Post on 27-Dec-2019
1
セキュリティ・ガイドEN6267B- T P Mの設定についてー
TPMについて、ご注意、設定の流れについて説明します。はじめに
このたびは、弊社製品をご購入いただきまことにありがとうございます。本製品はセキュリティチップ(TPM)を搭載し、セキュリティ機能を強化しています。セキュリティ機能をご利用になる際には、設定が必要となります。このガイドで説明いたします。
設定の流れStep 1. BIOSの設定 をおこないます� æ� Step 2. Security Platform のインストール をおこないます æ� Step 3. Security Platform の初期化 をおこないます æ� Step 4. Security Platform ユーザーの初期化 をおこないます
TPMを使ってできること
TPMとは本製品にはセキュリティチップが搭載されています。正式にはTPM(Trusted Platform �Module)と呼びます。TPMはセキュリティの基本機能を提供するものです。その仕様は業界団体であるTCG(Trusted Computing Group)によって定義されています。いままでのセキュリティ方法では、ハードディスク内にパスワードや暗号鍵を�保持しているために、ハードディスクの内容を見られたり、盗難にあった場合に、�被害に遭う危険がありました。TPMを利用すると、セキュリティ機能をHDDではなくTPMから提供するために安全性が高まります。また、TPMを取り外し、セキュリティ情報を取り出すことが事実上困難であるために物理的な安全性も高まります。
ご注意◎TPMを使用するには、Infineon Security Platform ソフトウェア(以下、Security Platformと記載します)が必要です。� はじめに、お客様自身でインストール作業をおこなっていただく必要があります。�◎ご利用にあたっては、オンラインヘルプもご参照ください。ヘルプは ボタンを押すことで表示されます。�◎TPMはWindows XP Professionalで、すべての機能が利用できます。Windows XP Home Editionの場合、一部の機能が� 使えませんのでご注意ください。本書ではWindows XP Professionalでの動作を説明しています。�◎さまざまな状況において、ハードやデータの保護を保証するものではありません。ご注意ください。�◎TPMの設定においては複数のパスワード設定が必要となります。そのパスワードを忘れられた場合は暗号化したデータ� や設定などの復元が不可能となりますのでご注意ください。かならず、パスワードを控えてください。�◎ファイルやフォルダによっては暗号化をおこなうと、システムが起動しないなどの不具合が起きる場合があります。 むやみに暗号化をおこなわないでください。◎設定作業において、非常時の復元用ファイルなどを保存します。リムーバブルメディア(USBメモリやメモリーカード)への 保存をお願いいたします。◎お客様がTPMをご利用になり、または利用しない場合において発生した損害、損失については、弊社は一切責任を負いません。◎TPMの故障によって発生した損害、損失については、弊社は一切責任を負いません。�◎本機を修理に出される場合は、BIOSのパスワードなどすべてのパスワードを解除してください。
◎Personal Secure Drive (PSD) ..... 暗号化された記憶領域を作り、その中のファイルを保護します。�◎暗号化ファイルシステム(EFS) ..... ボリューム/フォルダ/ファイルに暗号化をおこないます。※1
◎電子メールの保護 ..... Outlook/Outlook Express/Netscape に対応しています。※2
◎Microsoft Word マクロへの署名 ..... Microsoft Word 2000/XP に対応しています。※2
◎ネットワーク接続の保護 ..... ユーザー証明を使用して認証をおこなうことができます。※2
※1 Windows XP Professional のEFS機能を利用します。Home Editionでは機能しません。※2 それぞれに対応した証明書が必要となります。証明書の発行についてはネットワークの管理者にお問い合わせください。
コンピュータの管理者�(Administratorなど)がおこなう設定です。
ユーザーごとにおこなう設定です。
1通常
HDD
暗号化したデータ
暗号鍵
ß
ß
TPM使用
HDD
暗号化したデータ
暗号鍵
ß
ßTPM
2
BIOSとユーティリティの設定をおこないます。設定をしましょう
Step 1. BIOSの設定BIOSの設定をおこないます。設定する項目は、以下の4項目です。 ・ TPM Security ・ Supervisor Password� ・ User Access level ・ User Password�
パスワードが2つ必要になります。異なるパスワードを用意してください。 ・ Supervisor Password ・ User Password
BIOSメニューはßàáâキーで移動/選択します。
TPM(セキュリティチップ)を有効にする① PC本体の電源をONにします。② SOTECロゴの表示画面でF2キーを押します。
⑤ Change Supervisor Passwordを選択しEnterキーを押します。⑥ Enter New Passwordと表示されたら任意のパスワードを入力し Enterキーを押します。⑦ Confirm New Passwordで同じパスワードを入力しEnterキー を押します。⑧ Password installed.と表示されたら[Ok]のままEnterキーを 押します。
以上でSupervisor Passwordが設定されます。つづけてUser Passwordの設定をおこないます。
User Passwordを設定するSupervisor Password同様に、BIOS SETUP UTILITY起動時のパスワード設定です。Supervisor PasswordとUser Passwordを使い分けることで設定を容易に変更される危険が低くなります。User PasswordはSupervisor Passwordが設定されているときに設定できます。(Supervisor Password設定後に、この項目は表示されます。)
① PC本体の電源をONにします。② SOTECロゴの表示画面でF2キーを押します。③ BIOS SETUP UTILITYが表示されます。④ Securityを選択します。
はじめに、User Passwordでのアクセスレベルを設定します。⑤ User Access levelを選択しEnterキーを押します。⑥ Optionsが表示されます。選択肢から選びEnterキーを押します。 Limitedの設定をお勧めします。
No access BIOS SETUP UTILITYは起動せず、 Windowsが起動します。 View Only 各項目の閲覧のみできます。 Limited 日時の設定のみできます。 日時以外は閲覧のみ可能です。 Full Access Supervisor Password同様にすべての項目を 設定できます。
次に、User Passwordを設定します。⑦ Change User Passwordを選択しEnterキーを押します。⑧ Enter New Passordにパスワードを入力しEnterキーを 押します。⑨ Confirm New Passwordに同じパスワードを入力しEnterキーを 押します。⑩ Password installed.と表示されたら[Ok]のままEnterキーを 押します。⑪ F10キーを押します。⑫ 確認のメッセージが表示されます。[Ok]を選択してEnterキーを 押します。以上でUser Passwordが設定されます。
③ BIOS SETUP UTILITYが表示されます。�
④ àキーでSecurityを選択します。⑤ âキーでTPM Securityを選択しEnterキーを押します。⑥ Optionsが表示されます。 âキーでEnabledを選択しEnterキーを押します。⑦ F10キーを押します。⑧ 確認のメッセージが表示されます。[Ok]を選択して Enterキーを押します。�
以上でTPM(セキュリティチップ)が有効になります。
Supervisor Passwordを設定するSupervisor Passwordを設定するとBIOS SETUP UTILITY起動時にパスワードの入力が必要になります。このパスワードでBIOSを起動した場合、BIOSすべての項目を設定/変更できます。① PC本体の電源をONにします。② SOTECロゴの表示画面でF2キーを押します。③ BIOS SETUP UTILITYが表示されます。④ Securityを選択します。
以上の設定はTPM Security Clearで初期化することができます。初期化されないように、Supervisor PasswordおよびUser Passwordを設定されることをお勧めします。
2
3
Step 3. Security Platform の初期化
① 以下のメッセージが表示される場合は、吹き出しをクリック� します。または、タスクトレイの をダブルクリックします。
ここでは、ご購入後はじめてインストールされた直後の手順�を説明しています。リカバリ後、再度設定される場合と異なり�ます。表示される内容に注意して設定をおこなってください。
② 【Infineon Security Platform 初期化ウィザード】が表示されます。� 次へボタンをクリックします。
③ 【初期化】が表示されます。新しくSecurity Platform を初期化� するを選択し、次へボタンをクリックします。
④ 【Security Platform 所有者を作成します。】が表示されます。� パスワードとパスワードの確認入力に任意のパスワード� を入力し、次へボタンをクリックします。� 所有者のパスワードを必ず控えてください。
Security Platform の初期化をします。管理者(Administratorなど)がおこなう設定です。ウィザードで設定をおこないます。
パスワードが3つ必要になります。�異なるパスワードを用意してください。�
・ 所有者のパスワード� ・ 復元用トークンのパスワード ・ パスワード リセット トークンのパスワード
Step 2. Security Platform のインストール
BIOSの設定後、インストールをおこなってください。
③ 【Infineon TPM Professional Package - InstallShield Wizard】が� 表示されます。� 以降は表示される手順に従い、インストールを進めてください。
④ 【InstallShield ウィザードを完了しました。】と表示されたら、 完了ボタンをクリックします。� README ファイルの表示にチェックをつけている場合、 READMEファイルが表示されます。
④ 再起動を促すメッセージが表示されたら、はいボタンを� クリックします。Windowsが再起動します。
① スタートボタンをクリックします。すべてのプログラム à� アプリケーション セットアップ ランチャー à セット� アップ ランチャーを選択します。�② 【アプリケーション セットアップ ランチャー】が表示され� ます。Infineon Security Platform (TPM) セットアップを� 選択し実行ボタンをクリックします。
Security Platform のインストールをおこないます。�管理者(Administratorなど)がおこなう設定です。�インストール後に再起動が必要となります。
以上でSecurity Platformのインストールは完了です。
4
⑤ 【機能】が表示されます。次へボタンをクリックします。�
⑥ 【自動バックアップ】が表示されます。 下記の設定をおこない、次へボタンをクリックします。� ・�バックアップの場所�� �参照ボタンをクリックし、自動バックアップを保存する�� �場所を指定します。下図ではマイドキュメントに保存する� �設定をしています。� ・�スケジュール� �スケジュールボタンをクリックします。バックアップを�� �おこなうスケジュールを設定します。�
パスワードを忘れるとSecurity Platformが管理できなくなります。忘れないように注意してください。
⑦ 【緊急時復元】が表示されます。� 新しい復元用トークンを作成するを選択します。 参照ボタンをクリックし、復元用トークンを保管する� 場所を指定します。
パスワードとパスワードの確認入力に任意のパスワード� を入力し、次へボタンをクリックします。� 復元用トークンのパスワードを必ず控えてください。
⑧ 【パスワードリセット】が表示されます。� 新しいトークンを作成するを選択します。 参照ボタンをクリックし、パスワード リセット トークンを� 保管する場所を指定します。
Security Platform 初期化ウィザードが終了します。�
以上でSecurity Platformの初期化は完了です。
⑨ 【サマリー】が表示されます。次へボタンをクリックします。
⑩ 【ウィザードが正常に終了しました。】と表示されます。� 自動バックアップを今すぐ起動にチェックを入れて、 完了ボタンをクリックします。
リムーバブルメディアに、保管してください。下図では、メモリーカードを指定しています。
パスワードを忘れると緊急時復元ができなくなります。忘れないように注意してください。
リムーバブルメディアに、保管してください。下図では、メモリーカードを指定しています。
パスワードとパスワードの確認入力に任意のパスワード� を入力し、次へボタンをクリックします。� パスワード リセット トークンのパスワードを必ず控えて� ください。
パスワードを忘れるとパスワードのリセットができなくなります。忘れないように注意してください。
ここでの自動バックアップを今すぐ起動は、タスクの開始を設定するもので、バックアップはおこなわれません。
5
Step 4. Security Platform ユーザーの初期化
① 以下のメッセージが表示される場合は、吹き出しを� クリックします。または、タスクトレイの をダブル クリックします。
基本ユーザーパスワードを使い、暗号化したファイルなどにアクセスします。�パスワードを忘れると暗号化したファイルへのアクセスなどができなくなります。忘れないように注意してください。
② 【Infineon Security Platform ユーザー初期化ウィザード】が表示� されます。次へボタンをクリックします。
③ 【基本ユーザー パスワード】が表示されます。� パスワードとパスワードの確認入力に任意のパスワード� を入力し、次へボタンをクリックします。� 基本ユーザー パスワードを必ず控えてください。
Security Platform ユーザーの初期化をおこないます。�Windowsのユーザーアカウントごとに設定をおこないます。�ログインしたユーザーごとに設定され、他のユーザーからは変更ができません。ウィザードで設定をおこないます。
パスワードが1つ必要になります。 ・ 基本ユーザーパスワード
アイコンが表示されていない場合は、一度ログオフまたは再起動をおこなってください。
④ 【基本ユーザー パスワード リセット】が表示されます。� 緊急時の基本ユーザー パスワードのリセットを有効にする を選択します。 参照ボタンをクリックし、個人シークレットの場所を 指定します。指定後、次へボタンをクリックします。
⑤ 【パスワードと認証】が表示されます。� 次へボタンをクリックします。
⑥ 【Security Platform の機能】が表示されます。� 次へボタンをクリックします。
⑦ 電子メールの保護の設定が表示されます。 各メールクライアントのボタンをクリックすると、 オンラインヘルプの説明箇所が開きます。 ここでは具体的な設定はおこないません。ヘルプをお読みに なった後に、次へボタンをクリックします。
リムーバブルメディアに、保管してください。下図では、メモリーカードを指定しています。
6
⑧ 暗号化証明書が表示されます。
⑨ Personal Secure Drive の設定が表示されます。� ・�Personal Secure Drive に割り当てるドライブ文字を選択 します。 注意: Zドライブは選択しないでください。� ・�Personal Secure Drive のドライブラベルは既にある ドライブ名と異なるようにしてください。� ・�Personal Secure Drive をログオン時にロードするに チェックを入れてください。� 設定後、次へボタンをクリックします。
選択ボタンをクリックすると、� 【Infineon Security Platform 証明書の選択】が表示されます。
作成ボタンをクリックすると自己署名付き証明書を作成しま� す。リストから証明書を選択し、選択ボタンをクリックします。
詳しくはヘルプボタンをクリックしてオンラインヘルプを� 参照してください。
暗号化証明書に戻ります。次へボタンをクリックします。
⑩ ひきつづきPersonal Secure Drive の設定が表示されます。� ・�容量の設定をします。� ・�Personal Secure Drive が保存される既存のドライブを 選択します。� 設定後、次へボタンをクリックします。
⑪ 設定の確認が表示されます。次へボタンをクリックします。
⑫ PSD 作成プロセスが表示されます。
⑬ 【ウィザードが正常に終了しました。】と表示されます。� 完了ボタンをクリックします。
Security Platform ユーザー初期化ウィザードが終了します。�
以上でSecurity Platform ユーザーの初期化は完了です。�
マイコンピュータを開くと、Personal Secure Drive(PSD)が�作成されています。このドライブはPSDを作成したユーザーが�ログインしたときだけ表示されます。
7
Step 3. Security Platform の初期化の⑩で、自動バックアップを今すぐ起動にチェックを入れて、初期化を完了しますが、バックアップ自体はスケジュールで設定した時刻までおこなわれません。お使いになる前に、Security Platform キーと証明書および設定のバックアップをおこなってください。
① タスクトレイの をクリックし、Security Platform を管理 するを選択します。
② 【Security Platform 設定ツール】が表示されます。
③ 【バックアップ】のタブを選択し、バックアップボタンを クリックします。
④ 【Security Platform バックアップ ウィザード】が開きます。 Security Platform キーと証明書および設定をバックアップする 場所を指定します。 同時に PSD(Personal Secure Drive)のバックアップをおこなう ことができます。バックアップするにはPSDと同じ容量の空き 領域が必要です。チェックをいれて、場所を指定します。 下図ではマイドキュメントに保存する設定をしています。
ユーティリティをお使いになる前にお読みください。TPMをお使いになる前に
バックアップについて
3
⑤ 【サマリー】が表示されます。次へをクリックします。
⑥ 【ウィザードが正常に終了しました。】と表示されます。� 完了ボタンをクリックします。
Security Platform バックアップ ウィザードが終了します。以上でバックアップは完了です。
8
ユーティリティを使ってできることを説明します。TPMを使いましょう
Security Platform 設定ツールについてSecurity Platformを使い、設定をおこなったり、いろいろな機能を使うことができます。�
① タスクトレイの をクリックし、Security Platform を管理 するを選択します。
② Security Platform 設定ツールが表示されます。
機能を一時的に無効にする次回のシステム再起動まで、TPM機能を無効にしておくことができます。(機能を有効にするときには再起動が必要になります。)�
① タスクトレイの をクリックし、次回システムを起動する まで、Security Platform を一時的に無効にするを選択します。
それぞれのタブや機能については、各タブごとのオンライン� ヘルプを参照してください。 オンラインヘルプは、 をクリックし表示させます。� ここでは簡単にタブの説明をします。全般 Security Platform の状態などを確認することができます。ユーザー設定 ログインユーザーのセキュリティ関連を設定できます。バックアップ� Security Platform のキーと証明書、設定およびPersonal Secure Driveのバックアップ、復元をおこなうことができます。移行� TPMを搭載した新しいPCに移行する場合に、設定(暗号鍵や� 証明書)を移動させるときに使います。 この機能を利用できるのはWindows XP Professionalの場合� のみです。パスワードリセット ログインユーザーのパスワードのリセットをおこなうことが できます。アドバンス Security Platform のパスワードの設定をおこなうことができ� ます。管理者(Administratorなど)の場合に表示され、設定を� おこなうことができます
機能を有効にする場合は、PCを再起動します。
4
パスワードの有効期限について基本ユーザーパスワードの有効期限は42日間です。設定後42日経過すると、パスワードの変更を求めるメッセージが表示されます。
① メッセージが表示されている場合は、メッセージをクリックし ます。
② 【基本ユーザー パスワードの変更】が表示されます。 古いパスワードに今までのパスワードを、 新しいパスワード、新しいパスワードの確認入力、それぞれに 新しいパスワードを入力し、OKボタンをクリックします。
③ 以上でパスワードの変更は完了です。
メッセージが表示されていない場合は、タスクトレイの を右クリックし、基本ユーザー パスワードを変更してくだ さいを選択します
同じパスワードは設定できません。新しいパスワードが� 必要となります。忘れないように注意してください。
9
ユーティリティを使ってできることを説明します。TPMを使ってできること
Personal Secure Drive (PSD)Personal Secure Drive (PSD)は、暗号化された仮想ドライブを作成し、データを保護する機能です。Personal Secure Drive (PSD)は、作成したユーザー以外には、ドライブ自体を見ることができません。
ユーザーの初期化ウィザードの手順で、設定をおこなう手順があります。設定の変更についてはSecurity Platform 設定ツール�à ユーザー設定タブでおこないます。�
Personal Secure Drive (PSD)を表示させる(=ロードする)には、2種類の方法があります。 ・ログオン時に自動的にロードする ・必要なときにロードする�
① タスクトレイにある をクリックし、Personal Secure Drive� を選択します。� ロードするを選択するとPSDがロードされます。�
その他にできることTPMを使って以下のことができます。ただし、それぞれに対応した証明書が必要になります。証明書については、ネットワークの管理者にお問い合わせください。・電子メールの保護・Microsoft Wordマクロへの署名・ネットワーク接続の保護具体的な手順については、オンラインヘルプをご参照ください。
すでにPersonal Secure Driveがロードされている場合は、アンロードするが表示されます。
暗号化ファイルシステム (EFS)ファイルやフォルダを暗号化する機能です。Security Platform 設定ツールで認証されたユーザー以外は、読み書きできなくなります。
下記のフォルダやファイルは絶対に暗号化しないでください。◎ システムフォルダやアプリケーションのフォルダ◎ Documents and Settings(マイドキュメントフォルダ全体)◎ Security Platformの初期化、ユーザーの初期化、または設定� ツールで作成したトークンやバックアップのファイル
フォルダやファイルの暗号化は、次の手順でおこないます。① 暗号化するフォルダまたはファイルを選択し、プロパティを 表示させます。(ファイルメニューから選択するか、選択して 右クリックをして表示されるメニューから選択します。)② 【全般】タブにある詳細設定ボタンをクリックします。③ 内容を暗号化してデータを� セキュリティで保護するに チェックをつけます。� OKボタンをクリックします。� 以上で暗号化されます。
暗号化したいファイルがある場合、そのファイルのみで�暗号化をおこなうか、フォルダを新規に作成し、そのフォルダ�に対して暗号化をおこなうことをおすすめします。
○EFSはWindows XP Professionalの機能を使います。�○ボリュームを暗号化することはできますが、システムや アプリケーションの動作に不具合を起こす場合があり� ます。ボリュームを暗号化することはおすすめできません。�○EFSはNTFSでフォーマットされたドライブで機能します。 FAT32などでフォーマットされたドライブでは、ファイル� やフォルダの暗号化はできません。
5
オンラインヘルプをご利用ください。困ったときには
修理に出す前のご注意本製品を修理に出される前には、BIOSおよびSecurity Platformのパスワードすべてを解除してください。また、ログイン時のパスワードも解除してください。修理後にSecurity Platformの設定を復元するために、所有者パスワード、復元用トークンを安全に保管してください。Security Platformの復元については、お客様自身でおこなっていただく必要があります。Security Platform 設定ツールを使い、バックアップタブ à 復元でおこないます。オンラインヘルプのSecurity Platform アドバンス操作 àSecurity Platform データのバックアップと復元をご参照ください。
復元についてリカバリをおこなう場合は、復元作業が必要となります。事前に、オンラインヘルプのSecurity Platform アドバンス操作 àSecurity Platform データのバックアップと復元をご参照ください。
最新の情報についてアップデータや最新の情報についてはソーテックオンラインサポートをご覧ください。ソーテックオンラインサポートについては、マニュアルに記載がありますので、ご参照ください。
6
©2006 株式会社ソーテックセキュリティ・ガイド 第2版