iOS・iPadOS用Utimaco u.trust LAN Cryptとは何ですか?
IOS・iPadOS用Utimaco u.trust LAN Cryptのユーザーは、スマートフォンやタブレットなどのモバイルデバイスを使用して、暗号化されたデータをリモートで操作できます。
WindowsまたはMacOSでの透過的なファイル暗号化により、Utimaco u.trust LAN Cryptは、小規模、中規模、および大規模な組織の承認グループ内で機密データを安全に交換できます。ドイツおよび世界中の多くの企業、ビジネス組織、公共行政機関が、Utimaco u.trust LAN Cryptをすでに採用しています。
セキュリティ担当者(SO)は、Utimaco u.trust LAN Cryptで保護すべきファイルと保存場所を一元的に決定し、1つまたは複数の暗号化ルールを設定することにより、特定のデータにアクセスできるユーザーを定義します。たとえば、セキュリティ担当者(SO)は、定義されたパス(例:「\\ Servername\ Files \*.docx」)に関する暗号化ルールを作成することにより、特定のファイルストレージパス内のすべてのWordドキュメントを確実に暗号化できます。このルールがUtimaco u.trust LAN Crypt管理コンソールで作成されたポリシーファイルを介してクライアントコンピュータに転送されると、このパス内のすべてのWordドキュメントはそれ以降暗号化されます。さらに、1つ以上の暗号化ルールを組み合わせて1つの暗号化プロファイルにすることもできます。
これは、ファイルの保存場所に関係なく、すべてのファイルに適用されます。ローカル、ネットワークストレージ、またはリモートストレージ(クラウドストレージなど)に保存されているすべてのUtimaco u.trust LAN Crypt暗号化ファイルにアクセスできます。ユーザーは、ワークステーションコンピュータでも利用可能な同じUtimaco u.trust LAN Crypt暗号化ファイルに簡単にアクセスできます。
iOS・iPadOS用Utimaco u.trust LAN Cryptのユーザーは、iPhoneやiPadなどのモバイルデバイスを使用して、暗号化されたデータを操作できます。
iOS・iPadOS用Utimaco u.trust LAN Cryptのこのリリースでは、ユーザーは暗号化されたファイルを開いて編集し、保存し、それ自体にアクセスすることができます。さらに、モバイルデバイスで証明書(.p12ファイル)とポリシーファイル(.xml.bz2)を使用することで、通常のUtimaco u.trust LAN Cryptセキュリティインフラストラクチャを拡張できます。
iOS・iPadOS用Utimaco u.trust LAN Cryptでは、iOS 14・iPadOS 14以降のバージョンをサポートしています。
iOS・iPadOS用Utimaco u.trust LAN Cryptは、ドイツ語と英語で利用できます。
どの暗号化アルゴリズムがサポートされていますか?
サポートされているファイル暗号化アルゴリズム
iOS・iPadOS用Utimaco u.trust LAN Cryptでは、次の暗号化アルゴリズムをサポートしています。
- AES-256ビット(XTSモード)
- AES-256ビット(CBCモード)
- AES-128ビット(XTSモード)
- AES-128ビット(CBCモード)
鍵ラッピングのためのサポートされた暗号化アルゴリズム
iOS・iPadOS用Utimaco u.trust LAN Cryptでは、キーラッピング用の暗号化アルゴリズムとして以下をサポートしています。
- AES-256
- AES-192
- AES-128
- サポートされていますが、推奨されていません:3DES、3DES TWO KEY、DES、RC4
注意:キーラッピング(デフォルト設定)では、セキュリティ担当者データとユーザープロファイルデータのトランスポートキーが、選択したアルゴリズム(デフォルトはAES)を使用して、ランダムに生成されたセッションキーで暗号化されます。一方、このキーは、次には、証明書の公開鍵を使用してRSAで暗号化されます。
注意:Windows用Utimaco u.trust LAN Cryptとは異なり、アルゴリズム「RC 2」はiOS・iPadOS用Utimaco u.trust LAN Cryptではサポートされていないことに注意してください。ポリシーファイルのキーラッピングがこのアルゴリズムに設定されている場合、ポリシーファイルはiOS・iPadOS用Utimaco u.trust LAN Cryptでは使用できません。その場合、キーラッピング暗号化アルゴリズムを変更し、サポートされているアルゴリズムを選択する必要があります。(たとえば、AES-128)
注意:セキュリティトークンを使用している場合は、使用しているミドルウェアが選択したキーラッピング暗号化アルゴリズムもサポートしていることを確認してください。セキュリティトークンを使用している場合は、ミドルウェアを更新する必要があるかもしれません。
一般的な準備
セキュリティ上の理由から、Utimaco u.trustデータファイルアプリでは、デバイスにパスコードを設定する必要があります。アプリがアクティブになると、デバイスのパスコードの存在を確認し、デバイスが保護されていないことがわかった場合は、デバイスのパスコードが設定されるまで使用をブロックします。「1234」や「000000」など、推測しやすいパスコードは決して使用しないでください。デバイスが紛失または盗難された場合に備えて、安全なパスコードを使用することで、機密データへの不正アクセスを防ぐことができます。一般に、Utimacoでは、デバイスが長期間使用されていない場合や、デバイスを新しいものと交換する場合は、Appleデバイス上のポリシーファイルと証明書を消去することをお勧めします(ポリシーファイルの削除とユーザー証明書の削除を参照)。
注意:デバイスのパスコードをオフにすると、ユーザー証明書のパスワードが削除され、デバイスのパスコードを再度オンにした後に再入力する必要があります。
設定
iOS・iPadOS用Utimaco u.trust LAN Cryptのウェルカム画面を閉じると、構成データの提供を求めるメッセージが表示されます。
注意:SMB共有を使用して構成ファイルを配布する場合、設定ビューには追加のネットワークセクションが表示されます。これにより、SMB資格情報をクリアまたは入力できます。SMB資格情報を削除すると、ダウンロードした構成ファイルも削除されます。
ポリシー
Utimaco u.trustデータファイルポリシーファイルとは何ですか?
セキュリティ担当者(SO)は、暗号化機能を持つUtimaco u.trust LAN Cryptで保護されるファイルと保存場所、さらにこれらのデータのどれにどのユーザーがアクセスできるかを、Utimaco u.trust LAN Cryptの管理コンソールを通じて一元的に定義します。そのために、セキュリティ担当者はユーザーの暗号化ルールを1つ以上作成します。各個別の暗号化ルールは、暗号化パス、キー、および暗号化アルゴリズムで構成されています。Utimaco u.trustデータファイルポリシーファイルには、暗号化されたデータを処理するためにユーザーが必要とするすべての暗号化ルールが含まれています。ユーザーがポリシーファイルを使用できるようにするには、Utimaco u.trustデータファイルセキュリティオフィサーによってキーファイル(.p 12ファイル)として提供される証明書が必要です。鍵ファイルには、証明書とユーザーの秘密鍵が含まれています。キーファイルへのアクセスは、パスワードで保護されています。ユーザーは、セキュリティ担当者を通じてパスワードを受け取ります。
ポリシーファイルとキーファイルをモバイルデバイスにインポートする前に、ファイルをモバイルデバイスを介してアクセス可能な場所にコピーする必要があります。これは、OneDrive、iCloud、またはネットワーク共有のプライベートフォルダにすることができます。または、モバイルデバイスをUSBまたはWLAN経由でPCに接続して、キーファイルをモバイルデバイスのストレージに直接コピーすることもできます。2つのAppleデバイス間の直接接続には、AirDropを使用する別のオプションもあります。AirDropは、BluetoothだけでなくWi-Fiにも対応しています。
ポリシーファイルをインポートする方法は?
モバイルデバイスでiOS・iPadOS用Utimaco u.trust LAN Cryptアプリを開きます。次に、右上隅のアプリのu.trustデータファイル履歴(ファイルブラウザ)で[ユーザーアイコン]をタップして、設定ビューを開きます。そこで、選択したポリシーファイルをタップし、ポリシーファイルの保存場所を選択します。次に、ポリシーファイルをタップします。ポリシーファイルがモバイルデバイスにインポートされます。
ユーザー証明書をインポートする方法は?
モバイルデバイスでiOS・iPadOS用Utimaco u.trust LAN Cryptアプリを開きます。次に、右上隅のアプリのu.trustデータファイル履歴(ファイルブラウザ)で[ユーザーアイコン]をタップして、設定ビューを開きます。そこで、選択したユーザー証明書をタップし、キーファイル(.p 12)を含む場所を選択します。証明書ファイル(.p 12)をタップします。ファイルはファイルブラウザに表示されます。次のダイアログで、セキュリティ担当者から受け取った証明書/キーファイルのパスワードを入力し、[OK]をタップして入力内容を確認します。正しいパスワードを入力すると、証明書とそれに対応する個人キーがiOS・iPadOS用Utimaco u.trust LAN Cryptアプリにインポートされます。
注意:iOS・iPadOS用Utimaco u.trust LAN Cryptでは、ポリシーファイルにおける複数のユーザー証明書の参照もサポートしています。ポリシーファイルを使用できるようにするには、ユーザーが、自分自身に発行された証明書のうち、その公開鍵がポリシーファイルの暗号化に使用されているものを少なくとも1つ持っている必要があり、そしてもちろん、それをすでにインポートしている必要もあります。
デフォルトの暗号化キーを選択
モバイルデバイスでiOS・iPadOS用Utimaco u.trust LAN Cryptアプリを開きます。次に、右上隅のアプリのu.trustデータファイル履歴(ファイルブラウザ)で[ユーザーアイコン]をタップして、設定ビューを開きます。そこで、選択デフォルトキーをタップします。利用可能なすべての暗号化キーが一覧表示されます。そこで、デフォルトの暗号化キーとして使用するキーをタップします。新しいファイルを暗号化すると、それらのファイルはこのキーで暗号化されます。
モバイルデバイス管理(MDM)を使用する場合、デフォルト暗号化キーは、管理される設定として定義できます。
- 設定の名前はdefault_key_guidであり、暗号化に使用するキーのGUIDに設定する必要があります。
- 管理される場合、ユーザーは設定のデフォルトキーを変更することはできません。
- 管理されている暗号化キーがユーザーキーリングの一部でない場合、GUIDが設定に表示され、ファイルを暗号化しようとしてもエラーで失敗します。
注意:デフォルトの暗号化キーはいつでも変更できます。暗号化したい新しいファイルは、常に選択したデフォルトの暗号化キーで暗号化されます。デフォルトのキーが設定されている場合は、キーのリストで[なし]を選択して選択を解除することもできます。
MDMを使用したポリシーファイルと証明書のロールアウト
アプリに加えて、M obileD evice M anagement (MDM)ソリューションを使用して、アプリ自体に加えて、ユーザーのモバイルデバイスの個々の構成(ポリシーファイルと証明書)を展開できます。Mobile D eviceM anagement (MDM)ソリューションを使用していない場合は、上記のように、各ユーザーが設定データ(ポリシーファイルと証明書)を手動でインポートする必要があります。
設定:
コンフィギュレーションデータは、キー+文字列タプルのリストです。ファイルは、HTTPSまたはSMBサーバーでホストされているBase 64エンコード文字列として、URLを介して提供される必要があります。次の構成キーは、Utimaco u.trustデータファイルによって提供されます。
ポリシーのキー
policy_blob:Base 64でエンコードされた文字列としてのポリシーXMLまたはXML.bz2ファイル。
POLICY_URL: ポリシーXMLまたはXML.bz2ファイルへのURL。ユーザー証明書のキー(P12ファイル):
usercert_blob:証明書PKCS-12ファイルをBase 64でエンコードした文字列。
usercert_url:証明書PKCS-12ファイルへのURL。セキュリティ担当者証明書の鍵:
admcert_blobセキュリティ担当者証明書(.cer)ファイル(DERエンコード済み)はBase 64でエンコードされた文字列です。
admcert_url: セキュリティ担当者証明書(.cer)ファイルへのURL (DERエンコード済み)。デフォルトキー
DEFAULT_KEY_GUID: 新しいファイルの暗号化に使用するキーのGUID。これが設定されていない場合、デフォルトの暗号化キーはユーザーが選択できます。Samba Credentialsのキー:
smb_usernameポリシーまたはユーザー証明書設定のいずれかがSMBの場所を参照している場合、SMB接続のユーザー名をこのキーで構成できます。値が設定されていない場合、ユーザーはユーザー名を入力するように求められます。SMB接続のパスワードは常にユーザーが入力する必要があります。セキュリティ上の理由から、管理設定はありません。証明書検証のためのキー
:証明書検証証明書の検証を有効にします。設定がない場合、検証は無効になります。
ルール:
- 管理された設定は、ユーザーによって変更または無効にすることはできません。
- URLは、有効なSSL証明書を持つHTTPSサーバー上でホストする必要があります。モバイルデバイスのブラウザ(Chrome、Safariなど)にURLを入力して、これを確認できます。ファイルを表示できる場合、URLは構成値としても機能します。
- BLOBとURLの両方が設定でサポートされている場合は、BLOBが優先します。
- 設定のデータBLOBまたはURLが無効な場合、エラーが表示されます。
- SMB共有のURLを使用する場合、ユーザー名とパスワードは無視されます(代わりにsmb_usernameを使用します)(smb://localfileserver/certificates/sepp.p12)
形式:smb://<host>/<share>/<folders>/<filename> - 構成文字列には文書化された最大長はありませんが、文字列のサイズは数キロバイトを超えてはなりません。
警告 - Intuneの使用とiOS構成データ文字列のBase 64エンコード:Microsoft Intuneを使用し、Base 64でエンコードされた文字列を提供する場合: XML構成ファイル形式を使用します。それ以外の場合、文字列は警告なしにIntuneによってカットされ、不完全なデータがデバイスにプッシュされます。
ポリシーファイルを削除しています
iPhoneまたはiPadでiOS・iPadOS用Utimaco u.trust LAN Cryptアプリを開きます。iOS・iPadOS用Utimaco u.trust LAN Cryptアプリ内で、u.trust LAN Cryptの[最近]画面(ファイルブラウザ)の右上隅にあるユーザーアイコンをタップして、設定を開きます。右側のポリシーファイルの横にある[ゴミ箱]アイコンをタップします。本当にポリシーファイルを削除したい場合は、[削除]をタップします。ポリシーファイルの削除を続行しない場合は、[キャンセル]をタップします。
ユーザー証明書を削除しています
iPhoneまたはiPadでiOS・iPadOS用Utimaco u.trust LAN Cryptアプリを開きます。iOS・iPadOS用Utimaco u.trust LAN Cryptアプリ内で、u.trust LAN Cryptの[最近]画面(ファイルブラウザ)の右上隅にあるユーザーアイコンをタップして、設定を開きます。右側のユーザー証明書の横にある[ゴミ箱]アイコンをタップします。本当にユーザー証明書を削除したい場合は、[削除]をタップします。証明書の削除を続行しない場合は、[キャンセル]をタップします。
暗号化されたデータの処理
iOS・iPadOS用Utimaco u.trust LAN Cryptを使用すると、モバイルデバイスまたはリモートストレージシステムにローカルに保存されているファイルにアクセスできます。ファイルブラウザを介したリモートストレージシステム(OneDriveまたはGoogleドライブなど)へのアクセスは、iOSサンドボックスセキュリティで保護されています。iOSサンドボックスセキュリティにより、Appleのデバイスにインストールされたアプリに用意されているファイルブラウザを介して、保護されたリモートアクセスが可能になります。したがって、ユーザーは、たとえば、OneDriveアプリがデバイスにインストールされている場合、iOS・iPadOS用Utimaco u.trust LAN Cryptアプリを使用して、OneDriveに保存されているデータにアクセスできます。関連アプリがモバイルデバイスにインストールされている限り、Googleドライブへのアクセスも同様の方法で行われます。
暗号化されたデータにアクセスするにはどうすればよいですか?
iPhoneまたはiPadを使用してファイルにアクセスするには、さまざまな方法があります。これは、iOS・iPadOS用Utimaco u.trust LAN Cryptアプリ内で、ファイルブラウザを介して、またはクラウドストレージ用の独自アプリ(OneDriveなど)を介して行うことができます。iOS・iPadOS用Utimaco u.trust LAN Cryptの最初のリリースでは、ユーザーがアクセスする暗号化されたファイルのみを読み取ることができました。このバージョンのiOS・iPadOS用Utimaco u.trust LAN Cryptを使用すると、ファイルを暗号化することもできます。ユーザーは優先アプリを使用してファイルを変更できます。たとえば、Microsoft Officeを使用してドキュメント、プレゼンテーション、スプレッドシートを編集できます。ドキュメントプレビューには[編集]ボタンがあり、ファイルをサードパーティのアプリに転送するために使用できます。
ファイルの暗号化情報を表示
ファイルの暗号化情報を次のように表示できます。
iOS・iPadOS用Utimaco u.trust LAN Cryptアプリで、ファイルを長押しします。[暗号化情報]オプションを含むコンテキストメニューが表示されます。
注意:このオプションは、iOS・iPadOS用Utimaco u.trust LAN Cryptが使用可能な状態、すなわちポリシーファイルが読み込まれている場合にのみ使用できます。
[暗号化情報]オプションを選択すると、暗号化情報を含むファイル情報が表示されます。サムネイルの右上隅にあるバッジアイコンは、ファイルを開くことができるかどうかを示します。
- 緑色のチェックマーク: ファイルは暗号化されており、アクセスできます。
- グレーのチェックマーク: ファイルはプレーンであり、アクセスすることができます。
- 赤xマーク: ファイルは暗号化されており、アクセスすることはできません(キーは使用できないか、使用されている暗号化アルゴリズムはモバイルではサポートされていません)。
ファイルの名前、種類、サイズがサムネイルの下に表示されます。
情報セクションには、詳細情報が表示されます。
- 暗号化状態: ファイルが暗号化されているかどうかを示します。
- キー: 暗号化に使用されるキーの名前(暗号化されたファイルにのみ表示されます)。
- キーID: 暗号化に使用されるキーのGUID(暗号化されたファイルにのみ表示されます)。
- 利用可能なキー: キーがポリシーで利用可能かどうかを示します(暗号化されたファイルにのみ表示されます)。
- モバイルでサポート: 使用された暗号化アルゴリズムがデバイスでサポートされているかどうかを示します(アルゴリズムがサポートされていない暗号化ファイルにのみ表示されます)。
ファイルの暗号化方法
暗号化されたファイルを開くには、Utimaco u.trust LAN Cryptアプリを使用して、暗号化されたファイルの格納場所を参照し、ファイルをタップして開きます。このファイルは、iPhoneまたはiPadのUtimaco u.trust LAN Cryptアプリの統合ビューアを介して直接開かれ、復号化されます。そのために、iOS・iPadOS用Utimaco u.trust LAN Cryptでは、AppleのQuickLookフレームワークを使用します。すべてのファイルは表示時に常にUtimaco u.trust LAN Cryptアプリの安全なサンドボックスにとどまっているので、常に最適に保護されています。ただし、ストレージの場所自体では、このファイルは暗号化されたままです。すべての暗号化および復号化プロセスは、モバイルAppleデバイス自体でのみ行われます。
注意:iOS用QuickLookフレームワークでは、特定のファイルタイプの編集が制限されています。
PDFファイルと画像ファイル: マークアップサポートファイルを表示するときは、ナビゲーションバーのペン先アイコンをタップします。
ビデオファイル: 回転とトリミングサポート。ファイルを表示するときは、ナビゲーションバーの回転またはトリムボタンをタップします。
[完了]ボタンをタップすると、変更が元のファイルに戻ります。
サードパーティアプリを使用してファイルを編集する
- ドキュメントのプレビューで[編集]ボタンをタップします。
- ドキュメントのプレビューが閉じられ、iOS共有画面が表示されます。お好みのアプリケーションを選択してください。
- サードパーティのアプリが表示され、書類が提示されます。通常どおりアプリを使用します。
- サードパーティアプリが変更を書き込む場合、iOS・iPadOS用Utimaco u.trust LAN Cryptにより、変更が必ず元の場所に書き込まれます(たとえば、クラウドストレージプロバイダーにアップロードされます)。
ロギング機能
iOS・iPadOS用Utimaco u.trust LAN Cryptには、詳細ログ機能があります。この機能の使用は、エラー分析のみを目的としており、iOS・iPadOS用Utimaco u.trust LAN Cryptアプリでエラーまたは問題が発生した場合にのみ有効にする必要があります。
詳細なログ
iPadまたはiPhoneでiOS・iPadOS用Utimaco u.trust LAN Cryptアプリを開きます。iOS・iPadOS用Utimaco u.trust LAN Cryptアプリ内で、u.trust LAN Cryptの[最近]画面(ファイルブラウザ)の右上隅にあるユーザーアイコンをタップして、設定を開きます。スライダを右に動かすと、詳細ログ機能が有効になります。スライダーボタンの周囲の領域が緑色になると、詳細ログ機能が有効になります。エラーを再現するために必要な手順を踏み、ログファイルを作成します。
注意:いかなる場合も、ログファイルは機密情報を明らかにしません!
ログを送信
[ログを送信]機能を使用すると、分析目的でログファイルを電子メールでUtimacoサポートチームに送信できます。ログファイルを送信するには、[ログを送信]の右側に表示される[共有]アイコンをタップします。次に、メール通信に使用するアプリを選択します。ログファイルは圧縮ファイル(.zip)として添付され、チーム(support@Utimaco.de)に送信されます。
詳細ログ機能を無効にするには、スライドボタンを左に戻します。詳細ログ機能を無効にすると、スライダーボタンの周囲は灰色になります。
テクニカルサポート
Utimaco製品のテクニカルサポートにアクセスするには、次の手順に従います。
メンテナンス契約のすべてのお客様は、https://support.hsm.utimaco.com/homeから詳細情報および/またはナレッジベース項目にアクセスできます。
保守契約のお客様は、support@Utimaco.deの電子メールアドレスを使用してテクニカルサポートに電子メールを送信し、Utimacoソフトウェアの正確なバージョン番号、オペレーティングシステム、パッチレベル、および該当する場合、受信したエラーメッセージの詳細な説明、または該当するナレッジベース項目をお知らせください。
