IBM Client Security Software は、 IBM エンベデッド・セキュリティー・サブシステムが搭載されている IBM コンピューターでのみ使用できます。 このソフトウェアは、複数のアプリケーションとコンポーネントによって構成されており、 これらによって IBM クライアントはぜい弱なソフトウェアではなくセキュアなハードウェア・チップによって機密情報を保護することができます。

クライアント・ユーザー情報を保護するには、 あらかじめ IBM Client Security Software がクライアントにインストールされており、 ソフトウェアを使用できるようにユーザーが登録されている必要があります。 使いやすいセットアップ・ウィザードが用意されており、 このウィザードによってインストール・プロセスを実行できます。

重要: セットアップ時に、少なくとも 1 人のクライアント・ユーザーが UVM に登録される必要があります。 Client Security Software の初期設定の際にユーザーが登録されないと、 セキュリティー設定は適用されず、 情報は保護されません。

ユーザーを登録せずにセットアップ・ウィザードを完了した場合、システムを終了してから再始動し、Windows の「スタート」メニューからクライアント・セキュリティー・セットアップ・ウィザードを実行して、Windows ユーザーが UVM を使用できるように登録してください。 このようにすると、 IBM Client Security Software によってセキュリティー設定が適用され、 ユーザーの重要な情報が保護されるようになります。

このリリースでの新機能

• IBM Password Manager 1.4 が CSS インストール・パッケージに組み込まれています

• UPEK 統合指紋読取装置が特定の IBM コンピューターに組み込まれています

• 1 クリック・インストールによって、すべての必要なファイルをインストールできます

• 可変長の管理者パスワードがサポートされています

• 初心者のユーザーのために標準構成という新しい構成オプションが用意されています

• National TPM と Atmel TPM だけがこのリリースでサポートされています

• ThinkPad BIOS スーパーバイザー・パスフレーズがこのリリースでサポートされています

注: TCG に準拠していないセキュリティー・チップを搭載した ThinkPad または ThinkCentre のコンピューターを使用している場合は、Client Security Software 5.3 を使用する必要があります。 これらのコンピューターには、Client Security Software 5.4 を正常にインストールできません。

このリリースで使用するソフトウェアの必須バージョン

• IBM Password Manager リリース 1.4

• IBM File and Folder Encryption リリース 2.10

CSS バージョン 5.4 での既知の問題または制限

• 複数の指紋読取装置を使用できない
  Client Security Software 5.4 では、1 台のコンピューター上で複数の指紋ソフトウェアを使用できません。 別の指紋読取装置を使用するには、現在の指紋ソフトウェアをアンインストールする必要があります。

• ユーザー証明書の転送後にワイヤレス・ネットワーク接続に障害が発生する
  パスフレーズを入力しないでパスフレーズ・ダイアログを長時間開いたままにしておくと、ワイヤレス・ネットワーク接続に障害が発生することがあります。 その場合は、IBM ユーザー認証マネージャー (UVM) に対する認証後に、ワイヤレス・アダプターをいったん使用不可にしてから、再び使用可能にしてください。

• 右マウス・ボタン・クリックによる暗号化を同時に実行しようとすると、失敗することがある
  複数のファイルに対して右マウス・ボタン・クリックによる暗号化を同時に実行しようとすると、暗号化が失敗することがあります。 この現象は、特に最初のファイルが巨大な場合に発生しやすいようです。 失敗した場合は、右マウス・ボタン・クリックによる暗号化を各ファイルで別々に実行してください。

• 制限付きユーザーの場合の指紋またはスマート・カード・オーバーライド・パスワード
  管理者が管理者コンソールを使用してユーザーの指紋またはスマート・カード・オーバーライド・パスワードを更新する場合、 更新されたファイルが生成され、ユーザーのアーカイブ・ディレクトリーに置かれます。 その後、エンド・ユーザーはこの更新されたファイルを、アーカイブからシステムの正しいディレクトリーにコピーする必要があります。 通常はこれを行うには、 ユーザー構成ユーティリティーで「アーカイブからユーザー構成を復元する」を選択します。 しかし、このオプションは、コンピューターの管理者特権を持つユーザーしか使用できません。 制限付きのユーザーは、更新されたオーバーライド・パスワードを取り出すことができません。 そのため、制限付きユーザーは、 該当するファイルをシステムの Windows ディレクトリーに手動でコピーするように管理者に依頼する必要があります。

• ゲスト・ユーザーは File and Folder Encryption または Password Manager ユーティリティーを使用できない
  File and Folder Encryption または Password Manager ユーティリティーへのアクセスは、 ゲスト・ユーザー (管理者ユーティリティーにユーザー・アカウントが表示されるゲスト・ユーザーでも) には許可されません。

• ローミングの制限

  • CSS ローミング・サーバーの使用

    CSS ローミング・サーバーにログオンしようとすると、 CSS 管理者パスワードのプロンプトが出されます。 しかし、パスワードを入力しなくてもコンピューターを使用できます。

  • ローミング環境での IBM Client Security Password Manager の使用

    IBM Client Security Password Manager を使用して 1 つのシステムに格納されたパスワードは、 ローミング環境内において別のシステム上で使用できます。 ユーザーがローミング・ネットワーク内の別のシステムにログオンするときに、 新しい項目がアーカイブから自動的に取り出されます (アーカイブが使用可能な場合)。 したがって、ユーザーがすでにあるシステムにログオンしているときに、 ローミング・ネットワーク上で新規エントリーが使用可能になる場合は、 いったんログオフして、再びログオンする必要があります。

  • Internet Explorer 証明書とローミング・リフレッシュ遅延

    Internet Explorer 証明書は、20 秒ごとにアーカイブ内で更新されます。 新規の Internet Explorer 証明書がローミング・ユーザーによって生成された場合、 ユーザーが別のシステム上で CSS 構成のインポート、復元、または変更を行うには、 少なくとも 20 秒待たなければなりません。 20 秒のリフレッシュ間隔よりも前にこれらのアクションのいずれかを試みると、 証明書が失われることになります。 さらに、証明書が生成されたときにユーザーがアーカイブに接続していなかった場合、 その証明書がアーカイブ内で更新されるために、 ユーザーはアーカイブに接続した後 20 秒待つ必要があります。

  • Lotus Notes のパスワードとクレデンシャル・ローミング

    Lotus Notes サポートが有効になっている場合、 ユーザーのLotus Notes パスワードは UVM によって保管されます。 ユーザーは、 Lotus Notes にログオンするときに Notes パスワードを入力する必要はありません。 Lotus Notes にアクセスするときには、 UVM パスフレーズ、指紋、スマート・カード (セキュリティー・ポリシー設定に応じて異なる) が要求されます。

    ユーザーが Lotus Notes 内で Notes パスワードを変更すると、 Lotus Notes の ID ファイルは新しいパスワードで更新され、 UVM の Notes パスワードのコピーも更新されます。 ローミング環境では、ユーザーの UVM クレデンシャルは、 そのユーザーがアクセスできるローミング・ネットワーク上の他のシステムでも使うことができます。 パスワードの変更された Notes ID ファイルがローミング・ネットワーク内の他のシステムで利用できない場合、 UVM のコピーの Notes パスワードが、他のシステムにある ID ファイルの Notes パスワードと一致しなくなることがあります。 その場合、ユーザーは Lotus Notes にアクセスできません。

    パスワードの更新された Notes ID ファイルが別のシステムで利用できない場合、 その ID ファイルのパスワードが UVM によって保管されているコピーと一致するように、 更新された Notes ID ファイルをローミング・ネットワーク内の他のシステムにコピーする必要があります。あるいは、「スタート」メニューから「セキュリティー設定の変更」を実行して、 Notes パスワードを古い値に戻すことができます。 その後、Lotus Notes 内で Notes パスワードを再度更新することができます。

  • ローミング環境におけるログオン時のクレデンシャルの可用性

    アーカイブがネットワーク共有に置かれている場合、 ユーザーがアーカイブにアクセスできるようになると、 ユーザーのクレデンシャル一式がそのアーカイブからダウンロードされます。 ログオン時には、 ユーザーはまだネットワーク共有にはアクセスできないため、 システム・ログオンが完了するまで、 最新のクレデンシャルはダウンロードされません。 たとえば、ローミング・ネットワーク内の別のシステムで UVM パスフレーズが変更された場合や、 別のシステムで新規の指紋が登録された場合、そのような更新内容は、 ログオン・プロセスが完了しないと入手できません。 更新済みのユーザー・クレデンシャルを入手できない場合は、 ユーザーは前のパスフレーズまたは他の登録済みの指紋を使ってシステムにログオンする必要があります。 ログオンが完了すると、 ユーザーの更新されたクレデンシャルが利用可能になり、 新しいパスフレーズおよび指紋が UVM に登録されます。

  • ローミング環境におけるログオン時のクレデンシャルの可用性

    ローミング環境で Netscape を使用する場合、 ローミング・ネットワーク内のすべてのシステムは同じバージョンの Netscape を使用する必要があります。 クレデンシャルは、異なるバージョン (たとえば、4.8 と 7) では使えません。

• 鍵の復元

  鍵の復元操作を実行した場合、その後 Client Security Software を引き続き使用するには、 コンピューターを再始動しなければなりません。

• ローカル・ユーザー名とドメイン・ユーザー名

  ドメイン・ユーザー名とローカル・ユーザー名が同じ場合は、 両方のアカウントに同じ Windows パスワードを使用してください。 IBM ユーザー認証マネージャーは ID につき 1 つの Windows パスワードしか保管しないため、 ローカル・ログオンとドメイン・ログオンには同じパスワードを使用する必要があります。 同じパスワードを使用しないと、 IBM UVM Windows セキュア・ログオンの置き換えが有効になっている場合、 ローカル・ログインとドメイン・ログインの間で切り替えを行うときに、 IBM UVM Windows パスワードを更新するためのプロンプトが出されます。

  CSS には、 ドメインとローカルで別々のユーザーを同じアカウント名で登録する機能はありません。 同じ ID をもつローカルとドメインのユーザーの登録を試みると、 「選択されたユーザー ID は、すでに構成されています」というメッセージが表示されます。 CSS では、ドメインとローカルで共通する複数のユーザー ID を 1 つのシステムにそれぞれ登録して、一連の同じクレデンシャル、 類似証明書、保管中の指紋などに共通 ID でアクセスできるようにすることは許可されません。

• Targus 指紋ソフトウェアの再インストール

  Targus 指紋ソフトウェアを削除してから再インストールした場合、指紋サポートを使用可能にするには、 Client Security Software 内の指紋機能を有効化するのに必要なレジストリー項目を手動で追加する必要があります。 必要な項目の入ったレジストリー・ファイル (atplugin.reg) をダウンロードして、 ダブルクリックすると、 レジストリー項目をレジストリーにマージできます。 この操作を確認するための画面が表示されたら、 「はい」をクリックしてください。 Client Security Software が変更内容を認識して、 指紋サポートを使用可能にするには、 システムのリブートが必要です。

  注: これらのレジストリー項目を追加するには、 システムで管理者権限を持っている必要があります。

• Targus USB 指紋読取装置

  Targus USB 指紋読取装置の接続先ポートを変更すると、 IBM ユーザー認証マネージャーはユーザーの指紋を認識できなくなる場合があります。この問題が発生する場合、 USB 読取装置のポートを元のポートに切り替えてください。

• BIOS スーパーバイザー・パスフレーズ

  IBM Client Security Software 5.3 およびそれ以前では、 一部の ThinkPad システムで利用できる BIOS スーパーバイザー・パスフレーズ機能はサポートされていません。 BIOS スーパーバイザー・パスフレーズを使用可能にする場合は、 セキュリティー・チップの有効/無効化はすべて BIOS セットアップから行う必要があります。 BIOS スーパーバイザー・パスワードが設定されている場合、 対話式インストールの際には、IBM エンベデッド・セキュリティー・サブシステムは使用可能になりません。

• Netscape 7.x の使用

  Netscape 7.x の動作は Netscape 4.x のものとは異なります。 Netscape の開始時にパスフレーズ・プロンプトは表示されません。 PKCS#11 モジュールは必要な場合にのみロードされるため、 パスフレーズのプロンプトは PKCS#11 モジュールが必要な操作が実行されるときにのみ表示されます。

• アーカイブのためのディスケットの使用

  セキュリティー・ソフトウェアの構成時に、保存場所としてディスケットを指定すると、 構成プロセスがデータをディスケットに書き込むときに時間がかかる場合があります。 他のメディア (ネットワーク共有場所または USB キーなど) を保存場所とすることをお勧めします。

• スマート・カードの登録

  ユーザーがスマート・カードによる認証を正しく実行するには、 まずスマート・カードを UVM に登録する必要があります。 1 つのカードを複数のユーザーに割り当てた場合、 そのカードを最後に登録したユーザーだけがカードを使用できます。 したがって、スマート・カードは 1 人のユーザー・アカウント専用に登録する必要があります。

• スマート・カードによる認証

  スマート・カードが認証に必要とされる場合、 UVM はスマート・カードを求めるダイアログを表示します。 スマート・カードを読取装置に挿入すると、 スマート・カードの PIN を要求するダイアログが表示されます。 ユーザーが誤った PIN を入力すると、 UVM はスマート・カードを要求します。 PIN を再入力する前に、スマート・カードを取り出して、再度挿入する必要があります。 そのカードの正しい PIN を入力するまで、 スマート・カードの取り出しと挿入を繰り返す必要があります。

• 暗号化の後にフォルダにプラス (+) 記号が表示される

  ファイルまたはフォルダの暗号化が行われると、 Windows のエクスプローラではフォルダ・アイコンの前にプラス (+) 記号が追加されます。 この記号は、エクスプローラのウィンドウが更新されるときに消えます。

• 右マウス・ボタン・クリックによる暗号化の後のファイル・カウント

  右マウス・ボタン・クリックによる暗号化機能を使って複数ファイルの暗号化を試みるときに、 暗号化するファイルの中に禁止タイプ (DLL、 VxD、SYS など) が含まれていると、その操作は失敗します。 右マウス・ボタン・クリック操作が失敗するときに表示されるエラー・ウィンドウの、暗号化されていないファイルの数は不正確な場合があります。

• ユーザー・クレデンシャルの保存

  IBM Client Security Software は、 システムの情報を頻繁にアーカイブ・ディレクトリー (セキュリティー・サブシステムの構成時に指定) にバックアップすることによって、アーカイブに保管されているバックアップ情報を最新のものに保ちます。 アーカイブ・ディレクトリーを取り外し可能メディア (USB キーなど) やネットワーク共有に保管すると、アーカイブ・ディレクトリーは常に利用できるとは限りません。 CSS がアーカイブ・ディレクトリーにアクセスできない場合、 アーカイブを利用できないことを示すメッセージが表示されます。 「キャンセル」をクリックすると、ある特定のファイルのバックアップは取り消されますが、 CSS は複数ファイルのバックアップを試行する場合があるため、その場合は同じメッセージが複数回表示されます。アーカイブを利用できない場合にこのメッセージが繰り返し表示されないようにするには、 「このメッセージを再び表示しない」チェック・ボックスを選択します。 警告メッセージは表示されなくなります。

• Windows XP Home の制限付きユーザーに関する制限

  Windows XP Home の制限付きユーザーは、 自身の UVM パスフレーズ、Windows パスワードを変更できません。 また、ユーザー構成ユーティリティーを使用して鍵を変更することもできません。

• 新しいシステム・ボードのインストール時に、システム POST 190 エラーが発生することがある

POST エラーを解決するには、以下の手順を実行します。

1. コンピューターを再始動します。

2. 表示に従って F1 キーを押し、BIOS Setup Utility を起動します。

3. BIOS Setup Utility を終了します。

BIOS Setup Utility を終了すると、POST エラーは解決します。

CSS 5.4: サポートされている GINA

• IBM Access Connections GINA (qcongina.dll)

• Utimaco SafeGuard Easy GINA (sslogon.dll)

• Atheros Wireless GINA (athgina.dll)

• Intel Wireless GINA (iWPDGina.dll)

リリース 4.0x からのアップグレード

Client Security Software を完全に除去するには、 「コントロール パネル」の「プログラムの追加と削除」アプレットから Client Security Software リリース 4.0x をアンインストールします。 コンピューターの再始動後、 セットアップ・ウィザードを使用して Client Security Software リリース 5.4 をインストールして構成できます。

以下の手順を実行するには、リリース 4.0x が構成されたときに作成された公開鍵と秘密鍵が必要です。 それらが使用可能かどうかを確認してください。

Client Security Software リリース 4.0x は除去するものの、リリース 5.4 で既存のセキュリティー・データを使用するには、以下の手順を実行します。

1. アーカイブ情報を更新します。
   Client Security リリース 4.0x を除去する前に、アーカイブ情報が最新であることを確認します。これは、以下の手順を実行して行うことができます。

   1. 「スタート」>「プログラム」>「IBM Client Security Software」>「Client Utility」をクリックします。

   2. 「アーカイブの更新」ボタンをクリックします。 これで、バックアップ情報が更新されます。 アーカイブ・ディレクトリーの位置を記録しておいてください。

   3. ユーティリティーを終了します。

2. 以下の手順に従って、コンピューターから既存の Client Security Software を除去してください。

   1. 「コントロール パネル」から「プログラムの追加と削除」を使用して IBM Client Security Software を削除します。

   2. リブートに関するプロンプトが表示されたら「いいえ」を選択します。

   3. 「スタート」メニューを使用してシステムをシャットダウンします。

3. 以下の手順に従ってエンベデッド・セキュリティー・チップをクリアしてください。

1. システムの電源を入れます。

2. 起動時に F1 キーを押して、BIOS Setup Utility を開始します。

3. 「Security Chip Settings」に進んでセキュリティー・チップをクリアします。

4. BIOS Setup を終了すると、システムはリブートされます。

   注: 起動時に F1 キーを押したままにする必要があります。 チップをクリアする方法はシステムによって異なります。 コンピューターのユーザーズ・ガイドを参照してください。

4. 以下の手順に従って IBM Client Security リリース 5.4 をインストールしてください。

1. リリース 5.4 のインストール・プログラムを実行します。

2. プロンプトが表示されたらシステムをリブートします。 リブート後、クライアント・セキュリティー・セットアップ・ウィザードが自動的に開始されます。

3. セットアップ・ウィザードを実行しないでください。 「キャンセル」をクリックして終了してください。

5. 以下の手順に従って、デフォルトのセキュリティー・ポリシーを一時的にバックアップしてください。

1. Windows のエクスプローラを使用して、IBM Client Security Software のインストール・ディレクトリー (デフォルトでは c:\program files\IBM\security) を開きます。

2. UVM_Policy フォルダを右マウス・ボタン・クリックして、「コピー」を選択します。

3. デスクトップを右マウス・ボタン・クリックして、「貼り付け」を選択します。 このようにすると、デスクトップに一時的なバックアップが作成されます。 既存のセキュリティー・ポリシー設定は、新しいデフォルトのもので置き換えられることに注意してください。

6. 以下の手順に従って、リリース 4.0 の設定を復元してください。

   1. 「コントロール パネル」で「IBM エンベデッド・セキュリティー・サブシステム」を選択して、 チップのパスワードを入力します。

   2. 「鍵の構成」ボタンをクリックします。

   3. 「はい」を選択して、鍵アーカイブから鍵を復元します。

   4. リリース 4.0 のアーカイブ・ディレクトリーの場所を指定します。

   5. リリース 4.0x が構成されたときに作成された公開鍵と秘密鍵の場所を指定します。 既存のアーカイブは新しいリリースに更新されることに注意してください。

   6. 「OK」をクリックします。

   7. 新しい (リリース 5.4 の) 鍵を作成するための場所を指定します。 既存のリリース 4.0x の鍵の場所とは別の場所に鍵を作成するようにしてください。 すでに別のシステムでリリース 5.4 用の管理者鍵を作成している場合、 「既存の CSS 鍵ペアを使用する」を選択して、 その既存の鍵の場所を指定します。

   8. 「次へ」をクリックします。 アーカイブは変換されて復元されます。

   9. 作業が完了したらアプリケーションを終了します。

7. ポリシー設定を復元します。

8. Windows のエクスプローラを使用して、IBM Client Security Software のインストール・ディレクトリー (デフォルトでは c:\program files\IBM\security) を開きます。

9. 左マウス・ボタンで、デスクトップにある UVM_Policy フォルダを、IBM Client Security Software のインストール・ディレクトリーへドラッグします。

10. 表示されるすべての警告には「はい」と応答します。

これで、セキュリティー・データはリリース 4.0 からリリース 5.4 にマイグレーションされました。

リリース 4.0x のセキュリティー・ポリシーに変更を加えていた場合、 「コントロール パネル」から「IBM エンベデッド・セキュリティー・サブシステム」を実行して、 セキュリティー・ポリシーの設定を再実行することができます。 「アプリケーション・サポートとポリシーの構成」をクリックして、 「アプリケーション・ポリシー」、そして「ポリシーの編集」をクリックします。