2つの情報保護技術、クラウドのAIPとWindows 10のWIP（その2）：企業ユーザーに贈るWindows 10への乗り換え案内（12）

前回は、Windows／Officeで利用可能な「Active Directory Rights Managementサービス（AD RMS）」を中心とした情報保護技術を説明しました。今回は、AD RMSのクラウド版ともいえる「Azure Information Protection（AIP）」を解説します。AIPのクライアントは本連載のテーマであるWindows 10に制限されるものではありませんが、Windows 10だけで利用可能な機能もあります。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

　前回の最後に説明したように、Microsoft Azureが提供する「Azure Information Protection（AIP）」は、「Active Directory Rights Managementサービス（AD RMS）」の機能をクラウドから提供するものと考えると理解しやすいと思います。AD RMSがユーザーのID検証のために「Active Directoryドメインサービス（AD DS）」に依存するのに対して、AIPは「Azure Active Directory」に依存します。

• Azure Information Protection（Microsoft Cloud Platform）

　もちろん、Azure Active DirectoryとオンプレミスのAD DSをディレクトリ同期して統合することで、オンプレミスのIDを利用してAIPのサービスを利用することもできます。また、利用できる機能に制限はありますが、AIPによる保護にオンプレミスのAD RMSで証明書や使用ライセンスを管理する「BYOK（Bring Your Own Key）」と呼ばれる構成も可能です（AIPの上位プランであるP2ライセンスが必要）。

　AIPはもともと「Azure Rights Management（Azure RMS）」と呼ばれていましたが、機能が大幅に拡張されてAIPになりました。なお、現在でも「Azure RMS」という用語は、「BYOK」に対する“AIP標準の保護設定”（鍵を管理するクラウドサービス）という意味で使用されることに注意してください。

　AIPとAD RMS（および旧Azure RMS）の最大の違いは、「ラベル付け」の機能です。管理者は、保護レベルを表すラベルを用意し、ラベルごとに保護設定を細かく事前設定することができます。AD RMSと同様のアクセス許可設定に加え、ヘッダやフッタ、透かしの設定といった“保護されていることを視覚的に示す”設定も可能です（画面1、画面2）。

画面1　「ラベル」はユーザーがワンクリックで適用できる事前設定済みの保護設定

画面2　「ラベル」ごとに保護設定を事前に定義できる。ヘッダ、フッタ、透かしなどの適用も可能

　ラベルは「Azure Information Protectionクライアント／アプリ（ビュワー）」（以下、AIPクライアント／アプリ）や、AIPクライアントをインストールしたPCのOfficeアプリケーションを通してユーザーに表示され、ユーザーはワンクリックで保護設定を適用することができます。

コンテンツに基づいた自動分類と保護を提案

　AIPのラベルをユーザーがクリックすることで保護が適用されますが、AIPは「自動分類」の機能も提供します（自動分類機能を利用するにはAIPのP2ライセンスが必要）。

　これは、ドキュメントやメールなどのコンテンツを事前設定した条件で自動分類し、作成や更新時に条件に一致した場合は自動的に保護を適用する、またはユーザーに対して特定のラベルによる保護を提案する機能です。条件としては、組み込みの条件（例えば、クレジットカード番号をX個含むなど）を利用するか、正規表現によるカスタム条件を構成できます（画面3、画面4）

画面3　例えば、「社外秘」という文字列を含むドキュメントやメールに自動的にラベルを付けたり、ユーザーに提案（推奨）したりできる

画面4　クレジットカード番号を含むドキュメントが自動的にラベル付けされ、保護された様子

AIPクライアント／アプリはマルチプラットフォーム対応

　従来のAD RMSを中心とした保護では「Information Rights Management（IRM）」対応のアプリケーションが必要でした。つまり、Officeアプリケーションや「XPSビューアー」です。これらのアプリケーションでは、AIPのサービスを従来のAD RMSの機能レベルで利用することができます。

　AIPのフル機能（ラベル付けや自動分類）を利用するには、AIPクライアント／アプリが必要になります。AIPアプリは、AndroidやiOS向けにも用意されています。AIPクライアント／アプリは、それ自身が保護設定とビュワーとして機能します（画面5）。また、Windows向けのAIPクライアントは、Officeアプリケーションにラベル付け機能を追加します。

画面5　AIPクライアント／アプリ（AndroidやiOSにも対応アプリあり）を使用すると、PDFやテキスト、画像ファイルに対する保護設定や保護されたコンテンツの表示も可能になる

　AIPクライアント／アプリは、Officeドキュメントだけでなく、Adobe PDF、テキスト、画像ファイルなど、Office以外のファイル形式の保護に対応します。

　また、AIPクライアント／アプリを使用して保護されたドキュメントの作成者は、専用のトラッキングポータルサイトで保護されたドキュメントへのアクセス状況を、ほぼリアルタイムで、視覚的に追跡することができます（画面6）。不正アクセスの疑いがある場合は、保護されたドキュメントに対する全ての許可を、ポータルサイトから素早く無効化することができます。

画面6　保護されたドキュメントのトラッキング機能。ドキュメントの作成者は、保護されたドキュメントの表示や拒否の状態をほぼリアルタイムに追跡できる

　AIPのサービスは、Windows 7 Service Pack（SP）1以降のWindows、macOS（ただし、macOS用は旧RMS共有アプリで機能制限あり）、Android、iOSのマルチプラットフォームで利用できます。本連載のテーマであるWindows 10に制限されるものではありません。しかし、Windows 10では、次回説明する「Windows Information Protection（WIP）」とともに、AIPを利用するシナリオがサポートされます。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。