前回は、「Azure Information Protection(AIP)」について説明しました。今回は、AIPによく似た名前の、Windows 10に組み込まれている企業向け情報保護技術「Windows Information Protection(WIP)」について説明します。
Windows 10(Homeを除くエディションでサポート、Mobileもサポート)の「Windows Information Protection(WIP)」は、Windows 10 Anniversary Update(バージョン1607)で正式な機能となった、デバイス上の情報保護技術です。「Windows情報保護」と呼ばれることもあります。
正式提供される以前は「エンタープライズデータ保護(Enterprise Data Protection:EDP)」とも呼ばれていました。まずは、WIPとEDPは同じものであることに注意してください。
繰り返しますが、WIPは“デバイス上の情報保護技術”です。前回まで説明した「Active Directory Rights Managementサービス(AD RMS)」と、そのクラウド版ともいえる「Azure Information Protection(AIP)」は、ファイル共有や電子メール、クラウドベースのオンラインストレージなどを介してやりとりされるデータを高度に暗号化保護し、機密情報の漏えいを防止しようとする情報保護技術でした。
一方、WIPはコンピュータやタブレット、スマートフォンといったデバイスに保存されている企業データを、“その場所で保護する”ことを第一の目的としています。使用される暗号化技術は、NTFSの「暗号化ファイルシステム(EFS)」です。
WIPは、モバイル環境を含む企業内で、個人のデバイスや会社のデバイスが混在する環境や、1つのデバイス上で個人アプリと業務アプリを併用するような環境において、個人と企業の領域に境界を設けて、企業領域のデータを暗号化して保護するとともに、企業領域から個人領域への偶発的な、あるいは意図的な漏えいを防止します。
例えば、WIPでは特定のアプリケーション(Microsoft Edgeなど)で、Webサイトやサービスを企業が承認したものと、そうでないものに明確に区別することができます(画面1)。
また、アプリケーションの保存先によって自動的に暗号化して保存するようにしたり、ユーザー自身に企業データ(作業)と個人データ(個人用)を設定可能にしたりもできます(画面2)。
さらに、企業用のアプリから、個人用のアプリへのコピー&ペーストを警告したり、完全にブロックしたりすることも可能です(画面3)。
WIPはスタンドアロンで動作する機能ではありません。モバイルデバイス管理(Mobile Device Management:MDM)機能を通じてポリシーを配布することで、利用可能になります。例えば、「Microsoft Intune」のMDM管理機能は、WIPの構成に標準で対応しています(画面4、画面5)。
サードパーティーのMDMソリューションでも、公開されている「構成サービスプロバイダー(CSP)」のインタフェースに従うことで、対応が可能です。
繰り返しますが、WIPはデバイス上の企業データをEFSで暗号化して保護します。NTFSボリューム以外の外部ストレージ、オンラインストレージ、電子メールの送信などは保護対象にはなりません。Microsoft Intuneと前回説明したAIPの両方の環境があれば、「Azure RMS(AIPが使用するRMSテンプレート)」を使用して、デバイスから離れるデータに対してAIPの暗号化保護を適用することができます。例えば、企業アプリとして構成したAIP対応のOutlookからの電子メール送信を保護することも可能になります。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.