ニュース
» 2015年12月01日 12時00分 UPDATE

セキュリティ向上とワークスタイル変革推進のために:ドキュメントの安全性とモビリティを両立するには――Azure RMS Premiumで実現する安全な情報共有

クラウド/モバイル時代における重要課題の一つが、ドキュメントのセキュリティだ。適切なユーザーに、適切な権限を与えてドキュメントを利用させるにはどうすればよいのだろうか。日本マイクロソフトのテクノロジースペシャリストである須澤英彰氏に、モバイル時代のドキュメントの安全性を担保するための方法を伺った。

[廣瀬治郎,@IT]

導入・利用のハードルが高いこれまでのコンテンツ管理システム

 安全で使いやすいクラウド/モバイル環境の整備は、多くの企業にとって早急に取り組むべき課題の一つだ。社員が利用するデバイスは会社からの貸与かBYOD(Bring Your Own Device:個人所有端末の業務利用)か、どのアプリケーション/クラウドサービスを利用させるかなど、考慮すべき点は多々あるが、最も重要なことはどのようなセキュリティ対策を実装するかということだ。

 最優先で検討すべきは、適切なユーザーを、適切な方法で、適切なシステムへアクセスさせるための「認証基盤」の整備になるだろう。

 Windowsプラットフォームをメインのインフラに利用している企業では、社内(オンプレミス)の人事システムやIDマスターとActive Directoryをベースに、Kerberos認証を組み合わせて、パッケージアプリケーションやWebアプリケーションにアクセスさせているケースがほとんどだろう。しかし、この方法では、Active DirectoryやKerberos認証に対応していないネットワークアプリケーションや外部サービスへのアクセスを制御することは難しいのが現状だ。

 Office 365などのクラウドサービスは、社外ユーザーとの情報共有や業務連携を図る上で、非常に利便性の高い仕組みである。ところが、オンプレミスの認証基盤だけでは、アクセスを適切にコントロールすることが難しい。

 では、どのようなシステムが現代の企業に適しているのだろうか。第一に考えられるのが、社内のActive Directory環境と「Azure Active Directory」(以下、Azure AD)を組み合わせた“ハイブリッド認証基盤”だ(図1)。

図1 図1 これからの企業には、オンプレミスのActive DirectoryとクラウドのAzure ADを組み合わせた“ハイブリッド認証基盤”が最適となる(出典:日本マイクロソフト)《クリックで拡大します》

 ハイブリッド認証基盤は、オンプレミスとクラウドを「Active Directoryフェデレーションサービス(AD FS)」で連携・同期することで、業界標準のクレームベース認証に対応し、.NETやJavaで開発されたネットワークアプリケーションの他、IaaS(Infrastructure as a Service)/SaaS(Software as a Service)などのクラウドサービスへの認証も管理できるようになる。

 また、Azure ADであれば、取引先や社外スタッフなど、社内のActive Directoryには登録しにくいユーザーアカウントでも登録して管理できるようになるというメリットが得られる。クラウドサービスがメインの認証基盤となれば、組織内のユーザーもAzure ADで管理した方が柔軟な管理が可能になる。

 加えて重要な点は、アクセス認証だけで重要なデータを保護できるわけではないということ。ビジネスでは、WordやExcelといったOfficeドキュメントやテキストファイルなどの文書ファイルをはじめ、PDFや画像、メールなど、さまざまなファイル/データをやりとりする。これらをいかに安全に共有するか、保護するかという点に注意しなければ、外部との連携を図ることは難しい。

 マイクロソフトが提供する「Enterprise Mobility Suite(EMS)」に含まれる「Azure Rights Management Premium」(以下、Azure RMS Premium)は、ファイルやメールといった重要なドキュメント/コンテンツを暗号化し、さらに適切な利用権限を付与することで、安全な共有を実現するクラウドサービスである(図2)。

図2 図2 Azure RMS Premiumを導入することで、ファイルやメールといったコンテンツを暗号化し、さらに適切な利用権限を付与することができるようになる(出典:日本マイクロソフト)《クリックで拡大します》

 これまでも、オンプレミスのWindows Serverでは「Active Directory Rights Managementサービス(AD RMS)」というコンテンツ保護の仕組みが提供されてきた。しかし、モビリティを考慮するのであれば、VPN(仮想プライベートネットワーク)などで外部から接続できるようにネットワークを整備して、暗号鍵を保護するためのRMSサーバー自体を堅牢にし、SQL Serverなどでデータベースを構築する必要があった。

 また、RMSサーバーが停止するとコンテンツへのアクセスができなくなるため、クラスターを組んで可用性を高めることも考慮しなければならなかった。外部ユーザーとの共有ともなれば、さらにハードルが上がり、多くの企業において実現は困難と思われていた。

ALT 日本マイクロソフト クラウド&ソリューションビジネス統括本部 データセンター&Azure営業本部 クラウドプラットフォーム技術部 テクノロジースペシャリスト 須澤英彰氏

 日本マイクロソフトのテクノロジースペシャリストである須澤英彰氏(クラウド&ソリューションビジネス統括本部 データセンター&Azure営業本部 クラウドプラットフォーム技術部)は、「クラウドサービスとして提供されるAzure RMS Premiumは、マイクロソフトの堅牢なデータセンター上のシステムを用いるため、安全で可用性の高いドキュメント保護の仕組みを構築することができます。料金も比較的安価で、これまでRMSを使いたくても使えなかったという中小規模の組織でも利用可能です」と述べる。

コンテンツ管理のスコープを広げる「Azure RMS Premium」

 Azure RMS Premiumは、「暗号化」「コンテンツ単位のユーザー認証」「権限の制御」という三つの機能でドキュメント保護を実現する。ドキュメントごとに閲覧/編集/保存/コピー&ペースト/印刷/利用・閲覧期間などを、ユーザー/グループの単位で細かく制御することが可能だ(図3)。

図3 図3 Azure RMS Premiumで保護されたOfficeドキュメントは、閲覧/編集など、利用権限が細かく制御される(出典:日本マイクロソフト)《クリックで拡大します》

 Azure RMS Premiumの保護機能を全て利用できるのは、OfficeドキュメントとPDF、そしてMicrosoft Outlookのデータ(メールアイテムなど)になる。なお、PDFに関しては、PDFリーダー側の RMS への対応も必要となる。

 テキストファイル(.TXT)や画像ファイル(.JPG、.PNGなど)は、マイクロソフトが無償で提供する「RMS Sharing Application」というツールを用いて「.PTXT」「.PJPG」「.PPNG」といった拡張子の専用ファイルに変換することで、暗号化やアクセス制御を付与することが可能になる(図4)。

図4 図4 テキストファイルや画像ファイルも「RMS Sharing Application」で専用ファイルに変換することで、暗号化やアクセス制御を付与できるようになる(出典:日本マイクロソフト)《クリックで拡大します》

 これらのファイルは、通常のアプリケーションでは利用できないため、RMS Sharing Applicationのビューアー機能「IP Viewer」を用いて閲覧する。また、共有先に対応環境がないPDFファイルも「.PPDF」化することができる。

 「RMS Sharing Application を利用することで右クリックから保護ファイルを作成できます(画面1)。従来のOfficeドキュメントのセキュリティ設定のように、いちいちアプリケーションを起動する必要はありません。さらに、Windowsだけではなく、Mac、Windows Phone、iOS端末、Android端末といったデバイス向けにも、RMS Sharing Applicationを提供しているので、モバイル環境も含めたさまざまな環境でドキュメントを安全に利用できます」(須澤氏)

画面1 画面1 RMS Sharing Applicationを利用することで、ファイルの右クリックから保護を設定できる

 なお、IP Viewerに対応していないアプリケーションのファイルも、RMS Sharing Applicationを用いてコンテナー化することが可能だ。認証ユーザーしかアンパックできないとはいえ、いわゆる暗号化ZIPのような形式であるため、取り出したファイル自体が保護されているわけではない点に注意したい。あくまでも、データ送受信の際の安全性のみを確保するための仕組みとして捉えてほしい。

 「オンプレミスのAD RMSは、どうしてもActive Directoryの管理範囲内にとどめられてしまい、モビリティが低下してしまいます。Azure RMS Premiumであれば、取引先や協力会社の人には社外ユーザー向けの認証インフラである『RMS for Individuals』を利用してもらうことにより、社員以外のアカウントを管理する必要がなくなります。そのため、RMSの展開スコープを大幅に拡大することができます」(須澤氏)

ユーザー自身がファイルを守る

 ファイルやメールを保護する場合、運用方法も重要なポイントになる。つまり、ユーザーに設定を任せる「ユーザーサイド」とシステム側で保護を自動化する「サーバーサイド」の2通りの方法だ。

 Azure RMS Premiumでは、ユーザーサイドであれば、OfficeやRMS Sharing Applicationの機能によって設定できる。ファイルごとに細かな制限を設けることも可能だが、管理者があらかじめ定義しておいた「権利ポリシーテンプレート」を選択するだけでもよい。上述したように、RMS Sharing Applicationであれば、ファイルアイコンの右クリックメニューから、アプリケーションを開かずに保護を設定することが可能だ。

 サーバーサイドの場合、Microsoft SharePoint/SharePoint OnlineであればOfficeファイルやPDFファイル、Windows Server 2012以降のファイルサーバーであればOfficeファイルを配置するだけで自動的にRMSで保護される。また、Microsoft Exchange/Exchange Onlineでは、メールアイテムと添付されたOfficeドキュメントを保護することができる。なお、オンプレミスのExchange ServerやSharePoint Server、ファイルサーバーは、「Azure Rights Management Connector」を経由することでAzure RMS Premiumと連携することが可能だ。

 また、Windows 10では今後「Enterprise Data Protection」という機能が実装されるが、端末に置かれているファイルについてRMSを自動的に適用することができるようになる予定だ。

 須澤氏によると、Azure RMS Premium自体は「ユーザー自身が管理すること」を基本に、さまざまな機能が追加されているという。

 例えば、コンテンツの利用状況を確認できるサービスとして、「Azure RMS Document Tracking」の提供が開始されている。Azure RMS Document Trackingでは、ユーザーごとにポータルサイトが用意され、自身が管理しているコンテンツの利用状況を追跡することができる。

 例えば、ファイル閲覧の成功/失敗や、ファイルにアクセスした時間や場所など、ファイルの状況をリアルタイムで把握することができる(画面2)。何度もファイル閲覧に失敗したり、あり得ない国・地域でのファイルアクセスがあったりするなど、ファイルが流出した可能性が考えられる場合には、ユーザーがコンテンツの利用を失効させることも可能だ(画面3)。

画面2 画面2 Azure RMS Document Trackingは、Azure RMS Premiumで保護されたファイルの使用状況をリアルタイムで把握できる
画面3 画面3 保護されたファイルの参照元(成功/拒否)を地図上で確認することもできる

 マイクロソフトでは、管理者が統合的にトラッキングできるようなサービスも検討中とのことだが、そもそもファイルは個々のユーザーが管理すべきものである。リテラシーの向上とポリシーの徹底にも活用したいところだ。

 なお、Azure RMS Premiumの全機能は、「Azure Active Directory Premium」や「Advanced Threat Analytics」「Microsoft Intune」といった製品で構成される「Microsoft Enterprise Mobility Suite(EMS)」に統合されている。EMSは、セキュリティマネジメントスイートとして安価なユーザー単位の月額料金で提供されており、高額な初期投資などは不要である。セキュリティ向上とワークスタイル変革を推進したいと考えていながらも、エンジニア不足などでRMSの導入を踏みとどまっていた組織にとっても十分検討できる状況になったといえるだろう。



Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。