Deployment Guide

ManualsBrandsDell ManualsConverged InfrastructureEncryption

用語集

Advanced Authentication - Advanced Authentication 製品では、オプションとしてスマートカードリーダを利用できます。Advanced

Authentication は、これらの複数の認証方法の管理を支援し、自己暗号化ドライブ、SSO でのログインをサポートし、ユーザーの資

格情報およびパスワードを管理します。

暗号化管理者パスワード（EAP） - EAP は、各コンピュータ固有の管理用パスワードです。このパスワードは、ローカル管理コンソ

ールで行われた設定変更の大部分で必要となります。また、このパスワードは、LSARecovery_[ホスト名].exe ファイルを使用して

データを回復する必要がある場合に必要なパスワードと同じです。このパスワードを記録して、安全な場所に保管してください。

Encryption クライアント – Encryption クライアントは、エンドポイントがネットワークに接続されている、ネットワークから切断さ

れている、または盗難されているかどうかに関わらず、セキュリティポリシーを適用するオンデバイスコンポーネントです。

Encryption クライアントは、エンドポイントに信頼できるコンピュータ環境を作成しながら、デバイスのオペレーティングシステム

上のレイヤとして動作し、一貫して適用される認証、暗号、および承認を提供して機密情報を最大限に保護します。

暗号化キー – ほとんどの場合、Encryption はユーザー暗号化キーに加え 2 つの別の暗号化キーを使用します。しかし、すべての SDE

ポリシーと Secure Windows Credentials ポリシーが SDE キーを使用するという例外があります。Windows ページングファイルの暗

号化ポリシーと Windows 休止状態ファイルのセキュア化ポリシーは、独自のキーである General Purpose Key (GPK) を使用します。

共有暗号化キーを使用すると、すべての管理対象ユーザーが、暗号化されたファイルが作成されたデバイス上でそれらのファイルに

アクセスできるようになります。ユーザー暗号化キーでは、ファイルを作成したユーザーのみが、ファイルが作成されたデバイス上

のみでそれらのファイルにアクセスすることができます。ユーザーローミング暗号化キーでは、ファイルを作成したユーザーのみが、

任意の暗号化 Windows または Mac デバイス上でそれらのファイルにアクセスできます。

暗号化スイープ – 含まれるファイルが適切な暗号化状態になるように、暗号化するフォルダをスキャンするプロセスです。通常の

ファイル作成および名前変更操作では、暗号化スイープはトリガされません。次のように、暗号化スイープが行われる可能性のあ

る場合と、その結果生じるスイープ時間に影響を与える可能性のあるものを理解することが重要です。暗号化スイープは、暗号化

を有効にしたポリシーの最初の受信時に行われます。これは、ポリシーで暗号化を有効にしている場合にアクティブ化直後に行わ

れることがあります。-

ログオン時にワ

ー

クステ

ー

ションをスキャン

ポリシーを有効にしている場合、暗号化用に指定されたフォル

ダはユーザーログオンごとにスイープされます。- その後、特定のポリシー変更があると、スイープが再度トリガされる場合があり

ます。暗号化フォルダ、暗号化アルゴリズム、暗号化キーの使用（共通対ユーザー）の定義に関連したポリシー変更はスイープをト

リガします。さらに、暗号化の有効と無効を切り替えると、暗号化スイープがトリガされます。

起動前認証（PBA）- 起動前認証（PBA）は、BIOS または起動ファームウェアの拡張機能としての役割を果たし、信頼された認証

レイヤとして、オペレーティングシステム外部のセキュアな耐タンパ環境を保証します。PBA は、ユーザーが正しい資格情報を持

っていることを立証するまで、オペレーティングシステムなどをハードディスクから読み取ることができないようにします。

シングルサインオン（SSO） - SSO は、起動前と Windows ログオンの両方で多因子認証が有効になっているとき、ログオン処理を

簡素化します。有効になっている場合、認証は起動前のみで必要となり、ユーザーは Windows に自動的にログオンされます。有効

ではない場合は、数回にわたる認証が必要となることがあります。

System Data Encryption（SDE） – SDE は、オペレーティングシステムとプログラムファイルを暗号化するように設計されていま

す。この目的を達成するために、SDE はオペレーティングシステムが起動している間にそのキーを開くことができる必要がありま

す。これは、攻撃者によるオペレーティングシステムの改ざん、またはオフライン攻撃を防ぐためのものです。ユーザーデータは

SDE 対象外です。共通キー暗号化およびユーザーキー暗号化は、暗号化キーのロック解除にユーザーパスワードを必要とするため、

機密ユーザーデータを対象にしています。SDE ポリシーは、起動プロセスを開始するためにオペレーティングシステムが必要とする

ファイルを暗号化しません。SDE ポリシーでは、起動前認証は必要なく、マスターブートレコードへの干渉は一切行われません。コ

ンピュータの起動時、ユーザーログイン前に暗号化されたファイルが使用可能になります（パッチ管理、SMS、バックアップ、お

よびリカバリツールの有効化のため）。SDE を無効にすると、SDE 暗号化ルールなどの他の SDE ポリシーとは無関係に、関連する

ユーザーのすべての SDE 暗号化ファイルおよびディレクトリの自動復号化がトリガされます。

Trusted Platform Module（TPM） – TPM は、セキュアストレージ、測定、および構成証明という 3 つの主要機能を備えたセキュリ

ティチップです。Encryption クライアントは、セキュアなストレージ機能のために TPM を使用します。TPM はまた、ソフトウェ

ア資格情報コンテナ用に暗号化されたコンテナも提供できます。

90 用語集