InterSafe ILP ご使用上の注意
2025年3月7日改訂
1. はじめに
1-1. 本資料の前提となる製品バージョンについて
・InterSafe Client : Ver4.00.00以降
・InterSafe Server : Ver4.00.00以降
・InterSafe Manager Server : Ver4.00.00以降
・InterSafe ILP Web Server(旧WorkFlow Server): Ver4.00.00以降
・InterSafe Update Server : Ver4.00.00以降
・データベース(DB) : Ver4.00.00以降
・ユーザー連携ツール : Ver4.00.00以降
・DB Migration Tool : Ver4.00.00以降
2. 重要事項
注意事項・制限事項のうち、特に重要と考えられる項目を以下に記載します。
2-1. InterSafe ILP製品共通事項
- 2-1-01. サポートされない環境について
- 以下の環境においては正常に動作しない場合があるためサポートされません。
- クリップボード制御やアプリケーションフックを行なう製品が導入されている環境
- 暗号化やデバイス制御の類似機能製品が導入されている環境
- Windowsセーフモード
- リモートデスクトップを利用したInterSafe Clientの操作
- 以下ソフトウエアのような機能が重複する製品が導入された環境
- 秘文
- トレンドマイクロ 情報漏洩対策オプション
- F-Secure ディープガード
- 2-1-02. 大規模ユーザー数での利用について
-
Ver5までの管理コンソールでは1グループ配下に多数のユーザーやグループを所属させると表示が極端に遅くなる場合があります。1グループ配下には、100ユーザー(またはグループ)までを目安として運用いただくか、Ver6以降の管理コンソールをご利用ください。なお、グループ階層上限は20階層迄ですのでご注意ください。
またサーバーへのアクセス(ログイン動作/各種操作ログによるクライアント-サーバー間の通信)過多により、ILPサーバーのレスポンス低下、Serviceダウンに発展する場合があります。その場合はTomcatの設定にてヒープサイズを拡張するなど、チューニングを行って下さい。
※Tomcatのヒープサイズ設定変更は『3.附録』をご参照ください。 - 2-1-03. Windowsマルチログインの利用について
- Intersafe Clientを導入したPCでは、複数アカウントを同時にログインするマルチログインはサポートされておりません。PCを複数人で共有したり、リモートデスクトップ機能などで複数人が同時にログインしてご利用になる場合は、一旦ログアウトを行った後ログインしていただくようお願いします。
- 2-1-04. Windows タブレットへのInterSafe Client 導入について
- タブレット型のWindows端末でもInterSafe ILPの動作環境に適合していれば、InterSafe Clientをご利用することが可能です。(ARMアーキテクチャのCPUおよびタブレットモードでの動作はサポート対象外となります。)ご利用においては、お客様にて事前に動作確認の上でのご利用をお願いいたします。
- 2-1-05. VDI利用時の注意事項
- InterSafe ILPではユーザーポリシー情報などをProgram
Dataフォルダ下に保持します。また、FP/IRM暗号化を実行する際にレジストリ(HKLM)の設定を一部変更します。VM、CitrixなどのVDI環境においてリンククローンで運用される場合は、以下機能はご利用になれませんのでご注意ください。
- オフラインログイン機能
- 暗号化機能の有効化、暗号化プロセスの追加、ログアウトポリシーなどポリシー情報の変更
※ 変更するためにはマスターイメージの再作成が必要になります。
- 2-1-06. Windows オフラインファイル機能の利用について
- Intersafe Clientを導入したPCでは、Windowsオフライン機能がご利用になれませんのでご注意ください。
- 2-1-07. ILPクラウド版ご利用時におけるアクセス制限について
- InterSafe ILPクラウドサービスご提供に際し、InterSafe ServerやInterSafe Manager へのアクセスには、お客様のグローバルアドレスを限定してご利用いただきます。これにより、固定のグローバルアドレスをお持ちでないお客様は、クラウドサービスをご利用になれませんので、予めご了承ください。また、固定のグローバルアドレスをお持ちのお客様でも、社外利用などモバイル環境では、オフラインログオン機能でご利用頂くことになりますのでご注意ください。
- 2-1-08. マウス・キーボード制御利用時の注意事項について(重要)
- v8.64より追加されたマウス・キーボード制御機能は機能を有効(ONに設定)にし、マウス・キーボード一覧(以下一覧)に1件以上のデバイスが登録されているとWindowsログオン前のOS起動時から制御開始されます。一覧に登録されていないデバイスは、外付けの機器に限らずノートパソコン本体のデバイスも制御対象となる場合がありますので、ご注意ください。誤って制御された場合は、InterSafe Manager(管理画面)上で制御機能を無効(OFFに設定)にした後、InterSafe Serverと接続できる状態で、InterSafe Client導入PCの電源ボタンを使用しOSを停止、起動させてください。
なお、VPN環境など接続操作なしでInterSafe Serverと接続できない場合は、InterSafe Serverと接続できる環境へ移動して上記操作が必要になります。予めご了承ください。
また、独自のデバイスドライバーをインストールして利用する多機能マウス・キーボードなどは、Windows標準ドライバーを利用しないため本機能の制御対象となりません。このような場合は、ユーザによるデバイスドライバーのインストール制御を併用して、制御いただくようお願いいたします。
2-2. InterSafe DeviceControl
- 2-2-01. 光学メディアの制御について
-
光学メディアの制御において、一部の例外的な動作をするライティングソフトに関しては、アプリケーション起動制御を行っています。また光学メディアの制御ポリシーが読取り専用の場合、ライティングソフトが起動できない場合ありますのでご注意ください。
※アプリケーション起動制御を行っているライティングソフト一覧については、『3.附録』をご参照ください。 - 2-2-02. 制御されないデバイスについて
- リムーバブルディスク/光学メディアの制御において、FlashAir(無線LAN機能付きのSDカード)、CDドライブの共有、Wi-Fi接続の外付けHDD等のデバイスに関しては、制御されませんのでご注意ください。
- 2-2-03. USBデバイスの登録について
- SDカードについては、登録済みUSBデバイスとして登録できませんのでご注意ください。
- 2-2-04. UMDFドライバを使用しているデバイスが認識できない事象について
- UMDF(ユーザー モード ドライバー フレームワーク)アーキテクチャーにて開発されたドライバーを使用している外部デバイスに関し、InterSafe ILP
クライアントプログラムが導入された環境では、該当デバイスが認識されない場合があります。
本事象が発生する際は、メディア同梱されたツールでクライアント側の設定を変更することで制御されるようになります。
UMDFドライバーが使用されているか否かの確認方法としては、[デバイスマネージャー]よりデバイスを選択し、[ドライバーの詳細]を開きます。カードについては、登録済みUSBデバイスとして登録できませんのでご注意ください。
画像サンプルにあるように、次のファイルが含まれている場合は、UMDF ドライバーが使用されている事になります。
・C:\Windows\system32\DRIVERS\WUDFRd.sys
・C:\Windows\system32\DRIVERS\UMDF\ xxxxxx.dll (xxxxx はドライバーにより異なります) - 2-2-05. ポータブルデバイス「読取り専用」時グループポリシーへの影響について
- ポータブルデバイスの制御設定を「読取り専用」に設定した場合、Windowsのグループポリシーの設定が初期化されてしまいます。(15秒間隔で更新/初期化します)
グループポリシーをご利用される場合は「利用許可」または「利用禁止」の設定でご利用ください。
影響を受けるグループポリシー例
- リモートデスクトップの接続資格情報が消える
- ログオンスクリプトが無効化される
※フォルダーリダイレクトの設定が反映されないカードについては、登録済みUSBデバイスとして登録できませんのでご注意ください。
- 2-2-06. リムーバブルディスク「読取り専用」時の認証機能付きUSBデバイスの利用について
- リムーバブルディスクを「読取り専用」環境で利用される場合、認証結果をプログラム制御エリアに書き込む動作をする認証機能付きUSBデバイスはご利用になれませんのでご注意ください。
2-3. InterSafe WorkFlow/InterSafe FileTransporter
- 2-3-01. 申請ファイルアーカイブによるDBの肥大について(Ver4以前)
- Ver4以前のInterSafe
WorkFlowではファイル書出し機能などで、ILPサーバーに書出しファイルのアーカイブを行っている場合、DB容量が肥大するだけでなく、DBのバックアップおよびリストアにに時間がかかる様になります。また、ILPサーバーはDBMSとしてPostgreSQLを利用していますが、PostgreSQLのVerUPを伴うマイグレーションの場合、内部的にPostgreSQLのバックアップ/リストアを行っておりますので同様です。ログメンテナンスツールによる定期的なアップロードファイルのメンテナンスを行った上でご利用いただきますようお願い致します。
※バックアップ/リストアにかかる時間(目安)については、『3.附録』をご参照ください。
- 2-3-02. パスワード付きファイルの無害化後の挙動について
- InterSafe FileTransporter/WorkFlow持込み申請にて以下のパスワード付きファイルを無害化する際、連携製品 InterSafe FileSanitizer Powered by
OPSWAT(MetaDefender Core)で拡張子が強制的に変更されてしまいます。一方でILP
Webでは元の拡張子のファイル名でファイルをダウンロードするため、ダウンロードした無害化済ファイルが開けない事象が発生します。
対象となるファイルの拡張子
・XLSM, XLSB, XLTM, XLTX
・PPTM, PPSM, POTX, POTM
本事象が発生する際は、以下の拡張子に変更してご利用ください。
・XLSM, XLSB, XLTM, XLTX → XLSX
・PPTM, PPSM, POTX, POTM → PPTX
〇参考
Which are the supported archive formats for MetaDefender Core v5?
- 2-3-03. ネットワーク設定のセグメント一覧に大量のネットワークを指定した場合のパフォーマンスについて
-
大量のネットワークの指定はパフォーマンスに影響する場合があります。また、指定したネットワーク間のファイル転送に関するお問合せについては受付けていますが、すべての動作を保証するものではありませんので予めご了承ください。
パフォーマンスに影響が出る場合は、サブネットマスクを用いて登録数を抑えるなど、対応のご検討をお願いいたします。サブネットマスクについては以下FAQに掲載しておりますのでご参照ください。
[FT]ネットワーク設定のセグメント登録数が上限を超えてしまう場合の対処方法について
2-4. InterSafe SecureDevice Ultimate
- 2-4-01. ウイルス対策ソフトとの同居について
- ウイルス対策ソフト導入環境でセキュアデバイスを利用する場合は、下記事項にご注意ください。
autorun.infファイルの削除、誤検知について
ウイルス対策ソフトの機能によりセキュアデバイス内に格納されているautorun.infファイルが削除、誤検知される場合がありますのでご注意ください。また、セキュアデバイスでは、セキュアデバイス内のautorun.infファイルが改竄/削除された場合に復旧させる機能があるため、この機能を利用している場合、ウイルス対策ソフトのautorun.infファイルの削除機能とセキュアデバイスのautorun.infファイルの復旧機能が交互に発生してしまいます。この場合は、ウイルス対策ソフトの該当機能を無効にするか、例外処理を行うか、あるいは、「Autorun.infを作成しない」設定のテンプレートでセキュアデバイスを作成してください。 - 2-4-02. Windowsログインアカウント権限について
- 管理者権限以外のアカウントの環境でセキュアデバイスを利用する場合は、事前にセキュアデバイスの専用ドライバーソフトをWindowsの管理者権限でインストールする必要があります。
※ 専用ドライバーソフト(SDDriverSoft)の詳細については、インストールマニュアルをご参照下さい。 - 2-4-03. サポート対象アプリケーションについて
-
動作確認済みアプリケーション以外の動作についてはサポートされません。また、動作確認済みアプリケーションについても動作を完全に保証するものではありません。また動作確認済アプリケーションについては下記のとおりです。
- Adobe :Adobe Reader DC
- Microsoft : Word / Excel / PowerPoint
- その他 : メモ帳、 Microsoft Paint
- 2-4-04. 仮想環境でのご利用について
- 仮想環境でセキュアデバイスの利用を許可した場合は、ゲストOS側の画面キャプチャ機能についてサポートされません。
- 2-4-05. セキュアデバイス起動用プログラムを格納している領域について
- セキュアデバイスはプログラム格納領域とデータ格納領域の2つの領域を持ちます。プログラム格納領域には、起動用プログラム(SD_Start.exe)等が格納されていますが、この領域は、データの読み書きが可能な領域です。この領域を利用してデータを保存された場合、暗号化やパスワード保護などの機能は適用されませんのでご注意下さい。
2-5. InterSafe IRM/FP(FileProtection)
- 2-5-01. IRM/FP導入環境におけるファイル操作について
-
Windows
Exlplorerよりファイルを操作する際は、通常アクセスキャッシュが有効なため、同じリクエストが多数発生することはありませんが、FP有効時は暗号化されたファイルにアクセスするため上記キャッシュ機能を利用することができず、通常よりも多くのパケットが発生します。対象フォルダーに対するユーザの読取権限不足などで内部的にACCESS_DENIEDなどエラーが発生する環境ではリトライ処理の影響で、体感的にファイル操作が遅くなる場合がありますので、この場合は権限設定を見直してください。またネットワーク帯域が十分確保できない環境では、PCなどローカルにコピーしてからファイルを編集する等、ネットワークの影響を受けないような状況でご利用ください。
その他の事象としては、以下のようなものがありますが、これらの場合は、例外登録などの処置で解決できる場合がありますので弊社サポートまでお問合せ下さい。- xmlを暗号化対象拡張子として登録していると、Outlookが起動する際ネットワーク上にあるアドレス帳(xmlファイル)を参照しトラフィックが増大する。
- Excelからファイルを開くダイアログを表示する際、ダイアログ内にあるファイルを確認するため、トラフィックが増大する。
また、ごく簡単なマクロファイルやAccessファイルを暗号化して利用したり、Excel/Wordなどで数件の差込み印刷を実行される場合は概ね問題ありませんが、複数の文書を参照/出力するようなファイルや、Excelのブック共有機能、ネットワーク越しに実行されるような場合は、遅延が発生したり、正常に動作しない場合がありますので、ご購入前には十分な事前確認をお願いいたします。 - 2-5-02. 共有フォルダーやオンラインストレージ上の動作制限について
-
InterSafeで暗号化されたファイルはWindowsOS(FPの場合はNetAPP含む)が提供するファイルシステム上での動作を前提としています。以下のような環境に置かれた暗号ファイルは正常に動作しませんので、予めご了承ください。
- Linux/UNIX/Netware/Mac
- Samba等のファイルサーバー
- OneDriveなどなどのオンラインストレージ
- Windows Server の重複排除やReFSファイルシステムやDFSレプリケーション
- DELL EMCストレージ製品(Isilon/Unity等)
- 2-5-03. 共有フォルダー上のファイル操作について(FPのみ)
- FileProtectionをご利用の場合、ネットワークフォルダー上のファイルを閉じた後も、他からのアクセスがないにもかかわらずしばらくの間、読取り専用になったり、リネームができなかったりする場合があります。この場合は、数分経過した後に、再度アクセスしてください。
- 2-5-04. IRM構成ファイルについて(IRMのみ)
-
InterSafe
IRM導入PCがアクセスしたフォルダーに「IRMTMPVOL」、「IRMTMPDIR」というシステム属性のIRM構成ファイルが自動的に作成されます。これにより、導入前より、共有フォルダーへのアクセスアイドル時間が既定値を超えても切断されにくくなることで「アクセスの制限数を超えました」と表示されたり、作成したフォルダー/ファイルが作成したユーザー以外では削除できないなどの事象が発生する場合があります。このような場合は、以下2点両方を実施し事象を回避してください。
- サーバーなど共有フォルダーを提供しているPCのセッションアイドリングタイムを0に変更します。
> net config server /autodisconnect:0
※デフォルトは15(分)です。0はアイドルセッションが順次切断されます。
※0にしてもユーザー使用中のファイルセッションが削除されることは通常ありません。 - クライアントのWindows エクスプローラーを終了
使用していないPCのWindows エクスプローラーを終了させ、共有フォルダーへアクセスしないようにしてください。
- サーバーなど共有フォルダーを提供しているPCのセッションアイドリングタイムを0に変更します。
- 2-5-05. 暗号化利用によるファイルサーバーへの負荷考慮について(IRMのみ)
-
暗号化機能によりファイル編集、保存時にファイルI/Oが増える影響でファイルサーバーのリソース消費も増加します。Windows Server
2008以前のServerでは、物理メモリーを十分使えない既知問題がありInterSafe導入に伴い、これらの不具合が顕在化する場合があります。
Windows2008以前のサーバーをご利用の場合で、もし適用されていないようであれば、以下の情報をご参照いただきServerOSのパッチ適用とサービス追加をご検討ください。
https://support.microsoft.com/ja-jp/kb/976618
以下は概略手順です。
サイトにあるDynCache.exeを %SystemRoot%\System32.以下にコピーします。
DOSプロンプトより以下を実行します。(改行しないでください)
sc create DynCache binpath= %SystemRoot%\System32\DynCache.exe start= auto type= own DisplayName= "Dynamic Cache Service"
サイトにあるレジストリファイルを実行します。DynCache.reg
DOSプロンプトより以下を実行します。
sc start DynCache - 2-5-06. 暗号化ファイルアイコンの鍵マーク表示について
-
DropBox、Subversionなどアイコンオーバーレイ機能を利用するアプリケーションと、InterSafe
IRM/FPを同居した場合、暗号化ファイルアイコンに鍵マークが表示されない場合があります。この場合は、以下のいずれかの対応を行ってください。
① オーバーレイアイコンを使用する他のアプリケーションをアンインストールする。
② 以下レジストリ情報KEY名の先頭に半角スペースを入れ上位に位置されるようにする。
(レジストリ変更は管理者の方など専門的な知識をお持ちの方が実施してください)- IRMの場合
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
"IRM Icon Overlay Identifier Handler"
↓
" IRM Icon Overlay Identifier Handler" - FPの場合
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
"InterSafe FileProtection Icon"
↓
" InterSafe FileProtection Icon"
- IRMの場合
- 2-5-07. 暗号化されるタイミングについて
-
アプリケーションによって、暗号化されるタイミング等が異なります。各アプリケーションの暗号化に関する詳細動作は、後述の『3.附録』をご参照ください。
- IRMの場合
暗号化対象アプリケーションが新規に作成するファイルについては拡張子にかかわらず暗号化され、暗号化対象拡張子以外の拡張子で保存される場合でも鍵マークは付きませんのでご注意ください。また、新規ファイルでなくても、Microsoft Officeなど内部的に一時ファイルが新規に生成されるアプリケーションの場合は暗号化されますのでご注意ください。 - FPの場合
基本的にはInterSafe Manager上で登録された拡張子で暗号化する/しないを判断しますが、保存処理プロセスの中で「拡張子なし」や「.tmp」など、アプリに依存しない共通(拡張子)の一時ファイルが生成されるファイルについては、暗号する/しない対象かどうかを判断できないため(セキュリティホールを作らないために)一律暗号化されます。一旦暗号化されると、元々暗号ファイルだった可能性があるため、InterSafe Manager上で登録された拡張子でなくても、暗号化したまま保存処理を終了します。例えばxlsm,ods,xltx拡張子ファイルなどが該当します。
- IRMの場合
- 2-5-08. Webアプリケーション上における暗号ファイルの動作制限について
- Microsoft SharePointやWebメールに添付された暗号化ファイルや、OutlookやThunderbirdなどのメーラーに添付された暗号化ファイルをクリックして直接開くことはできません。この場合は、一旦、ローカルフォルダーなどに保存してから開くか、平文にしてからWebサービスやメーラーに添付してご利用ください。
- 2-5-09. 暗号化ファイルをメール添付する場合について
-
暗号化ファイル開いている場合、メールに添付/送信できない場合があります。この場合は、暗号化ファイルを閉じてからメールに添付を行って下さい。
また、暗号化されたファイルを開いた状態で、ExcelなどOfficeアプリケーションからメーラーを起動し、メール送信する場合は、メモリー上に展開された内容がそのまま添付されてしまいます。Officeアプリケーションからメール送信する場合は、暗号化されない状態のファイルが添付されてしまいますので、ご注意ください。
(参考) Office2016からのメール送信機能を無効化するレジストリ設定(管理者権限が必要です)
以下のレジストリキーを追加する事によって、[共有]ボタンを非表示にする事が出来ます。
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Excel\DisabledCmdBarItemsList]
"TCID1"="18147"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\PowerPoint\DisabledCmdBarItemsList]
"TCID1"="18147"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Word\DisabledCmdBarItemsList]
"TCID1"="18147"
※ 上記はあくまでも一例です。メール送信機能は他にも設定により表示可能ですので、ご注意ください。 - 2-5-10. 暗号化ファイルの読取り専用属性について(IRMのみ)
-
セキュアファイルでは、読取り専用の属性が付与されていた場合、プロパティには読取り専用のチェックは表示されませんが、読取り専用ファイルとして動作します。
また、読取り専用を解除する場合は、一旦復号化し、読取り専用属性を解除して、再度暗号化して下さい。 - 2-5-11. 暗号化ファイルのファイル容量の増加について(IRMのみ)
-
IRMは暗号化ファイル保存時の後処理として、ファイル中の不要な領域を削除、整理するクリーンナップ処理を行っていますが、この際、一時的にファイルサイズが肥大化します。ファイル保存直後などクリーンナップ処理が完了しないうちにファイルを開いたり、PCを終了したりすると誰も使用していないのに読取り専用で開いたり、一時ファイルが残ったりします。「ファイル保存直後に開く」「連続して多数のファイルを編集保存する」「ファイル保存が終わらないうちにPCをシャットダウンする」などの運用はお控えください。
※暗号化ファイルサイズの増加率(目安)については、『3.附録』をご参照ください。 - 2-5-12. 暗号化対象プロセスの設定について
- IRM/FPは暗号化対象プロセスから生成された一時ファイルを含む新規ファイルを暗号化する場合があります。この影響で、稀にプリンターへ印刷した一時ファイルが暗号化され、印刷ができない、メールが読み取れないなどの事象が発生する場合があります。この場合は、システム設定でプロセスやフォルダーを例外設定することで改善できる場合がありますので弊社サポートまでお問合せ下さい。
- 2-5-13. 資産管理/操作ログ監視ソフト同居時の制限事項について
-
InterSafe
IRMは暗号化処理を行う際、ご利用ユーザーではアクセスできないエリアで動作する関係上、資産管理/操作ログ監視ソフトなどを利用されている環境へ導入される場合、一部または全部のログが正常に取得できないなどの制限事項が発生します。
■ LanScope v8.2.0.0 (エムオーテックス株式会社)
ファイル操作に関するログ取得は問題ありませんが、操作ログ取得において、コマンドプロンプト、Outlook、ポータブル関連の詳細ログ取得設定をされた場合、IRMの例外設定が必要になりますので弊社サポートまでお問合せ下さい。※FileProtectionでは、LanScope v9.0.0.0において、本制限は解消されています。- Firefox/Chromeなどのブラウザが利用できない場合があります。
- 32bitOSでは、BSoD(ブルースクリーン)が発生する場合があります。
- リモートデスクトップが利用できない場合があります。
- Outlook でメールの送受信ができない場合があります。
■ SkySea v10.220.04k(Sky株式会社)
特に問題ありません。※FileProtectionでは、SKYSEA 13.110.03gにおいて、特に問題ないことを確認しています。
■ MyLogStar 3 Network:Release3.1 (v13.0.47.3) (株式会社ラネクシー)
暗号化されたファイルを操作する際など「置き換え」イベントログが各操作で発生します。また、「名前変更」および「印刷」のイベントログが検出されません。※FileProtectionでは、MyLogStar 4 Enterpriseにおいて、本制限は解消されています。
■ InfoTrace v3.2.6 (株式会社ソリトンシステムズ)
ローカルの操作でファイル名が記録されません。また、ファイルサーバー上のファイルパスがシステムで利用しているパスで記録されるなど、意図しない内容が記録されます。※FileProtectionでは、InfoTrace PLUS V3.2.20において、本制限は解消されています。
■ AssetView(株式会社ハンモック)
確認できないため、導入をご検討される場合は、十分な事前確認をお願いいたします。
(注意事項)
※ 上記は2018年9月時点の情報です。各メーカとの調整は随時行っており、内容は予告なく変更される場合があります。
※ あくまでも簡易検証ですので、実際の動作と異なる場合があります。ご利用の際は予めお客様環境でご確認お願いいたします。
※ 上記は暗号化製品(IRM/FP)と同居した場合の内容であり、DeviceControl、WorkFlowなどとの同居には関係ございません。
※ 記載されている会社名、製品名は一般に各社の登録商標または商標です。 - 2-5-14. Windowsエクスプローラーのプレビューウィンドウにおける詳細ウィンドウ非表示とクイックアクセスについて
-
InterSafe利用環境においてはプレビューウィンドウ、詳細ウィンドウを利用されるとファイルを開いたような状態となってしまい、後に開いたファイルが読取り専用で開いてしまったり、ファイルを開く際にパフォーマンスを劣化させたりするため、InterSafeで非表示にしております。
またWindows 10におけるWindowsエクスプローラーのクイックアクセス表示において、アクセス履歴にあるファイルへのアクセスがネットワーク回線などの影響で遅いと時間がかかってしまい、エクスプローラーがフリーズしてしまう場合があります。このような場合はWindowsエクスプローラー-[表示]-[オプション]-[全般]タブの「エクスプローラーで開く」を「PC」にして適用ボタンを押下し、デフォルト表示を変更するようお願いします。 - 2-5-15. 移動プロファイル環境における暗号化利用について(IRMのみ)
-
移動プロファイル環境でIRMをご利用いただいた場合、ログオフ時、移動プロファイルの同期に失敗し、プロファイル内で編集した情報が反映されない場合があります。VDI環境のリンククローン方式で移動プロファイルをご利用の場合も同様の事象が発生する可能性がございます。
移動プロファイル環境の際は、事前にご確認の上、ご利用ください。 - 2-5-16. 暗号化された画像ファイルの閲覧について
-
jpg、bmpなどの画像ファイルは、Windows7以降ではデフォルトで「Windows フォト ビューアー」で開きます。暗号化された画像ファイルをWindows フォト
ビューアーで開くためには、プロセス名:rundll32.exe,dllhost.exeを登録する必要がありますが、これらはWindwosのシステムファイルであるため、Windowsの動作に影響を及ぼす可能性があります。画像ファイルを暗号化される際は、画像ファイルを右ボタンクリックし「プログラムから開く」-「既定のプログラムの選択」より[ペイント]を選択し「この種類のファイルを開くときは、選択したプログラムをいつも使う」をチェックした状態で開き、Microsoftペイントをご利用ください。
- 2-5-17. ネットワークフォルダーのアクセス権限について(IRMのみ)
-
ファイルサーバーなどのネットワークフォルダーに暗号化ファイルを置き、共有される場合はネットワークフォルダーのルートフォルダー以下に対し、以下のNTFS
アクセス権限があるユーザーアカウントでWindowsへログインする必要があります。(共有アクセス権限は"フル コントロール" が必要です)
例)R:\Share01(R:=\\Server01\kyoyu01) 以下で暗号化ファイルを共有する場合
\\Server01\kyoyu01 に対し、読み込み権限
\\Server01\kyoyu01\Share01 に対し、大半のアクセス権が必要(フルコントロール推奨)
- 2-5-18. 認証機能付きUSBメモリーの利用について
-
認証機能付きUSBメモリーをご利用の場合は、認証後、ドライブマウント処理が行われます。一部のUSBメモリーではドライブのマウント処理が行われたことをWindowsに通知しないものがあります。この場合、InterSafeはドライブが変更されたことを認識できないため、USBメモリーが正しく利用できない場合があります。
現在判明している対象USBメモリー:IO-DATA EasyDisk ED-E4シリーズ/ED-S4シリーズ
※Windows7のみで発生しており8.1、10では事象は発生しておりません。 - 2-5-19. 上書き保存が失敗するケースについて
-
PCスペックが十分でない場合などは、InterSafe
IRM/FPを導入し、稼働させると動作が遅くなる場合があります。この状態で関数を多く含むExcelファイルなどを編集し、保存すると、保存の過程で内部的に新規作成されるファイルへWindows
Searchやアンチウイルスが関与することで、ファイルの上書き保存に失敗する場合があります。このようなケースではWindows Search機能を停止/無効化してご利用ください。
- 管理者権限でWindowsにログインし、サービスより「Windows Search」を停止、無効化します
- コマンドで行う場合は以下のようなコマンドで設定可能です。
> SC stop WSearch
> SC config WSearch start= disabled
- 2-5-20. 共有フォルダーにアクセスするとBSoDが発生するケースについて(IRMのみ)
- InterSafe IRMを導入するとネットワークフォルダーをオープンする際、鍵マークを表示するため、Intersafe IRMの一部プログラム(IIIRMDtCtrl.exe)がファイルへアクセスし、アンチウイルスがウイルスチェックを行う場合があります。この時、rdbss.sys がNon PagedPool メモリーを参照してBSoDが発生する場合があります。IRMプログラムはすべてデジタル署名済のため、通常ウイルスチェックはされませんがこのような事象が発生する場合は、アンチウイルスの「信頼済みプロセス」にIIIRMDtCtrl.exeを登録してください。
- 2-5-21. フォルダーアイコンの変更やブリーフケース利用ができない場合について(IRMのみ)
-
IRMの動作制限により、フォルダーに読取り専用属性が付与できないことにより以下のような事象が発生します。
- フォルダーアイコンの変更ができない
- ブリーフケースを作成してもブリーフケースとして動作しない
[コマンド実行例]
attrib +R c:\foldername - 2-5-22. Windows10 大型Update について
-
InterSafe IRM/FP が有効な環境において、Windows 10 における1709、1803 など大型アップデートを行うと、以下のような問題が発生することが一部で報告されています。
- Windows が起動しなくなる
- Microsoft Office などアプリケーションが利用できなくなる
- 2-5-23. NTFS圧縮属性について
-
InterSafe IRM/FPではNTFS圧縮属性の環境においては正常に動作しない場合があるためサポートされません。NTFS圧縮属性は解除してご利用をお願いいたします。
- NTFS圧縮属性解除方法
ファイル、フォルダーを右クリック > プロパティ > 詳細設定 > 圧縮属性または暗号化属性 > 内容を圧縮してディスク領域を節約する
のチェックを外す
- NTFS圧縮属性解除方法
- 2-5-24. Windows Media Playerを使用したファイル入出力について
-
InterSafe FPが有効な環境において動作が不安定(BSoD)となる可能性があるため、Windows Media Playerからの以下の動作を抑止しています。下記機能をご利用になる場合は、お手数ですが、Windows Media Playerのプロセス「wmplayer.exe」を暗号対象から外してご利用ください。
- USBメモリーへ同期(Windows 10 のみの機能)
- ポータブルデバイスへ同期
- ディスク書き込み
- 音楽CDの取り込み ※ 代替リッピングツールとして「Express Rip CD(無料版)」の利用実績があります
- 2-5-25. ウイルス対策ソフトについて
- 暗号化されたファイルをエクスプローラー上で任意の場所にコピーする際、リアルタイムスキャンが行えない場合があります。その場合はファイルを指定してスキャンを行ってください。
- 2-5-26. Windows11のメモ帳利用時の暗号化ファイルの閲覧について
- Windows11では複数ファイルをタブで表示することができるようになり、v11.2307.22.0以降では、メモ帳の起動時に「前のセッションからコンテンツを開く」がデフォルトの設定になりました。これにより複数テンプレートを使用している環境では、後で開いたファイルのテンプレートで先に開いたファイルが保存されてしまいます。(通常Officeなどでは異なるテンプレートを同時に開くことはプログラムで抑止されています。)メモ帳をご利用の場合は、「前のセッションからコンテンツを開く」以外の設定に変更してご利用ください。
- 2-5-27. Teams/SharePointを復号化専用プロセスとして登録する際の注意事項について
- Teams/SharePoint(ブラウザ)を復号化専用プロセスとして登録すると、Teamsやブラウザにアップロードするファイルはアップロードしたタイミングで暗号化が解除されてしまいます。運用上、十分考慮の上、設定をお願いいたします。
- 2-5-28. 復号専用プロセスと自動暗号化フォルダを利用する際の注意事項について
-
CADソフトなど復号専用プロセス+自動暗号化フォルダーの設定で利用する場合、以下のような動作となりますのでご注意ください。
- 自動暗号化フォルダーで指定された領域以外へ保存した場合は平文で保管されます。
- アプリケーションを開いて保存した場合はファイルは一時的に平文で保存され、アプリケーション終了時に暗号化されます。
- 自動暗号化フォルダーはアプリケーション終了時にイベント(作成・変更・コピー)を検知し暗号化を実施します。他プログラムがファイルを使用しているような場合は、イベント検知による暗号化はされませんので、定期的な巡回チェックにより暗号化を実行します。
- 容量の大きなファイルや大量のファイルを一度に暗号化する場合など、自動暗号化フォルダーの処理に時間がかかることがあり、ファイルが一時的に利用できない場合があります。
- 2-5-29. FP自動暗号化フォルダご利用の注意事項
- 自動暗号化フォルダーの検知暗号機能は、ファイルシステムの変更通知を待機し、ディレクトリまたはディレクトリ内のファイルが変更されたときに発生するイベントを検知して処理を行います。暗号化対象となるフォルダー[TargetFolder]配下に複数ユーザのリダイレクトされたプロファイル領域を指定するようなケースでは大量のイベントが常時発生するため、内部的にバッファーオーバーフローが発生し、検知暗/復号が正常に動作しない場合があります。このような場合は[TargetFolder]に下位のフォルダーを指定するなど、大量のイベントが発生しないよう細分化/小分けすることで回避してください。
- 2-5-30. 7-Zipにおける制限事項について
-
Ver8.62より動作確認済みアプリケーションに追加された7-Zipは関連アプリケーションで圧縮・解凍する際に、拡張子ファイルを暗号・復号し簡易的に利用できるようにしたものです。関連アプリケーション内にある分割・暗号化機能などすべての機能を暗号化したまま問題なく利用できることを保証するものではありませんので予めご了承ください。
- 関連アプリケーション(プロセス名:7z.exe/7zFM.exe/7zG.exe)
- 拡張子:7z/xz/bzip2/bz2/gzip/gz/tar/wim
3. 付録
以下に補足情報、詳細情報を記載します。
3-1. 起動制御対象ライティングソフト一覧
| No. | プロセス名 | アプリケーション名 |
|---|---|---|
| 1 | ALCOHOL.EXE | Alcohol 120% |
| 2 | BSCLIP.EXE | B's CLip |
| 3 | BSERASE.EXE | B's Erase |
| 4 | BSGOLD8.EXE | B's Recoder 8、 B's Clip6.1 |
| 5 | BGFILEBKUP.EXE | B's Recoder 8、 B's Clip6.1 |
| 6 | BGHDDBKUP.EXE | B's Recoder 8、 B's Clip6.1 |
| 7 | BGWIZDATA.EXE | B's Recoder 8、 B's Clip6.1 |
| 8 | BSGOLD7.EXE | B's Recoder GOLD BASIC 7, B's Clip5 |
| 9 | BSGOLD9.EXE | B's Recorder 9 GOLD |
| 10 | CDMATE.EXE | CDMATE(Ver:Deluxe - 2.5.4) |
| 11 | CDRWIN.EXE | CDRWIN(Ver:3.9D) |
| 12 | CLONEDVD2.EXE | CloneDVD2 |
| 13 | CDJ.EXE | Disk Juggler (Ver:V4.10.1084-PROD) |
| 14 | DRAGDROP.EXE | Drag&Drop |
| 15 | DRGTODSC.EXE | Drag-to-Disc, Easy CD Creator 6 |
| 16 | DVDDECRYPTER.EXE | DVD Decrypter |
| 17 | ROXIO_CENTRAL36.EXE | Easy CD & DVD Burning Home |
| 18 | CREATR.EXE | Easy CD Creator5.x |
| 19 | DIRECTCD.EXE | Easy CD Creator5.x |
| 20 | IBURN.EXE | InstatantBurn |
| 21 | IBERASE.EXE | InstatantBurn |
| 22 | MYDVD.EXE | MyDVD |
| 23 | BACKITUP.EXE | Nero |
| 24 | NEROEXPRESS.EXE | Nero Express |
| 25 | NERO.EXE | Nero Express Essentials, Nero Burning ROM, Nero |
| 26 | NEROSTARTSMART.EXE | Nero StartSmart Essentials |
| 27 | POWER2GO.EXE | Power2Go |
| 28 | POWERSTARTER.EXE | Power2Go |
| 29 | POWERBACKUP.EXE | PowerBackup |
| 30 | PRODUCER.EXE | PowerProducer |
| 31 | PRIMOCD.EXE | PrimoCD |
| 32 | RECORDNOW.EXE | RecordNow! |
| 33 | ROXIO BURN.EXE | Roxio Burn |
| 34 | CREATOR13.EXE | Roxio Creator Classic |
| 35 | CREATORC.EXE | Roxio Creator Classic, Easy CD Creator 6 |
| 36 | ROXIO_CENTRAL33.EXE | Roxio Creator DE |
| 37 | PROJSELECTOR.EXE | Roxio Easy CD & DVD Creator Home |
| 38 | ROXMEDIADB13.EXE | Roxio Music Disc Creator |
| 39 | ROXIOCENTRALFX.EXE | Roxio Video Lab HD, Roxio Creator 2011 |
| 40 | WINCDRLITE.EXE | WinCDR 8.5、WinCDR 9 |
| 41 | WINCDR.EXE | WinCDR 8.5、WinCDR 9 |
| 42 | ULEAD EASYBACKUP.EXE | WinCDR 8.5、WinCDR 9 |
| 43 | TASSGATE.EXE | タスゲート, B's Recoder 8、 B's Clip6.1 |
| 44 | ディスククローン 4 BD&DVD.EXE | ディスク クローン4 BD&DVD |
3-2. DBバックアップ/リストア所要時間(目安)
弊社にて検証した所要時間(目安)を以下に記載します。
[ILPサーバー環境]
・CPU : Intel® Core™ i3-2120 CPU @ 3.30GHz
・Memory : 8GB
・OS : WindowsServer 2008 R2 SP1
| バックアップ | リストア | ||
| DB構成(アップロードファイル) | マイグレーションツール | バッチファイル(※1) | |
| DB容量:10GB | 1GBファイル × 10 | 18分 | 21分 20秒 |
| 2GBファイル × 5 | 18分 10秒 | 21分 30秒 | |
| 5GBファイル × 2 | 17分 50秒 | 21分 17秒 | |
| 10GBファイル × 1 | 17分 55秒 | 21分 10秒 | |
| DB容量:100GB | 10GBファイル × 10 | 3時間 6分 | 3時間 50分 |
| 20GBファイル × 5 | 3時間 6分 | 3時間 40分 | |
| 50GBファイル × 2 | 3時間 7分 | 3時間 18分 | |
| 100GBファイル × 1 | 3時間 6分 | 3時間 50分 | |
| DB容量:500GB | 10GBファイル × 50 | 未測定 | 未測定 |
| 20GBファイル × 25 | 未測定 | 未測定 | |
| 50GBファイル × 10 | 15時間 48分 | 16時間 16分 | |
| 100GBファイル × 5 | 14時間 21分 | 16時間 53分 | |
3-3. IRM導入環境でのファイル操作速度(目安)
クリックで拡大表示
3-4. IRM/FP導入環境でのファイル操作速度比較(目安)
クリックで拡大表示
3-5. 暗号化ファイルサイズの増加率(目安)
クリックで拡大表示
3-6. Tomcatのヒープサイズ設定方法について
1. ILPサーバーにて、スタートメニュー[Apache Tomcat 8.0 Tomcat8]-[Configure Tomcat]を選択します。
2. [Apache Tomcat 8.X Tomcat8 Properties]ダイアログの[Java]タブを選択します。
3. [Java Options]の記載内容にて、以下のパラメータを変更
4. Apache Tomcat 8.X Tomcat8 のサービスを再起動させて下さい。
3-7. 各種制限事項一覧
| 項目 | 最小値 | 最大値 | 単位 | 備考 | |
|---|---|---|---|---|---|
| 区分【ファイル等】 | |||||
| 暗号化時、一度に選択可能なファイル数 | 1 | 100 | 個 | 1ファイルのサイズを50KBとした場合の目安です | |
| 一度に暗号化可能なフォルダー数 | 1 | 1 | 個 | ||
| 暗号解除時、一度に選択可能なファイル数 |
1 |
100 | 個 | 1ファイルのサイズを50KBとした場合の目安です | |
| 一度に暗号解除可能なフォルダー数 | 1 | 1 | 個 | ||
| セキュアファイルに変換可能な ファイル名の長さ(自動暗号) |
1 | - | 文字 | アプリの制限に準じます。 例:NotePad.exeは259文字/Exce.exeは218文字まで ドライブパスを含めた長さになります |
|
| セキュアファイルに変換可能な ファイル名の長さ(手動暗号) |
1 | 252 | 文字 | ドライブパスを含めた長さになります | |
| セキュアファイルに変換可能な ファイル名の長さ(手動暗号解除) |
1 | 254 | 文字 | ドライブパスを含めた長さになります | |
| 暗号化可能なファイルサイズ | 1byte | 200 | MB | ||
| 区分【暗号化ファイルの権限設定】 | |||||
| 「有効期限設定」の制限 | 1900/1/1 | 3000/12/31 | 年月日 | 最小値は、先年月日よりも過去が選択可能ですが、未サポートです | |
| 対象機能 | 項目 | 最小値 | 最大値 | 単位 | 備考 |
|---|---|---|---|---|---|
| 自己復号型暗号ファイル | 暗号化可能なファイルサイズ | 1byte | 2 | GB | 2GBを超えるファイルも作成できますがサポートはされません。4GBを超えるとOSの制限により「~は有効なWin32アプリケーションではありません。」というエラーメッセージが表示されます |
| 暗号化可能なファイル数 | 1 | 65,535 | 個 | ※あくまでもサポート範囲は1,000個以下です | |
| パスワード付きZIPファイル | ZIP化可能なファイルサイズ | 1byte | 4 | GB | ファイル書き出し申請で書き出し実行時、パスワード付きZIPで書き出す設定の場合の上限値はファイル書き出し申請のZIPファイルの上限値に準拠します |
| ZIP化可能なファイル数 | 1 | 65,535 | 個 | ※あくまでもサポート範囲は1,000個以下です | |
| ファイル書き出し申請のZIPファイル | 書き出し可能なファイルサイズ | 1byte | 100 | GB | ファイル書出し申請時にサーバーにアップロードできる申請ファイル(ZIPファイル)のサイズの上限は理論上100GBまで可能ですが1GB 以下で運用されることを強く推奨しています |
| 書き出し可能なファイル数 | 1 | 1,000 | 個 |
| 項目 | 最小値 | 最大値 | 単位 | 備考 |
|---|---|---|---|---|
| 承認者、決裁者 | 0 | 20もしくは50 | 件 | 承認者モードがグループ&役職の場合は20件、役職のみの場合は50件です |
| ファイル書出し 書出し回数最大値設定 |
1 | 20 | 回 | |
| ファイルの容量制限 | 1 | 100,000 | MB | ファイル書出し、クイック書出し共通、ファイル持込み、セキュアファイル変換、ファイル転送の制限です |
| 申請ファイル数 | 1 | 1,000 | ファイル | セキュアファイル変換、ファイル転送の制限です |
3-8. 各アプリケーション別暗号化動作(IRM)
| アプリケーション | 自動暗号「する」環境 | 自動暗号「しない」環境 | |
|---|---|---|---|
| 自動暗号化タイミング | 暗号ファイルを開いている状態 で新規または平文ファイルを 作成/編集/保存した場合 |
||
| Type S | Microsoft Word | 保存時暗号化されます | 既に開いている暗号ファイルの テンプレートで暗号化されます |
| Microsoft Excel | |||
| Microsoft PowerPoint | |||
| メモ帳 / ワードパッド / ペイント | |||
| Acrobat Reader DC | |||
| Type E1 | AcrobatPro | ||
| Windows Media Player | |||
| Picture Manager | |||
| 一太郎 | |||
| Microsoft Access | オープン時暗号化されます | ||
| Microsoft Visio | |||
| DocuWorks Viewer | |||
| Open Office (Writer / Calc / Impress) |
| Type-S | Type-E(拡張対応アプリ) | ||
| Type-E1 | Type-E2 | ||
| 対象アプリ | Microsoft Word Microsoft Excel Microsoft PowerPoint メモ帳 ワードパッド ペイント Adobe Reader DC |
Open Office (Writer/Calc/Impress) DocuWorks Viewer (Deskなどは含まれません) Microsoft Access 一太郎 Acrobat Pro Microsoft Visio Windows Media Player Picture Manager |
管理者が登録した文書アプリケーション ※Windows エクスプローラーなどのファイラー、IEなどのブラウザー、Outlookなどのメーラーなど文書アプリケーション以外はサポートされません |
| サポート内容 | ・電話/メールの応対。
・不具合発生時はプログラム修正を実施 |
・電話/メールの応対 ・不具合発生時は必要に応じ プログラム修正を実施 |
・電話/メールの応対のみ |
各アプリケーションのバージョンは製品のシステム要件をご参照ください
3-9. 各アプリケーション別暗号化動作(FP)
| アプリケーション | 自動暗号「する」環境 | 自動暗号「しない」環境 | |
|---|---|---|---|
| 自動暗号化タイミング | 暗号ファイルを開いている状態 で新規または平文ファイルを 作成/編集/保存した場合 |
||
| Type S | Microsoft Word | 保存時暗号化されます | 既に開いている暗号ファイルの テンプレートで暗号化されます |
| Microsoft Excel | |||
| Microsoft PowerPoint | |||
| メモ帳 / ワードパッド / ペイント | |||
| Acrobat Reader DC |
| Type-S(標準対応アプリ) | Type-E(拡張対応アプリ) | |
| 対象 アプリ |
Microsoft Word Microsoft Excel Microsoft PowerPoint メモ帳 ワードパッド ペイント Adobe Reader DC 一太郎 Windows Media Player |
管理者が登録したアプリケーション ※Windows エクスプローラーなどのファイラー、ブラウザ(一部を除く)、メーラーなどはサポートされません |
| サポート 内容 |
・電話/メールの応対
・不具合発生時はプログラム修正を実施 |
・電話/メールの応対のみ |
※Type-Eアプリケーションは必ず事前検証の上、ご利用ください。
各アプリケーションのバージョンは製品のシステム要件をご参照ください。
