 |
||
|
特集 Windows Server 2003完全ガイド 企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(1)―― 機密情報管理を強化するRights Managementの機能としくみ ―― Matt Rosoff2003/05/02 Copyright(C) 2003, Redmond Communications Inc. and Mediaselect Inc. |
||
|
|
||
| 本記事は、(株)メディアセレクトが発行する月刊誌「Directions on Microsoft日本語版」 2003年04月15日号 p.9の「Windows Server 2003特集 企業内データ保護に新技術」を許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。 |
Windows Rights Management(RM)と呼ばれる新しい技術は、組織における機密データ(ドキュメントや電子メールなど)の配布と利用の管理を支援する。Windows RMはデータを保護するためのユーザー・インターフェイスを提供したり、データ保護のための制限をユーザーに課すなどの機能を発揮するが、こうした機能の多くは、新しいサーバ・コンポーネントとクライアント・アプリケーションの組み合わせによって実現される。このため、Windows RMの成功は、その技術をMicrosoftと開発者がアプリケーションでいかに効果的にサポートするかに大きく左右される。Windows RMを用いたシステムがあまりに複雑になったり、破られやすいものになると、ユーザーが利用するものにはならないだろう。
Windows RMの要を担うのは、Rights Management Services(RMS)というサーバ・コンポーネントだ。MicrosoftはRMSをWindows Server 2003の一部と見なしているが、RMSは同OSとはリリース・スケジュールが異なり、2003年下半期に提供が開始される見通しだ。2003年夏に出荷予定のOffice 2003は、Microsoftアプリケーションとしては初めてWindows RMに対応したものになる。また同社は、サードパーティ開発者がWindows RMをサポートするためのSDKを2003年春にリリースする予定だ。
権限管理はデジタル・メディア・コンテンツから企業ドキュメントへ
権限管理(Rights Management)はDRM(Digital Rights Management)と呼ばれることもあり、一般には、デジタル・データの所有者がほかのユーザーによるデータの扱い方を規定することを指す。
これまで権限管理ソフトウェアは、主にレコード会社や映画会社などのコンテンツ制作者がデジタル・メディア・コンテンツを不正な複製や利用から守る手段として販売されてきた。例えば、コンテンツ所有者はWindows Media DRMにより、ユーザーがオーディオ/ビデオ・ファイルにアクセスできる回数を制御したり、こうしたファイルのほかのデバイスへのコピーの可否や回数制限を指定したり、特定の権限の有効期限を設定したりできる。
だが、企業や組織が電子メールや通常のビジネス・ドキュメントなど、そのほかのタイプのデータを保護するために使用できるシステムとしては、こうしたデジタル・メディア向けシステムに匹敵するものはない。WindowsのACL(アクセス制御リスト)やPKI(公開鍵基盤)システムは、ファイルの読み取りや変更を行うユーザーを制限するのに使えるが、ユーザーがファイルを開いた後に行うことを規制することはできない。例えば、ユーザーはファイルを印刷して競合他社に郵送したり、コンテンツをコピーしてほかのドキュメントやメールに含めるといったことが可能だ。また、ユーザーはOfficeファイルをパスワードで保護できるが、そのファイルへのアクセスを希望するほかのユーザー全員にパスワードを教えなければならない。これは手間のかかることであり、パスワードが傍受されるおそれもある。しかも、ユーザーがパスワードを忘れると、そのデータには2度とアクセスできなくなる。このことから、ユーザーが推測しやすいパスワードを用いたり、パスワード保護機能をまったく使わないといったことが起こる。
Windows RM(コード名:Tungsten)は、今日のデジタル・メディア所有者と同様のレベルで組織がデータを管理できるように設計されている。この技術は次のような点で、従来のアクセス制御方式よりも大幅に改善されている。
■細やかさ
個々のファイルをだれが閲覧、変更、コピー、印刷、保存、転送できるようにするか、それらの操作が可能な期間をどのように設定するかなど、組織は従来より多くのファクタを制御できる。
■永続性
データがどこにあるか、あるいはコピーがいくつ作成されるかにかかわらず、権限がデータに永続的に組み込まれる。
■フォーマット非依存
権限は任意のタイプのバイナリ・データに付加できる。例えば、特定のフォーマットのデジタル・メディア・ファイルにしか付加できないわけではない。
Microsoftは、Windows RMにはまず、行政機関や、主な資産が知的財産である企業(Microsoftは全社的にWindows RMを導入する計画だ)など、セキュリティへの関心が特に高い大規模な組織に加え、企業の特定の部門(法務、財務、人事など)からの需要があると見込んでいる。
信頼関係の定義を集中管理
企業はWindows RMを利用して、企業内の信頼できるエンティティ(ユーザー、グループ、アプリケーション、マシン)の組み合わせを規定できる。これらの信頼関係が定義されると、ユーザーはデータ・アイテム(ドキュメント、PowerPointプレゼンテーション、電子メール・メッセージなど)を暗号化し、さまざまな信頼のレベルに応じて、それらを使用する権限と条件を設定できる。例えば、企業内の弁護士は法的文書について、法務部門のスタッフに変更と印刷を許可する一方で、経営幹部には閲覧だけを許し、営業部門のスタッフには文書を開くことも認めない、といった形で設定を行うことが可能だ。
Windows RMは、RMSを集中管理型の「信頼ブローカ」サービスとして使用し、信頼関係の定義と管理を行う。RMSは、Windows Server 2003 Enterprise Editionの出荷後に、同OSのコンポーネントとして提供される。Windows RMシステム内の各PCはRMSに加え、鍵の保存、暗号化、サーバとの通信のために権限管理クライアント・ソフトウェアを必要とする。また、ユーザーが権限を設定して施行するためのRM対応アプリケーションも少なくとも1つ必要とする(これらの各コンポーネントがドキュメントの典型的なやりとりの各ステップで果たす役割については、以下の図「Windows Rights Managementのしくみ」を参照)。
 |
||||||||||||||||||
| Windows Rights Managementのしくみ | ||||||||||||||||||
|
Windows Rights Management(RM)は、暗号化とともに集中管理型の「信頼ブローカ」を使用してデータ・アイテムの使い方を制限する。 Wordドキュメントの作成者(左上)が、ほかのユーザーにドキュメントを開いて閲覧することを許可する一方、ドキュメントの変更やテキストのコピー、印刷を許可しない場合を考えてみよう。通常、Windows RMによるこうした権限管理は次のようなステップで行われる。 |
||||||||||||||||||
|
 |
| INDEX | ||
| [特集]Windows .NET Server 2003完全ガイド | ||
 |
企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(1) | |
| 企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ(2) | ||
 |
||
 |
Windows Server 2003完全ガイド |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
