BitLockerとは

Windowsにはハードディスク（HDD）を暗号化するBitLockerが搭載されています

BitLockerならではの魅力

BitLockerには、他社のハードディスク（HDD）暗号化製品に比べると、以下のような特長があります。

• ・追加コストなしにハードディスク（HDD）を暗号化することが可能
• ・OS標準搭載のため、操作性等の面で親和性が高い
• ・Active Directoryと連携して回復キーの管理が可能

しかし、実際には運用・管理が大変な場合も、、

ところが、企業で多くのPCにBitLockerを導入・展開すると、管理の煩雑さやツールの使い勝手にお悩みのお客様が多くいらっしゃいます。

• ・クライアントOSの機能であるため、一元管理する機能が乏しい
• ・Active Directoryに所属しないクライアントを管理できない
• ・障害対応時にどのように運用すべきかわからない

最も多いお悩みは、管理の煩雑さやツールの使い勝手など、BitLocker導入後の運用管理です。

「PerfectWatch for BitLocker」は、BitLocker運用管理を効率化するBitLocker専用の運用ツールです。

PerfectWatch for BitLockerについて詳しく

このページの先頭へ

PerfectWatch for BitLockerで効率的な運用・管理

PerfectWatch for BitLockerのメリット

「PerfectWatch for BitLocker」は、実際にWindows 10 / 8.1 / 8 / 7 を導入したりご検討中のお客様、BitLockerの運用でお困りのお客様の さまざまな「声」から生まれたツールです。

PerfectWatch for BitLockerを導入することにより、以下を実現することができます。

• ・回復キー、暗号化状態のGUIによる集中管理
• ・Active Directoryに属さない端末の管理
• ・障害回復時のワンタイムパスワード運用
• ・ユーザーによる暗号化解除の抑制

PerfectWatch for BitLockerの提供モジュール

PerfectWatch for BitLockerは以下のモジュールから構成されます。

■サーバーモジュール

• ・暗号化状態の保存と一覧表示
• ・回復キー表示
• ・回復キー再作成指示

■クライアントエージェント

• ・暗号化状態の通知
• ・回復キー再作成
• ・ユーザーによる暗号化解除を抑制

PerfectWatch for BitLockerの利用イメージ

PerfectWatch for BitLockerの機能説明

回復キー、暗号化状態のGUIによる集中管理

Active Directoryに属さない端末の管理

ワークグループでの運用やドメイン参加前に暗号化した場合、BitLocker単独ではActive Directoryと連携した回復キー管理ができません。

PerfectWatch for BitLockerでは、Active Directoryに属していない端末でも、回復キーや暗号化状態を集中管理することができます。

障害回復時のワンタイムパスワード運用

回復キーをユーザーに通知する際に、第三者への回復キーの漏えいリスクがあります。

PerfectWatch for BitLockerでは、回復キーの通知後、管理者から回復キー再作成指示を行うことにより、ワンタイムパスワード運用が可能で す。

ユーザーによる暗号化解除を抑制

その他の特長

上記に述べた他に、PerfectWatch for BitLockerには以下の特長があります。

■CSV出力

管理対象PCの暗号化の状態をCSVで出力することが可能です。それを加工することにより、統計情報等を作成することが可能となります。

■英語対応

GUIツール、クライアントエージェントともに、日本語/英語に対応しています。

PerfectWatch for BitLockerの価格と構成について

このページの先頭へ

PerfectWatch for BitLockerの価格・構成

ニーズに合わせた2つの提供形態

PerfectWatch for BitLocker Cloud Edition / PerfectWatch for BitLocker On Premise Editionの2つのEditionをご用意いたしました。ご提 供する機能は全く同じです。

PerfectWatch for BitLocker Cloud Edition

サーバー構築・運用が不要で、初期コスト、ランニングコストが低減できます。

PerfectWatch for BitLocker On Premise Edition

大規模ユーザーの場合、ライセンス価格がCloud Editionに比べて低価格になります。

PerfectWatch for BitLocker Cloud Edition

サーバー構築・運用が不要で、初期コストやランニングコストを抑えることができます。

前提環境

■サーバー環境
クラウドサービスとして提供

■クライアント環境（管理者PC）
Internet Explorer 11以降

■クライアント環境（管理対象PC）
Windows 10※ Pro / Enterprise / Education
　※Version 1809まで対応
Windows 8.1 Pro / Enterprise
Windows 8 Pro / Enterprise
Windows 7 Enterprise / Ultimate

■通信環境
管理者PC、管理対象PCともに、SSLでの外部インターネット接続が可能であること

提供価格（税別）

初期費用：100,000円
月額費用：管理対象PC1台あたり50円
※最低PC台数は30台から、最短契約期間は1年間となります。

PerfectWatch for BitLocker On Premise Edition

大規模ユーザーの場合、ライセンス価格がCloud Editionに比べて低価格になります。

前提環境

■サーバー環境
Windows Server 2016
Windows Server 2012/2012 R2
Microsoft SQL Server 2016 Standard以上
Microsoft SQL Server 2012 Standard以上
Microsoft SQL Server 2008 Standard以上

■クライアント環境（管理者PC）
Internet Explorer 11以降

■クライアント環境（管理対象PC）
Windows 10※ Pro / Enterprise / Education
　※Version 1809まで対応
Windows 8.1 Pro / Enterprise
Windows 8 Pro / Enterprise
Windows 7 Enterprise / Ultimate

■通信環境
管理者PC、管理対象PCともに、HTTPもしくはSSLでサーバー環境に接続が可能であること

提供価格（税別）

初年度
1,000台まで：1,000,000円
以降1,000台ごと：300,000円

2年目以降
1,000台ごと：300,000円
※1,000台まで300,000円、1,000から2,000台まで600,000円

このページの先頭へ

PerfectWatch for BitLocker オプション機能

PerfectWatch for BitLockerの安全性と利便性を強化するオプションを提供しています。

オプションはオープン価格となっています。
PerfectWatch for BitLocker およびオプションのお見積もりは「お取り扱い販売代理店」にお問い合わせください。

安全性強化

利便性強化、導入運用効率化

このページの先頭へ

FAQ

FAQ

各質問（Q)の項目をクリックすると回答（A)が表示されます。

ライセンスや保守に関するご質問

• • Q1　お見積もりが必要なのですが、どうすればいいでしょうか。
    PerfectWatch for BitLocker Cloud Edition / On Premise Editionは弊社からの直接販売はしておりません。
    購入に関するお問い合わせは、お取り扱い販売店 様へご相談いただ きますようお願いします。
    
    お取り扱い販売店 様へ以下の情報をご連絡ください。
    ・PerfectWatch for BitLockerの導入をご予定されているクライアントPCの台数
    ・Cloud Edition または On Premise Editionのどちらのお見積もりが必要か
  • Q2　ライセンスを後から追加購入することはできますか。
    はい、できます。既存の契約に追加購入するライセンスの契約期間をあわせていただく必要があります。
  • Q3　保守はどのような内容になりますか。
    土日、祝日、弊社指定休業日を除く、10:00～17:00の時間帯で技術的なご質問に対して受付・回答いたします。 メールもしくはFAXによる方法での受付・回答となります。（お電話サポートによる対応は行っておりません。）

製品・サービスの仕様に関するご質問

PerfectWatch for BitLocker(PW4B)の管理機能に関するご質問

• • Q1　On Premise Editionのサーバー環境について、対応可能なOSおよびSQL Serverのバージョンを教えてください。
    OSおよびSQL Serverの対応バージョンにつきましては、「価格・構成」をご参照ください。 Windows Server 2016につきましては、2018年9月を目途に対応OSに組み込まれる見通しとなっております。
  • Q2　PW4Bクライアントをアンインストールした場合、管理者側で気付くことができますか。
    管理者がPW4Bクライアントのアンインストールを直接検出する機能はございません。PCごとに最後に通信を行った日時がPW4B管理Web上で 確認できますので、長期間通信のないPCに対して管理者から状況確認いただくことは可能です。 なお、PW4Bクライアントのアンインストールを抑制するため、アンインストールパスワードを要求するオプション機能のご提案が可能です。詳細はお問い合わせください。
  • Q3　長期間通信のないPCが発生した場合、メール等で管理者に通知する事は可能でしょうか。
    長期間通信のないPCが発生した場合、メール等で管理者に通知する機能はございません。 PCごとに最後に通信を行った日時がPW4B管理Web上で確認できますので、長期間通信のないPCに対して管理者から状況確認いただくことは 可能です。
  • Q4　FireWallで通信を許可できるよう設定するため、PW4B Cloud Editionのサーバー情報（FQDN及びIPアドレス）を教えてください。また サーバー情報が将来変更になる予定はありますでしょうか。
    Cloud Editionの管理サーバーのFQDNは、以下になります。
    　bitlocker.perfectwatch.net
    HTTPS（ポート番号443）での通信となります。IPアドレスによる指定はできません。
    また、現時点で上記サーバー情報の変更の予定はございませんが、変更が発生する場合は事前にご案内させていただきます。
  • Q5　PW4B管理Webにパスワードロック機能はありますか。
    PW4B管理Webには、パスワードロック機能はございません。
    PW4B管理Webへのアクセス制御を強化したい場合、オプション機能としてアクセス元のIPアドレスを制限することができます。詳細は別途お問い合わせください。
  • Q6　回復キー再作成指示によって自動的に作成された回復キーが保存される先はPW4B管理Web（サーバー）のみとなりますでしょうか。
    PW4B管理Web上で回復キー再作成指示を行いますと、該当するPC上で回復キーが再作成され、再作成後の回復キーは、PW4B管理Webに保存されます。PC上にファイル出力するなどの機能はございませんので、ファイルでの保存が必要な場合、手動で対応いただく必要があります。
  • Q7　Web管理画面のステータス「一時停止」はどういう状況を表していますでしょうか。
    ドライブ暗号化の途中で、暗号化処理が一時停止された状態となります。
    ※BitLockerの仕様につきましては、マイクロソフト社にお問い合わせください。
  • Q8　Web管理画面－アカウント管理画面にてユーザーIDを新規登録できるようですが、追加したユーザーIDはどのような場面で利用するのでしょうか。
    アカウント管理画面におけるユーザーIDの追加は、複数の管理者で使用する場合で、かつ、管理者ごとにユーザーIDを分ける運用を行う場合を想定しています。
  • Q9　Web管理画面－ 暗号化状況一覧の右側の項目について、「保護」、「ロック」、「自動ロック解除」はどのようなステータスを示しているのか教えてください。
    BitLockerの各ステータスについて、以下ご説明いたします。
    ・保護⇒暗号化されているか否かをオン／オフで表示します。
    ・ロック⇒上記保護されているドライブが、ロックされているかどうかを ロック／解除 で表示します。
    
    　ロックの状態ではドライブ内を参照できません。解除の状態ではドライブ内を参照できます。解除は、TPMやPIN等でBitLocker解除してOS起動できている状態となります。Cドライブのみの場合、ロックされている状態ではOSが起動しないため、「ロック」の状態でサーバーへ通知されるケースはございません。保護されているデータドライブ(Dドライブ等)が、回復キーを必要とするなど、ロック解除されていない状態の場合には、「ロック」と表示されます。
    
    ・自動ロック解除⇒TPMに記録されたキー、もしくはスタートアップキーを使って、PC起動時に自動ロック解除されるか否かを示します。
    通常、自動ロック解除はオンです。自動ロック解除がオフの場合、PC起動時に回復キー等でロックを解除する必要があります。
    ※BitLockerの仕様につきましては、マイクロソフト社にお問い合わせください。

PerfectWatch for BitLocker(PW4B)のクライアント機能に関するご質問

• • Q1　PW4Bクライアントを導入した端末で、「PerfectWatch for BitLocker Client サービスにアクセスできません。サービスが起動しているか確認して下さい。」と表示されます。
    PW4Bクライアントサービスが実行されていない場合に発生します。
    PW4Bクライアントインストール後にOSの再起動を行っていない場合には、サービスが実行されません。この場合には、OS再起動後にご確認ください。
  • Q2　PW4Bクライアントを導入するとBitLockerの暗号化解除が出来なくなりますが、一時的に暗号化解除ができるようにする事は可能ですか。
    Windowsサービス「PerfectWatchforBitLockerClient」を停止いただくことで暗号化解除が可能となります。暗号化解除が開始された後、上記Windowsサービスを開始（または、OS再起動により自動的にWindowsサービスを開始）いただくことで、通常通りPerfectWatch for BitLockerの機能を利用いただくことができます。
  • Q3　PW4Bクライアントの対応OSを教えてください。
    PW4Bクライアントの対応OSについては、「価格・構成」をご参照ください。
  • Q4　新しいバージョンのOSに対応したPW4Bクライアントについて、どのような形式で提供されますか。
    PerfectWatch for BitLockerの修正版モジュールがリリースされた場合には、メールにて通知の上、修正版モジュールを提供させていただきます。
  • Q5　PW4Bクライアントをインストールした際にBitLockerによる暗号化は自動的に行われますでしょうか。
    PW4Bクライアントをインストールした際に、非暗号化ドライブを自動的に暗号化する機能はございません。BitLockerによる暗号化は、別途実施いただく必要があります。
  • Q6　PW4Bクライアントをアンインストールした際に暗号化も解除されますか。
    PW4Bクライアントをアンインストールした際にドライブの暗号化が解除されることはございません。
  • Q7　PW4BクライアントはSSD搭載のPCでも利用可能でしょうか。
    PCの内蔵ドライブにつきましては、SSDについてもHDDと同様にご利用いただけます。
  • Q8　PW4Bクライアントインストール後に利用者情報を入力してくださいと表示されますが、自動で利用者名、利用者IDを表示させることは可能でしょうか。
    PW4Bクライアントには、利用者情報を自動で登録させる機能はございません。 利用者情報は以下のレジストリで管理されるため、PW4Bクライアントの導入時に、別途バッチスクリプトをご用意いただき、自動登録を行うことができます。
    
    レジストリキー名：
    　HKLM\SOFTWARE\CSKWinTechnology\PerfectWatchforBitlocker\1.0
    値名：
    　利用者名：UserName（文字列）
    　利用者ID：UserNo（文字列）
    バッチスクリプトの開発については弊社にて「支援メニュー」のご提案が可能です。詳細はお問い合わせください。
  • Q9　PW4Bクライアントをインストールしたら、「プログラムと機能」に表示されますでしょうか。
    PW4Bクライアントを導入いただいた場合、「プログラムと機能」に「PerfectWatch for BitLocker Client」と表示されます。
  • Q10　PW4Bクライアントのプロキシ設定を実施した場合の注意事項はありますでしょうか。
    PW4Bクライアントはプロキシ経由でのアクセスに対応しており、特別な制約事項はございません。念のためプロキシサーバーがHTTPS通信 （SSLおよびTLS）に対応していることをご確認ください。また、実際の動作確認につきましては評価版のご利用により確認いただけます。
  • Q11　PW4Bクライアントの「暗号化解除抑制機能」を有効にしている場合、ユーザーがBitLockerの無効指示をした際に、回復キーは変更されますでしょうか。
    PW4Bクライアントの「暗号化解除抑制機能」により暗号化解除がキャンセルされるため、回復キーの変更はございません。
  • Q12　PW4Bクライアントの「暗号化解除抑制機能」を有効にしている場合、ユーザーがBitLockerの保護の中断をした場合、”保護の 中断”もPW4Bでキャンセルされますでしょうか。
    保護の中断操作につきましては、PW4Bでの制限機能はございません。
  • Q13　PW4BクライアントとPW4B管理Webの疎通確認を実施する方法を教えてください。
    PW4Bクライアントとサーバとの通信につきましては、全てエージェントを起点にしてサーバへの接続を行います。 PW4Bクライアントの登録ボタンを押下いただくことで、PW4BクライアントからPW4B管理Webへのステータス通知が行われます。
  • Q14　PW4Bをイメージ展開する場合の注意事項があれば教えてください。
    PW4Bは起動時にPCの固有値をレジストリ登録するため、以下のいずれかの手順が必要となります。
    　(1) PW4Bインストール後、PC再起動前にイメージを作成する
    　(2) イメージ展開後に、レジストリ登録されたPCの固有値を削除する
    
    なお、BitLocker有効の設定をした状態でのイメージ展開については、その可否を含め、PW4Bとして保証できるものではございません。※ 別途マイクロソフト社へご確認ください。
  • Q15　利用者が変わった場合、「利用者名」をPW4B管理Webで変更可能でしょうか。
    「利用者名」の変更は、PW4Bのクライアントの画面（クライアントGUI画面）から変更いただきます。管理者側（管理画面）から変更する方法はございません。
  • Q16　PW4Bクライアントの通信エラーポップアップはどのようなタイミングで表示されますか。
    PW4Bクライアントは以下のタイミングでPW4B管理Webにステータスを通知します。
    ・PC再起動／起動
    ・前回通信から24時間後
    ・通信失敗時、30分おきにリトライ
    ・ドライブの暗号化完了
    この際に、PC再起動／起動時にPW4B管理Webサーバーとの通信ができなかった場合、エラーホップアップが表示されます。
    なお、オプション機能「通信エラーポップアップ制御」により、通信エラーポップアップを表示しないよう設定することができます。詳細は別途お問い合わせください。
  • Q17　USBメモリ等リムーバブルディスク をBitLocker To Go で暗号化を行った場合もPerfectWatch for BitLockerで管理することは可能ですか。
    PerfectWatch for BitLockerは、BitLocker To Goには対応しておりません。
    BitLocker To Goにより暗号化したドライブは管理対象外となります。
  • Q18　PW4Bクライアントのプロキシー設定ですが、IEのプロキシー設定を自動で持って来ることはできますか。
    IEのプロキシー設定からエージェントのプロキシー設定を自動設定する機能はございません。別途バッチスクリプトをご用意いただき、あらかじめIEのプロキシー設定をレジストリに登録することは可能です。なお、バッチスクリプトの開発については弊社の「支援メニュー」のご提案が可能です。詳しくはお問い合わせください。
  • Q19　プロキシー利用時に、社外（インターネット経由）からPW4Bのサーバーに接続させることはできますか。
    プロキシー設定は固定となりますので、PW4Bクライアントのプロキシー設定を変更いただく必要がございます。（社外用のプロキシーを設定する、もしくは、プロキシーを利用しない設定にする）
  • Q20　BitLockerのPINを一定期間で変更させたいのですが、PW4Bクライアントでそのような機能はありますか。
    PINの変更期間経過のワーニングは、オプション機能「PINコードポリシー設定」での提供となります。PW4BクライアントからPINの設定と、一定期間経過後のPINの変更を促すワーニングメッセージの表示が可能となります。詳細は別途お問い合わせください。
  • Q21　PW4BクライアントがPW4B管理Webに通信する際、DNSを使えますでしょうか。
    PW4B管理Webの接続先アドレス指定は、IPアドレスのみではなく、クライアントがDNSにより名前解決できるホスト名（FQDN）を指定することが可能です。
  • Q22　スタンドアロンPCに関しても、PW4B+BitLockerの組み合わせで管理を行うことはできますか。
    　管理サーバーとの通信が無い時の警告がどの程度の頻度で表示されるのか。
    　回復キーを手動で管理サーバーに登録する方法はあるのか。
    　他に不具合が発生するか。　など、お教えください。
    管理サーバーとの通信が不可の場合には、回復キーを管理サーバーへ登録する方法はございません。PW4Bへのステータス通知のため、一時的にネットワークにつなげていただくか、回復キーを手動で管理いただく形になります。
    なお、PW4Bクライアントの「暗号化解除検知/再暗号化」の機能はネットワーク接続にかかわらずご利用いただけます。
    また、管理サーバーとの通信が無い時の警告は、PCの起動のタイミング（起動後5分後）で表示されます。その後、PCの起動中は表示されませんが、PCを再起動しますと、再起動ごとに警告が表示されます。

BitLockerに関するご質問

• • Q1　BitLockerの運用において、プリブート認証は可能でしょうか。
    BitLocker自体の機能として、以下の暗号化方式を取ることでプリブート認証を実現することができます。
    ・TPM+PIN（PINコードの入力）
    ・スタートアップキー（USBメモリの利用）
    ・上記2方式の組み合わせ
    また、TPM+PIN方式にはパスワードロック機能もございます。
    ※一定回数PINコードの入力を誤るとロックされる
    これらの暗号化方式は、BitLockerで暗号化を実施する際に指定します。
    なお、上記暗号化方式を実施したPCにつきましても、PerfectWatch for BitLockerは問題なく管理対象PCとすることができます。
    
    ※BitLockerの仕様につきましては、マイクロソフト社にお問い合わせください。
  • Q2　ハードウェア障害によりPCが起動しない場合、暗号化されたドライブからデータを救出する手段はありますでしょうか。
    ハードウェア障害によりPCが起動しない場合、ドライブ自体の障害でなければ、ドライブを他のPCに接続した上で、BitLockerの「回復キー」を用いることにより、データにアクセスできるようになる可能性がございます。
    
    ※BitLockerの仕様につきまして、マイクロソフト社にお問い合わせください。