OneDriveのセキュリティをRMSで強化するOffice 365運用管理入門(7)

「Office 365」ではドキュメントやメールの情報漏えい対策として「Rights Management Services(RMS)」が利用できる。今回は、OneDrive for Businessで確認してみよう。

» 2015年05月20日 05時00分 公開
[宮川麻里株式会社IPイノベーションズ]
「Office 365運用管理入門」のインデックス

連載目次

OneDriveにRMSを実装するには

 「Office 365」で利用できるクラウドストレージサービス「OneDrive for Business」は、1ユーザーごとに1TB(※2015年4月末現在)の容量が確保されている(マイクロソフトは、容量を無制限にすることを発表済み。次期は未定)。ドキュメントや画像などを保存しておけば、PCやスマートフォンなど、さまざまなデバイスから利用したり、他のユーザーと共有して作業を進めたりできるなど、非常に便利に使えるサービスだ。

 最近、利用者が増えつつあるOneDrive for Businessを管理したい、という要望を耳にすることも多くなった。今回は、OneDrive for Businessのセキュリティ対策の一つとして「Rights Management Services(RMS)」を利用する方法を紹介する。

Rights Management Servicesとは?

 Rights Management Services(RMS)は、デジタル情報を不正利用から保護するマイクロソフトの情報保護テクノロジである。ドキュメントや電子メールに対し、データ暗号化やユーザー権限によるアクセス制御(有効期限/読み取り/編集/コピー&ペースト/転送/保存/印刷など)を付与することで、情報漏えいや不正利用を防止する。

 PC以外にも多彩なデバイス(スマートフォン/タブレット/携帯電話)での電子メールやドキュメントの扱いにも対応しており、重要な情報を組織の内外で保護することができる。

 すでに、オンプレミスのActive Directoryでは「Active Directory Rights Management Services」(以下、AD RMS)という情報保護機能が提供されていたので、RMSをご存じの方もいるだろう。Office 365で利用するMicrosoft Azure上のRMSとAD RMSの違いについては、以下のサイトを参照してほしい。

OneDrive for BusinessへのRMSの実装

 Office 365へのRMSの実装には、「Azure Rights Management Services」(Azure RMS)を利用する(図1)。標準でAzure RMSが利用可能なプランは、企業向けの「E3」以上の契約となる。

図1 図1 図1 Office 365でのAzure RMS実装のイメージ。ユーザーの権限で利用に制限をかけることができる

 Azure RMSを実装する前に、最初にAzure AD上に登録されているユーザーに与えられた権限を確認し、暗号化の解除などを行っておこう。

(1)Azure RMSを有効化する

 まずは、Office 365上でRMSの機能を有効化する。Office 365管理画面にサインインし、「Office 365管理センター」を表示する。左メニューの「サービス設定」→「アクセス権管理」をクリックして、「情報を保護」画面が表示されたら「管理を行う」をクリックする。すると、「rights management」画面が表示されるので、この画面で「アクティブ化」をクリックする(画面1)。

画面1 画面1 「Office 365管理センター」から「rights management」をアクティブ化して、RMSを有効化する

 Office 365のテナントにRMSの有効化が反映されるまでには数時間かかることもあるので、その時間も考慮して作業スケジュールを設定してほしい。

 なお、「追加の構成」にある「高度な機能」をクリックすると、Microsoft Azureの管理画面に移動して「RMSテンプレート」をカスタマイズすることができる(Microsoft Azure管理画面にサインイン可能なサブスクリプションが必要)。

column:RMSテンプレート

 Rights Management Services(RMS)は、電子メールやOfficeファイルなどを暗号化して特定のユーザーにのみ閲覧/編集権限などを与える仕組みだ。既定ではドキュメントに対しての「社外秘」「社外秘(閲覧のみ)」、メールではこれらに加えて「転送不可」のテンプレートが利用できる。

 さらにMicrosoft Azureで機能をアップデートすることにより、例えば特定のグループ(営業部、人事部など)だけにドキュメントへのアクセスを許可したり、「有効期限」「オフラインでアクセスできる日数」「コピーや印刷のみを禁止」などの細かい権限を設定したりできるテンプレートをMicrosoft Azure管理画面で作成することができる。


(2)RMSテンプレートを作成する

 次に、「RMSテンプレート」の作成手順を確認する。「追加の構成」で「高度な機能」をクリックし、Microsoft Azure管理画面に移動して左メニューから「Active Directory」を選択する。

 「Active Directory」ページに移動するので、この画面で「Rights Management」をクリックし、対象のディレクトリを選択すると「Rights Managementの使用を開始」ページが表示される。ここで「管理」から「新しい権利テンプレートを作成する」をクリックして、新規テンプレートを作成する。テンプレートには「言語」「テンプレート名」「説明」を入力する(画面2)。新規テンプレートを作成したら、次は「テンプレートの構成」を行う。

画面2 画面2 「言語」「テンプレート名」「説明」を入力して、新規テンプレートを作成する(画面では「new_rmstemplate」というテンプレートを作成した)

 「テンプレートの構成」では、テンプレートを利用する範囲(スコープ)を設定する。既定ではテナント全体がこのテンプレートを利用できるが、スコープを設定することで、テンプレートを利用するグループやユーザーを限定することができる(画面3)。

画面3 画面3 テンプレート利用範囲(スコープ)の設定。ユーザーまたはグループを選択して設定を行う

 次に、スコープを設定したいユーザーまたはグループに権限を割り振る。割り振ることが可能な権限は、以下の5項目だ。

割り振れる権限 内容
ビューアー 表示/返信/全員に返信
レビューアー 表示/編集/返信/全員に返信/転送
共同作成者 表示/編集/印刷/コピー/返信/全員に返信/転送
共同所有者 全ての権利
カスタム 個別で権限を割り当てる

 最後に、状態を「アーカイブ」から「発行」に変更し、保存したら設定は完了だ。メニューの「テンプレート」からは、作成したテンプレートの一覧を確認できる(画面4)。

画面4 画面4 メニューの「テンプレート」からは、作成したテンプレートを確認できる

 今回は、次の二つのテンプレートを作成した。

テンプレート名 New_rmstemplate
スコープ testuser01@ipii.co.jp

テンプレート名 IRMReviewersample
スコープ 指定なし

 カスタムテンプレートの作成手順とスコープの設定方法は、以下のサイトを参照してほしい。

(3)SharePoint管理センターでRMSを有効化する

 「SharePoint管理センター」では、最初に「Information Rights Management(IRM)」設定の更新を行う。手順(1)でもOffice 365に対してRMSを有効化しているが、RMSを実装するサービスごとに有効化の作業を行う必要がある。

 まずは、「SharePoint管理センター」の左側メニューで「設定」をクリックする。表示される画面を下方にスクロールしていくと「Information Rights Management(IRM)」の項目が表示されるので、「構成で指定したIRMサービスを使う」をチェックして「IRM設定の更新」をクリックする(画面5)。

画面5 画面5 「SharePoint管理センター」の設定画面で、IRM設定の更新を行う

 次に、管理対象のユーザーのOneDrive for Business(個人サイト)に管理者を追加する。「SharePoint管理センター」→「ユーザープロファイル」→「ひと」カテゴリの「ユーザープロファイルの管理」で管理対象となるユーザーを検索し、表示されたアカウント名の「▼」をクリックするとリストが表示される。ここで、「サイトコレクションの所有者の管理」をクリックして、サイトコレクション管理者を追加する(画面6)。

画面6 画面6 管理対象ユーザーを検索して、管理者を追加する

 管理者を追加したら、同様のリストから「個人用サイトの管理」をクリックして、対象ユーザーの個人サイト(OneDrive for Business)にアクセスする。「サイトの設定」画面が表示されるので左側メニューの「ドキュメント」をクリックと、対象ユーザー(この場合は田中太郎)のOneDrive for Business画面が表示される(画面7)。

画面7 画面7 管理対象ユーザーのOneDrive for Businessが表示される

 OneDrive for Business画面では、上部のタブから「ライブラリ」→「ライブラリの設定」→「権限と管理」カテゴリを選択して、「Information Right Management」をクリックし、制限したい設定を行って「OK」をクリックする。今回は「ダウンロード時にこのライブラリの権限を制限する」を設定して、ポリシーのタイトルを「OneDrive for Business IRM」としている(画面8)。

画面8 画面8 IRMポリシーの設定画面。ここで制限する項目やポリシーのタイトル、説明などを設定する

 RMS関連の設定は以上で完了だが、今回は「Office Online」上ではなく、PC上に同期した状態を確認したい。再度、左側のメニューで「ドキュメント」をクリックして「ドキュメント」画面に戻り、「同期」ボタンをクリックしよう。

 「今すぐ同期」をクリックするとメッセージが表示され、オフラインでも「Windowsエクスプローラー」上でOneDrive for Businessのファイルを利用できるようになる。インターネットに接続されていれば、PC上で変更した内容がすぐにOneDrive for Businessに反映されるので便利だ。

(4)OneDrive for Business IRMの確認とRMSテンプレートの実装

 最後に、同期したExcelファイルをPC上のWindowsエクスプローラーで開いてみよう。RMS(IRM)が実装されていることが確認できる(画面9)。

画面9 画面9 同期後のExcelファイルをWindowsエクスプローラーで開いた状態。RMS(IRM)が実装されていることが確認できた

 Windowsエクスプローラーから同期フォルダー上に新規作成したドキュメントにも、同様にRMSの設定が反映される。これは、SharePoint Onlineの「ドキュメントライブラリ」を同期した場合も同様だ。

 なお、Microsoft Azure管理画面で作成したRMSテンプレートは、他のドキュメントでも利用することが可能だ。上段メニューの「ファイル」をクリックして「情報」画面を表示し、「プレゼンテーションの保護」→「アクセスの制御」をクリックすると利用可能なテンプレートが表示される。手順(2)で作成した2種類のテンプレートのうち、スコープ設定をした「New_RMSTemplate」は対象ユーザーではないため表示されない(こちらはPowerPoint画面で作成したため)(画面10)。

画面10 画面10 Azure RMSで作成したテンプレートは他のドキュメントに適用することが可能だ

 RMSテンプレートで作成したポリシーは、OneDrive for BusinessやSharePoint Onlineの同期フォルダー以外に存在するドキュメントにも適用可能だ。PDFファイルは別途ビューアーが必要になるなど、まだ制限はあるものの、Azure RMSは頻繁にアップデートされるので、柔軟な適用や運用が可能になってきている。もちろん抜け道はあるだろうが、エンドユーザーに情報漏えい対策を行っていることを示すことは、セキュリティ対策を進める上での大きな一歩となるだろう。

筆者紹介

宮川 麻里(みやかわ まり)

株式会社IPイノベーションズ所属のマイクロソフト認定トレーナー。主に、Windows Server Active Directory、SQL Server、Office 365などを担当し、マイクロソフト認定コースや要望に沿ったカスタマイズコースを実施している。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。