• [アーティクル]

デスクトップ ファイル企業権利管理によるデータ損失防止

Wes Miller

目次

データ損失の防止について考える
権利管理の構成要素
しくみ
落とし穴はどこにあるか
資産を保護しているか

私は、本業として、ホワイトリストへの登録を行うアプリケーションを作成する会社で働いています。このようなアプリケーションは、コンピュータを保護する標準的なセキュリティ手法を根本的に覆すものです。今月ご説明しようと思っているセキュリティ手法がもう 1 つあります (おそらくこれも標準的な手法ではありません)。それは企業権利管理です。また、これが機密情報を真に保護する唯一の方法である理由についても説明しようと思っています。

私は、サンフランシスコで開催された今年の RSA Conference で、各ベンダが提供している製品を比較しながら展示会場を歩いていたのですが、正直なところ、困惑しました。ごく少数の例外はありましたが、展示会場に出展していたベンダが販売していたのは、(事前対応型ではなく) 事後対応型のセキュリティ ソリューションだったのです。説明しましょう。建物を建設する場合は、ドアや窓に錠を付けてその建物の安全性を確保します。安全性をさらに高めたい場合は、警報システムを設置します。さらに高めたい場合は、フェンスを追加します。建物の安全性を確保するために、錠、警報、およびフェンスを設置することなく単に見回りの警備員を 1 ~ 2 人雇うなどということはありません。警備員を雇っただけでは、何も保護することはできません。

関連リソース

2007 Microsoft Office system の Information Rights Management

office.microsoft.com/en-us/help/HA101029181033.aspx

Windows SharePoint Services の Information Rights Management

msdn.microsoft.com/library/ms458245

Windows Rights Management Services

microsoft.com/windowsserver2003/technologies/rightsmgmt

Windows Server 2003 Rights Management Services

technet2.microsoft.com/windowsserver/en/technologies/featured/rms/default.mspx

RMS: 資産の保護

blogs.technet.com/rmssupp/default.aspx

Windows Rights Management Services パートナー

microsoft.com/windowsserver2003/partners/rmspartners.mspx

データ損失の防止について考える

より現実的な例を紹介します。私は、(外部からの脅威に関する懸念を払拭した後で) 多くの顧客に、会社から情報が漏洩するのを防ぐために USB ポートをブロックすることについてたずねられてきました。しかし実際のところ、データの流出をポート自体で阻止しようとしても、データ損失の防止にはまったくなりません。それは、建物をまったく安全でない状態にしたままで警備員を雇うようなものです。確かにその警備員はいい人かもしれませんが、すべての入り口や出口を守ることは現実的に不可能です。結局、どちらのシナリオでも、目的に合わない対処法を使おうとしています。

ポートへのアクセスのブロック (および UNC 共有をスキャンまたはセキュリティ保護したり、ステートフルなパケット検査や他の種類の検査を行ったりするのに役立つことを目的としたその他の対処法すべて) に関する問題点は、事後対応型だということです。これらの対処法はすべて、データが組織から出ていくときにデータの流出を食い止めようとするものです。しかし、通常、その時点では手遅れです。

これについて考えると、マイクロソフトで以前よく発生していた状況を思い出します (皆さんにとってもきっとお馴染みの状況だと思います)。まだ Microsoft Office に Information Rights Management (IRM) が導入されたり、Windows に Rights Management Services (RMS) が導入されたりしていなかった時代には、興味深い電子メールはすべて、明確に機密とマークされていても、終業時間までには報道機関に転送されてしまっていました。残念ながら、ポリシーも、厳しい叱責も、パケット検査も、共有のセキュリティも、そして解雇の脅威でさえ、その程度の効力しかありません。より強力な何かが必要です。そしてその "何か" は、Office コンテンツを保護するのに役立つマイクロソフトの権利管理テクノロジかもしれません。私は最初に IRM と RMS のファンになりました。単に監査、監視、または準拠のためのテクノロジとしてではなくセキュリティ ソリューションとして、IRM と RMS に一目置くようになったためです。

Office コンテンツの保護において、IRM と RMS が通常のパスワード保護よりも優れている点は何でしょうか。

  • Office ドキュメントで使用されているパスワード保護を脅かす可能性がある力ずくの方法が存在します。
  • パスワードで保護されている通常のコンテンツは、IRM と RMS で保護されているドキュメントと同じ方法で暗号化されているわけではありません。
  • IRM と RMS は連携して、Windows の最下層でコンテンツを保護します。
  • IRM と RMS を使用すると、非常にきめ細かいアクセス制御を使用してコンテンツを保護することができます。このようなアクセス制御は、Active Directory アカウントに割り当てられます。

では、IRM と RMS とは一体どのようなものなのでしょうか。IRM と RMS (当初は Microsoft Office 2003 に同梱されていました) を使用すると、ドキュメントを暗号化したりコンテンツ自体へのアクセスを制御したりすることによって、Office ドキュメントに格納された知的財産を保護することができます (Internet Explorer 経由で Microsoft Outlook、Outlook Mobile Access、および Outlook Web Access から電子メールを読む場合を含みます)。

.msg ファイル (他の電子メール メッセージに添付されることが多い電子メール メッセージ) は暗号化できませんが、ほとんどの種類の Office ドキュメント (新しい XML ベースのドキュメントや電子メールを含む) は暗号化できます (IRM で管理できるファイルの種類の完全な一覧については、office.microsoft.com/en-us/help/HA101029181033.aspx を参照してください)。ドキュメントの作成者によって承認されたユーザーがドキュメントを開くまで、そのドキュメントの暗号化は解除されません。

IRM は基本的に、RMS 対応のアプリケーションを通じて公開される、権利管理のフロント エンドであり、RMS はバック エンドです。RMS サーバーには、ユーザーに与えられた権限を特定したり、こうしたユーザーの資格情報を検証したりするのに使用される情報が格納されます。RMS 対応のアプリケーションで IRM コンポーネントを使用すると、こうした権限の設定や管理を行うことができます。IRM と RMS を併用すると、承認されたユーザーは、(割り当てられた権限に応じて) ドキュメントの読み取りや変更を行ったり、ドキュメントに対して編集のフル コントロールを行使したりすることができます。

承認されたユーザーが、Office アプリケーションを使用して、IRM で保護されているコンテンツを開くと、コンテンツの暗号化が解除され、コンテンツはアプリケーション内で読み取りおよび編集できるようになります。IRM と RMS は情報をセキュリティ保護するための機能を提供しますが、情報を漏洩させることに全力を注いでいるユーザーが情報を漏洩させる可能性が常にあることに注意してください。ユーザーが "アナログの落とし穴" (デジタル カメラや他の画面キャプチャ ソフトウェア、重要な情報の手動での再入力など) を利用することに決めた場合、IRM が情報保護のためにできることはほとんどありません。しかし、ほとんどのシナリオでは、IRM はかなり強力なセキュリティとなります。

権利管理の構成要素

マイクロソフトの権利管理ソリューションは 4 つのコンポーネントから構成されます。これらについては、この記事で詳しく説明します。また、RMS SDK と便利な RMS Toolkit についても簡単に説明します。1 つ目は組み込みコンポーネントで、その他のコンポーネントは microsoft.com/windowsserver2003/technologies/rightsmgmt からダウンロードできます。

Information Rights Management Microsoft Office 2003 や 2007 Office system (および Windows Mobile 6x で提供されるモバイル バージョンの Outlook、Excel、Word、PowerPoint) に組み込まれているコンポーネントです。ユーザーはこれを使用して、Word 文書、Excel ブック、PowerPoint プレゼンテーション、InfoPath フォーム、Outlook 電子メール メッセージ、および XML Paper Specification (.xps) ファイルへのアクセス許可を割り当てることができます。また、そうすることによって、こうしたファイルの受信者による転送、コピー、内容変更、印刷、FAX での送付、切り取りと貼り付け、および Print Screen キーの使用を許可または阻止することができます。アクセス許可は、ユーザー単位やドキュメント単位に設定することができます。

Active Directory 環境では、グループにアクセス許可を設定することもでき、組織で Microsoft Office SharePoint Server 2007 を使用している場合は、ライブラリにアクセス許可を設定することができます (厳密に言うと、コンテンツは SharePoint に保存されるときに暗号化解除され、ユーザーに提供されるときに再び暗号化されます)。ドキュメントがいつ送信されたかやどこに送信されたかにかかわらず、IRM のアクセス許可は、期限切れに設定されない限り、ドキュメントに設定されたままとなります。

Apple Macintosh 用のバージョンの Office では IRM は提供されていませんが、Mac ユーザーが RMS で保護されているコンテンツを利用する方法はあります。詳細については、来月のコラムでご説明します。

Rights Management Services (サーバー) これは Windows Server 2003 で使用できます。また、Windows Server 2008 で使用できる役割でもあります。RMS サーバーは、マイクロソフトの企業権利管理の中核です。信頼できるエンティティ (ユーザー、クライアント コンピュータ、およびサーバー) の認定、使用権限や使用条件の定義と公開、サーバーやユーザーの登録、および保護されている情報へのアクセスの承認を行います。また、承認されたユーザーが権利保護されている情報にアクセスするために必要な、管理上の役割を提供します。

図 1 は、Windows Server 2008 システムに RMS の役割をインストールするために使用するサーバー マネージャ画面を示しています。RMS には多くの依存関係がありますが、このウィザードを使用すると、RMS の役割のインストール処理の全過程を実行することができ、依存関係がすべてインストールされます。

fig01.gif

図 1 Rights Management Services サーバーの役割の選択 (画像をクリックすると拡大表示されます)

(Windows Server 2003 または Windows Server 2008 で) RMS サーバーの役割を使用するには、サーバー システムに以下のものが必要です。

  • Microsoft メッセージ キュー サーバー (MSMQ)
  • ASP.NET が有効になっている IIS
  • Active Directory
  • SQL Server Enterprise Edition (運用環境の場合)、Microsoft SQL Desktop Engine (MSDE)、または SQL Server Express (テスト環境の場合はこれで問題なし)

前述のとおり、これらのコンポーネントがまったくインストールされていなくても、Windows Server 2008 へのインストール中にこれらが構成されます。運用環境での実装の場合は、RMS がクライアントとサーバーとの間のセキュリティを適切に維持できるように、サーバー用の有効な SSL デジタル証明書が必要になるでしょう。しかし、テストの場合、RMS は、役割のインストールの一環としてインストールされるテスト証明書を提供することができます。図 2 は、Windows Server 2008 で実行した場合の RMS コンソールがどのようなものかを示しています。

fig02.gif

図 2 RMS コンソール (画像をクリックすると拡大表示されます)

Rights Management Services (クライアント) RMS 対応のアプリケーションは、これを使用することにより、RMS サーバーと連携して、権利保護されているコンテンツの発行および使用を可能にします。このクライアントは Windows Vista と Windows Server 2008 に組み込まれています。それより前のバージョンの Windows では、このクライアントをダウンロードおよびインストールすると RMS 機能が提供されます。

実際に企業で展開する場合、皆さんはおそらく、ユーザーに手動で展開させるのではなく、新しいシステム、グループ ポリシー、または System Center Configuration Manager (SCCM) を使用して RMS クライアントを展開したいと考えるでしょう。

Rights Management Internet Explorer アドオン Internet Explorer 6.0 以降では、これを使用すると、権利保護されているコンテンツを Internet Explorer で表示できます。

RMS SDK 開発者は、これに付属する SOAP ベースの Rights Management Services API を使用して、独自のカスタム コンテンツを保護できる独自のアプリケーションをビルドすることができます。

RMS Toolkit おそらく皆さんも私と同様に、RMS Toolkit が各自の RMS インフラストラクチャの展開やトラブルシューティングに非常に役立つと感じるでしょう。RMS Toolkit には、RMS システムが期待どおりに機能していることを確認するのに役立つ便利なプログラムがいくつも含まれています。RMS Toolkit は実際のところ RMS の一部ではないので、マイクロソフトが公式にサポートしているものではないことに注意してください。

しくみ

RMS を使用してドキュメントを保護する場合 (Word 2007 の場合は [校閲] タブの [文書の保護] をクリックし、Excel 2007 の場合は [校閲] タブの [ブックの保護] をクリックしてこれを行います)、ドキュメントの作成者として使用するアカウント (ドキュメントに対する所有者特権を持つアカウント) を指定する必要があります。これには試用版の Windows Live アカウント (実際の運用システムで使用するのは望ましくない場合もあります) を使用することもできますが、Active Directory アカウントを使用するのが理想的です。

アカウントを認証したら (図 3 参照)、そのアカウントを指定したり、所有者としてアカウントを追加したりできるようになります。その後、皆さんが保護しているドキュメントに対する読み取りや変更のアクセス許可を与える必要があるユーザーに、大まかな権限 (図 4 参照) や細かい権限をすぐに指定することができます。

fig03.gif

図 3 使用するアカウントの指定 (画像をクリックすると拡大表示されます)

fig04.gif

図 4 アクセス許可の設定 (画像をクリックすると拡大表示されます)

これで、ドキュメントが保護されました。その結果、すべてのユーザーは、このドキュメントを開くためには資格情報を入力しなければならなくなります。また、このドキュメントの所有者によって定義された特権が適用されます。

RMS は、IIS と ASP.NET を使用して、ドキュメントを開くすべてのユーザーを認証したり、そのユーザーの ID とアクセス権を確認したり、その情報を RMS クライアントや Office の IRM インフラストラクチャに伝達したりします。Active Directory での設定、および RMS サーバーによって定義された権利に基づいて、エンド ユーザーはドキュメントへの完全なアクセスや制限付きのアクセスを許可されたり、アクセスを完全に拒否されたりします。

RMS では、IRM で保護されているコンテンツのエンド ユーザーに与えられた権利を表現するために、XrML (eXtensible rights Markup Language) に基づくインフラストラクチャを使用します。実際には、こうした権限は、デジタル コンテンツに添付できる XrML ライセンスに含まれているので保存されます。XrML は標準規格なので、同様の方法でコンテンツを保護しようとする他のアプリケーションでも使用することができます。詳細については、xrml.org を参照してください。

落とし穴はどこにあるか

前述のとおり、RMS と IRM は完ぺきではありません。悪意のある "承認された" ユーザーが IRM で保護されているコンテンツの情報を漏洩させることに力を注いだ場合、ある程度の労力は必要ですが、漏洩させることは可能です。

また、コンテンツは、破壊的なマルウェアや非標準的な方法で動作する画面キャプチャ ソフトウェアによって不正に取得される可能性があります。RMS は画面キャプチャや許可されていない切り取りと貼り付け操作を防ぐための機能を提供しますが、RMS ができることはそこまでです。IRM と RMS よりもう少し進んだ機能の提供を目指し、IRM と RMS ではサポートされていない種類のコンテンツを保護するソリューションをいくつか見たことがあります。RMS に基づくソリューションを構築している他の ISV については、microsoft.com/windowsserver2003/partners/rmspartners.mspx を参照してください。

私の考えでは、企業権利管理は、現在、システム上の "アクティブな" コンテンツを真にセキュリティで保護する唯一の合理的な方法です。情報の漏洩が現在発生しているコンテンツの種類 (電子メール、Office ドキュメントなど) を調べると、そのほとんどは、IRM と RMS で簡単に保護できるものなのですが、保護されていません。Windows Vista の BitLocker などのフルボリューム暗号化テクノロジを使用すると、非アクティブなコンテンツをセキュリティ保護したり、システムが侵害された場合にほぼセキュリティ保護したりすることができます。しかし、こうしたテクノロジでは、共有、電子メール サーバー、または SharePoint サーバーにあるコンテンツは保護されません。

通常、何もせずにコンテンツを保護することはできないので、コンテンツの特定と削除を試みるソリューションが発達しました。IRM と RMS は、Active Directory、Exchange、Office、および Windows に組み込まれるように適切に設計されています (そのため、IRM と RMS を使用するためのトレーニングはそれほど必要ありません。コンテンツを実際に使用するエンド ユーザーに関しては、特にそうです)。IRM と RMS を使用すると、強力な保護が提供されます。詳細については、補足記事「関連リソース」を参照してください。

資産を保護しているか

現在、皆さんの所属先の組織では RMS と IRM を使用していますか。RMS と IRM についての考えをお寄せください。RMS と IRM を展開した (または展開していない) 理由、(展開した場合は) どのように展開したか、または、所属先の組織では別のメカニズムを使用しているのでデータ損失が発生するおそれはないと思われるかどうかに関して、読者の皆さんの考えをお聞きできればさいわいです。

Wes Miller は、テキサス州オースティンにある CoreTrace 社 (CoreTrace.com) のシニア テクニカル プロダクト マネージャです。以前は Winternals Software 社に勤務し、その後はマイクロソフトでプログラム マネージャとして働いていました。Wes の連絡先は、technet@getwired.com (英語のみ) です。