PR
暗号化と権限設定で情報漏洩を防止するIRM製品 きめ細かなファイル管理を可能に
データファイルを、それを扱う権限を持つ人だけに使わせる─。音楽や映像ファイル配信の分野では既にDRM(デジタル著作権管理)と呼ぶ技術が一般的になってきた。例えばiTunes Music Storeで購入した楽曲や映像作品は、勝手にコピーして再流通させることはできない。このようにファイルのコピー回数や他のデバイスへの移動を制限したり、一定期間後に再生不能にしたりといったコントロールを可能としているのがDRMだ。
この技術をOfficeやCADといった業務ソフトのデータファイルに適用したのが、IRM(Information Rights Management)である。一般的な業務文書を対象に、ファイル単位でアクセス制御するほか、閲覧期限を設定したり、操作ログをユーザー単位で取得できるといった特徴を持つ。
暗号化と権限管理でファイル利用をきめ細かく管理
情報漏洩を防止する一般的な手法に、ファイルの暗号化がある。だが暗号化のみでは単純な管理しかできない。復号鍵が無ければファイルの内容がまったく見えない一方で、鍵さえあれば無制限に閲覧できる。実際のビジネスの現場では、もっときめ細かな管理をしたいというニーズがある。「特定顧客には閲覧だけでなく編集も印刷も許可したいけれど、それ以外は内容の閲覧だけにとどめたい」といった具合だ。
IRMは、詳細なアクセス権限管理機能でこれを解決する。たとえば「Aという権限を持つユーザーがBという重要度の文書を入手した場合、閲覧のみ許可して編集は許可しない」といったポリシーを設定することで、ファイルの使用範囲を制限する。暗号化も併せて施すことで、たとえIRMの管理外に渡ったとしてもファイルの閲覧を不可能にする。
一般的なIRM製品を例に、具体的な仕組みを説明しよう。多くの製品はファイルの保存と開封のために専用のクライアントソフトウェアが必要で、常駐アプリケーションや、文書編集ソフトウェアなどのアドオンとして各クライアントにインストールする。主にファイル保存時のファイル暗号化や権限付与、開封時の復号化やアクセス制御を担う。
IRMの中核機能を備えるサーバーソフトウェアは、文書のアクセスポリシーや操作ログ情報を集約する。ポリシーはユーザーと文書の重要度、権限の組み合わせとして定義し、例えば「社員Aは重要度Bの文書に対して閲覧・編集のみ許可する」といった具合に設定する。権限は個人またはグループ単位で設定可能。ユーザー情報は専用データベースへの直接入力や、LDAPやActive Directoryといった認証サーバーと連携させて取得する。
ファイル作成者は、保存時に「社外秘」「機密」といった文書の重要度を指定。ファイルは保存と同時に暗号化され、管理サーバーのURLなどの情報がファイルのヘッダ部分に埋め込まれる。ファイル開封者は、ファイルをダブルクリックして文書編集ソフトウェアなどを起動すると、クライアントソフトウェアがサーバーに問い合わせ、サーバーはポリシーと照合して権限情報と復号鍵をクライアントに送信。与えられた権限の範囲で、閲覧や編集、印刷などが実行できる。クライアントとサーバーは定期的に通信し、ユーザーの操作ログやファイルの所在などの情報をサーバーで一元管理する。社外に渡った文書の管理には、DMZなどの社外から安全にアクセスできる領域にリバースプロキシなどを設置することで実現する。多くの製品はクライアントソフト内に復号鍵やポリシー情報を一時的に保管する機能を備え、オフライン時にも一定期間はファイル内容が閲覧できる。
企業向けのMS OfficeにはIRM機能が標準で備わる
オフィスソフトの分野で高いシェアを持つマイクロソフト。実際、Microsoft OfficeのWordやExcel、PowerPointを日常的に使っている人は多いことだろう。実はMS Officeの企業向けエディションである「Professional Plus」には、標準でIRM機能が搭載されている。サーバーやデータベースなどが別途必要になるため即利用できるわけではないが、IRM導入を検討しているユーザーは知っておきたい。
Professional Plusに搭載されるIRM機能は市販のIRM製品と同様、文書を暗号化すると同時に、ファイル閲覧者に対してコピーや印刷、スクリーンショットの可否といった機能ごとに利用制限を設定できる。ただし設定した情報や操作ログは、サーバーではなく各文書ファイルのヘッダ部分に格納される。
Windows Server 2008が搭載する「Active Directory Rights Management Services(AD RMS)」機能を利用する。ファイル閲覧者のポリシーサーバーの役割を果たし、OfficeのIRM機能と、Active Directoryの両者と連携して利用者の閲覧権限管理などを実現する。クライアント側にはサーバーとの通信機能を備えた「AD RMSクライアント」と呼ぶソフトウェアが必要だが、Windows 7とVistaには標準搭載されている。XP以前のWindowsでも、同社サイトから無料でダウンロードしてインストールできる。
Active Directoryでのユーザー管理が必須となるため、社内に限定した運用が中心となるが、他社のActive Directoryと連携してユーザーを管理する「Active Directory フェデレーション サービス」を利用することにより、社外に渡ったファイルの権限管理も可能だ。
注意しなければならないのは、Office単体だけでは上記の機能が利用できないという点だ。利用にはOfficeのProfessional Plusのほか、Windows Server 2008とSQL Server 2008、AD RMS用のクライアントアクセスライセンスが必要となる。AD RMS用のクライアントアクセスライセンスは、ライセンス体系によって異なるが1ユーザー2000〜4000円程度になる。
保護対象や仕組みも様々
市販のIRM製品をチェック
MS Office標準搭載のIRM機能が利用可能な環境があり、機能が自社のニーズにマッチしているのであれば、積極的に活用したい。もしActive Directoryでユーザー管理をしていない、保護対象としたいファイルがMS Officeだけではないといったニーズがあるのならば、市販のIRM製品が検討対象になる。各ベンダーが市場投入している製品は数はまだ多くないものの、MS Officeの他のファイルフォーマットでも利用可能だったり、AD以外でも管理できるといった利点を持っている(表1)。以下、特徴別に主要製品をまとめて紹介する。
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
