暗号化

特に、規制コンプライアンスが適用される企業の場合、クラウドストレージに格納されるすべてのバックアップを暗号化することをお勧めします。

パスワードを失くしたり忘れたりした場合に、暗号化されたバックアップをリカバリする方法はありません。

保護計画での暗号化

暗号化を有効にするには、保護計画を作成するときに、暗号化設定を指定します。保護計画の適用後に暗号化設定を修正することはできません。別の暗号化設定を使用するには、新しい保護計画を作成します。

セキュリティ強化モードのアカウントの場合、保護計画で暗号化パスワードを設定することはできません。保護対象のデバイスに、ローカルでこのパスワードを設定する必要があります。

保護計画で暗号化設定を指定する手順

  1. バックアップモジュール設定の保護計画パネルで、[暗号化] スイッチを有効にします。
  2. 暗号化パスワードを指定して確認します。

  3. 次の暗号化アルゴリズムのいずれかを選択します。

    • [AES 128]: バックアップは、128 ビット キーの AES(高度暗号化標準)アルゴリズムを使用して暗号化されます。
    • [AES 192]: バックアップは、192 ビット キーの AES アルゴリズムを使用して暗号化されます。
    • [AES 256]: バックアップは、256 ビット キーの AES アルゴリズムを使用して暗号化されます。
  4. [OK] をクリックします。

マシンプロパティとして暗号化

保護計画の設定に関係なく、バックアップの暗号化を強制的に実行したり、マシンに一意の暗号化パスワードを設定したりできます。バックアップは、256 ビット キーの AES アルゴリズムを使用して暗号化されます。

マシンに暗号化設定を保存すると、保護計画に次のような影響があります。

  • 既にマシンに適用されている保護計画。保護計画にある暗号化設定が異なっていると、バックアップが失敗します。
  • マシンに適用される予定の保護計画。マシンに保存された暗号化設定が、保護計画の暗号化設定よりも優先されます。バックアップモジュール設定で暗号化が無効にされている場合でも、バックアップはすべて暗号化されます。

このオプションはVMwareエージェントを実行するマシンでも使用できます。ただし、複数のエージェントfor VMwareが同じvCenter Serverに接続されている場合は注意してください。すべてのエージェントで同じ暗号化設定を使用する必要があります。これはエージェント間で一種のロードバランシングが発生するためです。

必ず、保護計画がバックアップを作成する前に、マシンの暗号化設定を変更してください。後から暗号化設定を変更すると、保護計画は失敗し、該当のマシンのバックアップを続行するために、新しい保護計画が必要となります。

暗号化設定を保存した後、以下のように変更したり、リセットしたりできます。

マシンに暗号化設定を保存する手順

  1. 管理者(Windows)またはルートユーザー(Linux)でログインします。

  2. 次のスクリプトを実行します。

    • Windowsの場合:<インストール パス>\PyShell\bin\acropsh.exe -m manage_creds --set-password <暗号化パスワード>

      ここで、<インストール パス>は保護エージェントのインストールパスです。デフォルト設定では、%ProgramFiles%\BackupClientになります。

    • Linuxの場合:/usr/sbin/acropsh -m manage_creds --set-password <暗号化パスワード>

コンピュータの暗号化設定をリセットする手順

  1. 管理者(Windows)またはルートユーザー(Linux)でログインします。

  2. 次のスクリプトを実行します。

    • Windowsの場合:<インストール パス>\PyShell\bin\acropsh.exe -m manage_creds --reset

      ここで、<インストール パス>は保護エージェントのインストールパスです。デフォルト設定では、%ProgramFiles%\BackupClientになります。

    • Linuxの場合:/usr/sbin/acropsh -m manage_creds --reset

Cyber Protectモニターを使用して暗号化設定を変更するには

  1. WindowsまたはmacOSで、管理者としてログインします。
  2. 通知領域(Windows)またはメニューバー(macOS)でCyber Protect Monitorのアイコンをクリックします。
  3. ギアアイコンをクリックします。
  4. [暗号化] をクリックします。

  5. 次のいずれかを実行します。

    • [このマシンの特定のパスワードを設定] を選択します。暗号化パスワードを指定して確認します。
    • [保護計画で指定された暗号化設定を使用] を選択します。
  6. [OK] をクリックします。

暗号化の動作方法

AES 暗号化アルゴリズムは、暗号ブロック連鎖(CBC)モードで動作し、ランダムに生成されるキーを使用します。キーの長さは 128、192、または 256 ビットからユーザーが指定できます。キーのサイズが大きいほどバックアップを暗号化する時間は長くなりますが、データの安全性は高まります。

次に、暗号化キーは、パスワードの SHA-256 ハッシュをキーとして使用して、AES-256 で暗号化されます。パスワード自体はディスクまたはバックアップに保存されませんが、パスワードのハッシュが検証に使用されます。この 2 段階のセキュリティにより、バックアップ データは不正なアクセスから保護されますが、失われたパスワードを復元することはできません。

関連トピック リンク アイコン関連項目