文書・メールの情報漏えい対策

Windows Server® 2008 R2

ＩＴライブラリーより （pdf １００冊）http://www.geocities.jp/ittaizen/itlib1/

2

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://www.geocities.jp/ittaizen/itlib1/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊

Office 文書の漏えいを防止したい

課題: ファイル サーバーに公開した文書の漏えいが心配

解決策: AD RMS による Office 文書の保護

3

AD RMS で Office 文書の保護AD RMS ならユーザごとに表示権限、印刷権限、有効期限を設定できる。どこにファイルがコピーされても安心。

ファイル サーバーに保存したオフィス文書。ファイルのコピーや印刷による漏えいが心配

印刷

ファイルコピー

Print Screen キーによる画面コピーも不可

文書作成者はOffice から「文書の保護」を押して権限を設定するだけ

「文書の保護」を選択

作成者側 印刷不可保存不可

重要なファイルがコピーされる危険性

利用者側

ファイル サーバー

アクセス権が無くて見られない。。。

印刷できない

さらに権利ポリシー テンプレートを使えば、簡単でミスも少ない

期限切れで、見られない。

期限切れ

アクセス不可

Office 以外の文書の漏えいを防止したい

課題: Office 以外の文書ファイルの漏えいが心配

解決策: XPS 電子文書による AD RMS 非対応ファイルの保護

4

情報資産の漏えい対策Office 文書は確実に保護

- AD RMS 対応 Office 文書 とは？

Word, Excel, PowerPoint

- XPS とは？

Microsoft が提供する電子文書フォーマット

- サポートされる OS

Windows XP 以降

- ポイント -・「印刷」という仕組みで XPS ファイルを

生成するので、ほとんどの電子文書を保護可能

・ XPS ビューアー、XPS プリンターはWindows Vista 以降には標準で搭載

② XPS ビューアー上でAD RMS の権限設定

XPS による Office 以外の文書ファイルの保護AD RMS に対応していないファイルも XPS 形式にすることで AD RMS による保護ができる

① 印刷メニューから XPS 用のプリンターを選択して XPS ファイルを生成

Office 以外のファイルは無防備のまま

AD RMS に対応していないファイルは、どうやって保護したら ?

メールの暗号化と利用制限

課題: 機密メールの転送や印刷による漏えいが心配

解決策: AD RMS による Outlook のメール暗号化

5

重要なメールが転送される危険性

転送不可

印刷不可

Print Screen キーによる画面コピーも不可

印刷

転送

送信者側

「アクセス許可」ボタンを押す

メール作成者はOutlook から

「アクセス許可」ボタンを押すだけ

受信者側

転送して欲しくない

アクセス不可

転送できてしまう

アクセス権が無くて見られない。。。

転送も印刷もできない。

重要なメールは転送や印刷をさせたくない。内容も暗号化したい。誤送信も心配。

AD RMS で Outlook メールの利用制限AD RMS なら転送禁止や印刷不可に設定できる。メールへ添付した Office文書も自動で暗号化される。社外へ誤送信しても中が見られない。

Exchange Server 2010 と連携することで、電子メールを自動的に

AD RMS で保護

(設定例)・メール件名 / 本文に ”社外秘” が含まれている場合、転送禁止にする

→ 間違って、社外に転送しても開けない。

・特定の宛先に送る場合、すべて印刷禁止にする

メールの保護と利用制限の自動化 (Exchange 2010 連携)

課題: メールの内容に応じて AD RMS の設定を自動的に行いたい

解決策: Exchange 2010 による Outlook メールへの AD RMS 設定の自動適用

転送不可

利用者は意識することなくメールを送信

Exchange 2010 と連携したAD RMS 設定の自動適用

自動的にAD RMS による保護

社外秘のメールそのまま送って

しまった

6

New

機密情報を含むメールを自動的に保護したい

AD RMS と Exchange 2010 の連携Exchange 2010 と連携することで、自動的にメールを保護できる

ファイル保護の自動化（ファイル サーバー連携）

課題:ファイルの重要度に応じて自動で RMS 権限設定したい

解決策: Windows Server 2008 R2 の新機能 File Classification Infrastructure (FCI) との連携

7

ファイル

サーバー

ステップ1：ファイルに “社外秘” という文字列が含まれる場合 → 機密レベル “社外秘” に分類(FCI 機能 ※1)

ステップ２：AD RMS で自動暗号化(RMS 暗号化ツールを利用※2）

機密レベル RMS 権限

社外秘

なしFCI + RMS 暗号化ツールによる権限設定

・持ち出し不可・印刷禁止

※1 File Classification Infrastructure (FCI)

Windows Server 2008 R2 の新機能ファイル サーバー上のファイルを自動で分類分類条件として、ファイルの文字列や特定フォルダなどの指定が可能

※2 RMS 暗号化ツールWindows Server 2008 R2 のリリースと同時期に別途提供予定。本ページのスライドはFCI の機能を利用した実装の一例です。実際には開発が必要になる場合もあります

・制限なし

ファイル サーバー

New

ファイルサーバーの重要なファイルだけを強制的に保護したい

FCI 連携ファイル サーバーのファイルを自動的に RMS 権限設定。さらに、ファイルの重要度に応じた権限設定が出来る。

ファイルが多くて、整理が大変。

ファイル保護の自動化（情報共有サイト連携）

課題:公開するファイルは自動的に権限設定したい

解決策: 情報共有サイト (MOSS) との連携

8

①ファイルをそのままアップロード

セキュリティ自動設定

作成者

指定された文書管理エリアに保存されると自動的にセキュリティ設定が適用される

主な セキュリティ設定項目

✓ 印刷許可/不許可

✓ スクリーン ショット禁止 / コピー禁止

✓ 閲覧の有効期限

権限を設定して公開

※MOSS Microsoft Office SharePoint Server 2007 の略情報共有、ポータル、検索などの機能を持つ

設定を効率化したい

印刷禁止

印刷禁止

印刷禁止

印刷禁止

ファイルが漏えいしても閲覧できない

閲覧者

作成者は編集可能

作成者側 利用者側

印刷不可

② 権限が設定されたドキュメントを

ダウンロード

ファイルを公開するたびに、権限を設定するのが面倒。

MOSS 連携MOSS と連携すれば、自動的に権限が設定される。MOSS 上で全文検索できる

Active Directory で統合認証

課題: ユーザ管理が面倒

解決策: Active Directory による統合認証と AD RMS 暗号化

9

パスワードの暗号化方式は簡単だが、

AD DSファイルが持ち出されても、認証されていないユーザはファイルを開けない

Active Directory ドメイン暗号化されて

解読できない。。。

Active Directory

文書管理専用認証 DB

AD と認証 DB が分かれていると、

ADRMS：Takada

：Yamazaki

：Sato

：Sales

AD にログオンすればパスワードはいらない

ADでユーザとグループを管理

管理者利用者

文書を開く時にもパスワードを入力しないといけない。２重管理も面倒。

パスワードさえ分かれば、誰でもアクセスできる

Active Directory 統合認証AD RMS なら、AD によるシングル サインオンでパスワードを入れなくても使える。AD で認証されないユーザーは、ファイルを開くことができない。AD のユーザーやグループはそのままアクセス制限に指定できる。

参考構成例

10

Windows Server 2008 R2 Standard × 2, Windows Server 2008 R2 Enterprise × 2 Windows Server CAL × 1,000, AD RMS CAL x 1,000

Microsoft SQL Server 2008 Standard x 1

参考価格: ¥ 12,235,300 -

• 記載の価格は、2009 年 10 月現在の参考価格です。(参考価格は、Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております。)

• お客様の実際のお支払額は、お客様のご注文先である LAR 様、販売会社様との間で決定されます。• 上記はあくまで参考情報であり、導入の際には実環境に合わせた構成を考慮する必要があります。• 本構成例には ハードウェア、構築費用は含まれておりません。• AD RMS 動作要件として Active Directory が必要になります。（本構成例では ドメインコントローラーの費用は含まれていません。）• Windows Server CALは 2008 用のライセンスをお持ちであればその分の購入の必要はありません。

Windows Server 2008 Standard R2 × 2 台, Windows Server 2008 Enterprise R2 × 2 台SQL Server 2008 Standard x 1 CPU x 1台

ドメイン コントローラ

クライアント PCx 1,000 台

冗長構成例

AD RMS Server SQL Server

フェールオーバー クラスタ (Active/Passive)ネットワーク負荷分散(NLB)

導入事例 (RMS) 日産自動車株式会社様

(導入前)機密度が高い情報は紙で配布、オーナーと配布先を明確にし、鍵をかけて保管、台帳管理で徹底していた

(導入後)共有するファイルは利用者を指定するだけで、作業が楽になった

『開発日程表は約 60 部署に送るのですが、以前は 1 枚ずつ判を押して配っていました。今では配る部署をグループとして登録することに

より、配信する文書にそのグループを指定して『ポン』とボタンを押すだけで完了します。作業が非常に楽になったし、今後も活用し続け

たいという声を数多く聞きます』

『稼働を開始してから 2 年ほどたちますが、この間に情報が漏えいしたことは、当然ながら 1 回もありません』

http://www.microsoft.com/japan/business/peopleready/casestudy/nissan/nissan-s.mspx

参天製薬株式会社様(導入前)重要な書類はPDF化し、改ざんや印刷の制限を実施。機密メールには逐一 ”機密文書” である文言を付記。作業効率が下がっていた

(導入後)ワンクリックで設定でき、セキュリティ対策にかかる手間が減り、業務に集中できるようになった

『社外秘のメールに転送不可の制限をかける場合など、RMS/IRM はユーザービリティに非常に優れていました。RMS/IRM では、アイコ

ンをクリックするだけでさまざまな設定が行えるため、誰でも容易に使用することができます。また、当社では、多くの業務で Office 製品

を活用していますので、他社製品と比較して、Office 製品との親和性の高さも魅力的でした』

http://www.microsoft.com/japan/showcase/santen.mspx

ソフトバンク BB 株式会社様

(導入前)日常的にファイルをメールに添付して共有。別のグループ会社のユーザーへの誤送信や、メールの転送を繰り返すうちに意図しな

い人への転送の危険性があった

(導入後)メールの転送や印刷、ファイルの持ち出しを制御できるようになった

『ドメインを分けて RMS を導入した結果、メールの転送や印刷を制御し、Excel や Word ファイルの持ち出しを防ぐことができるように

なりました。』

http://www.microsoft.com/japan/showcase/softbankbb3.mspx

11

Windows Server 2008 導入事例はこちらからアクセスhttp://www.microsoft.com/japan/windowsserver2008/casestudies/default.mspx

AD RMS サーバー/クライアント要件

12

サーバー バージョン

AD RMS サーバーWindows Server 2003Windows Server 2008 / 2008 R2

Active Directory ドメインサービスWindows 2000 Server SP3 以上Windows Server 2003Windows Server 2008 / 2008 R2

SQL ServerSQL Server 2005SQL Server 2008

クライアント

対応 OS Windows Vista / Windows 7AD RMS モジュール標準搭載

Windows Server 2008 / 2008 R2

Windows XP

AD RMS モジュールが必要Windows Server 2003

Windows 2000 Server / Professional SP3

AD RMS 対応アプリケーション

Office Professional Edition 2003 / Office Professional Plus 2007以上（Word、Excel、PowerPoint、Outlook、InfoPath）XPS Viewer

もっと知りたい方は

Webcast

13

Windows Server 2008 Webcast「Active Directory Rights Management サービス で実現するコンテンツ保護」

本 Webcast では、Windows Server 2008 のActive Directory Rights Management サービス(AD RMS)の新機能・強化点をデモンストレーションを交えながらおよそ 30 分程度でご紹介します。ご都合のよい時間に視聴下さい。

http://www.microsoft.com/japan/windowsserver2008/webcast/default.mspx

技術情報

「Windows Server 2008 TechCenter」で検索

Windows Server 2008 TechCenter本 Web サイトには、Windows Server 2008 の評価・導入に役立つ技術情報が掲載されています。機能説明、ステップ バイ ステップ ガイドなど、Windows Server 2008 / Windows Server 2008 R2 の評価・導入にお役立てください。http://technet.microsoft.com/ja-jp/library/cc771234(WS.10).aspx製品の評価・Windows Server 2008 の Active Directory Rights Management サービスの新機能ステップ バイ ステップ ガイド・Windows Server Active Directory Rights Management サービス

2014 年2013 年2010 年 2011 年 2012 年 2015 年 2016 年 2017 年2009 年

•マイクロソフトのWeb サイトでの製品情報提供

Windows Server のサポート ライフサイクルは以下のとおりです。Windows 2000 Server はまもなく延長サポート終了です。新バージョン移行へのご計画を早期にお願いいたします。

サポート ライフサイクルマイクロソフトは、ビジネス製品および開発用製品について、最短でも 10 年間 (メインストリーム サポート フェーズ 5 年間、および延長サポート フェーズ 5 年間) サポートを提供します。

• 上記はビジネス製品および開発用製品についての情報です。• コンシューマ製品、 ハードウェア製品、 マルチメディア製品、および Microsoft Dynamics 製品については、最短でも 5 年間のメインストリーム サポートを提供します。

• 詳細については、マイクロソフトのサポート ライフサイクルのWeb サイトをご覧ください。http://support.microsoft.com/lifecycle/

1 年 2 年 4 年3 年 5 年 6 年 7 年 9 年8 年 10 年

メインストリーム サポート 延長サポート

•製品の仕様変更、機能追加

•セキュリティ更新プログラム提供

•セキュリティ以外の更新プログラムのリクエスト

•無償サポート

•有償サポート

メインストリームサポート

•セキュリティ更新プログラム提供

•セキュリティ以外の更新プログラムのリクエスト(別途契約が必要)

•有償サポート

延長サポート

メインストリーム サポート

メインストリームサポート

14

オンライン セルフヘルプ サポート

オンライン セルフ ヘルプ サポート

延長サポート

延長サポート

延長サポート

2010 年 7 月終了

Windows Server 2008 R2 をお勧めします

2015 年 7 月終了

+

15

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://www.geocities.jp/ittaizen/itlib1/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊