ディスクとファイルの暗号化

Kaspersky Endpoint Security（法人向け）のユーザーの保護

Kaspersky Endpoint Security for Windowsには、データ暗号化用の統合ツールがあります。これらは、カスペルスキーのセキュリティ製品によって保護されている企業インフラストラクチャを管理するための管理者向けアプリケーションである、Kaspersky Security Centerから配布されるポリシーに従って機能します。

ディスク全体の暗号化（FDE）では、ノートPCやポータブルハードディスクの紛失によるデータ漏洩を防ぎます。ディスクが暗号化されていれば、権限のないユーザーがディスクから起動したり、ディスクのデータを読み取ったりすることはできません。

ファイルレベルの暗号化（FLE）では、信頼できないチャネルで送信されるファイルを保護します。暗号化ポリシーに従って保護されたファイルへのアクセスを許可されているユーザーには、暗号化されていないようにファイルが表示されます。

暗号化ポリシー

Kaspersky Security Centerの管理者は、暗号化ポリシーを設定することができます。これにより、Kaspersky Endpoint Securityで保護されている企業のコンピューターで暗号化が可能になります。ポリシーはホスト間で異なる場合があるため、ポリシーコンプライアンスデータは、管理者に表示される共通のレポートフィードに集約されます。

コンピューターに接続されているリムーバブルデバイス（フラッシュドライブ、ポータブルドライブなど）にもポリシーを設定できます。例えば、ユーザーがこのデバイスまたはデバイス上の特定のタイプのファイルに暗号化を適用することに同意するまで、デバイスをブロックできます。

ファイルレベルの暗号化では、ファイル拡張子またはディスク上の場所に基づいて、暗号化するファイルをポリシーで定義できます。一致するファイルがコンピューター上で検出されると、暗号化されます。

透過的暗号化

暗号化は、一般的なユーザーのワークフローに干渉せず、新しいアプリケーションを組み込んだり、既存のアプリケーションの構成を変更したりすることもありません。ポリシーは自動的に適用されます。

暗号化はアプリケーションに対して透過的です。ユーザーがOSで認証されると、ディスク上のデータが暗号化されていても、データが暗号化されていないかのようにアプリケーションが認識します。暗号化フィルターは、アプリケーションとディスク間でデータを送信します（FDEの場合はディスクフィルター、FLEの場合はファイルフィルター）。暗号化フィルターでは、ディスクからアプリケーションに送信されるデータを復号化し、返信されるデータを暗号化します。読み取り/書き込み処理が実行されると、データは”その場で"すぐに暗号化（オンザフライ暗号化）され、一時的であっても、暗号化せずにデータがディスクに保存されることはありません。

一部のアプリケーションでは、このような透過的な暗号化を実行しないようにする必要があります。例えば、暗号化されたディスクのコピーを保存して他の場所に保存するバックアップ手順では、暗号化されていないバックアップデータを保存しないようにする必要あるため、バックアップアプリケーションでは、暗号化された状態でディスクをコピーする必要があります。このような場合、管理者が特定のアプリケーションに対して透過的な暗号化を一元的に無効にすることができます。

ディスク暗号化メカニズム（FDE）

FDEメカニズムでは、コンピューターのディスク全体を暗号化します。FDEサポート：

• HDD、SSD、フラッシュドライブなど、任意のディスクタイプの暗号化。SSDデバイスの場合、FDEによって余分な読み取り/書き込みサイクルの数が減るため、ドライブの寿命が延びます。
• 暗号化のハードウェアアクセラレーション（コンピューターのプロセッサがAES-NIをサポートしている場合）。
• UEFIセキュアブートは、起動時にコンピューターを保護し、信頼できるソフトウェアのみを読み込み、OSとソフトウェアが他のプロセスに干渉されることなく正しく起動できるようにするテクノロジーです。

暗号化キー。ディスク暗号化フィルターがディスクキーを使用してデータを暗号化および復号化します。ディスクごとに個別のキーが作成され、暗号化された3つのコピーとしてディスクに保存されます。ディスクが損傷し、キーのコピーの1つが破損した場合でも、別のコピーを使用してディスクにアクセスできます。ディスク上の3つのキーのコピーがすべて破損した場合は、Kaspersky Security Centerに保存されているコピーを使用してディスクへのアクセスを復元できます。このために、ディスクキーが作成されると、そのコピーがKaspersky Security Centerに安全に送信されます。キーが暗号化されずにディスクに保存されることはありません。

暗号化されたディスクからのユーザー認証とOSのロード。ディスクに保存されているディスクキーは、ユーザーの認証後に暗号化フィルターで使用できるようになります。ユーザーは、パスワード、USBトークン、スマートカードを使用して認証できます。認証が成功すると、暗号化されたディスクからOSを起動できます。

コンピューターへの暗号化ポリシーの適用。暗号化ポリシーがコンピューターに適用されると、2つのプロセスが開始されます。

• オンザフライ暗号化が常に有効になります。これにより、これ以降、ディスクに書き込まれるすべてのデータが暗号化されます。このために、ディスク暗号化フィルターがすべてのディスクへの読み取り/書き込みプロセスを傍受します。
• ディスクの暗号化プロセスが開始され、コンピューターのディスク全体の暗号化が開始されます。完了すると、ディスク暗号化ポリシーがコンピューターに完全に適用されます。ディスクの暗号化には数時間かかる場合があります。

ディスクの暗号化中、ユーザーは通常どおりに作業したり、コンピューターをスリープモードにしたり、オフにしたりすることができます。再度オンにすると、暗号化が再開されます。このプロセスは、障害（電源のシャットダウン、OSの障害など）に対しても堅牢です。フェイルセーフ暗号化設計により、すべてのデータが最終的に暗号化されます。

暗号化されたファイルへのアクセス（FLE）

Kaspersky Endpoint Securityを使用したアクセス。ユーザーがOSで認証すると、実行されるコンピューター上のアプリケーションは、ユーザーに代わり、暗号化ポリシーに従って暗号化されたファイルにアクセスできるようになります。

他のユーザーによって暗号化されたファイルにアクセスする場合は、Kaspersky Endpoint SecurityホストエージェントがKaspersky Security Centerに必要な復号化キーを要求します。例えば、メールで送信されたファイルが別のユーザーによって暗号化されている場合、受信者のホストはKaspersky Security Centerにキーを要求して受信します（ポリシーでアクセスが許可されている場合）。このキーは、このファイルと、そのユーザーの同じ論理ディスク上で暗号化された他のファイルにアクセスする場合に使用します。キーはキャッシュされるため、同じユーザーの同じディスクで暗号化されたファイルを受信するたびに、新しいキーを要求する必要はありません。

インターネット接続がない場合、受信者は、オープンなチャネル（電話など）経由で標準のチャレンジ/レスポンスの安全なキー交換により、Kaspersky Security Centerからキーを取得できます。生成されたチャレンジコードを送信してから、レスポンスコードを受信するだけです。

Kaspersky Endpoint Securityを使用しないアクセス。Kaspersky Endpoint Securityを使用しないアクセスが暗号化ポリシーで許可されている場合、これらのデバイス上の暗号化されたファイルにKaspersky Endpoint Securityを使用せず、パスワード認証を使用してアクセスできるように、ユーザーがデバイスを構成できます。このようなデバイスをユーザーがKaspersky Endpoint Securityを使用して構成する場合：

• Kaspersky Portable File Managerアプリケーションがデバイスにコピーされます。ファイルアクセス用のキーを安全に保存し、ファイルを暗号化/復号化します。
• このデバイス上のファイルにアクセスするためのパスワードをユーザーが作成します。

ユーザーがデバイスを接続し、Portable File Managerで認証すると、暗号化されたファイルの読み取りと編集が可能になります。デバイスへの新しいファイルをユーザーが暗号化することもできます。

カスペルスキー セキュリティ（個人ユーザー向け）のユーザーの保護

Crypto Diskは、カスペルスキー セキュリティのサブシステムであり、ユーザーの保存データを暗号化して保護します。

ユーザーは、Crypto Diskを使用して、別のファイルとして保存される仮想暗号化ディスクを作成します。ディスクには、ディスクの作成時に割り当てられたパスワードを使用してアクセスします。認証後、ディスクはローカルドライブとしてマウントされます（例：E:\）。ユーザーは、暗号化されたディスクに含まれるファイルをデバイス、メール、共有およびクラウドリポジトリ経由で他のユーザーに送信し、そのユーザーにパスワード付与してアクセスを許可できます。

ディスクは、パスワード自体ではなく、自動生成されたキーで暗号化されます。このキーはユーザーの認証時に使用できます。これにより、ユーザーは仮想ディスク全体を再暗号化しなくても、パスワードを変更できます。

暗号化モジュール

FDE、FLE、Crypto Diskでは、XTSモードでAES-256暗号化アルゴリズムを利用する暗号化モジュールを使用します。暗号化ライブラリは以下の基準で認証されています。

• FIPS 140-2
• コモンクライテリア