目的
CTE Agent を Windows Server にインストールを行い、"ファイルシステムレベル暗号化" によりファイルが暗号化されることを確認する
構成図
暗号化設定概要
Guard Point (暗号化対象フォルダ) : C:\Test
| 暗号化対象 | ファイル操作可否 | 暗号処理可否 |
|---|---|---|
| 正規ユーザ | O | O |
| 特権ユーザ | O | X |
| 非正規ユーザ | X | X |
用意したもの
- CipherTrust Manager v2.14
- Windows Server 2022
- CTE Agent v7.4.0_99 Win64
デモ動画
本記事で記載している手順を紹介している動画がございます。
Part 1: CTE Agentのインストール&登録
1. CMへ管理者権限でログイン
- admin でログイン
- ログイン後、CM管理画面
2. Registration Tokenの作成
ここで作成される Registration Tokenは CTE Agent をCMへ登録する際に利用されます。
-
MENU > Access Management > Registration Tokens
下記のメッセージが表示された場合には、"Client Profile"の作成を先に行う。(CM v2.14以降)"Add Registration Token disabled: To add registration token. you first need to create a Client Profile"
-
MENU > Access Management > Client Profile
-
"Add Client Profile" をクリック
-
"Profile Name"を入力(任意の名前。例:"client_profie")
-
"CA Type" は”Local CA”そのまま
-
"Select Local CA" は"Default CA(local)"を指定
-
"Add Client Profile"をクリック
-
-
MENU > Access Management > Registration Tokens
-
"Add Registration Token"をクリック
-
"Begin"をクリック
-
"Name Prefix"を入力(任意の名前。例:"registration_token")
-
"Select Profile"をクリック
-
"Client Profile"を選択(例:"client_profie")
-
"Add Token"をクリック
-
3. CTE Agent のインストール
- Windows Server へ Administrator にてログイン
- CTE Agent のインストーラ起動
-
"Welcome to the InstallShied wizard for ...."が表示される
-
"Next"をクリック
-
"SOFTWARE LICENSE AGREEMENT"の内容を確認後、"I accept the term in the license agreement"を選択
-
"Next"をクリック
-
"Distination Folder"確認画面が表示される。
-
"Next"をクリック
-
"Install"をクリック
-
インストールが始まる。Statusでインストール状況を確認できる。インストール終了まで待つ
-
"InstallSheild Wizard Completed"が表示される
-
"Register CipherTrust Transparent Encryption now"は選択したまま
- インストール完了後、引き続き、CTE Agent をCMへの登録を行う
-
"Finish"をクリック
-
4. CMへCTE Agentの登録
- CMへの登録
-
"Regiter Host"画面が表示される
-
"Next"をクリック
-
"Enter the host name of the Key Manager"へ、CMのホスト名を入力する。
- "CM管理画面のURLのIPアドレス"等を入力
- "CM管理画面のURLのIPアドレス"等を入力
-
"Next"をクリック
-
CTE Agentのホスト名指定、及び、H/W関連付け、LDT利用等オプション指定を行う
-
Registration Tokenの登録
- 前の手順で作成した Registration Tokenの値をCMから Copy & Pasteする。
- 前の手順で作成した Registration Tokenの値をCMから Copy & Pasteする。
-
"Register"をクリック
-
CMへのCTE Agentの登録処理が始まる。完了すると"Finish"をクリックできるようになる
-
"Finish"をクリック
-
- サーバの再起動
- "Yes"をクリックして、サーバの再起動を行う
5. CTE Agentのステータス確認
- 再起動後、CTE Agent が自動で実行される
- タスクバーの通知領域のCTE Agentのアイコンを右クリックするとメニューが表示され、Status等確認できる
6. CM管理画面上で登録したCTE Agentの確認
-
CM管理TOP画面より "Trasparent Encrption"を選択
-
MENU > Clients > Clients にて、CMに登録済みのCTE Agentが確認できる
- 今回登録した、Windows ServerのCTE Agentが登録され、Statusが"Healthy"であることを確認する
- 今回登録した、Windows ServerのCTE Agentが登録され、Statusが"Healthy"であることを確認する
ここまでで、CTE Agentをインストールし、CMへ登録することができるようになりました。
Part2 では、暗号化の設定を行います。
Part 2: CTE暗号化設定
1. Guard Point(暗号化対象フォルダ)の作成
- 設定を行いたいサーバの"Client Name"をクリック
- "Create GuardPoint"をクリック
- Policyの"Select"を選択(暗号化Policyの選択)
- 今回は初回で、既存のPolicyが無いため、新規作成を行う
- "Create Policy"をクリック
2. Policyの作成
-
Nameに任意のPolicyの名前を入力(例:"cte_policy")
-
"Next"をクリック
-
Policy構成要素であるSecurity Ruleの追加を行う
- 今回は3つのSecurity Ruleを追加する
Rule # 暗号化対象 ファイル操作可否 暗号処理可否 1 正規ユーザ O O 2 特権ユーザ O X 3 非正規ユーザ X X - Security Rule 1: '正規ユーザ'向け設定
-
"Add Security Rule"をクリック
-
"User Set"の"Select"を選択
-
"Create User Set"を選択
-
Nameに任意の名前を指定 (例:"user_set_allow")
-
"Next"をクリック
-
"Create User"をクリック
-
"Browse to Add Users"をクリック
-
"Connection Type"で"Agent"を選択
-
Agentで"Select"をクリック
-
対象のサーバ(CTE Agentをインストールしたサーバ。今回は一つのみ)を選択
-
"Select"を選択
-
"User Type"で"System"を選択
-
"Member Choice"で"Users"を選択
-
"Apply"をクリック
-
CTE Agent経由で、対象サーバのユーザ(/グループ)のリストが表示される
-
"正規ユーザ"をクリック (例:"approved_user")
-
"Create"をクリック
-
"Next"をクリック
-
"Save"をクリック
-
"Action"で"Select"をクリック
-
"all_ops"を選択
- 全てのファイル操作オペレーションを対象とする
-
"Select"を選択
-
Effectで"Select"をクリック
-
"Effect Permission"で"Permit"を選択
選択肢 ファイルアクセス Permit O Deny X -
"Effect Options"で、"ApplyKey"及び"Audit"を選択
選択肢 意味 ApplyKey 暗号鍵利用(暗号化/符号化)許可 Audit 監査ログへの記録 -
"Select"をクリック
-
"Add"をクリック
-
- Security Rule 2: '特権ユーザ'向け設定
- '特権ユーザ'用のSecurity Rule 2の下記項目を Security Rule 1作成時と同様の手順で作成
- User Set: 任意の名前(例: "user_set_deny"で特権ユーザ "Administrator"を登録
- Action: all_ops
- Effect: permit, audit
- '特権ユーザ'用のSecurity Rule 2の下記項目を Security Rule 1作成時と同様の手順で作成
- Security Rule 3: '非正規ユーザ'向け設定
- '非正規ユーザ'用のSecurity Rule 3の下記項目を Security Rule 1,2作成時と同様の手順で作成
- User Set: 無し
- Action: all_ops
- Effect: deny, audit
- '非正規ユーザ'用のSecurity Rule 3の下記項目を Security Rule 1,2作成時と同様の手順で作成
- 今回は3つのSecurity Ruleを追加する
-
各Security Ruleの設定確認
-
CTE Agentはファイルアクセス時、上段の優先度の高いSecurity Ruleから順番に、下段へ該当する User Setであるか確認を行う
- (今回は User Setしか利用していないが、Resource Set及び、Process Setも同様に利用可)
-
User Setに該当した場合、Effectで指定された処理を行う
Rule # 暗号化対象 User Set User Set 登録 user ファイル操作可否 暗号処理可否 監査ログ 1 正規ユーザ user_set_allow approved_user O (permit) O (applykey) O (audit) 2 特権ユーザ user_set_deny Administrator O (permit) X O (audit) 3 非正規ユーザ X (deny) X O (audit) -
"Next"を選択
-
3. Key Ruleの指定
-
"Create Key Rule"を選択
-
暗号化で使用する鍵を選択。今回は新規作成を行う
-
"Select"を選択
-
"Create a New Key"を選択
-
Nameへ任意の名前を指定(例:"cte_key")
-
"Create"をクリック
-
作成した鍵(例:"cte_key")を選択
-
"Next"を選択
-
"Add"を選択
-
"Next"を選択
-
Policyの確認画面、"Save"を選択
-
作成したPolicy(例:"cte_policy")を選択
-
"Select"を選択
4. Guard Point (暗号化対象フォルダ) の指定
- "Browse"をクリック
- "Select Path:"から、Guard Point (暗号化対象フォルダ) を指定 (例:"C:\Test")
- "Select Path"を選択
- "Add"を選択
- "Create"を選択
- Satusが "Unknown"から"Active"に変更されるのを待つ
以上で、CTEの暗号化設定は完了です。
設定がうまく行っているか動作確認を行います。
Part3: 暗号化動作確認
1. 正規ユーザ 'approved_user'
- 任意のファイル(例: CSVファイル)をGuardPoint(C:\Test)へコピー
- C:\Testへの書き込み時、暗号化される
- Guard Point(C:\Test)上のファイルをオープン時、復号化される
2. 特権ユーザ 'Administrator'
- Guard Point(C:\Test)上のファイルは復号化されずに、オープンされる
- 許可されていないユーザ(特権ユーザ含む)は、ファイルの中身を確認することができない
- 許可されていないユーザ(特権ユーザ含む)は、ファイルの中身を確認することができない
2. 非正規ユーザ 'unaprroved_user'
- Guard Point(C:\Test)上のファイルにアクセスできない
- 許可されていないユーザは、ファイルにアクセスできない
- 許可されていないユーザは、ファイルにアクセスできない