次の方法で共有


Exchange Serverの Information Rights Management

人々は日常的に電子メールを使用し、機密情報やレポートなど、秘匿性の高い情報を交換しています。 電子メールにはほぼどこからでもアクセスできるため、メールボックスは、秘匿性の高い情報を大量に含むリポジトリになりました。 その結果、情報漏洩が組織にとって深刻な脅威になる可能性があります。 情報漏洩を防ぐために、Exchange Serverには、電子メール メッセージと添付ファイルに対して永続的なオンラインおよびオフライン保護を提供する Information Rights Management (IRM) 機能が含まれています。 これらの IRM 機能は基本的に、Exchange 2013 から変更されていません。

情報漏洩について

情報漏洩とは、権限のないユーザーに対する秘匿性の高い情報の開示です。 情報漏洩は、組織にとって多大なコストがかかり、組織の事業、従業員、顧客、およびパートナーに広範な影響を与える可能性があります。 適用される規制の違反を防止するために、組織では不慮または意図的な情報漏洩から自身を保護する必要があります。

次に、情報漏洩によって引き起こされる結果をいくつか示します。

  • 経済的損害: 組織は、ビジネスの損失、罰金、または有害なメディアの報道を受ける可能性があります。

  • 画像と信頼性の損傷: 漏洩したメール メッセージは、送信者と組織にとって恥ずかしい原因になる可能性があります。

  • 競争上の利点の損失: これは最も深刻な結果の 1 つです。 戦略的ビジネスや合併、買収計画の開示は、組織の収益や時価総額の損失につながります。 競争上の優位性の他の脅威としては、研究情報、分析データ、その他の知的財産の損失などがあります。

情報漏洩に対する従来の解決策

情報漏洩に対する従来の解決策では、初期的なデータ アクセスを防ぐ効果が得られる場合もありますが、通常、継続的な保護は提供されません。 次の表に、情報漏洩に対する従来の解決策を示します。

ソリューション 説明 制限事項
トランスポート層セキュリティ (TLS) TLS は、ネットワーク通信を暗号化するために使用されるインターネットの標準プロトコルです。 メッセージング環境では、TLS を使用して、サーバー/サーバー間やサーバー/クライアント間の通信を暗号化します。

既定では、Exchange はすべての内部メッセージ転送に TLS を使用します。 外部ホストとの SMTP セッションには、便宜的な TLS も既定で有効にされています (TLS 暗号化が最初に試行されますが、これを利用できない場合、暗号化されていない通信が許可されます)。 外部組織との相互 TLS を強制するように、ドメイン セキュリティを構成することもできます。

TLS は、2 つの SMTP ホスト間の SMTP セッションのみ保護します。 つまり、TLS では移動している情報が保護されるだけで、メッセージ レベルでの保護や静止している情報の保護は提供されません。 メッセージを別の方法で暗号化しない限り、送信者や受信者のメールボックス内のメッセージは未保護のままになります。

組織外に送信される電子メールの場合、1 回目のホップにのみ TLS を要求できます。 リモート SMTP ホストがメッセージを受信後に、暗号化されていないセッションを介して別の SMTP ホストにそのメッセージを中継できます。

TLS はメール フローで使用されるトランスポート層テクノロジであるため、受信者がメッセージに対して行う操作を制御することはできません。

メッセージの暗号化 ユーザーは、S/MIME などのテクノロジを使用してメッセージを暗号化できます。 ユーザーはメッセージを暗号化するかどうかを決定します。

公開キー基盤 (PKI) を展開するための追加コスト、およびユーザーに対する証明書の管理や秘密キーの保護に付随するオーバーヘッドが発生します。

メッセージが復号化されると、その情報に対する受信者の操作は制御されなくなります。 復号化された情報はコピー、印刷、または転送できます。 既定では、保存された添付ファイルは保護されません。

メッセージング サーバーでは、S/MIME で暗号化されたメッセージを開いて検査することはできません。 したがって、メッセージング サーバーではメッセージ ポリシーの適用、メッセージのウイルス スキャン、またはメッセージ内のコンテンツへのアクセスを必要とするその他のアクションは実行できません。

最後に、従来の解決策には、ほとんどの場合、統一されたメッセージング ポリシーを適用して情報漏洩を防止する強制ツールがありません。 たとえば、ユーザーがメッセージを [企業秘密] および [転送不可] のマークを付けて送信したとします。 この場合、メッセージが受信者に配信された後、送信者または組織はこのメッセージを制御できなくなります。 受信者はメッセージを意図的に、または不注意によって (自動転送ルールなどの機能を使用して) 外部電子メール アカウントに転送できるため、組織が実質的に情報漏洩の危険を被る可能性があります。

Exchange の IRM

Exchange の IRM では、次の機能を提供して情報漏洩を防止できます。

  • IRM で保護されたコンテンツの認証された受信者が、コンテンツの転送、変更、印刷、FAX、保存、カットアンドペーストをできないようにします。

  • サポートされている添付ファイルの形式をメッセージと同じレベルの保護で保護します。

  • IRM で保護されたメッセージと添付ファイルの有効期限をサポートし、指定された期間以降表示できないようにします。

  • Windows の切り取りツールで IRM で保護されたコンテンツをコピーできないようにします。

ただし、Exchange の IRM では、次の方法による情報開示を防止することはできません。

  • サードパーティ製の画面キャプチャ プログラム。

  • 画面に表示されている IRM で保護されたコンテンツの撮影。

  • ユーザーによる情報の記憶または書き写し。

IRM では、eXtensible rights Markup Language (XrML) ベースの証明書とライセンスを使用する、Windows Server の情報保護技術である Active Directory Rights Management サービス (AD RMS) を使用して、コンピューターとユーザーを認証し、コンテンツを保護します。 ドキュメントやメッセージを AD RMS を使用して保護すると、認証されたユーザーがコンテンツに対して持つ権限を含む XrML ライセンスが添付されます。 IRM で保護されたコンテンツにアクセスするには、AD RMS 対応アプリケーションで AD RMS サーバーから許可されたユーザーに対する使用ライセンスを調達する必要があります。 Word、Excel、PowerPoint、Outlook などの Office アプリケーションは RMS に対応しており、保護されたコンテンツを作成して使用できます。

注:

Exchange プレライセンス エージェントにより、組織の AD RMS サーバーが保護したメッセージに対して使用ライセンスが添付されます。 詳細については、このトピックで後述する「プレライセンス」セクションを参照してください。

Active Directory Rights Management サービス の詳細については、「Active Directory Rights Management サービス」を参照してください。

Active Directory Rights Management サービス権限ポリシー テンプレート

AD RMS サーバーは、メッセージに IRM 保護を適用するために使用する XrML ベースの権利ポリシー テンプレートの列挙と取得に使用される Web サービスを提供します。 適切な権利ポリシー テンプレートを適用することによって、受信者がメッセージに返信、全員へ返信、メッセージを転送、情報を抽出、保存、または印刷できるかどうかを制御できます。

既定では、Exchange には [転送不可] テンプレートが同梱されています。 このテンプレートがメッセージに適用されると、メッセージで指定された受信者のみがメッセージを復号化できるようになります。 受信者がメッセージを転送、メッセージから内容をコピー、またはメッセージを印刷することはできません。 要件に応じて、組織内の AD RMS サーバー上で RMS テンプレートを追加作成できます。

権利ポリシー テンプレートの詳細については、「AD RMS ポリシー テンプレートの考慮事項 」を参照してください。

AD RMS 権利ポリシー テンプレートの作成方法の詳細については、「ステップ バイ ステップ ガイド - Active Directory Rights Management サービス権利ポリシー テンプレートを作成および展開する」を参照してください。

メッセージへの IRM による保護の適用

既定では、Exchange 組織の IRM は有効にされていますが、メッセージへの IRM による保護を適用するには、次のいずれかの方法を使用する必要があります。

  • Outlook のユーザーによる手動: ユーザーは、使用可能な AD RMS 権限ポリシー テンプレートを使用して、Outlook のメッセージを IRM で保護できます。 このプロセスでは、Exchange ではなく Outlook の IRM 機能を使用します。 Outlook での IRM の使用については、「 メール メッセージでの IRM の使用方法」を参照してください。

  • Outlook on the webのユーザーによる手動: 管理者がOutlook on the webで IRM を有効にすると (旧称Outlook Web App)、ユーザーは送信したメッセージを IRM で保護し、受信した IRM で保護されたメッセージを表示できます。 Outlook on the webの IRM の詳細については、「Outlook Web Appの IRM について」を参照してください。

  • Exchange ActiveSyncのユーザーによる手動: 管理者が Exchange ActiveSyncで IRM を有効にすると、ユーザーは ActiveSync デバイスで IRM で保護されたメッセージを表示、返信、転送、および作成できます。 詳細については、「Understanding Information Rights Management in Exchange ActiveSync」を参照してください。

  • Outlook で自動的に: 管理者は、メッセージを IRM で自動的に保護する Outlook 保護ルールを作成できます。 Outlook 保護ルールは Outlook クライアントに自動的に展開され、ユーザーがメッセージを作成する際、Outlook によって IRM 保護が適用されます。 詳細については、「 Outlook 保護規則」を参照してください。

  • メールボックス サーバーで自動的に: 管理者は、メール フロー ルール (トランスポート ルールとも呼ばれます) を作成して、指定した条件に一致するメッセージを自動的に IRM で保護できます。 詳細については、「Understanding Transport Protection Rules」を参照してください。

    注:

    IRM による保護は、既に IRM で保護されたメッセージに再度適用されることはありません。 たとえば、ユーザーが Outlook または Web 上の Outlook でメッセージを IRM で保護した場合、トランスポート保護ルールでは同じメッセージに IRM 保護が適用されません。

IRM による保護のシナリオ

次の表は、メッセージ送信のシナリオ、および IRM 保護が可能かどうかを示しています。

シナリオ IRM 保護メッセージの送信はサポートされているか 要件
同じオンプレミスの Exchange 組織内でのメッセージ送信 はい 要件については、このトピックで後述する「IRM の要件」を参照してください。
オンプレミスの組織での複数の Active Directory フォレスト間でのメッセージの送信。 はい 要件については、「複数のフォレスト間で Exchange Server 2010 と統合するための AD RMS の構成 」を参照してください。
ハイブリッド展開でオンプレミスの Exchange 組織と Microsoft 365 またはOffice 365組織の間でメッセージを送信する。 はい 詳細については、「 Exchange ハイブリッド展開の IRM」を参照してください。
外部受信者へのメッセージの送信 いいえ Exchange には、IRM 保護メッセージを、非フェデレーション組織内の外部受信者に送信するための解決策は含まれていません。 Active Directory フェデレーション サービス (AD FS) (AD FS) を使用して 2 つの Active Directory フォレスト間にフェデレーション信頼を作成するには、「AD RMS 信頼ポリシーについて」を参照してください。

IRM で保護されたメッセージの復号化によるメッセージング ポリシーの適用

メッセージング ポリシーを強制的に適用して規制に準拠するには、Exchange が暗号化されたメッセージのコンテンツにアクセスできる必要があります。 訴訟、規制に基づく監査、または内部的な調査による電子情報開示要件を満たすには、指定の監査担当者が暗号化されたメッセージを検索できる必要もあります。 これらのタスクを支援するために、Exchange には次の復号化機能が搭載されています。

  • トランスポート復号化: Exchange サーバーにインストールされているトランスポート エージェントによるメッセージ コンテンツへのアクセスを許可します。 詳細については、「Understanding Transport Decryption」を参照してください。

  • ジャーナル レポートの暗号化解除: 標準またはプレミアムのジャーナリングで、IRM で保護されたメッセージのクリア テキスト コピーをジャーナル レポートに保存できます。 詳細については、「 ジャーナル レポート復号化を有効にする」を参照してください。

  • Exchange Search の IRM 暗号化解除: Exchange Search で IRM で保護されたメッセージ内のコンテンツにインデックスを作成できるようにします。 検出マネージャーがインプレースの電子情報開示検索を実行すると、検索結果にインデックスが作成された IRM 保護メッセージが返されます。 詳細については、「 Exchange 検索およびインプレース電子情報開示のための IRM の構成」を参照してください。

これらの復号化機能を有効にするには、フェデレーション メールボックス (Exchange によって作成されたシステムのメールボックス) を AD RMS サーバー上のスーパー ユーザー グループに追加する必要があります。 手順については、「フェデレーション メールボックスを AD RMS のスーパー ユーザー グループに追加する」を参照してください。

プレライセンス

許可されているユーザーに IRM で保護されたメッセージと添付ファイルを表示するために、Exchange では、保護されたメッセージにプレライセンスを自動的に添付します。 この機能によって、クライアントは AD RMS サーバーに繰り返しトリップを行って使用ライセンスを取得する必要がなくなるうえ、IRM で保護されたメッセージのオフライン表示が可能になります。 プレライセンスでは、IRM 保護メッセージを Web 上の Outlook で表示することもできます。 IRM 機能を有効にすると、プレライセンスが既定で有効になります。

IRM エージェント

IRM 機能では、メールボックス サーバー上のトランスポート サービスに存在する組み込みトランスポート エージェントを使用します。 組み込みのトランスポート エージェントのほとんどは、Exchange Management Shell (*-TransportAgent) のトランスポート エージェント管理コマンドレットによって非表示および管理できません。

IRM に関連付けられている組み込みトランスポート エージェントを次の表に示します。

エージェント名 管理可能 SMTP またはカテゴライザー イベント 説明
ジャーナル レポート復号化エージェント いいえ OnCategorizedMessage ジャーナル レポートに添付されている IRM で保護されたメッセージのクリア テキスト コピーを提供します。
プレライセンス エージェント いいえ OnRoutedMessage IRM で保護されたメッセージにプレライセンスを添付します。
RMS 復号化エージェント いいえ OnSubmittedMessage, IRM で保護されたメッセージを復号化し、トランスポート エージェントによるメッセージ コンテンツへのアクセスを許可します。
RMS 暗号化エージェント いいえ OnRoutedMessage トランスポート エージェントによってフラグ設定されたメッセージに対して IRM による保護を適用し、トランスポートで復号化されたメッセージを再度暗号化します。
RMS プロトコル復号化エージェント いいえ OnEndOfData IRM で保護されたメッセージを復号化し、トランスポート エージェントによるメッセージ コンテンツへのアクセスを許可します。
トランスポート ルール エージェント はい OnRoutedMessage トランスポート保護ルールの条件に一致するメッセージに対して、RMS 暗号化エージェントによって IRM で保護するというフラグを設定します。

トランスポート エージェントの詳細については、「Exchange Serverのトランスポート エージェント」を参照してください。

IRM の要件

既定では、Exchange 組織が IRM に対して有効です。 Exchange Server組織で IRM を実際に実装するには、デプロイがこの表に記載されている要件を満たしている必要があります。

サーバー 要件
AD RMS クラスター AD RMS クラスター は、1 つの AD RMS サーバーを含む、すべての AD RMS 展開に使用される用語です。 AD RMS は Web サービスであるため、Windows Server フェールオーバー クラスターを作成する必要はありません。 高可用性と負荷分散を実現するには、クラスター内に複数の AD RMS サーバーを展開して、ネットワーク負荷分散 (NLB) を使用できます。

サービス接続ポイント: Exchange などの AD RMS 対応アプリケーションでは、Active Directory に登録されているサービス接続ポイントを使用して、AD RMS クラスターと URL を検出します。 AD RMS のサービス接続ポイントは、Active Directory フォレスト内に 1 つだけ存在します。 サービス接続ポイントは AD RMS のセットアップ中またはセットアップ完了後に登録できます。

アクセス許可: AD RMS サーバー認定パイプライン (のファイル\inetpub\wwwroot\_wmcs\certification\) に対する読み取りと実行のアクセス許可はServerCertification.asmx、次のセキュリティ プリンシパルに割り当てる必要があります。

AD RMS スーパー ユーザー: トランスポート復号化、ジャーナル レポートの暗号化解除、Outlook on the webの IRM、Exchange Search の IRM 復号化を有効にするには、AD RMS サーバーの Super Users グループにフェデレーション メールボックスを追加する必要があります。 詳細については、「 フェデレーション メールボックスを AD RMS のスーパー ユーザー グループに追加する」を参照してください。

Exchange Exchange 2010 以降が必要です。

運用環境では、同じサーバーへの AD RMS および Exchange のインストールはサポートされていません。

Outlook メッセージを保護する AD RMS テンプレートは Outlook 2007 以降から使用できます。

Exchange の Outlook 保護規則では、Outlook 2010 以降が必要です。

Exchange ActiveSync IRM は、Exchange ActiveSync プロトコル バージョン 14.1 以降をサポートするモバイル アプリケーションとデバイス、およびそれに含まれる RightsManagementInformation タグ (どちらも Exchange 2010 Service Pack 1 で導入済み) で使用できます。 サポートされているデバイスを所有するユーザーは、ActiveSync を使用することによって、デバイスをコンピューターに接続して IRM 用にアクティブ化することなく、IRM で保護されたメッセージの表示、返信、転送、および作成を行うことができます。 詳細については、「Understanding Information Rights Management in Exchange ActiveSync」を参照してください。

Exchange IRM 機能では、Office ファイル形式がサポートされています。 カスタム プロテクターを展開することで、IRM による保護を他のファイル形式に拡張できます。 カスタム 保護機能の詳細については、Microsoft ソリューション プロバイダー ページでInformation Protectionおよびコントロール パートナーを検索してください。

IRM の構成およびテスト

Exchange で IRM 機能を構成するには、Exchange 管理シェル を使用します。 手順の詳細については、「Managing Rights Protection」を参照してください。

メールボックス サーバーをインストールして構成したら、 Test-IRMConfiguration コマンドレットを使用して IRM 展開のエンドツーエンド テストを実行できます。 コマンドレットでは、次のテストを実行します。

  • Exchange 組織の IRM 構成を検査する。

  • AD RMS サーバーのバージョンや修正プログラムの情報を確認する

  • 権利アカウント証明書 (RAC) とクライアント ライセンサー証明書を取得することで、Exchange サーバーを RMS 用にアクティブにできるかどうかを確認する

  • AD RMS 権利ポリシー テンプレートを AD RMS サーバーから取得する

  • 指定された送信者が IRM で保護されたメッセージを送信できることを確認する

  • 指定された受信者のスーパー ユーザー使用ライセンスを取得する。

  • 指定された受信者のプレライセンスを取得する

詳細については、「Test-IRMConfiguration」を参照してください。

権限管理コネクタで権利の管理を拡張

Azure Rights Management コネクタ (RMS コネクタ) は、クラウドベースの Azure Rights Management (Azure RMS) サービスを使用することで、Exchange サーバーのデータ保護を強化するオプション のアプリケーションです。 RMS コネクタをインストールすると、情報の使用期間にわたって継続的なデータ保護が提供されます。 また、これらのサービスはカスタマイズできるため、必要となる保護レベルを定義することができます。 たとえば、電子メール メッセージのアクセスを特定のユーザーに制限、または特定のメッセージについて表示専用の権限を設定できます。

RMS コネクタについての詳細およびインストール方法については、「Azure Rights Management コネクタをデプロイする」を参照してください。