フル・ディスク暗号化

BigFix MCM を使用すると、Windows (BitLocker) および macOS (FileVault2) からネイティブのフル・ディスク暗号化テクノロジーを一元管理して、保存データを保護できます。

フル・ディスク暗号化

フル・ディスク暗号化 (FDE) は、権限のないユーザーが容易に解読できない読み取り不能なコードに情報を自動的に変換することにより、ハードウェア・レベルで情報を保護するテクノロジーです。これは、データ・ストレージへの不正アクセスを防止するために使用されます。適切な認証キーがなければ、ハード・ドライブを取り外して別のマシンに配置しても、データにアクセスできません。

FDE の利点

BigFix MCM は、以下を実行できるハイブリッド FDE ソリューションを提供します。

  • MDM ポリシーを使用してデータ暗号化を適用する
  • データ暗号化を有効または無効にする
  • エンドポイントの暗号化状況を照会する
  • 準拠エンドポイントと非準拠エンドポイントのレポートを取得する
  • 暗号キーを保護および管理する (キー・エスクロー)
注:
  • FDE では、セットアップを続行する、起動時にパスワードを入力して暗号化プロセスを開始する、または強制再起動後に OS を起動するためのユーザーの操作が必要です。
  • macOS では、2 次ドライブの暗号化やリムーバブル・ドライブの暗号化の適用はサポートされていません。

サポートされるオペレーティング・システム

BigFix MCM は、以下のオペレーティング・システムのネイティブ FDE テクノロジーをサポートしています。

前提条件

注: Windows BitLocker および macOS FileVault2 に固有のシステム要件および制限は、必要に応じて BigFix MCM FDE 機能にも適用されます。

FDE の構成方法

  1. BES サーバー・プラグイン・サービスをセットアップする (BES サポートの Fixlet 708)
  2. リカバリー・キー・エスクローの場所

暗号化リカバリー・キーの再生成

リカバリー・キーのエスクローに使用される証明書と秘密鍵は、必要に応じて再生成できます。進行中の暗号化アクションは復号化およびエスクローできないため、これを行う際には注意が必要です。未処理のアクションがなくなり、デバイスがリカバリー・キーを報告し、エスクロー・プラグインがそれらを処理するまで待つ必要があります。

エスクローされたリカバリー・キーを取得するには、オペレーターまたはサポート担当者がボールト・サーバー・インターフェースに直接ログインする必要があります (ボールトをセットアップしている場合は、bigfix-read アクセス・トークンを使用できます)。 ボールト・サーバーへのログインに使用される資格情報は、ボールトのインストール時に設定されます。これらの資格情報は、BigFix 資格情報とは異なります。「bigfix」シークレット・エンジンにはリカバリー・キーが含まれています。リカバリー・キーは、BigFix コンピューター ID の最後の桁に基づいてフォルダーに保管されます。フォルダー内で、コンピューター ID、コンピューター名、またはユーザーを使用して検索できます。ボールト内のエントリー名には、リカバリー・キーがエスクローされた時点の値が含まれています。

暗号化リカバリー・キーが漏えいした疑いがある場合、または組織のベスト・プラクティスの一環としてリカバリー・キーをローテーションする場合は、WebUI を通じてリカバリー・キーを再生成できます。『暗号化復旧キーの再生成』を参照してください。