• [アーティクル]

SharePoint の内部AD RMS によるセキュリティと法令遵守

Pav Cherny

コードのダウンロード: ChernySharePoint2009_04.exe(846 KB)

目次

情報セキュリティと使用ポリシー
SharePoint と AD RMS の統合
AD RMS ポリシー設定の上書き
AD RMS 保護対 AD RMS 保護
SharePoint 環境外でのドキュメント保護
読み取り専用アクセス許可の適用
結論

現在、組織では、財務データや個人を特定できる情報を含め、膨大な量の機密情報が SharePoint で管理されていますが、このような情報の保護は大きな問題になり得ます。SOX、HIPAA、GLBA、ISO 27000+ など、コンテンツの保存と保護に関する法令を遵守しなかった場合には、1 つの違反につき最高 1,500 万ドルもの罰金が科せられるので、多額の費用がかかります。そのため、SharePoint の遵守機能を適切に確認して使用するだけでなく、SharePoint 環境外でも使用ポリシーを適用し、法令遵守に関するドキュメントを提供することが不可欠です。

さいわい、Windows SharePoint Services (WSS) 3.0 では、Information Rights Management (IRM) フレームワークを使用して法令遵守を実施できます。さらに、Microsoft Office SharePoint Server (MOSS) 2007 には、IRM フレームワークおよび IRM と Active Directory Rights Management サービス (AD RMS) との統合を利用する Microsoft Office ドキュメント保護機能が用意されています。

ただし、IRM フレームワーク実装の詳細はわかりやすいものではありません。マイクロソフトでさえ、常に正しく説明できているわけではありません。「SharePoint 2007 の管理と保護のベスト プラクティス」と題された Web キャストでは、ドキュメント ライブラリにファイルを移動すると AD RMS の暗号化が自動的に適用されると主張しています。また、AD RMS 対応ライブラリで提供されるコンテンツの保護機能は Microsoft Office Word 使用時の保護と同じで、AD RMS ポリシーはそのドキュメントがどこに移動されても常に適用されるとも説明しています。

しかし、現実はもっと複雑です。IRM フレームワークの誤った理解が、顧客組織において非効率的なセキュリティ ソリューションや法令違反につながることになりかねないため、正しく理解することが重要です。

このコラムでは、SharePoint と AD RMS の統合について、特に SharePoint を基盤としたセキュリティと法令遵守ソリューションを設計し、実装する場合に考慮が必要な問題を中心に説明します。まず、AD RMS 自体と、SharePoint と AD RMS の統合についての違いを説明し、SharePoint と AD RMS の統合では、まず SharePoint 環境をセキュリティで保護する必要があることをテスト環境を使用して具体的に説明します。

その後は、セキュリティや法令遵守のソリューションとそのドキュメントでの対応を推奨するユーザビリティの問題を取り上げます。このコラムでは、既に AD RMS と MOSS が展開されていることを前提にしています。この運用環境への展開については、「Microsoft Office SharePoint Server 2007 を伴う AD RMS 展開のステップ バイ ステップ ガイド」で非常に詳しく説明されているので、詳細については、こちらを参照してください。このガイドに付け加えることはありませんが、このコラムではテスト環境用のワークシートのみ別途用意しました。

また、次回のコラムでは、Microsoft Office 2007 と MOSS 2007 の AD RMS の運用前階層への展開について説明します (この展開については、WSS SDK と AD RMS SDK のどちらでも取り上げられていません)。演習としてもおもしろいものですし、IRM フレームワーク アーキテクチャを詳細に確認する絶好の機会です。

ひとまず今回は、SharePoint ドキュメントで詳しく取り上げられていない、基本的なセキュリティ、法令遵守、およびユーザビリティの問題について見ていきましょう。TechNet Magazine 4 月号の付属リソースには、ワークシート、コンパイル済みのツール、およびソース コードが含まれています。また、いつものことですが、付属リソースは、説明とテストを目的としたものであり、運用環境での使用を想定していませんので、ご注意ください。

情報セキュリティと使用ポリシー

コピーや複製を無効にするオプション、ドキュメントの有効期限など、AD RMS の驚くべきドキュメント保護機能のデモを行わずに、AD RMS の入門編を終えることはできません。これらの機能がセキュリティ機能とみなされないことは、めったにありません。

印刷コマンドが無効にされていれば、そのドキュメントを印刷したものをユーザーが競合相手に提供することはないと結論付けるのは当然ではないでしょうか。また、ドキュメントを転送できず、権限のないユーザーがそのドキュメントを開けなければ、そのドキュメントの情報が不当に開示されることはないと考えるでしょう。

しかし、残念ながら、実際はそうではありません。仮想化テクノロジ、デスクトップ テクノロジ、サードパーティ製のスクリーン キャプチャ ソリューション、携帯電話のカメラなど、ドキュメントの有効期限が切れた後でも、印刷、転送、閲覧目的でドキュメントを画像に収めることができるツールをすべて排除する必要があります (保護ドキュメントの実情を示す図 2 を参照してください)。また、好きな場所で保護ドキュメントを開き、権限のない人にその内容を開示できる Windows ベースのポータブル コンピュータや Windows Mobile デバイスも、すべて排除する必要があるでしょう。

前述のドキュメント保護機能は情報セキュリティを確保するうえで役に立たないことは明白ですが、従業員が有効期限が切れたドキュメントの古い情報に基づいて業務を進めるリスクを緩和するなど、使用ポリシーの実装には役に立ちます。当初、デジタル著作権管理 (DRM) は、正当な所有者が知的財産から収益を得るために不正コピーの作成を防ぐことを目的としていましたが、現在では法令遵守を適用する目的で利用されるようになっています。

もちろん、AD RMS では、高度暗号化標準 (AES) と Electronic Code Book (ECB) 暗号化を使用してコンテンツを暗号化することで、使用ポリシーを適用する以上の処理を行います。コンテンツを暗号化するために、AD RMS では、128 ビット AES コンテンツ対称キーを生成します。さらに、このキーは、AD RMS サーバーのサーバー ライセンサ証明書 (SLC) から取得した公開キーを使用して暗号化されます。

SLC とサーバーの暗号化キーは、AD RMS を Active Directory フォレストにインストールするときに生成されます。次に、AD RMS では、暗号化キーを指定されたドキュメント保護設定と併せて発行ライセンスに埋め込み、さらに、所有者のクライアント ライセンサ証明書 (CLC) の秘密キーを使用して、この発行ライセンスに署名します。CLC では、ユーザーのコンテンツ公開の権利を定義します (CLC は、ユーザーが初めて AD RMS 保護ドキュメントを作成するときに、ユーザーのライセンス認証プロセスの一環として作成されます)。AD RMS 対応アプリケーションで、発行ライセンスを暗号化されたコンテンツに添付すると、コンテンツの保護が完了します。AD RMS 保護ドキュメントのコンテンツの構造は、アプリケーションによって異なります。図 1 は、AD RMS SDK で説明されている Internet Explorer の AD RMS アドオンのコンテナ形式です。

fig01.gif

図 1 複合ファイル バイナリ形式 (CFBF) の AD RMS 保護ドキュメントの構造

このコンテンツにユーザーがアクセスするには、保護ドキュメントを開き、署名済みの発行ライセンスを抽出して、このライセンスと自分の RMS アカウント証明書 (RAC) を AD RMS サーバーにアップロードして、ドキュメントの使用ライセンス (UL) をダウンロードする必要があります。なお、UL はエンド ユーザー ライセンス (EUL) とも呼ばれます。RAC は電子メール アドレスまたはセキュリティ識別子でユーザーを識別するもので、Security Process Certificate (SPC) の規定に従ってローカル コンピュータのマシン キーを使用して暗号化されたユーザーの暗号化キーを保持しています。AD RMS サーバーから返された UL には、ユーザーの RAC から取得したユーザーの公開キーを使用して、AD RMS サーバーで暗号化されたコンテンツ キーが含まれています。この時点で、ユーザーは自分の RAC 秘密キーを使用してコンテンツ キーの暗号化を解除し、ようやく保護ドキュメントのコンテンツを解読できるようになります。

ご覧のように、このプロセスでは多数のキー、ライセンス、および証明書が使用されます。アプリケーションで保護ドキュメントに UL も添付して、ユーザーが AD RMS サーバーから再度 UL を取得しないで済むようにすることもできます。この動作は AD RMS ポリシー設定で変更できます。また、ドキュメントを開くたびに UL を取得することを条件付けたり、UL の有効期間を定義して現行の UL の期限が切れたときには新しい UL を取得するようにしたりすることもできます。詳細については、AD RMS SDK を参照してください。この SDK は、開発者でない方にとっても非常に有益な情報源です。

SharePoint のセキュリティ アーキテクトや管理者にとっては、この SDK で詳細に説明されている AD RMS の実装について特筆すべき事実が少なくとも 3 つあります。1 つ目は、AD RMS の保護はエンド ツー エンドの保護だということです。つまり、ドキュメントをどこに移動しても保護は適用されます (これは AD RMS についての話で、SharePoint と AD RMS 統合の話ではないことに注意してください)。したがって、AD RMS 保護ドキュメントは、Windows BitLocker ドライブや暗号化されていないドライブに保存してもかまいません。また、Everyone に読み取りアクセスを許可しているファイル共有に置くことも、SharePoint ドキュメント ライブラリにアップロードすることも、社外の権限のないユーザーに送信することもできます。この際、コンテンツは、ドキュメント所有者からドキュメントを受け取るユーザーに渡るまで、一貫してエンド ツー エンドで保護されます。

2 つ目は、AD RMS 保護ドキュメントでは、エンド ユーザーが少なくとも 1 回は UL を AD RMS サーバーから取得する必要があることです。AD RMS サーバーですべてのライセンス関連の操作をログに記録することで、どのユーザーがドキュメントを開いたか、そしておそらくより重要なことですが、どのユーザーがアクセスを試みて失敗したかを確実に追跡できます。

ログ記録は Windows Server 2008 の AD RMS の新機能ですが、.NET や SQL Server のレポート テクノロジを基に、ログ情報を調査のために自動処理するセキュリティ アナリスト向けのツールを作成できるため、非常に便利です。もちろん、要求や証明書情報はすべて、AD RMS 管理コンソールから直接参照することもできます。

3 つ目は、AD RMS ベースのドキュメント保護は暗号化に依存しているということです。これは、言うまでもないことかもしれませんが非常に重要な点です。ドキュメントを暗号化しなければ、情報セキュリティを確保することはできません。保護ドキュメントの暗号化を解除して、暗号化されていない形式で保存するツールを作成した場合、AD RMS のエンド ツー エンドのセキュリティは成立しません。

権限のないユーザーが暗号化されていないコピーを取得しないことは保証されるのか、という懸念事項がありますが、マイクロソフトでは、開発者にマイクロソフトと Production License Agreement を締結し、運用許可証明書を取得することを義務付けることで、このリスクを緩和しています。運用許可証明書により、AD RMS アプリケーションが AD RMS 運用許可証明書階層に登録されます。この証明書は、特に、アプリケーションのプロセス空間にシステムが読み込めるモジュールを指定して、メモリ内の暗号化されていないデータを保護します。これは、実際に有効です。マイクロソフトによると、AD RMS セキュリティは侵害されたことがないそうです。

SharePoint と AD RMS の統合

上記の AD RMS に関する事実を踏まえて、今度は SharePoint と AD RMS の統合について説明しましょう。まず、マイクロソフトはあらゆる関連製品ドキュメントの中で、AD RMS 対応のドキュメント ライブラリではコンテンツ アイテムが暗号化されずに格納されるということを明示している点を強調しておきましょう。したがって、アイテムを AD RMS 対応ドキュメント ライブラリに移動しても、一括で暗号化が適用されるわけではありません。さらに重要なことは、アイテムが暗号化されていないため、SharePoint 環境内では AD RMS 保護もセキュリティ強化も得られないということです。

SharePoint の管理者とユーザーはどちらも、AD RMS のエンド ツー エンドのセキュリティが適用されていると考えているかもしれませんが、SharePoint と AD RMS の統合では全面的に SharePoint のセキュリティに依存しています。WSS 3.0 SDK の「Windows SharePoint Services における Information Rights Management の概要」によると、ユーザーからの要望により、権限が管理された暗号化形式でアイテムを格納しないようにされているとのことです。

図 2 をご覧ください。この図では、権限のないユーザーが直接コンテンツ データベースにアクセスできるという、セキュリティで保護されていない SharePoint 環境内の IRM フレームワーク アーキテクチャを示しています。最も重要な点は、統合されたドキュメント保護機能により、ユーザーが SharePoint からドキュメントをダウンロードするときに、AD RMS 保護が動的に適用されることです。つまり、ユーザーは、保護されていないコンテンツ アイテムを AD RMS 保護ドキュメントとして扱います。ただし、変更をアップロードすると、SharePoint によって AD RMS 保護は再び解除されます。

fig02.gif

図 2 実際は AD RMS で保護されていないコンテンツ アイテムである AD RMS 保護ドキュメント

この暗号化の動作は、確実にセキュリティと法令遵守要件に適合していることが重要です。たとえば、AD RMS 対応のドキュメント ライブラリで人事に関する機密ドキュメントを管理していて、人事部に、SQL Server と SharePoint ファームの全管理者だけでなく外部の SharePoint 開発者も、暗号化されていないコンテンツに無制限にアクセスできることを通知しなかった場合を考えてみてください。ソリューション設計や法令遵守ドキュメントにおいては、この問題を検討する必要があります。たとえば、人事部の管理者のみが管理する専用の SQL Server インスタンスと SharePoint ファームを展開する必要があるかもしれません。

セキュリティと法令遵守のソリューションを設計するときは、SharePoint と AD RMS の統合により、SharePoint 環境の保護が不要になるわけではないことに留意してください (詳細については、「Office SharePoint Server のセキュリティに関するガイド」および「Windows SharePoint Services のセキュリティ アカウントに関する要件が記載されたワークシート」を参照してください)。セキュリティ アカウントとパスワードを保護せず、疑わしいソースから提供された未検証のコードを展開したり、SharePoint サーバー上でサーバー側スクリプトを有効にしたりした場合、IRM フレームワークと AD RMS 統合では、権限のないユーザーがコンテンツ アイテムにアクセスできるようになると、その後の操作に対する保護を提供することはできません。これについては、1 月号のコラム「SharePoint のセキュリティ アカウント」で説明しました。

4 月号の付属リソースで提供している 2 つの Web パーツとワークシートを確認してください。ワークシートでは、どのようにして問題のある Web パーツによってセキュリティと法令遵守のソリューションが無効になるかを説明しています。1 つの Web パーツでは、SharePoint オブジェクト モデルを使用して適切な方法でドキュメントをダウンロードします。もう 1 つの Web パーツでは、より簡易なアクセスが提供され、アプリケーション プール アカウントのセキュリティ コンテキストから直接 SharePoint コンテンツ データベースにアクセスできます。

実際に検証できますが、2 つ目の Web パーツでは、SharePoint の権限や AD RMS の設定にかかわらず、ユーザーには、サイト コレクション内のすべてのドキュメント ライブラリに対してフル アクセスが許可されます。したがって、SharePoint 開発者が、規則に違反して簡易なアクセスを実装することがないようにしてください。また、コンテンツ データベースに対して直接プログラミングをせず、このような処理を行う問題のあるコンポーネントが運用サーバーに展開されないようにします。

AD RMS ポリシー設定の上書き

法令遵守のソリューションとドキュメントで対応する必要がある別の重要な問題は、AD RMS 対応のドキュメント ライブラリ内でのコンテンツ保護は、ドキュメント ライブラリ外で Microsoft Office Word を使用して作業する場合に動作が異なるということです。図 3 と付属リソースのワークシート「Specifying AD RMS Permissions in Microsoft Office Word inside and outside of Document Libraries」を参照してください。

fig03.gif

図 3 ドキュメント ライブラリのポリシーが所有者のポリシーを上書き

このワークシートからは、AD RMS 対応ドキュメント ライブラリでは、AD RMS ポリシー設定とドキュメントの所有者が指定したユーザーの承認情報が維持されないことがわかります。これは、SharePoint がアップロード時にドキュメントの暗号化を解除し、その結果、所有者のポリシー定義が SharePoint 環境に引き継がれなかったことに起因します。次にユーザーがドキュメントをダウンロードすると、SharePoint では、ドキュメント ライブラリに定義されている AD RMS ポリシー設定と、SharePoint でのそのユーザーの権限を適用します (図 3 参照)。

SharePoint では、権限の管理特権を持つユーザーしか、ドキュメントの AD RMS 権限を変更できないため、基本的に、この問題の影響を受けるのは、サイトの管理者です。サイト メンバはこれに該当しません。AD RMS の権限は、サイト管理者にとってはわかりにくく、意図せず機密情報が権限のない SharePoint ユーザーに開示される可能性があります。AD RMS 対応ドキュメント ライブラリを使用する場合は、Office アプリケーションを使用して変更した AD RMS ドキュメントの設定は維持されないことを、サイト管理者とマネージャが理解するようにする必要があります。IRM フレームワークにおける SharePoint 権限と AD RMS ドキュメント権限の対応付けの詳細については、WSS SDK の「Windows SharePoint Services における Information Rights Management の概要」を参照してください。

AD RMS 保護対 AD RMS 保護

ポリシーの上書きの問題は、SharePoint 環境外で作成された AD RMS 保護ドキュメントと SharePoint 環境内で作成された AD RMS 保護ドキュメントのわずかな違いが根本的な原因であるため、これを管理者やマネージャーに説明するのは容易ではありません。前者は AD RMS 対応のドキュメント ライブラリにアップロードされてもポリシーが維持されますが、後者では維持されません。この違いは、AD RMS のエンド ツー エンドのセキュリティにより、前者の場合、SharePoint 環境外で作成されたドキュメントの暗号化を SharePoint が解除できないためです。

fig04.gif

図 4 アプリケーション プール アカウントにフル コントロールがあることを確認

アップロード時に暗号化が解除されるには、サイトのアプリケーション プール アカウントに、ドキュメント所有者としてフル コントロール権限が付与されている必要があります。SharePoint では、AD RMS 対応のドキュメント ライブラリで [新規作成] ボタンをクリックしたときに、ダウンロードするドキュメント テンプレートに、このアプリケーション プール アカウントが追加されます。ドキュメント所有者は、アプリケーション プール アカウントにフル コントロールが付与されているかどうかを確認できます。それには、Word 2007 の [アクセス許可] ダイアログ ボックスで [その他のオプション] ボタンをクリックして AD RMS の詳細オプションを表示します (図 4 参照)。

また、法令遵守ドキュメントには、ドキュメントに対するアクセス許可があるユーザーと、SharePoint のコンテンツ アイテムへのアクセス許可があるユーザーは同じではないことを必ず明記してください。SharePoint では、現在のユーザーのアクセス許可とサイトのアプリケーション プール アカウント AD RMS ドキュメントのアクセス許可のみが、ダウンロード時に付与されます。

この方法を使用する利点は、SharePoint ユーザーがダウンロードしたドキュメントを SharePoint 環境外で他のユーザーと共有できないことです。一方、欠点は、ドキュメント所有者が、AD RMS の保護が実際よりも厳格なものであると誤解する可能性があることです。図 4 の例では、SPAdmin アカウントと ITUser アカウントのどちらもドキュメントにアクセスできますが、ドキュメントのアクセス許可からはこの事実がわかりません。さいわい、ドキュメントのアクセス許可を表示できるのはサイト管理者とマネージャに限られているので、サイト メンバが、ドキュメントに対してアクセス許可があるユーザーの一覧を表示することはありません。

SharePoint 環境外でのドキュメント保護

SharePoint での SharePoint のアクセス許可と AD RMS ドキュメントのアクセス許可の対応付けに慣れるには少し時間がかかるかもしれません。ただし、アプリケーション プール アカウントの ID を使用して、AD RMS 対応ライブラリからダウンロードしたドキュメントを開けない点については、すぐにその便利さを実感できるでしょう。これは、とてもすばらしい機能です。

図 4 では、WssDefaultSite がアプリケーション プール アカウントです。このアカウントにはフル コントロールアクセス許可がありますが、ドキュメントを開くことはできません。したがって、権限のないユーザーがアプリケーション プール アカウントのログイン名とパスワードを推測できたとしても、コンテンツ データベースへの直接アクセスを禁止し、どのドキュメントにも SharePoint からしかアクセスできないようにして、SharePoint により AD RMS 保護が適用されるようにしている限り、コンテンツにアクセスすることはできません (図 5 参照)。

fig05.gif

図 5 アプリケーション プール アカウントでは AD RMS 保護ドキュメントを開けない

付属リソースのワークシート「Examining Content Item Security in an AD RMS Enabled Document Library」を参照してください。このワークシートでは、GetDocument ツールの使用方法を説明しています (このツールも、付属リソースに含まれています)。GetDocument.exe は Author.dll を介して FrontPage RPC を使用し、Microsoft Office Word に近い方法で、ユーザーのデスクトップにドキュメントをダウンロードします。このツールを使用すると、どのような方法でドキュメントをダウンロードしても、SharePoint により AD RMS 保護が適用されることを確認できます (また、このツールを使用すると、ダウンロードした各ドキュメントに異なるアカウント情報を簡単に指定できます)。

アプリケーション プール アカウントでは、アカウントにフル コントロール アクセス許可が付与されていますが、電子メール アドレスがないため、ドキュメントにアクセスできません。Microsoft Exchange Server を使用している場合は、通常、ユーザー アカウントには有効な電子メール アドレスが設定されていますが、Exchange Server を使用していない場合は、手動か Ldifde.exe などのツールを使用して mail 属性を設定する必要があります。ただし、アプリケーション プール アカウントでは、電子メールを有効にする必要はありません。

SharePoint では、AD RMS 保護をサーバーに適用するときに、アプリケーション プール アカウントのセキュリティ識別子を使用します。一方、Word 2007 などの AD RMS クライアント アプリケーションでは、mail 属性を使用して AD RMS アクセス許可をユーザーに関連付けています。mail 属性がない場合は、AD RMS アクセス許可を付与する属性がないことになるので、そのアカウントではドキュメントを開けません。

読み取り専用アクセス許可の適用

SharePoint 環境外でドキュメントを共有できないことで、ワークフロー デザイナは、コラボレーション プロセスをより柔軟に制御できるようになります。しかし、さらに魅力的なのは、SharePoint 環境外でドキュメントの読み取り専用アクセス許可を適用できることです。

SharePoint では、既定で、リスト アイテムの表示アクセス許可しかないサイトの訪問者やユーザーによるドキュメントのアップロードは阻止されますが、このようなユーザーがダウンロードしたドキュメントを変更し、電子メール メッセージなど別の手段を使用して配布することを防ぐことはできません。しかし、SharePoint と AD RMS の統合により、この問題を解消できます。リスト アイテムの表示アクセス許可しかないユーザーには AD RMS 読み取りアクセス許可が付与されますが、これにはドキュメント コンテンツのコピーまたは編集アクセス許可は含まれません (図 6 参照)。SharePoint 環境内と環境外のどちらでも、読み取り専用のドキュメントは読み取り専用のままです。

fig06.gif

図 6 ダウンロード後も読み取り専用の状態が維持される AD RMS 保護ドキュメント

これは、SharePoint と AD RMS の統合の最大の利点の 1 つでしょう。これにより、定型ドキュメントの管理リポジトリの実装が可能になるためです。ビジネス リスクの削減とは、まさにこのことです。SharePoint のリスト アイテムの編集アクセス許可を法務部に付与し、それ以外の部門にリスト アイテムの表示アクセス許可を付与することで、偽造、改変、または古い定型文書が社内を流通することがなくなります。ただし、従業員が契約文書を印刷できるように、AD RMS 関連ライブラリの設定でドキュメントの印刷を許可することはお忘れなく。

結論

SharePoint と AD RMS の統合は、SharePoint 環境の外部にセキュリティと法令遵守ソリューションを拡張できる便利な機能です。このテクノロジを使用することで、ダウンロード後もドキュメントに対して使用ポリシーを適用して、情報セキュリティを確保できます。ただし、IRM フレームワークと AD RMS の統合によって、SharePoint 環境内のセキュリティが強化されるわけではないことに留意してください。依然として、適切な SharePoint アクセス制御を適用し、セキュリティ アカウントを保護する必要はあります。また、アプリケーション プール、コンテンツ データベース、SQL Server インスタンス、および SharePoint サーバーを適切に構成し、問題のあるコンポーネントや未検証のコードを運用サーバーに配置しないことが非常に重要であることについても同様です。

IRM フレームワークは、間違いなく評価する価値があるものです。もちろん、現在の実装では改善が必要な箇所や特定の制限が目に付くと思います。しかし、それらの問題により、この IRM フレームワークの価値が否定されるのではなく、むしろ、さまざまな要件や機会が潜む膨大な分野に対応できることが強く示されています。マイクロソフトによると、AD RMS の将来のバージョンでは、より詳細な設定と制御が可能になるとのことで、これは SharePoint との統合にも当然影響するでしょう。

アクセス許可のマッピングをより柔軟に制御できたり、ダウンロード日を基準に有効期限を設定できると便利でしょう。また、ドキュメント ライブラリごとに独立してドキュメント保護機能を構成できる機能があったり、ドキュメント保護機能とドキュメント パーサーを連携して、インデックスやプロパティの共有機能は維持したまま、ドキュメントの暗号化解除を無効にできたら便利でしょう。このように追加してほしい機能はたくさんありますが、現在の実装は間違いなく正しい方向へ踏み出された 1 歩であり、SharePoint を使用していて、コンテンツの保管や保護に関する法令を遵守する必要がある組織にとっては非常に魅力的なものです。

唯一の懸念事項は、WSS 3.0 を使用している場合、既定の設定では AD RMS との統合を利用できないことです。これは、Microsoft Office ドキュメント保護機能が MOSS 2007 にしか同梱されていないためですが、がっかりしないでください。次回のコラムでは、WSS 3.0 を拡張して IRM フレームワークと AD RMS を基盤とした Office ドキュメント保護を実現する方法を説明します。しかも、この方法は開発スキルを必要としません。また、運用前の環境を展開してこのテクノロジの基本を説明します。この環境は、独自の AD RMS ベースの Office や SharePoint ソリューションを展開する場合、セキュリティと法令遵守要件に対応するために他の開発者から無償で提供されたソリューションで、WSS 3.0 と MOSS 2007 に組み込まれている標準機能以外の機能をコンパイルする場合に便利です。次回のコラムにご期待ください。

Pav Cherny は、主にコラボレーションとユニファイド コミュニケーションに関するマイクロソフト テクノロジを扱う IT 専門家であり、IT 関連書籍の執筆も行っています。これまでに、IT の運用とシステム管理についてのホワイト ペーパー、製品マニュアル、書籍などを執筆してきました。Pav は、ドキュメント管理とローカライズ サービスの専門企業 Biblioso Corporation の代表取締役です。