特集 Windows Server 2003完全ガイド

企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(2)
Matt Rosoff
2003/05/02
Copyright(C) 2003, Redmond Communications Inc. and Mediaselect Inc.

Rights Management Servicesの役割

 RMSの役割は、信頼できるユーザーのリストを保持し、保護されたデータ・アイテムをユーザーがどのように扱えるかを規定するライセンスの発行と妥当性検証を行うことにある。

 データ・アイテムの保護は、作成者のアプリケーションがデータに暗号化を施し、固有の「発行ライセンス」を付加することで開始される。受取人が保護されたアイテムを開こうとすると、その発行ライセンスが受取人の資格情報リストとともにRMSに送られる。RMSは、発行ライセンスの妥当性と受取人の資格情報をチェックし、データ・アイテムの復号化に必要な鍵と、そのアイテムに対する受取人の権限のリストを含む「使用ライセンス」を発行する。RMSは使用ライセンスを発行するが、使用ライセンスに含まれる権限を施行する責任はない。こうした権限の施行は、データ・アイテムのレンダリングに使われるアプリケーションが行う。

 RMSはライセンスの発行と妥当性検証を行うだけでなく、ポリシー・テンプレートも提供する。管理者はポリシー・テンプレートを使用して、特定のWindows RMシステムのすべてまたは一部のユーザーの権限レベルを定義できる。例えば、システムの全ユーザーに特定のドキュメントへの読み取り専用アクセスを許可する「マル秘」というレベルを作成したり、ドキュメントの閲覧、変更、転送を役員にのみ許可し、ほかのユーザーがドキュメントを開けないようにする「役員」というレベルを作成したりできる。こうしたテンプレートは、どんな方式で権限管理を行う場合でも最大の障害の1つとなる問題、つまり権限の割り当て方の選択肢が多すぎるという問題に対処するものだ。

 管理者はまた、特定の権限レベルの下で保護されたすべてのデータ(「マル秘」に分類されたすべてのデータなど)や、特定のユーザー・グループが所有するすべてのデータ(法務部門のスタッフが所有するすべてのデータなど)に自動的にアクセスできる「スーパー・ユーザー」を作成することもできる。これは、会社にとって重要なアイテムを保護したユーザーが退職した場合や、権限管理の作業に時間を取れなくなった場合に必要になる。

 また、RMSはそのほかの多数の管理機能も担っている。その中には、1回だけ行われるアクティベーション・プロセスの際にクライアントに必要なソフトウェアを配布する機能や、すべての要求のログを取るオプション機能などがある。

 Microsoftは、RMSの各インスタンスを専用のWindows 2003 Serverマシンで運用することを推奨している。ユーザーが多い組織では、RMSサーバをクラスタ化し、あるRMSサーバがほかのRMSサーバに証明書を発行するという方式も取れる。

クライアントPCが秘密鍵を保存:ロックボックス・ソフトウェア

 Windows RMシステム内の各PCには、「ロックボックス」(もともとの意味は金庫、私書箱など鍵のかかる箱)ソフトウェアが導入されている必要がある。ロックボックス・ソフトウェアは暗号処理を行うとともに、各クライアントPCがシステムを使用するための固有の秘密鍵を安全に保存する。

 システム内の各PCはロックボックス・ソフトウェアを取得するため、1回だけ行われるアクティベーションの際に自身のハードウェアIDのハッシュ値をRMSに送信する。RMSはこのハッシュ値を、MicrosoftによってホストされるRights Management Activation Serviceに送信し、同サービスはロックボックスDLLと署名付きのクライアント証明書を返す(Microsoftは、この機能をファイアウォール内で提供するロックボックス機器の開発でPKIベンダと協力している)。

 ロックボックス・ソフトウェアは、Palladiumというコード名で呼ばれていたMicrosoftのNGSCB(next-generation secure computing base)と概念的に似ている。だがNGSCBは、ハードウェアおよびOSの新しいコンポーネントの組み合わせを用いて、各PC上にデータの安全な「金庫」を作り、ソフトウェア・ベースの攻撃に対する脆弱性を低減する。NGSCBが実用化されれば(2004〜2006年の見通し)、この技術を備えたPCは、ロックボックス・ソフトウェアなしでもWindows RMシステムに対応する。

 また、システム内の各PCでは、RMSサーバとのやりとりを処理するクライアント・ソフトウェアも必要になる。このクライアント・ソフトウェアはSystems Management Server(SMS)やWindows Updateなど、Microsoftの企業システム管理技術を通じて配布可能なものになる。

必要とされるRM対応アプリケーション

 システム内の各PCは、Office 2003のようなRM対応アプリケーションを1つ以上搭載している必要がある。RM対応アプリケーションは、ユーザーがデータ・アイテムに権限を割り当てるためのインターフェイスを提供するとともに、ほかのユーザーがそのアイテムを操作しようとした場合に、割り当てられた権限を施行する。

 ここで重要なのは、ファイルが受取人のもとに届いたときに、使用ライセンスに含まれる権限を施行する責任を各アプリケーションが持つことだ。このため、保護されたファイルへのアクセスは、信頼できるアプリケーションに限定されていなければならない。さもないと、例えば、保護されたWordドキュメントをユーザーがテキスト・エディタで開き、テキストを無防備な電子メールにコピーするといったおそれがある。こうした事態を避けるため、RMで保護されたファイルは、信頼できるアプリケーションだけが開けるしくみになっている。Microsoftは、信頼できるアプリケーションの作成に必要なツールをSDKで提供する。

 Office 2003に加えてInternet Explorer(IE)5と6も、Rights ManagementアドオンによってWindows RMをサポートする。これにより下位互換が確保される。例えば、Office XPユーザーはIEと同アドオンを使って、保護されたOffice 2003ドキュメントにアクセスできる(このIE用プラグインには、あらゆるOffice 2003データのレンダリングに必要なコードが含まれる)。また、IEのWindows RMサポートのおかげで、企業はデータベースからそのほかの情報(財務レコードや人事レコードなど)を取り出し、機密を保ちながらイントラネット・ポータルに掲載したり、ドキュメント管理システムに渡すことができる。

 Microsoftは2003年3月末までに、クライアント・アプリケーション用とサーバ・アプリケーション用の2種類のSDKのベータ版をリリースする。サードパーティ開発者はこれらのSDKにより、ドキュメント・リポジトリやワークフロー・システム、ビジネス・インテリジェンス・システム、部門ポータルといったアプリケーションにRMサポートを組み込める。

相互運用性を高める今後の取り組み

 当初の段階では、異なる組織が保護されたドキュメントをWindows RMシステム間で共有するには、1対1の信頼関係を確立しなければならない。こうした関係が確立されると、組織はRMS Webサービスをセットアップし、信頼できるパートナー組織内の個人に使用ライセンスを配布できる。また、組織外の個人をActive Directory(AD)に追加し、それに合わせて権限ポリシー・テンプレートを調整することで、組織の信頼できるユーザーのリストにこうした個人を加えることもできる。

 だがMicrosoftは、保護されたデータを企業間でより簡単かつ効率的にやりとりできるようにするしくみも準備している。例えば、組織がRMSサーバをアクティベートするには、Microsoftがホストするライセンス・ブローカ・サービスにX.509証明書を提出する必要がある(将来的にはサードパーティが同様のサービスをホストするようになる見通し)。これは、複数の組織、ユーザー、アプリケーションを包含する信頼階層を確立するのに役立つ。

 さらに、権限を記述する言語の業界標準が確立されれば、異なるベンダの権限管理システムの相互運用が容易になるだろう。Windows RMは、権限とポリシーを記述、管理するためのXMLベースの言語であるXrML(Extensible Rights Management Language)を使用する。XrMLはMPEG(Motion Picture Experts Group)で標準として承認されているが、Sun Microsystemsなどの企業は競合言語であるSAML(Security Assertion Markup Language)を採用している。

 また、Windows RMは、当初はPocket PCなどの携帯端末をサポートしないため、モバイル・ワーカーが多い企業には向かないかもしれない。

Windows RM導入を脅かす敷居の高さ

 RMSは2003年3月末までに最初のベータ版が配布され、2003年後半に正式版がリリースされる見通しだ。RMSはWindows Server 2003 Enterprise Editionとは別個にリリースされるが、MicrosoftはRMSを同サーバOSのコア・コンポーネントと見なしている。IISが現行のWindows Serverの一部であるのと同様だ。RMSの価格やライセンス方式はまだ決まっていない。
 Windows RMをすぐに採用するのは、Microsoftの顧客の中でも特に規模が大きく、同社への支持が厚く、先駆的なところに限られるだろう。採用するにはWindows Server 2003の高価なバージョンであるEnterprise Editionだけでなく、ADとOffice 2003やそのほかのRM対応アプリケーションが必要だからだ(無料のIEプラグインは保護されたデータへのアクセスには使用できるが、その作成には使用できない)。さらに、各RMSクラスタがユーザー名および権限の保存やログ処理のために、SQL ServerまたはMicrosoft Data Engine(MSDE)の1つのインスタンスを必要とするという要因もある。とはいえ、一般的なアップグレード・サイクルに沿って企業の間でWindows 2003とOffice 2003の購入やADの導入が次第に進み、サードパーティ開発者がアプリケーションにWindows RMサポートを組み込むにつれて、Windows RMの採用は拡大すると見られる。

 しかし、Windows RMの成功を脅かす最大の要因は、エンドユーザーにとっての複雑さだ。アプリケーションごとに権限管理のためのユーザー・インターフェイスが決定されるため、ユーザーは多数の権限割り当て方法を使い分けなければならなくなるかもしれない。たとえMicrosoftが自社アプリケーション間でユーザー・インターフェイスの一貫性を保ったとしても、ISVや企業内開発者の足並みをそろえるのは困難だ。また顧客サイトでは、管理者は非技術系のマネージャたちと協力して、各部門のニーズに応じてカスタマイズされるポリシー・テンプレートを使用ミスの余地がないように作成し、その選択肢がユーザーの手に余るほど多くならないようにする必要がある。こうした課題がクリアされなければ、ユーザーはシステムにそっぽを向いてしまう。そして権限管理対策を施したつもりでいる組織は、後を絶たない機密データの漏えいに首をひねることになるだろう。End of Article

参考資料

Directions on Microsoft日本語版
本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。Directions on Microsoftは、同社のWebサイトより定期購読の申込みができます。
 
 

 INDEX
  [特集]Windows .NET Server 2003完全ガイド
     企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(1)
   企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(2)
 
目次ページへ  Windows Server 2003完全ガイド


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間