PKI認証デバイス/プライベート認証ソリューション
HOME
ソリューション<TOP>
USBトークン認証ハードディスク暗号

USB トークン認証ハードディスク暗号

Windows 7 対応 USB トークンで OS 起動前(プリブート)認証ハードディスク暗号製品カタログ・データシート

USBトークン(Pentio USB Token 3300A) + WonMagic SecureDoc でWindows7のハードディスク暗号化・プリブート認証を実現

Windows 7 を導入するお客様に、暗号化ハードディスクを USB トークンで起動前に認証するソリューションをご提供いたします。USB トークンをキーとすることで、パスワードよりも強固なセキュリティを実現できます。社員が携帯する持ち出し PC の情報漏洩対策にご利用ください。Windows 8 および UEFI は SecureDoc v6.1 から順次機種個別にサポートを開始します。

パスワードでなく USB トークンで起動前認証
利用者の頻繁なパスワード更新から解放

暗号化ハードディスクの利用ではパスワードによる認証が一般的ですが、パスワードは盗み見られるなどして流布しても気づかないという問題があります。 通常はこのような事態を防止するため、パスワードを頻繁(2~3ヶ月に1度程度)に変更するポリシーで運用し情報漏洩を防止します。しかしこの事がかえってパスワードを記憶できずメモに書き留めるなどの事態につながって情報管理に逆効果な場合があります。
USB トークンに暗号化を解く復号鍵(暗号鍵証明書)を格納し、起動前 PC に USB トークンを挿入し起動前認証します。USB トークンがなければ暗号化されたハードディスクにアクセスできないので大変安全です。

パスワードではなく USB トークンでWindows7の起動前認証を

USB トークンを紛失しても認証局から再発行
認証局で鍵を保管するから再発行可能で安全

USB トークンは IC カードと同じ技術が使われており、複製できません。紛失時には新たな USB トークンを紐付けることで紛失した USB トークンを無効にできます。
暗号鍵証明書を保管するのは、Pentio ADCS 認証局パッケージです。認証局に保管された証明書は、USB トークンを紛失した場合に新しい USB トークンに証明書を格納することで、鍵の再発行ができます。これにより管理者は PC の回収設定作業から解放されます。

USB トークンを紛失しても認証局から再発行

緊急時は管理者 USB トークン(管理者鍵)でプリブート認証起動。暗号ツールには利用者証明書と管理者証明書を登録。

各 PC の暗号ツールには復号鍵(暗号鍵証明書)を複数登録できます。例えば、利用者の暗号鍵証明書と、管理者の暗号鍵証明書との二つを登録してハードディスクを暗号化し、万一の緊急時は必要に応じて管理者 USB トークンで起動させることもできます。また、管理者は使用済み PC を別の利用者に再配布する初期化作業などでも管理者鍵を利用することができます。

緊急時は管理者 USB トークン(管理者鍵)でプリブート認証起動。

USB トークンを持参忘れではワンタイムパスワード生成認証。遠隔の場合はワンタイムパスワード生成し携帯電話へ。

出張などの遠隔地で暗号化ハードディスク PC を起動するときに USB トークンを忘れてきた場合は、管理者に連絡してください。管理者は PC を特定した後、SecureDoc サーバで生成した一時利用パスワード(ワンタイムパスワード)パスフレーズを利用者携帯電話に送ります。携帯電話で受け取ったパスフレーズを緊急起動操作から入力することで一時的に起動前認証させ PC を利用することができます。ただしこのパスフレーズは次回に利用することができないので安全は確保されます。

 USB トークンを持参忘れではワンタイムパスワード生成認証。

USB トークン認証ハードディスク暗号 構成図

h1

SecureDoc ™ の主な機能

SecureDoc Disk Encryptionは、WinMagic Inc.が開発した PC の盗難や紛失から機密情報を守るソフトウェアソリューションです。SecureDoc をインストールすると、PC のハードディスク全体が暗号化され、Windows が起動する前に認証を要求するようになります。
SecureDoc により暗号化された PC が盗難にあっても、パスワードがなければ Windows は起動しません。ハードディスクを抜いて他の PC に接続しても、ディスク全体が暗号化されているため、データ復元ツールを使っても内部のデータを読み取ることはできません。更にパスワードの代わりに、ハードウェアトークンを使うことで、「トークンがなければ、起動しない」PC を構築することができます。
全ての暗号は自動的に行われるため、ユーザは起動時の認証さえ行えば、暗号を意識することなく通常と同じ操作で暗号化された PC を利用することができます。
また、標準機能として、同じソフトウェアで外部メディアのフル暗号、書き出し制御、使用制御を行えるのも SecureDoc の特長です。これらの設定やポリシーは、全て SecureDoc Enterprise Server(SES)と呼ばれる管理サーバで管理されます。SESは、Windows のみならず、Mac OS X、Linux、自己暗号ドライブを搭載した PC 等、様々なプラットフォームにおけるユーザ‐ PC ‐暗号鍵の管理を一元的に行います。

 SecureDoc

SecureDoc ™ の特長

  • PC のOSやシステム領域を含めたハードディスク(HDD)を丸ごと暗号化。
  • プリブート(Windows 起動前)のユーザ認証(パスワード、トークン、ICカード等)。
  • リムーバブルメディアの丸ごと暗号化、使用制御(私有 USB メモリの使用禁止等)を標準搭載。
  • SESによる一元的なポリシー、ユーザ、PC、暗号鍵の管理。PC が暗号化されていることの証跡も保存。
  • SESを利用した PC の遠隔ロック、データ消去(業界初)。
  • Mac や自己暗号ディスク等、これまで管理できなかったプラットフォームの暗号化を一元管理(業界初)。
  • 優先/無線両方のネットワークでプリブート認証機能。
  • OPAL準拠自己暗号ドライブ対応 —自己暗号型ディスクをは「ハードウェアで暗号化」されたハードディスクで SecureDoc はOPALディスクの管理が可能です。

SecureDoc 構築スタイル別メリット

スタンドアロン運用 管理サーバ運用 管理サーバ・証明書併用
スタンドアロン運用 管理サーバ運用 管理サーバ・証明書併用
①セキュリティ限界
起動パスワードのみ

USB トークン+PIN

USB トークン+PIN
②起動鍵の複製
パスワードを記憶に頼る
×
複製はできない

新 USB トークンに
③起動鍵紛失の場合
PC 回収と再設定

PC 回収と再設定
(管理者鍵で再設定)

新 USB トークン送付
(PC 回収なし継続可)
総合判定 C
せっかくの暗号化 PC だが
セキュリティ限界が低い
B
USB トークン併用でセキュリティ
は高いが鍵紛失の運用が管理者
には高負荷
A
セキュリティ限界も高く、
導入後の運用も管理者には安心

商品パッケージ

必要製品群 製品名 数量 標準料金
USB トークン Pentio USB Token™ 3300A 100個 700,000円
クライアント PC 用暗号化ツール※1 WinMagic SecureDoc™ DiskEncryption 100ライセンス 1,650,000円
暗号化クライアント管理用サーバ※2 WinMagic SecureDoc™ Enterprise Server 1ライセンス 0円
合計 2,350,000円
※1 別途、設定設置、年間アップデートサービス(技術サポート、パッチ提供、バージョンアップサービス)費用がかかります。
※2クライアントが50ライセンス以上のご購入は初回導入時の SecureDoc Enterprise Server 1ライセンスが無償になります。
※3 別途、設置、保守費用がかかります。

オプション

必要製品群 製品名 数量 標準料金
認証局 Microsoft Windows Server ADCS 1 別途見積

SecureDoc™ v6.1 技術仕様

動作環境

クライアント; SecureDoc Windows Enterprise & Standalone

OS: SecureDoc client for Windows : Any 32-bit or 64-bit Windows release from Windows XP * SP3, Windows Vista SP2, Windows 7 to Windows 8.
* Windows Installer 4.5 is required to be installed on Windows XP clients
RAM:512 MB RAM
HD:250 MB free space available
CPU:Intel, AMD, Cyrix or compatible processor (1 GHz or better). AES-NI is supported only on some Intel CPUs.
データベース:Unified Extensible Firmware Interface (UEFI) is supported only on compatible products./For devices not certified, UEFI must be run in BIOS Compatibility mode.

クライアント; SecureDoc Mac OS X

OS: Mac OS X 10.5.2 or later (Leopard)/Snow Leopard up to 10.6.8/ Mac OS X 10.7.1 to 10.7.5 (Lion)/ Mac OS X 10.8, 10.8.1, 10.8.2 (Mountain Lion) RAM:256 MB RAM
HD:128 MB free space available.

 

管理サーバ: SecureDoc Enterprise Server

OS:Any 32-bit or 64-bit Microsoft Server platform from Windows 2003 onward./ Windows Vista Professional, and Windows 7 Professional can be used for SES but are not recommended./.NET Framework 4.0+/.NET 3.5/ Microsoft Windows Identity Foundation 3.5
※SES Web set-up requires the installation of Microsoft Internet Information Services 7.0 (IIS 7.0).
※ Windows Server 2003 does NOT support IIS 7.0.
RAM:Minimum 512 MB RAM, with 1 GB or more recommended.
HD:Minimum 4GB hard drive, with 40GB or more recommended (varies depending on number of users).
CPU:Intel Pentium (minimum)
データベース:32-bit or 64-bit Microsoft SQL Server 2012, 2008 R2, SQL Server 2008, or SQL Server 2005./No-cost basic versions of SQL Server 2008 (Express Edition) or SQL Server 2005 and 2012 (Express Edition) are available from Microsoft .

主な機能

ディスク暗号化/複合化・ PC ブート制御・スクリーンロック・未暗号化デバイスの使用制御・ USB デバイス制御

暗号アルゴリズム

AES256bit

標準規格への準拠

・Common Criteria EAL-4
・FIPS 140 level 2
・NISTによるAES認定

SecureDoc™については
下記へお問い合わせください。
ウインマジック・ジャパン株式会社
http://www.winmagic.com/