Loading...

ナレッジセンター


FAQ - Endpoint Encryption for PC 6.x.x
技術的な記事 ID:  KB66700
最終更新:  2014/03/04
評価:


環境

McAfee Endpoint Encryption for PC (EEPC) 6.x
McAfee Endpoint Encryption GO (EEGO) 1.0

  

概要

この記事は、よくある質問と回答をまとめた一覧で、主にこの製品を初めて使用するユーザー向けですが、すべてのユーザーが使用できます。

EEPC 6.2 Patch 1 は、マカフィーのダウンロード サイトから入手できる最新の EEPC 6 のリリースです。この記事で説明した問題を解決する、より新しいパッチがリリースされると、この記事は更新されます。

注: EEPC 6.x は、EEPC 7.0 で置き換えられました。EEPC 7.0 のリリースノートを確認するには、PD24143 を参照してください。EEPC 7.0 がサポートする環境の詳細については、PD24143 を参照してください。
 

解決策

コンテンツ:
全般 ライセンス、およびさまざまな話題を含む製品情報。
互換性 オペレーティング システムePO/MA、およびActive Directory を含む、製品とソフトウェアの間の関係。
インストール/アップグレード インストールアップグレード、移行、および削除に関する情報。
設定 ベストプラクティス、最適化、設定、カスタマイズおよびバックアップを含みます。
機能 PBFSプリブートクライアントユーザーレポートスクリプトトークン復旧および EEGO を含む製品の特長と機能



 Opal のみ:
Opal 全般 製品情報、TCG、およびその他の話題。
Opal 互換性 オペレーティング システム、および S3 を含む、製品とソフトウェアの間の関係。
Opal
インストール/アップグレード
配備、インストール、アップグレード、移行、および削除に関する情報。
Opal 設定 ベストプラクティス、最適化、設定およびカスタマイズを含みます。
Opal 機能
ユーザー暗号化復旧ロック/ロック解除、および範囲を含む、製品の特長と機能。



全般

EEPC 6.1 Patch 3 が一時的に McAfee ダウンロード サイトから削除された理由は何ですか?
EEPC 6.1 Patch 3 with Hotfix 7409862 の削除と再掲載の詳細については、KB74231 を参照してください。


バージョン 5.x のライセンスは EEPC 6.x に施行されますか?
いいえ。バージョン 5.x のライセンス メカニズムはバージョン 6.0 には実装されていません。代わりに EEPC 6.x は ePO ライセンス メカニズムを使用します。


Endpoint Encryption Manager (EEM) で EEPC 6.x クライアントを管理できますか?
いいえ。バージョン 6.0 クライアントは ePO でのみ管理できます。


EEM は EEPC 6.x で利用できますか?
いいえ。ePO は、バージョン 6.x 用の管理コンソールです。


職場で共用のラップトップを使用している場合、EEPC 6.x での設定方法に変更点がありますか?
いいえ。バージョン 5.x と 6.0 の間で、手順全体に変更はありません。バージョン 6.0 で複数のユーザーをクライアントに割り当てる必要がある点は、バージョン 5.x と同じです。


EEPC 5.x で複数の通信サーバーがある場合、EEPC 6.x 環境ではどのように設定すればよいですか?
EEPC 6.x には通信サーバーはなく、必要もありません。 McAfee Agent が、クライアントと ePO サーバーの間の通信を処理します。ePO 4.5 には、Agent Handler という機能が含まれており、これがこの問題を解決します。


OptIn ユーザー、および OptOut ユーザーとは何ですか?
ログの中にこれらがあります(例: ポリシー施行に失敗: OptIn ユーザーを割り当てました)。OptIn ユーザーは、ePO でユーザー別のポリシー(UBP)の施行が 有効 に設定されたユーザで、OptOut ユーザーはUBP の施行が 無効 に設定されたユーザです。これは、OptIn ユーザーには、特定の UBP が適用され、OptOut ユーザーには、マシンに割り当てられた UBP が適用されることを意味します。

目次に戻る 

 

互換性
どのオペレーティング システムで EEPC がサポートされていますか?
KB68053 を参照してください。


EEPC 6 は、Intel Rapid Start (IRS) をサポートしていますか?
いいえ。 IRS には、SSD/ハードディスク ドライブ (HDD) に、ハイバネーション パーティションと呼ばれる追加のパーティションが必要です。このパーティションは、システムメモリと同じサイズかそれ以上である必要があります。このパーティションにはドライブ文字はありません。IRS は、ローパワー S3 ステートを提供し、S3 の DRAM にステートを保存する代わりに、メモリの内容を SSD の専用のパーティションに書き出します。BIOS が SSD への読み書きを実行するため、EEPC は SSD への書き込みに介入することはできません。したがって、DRAM 上の重要なデータは、暗号化されずにディスクに書き込まれます(これは、S3 および S4 ステートにのみ影響します)。

注: IRS 技術により、スリープからのシステムの復帰が高速化されます。これにより、時間と消費電力が節約できます。


EEPC 6.x は、エージェント ハンドラーを使用できますか?
はい、ただしいくつかの既知の問題を解決するために、EEPC 6.0 Patch 2 以降および McAfee Agent 4.5 Patch 2 以降が必要です。


EEPC 6 は、ハードウェア暗号化されたディスク (OPAL) をサポートしていますか?
EEPC 6.2 以降でサポートされています。


McAfee は、サポートされているシステム/BIOS リリースのリストがありますか?
いいえ。McAfee は、お客様が積極的に最新のBIOSアップデートを使用することを奨励しています。報告されているあらゆる問題は、問題点の記事に記載され、コンピューターの機種で検索することができます。


EEPC は、SSD をサポートしていますか?
はい、SSD は物理的なディスクを完全にエミュレーションしているためです。


McAfee では、EEPC が SSD を完全に暗号化したあとで、ファイル システム コマンドの TRIM を使用することを推奨していますか?
TRIM はいつ実行してもかまいませんが、SSD が暗号化されたあとで実行すると、パフォーマンスが改善されます。


EEPC は、Trusted Platform Module (TPM) 技術を統合して、認証情報をマザーボード上のチップに格納することにより、認証の安全性を高めていますか?
いいえ。製品改善リクエストを提出するには、関連する情報のセクションをご参照ください。


EEPC は、ディスク管理インターフェースあるいは DiskPart コマンド プロンプト経由の Windows 7 パーティションまたはボリュームの圧縮機能をサポートしていますか?
いいえ、EEPC の暗号化はセクター レベルのみで実行するためです。


EEPC 6.x は、Mac ハードウェア上の(Mac OS Xではなく)Windows オペレーティング システムにインストールできますか?
いいえ。Mac Boot Camp(Mac と Windows のデュアルブート)と Endpoint Encryption の詳細については、KB72978 を参照してください。


Windows のデフラグ ツールを、暗号化の最中にも使用できますか?
Windows のデフラグ ツールは、暗号化されたディスクでも使用できますが、McAfee では、暗号化の最中に使用することは推奨しません。デフラグ ツールを EEPC で使用する際の留意事項については、KB73032 を参照してください。


EEPC がインストールされている場合に、Windows のスリープ モードとハイバーネート モードのセキュリティの違いは何ですか?
ハイバネート モードでは、ハイバネーション ファイルを、暗号化されるディスクに書き込みます。ハイバネーションから復帰すると、プリブート認証がトリガーされます。これは、コールドブート起動と同じように安全です。スリープ モードでは、RAM の電源を維持し EEPC のプリブート認証をバイパスするため、Windows 認証だけが認証手段となります。


EEPC 6.x を使用するには ePO が必要ですか?
はい。ePO は、EEPC 6.0 用の管理コンソールです。Endpoint Encryption Manager は EEPC 6.x では使用できません。


EEPC 6.0 では、どのバージョンの ePO が必要ですか?
EEPC 6.0 には ePO 4.5 Patch 1 以降が必要です。それ以後のリリースの ePO でサポートされている EEPC のバージョンについては、 KB68053 を参照してください。


ePO サーバーがダウンすると、エンドポイントには何が起きますか?
製品がインストールされて有効化されている場合は、クライアントはキャッシュされたポリシーのコピーを使用して動作します。クライアントが ePO サーバーと通信できるようになるまでは、追加のポリシーの更新やユーザーの割り当ては行われません。製品がまだインストールされていない場合は、ePO サーバーが再度立ち上がるまでは、製品の有効化ができません。


ePO と EEPC 6.x で、バージョン 4.x mataha 5.x のクライアントの管理ができますか?
いいえ。EEPC 6.x は EEPC 6.x のクライアントのみを管理できます。


EEPC 6.x がサポートしている McAfee Agent の最低バージョンは何ですか?
EEPC 6.x は、McAfee Agent 4.5 以降をサポートしています。. これより古い McAfee Agent は EEPC 6.x では動作しません。


EEPC 6.x では McAfee Agent を使用する必要がありますか?
はい。McAfee Agent は、ePO サーバーと通信してポリシーと製品の更新を受信するために使用されます。EEPC 6.0 は、すべての通信に McAfee Agent を必要とします。ご使用のバージョンの ePO に、どのバージョンの McAfee Agent とパッチが必要かを判断するには、KB68053 を参照してください。


Active Directory は、EEPC 6.x に必要ですか?
はい、現在は必要です。ePO 4.5 のリリースは、Active Directory 用のみの LDAP をサポートしています。ePO チームは、今後のリリースで各種の LDAP をサポートする計画です。


Active Directory または LDAP サーバーを使用しない場合はどうなりますか?
Active Directory またはサポートされている LDAP サーバーを使用しない場合は、EEPC 6.0 は、ユーザー情報を参照できなくなります。たとえば、ユーザーをシステムに割り当てることができなくなります。


Novell ディレクトリは、EEPC 6 でサポートされていますか?
いいえ。この機能を含めるよう製品改善リクエストを提出するには、関連する情報のセクションをご参照ください。


sAMAccountName が、その証明書でチェックされるように施行することはできますか?
LDAP 同期を使用して sAMAccountName とその証明書を LDAP 同期タスクから取得できます。これにより、1 対 1 の関係が確立します。


「LADP ユーザー証明書を提供」を使用する際に、インポートされた複数の証明書がありそれぞれ異なるキーを使用(たとえば、認証用、暗号化用、署名用に異なるキーを使用)し、期限がすべて同じ場合は、そのキーが使用されますか(証明書のルールが定義されていない場合)?
製品は、見つけることのできる最新の証明書を使用し、その証明書についてキーの使用方法はチェックしません。


EEPC クライアントの証明書の有効期間を施行できますか?追加された証明書のルールに対する、証明書の有効期間の施行は、デフォルトで有効です。
いいえ。プリブート時の認証時に、証明書失効リスト (CRL) の確認はできません。実行されるチェックは、証明書が使用される時点で、まだ有効期間内であるかどうかの確認だけです。


EEPC のユーザー別のポリシー (UBP) の下で証明書ルールを使用して、証明書のユーザーが EEPC ユーザに正しくマップされているか確認できますか?
はい。ルール内の値が '%USERNAME%' の場合、これは EE LDAP サーバー ユーザー/グループ同期のための自動化されたサーバー タスクで定義された ユーザー名 属性で置き換えられます。


OpenLDAP はサポートされていますか?
いいえ。製品ステートメントの記事 KB73550 を参照してください。


EEPC 6.0 は、FIPS 140-1 と FIPS 140-2 に準拠し認定されていますか?
McAfee では、Endpoint Encryption for PC (EEPC) 6.x の FIPS 認定取得手続き中です。この手続きの進捗の詳細と、どのバージョンに影響があるかについては、KB74396 を参照してください。

EEPC を FIPS モードでコマンドラインからインストールする方法については、KB72802 を参照してください。


EEPC 6.x はインテル アンチセフト テクノロジーをサポートしていますか?
いいえ。インテル アンチセフト テクノロジーはサポートしていません。McAfee 製品管理部門では、将来のリリースに含める可能性について、利用ケースを評価中です。


EEPC 6.x クライアントは、Microsoft BitLocker と互換性がありますか?
いいえ、EEPC 6.x は、同一のシステム上で実行している Microsoft BitLocker や、他のディスク全体またはセクター レベルの暗号化ソフトウェアと互換性がありません。


EEPC 6.x は、Microsoft Encrypted File System (EFS) と互換性がありますか?
はい、EEPC 6.x と EFS は異なるレベルで動作し、相互影響がないため同時に利用できます。EFS はファイル レベルで暗号化し、EEPC はディスク レベルで暗号化します。


EEPC 6 Guidance Software EnCase と互換性がありますか?
はい。EEPC と Encase の統合には 2 つのフェーズがあります。詳細については KB72642 を参照してください。


Absolute Software Computrace Agent との互換性に問題はありますか?
はい、既知の問題の詳細については、KB73011 を参照してください。

注: Absolute Software は、McAfee Security Innovation Alliance プログラムの一部であり、Computrace Agent は ePO 4.0 でサポートされています。


JAWS for Windows スクリーン リーダー ソフトウェアを、視覚障害者のために、プリブート クライアントでサポートする計画はありますか?
JAWS は Windows のみのソフトウェア製品であり、プリブートの認証時点では、Windows が起動していないため、動作しません。


EEPC 6 は、ネイティブの Unified Extensible Firmware Interface (UEFI) BIOS を使用するブート システムをサポートしていますか?
いいえ。ただし、EEPC 7.0 リリースの新機能として含めることを予定しています。これがダウンロード サイトに掲載されたら、EEPC のサポート環境に関する記事が更新されます。詳細については、KB68053 を参照してください。

注:

  • UEFI は、古い BIOS を置き換えるものです
  • インテルが開発したオリジナルの EFI は、UEFI の好意により置き換えられました

インストール
EEPC では、インストール セットを作成する必要がありますか?
いいえ。EEPC 6.x には、インストール セットという概念はありません。代わりに、必要なファイルと機能をすべて含む、単一のインストールがあります。 これにより、ePO 配備タスクを使用したインストールが可能になります。


EEPC 5.x を EEPC 6.0 にアップグレードできますか?
以下のバージョンから EEPC 6.0 に移行が可能です。
  • EEPC 5.1.7、EEPC 5.1.8、および EEPC 5.1.9
  • EEPC 5.2.x 以降

詳細については、KB68016 を参照してください。EEPC の後続のリリースについては、アップグレード情報のリリース ノートを参照してください。


EEPC 6 にアップグレードする際には、クライアントを復号して再度暗号化する必要がありますか?
いいえ。アップグレード プロセスは、古いエージェントから新しいエージェントにキーを転送するように設計されています。これはマカフィーが行う通常のアップグレード方法です。(Endpoint Encryption 4 から 5 へのアップグレードも同様でした。)


ハードディスクが暗号化されていてもオペレーティング システムをアップグレードできますか?
はい - Windows XP と Windows 7 では可能です。 詳細については、以下を参照してください。

  • PD23245 - Endpoint Encryption for PC 6.x Windows OS の更新のための推奨プロセス ガイド
  • KB73035 - EEPC 更新ツールを使用して、標準の Microsoft ツールを使用したオペレーティング システムの更新を可能にする方法


Windows OS の更新手順は、クライアントが FIPS モードでもサポートされていますか?
はい。FIPS 準拠性は、検証済み OS から別の 検証済み OS に移行する場合でも変わりません。OS の更新プロセスで新しい暗号化キーを生成する必要はないため、すでに作成された FIPS インストールに介入は必要はありません。


EEPC 6.1 にアップグレードするには、どのバージョン/ビルドの EEPC 5 が必要ですか?
EEPC 5.1.7 以降のクライアントとサーバーのみの移行がサポートされています。5.1.x をご使用の場合は、McAfee では、まず EEPC 5.2.x にアップグレードすることを推奨します。詳細については、PD23082 を参照してください。


EEPC 6.1 にアップグレードせずに、EEPC 5 の使用を継続する理由はありますか?
はい。EEPC 6 には、Active Directory が必要です。ユーザー管理に Active Directory を使用していない場合は、EEPC 5 の使用を継続してください。他の LDAP をサポートする計画がロードマップにはありますが、すぐに EEPC 6.1 で利用可能にはなりません。



サーバーで、段階的なアップグレードは可能ですか? それとも、すべてのエンドポイントにただちにアップグレードが配備されますか?
ePO では、段階的な配備が可能です。単一のシステムまたはテスト グループに対してアップグレードが可能です。ePO ではまた、レポートとダッシュボードでアップグレードの進捗を追跡できます。また、サードパーティ ツールを使用して EEPC 6.1 インストーラを段階的に配備することもできます。



アップグレードにはどのような手順が含まれますか?
アップグレードするには、EEPC 5 エージェントに、EEPC 6 エージェントを上書き配備します。 McAfee は、この手順を詳細に説明するアップグレード ドキュメントを提供しています。詳細については、PD23082 を参照してください。



ポリシーの転送はどうすればできますか?
ポリシーの転送はできません。ePO のポリシーは異なっているため、アップグレード プロセスの中で、EEPC 5 ポリシーを EEPC 6 に手動で移行します。多くの場合、この作業には 20 分ほどかかります。


この移行作業の間、クライアントを復号して再度暗号化する必要がありますか?
いいえ。移行作業の間、復号して再度暗号化する必要はありません。


EEPC 6 のどのバージョンを使用すると、移行作業の際に、ユーザーの暗証番号(PIN)とパスワードを保持することができますか?
EEPC 6.1 Patch 1 以降を使用してください。 Endpoint Encryption for PC 6.1 Patch 1 のリリースノート (PD23187) に、このリリースでユーザー トークン(パスワード)、シングル サイン オン、およびセルフ リカバリについて、これらが利用可能な場合は、5.x.x データベースから EEPC 6.1 Patch 1 へのエクスポートとインポートがサポートされていることが記載されています。


EEPC 5.x から version 6.x へ移行する場合は、ポリシーが再作成する必要がありますか?
はい。 移行する際には、ePO のさまざまなポリシーを適切に設定する必要があります。


移行の際に、すべてのシステムを一度にアップグレードする必要がありますか?
いいえ。EEPC 5.x と 6.x は同時に実行できますが、2 つの別のコンソール(EEPC 6.x には ePO、EEPC 5.x には EEM)から管理します。


EEPC 6.x クライアントを別の ePO サーバーに移行することができますか?
はい。 これは、EEPC 6.1.x 以降のクライアントで可能です。これは、EEPC 6.1.0 ベスト プラクティス ガイドの、マシン キー管理ガイドに記載されています。詳細については、PD23081 を参照してください。


既存の EEPC 5.x サーバーを ePO サーバーとして使用できますか? それとも新しいサーバーに移行する必要がありますか?
答えは、現在のバージョン 5.x サーバーの仕様によって異なります。 EEPC 5.x からバージョン 6.x への移行の際には、両方の管理コンソールがサーバー上で実行されるため、性能が低下する可能性があります。お客様の完了の確認のために McAfee の担当者にご連絡ください。

注: ePO サーバー全体と(EEPC の暗号化キーを保持している)データベースを移行することもできます。詳細については、KB68427 を参照してください。


EEPC 5.x からバージョン 6.x への移行時に、複数のバージョン 5.x 管理センターを単一のバージョン 6.x にマージすることができますか?
はい。EEPC 5.x からバージョン 6.x への移行には、バージョン 5.x からの情報のエクスポートが含まれます。さまざまなシステムから情報をエクスポートして、単一のバージョン 6.x システムにすべてをインポートすることができます。


移行機能が利用可能になったら速やかにバージョン 5.x から移行する必要がありますか?
いいえ。ただちに移行する必要はありません。バージョン 5.x は、しばらくの間サポートされ、McAfee の標準ポリシーに基づいてサポートが継続されます。


Will WinTech および SafeTech は、EEPC 6.1 で暗号化されたエンドポイントで動作しますか?
いいえ。サポート ツールをアップグレードする必要があります。新しいツールは EETech と呼ばれ、以前のツールと似ています。これはスタンドアロン バージョンと Windows アプリケーションで提供され、PE 環境に組み込んだり、リカバリ ワークステーションから実行して、スレーブ ドライブからデータを復旧することができます。



Web ヘルプデスクの機能は EEPC 6 でも利用できますか?
いいえ。ePO の復旧機能とローカル ユーザの復旧機能が、Web ヘルプデスクを置き換えます。

目次に戻る 

 

設定

ユーザー プロパティはどうすれば設定できますか?
ユーザー ベースのポリシー、クエリー、EPE ユーザー、アクションからできます。


EEPC コンピューターと障害時復旧用のユーザー データはどうすればバックアップできますか?
すべてのコンピューターとユーザーの復旧情報は ePO データベースに格納されます。ePO データベースのバックアップ方法の詳細については、KB66616 を参照してください。

目次に戻る 

 

機能
プリブート ファイルシステム(PBFS)のデフォルト サイズはどれくらいですか?
20 MB です。


Endpoint Encryption Agent (EEAgent) 拡張機能は、前のリリースと後方互換性がありますか?
はい。


どのような問題が、プリブートの失敗につながりますか?
一般的な例としては、ハードディスクのエラー、システムのウィルス感染、あるいは EEPC 6 製品のハイバネーション エラーなどがあり、これらは最新のリリースで解決されます。 最初の主な PBFS の改善は、EEPC 6.1 Patch 2 に反映されます。詳細については、KB73381 を参照してください。


どのフォーマットのディスクがサポートされていますか?
Windows の基本フォーマットのディスクのみがサポートされています。ダイナミック ディスクと GUID パーティション テーブル (GPT) ディスクは現在サポートされていませんが、EEPC 7.0 でサポートされます。この記事は、これが McAfee ダウンロード サイトに掲載されるときに更新されます。

注: BIOS ベースのシステムは、プライマリ GPT ディスクからブートできませんが、GPT ディスクは EEPC 7 以降では、BIOS ベースのシステムのセカンダリ ディスクとしてサポートされます。逆に、UEFI ベースのシステムは、プライマリ GPT ディスクからのみブート可能です。


デフォルトの PBFS では何人のユーザーを登録できますか?
約 350 ユーザーです。


EEPC 6 以降は、デュアル ブート システムでサポートされていますか?
いいえ。EEPC はデュアル ブート システムでテストされていないため、サポートは提供されません。現在、マーケットのニーズが低く、現在のロードマップに含めるべき製品と考えられていません。製品改善リクエストを提出するには、関連する情報のセクションをご参照ください。


PBFS ではユーザーあたりの占有容量はどれくらいですか?
約 8~10 KB です。


スクリプトに使用できる WEB API コマンドはありますか?
はい。 EEPC 6.1 Patch 2 のスクリプト ガイドについては、PD23437 を参照してください。


PBFS のデフォルト サイズは変更できますか?
はい。 これはサーバーのポリシーで設定します。


アップグレード時に、PBFS を変更できますか?
はい。EEPC 6 のライセンス登録 (EEPC 5 のアップグレードおよび新規インストールの両方) で、新しい PBFS が EEPC 6 のポリシーで指定されたサイズのまったく別のホスト ファイルに作成されます。EEPC 6 のライセンス登録が正常に完了した後にのみ、EEPC 6 PBFS への切り替えが(MBR の更新により)行われます。


プリブート環境で発生するイベント(不正なログインの試行など)を確認することができますか?
はい。ログイン後に、MfeEpe.log を参照してください。


プリブート時の認証で表示する言語を指定できますか?(デフォルトではローカルで設定された言語が選択されます。)
言語設定を自動的に行うポリシーがありません。 システムは常にオペレーティング システムで設定された言語をデフォルトとしています。 ただし、プリブート時に、オプションから代替の言語を選択できます。一旦変更されると、その設定はそのユーザーに対しては維持されます。


単一ユーザーに対して配備した後で、PBFS のサイズを増加すると、PBFS のサイズ変更は配備されたクライアントに反映されますか?
いいえ。 PBFS のサイズ設定は、PBFS の作成時および復旧時の再作成時にのみ適用されます。


PBFS には何が含まれていますか?
PBFS には、ユーザーを認証するために必要な情報がすべて含まれいます。これには以下が含まれますが、これらに限定されません。
  • プリブート環境に必要なファイル
  • サポートされているクライアント言語の言語ファイル
  • すべてのサポートされている言語から文字を表示するフォント
  • クライアントに割り当てられたテーマ
  • クライアントに割り当てられたユーザー

プリブートのテーマは EEPC 6 のものと同じですか?
いいえ。テーマの設定はサーバー固有の設定に依存します。バージョン 6.0 では、プリブート環境の背景画像などのテーマの変更が容易になっています。


プリブートのテーマは作成/変更が可能ですか?
はい。ePO では、テーマは容易に作成と変更が可能です。


プリブートと自動起動はそれぞれどのような場合に使用しますか?
自動起動では、コンピュータのパッチの適用の自動実行が可能です。これは固定的な動作モードとしては設計されていません。それは、セキュリティの効果がゼロで、データ保護規制に対応した保護を提供しないためです。

米国標準技術局(NIST)のエンドポイント暗号化に関するホワイトペーパーでは、プリブートの認証の使用がベストプラクティスであるとされています。 
詳細については、http://csrc.nist.gov/publications/nistpubs/800-111/SP800-111.pdf を参照してください。


EEPC 6.x のカスタム テーマの要件はどのようなものですか?
カスタム テーマは以下の要件を満たすように作成してください。

  • 画像サイズは 1024 x 768、ファイル形式は .PNG にします。
  • サイズはおよそ 600 KB
注: EEPC 6.0 製品ガイドで説明している手順には、EEPC 6.x のカスタム テーマの作成に必要なすべての情報を提供していません。


EEPC 6.x を英語以外のオペレーティング システムに初めてインストールする際に、プリブート時に英語キーボードの使用を指定できますか?
いいえ、利用できません。デフォルトでは、EEPC インストーラーは、製品のインストール先の、ローカライズされた Windows オペレーティング システムの言語に関連付けされ、ローカライズされたキーボードを表示します。


Windows のブート可能な CD を暗号化されたシステムで使用できますか?
ブート可能な CD は暗号化されたシステムで動作しますが、ハードディスクへのアクセスはできません。ディスク全体を暗号化するメリットの 1 つは、認証なしにハードディスクにアクセスする目的で、ブート可能なドライブを使用することを防げることです。Windows が正常に動作していない場合に、Windows セットアップ ディスクを使用して修復するには、Windows の修復ツールを使用する前に、ドライブを復号する必要があります。


バージョン 5.x のユーザーには、プリブート認証画面が表示されません。自動起動に関する特別な考慮事項がありますか?
自動起動の機能はバージョン 6.0 で利用可能ですが、実装が異なっています。バージョン 5.x では、自動起動用のユーザー アカウントがあり、これがクライアントのブートに使用されます。バージョン 6.0 では、自動起動の機能はポリシーの設定項目で、自動起動用のユーザーは必要ありません。このポリシーを有効化することにより、自動起動が有効になります。


どのクライアントに EEPC バージョン 6.x がインストールされているか、あるいは暗号化されているかどうかを、どうすれば確認できますか?
ePO では、インストールされ暗号化されているクライアントは、標準の EEPC レポートに表示されます。ePO データベース内の各システムに関する情報に、暗号化されているかどうかが表示されています。


各クライアントのプロパティはどのようにして設定しますか?
製品の設定ポリシーで設定します。


各クライアントの暗号化のプロパティはどのようにして設定しますか?
製品の設定ポリシーで設定します。


エンド ユーザーにはどのような影響がありますか?
アップグレードはバックグラウンドで実行されるため、ユーザーの介入は必要ありません。ただし、ユーザーは、EEPC 6.1 のプリブート環境を最初に使用する際に新しいパスワードの作成が必要になります。


バージョン 6.x ではユーザーを作成できますか?
バージョン 6.x では、ユーザーは手動では作成されません。代わりに、これらのユーザーは Active Directory またはその他の LDAP サーバーから参照されます。重要なワードが参照されます。一部のユーザー情報は EEPC によって ePO 内に保持されますが、通常は参照されます。バージョン 6.0 では、ユーザーの作成は、バージョン 5.x と同じようには作成できません


ePO サーバーが利用できない場合でも、ユーザーは暗号化されたシステムにログオンできますか?
はい。 プリブート認証(PBA)は、ネットワーク接続を必要としません。


ePO サーバーがダウンしている場合でも、ユーザーはパスワードを変更できますか?
はい。パスワード変更はローカルで実行され、次回のエージェントからサーバーへの通信時に ePO サーバーに転送されます。


ローカル ユーザーはサポートされていますか?
いいえ。EEPC は、Active Directory または LDAP サーバーからユーザー情報を参照する必要があります。


ユーザーが、各種ポートやフロッピー ディスクを使用することを、どのようにして防止できますか?
EEPC バージョン 5.x には、基本デバイスの制御機能が含まれていました。これは、バージョン 6.0 では削除されました。これは、HOST DLP などの他の McAfee 製品で、選りすぐれた実装がされているためです。


EEPC 6 でもレポート ツールを使用できますか?
いいえ。レポート ツールはバージョン 6.0 では利用できません。すべての監査とログの情報はクライアントから ePO データベースに転送されて保存されます。ePO のレポート機能を使用すると、データベース内に保存された暗号化の状態、ステータス、およびさまざまなログを取得して必要なレポートを作成することができます。


バージョン 6.x には、標準的なレポートがありますか?
はい。 EEPC 6.x には、いくつかの標準レポートがあります。これらのレポートは、カスタム レポートのベースとして使用して、必要に応じたレポートを構成することができます。標準的レポートを例: インストールされている EEPC バージョン、EEPC がインストールされている(または、インストールされていない)マシンの一覧、EEPC がインストールされているマシンのステータス、など。


バージョン 6.x にはスクリプト機能がありますか?
重要:
いいえ。EEPC 5.x で利用できたスクリプト機能は、version 6.x では利用できません。 wPO にはスクリプト インターフェースがありません。


バージョン 5.x には、AutoDomain スクリプトがありましたが、このスクリプトの機能に何か変更がありますか?
AutoDomain サンプル スクリプトは、EEPC 6.x の中の数箇所に、製品の本来の機能として実装されました。互換性のない製品の機能は、競争力のある製品と互換性がないことがわかっている他の製品を検出します。ユーザーのクライアントへの自動的割り当てが、ポリシー設定として利用可能になりました。


トークンを初期化するにはどうすれば良いですか?
ePO からトークンを初期化する明示的なオプションはありません。トークンをユーザーに割り当てた後で、最初に使用する際にトークンは初期化されます。


バージョン 6.x で PKI トークンの動作に変更はありますか?
一般的に、PKI トークンは EEPC 6.0 では バージョン 5.x と同様に動作します。たとえば、トークンの初期化は、プリブート環境で行われ、証明書が Active Directory にある必要はありません。お使いのトークンに、明示的に説明されたこの機能がある場合を除き、機能はバージョン 5.x から変化はありません。


どのトークンが EEPC 6.x でサポートされていますか?
Endpoint Encryption for PC 6.x.x の認証に使用するトークンで、サポートされているものの一覧については、KB71555 を参照してください。


EEPC 6.x ではどのリーダーがサポートされていますか?
Endpoint Encryption for PC 6.x.x の認証に使用するリーダーで、サポートされているものの一覧については、KB71554 を参照してください。


すべての PKI トークンは、プリブート環境で自己初期化の機能を使用しますか?
EEPC 6.0 のアーキテクチャでは、自己初期化 PKI トークンが使用できます。McAfee がこの機能をトークンに明確に追加した場合を除き、バージョン 5.x での機能はそのままです。トークンが、自己初期化がサポートされているトークンのリストに明示されていない場合は、自己初期化されません。


2 つの RSA トークン(それぞれ異なるキーを持つ)を 1 人のユーザーに割り当てることができますか?
いいえ。他のトークン / キーを扱うには、新しいユーザー ID を作成する必要があります。
EEPC 6.x で、ハードディスクを部分的に暗号化することはできますか?
EEPC 6.2 以降のリリースでは、ソフトウェア暗号化を使用する場合は、新しいオプション 選択したパーティション を使用して部分的に暗号化することができます。

注: EEPC 6.2 より古いリリースでは、以下の暗号化オプションのみが利用可能です。
  • ディスクを暗号化しない
  • すべてのディスク
  • 起動ディスクのみ
  • 起動ディスク以外のすべてのディスク
     

製品設定ポリシーで、個別のディスクの暗号化を選択できないのはなぜですか?
この製品の設定は、EEPC と他のアプリケーションの両方で使用されます。それらの設定が ePO に導入あるいは完全に統合される場合は、その他の暗号化製品でも使用されます。たとえば、Endpoint Encryption for Mac OS/X では、C: ドライブや D: ドライブという概念がないため、これらは指定できません。どのドライブを暗号化するかに関して異なるオプションがあるのは、そういった理由によるものです。ソフトウェア暗号化のみでは、EEPC 6.2 以降ではこれが可能になっています。 Windows コンピューターでは、ボリューム名も選択できますが、Mac ではボリューム名のみが選択できます。


暗号化されたドライブは、パーティションを拡張する前に復号する必要がありますか?
はい。暗号化はセクター レベルで実装されているため、パーティションの容量が不足して、増やす必要がある場合、暗号化ソフトウェアを削除する必要があります。推奨される手順は、EEPC を削除して、パーティションのサイズを増やし、次にEEPC を再インストールすることです。


EEPC 6.x ではどのような暗号化アルゴリズムが利用できますか?
詳細については KB72723 を参照してください


使用中のハードウェアウェアで AES-NI がサポートされているかどうかは、どうすれば確認できますか?
初期の EEPC 6.0.x バージョンでは、プロセッサの仕様を確認する必要があります。EEPC 6.1.1 以降では、AES-NI がクライアントで使用されるかどうかは ePO コンソールに表示されます。


EEPC 6.x は、圧縮されたドライブをサポートしていますか?
EEPC は、起動ドライブのルート ディレクトリが圧縮されていない場合のみ、圧縮ドライブをサポートしています。


EEPC 6.x は、ハードディスク上の個別のファイルとディレクトリを保護できますか?
はい、EEPC はハードディスク上の個別のファイルとディレクトリを保護できます。ディスク全体の暗号化を使用する場合は、ハードディスク上のすべてのファイルとディレクトリ(すべての物理セクター)が暗号化されます。管理者は、特定のパーティションのみの暗号化を選択でき、複数のディスクがあるシステムの場合は、特定のディスクとパーティションのみの暗号化を選択できます。


EEPC 6.x はワークグループで使用できますか?
いいえ、EEPC は ePO で管理される製品のため、Active Directory なしには使用できません。ただし、Endpoint Encryption Manager (EEM) 5.x を EEPC で使用することにより、ワークグループでも使用できます。


EEPC6.x と EEFF 3.x(ユーザー名とパスワード)を同期できますか?
いいえ、同期できません。ePO 製品と EEM 管理の製品の間には関係性がないためです。


EEPC 6.x をインストールし、ディスクが暗号化されている場合に、マスター ブート レコードを更新できますか?
いいえ。EEPC は、プリブート認証環境での起動を可能にするために、元のマスター ブート レコード(MBR)を独自のコードで置き換えますが、他のアプリケーションによる MBR の更新を妨げません。これは、オペレーティング システムが MBR を使用してディスク情報を格納し、多くの種類のアプリケーションでこの情報を読み書きする必要があるためです。

警告: EEPC がインストールされている場合は、絶対に MBR を FDISK /MBRFixBoot /FixMBR f を使用してリセットまたは書き換えしないでください。そうすると EEPC が機能するために必要なプリブート認証が無効化されてしまうためです。MBR のリセットまたは書き換えをしてしまった場合は、緊急ツールを実行して問題を修復する必要があります。


EEPC 5.x 用にカスタマイズされたテーマを ePO 4.5 にインポートして EEPC 6.x に使用することができますか?
いいえ、形式が異なるため、テーマは再作成し、ePO 4.5 にインポートして EEPC 6.x に使用する必要があります。


サスペンド/ハイバネート要求を拒否するオプションが EEPC 6.x にはないのはなぜですか?
EEPC 5.x の以前のバージョンでは、コンピューターがハイバネーション モードに入らないようにするために、サスペンド/ハイバネート要求を拒否するオプションがありました。

注: このオプションは Windows Vista ではサポートされていません。

EEPC 6.x では、セキュア ハイバネーションをサポートしているため、このオプションは実装されていません。セキュア ハイバネーションでは、クライアントがハイバネーションに移行する際にすべてのデータが保護されるようにします。


EEPC 6.x は Wake-on-LAN をサポートしていますか?
いいえ。EEPC は Wake-on-LAN (WOL) をサポートしていません。WOL はプリブート ログイン プロセスをバイパス必要があり、それによってセキュリティ ホールが開いてしまうためです。つまり、この 2 つの技術は本質的に互換性がないということです。

認証なしにコンピュータを起動するようにすると EEPC が提供する保護を無効化してしまいます。ただし、EEPC を使用して再起動のスケジュールを設定することはできます。これを実行するために、管理者またはスクリプト化されたプロセスで、一時的にプリブート認証を無効にすることができます。

プリブート ログイン画面を表示してしばらく待ち、ユーザー入力がない場合にコンピューターを自動的に再起動させる製品があります。ただし、暗号化キーをコンピューター上に容易にアクセス可能な形式で保存しておく必要があります。したがって、これもセキュリティ ホールを開くことになり、コンピューターの暗号化の必要性を否定することになります。

WOL が重要な場合は、EEPC の代わりに Endpoint Encryption for Files and Folders (EEFF) をご使用ください。EEFF は、ドライブ上のデータのみを暗号化し、プリブート セクターに影響を与えません。


バージョン 6.0 は Connector Manager と Connector を使用しますか?
いいえ。これらは、Active Directory またはその他の LDAP サーバー統合するための ePO の本来の機能で置き換えられました。


バージョン 6.0 はバージョン 5.x と同じデータベースを使用しますか?
いいえ。バージョン 5.x のファイルベースのデータベースは完全に削除され、EEPC は情報を ePO データベースに格納しています。ePO データベースは、MS SQL Server を使用して実装されています。


EEPC 5.x は 32 異なるレベルの管理機能がありました。バージョン 6.x はロールベースのアクセス制御を使用しますか?
はい。バージョン 6.0 の管理コンソールは ePO です。ePO はロールベースの管理を使用します。この要件を管理するのに ePO の機能を使用できます。EEPC ではいくつかの新しいロールが追加されていますが、ePO はそのロールの実装と施行を行います。


シングル サイン オン (SSO) は、重要な機能です。バージョン 6.0 ではこの点に何か変更はありますか?
いいえ。SSO は EEPC 6.x でもバージョン 5.x と同様に動作します。他の、Windows 以外の GINA でもバージョン 5.x と同様に動作します。Windows パスワードの取得と同期の方法に変更はありません。


ユーザー パスワードは、ePO データベースに暗号化されて保存されていますか?
はい。


バージョン 6.x でも Application Contorl の機能がありますか?
EEPC バージョン 5.x には、基本的な Application Contorl の機能が含まれていました。この機能の実装が改善された他の McAfee 製品があるため、これはバージョン 6.0 では削除されました。


バージョン 5.x のバックアップ ツールは、EEPC の暗号化情報のバックアップに使用できますか?
いいえ。EEPC 6.x ではバックアップ ツールは利用できません。EEPC の情報は、ePO でサポートされているバックアップ方法を使用してバックアップできます。


バージョン 6.x では、ハードウェアによる暗号化をサポートしていますか?
EEPC 6.x には、異なる形式のハードウェア暗号化をサポートするアーキテクチャが含まれています。たとえば、自己暗号化機能付ハードディスクなどです。EEPC 6.0 はこのアーキテクチャを含んでいますが、そのような暗号化デバイスを使用するための管理機能を提供するプラグインは、バージョン 6.0 のリリース後に利用可能になります。自己暗号化機能付の Opal ドライブのサポートは、EEPC 6.2 以降になります。詳細については、下記の Opal のセクション、または KB75045 を参照してください。


バージョン 6.x では、通信設定がポリシーに見当たりませんが、なぜですか?
McAfee エージェントと ePO サーバーが互いに通信するため、EEPC 6.x には通信機能が含まれていません。この設定は EEPC 固有ではなく、ePO の設定です。


すべてのシステムのリカバリ キーを定期的なバックアップ タスクとしてエクスポートし、また、これを自動化することはできますか?
EEPC にはリカバリ キーのバックアップ タスクはありませんが、キーが ePO データベースに保存されているため、通常のデータベースのバックアップによってこれもアーカイブされます。データベースのバックアップについては以下の記事を参照してください。ePO 4.0 データベースのバックアップに、

  • Enterprise Manager/ Management Studio については、KB52126 を参照してください。
  • DBBak.Exe ユーティリティについては、KB57240 を参照してください。
  • OSQL コマンドについては、KB59562 を参照してください。


ePO サーバーがダウンしている場合は、管理者が暗号化されたコンピューターを復旧できますか?
いいえ。それは、コンピュータのリカバリ キーを ePO データベースからエクスポートするには、管理者が ePO コンソールにログインする必要があるためです。ローカルのファイル システムが動作している場合は、管理者はシステムを復旧できます。


クライアント側の復旧用の応答コードに 0、1、8 あるいは 9 などの数字が現れないのはなぜですか?
これは、間違いを避けるためにアルファベットに似て見える数字を避けるためです。詳細については、KB72776 を参照してください。
 

どのような復旧のオプションが利用できますか?
現時点では、EETECH (スタンドアロン) および EETech (WinPE V1 および V3) が利用可能です。


スタンドアロンと WinPE の違いは何ですか?
スタンドアロン バージョンは、プリブート環境と同じオペレーティング システムを使用していますが、WinPE は 通常の Windows ドライバを使用しています。


以前のバージョンの EEPC リカバリ ディスクは、今後の EEPC のリリースでも使用できますか?
いいえ。EEPC リカバリのバージョンは、クライアントにインストールされたバージョン用のものを使用する必要があります。


Opal ドライブと通常のドライブでは、異なるリカバリ CD が必要ですか?
はい。Opal には、異なる CD が必要です。詳細については、EETech ユーザーガイドの ePO との使用に関連のあるリリースを参照してください。ドキュメントのあるサイトへのリンクについては、関連する情報のセクションを参照してください。


リカバリ ディスクの作成には、フロッピーや CD ではなく、USB を使用できますか?
ブート可能な USB デバイスは、EEPC 6.2 以降でサポートされます。手順と制限事項については、PD23751 の EEPC 6.2 EETech ユーザーガイドを参照してください。


McAfee がユーザーに WinPE リカバリ CD を提供できないのではなぜですか?
有効な Microsoft ライセンスが必要なためです。


EETech (WinPE V1 および V3) を使用して緊急ブートを実行する必要がある場合に、そのようなオプションがありません
緊急ブートは、EETech スタンドアロンを使用する場合のみ実行できます。


EEPC クライアントの復旧情報の保持期間はどれくらいですか?
ePO コンソールからシステムを削除しても、復旧情報は削除されません。McAfee エージェントには、ePO と同期する場合に、そのキーを再度コンピューターと関連付けするための組み込みのロジックがあります。この関連付けを、キー チェック バリュー プロセスを使用して、手動で再度実行することもできます。


EEGO とは何ですか?
Endpoint Encryption GO (EEGO) ツールを使用すると、EEPC 6 のインストールとライセンス登録に必要なハードウェアがクライアントにあるかを確認できます。このユーティリティは、どの EEPC をインストールする必要があるかについて、システムの対応状況を表示します。これは対応状況を表示しますが、エラーが発生しないことを確約するものではありません。このユーティリティは、システムの初期テストを行い、製品のインストールとライセンス登録が可能かどうかを確認します。このユーティリティは、たとえばシステムにユーザーが割り当てられていないためにライセンス登録が失敗する、といった EEPC のエラー状況を取得しません。EEGO の詳細については、KB72777 を参照してください。


EEGO は、照合データをどれくらいの頻度で ePO サーバーに送信しますか?
照合データは、クライアントまたは EEPC サービスが再起動されたときに送信されます。


どのようなタイプのチェックが EEGO からクライアントに対して行われますか?
EEGO が実行するチェックには以下が含まれます。

  • データ チャネル(通信が双方向に動作していることの確認)
  • インストールされている互換性のない製品。詳細については、KB68271 を参照してください。
  • SMART(セルフモニタリング・アナリシス・アンド・リポーティング・テクノロジー)のチェックによる、コンピューターのハードディスクの検出と信頼性に関するさまざまな指標の取得と、エラーの事前予測。
  • パーティション/ディスク/MBR の互換性
  • Opal ドライブの互換性
  • 全般的な対応状況(はい/いいえ)

EEGO は ePO からどのような種類のレポートを利用できます?
ePO から以下のレポートが利用でき、EEGO からチェック項目のデータのアップロードが可能です。
  • Endpoint Encryption GO: 適合性
  • Endpoint Encryption GO: データ チャネルのステータス
  • Endpoint Encryption GO: 互換性のない製品
  • Endpoint Encryption GO: テストのエラー
     

EEGO から、クライアントに問題がないこと、および EEPC が正常に寸ストールされたことが報告された場合は、EEGP を削除すべきですか?
通常のベストプラクティスから言えば、削除すべきです。ePO に送信されるイベントを減らすことができるためです。ただし、SMART のステータス(故障予測の属性)などのテストのエラーの確認のために、インストールしたままにしておくこともでできます。これを利用して、ディスクの故障の予兆があるクライアントを特定してレポートすることができます。


EEGO 配備の問題を解決するために、有効にできるデバッグ モードがありますか?
はい。 ログ記録のレベルは、クライアント側ではコマンドラインまたはレジストリで制御でき、ePO サーバー側ではレジストリによって制御できます。デバッグ情報のログは、エラーの有無に関わらず、非常に多量のエントリを生成します。これにより、さらに精度を向上させることができます。 デバッグ用のログ記録を有効にする方法の詳細については、KB73165 を参照してください。

目次に戻る 


 

OPAL のみ 
 

Opal 全般

Opal とは何ですか?
Opal は、Trusted Computing Group (TCG) と呼ばれる標準化団体によって開発された、自己暗号化機能付のドライブに関する仕様の名前です。


Opal ドライブとは何ですか?
Opal ドライブは、TCG Opal 標準に準拠した、自己完結型で、スタンドアロンのハードドライブ(HDD)です。 このドライブは常に暗号化されていますが、ロックすることもロック解除することもできます。標準の HDD コンポーネントに加えて、Opal ドライブでは追加のコンポーネント(オンボードの暗号化プロセッサなど)を搭載しており、HDD 上で必要な暗号化/復号のすべてを実行します。一般の回転メディア(HDD)に加えて、SSD にも TCG Opal 標準をサポートしているものがあります。
 

Opal は規格の名称ですか? あるいはブランド名ですか?
Opal は、ドライブに必要なコマンドと標準動作の詳細を定義する規格あるいは仕様の名称です。この規格は Trusted Computing Group の Storage Working Group によって作成され承認されたものです。


Opal ドライブは、自己暗号化機能付ドライブですか?
はい。自己暗号化機能付ドライブの一種です。ただし、Opal だけではありません。他にも多くの独自の自己暗号化機能付ドライブがあります。


Opal ドライブは、どのようなモデルの脅威に対して効果がありますか?
主なケースは、ラップトップ/デスクトップ コンピュータの紛失や盗難です。これは、ソフトウェアによるディスク全体の暗号化が対処するものと同様の脅威をカバーし、静的なデータの保護用に設計されています。


どのような利用のシナリオが Opal ドライブに適していますか?
Opal ドライブ は、特に性能重視の用途において、非常に高速のディスクの入出力(I/O)を必要とするユーザーに適しています。例としては、ソフトウェア開発者、映像編集者、航空技師などが上げられます。これらのユーザーは、回転機構のある HDD の代わりに SSD を使用する場合も多くあります。
 

McAfee は、どのように Opal ドライブをサポートしていますか?
重要なことは、そのような構成がサポートされていることを管理者に容易に知ってもらうことでした。調査によると、多くのお客様が、新しいハードウェアの購入時に Opal を会社に導入することを計画しています。EEPC は、サポートを特定のハードウェア モデルでの Opal ドライブに限定しています(たとえば、 EEPC は、Opal ドライブを出荷時に搭載している Dell E6420 をサポートする、というように限定します)。これにより、管理者は、新規に購入するコンピューターが Opal ドライブを搭載している場合、EEPC でサポートされているかどうかを容易に知ることができます。


コンピューターに Opal ドライブと非 Opal ドライブが各 1 台搭載されている場合はどうなりますか?
1 台のコンピューターに Opal ドライブと非 Opal ドライブの両方が搭載されている場合は、ソフトウェアによる暗号化が唯一の選択肢になります。


Opal ドライブのプリブートは、ソフトウェア暗号化によるプリブートと異なりますか?
はい、および、いいえ、の両方です。プリブートは、オペレーティング システムのブートができるように Opal ドライブをロック解除する方法を知る必要があります。ただし、それ以外の点では、プリブートはソフトウェア暗号化の場合と同じように動作しているように見えます。 実際、プリブート コードの多くは、ソフトウェア暗号化と Opal の両方のプリブート アプリケーションの間で共有されています。

 
Opal 規格には複数のバージョンがありますか?
はい。現在実装されているバージョンは 1.0 です。TCG は現在 バージョン 2.0 を検討中ですが、まだ承認されておらず、バージョン 2.0 のドライブは製造されていません。
 

Opal ドライブを使用すると、EEPC の使用感は変わりますか?
管理者にとっての日常的なタスクは、Opal ドライブでも通常の HDD でもまったく同じです。 ポリシー、配備方法、および管理方法はすべて同じですが、復旧プロセスは少し異なります。ただし、復旧のシナリオで管理者が実行する手順は同じです。


私は技術に詳しいので、Opal 規格を読みたいと考えています。どこを探せばよいですか?
詳細については、以下をアクセスしてください。
http://www.trustedcomputinggroup.org/resources/tcg_storage_security_subsystem_cl%20ass_opal_version_100_revision_200.
 

Opal ドライブに関して、TCG とは何ですか?
TCGは、複数のプラットフォームにまたがるトラステッド コンピューティング ビルディング ブロックとソフトウェア インターフェイスのための、オープンでベンダー中立の業界標準を、開発、定義、促進するために設立された非営利団体です。


TCG 準拠の自己暗号化機能付のドライブが Opal ドライブですか?
はい。

目次に戻る 
 

Opal 互換性

どのバージョンの EEPC が Opal ドライブをサポートしていますか?
EEPC 6.2 が TCG Opal 1.0 仕様をサポートしています。Opal 仕様の将来の更新に対しては、EEPC の将来のバージョンがサポートします。
 

EEPC は、他の自己暗号化機能付ドライブをサポートしますか?
現時点では、TCG Opal 規格を実装したドライブ以外の、他の自己暗号化機能付ドライブをサポートする予定はありません。
 

OPAL ドライブを搭載したどの機種を、EEPC はサポートしますか?
McAfee では以下の機種を明示的にテストしています: Dell E6420、E6520、E5420、HP ProBook 4230s、4330s、4330s、4436s、4436b、4530s、5330m、6360b、6455b、6535s、6560b、8460w、8460p、8560w、and Elite 8200。


サードパーティの法的解析ソフトウェアについてはどうですか? Opal ドライブに使用できますか?
McAfee は、法的解析ソフトウェアを提供している企業と共同で作業をしており、Opal ドライブについてもほぼ同様です。EEPC から暗号化キーの提供を受ける代わりに、ドライブをロック解除するために必要な認証情報の提供を EEPC に求めています。
 

EEPC は、EEPC がサポートしているすべてのオペレーティング システムで Opal ドライブをサポートしますか?
いいえ。EEPC 6.2 以降では、Windows 7 SP1 システムのみで Opal ドライブをサポートします。現時点では、その他のオペレーティング システムで Opal をサポートする予定はありません。


Windows 7 SP1 が必要な理由は何ですか?
Opal ドライブによっては、512e ドライブ(つまり、実際にはセクターサイズが4096でありながら、512セクターのドライブをエミュレーションしているもの)があります。Windows 7 SP1 は、この 512e ドライブが正しく動作するためのドライバの修正を含んでいます。


Windows 7 SP1 以降以外のオペレーティング システムを実行している Opal ドライブで EEPC のライセンス登録を試みるとどうなりますか?
EEPC が、互換性のない、あるいはサポートしていないオペレーティング システムと Opal ドライブの組み合わせを検出すると、ライセンス登録のプロセスが中断されます。


Opal ドライブは、Mac OS X でサポートされますか?
いいえ。Apple は現在、Opal ドライブを搭載したデバイスを出荷していませんので、Opal は Endpoint Encryption for Mac ではサポートされていません。

EEPC 6.2 は Opal ドライブで S3 をサポートしていますか?
はい。注: S3 は、スタンバイ、スリープ、Suspend to RAM などで知られている電源の状態です。S3 状態にあるシステムは、電源がオフの状態に見えます。CPU には電源が供給されておらず、RAM は低速リフレッシュモードで、電源装置は低電力モードになっています。


S3 は、S3 サポートの独自の実装ですか?
はい。

目次に戻る 

 

Opal のインストール/アップグレード

Opal ドライブでは、配備方法は異なっていますか?
いいえ。配備は、クライアントが Opal ドライブであるか通常の HDD であるかによらず、まったく同じです。

 

Opal の設定

管理者は、Opal ドライブを搭載したシステムを、通常の HDD を搭載したシステムとは異なる方法で管理する必要がありますか?
いいえ。管理者は、Opal ドライブと通常の HDD を区別して管理する必要はありません。Opal ドライブを搭載したラップトップと通常の HDD を搭載したラップトップに同じポリシーを適用することができます。

 
ポリシーで、暗号化プロバイダに優先順位がありますが、これは何のためですか?
EEPC のインテリジェント クライアントが、クライアント上でポリシーを施行する方法を、管理者が調整できるようにするためです。

Opal がソフトウェア暗号化よりも高い優先度をもっている場合は、EEPC クライアントは最初に Opal ドライブを検索します。接続されたドライブのすべてが Opal をサポートしている場合は、暗号化ポリシーの施行に Opal の機能を使用します。ドライブがこの条件を満たさない場合は、リスト中の次の暗号化プロバイダに移動します。これは、暗号化ポリシーの施行にソフトウェア暗号化が使用されることを意味します。 優先順位を変更して、ソフトウェア暗号化を最優先にすることにより、Opal ドライブと通常の HDD のどちらが使用されているかに関わらず、管理者はすべてのコンピューターがソフトウェア暗号化を使用するように指定できます。 

目次に戻る 

Opal ドライブには、ユーザーという概念がありますか?
はい。ドライブがロックされると、ドライブをロック解除するには、ユーザー名と PIN を使用する必要があります。


Opal ドライブのユーザー情報はどこに保持されていますか?
各ユーザーは、Opal ドライブごとに固有でローカルなものです。Opal ドライブを管理するアプリケーションも、Opal ユーザーを管理する必要があります。


EEPC が必要な管理をすべて実行しますか?
はい。
 

Opal ドライブは、電源オフ時にロックされています。これは問題ありませんか?
はい。ドライブがロックされている場合は Windows を再起動するのは困難です。Windows はドライブをロック解除することができません。TCG は、S3 に対して一般的で合意されたソリューションをもっていません。

 
1 台のコンピューターに Opla ドライブと通常の HDD を 1 台ずつ搭載しています。EEPC は Opal ドライブでの本来の Opal の機能を使用し、通常の HDD ではソフトウェア暗号化を使用しますか?
いいえ。これは、混在モード環境と呼ばれるものです。EEPC は、コンピューターで暗号化ポリシーを施行する方法を決定する必要があります。


EEPC は混在モードをサポートしていますか?
はい。混在モードは、コンピューターに 2 台以上の HDD ドライブがある状況、および Opal ドライブと通常の HDD の組み合わせがある状況として定義されています。最低の共通の選択肢は、常にソフトウェア暗号化です。他に選択肢がない場合は、ソフトウェア暗号化が、Opal ドライブと通常の HDD の両方の暗号化に使用されます。
 

Opal ドライブで、非暗号化の状態から暗号化された状態に移行するのにどれくらいの時間がかかりますか?
およそ 1 分です。これは、ドライブが技術的にはすでに暗号化されているためです。非暗号化の状態から暗号化された状態に移行するのに必要な時間は、Opal ドライブのロック メカニズムを有効化するのに要する時間です。

 
SSD Opal ドライブは、セキュリティを使用しない場合の性能を維持できますか?
はい。性能を重要視するユーザーのために、Opal ドライブの SSD 実装では、Opal ドライブのセキュリティと暗号化の機能を維持しながら、SSD の速度と性能も維持できます。ただし、Opal ドライブは常にオンボードの暗号化プロセッサによって暗号化されているため、オンボードの暗号化プロセッサによる性能低下があったとしても、その程度を確認することは困難です。
 

通常のハードディスクを使用しているか Opal ドライブを使用しているかによって、プリブートに違いがありますか?
いいえ。プリブートの動作はまったく同じに見えます。コンピューター上で暗号化を実行しているハードウェアの違いに気がつくことはありません。


Opal のユーザーの最大数はありますか?
はい。1 台の Opal ドライブに割り当てできる Opal ユーザーは数名です。サポートされる Opal ユーザーの最大数は、Opal ドライブのメーカーによって異なります。


Opal ユーザーは、EEPC ユーザーあるいは Windows ドメイン ユーザーと同じですか?
いいえ。これら 3 つのユーザーはまったく別の実体です。


Opal ユーザーとして設定可能なユーザー数よりも多くの EEPC ユーザーをデバイスに割り当てたい場合は、どうなりますか?
EEPC のアーキテクチャでは、デバイス上の Opal ユーザー数の技術的な制限に関わらず、必要な数のユーザーを Opal ドライブに割り当てることができます。その複雑さは管理者からは見えないようになっており、通常の HDD と同じ方法で、ユーザーをデバイスに割り当てることができます。 デバイスに割り当てるユーザーの数は、使用されるハードディスクの種類によらず、一定にすることが推奨されます。
 

ユーザーが Opal ドライブを使用していることは、暗号化のステータスでわかりますか?
いいえ、直接はわかりません。Endpoint Encryption ステータス モニター ウィンドウのボリュームまたはドライブのリストから知ることができます。


社内のすべてのユーザーに Opal ドライブが必要ですか?
いいえ。ほとんどのユーザーにはソフトウェア暗号化で十分です。通常業務を担当するユーザーは、ソフトウェア暗号化による影響に気がつくことはありません。
 

1 台の Opal ドライブに 2 つ以上の暗号化キーを設定できますか?
はい、できます。Opal の仕様に、論理ブロックアドレス(LBA)に関する仕様がありますが、ローカル領域としても参照できます。


EEPC から、データの暗号化に使用するキーを確認できますか?
いいえ。暗号化キーは、Opal ドライブの外からはわかりません。


Opal ドライブは常に暗号化されていますか?
はい。ドライブがロックされているかどうかに関わらず、常に暗号化されています。Opal ドライブを復号することはできません。


何らかの方法によって、データを暗号化しているキーを知ることができますか?
いいえ。キーはドライブ内で作成され、ドライブ外からそれを知る方法はありません。アプリケーションやハードウェアからキーを取得することはできません。

 
クライアントが Opal の機能を使用しているか、あるいはソフトウェア暗号化を使用しているかを、管理者はどのようにしてわかりますか?
管理者が ePO でコンピュータを参照すると、どの暗号化プロバイダが暗号化ポリシーを施行しているか知ることができます。それが Opal の場合は、Opal の機能を使用しています。
 

Opal ドライブでソフトウェア暗号化を使用できますか?
はい。Opal ドライブの本来のロック メカニズムを有効化するまでは、Opal ドライブは通常の HDD のように応答して動作します。管理者が、Opal ドライブの本来の機能を使用する代わりにソフトウェア暗号化を使用することができない理由はありません。技術的には、データは二重に(ソフトウェア暗号化の次に Opal ドライブにより)暗号化されることになります。
 

Opal ドライブが暗号化のすべてを処理するのに、EEPC が必要なのはなぜですか?
Opal ドライブを管理する必要があるためです。Opal ドライブが正しく管理されるまでは、通常の HDD と同様に動作し応答します。EEPC と ePO の組み合わせにより、多様な管理、レポート、復旧などの管理者にとって重要な機能が利用できます。EEPC によって、Opal ドライブをロック解除する安全なプリブートが可能になることにより、Opal ユーザー管理を実行し、企業内の暗号化ポリシーが一貫して施行されるようにし、デバイスの紛失の際には、デバイスが ePO と最後に同期された時点で暗号化されているようにします。 また、Opal ドライブと通常の HDD が混在して利用する企業では、管理者がデバイスの管理、ポリシーの施行、管理などを一括して行い、企業が直面するリスクを評価することができます。EEPC はこのような一括管理を可能にします。さらに、EEPC は、管理されていない Opal ドライブで利用できるユーザー数よりも多くの数のユーザーをサポートすることができるという、追加の利点を提供します。
 

復旧機能は、Opal ドライブではどのように機能しますか?
Opal ドライブと通常の HDD の両方で、同じ EEPC の復旧の手順とツールが利用できます。Opal ドライブの暗号化キーをドライブ外から取得することはできず、ディスクが復号されることがないため、Opal ドライブは復号できませんが、EETech は Opal ドライブをロック解除する最新の方法を取得しています。EETech は、オペレーティング システムのブートのためにディスクをロック解除するだけです。


EEPC は、Opal ドライブの復旧に役立ちますか?
エンドユーザーが Opal ドライブを使用しているか、通常の HDD を使用しているかに関わらず、ユーザーと管理者は、EEPC の標準の復旧メカニズムのすべてを利用できます。
 

Opal ドライブを出荷時の状態に復旧することはできますか?
ドライブの認証情報がわかっている場合は、すべてのドライブでは復旧(ディスクの復元)がサポートされますが、ドライブの認証情報がわかっていない場合は、復旧(PSID 復元)をサポートしていないドライブもあります。ドライブが PSID 復元をサポートしていない場合は、ロックアウトされ(ある理由により EEPC の通常の復旧機能は動作しません)、ドライブは永久に使用不可となり、データは失われ、新しい Opal ドライブを購入する必要があります。PSID 復元がサポートされている場合は、ドライブをロック解除しなくても出荷時の状態に戻すことができますが、ドライブ上のすべてのデータは失われます。この復元のためのツールは利用可能です(EEPC でサポートされる使用方法ではありません)。


ハードウェアの物理的な障害が発生し、Opal ドライブがロック解除に応答できなくなった場合はどうなりますか?
その場合は、ドライブは永久に使用不可となります。データにアクセスする方法はありません。データ喪失が起きたと考えて、新しい Opal ドライブを購入する必要があります。これは、EEPC が実際のディスク暗号化キーをもっておらず、ドライブから暗号化キーを取得することもできないためです。
 

EEPC で有効な Opal ドライブの状態にはどのようなものがありますか?
ロック解除状態とロック状態です。


ロック解除状態とロック状態の違いは何ですか?
次のように例えるとわかりやすいでしょう。工場から出荷された新しい Opal ドライブを一軒の家だとして、玄関ドアはロックされていますが、その鍵が鍵穴に挿されたままになっているとします。 この玄関にはセキュリティの効果はありません。EEPC がドライブのロックを有効化すると、プリブート認証が必要になります。これは玄関ドアから鍵を抜くことに似ています。技術的にはその違いは、ドライブのオンボードの暗号化プロセッサによって暗号化キーにアクセスしている点です。ディスクがロック解除されている場合は、オンボードの暗号化プロセッサはディスク暗号化キーにアクセスでき、ドライブは通常の HDD とまったく同様に動作します。この状態では、Opal ドライブと通常の HDD の違いはユーザにはわかりません。ディスクがロックされていると、ディスク暗号化キーは保護されていて、プリブート環境では、データにアクセスしオペレーティング システムがブートするためには、ロックを解除する必要があります。ディスク暗号化キーはドライブ内部に保持されており、それをドライブから読み取ることはできないことに注意してください。

 
Opal ドライブのデフォルトの状態は何ですか?
Opal ドライブを購入した直後は、ロック解除の状態です。あらゆる意図や目的に対して、通常の HDD とまったく同様に動作し応答します。本来のロック メカニズムを有効化するには、ドライブを明示的にロックする必要があります。ロックする 1 つの方法は、Endpoint Encryption for PC を使用してドライブを管理することです。


どうすれば、ドライブをロック解除状態からロック状態にすることができますか?
Opal ドライブの本来のロック メカニズムを有効化するには、McAfee EEPC などの、プリブート環境をもつアプリケーションで、必要な手順を実行する必要があります。ドライブがロックされると、プリブート環境では、オペレーティング システムが起動プロセスを開始する前に、ドライブをロック解除する必要があります。プリブート環境がない場合は、ドライブをロック解除してオペレーティング システムが起動できるようにする手段はありません。


ロックされたドライブがロック解除されると、ロック解除の状態はどれくらいの期間続きますか?
Opal ドライブは、次回の電源投入サイクルまで、ロック解除されたままになります。これは、Opal ドライブをロック解除した後は、デバイスの電源をオフにするか、Opal ドライブへの電源供給がなくなるような電源の状態に移行するまで、ロック解除された状態が持続することを意味します。ただし、EEPC では、EEPC のソフトウェア暗号化と同じ使用方法を実現するために、再起動でもドライブが明示的にロックされます。


Opal ドライブがロックされていて、解除するためのパスワードを忘れてしまいました。どうすれば良いですか?
これを救済するための復旧メカニズムがあります。詳細については、復旧のセクションを参照してください。
 

Opal ドライブ上のグローバル領域とは何ですか?
グローバル領域には、定義されたローカル領域以外の、ディスクのすべてのセクターが含まれます。
 

Opal ドライブのローカル領域とは何ですか?
ローカル領域は、セクターの連続した領域で、セクター毎に異なる暗号化キーがあります。この領域は、ロックすることができ、ロック解除のままにすることもできます。たとえば、パーティションにローカル領域を適用できますが、領域とパーティションを 1 対 1 に正確にマップする必要はありません。

 
ローカル領域を使用する理由は何ですか?
ディスクがロックあるいはロック解除されているかどうかに関わらず、ディスクの特定の部分を常にアクセス可能な状態にしておきたい場合などに利用できます。

 
ローカル領域はセクターの連続領域です。新しい領域を定義するとどうなりますか?
その新しい領域に対して、新しい暗号化キーが自動的に生成されます。Opal ドライブが、再暗号化をサポートしている場合は、データは古いキーで復号されて、新しいキーで再暗号化されます。再暗号化は、標準のオプションであり、現時点ではこれをサポートしているドライブは存在しないようです。ドライブが再暗号化をサポートしていない場合は、その領域は、暗号化された状態で消去されるため、その領域に以前あったデータは失われます。

 
ローカル領域はいくつ作成できますか?
Opal の標準仕様では最低 5 つ(グローバル領域を含む)です。

EEPC では、ローカル領域でパーティションをロックするかどうかを指定できますか?
いいえ。


パーティション ツールを使用する場合、ローカル領域を使用すると、Opal ドライブ上のデータは失われますか?
はい、失われる可能性があります。

目次に戻る 
 

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.