2つの情報保護技術、クラウドのAIPとWindows 10のWIP（その1）：企業ユーザーに贈るWindows 10への乗り換え案内（11）

今回から3回に分けて、Microsoft Azureが提供する情報保護サービス「Azure Information Protection（AIP）」と、Windows 10 バージョン1607（Anniversary Update）以降に組み込まれた情報保護技術「Windows Information Protection（WIP）」を紹介します。今回はその基礎知識として、WindowsやOfficeが備えている、実績ある情報保護技術を解説します。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

デジタル著作権管理技術由来の情報保護技術「AD RMS」

　これまでWindowsとOfficeは「Active Directory Rights Managementサービス（AD RMS）」を中心とした、高度な情報保護技術を提供してきました（画面1）。AD RMSはもともと、デジタル情報の著作権を保護するソリューションとして、Windows Server 2003向けのアドオン「Windows Rights Managementサービス」として登場しました。その保護技術は、著作権保護だけでなく、より汎用的な情報漏えい対策にも有効であり、現在は主に後者の用途で利用されるようになっています。

• Active Directory Rights Management サービスの概要（Microsoft TechNet）

画面1　Active Directory Rights Managementサービス（AD RMS）は、Windows Serverが提供するオンプレミスの情報保護サービスの中心的な役割を担う

　AD RMSは、Active DirectoryのID検証に基づき、暗号化保護で使用される各種証明書／ライセンスキーをユーザーに対して配布する他、事前に定義された権利ポリシーテンプレートをクライアントに提供します。AD RMSの直接的なクライアント機能はWindows Vista以降に標準搭載され、また、アプリケーションデータの保護に対応する機能はOffice 2003の企業向け上位エディションに「Information Rights Management（IRM）」として組み込まれています。

Office IRMによるOfficeドキュメントと電子メールの保護

　AD RMSをオンプレミスに展開すると、AD RMSに対応するOfficeエディションの「アクセスの制限」機能を利用して、AD RMSが提供する権利ポリシーテンプレートを選択する、あるいはカスタム設定を適用することで、暗号化に加えて、高度なアクセス制御を強制できるようになります。

　例えば、ドキュメントや電子メールに「有効期限」を設定すると、有効期限を過ぎたコンテンツは自動的に参照できなくなります。また、指定した宛先に対して、コンテンツの閲覧だけを許可させる他、コンテンツの外部アプリへのコピー禁止、コンテンツの印刷禁止（スクリーンショットを含む）、電子メールの転送禁止など、きめ細かいアクセス制御を実現することができます（画面2）。

画面2　コンテンツの作成者自身によるアクセス制御の設定（ポリシーテンプレートの選択またはカスタム設定）

　アクセス制限が構成されたドキュメントや電子メールは、証明書ベースで暗号されて保護されます。暗号化を解除できるのは、AD RMSの利用環境範囲にあるクライアントから許可されたユーザーだけになります。また、暗号化を解除したユーザーは、作成者が許可した範囲でのみコンテンツにアクセスできます（画面3）。一度、AD RMSからコンテンツに対する使用ライセンスを取得すると、作成者が許可していれば、オフラインアクセス（AD RMSに接続できない環境で開くこと）も可能です。

画面3　閲覧のみが許可されたユーザーが暗号化されたドキュメントを開いたところ

　Windows標準のファイルやフォルダの暗号化機能である「暗号化ファイルシステム（EFS）」はNTFSボリューム上にしか存在できず、外部メディアなど、NTFS以外のボリュームにコピーすると暗号化が解除されるという弱点があります。また、OfficeドキュメントやZIP圧縮のパスワード保護といった簡易的な暗号化は、パスワードをどのようにして伝えるかも問題ですが、パスワードが漏えいしなくても安全とはいえません。パスワードで保護されたドキュメントを入手した人は、暗号化を解除するためにいくらでも時間をかけられるからです。

　これに対して、AD RMSによる保護が優れているのは、その保護が“永続的なもの”であるということです。保存先ボリュームのファイルシステムの制限は受けないので、USBメモリや電子メールの添付ファイルとして外部に流出してしまったとしても、保護は継続されます。暗号化解除の可否は、Active DirectoryのID検証に基づいて、その都度提供される使用ライセンスで自動的に行われるため、ドキュメントごとに異なるパスワードを設定する手間もありません。また、Active DirectoryとAD RMSにアクセスできない環境では、使用ライセンスをそもそも取得できないため、暗号化を解除することは事実上不可能なのです（画面4）。

画面4　Active DirectoryとAD RMSにアクセスできない環境では、ドキュメントの暗号化を解除できない

ファイルサーバ、SharePoint、Exchangeとの連携も可能

　AD RMSによる情報保護は、Windowsを中心としたシステム環境の中でも比較的歴史のあるソリューションで、実績もあります。Windows Serverの「ファイルサービスの役割」が備える「ファイル分類管理（File Classification Infrastructure：FCI）」機能と組み合わせることで、ファイルサーバの共有フォルダにドキュメントをコピーするだけで、そのコンテンツの内容に基づいてドキュメントを分類し（例えば、“社外秘”という文字列を含む、電子メールアドレスを10個含むなど）、自動的にAD RMS／IRMで暗号化できるようになります（画面5）。さらに、SharePointやExchangeと組み合わせることで、ダウンロードコンテンツや電子メールの自動暗号化保護も可能になります。

画面5　FCIと組み合わせることで、共有フォルダに非暗号化ドキュメントをコピーするだけで、内容に基づいて自動的に暗号化保護できる

　AD RMSは、基本的にオンプレミスのソリューションです。もちろん、エクストラネットに拡張することも可能ですが、そのためのクライアントアクセスライセンス（AD RMSを利用するには、RMS CALが必要です。エクストラネットに拡張するには、さらにエクスターナルコネクターライセンスが必要です）や、安全にエクストラネットに対応するための仕組みを準備する必要があります。

　Microsoft Azureが提供する「Azure Information Protection（AIP）」は、AD RMSのサービスをクラウドから提供するものと考えると簡単です。クラウドなので、エクストラネットへの拡張にも柔軟かつ簡単に対応できます。

• Azure Information Protection（Microsoft Cloud Platform）

　以前は「Azure Rights Management（Azure RMS）」と呼ばれていましたが、機能が大幅に拡張されてAIPになりました。AD RMSと同等の機能、つまり、Azure Active DirectoryによるIDの検証や証明書／使用ライセンスの配布、権利ポリシーテンプレートの配布の他、ラベルによる保護の簡単な適用、コンテンツに基づいた自動保護または提案、透かし設定、使用の追跡（トラッキング）、保護対象の拡大（画像やPDF、テキストなど）、マルチプラットフォーム対応（AndroidやiOSなど）など、さまざまな機能を標準で備えています。AIPの詳細については、次回説明します。

　Windows 10 バージョン1607（Anniversary Update）からは「Windows Information Protection（WIP）」（開発コード名：エンタープライズデータ保護、EDP）と呼ばれる、よく似た名称の情報保護技術が搭載されました。AIPとWIPは異なる保護技術ですが、AIPをWIPとともに使用することも可能で、全く無関係というわけではありません。WIPの詳細については、AIPの次の回に説明します。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。