このページの内容へ

1 セキュリティチップについて

セキュリティチップは、Windowsログオンのパスワードやファイルを暗号化した際の暗号鍵などの重要なデータを格納・管理するための特別なICチップです。暗号鍵などをハードディスクに残さないため、仮にハードディスク自体を盗まれたとしても暗号を解析できないので情報が漏えいする心配がありません。しかも格納したデータには専用のインターフェースを通してしかアクセスできないため、セキュリティチップを使用することで、ソフトウェアのみで実現されたセキュリティ環境に比べてより強固なセキュリティを提供します。

画像
POINT
  • Windows暗号化ファイルシステム(EFS)鍵の保護をお使いになる方は、本章とあわせて『リファレンスマニュアル』の「セキュリティチップを使う」−「セキュリティチップによるWindows暗号化ファイルシステム(EFS)の鍵の保護」をご覧ください。

セキュリティチップの管理

セキュリティチップには、セキュリティチップの管理を行う「所有者」とセキュリティチップを使用する「ユーザ」を登録します。
「所有者」および「ユーザ」は次の鍵および証明書やファイルを作成・利用します。

POINT
  • SMARTACCESSの「管理者」、「利用者」とSecurity Platform(Infineon TPM Professional Package)の関係は、次のようにしてお使いください。
    SMARTACCESS Security Platform(Infineon TPM Professional Package)
    管理者
    所有者
    利用者
    ユーザ

■ 「所有者」が管理するもの

□ 所有者キーと所有者パスワード

所有者は、所有者であることを証明するキーを作成します。この鍵はセキュリティチップにより保護され、所有者パスワードを入力することによって利用することができます。所有者パスワードは忘れないよう注意してください。

□ 自動バックアップファイルと復元用トークン

セキュリティチップで管理しているすべての鍵や証明書のバックアップを行います。バックアップはスケジュールを設定することにより定期的に行うことができます。
セキュリティチップが故障しても、新しいコンピュータでこのファイルを用いて復元することにより、以前利用していた暗号化ファイルなどが利用できるようになります。
自動バックアップファイルは、トークンにより暗号化されています。自動バックアップファイルを利用する場合には、トークンファイルとそのパスワードが必要です。トークンファイルを失くしたり、パスワードを忘れたりしないよう注意して管理してください。

□ パスワードリセットファイルとリセットトークン

「ユーザ」がセキュリティチップのパスワードを忘れた場合に備えて、あらかじめパスワードリセット用のトークンを作成しておくことで現状のパスワードを新規パスワードに変更することができます。「所有者」はあらかじめパスワードリセットの設定を行い、必要に応じて「ユーザ」のパスワードを設定し直すことを許可します。

■ 「ユーザ」が管理するもの

□ ユーザーキーとユーザーキーパスワード

「ユーザ」はセキュリティチップを利用する場合、ユーザーキーを作成します。このキーはセキュリティチップにより保護され、ユーザーキーパスワードを入力することによって利用することができます。キーを紛失した場合は、それ以前に暗号化していたデータやファイルなどを再び利用することができなくなります。管理には注意してください。また、パスワードを忘れた場合も、キーが利用できなくなるため、それまでに暗号化していたデータやファイルを再び利用することができなくなります。パスワードは忘れないよう注意してください。

□ パスワードリセット 個人シークレット

「ユーザ」はセキュリティチップのパスワードを忘れた場合に備えて、あらかじめパスワードリセット用の個人シークレットを作成しておくことで現状のパスワードを新規パスワードに変更することができます。「ユーザ」はあらかじめパスワードリセットの設定を行い、必要に応じて「ユーザ」のパスワードを設定し直します。

■ 鍵や証明書、パスワードの管理について

セキュリティチップは、複数の鍵や証明書を扱います。これらの鍵や証明書を紛失した場合は、その鍵によって暗号化されたファイルなどは利用できなくなることがありますので注意してください。またこれらの鍵を利用する場合はパスワードが必要です。パスワードを正しく入力しないと鍵が利用できないため、紛失時と同様に暗号化されたファイルなどが利用できなくなります。

□ 新しいWindowsユーザーを登録するには

Windowsに新規ユーザーアカウントを追加する場合、そのユーザーアカウントでセキュリティチップを使用するためには、SMARTACCESSでセキュリティチップに新規ユーザーアカウントの情報を登録する必要があります。SMARTACCESSではWindowsへの新規ユーザーアカウント登録とセキュリティチップへの登録を同時に行うことができます。

□ パスワードの変更

セキュリティチップに設定した、所有者パスワードおよびユーザーキーパスワードは変更することができます。また、ユーザーキーパスワードは各「ユーザ」が定期的に変更することをお勧めします。
  • 「所有者パスワード」の変更については、『リファレンスマニュアル』の「「環境設定」ツール(管理者設定用)」−「ユーザー情報管理」−「セキュリティチップ」をご覧ください。
  • 「ユーザーキーパスワード」の変更については、「セキュリティチップのユーザーキーパスワードの変更」、および「「環境設定」ツール(管理者設定用)」−「ユーザー情報管理」−「セキュリティチップ」をご覧ください。

□ パスワードを忘れた場合には

ユーザーキーパスワードを忘れた場合は、再設定することができます。
ユーザーキーパスワードを再設定する場合には、所有者が事前にパスワードリセットの設定を行う必要があります。
パスワードをリセットする場合は、『リファレンスマニュアル』の「「環境設定」ツール(管理者設定用)」−「ユーザー情報管理」−「セキュリティチップ」をご覧ください。