのタイトル内のカスタムメッセージを指定します。

未構成

インストールがポリシーによって禁止されている場合にカスタムメッセージを表示する (バルーンテキスト)

この設定では、ポリシーによってデバイスのインストールが禁止されているときにユーザーに表示される通知バルーンのテキスト内のカスタムメッセージを指定します。

未構成

これらのデバイス ID と一致するデバイスのインストールを許可する

インストールを許可するデバイスが記述された、プラグアンドプレイハードウェア ID と互換性 ID の一覧を指定します。ただし、次の設定で特に禁止されているデバイスはインストールできません。
これらのデバイス ID と一致するデバイスのインストールを禁止する
これらのデバイスセットアップクラスと一致するドライバを使用したデバイスのインストールを禁止する
リムーバブルデバイスのインストールを禁止する
この設定は、[他のポリシー設定で記述されていないデバイスのインストールを禁止する] が有効な場合にしか使用できません。

未構成

これらのデバイス ID と一致するデバイスのインストールを禁止する

ユーザーによるインストールを禁止するデバイスが記述された、プラグアンドプレイハードウェア ID と互換性 ID の一覧を指定します。
注 : このポリシー設定は、デバイスのインストールを許可するその他のあらゆるポリシー設定より優先されます。

未構成

リムーバブルデバイスのインストールを禁止する

この設定を有効にすると、ユーザーはリムーバブルデバイスをインストールすることができません。また、既存のリムーバブルデバイスでドライバの更新プログラムを受信することもできなくなります。
注 : このポリシー設定は、デバイスのインストールを許可するその他のあらゆるポリシー設定より優先されます。
このポリシーを適用するには、デバイスのドライバによってデバイスがリムーバブルであることが適切に識別される必要があります。詳細については、「グループポリシーを使用したデバイスインストールの制御のステップバイステップガイド」を参照してください。

未構成

他のポリシー設定で記述されていないデバイスのインストールを禁止する

この設定を有効にすると、次の設定で指定されていないデバイスはドライバを更新できなくなります。
これらのデバイス ID と一致するデバイスのインストールを許可する
これらのデバイスセットアップクラスと一致するドライバを使用したデバイスのインストールを許可する

未構成

この表では各設定を簡単に説明しました。特定の設定の詳細については、グループポリシーオブジェクトエディタで、その設定の [説明] タブを参照してください。

デバイスの利用状況を管理するためにグループポリシーを使用する

ポリシー設定はデバイスのインストール管理に役立ちますが、Windows Vista ではさらに、デバイスをインストールした後の、特定のデバイスクラスに対するユーザーのアクセスレベルを管理できます。次の表ではその他の 2 つのテンプレートについて説明していますが、これらのテンプレートにはデバイスの動作を制御できる設定が含まれています。RemovableStorage.admx には、リムーバブル記憶域デバイスに対する次のような設定が含まれています。このテンプレートは、グループポリシーオブジェクトエディタの次の場所で見つけることができます。

コンピュータの構成\管理用テンプレート\システム\リムーバブル記憶域へのアクセス

表 3.6 デバイスの設定

ポリシー設定

説明

Windows Vista の既定値

すべてのリムーバブル記憶域クラス : すべてのアクセスを拒否

すべてのリムーバブル記憶域デバイスクラスに対してアクセスを構成します。

未構成

すべてのリムーバブル記憶域 : リモートセッションでの直接アクセスを許可する

この設定では、リムーバブル記憶域デバイスに対して、リモートセッションでの標準的なユーザーアカウントアクセスが許可されます。既定の構成では、リモートセッションでこのアクセスは許可されません。

未構成

CD および DVD: 読み取りアクセス権の拒否

この設定では、CD と DVD のリムーバブルストレージクラスに対する読み取りアクセス権が拒否されます。既定の設定では、読み取りアクセス権は許可されます。

未構成

CD および DVD: 書き込みアクセスの拒否

この設定では、CD と DVD のリムーバブルストレージクラスに対する書き込みアクセスが拒否されます。既定の設定では、このデバイスクラスに対する書き込みアクセスは許可されます。

未構成

カスタムクラス : 読み取りアクセス権の拒否

この設定では、カスタムデバイスクラスに対する読み取りアクセス権が拒否されます。既定の設定では、読み取りアクセス権は許可されます。

未構成

カスタムクラス : 書き込みアクセスの拒否

この設定では、カスタムデバイスクラスに対する書き込みアクセスが拒否されます。既定の設定では、このデバイスクラスに対する書き込みアクセスは許可されます。

未構成

フロッピードライブ : 読み取りアクセス権の拒否

この設定では、フロッピードライブに対する読み取りアクセス権が拒否されます。既定の設定では、読み取りアクセス権は許可されます。

未構成

フロッピードライブ : 書き込みアクセスの拒否

この設定では、フロッピードライブに対する書き込みアクセスが拒否されます。既定の設定では、このデバイスクラスに対する書き込みアクセスは許可されます。

未構成

リムーバブルディスク : 読み取りアクセス権の拒否

この設定では、リムーバブルドライブに対する読み取りアクセス権が拒否されます。既定の設定では、読み取りアクセス権は許可されます。

未構成

リムーバブルディスク : 書き込みアクセスの拒否

この設定では、リムーバブルドライブに対する書き込みアクセスが拒否されます。既定の設定では、このデバイスクラスに対する書き込みアクセスは許可されます。

未構成

テープドライブ : 読み取りアクセス権の拒否

この設定では、テープドライブに対する読み取りアクセス権が拒否されます。既定の設定では、読み取りアクセス権は許可されます。

未構成

テープドライブ : 書き込みアクセスの拒否

この設定では、テープドライブに対する書き込みアクセスが拒否されます。既定の設定では、このデバイスクラスに対する書き込みアクセスは許可されます。

未構成

WPD デバイス : 読み取りアクセス権の拒否

この設定では、メディアプレーヤーや携帯電話など、Windows ポータブルデバイスに対する読み取りアクセス権が拒否されます。既定の設定では、読み取りアクセス権は許可されます。

未構成

WPD デバイス : 書き込みアクセスの拒否

この設定では、メディアプレーヤーや携帯電話など、Windows ポータブルデバイスに対する書き込みアクセスが拒否されます。既定の設定では、このデバイスクラスに対する書き込みアクセスは許可されます。

未構成

この表では各設定を簡単に説明しました。特定の設定の詳細については、グループポリシーオブジェクトエディタで、その設定の [説明] タブを参照してください。

自動再生と自動実行を管理するためにグループポリシーを使用する

Autoplay.admx テンプレートには、Windows Vista 環境内のリムーバブル記憶域デバイスやリムーバブルメディアの自動再生および自動実行の動作を制御する次のような設定が含まれています。このテンプレートの設定は、グループポリシーオブジェクトエディタ内の次の場所にあります。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\自動再生のポリシー

表 3.7 自動再生ポリシーの設定

ポリシー設定

説明

Windows Vista の既定値

自動再生機能をオフにする

CD、DVD-ROM、リムーバブルドライブ、またはすべてのドライブの自動再生機能を無効にできます。

未構成 ‡

自動実行の既定の動作

この設定では、自動実行コマンドの既定の動作が構成されます。既定では、自動実行コマンドを実行する必要があるかどうかを確認するプロンプトが表示されます。

未構成

この表では各設定を簡単に説明しました。特定の設定の詳細については、グループポリシーオブジェクトエディタで、その設定の [説明] タブを参照してください。

これらの設定は、グループポリシーオブジェクトエディタの [ユーザーの構成] の下の次の場所にも表示されます。

ユーザーの構成\管理用テンプレート\Windows コンポーネント\自動再生のポリシー

デバイス管理の設定が競合する場合、[コンピュータの構成] の設定が [ユーザーの構成] の設定よりも優先されます。

注 : 一部のポリシー設定では、デバイスセットアップクラス GUID の使用を指定し、他のポリシー設定では、プラグアンドプレイデバイスセットアップクラス GUID の使用を指定します。

ページのトップへ

Windows Vista セキュリティガイド