2007 Office system で Information Rights Management を計画する
更新日: 2007年6月
適用対象: Office Resource Kit
トピックの最終更新日: 2007-06-21
多くの企業では、従業員の医療記録や財務記録、給与情報、個人データなどの機密情報を、情報が格納されているネットワークやコンピュータへのアクセスを制限するだけで保護しています。2007 Microsoft Office system の Information Rights Management (IRM) テクノロジを利用することで、組織やインフォメーション ワーカーは、ドキュメントやメッセージにアクセスしてそれを使用するための権限を指定することで、機密情報を電子的に管理できます。
ここでは、IRM テクノロジの概要と Office アプリケーションでのその動作方法の説明、および Office に IRM を実装するために必要なサーバーとソフトウェアのセットアップとインストールに関する詳細情報へのリンクを提供します。
IRM とは
IRM は、Microsoft が提供する永続ファイル レベルのテクノロジであり、権限と承認を使用して、許可されていない者が機密情報を印刷、転送、またはコピーするのを防ぎます。このテクノロジを使用してドキュメントやメッセージに対する権限を制限すると、その使用制限は、ファイルの内容の一部としてドキュメントや電子メール メッセージと共に移動します。
[!メモ] IRM を使用して制限された権限を含むコンテンツまたは電子メール メッセージを作成する機能は、Microsoft Office Professional Plus 2007、Microsoft Office Enterprise 2007、および Microsoft Office Ultimate 2007 の各スイートで利用できます。IRM は、スタンドアロン バージョンの Office アプリケーションでも利用できます。
2007 Office system での IRM のサポートは、企業や知識労働者が次の 2 つの基本的なニーズに対処するのに役立ちます。
機密情報に対する権限の制限
IRM を使用すると、機密情報に対する許可のないアクセスや再利用を防ぐことができます。企業が機密性の高い知的財産を保護するための手段としては、ファイアウォールや、ログオン セキュリティ関連の方法や、その他のネットワーク テクノロジがあります。これらのテクノロジを使用した場合の基本的な限界は、情報にアクセスできる正規のユーザーが、許可されていないユーザーと情報を共有できることです。そのため、セキュリティ ポリシーが侵害される可能性があります。
情報のプライバシー、制御、および整合性
インフォメーション ワーカーは、機密情報や、取り扱いに注意を要する情報を扱うことがよくあります。IRM を使用することで、機密情報が社外に漏れないことに関して、従業員は他人の良識に依存する必要がなくなります。IRM は、転送、コピー、印刷などの機能を、制限された権限によりドキュメントやメッセージにおいて無効にすることで、ユーザーが機密情報に対してこれらの機能を使用できないようにします。
情報技術 (IT) 部門の管理者は、IRM を使用することで、ドキュメントの機密性、ワークフロー、および電子メールの保持に関する既存の企業ポリシーを適用できます。CEO やセキュリティ担当重役の場合は、IRM を利用することで、事故や不注意や悪意によって企業の重要な情報が好ましくない者の手に渡るリスクが減少します。
Office system での IRM の動作原理
Office ユーザーは、リボンのオプションを使用して、メッセージまたはドキュメントに権限を適用します。たとえば、Word では、[校閲] タブの [文書の保護] コマンドを使用します。使用できる保護オプションは、組織に合わせてカスタマイズされた権限ポリシーに基づきます。権限ポリシーとは、1 つのポリシーとして適用されるようにパッケージ化した IRM 権限のグループです。2007 Office system では、転送不可のように、あらかじめ定義された権限のグループもいくつか提供されています。
RMS サーバーで IRM を使用する
組織で IRM を有効にするには、通常、Windows Server 2003 以降に対する Microsoft Windows Rights Management Services (RMS) を実行する権限管理サーバーにアクセスする必要があります。また、次の節で説明するように、Microsoft Windows Live ID を使用して権限を認証することで、IRM を使用することもできます。権限は、通常は Microsoft Active Directory ディレクトリ サービスで認証を使用することで適用します。Active Directory が実装されていない場合は、Microsoft Windows Live ID を使用して権限を認証できます。
Office をインストールしなくても、保護されたドキュメントやメッセージを読むことができます。Rights Management Internet Explorer アドオン (Microsoft から無料でダウンロードできます) を使用すると、適切なアクセス権を持つ Microsoft Windows ユーザーは、Office ソフトウェアを使用しなくても、権限が制限されている電子メール メッセージと一部のドキュメントを読むことができます。
2007 Office system では、Office アプリケーションで表示される権限ポリシーを作成できます。たとえば、社内機密という名前の権限ポリシーを定義し、そのポリシーを使用するドキュメントまたは電子メール メッセージは会社のドメイン内のユーザーだけが開くことができるように指定できます。作成できる権限ポリシーの数に制限はありません。
[!メモ] Windows SharePoint Services 3.0 は、ドキュメント ライブラリに保存されているドキュメントに対する IRM の使用をサポートしています。Windows SharePoint Services で IRM を使用することにより、ユーザーが Windows SharePoint Services 3.0 のライブラリからドキュメントを開いたときに、ドキュメントに対して実行できる操作を制御することができます。これは、クライアント コンピュータに保存されているドキュメントに適用される IRM とは対照的で、クライアント コンピュータに保存されているドキュメントの場合は、ドキュメントの所有者がドキュメントの各ユーザーに割り当てる権限を選択できます。ドキュメントライブラリでの IRM の使用の詳細については、「ドキュメント ライブラリを計画する (Windows SharePoint Services)」を参照してください。
RMS サーバーのインストールと構成の詳細については、「RMS と IRM による情報保護」を参照してください。2007 Office system での IRM の構成と権限ポリシーの作成の詳細については、「2007 Office system で Information Rights Management 権限ポリシー テンプレートを適用する」を参照してください。
ローカル RMS サーバーなしで IRM を使用する
標準的なインストールでは、Windows Server 2003 と Windows Rights Management Services により、2007 Office system で IRM 権限を使用できるようになります。RMS サーバーがユーザーと同じドメインに構成されていない場合は、Microsoft Windows Live ID が Active Directory の代わりに権限を認証できます。Windows Live ID サーバーに接続するには、インターネットにアクセスできる必要があります。
制限付きのファイルの内容にアクセスする必要のあるユーザーに権限を割り当てるときは、Windows Live ID アカウントを使用できます。認証用に Windows Live ID アカウントを使用するときは、ユーザーごとにファイルへの権限を明示的に許可する必要があります。ファイルにアクセスする権限をユーザー グループに割り当てることはできません。
Office 2007 システム用に IRM を設定する
ドキュメントまたは電子メール メッセージに IRM 権限を適用するには、次のものが必要です。
権限を認証するための Windows Server 2003 以降のサーバー用の RMS へのアクセス。代わりに、インターネットの Windows Live ID サービスを使用して認証を管理することもできます。
Rights Management (RM) クライアント ソフトウェア。
Microsoft Office 2003 または 2007 Office system。Office の特定のバージョンでのみ、IRM 権限を作成できます (前記の注意を参照)。
RMS サーバー アクセスを設定する
Windows RMS は、ライセンス、および IRM を使用して権限管理を提供する他の管理サーバー機能を管理します。Office などの RMS 対応クライアント プログラムを使用すると、権限で保護されたコンテンツを作成および表示できます。
RMS の動作原理、および RMS サーバーのインストールと構成の詳細については、「RMS と IRM による情報保護」を参照してください。この記事の内容は Office 2003 向けに書かれていますが、RMS サーバーに関する内容は 2007 Office system での IRM の実装にも関連します。RMS のリリースに関する最新の情報については、「Windows Server 2003 における Windows Rights Management Services」を参照してください。
Rights Management クライアント ソフトウェアをインストールする
IRM は Microsoft Office system に不可欠の部分ですが、Windows Server 2003 以降のサーバー用の RMS またはインターネット上の Windows Live ID と携わるためには、RMS クライアント ソフトウェアを別にインストールして構成する必要があります。
RMS テクノロジに基づいて権限を制限するアプリケーションを実行するには、Microsoft Windows Rights Management Services クライアント Service Pack 2 -x86をダウンロードしてください。
権限ポリシーを定義して展開する
Office 2003 と同じように、2007 Office system にも、ドキュメントやメッセージに適用できる定義済みの権限のグループが含まれます (転送不可など)。また、ユーザー設定の IRM 権限ポリシーを定義し、組織内のユーザーに異なる IRM 権限のパッケージを提供することもできます。Office 用の権限ポリシー テンプレートを作成する方法、およびテンプレートに含めることのできる権限の詳細については、「2007 Office system で Information Rights Management 権限ポリシー テンプレートを適用する」を参照してください。