2つの情報保護技術、クラウドのAIPとWindows 10のWIP(その3)企業ユーザーに贈るWindows 10への乗り換え案内(13)

前回は、「Azure Information Protection(AIP)」について説明しました。今回は、AIPによく似た名前の、Windows 10に組み込まれている企業向け情報保護技術「Windows Information Protection(WIP)」について説明します。

» 2017年12月08日 05時00分 公開
[山市良テクニカルライター]
「企業ユーザーに贈るWindows 10への乗り換え案内」のインデックス

企業ユーザーに贈るWindows 10への乗り換え案内

Windows 10の「WIP」(旧称、EDP)とは?

 Windows 10(Homeを除くエディションでサポート、Mobileもサポート)の「Windows Information Protection(WIP)」は、Windows 10 Anniversary Update(バージョン1607)で正式な機能となった、デバイス上の情報保護技術です。「Windows情報保護」と呼ばれることもあります。

 正式提供される以前は「エンタープライズデータ保護(Enterprise Data Protection:EDP)」とも呼ばれていました。まずは、WIPとEDPは同じものであることに注意してください。

 繰り返しますが、WIPは“デバイス上の情報保護技術”です。前回まで説明した「Active Directory Rights Managementサービス(AD RMS)」と、そのクラウド版ともいえる「Azure Information Protection(AIP)」は、ファイル共有や電子メール、クラウドベースのオンラインストレージなどを介してやりとりされるデータを高度に暗号化保護し、機密情報の漏えいを防止しようとする情報保護技術でした。

 一方、WIPはコンピュータやタブレット、スマートフォンといったデバイスに保存されている企業データを、“その場所で保護する”ことを第一の目的としています。使用される暗号化技術は、NTFSの「暗号化ファイルシステム(EFS)」です。

 WIPは、モバイル環境を含む企業内で、個人のデバイスや会社のデバイスが混在する環境や、1つのデバイス上で個人アプリと業務アプリを併用するような環境において、個人と企業の領域に境界を設けて、企業領域のデータを暗号化して保護するとともに、企業領域から個人領域への偶発的な、あるいは意図的な漏えいを防止します。

 例えば、WIPでは特定のアプリケーション(Microsoft Edgeなど)で、Webサイトやサービスを企業が承認したものと、そうでないものに明確に区別することができます(画面1)。

画面1 画面1 Webサイトやサービスをドメイン名で識別し、企業領域と個人領域を明確に分けることができる

 また、アプリケーションの保存先によって自動的に暗号化して保存するようにしたり、ユーザー自身に企業データ(作業)と個人データ(個人用)を設定可能にしたりもできます(画面2)。

画面2 画面2 企業アプリ(Excelなど)からローカルへの保存は自動的にEFSで暗号化。ユーザーに作業/個人用の指定を許可することも可能

 さらに、企業用のアプリから、個人用のアプリへのコピー&ペーストを警告したり、完全にブロックしたりすることも可能です(画面3)。

画面3 画面3 企業アプリ(Wordなど)から個人用アプリ(Facebookなど)にコピー&ペーストしようとしたところ。この例は警告するだけだが、完全にブロックするように設定することも可能

WIPはMDMソリューションとの組み合わせで利用可能

 WIPはスタンドアロンで動作する機能ではありません。モバイルデバイス管理(Mobile Device Management:MDM)機能を通じてポリシーを配布することで、利用可能になります。例えば、「Microsoft Intune」のMDM管理機能は、WIPの構成に標準で対応しています(画面4画面5)。

画面4 画面4 Microsoft Intuneを使用したWIPのためのポリシーの構成
画面5 画面4 AIP(Azure RMSテンプレート)と連携して、外部とやりとりされるデータを保護することも可能

 サードパーティーのMDMソリューションでも、公開されている「構成サービスプロバイダー(CSP)」のインタフェースに従うことで、対応が可能です。

 繰り返しますが、WIPはデバイス上の企業データをEFSで暗号化して保護します。NTFSボリューム以外の外部ストレージ、オンラインストレージ、電子メールの送信などは保護対象にはなりません。Microsoft Intuneと前回説明したAIPの両方の環境があれば、「Azure RMS(AIPが使用するRMSテンプレート)」を使用して、デバイスから離れるデータに対してAIPの暗号化保護を適用することができます。例えば、企業アプリとして構成したAIP対応のOutlookからの電子メール送信を保護することも可能になります。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。