IT ライブラリーより (pdf 100 冊 ) http://www.geocities.jp/ittaizen/itlib1/ Windows Server 2008 R2 文書 メールの情報漏えい対策
他の章は下記をクリックして PDF 一覧からお入り下さい IT ライブラリー (pdf 100 冊 ) http://www.geocities.jp/ittaizen/itlib1/ 目次番号 270 番 Windows Server Enterprise 2008 R2 完全解説 ( 再入門 ) 全 26 冊 2
Office 文書の漏えいを防止したい 課題: ファイル サーバーに公開した文書の漏えいが心配 重要なファイルがコピーされる危険性 ファイル サーバーに 保存したオフィス文書 ファイルのコピーや 印刷による漏えいが心配 印刷 ファイル サーバー ファイルコ ピー 解決策: AD RMS による Office 文書の保護 作成者側 印刷不可 保存不可 文書の保護 を 選択 利用者側 期限切れ 印刷 できない Print Screen キー による 画面コピーも 不可 文書作成者は Office から 文書の保護 を 押して権限を設定する だけ 期限切れで 見られない アクセス権が 無くて見られ ない アクセス不可 AD RMS で Office 文書の 保護 AD RMS ならユーザごとに 表示権限 印刷権限 有効期限を設定できる どこにファイルがコピーされ ても安心 さらに権利ポリシー テンプレートを 使えば 簡単でミスも少ない 3
Office 以外の文書の漏えいを防止したい 課題: Office 以外の文書ファイルの漏えいが心配 Office 文書 は確実に保護 情報資産の漏えい対策 Office 以外の ファイルは 無防備のまま AD RMS に対応していない ファイルは どうやって 保護したら? 解決策: XPS 電子文書による AD RMS 非対応ファイルの保護 ② XPS ビューアー上で AD RMS の権限設定 ① 印刷メニューから XPS 用の プリンターを選択して XPS ファイルを生成 - AD RMS 対応 Office 文書 とは Word, Excel, PowerPoint - XPS とは Microsoft が提供する電子文書フォーマット - サポートされる OS Windows XP 以降 - ポイント 印刷 という仕組みで XPS ファイルを 生成するので ほとんどの電子文書を 保護可能 XPS ビューアー XPS プリンターは Windows Vista 以降には標準で搭載 XPS による Office 以外の 文書ファイルの保護 AD RMS に対応していない ファイルも XPS 形式にする ことで AD RMS による保護 ができる 4
メールの暗号化と利用制限 課題: 機密メールの転送や印刷による漏えいが心配 重要なメールが転送される危険性 転送して 欲しくない 転送できてしまう 重要なメールは転送や 印刷をさせたくない 内容も暗号化したい 誤送信も心配 印刷 転送 解決策: AD RMS による Outlook のメール暗号化 送信者側 受信者側 転送不可 印刷不可 転送も印刷もで きない アクセス許可 ボタンを押す メール作成者は Outlook から アクセス許可 ボタンを押すだけ アクセス権が 無くて見られ ない アクセス不可 Print Screen キーによる画 面コピーも不可 AD RMS で Outlook メールの 利用制限 AD RMS なら転送禁止や印刷不可に設定 できる メールへ添付した Office文書も 自動で暗号化される 社外へ誤送信しても中が見られない 5
New メールの保護と利用制限の自動化 (Exchange 2010 連携) 課題: メールの内容に応じて AD RMS の設定を自動的に行いたい 社外秘のメール そのまま送って しまった 機密情報を含むメールを 自動的に保護したい 解決策: Exchange 2010 による Outlook メールへの AD RMS 設定の自動適用 Exchange 2010 と連携した AD RMS 設定の自動適用 利用者は意識する ことなくメールを送信 Exchange Server 2010 と連携することで 電子メールを自動的に AD RMS で保護 (設定例) メール件名 / 本文に 社外秘 が含まれている場合 転送禁止にする 間違って 社外に転送しても開けない 特定の宛先に送る場合 すべて印刷禁止にする 転送不可 自動的に AD RMS による保護 AD RMS と Exchange 2010 の連携 Exchange 2010 と連携することで 自動的にメールを保護できる 6
ファイル保護の自動化 ファイル サーバー連携 課題:ファイルの重要度に応じて自動で RMS 権限設定したい ファイルが 多くて 整理が大変 New ファイルサーバーの 重要なファイルだけを 強制的に保護したい ファイル サーバー 解決策: Windows Server 2008 R2 の新機能 File Classification Infrastructure (FCI) との連携 機密レベル 社外秘 持ち出し不可 印刷禁止 なし 制限なし ファイル サーバー FCI + RMS 暗号化ツール による権限設定 1 File Classification Infrastructure (FCI) Windows Server 2008 R2 の新機能 ファイル サーバー上のファイルを自動で分類 分類条件として ファイルの文字列や特定フォ ルダなどの指定が可能 2 RMS 暗号化ツール Windows Server 2008 R2 のリリースと 同時期に別途提供予定 本ページのスライドは FCI の機能を利用した実装の一例です 実際に は開発が必要になる場合もあります ステップ1 ファイルに 社外秘 という文字列が含まれ る場合 機密レベル 社外秘 に分類 (FCI 機能 1) ステップ2 AD RMS で自動暗号化 (RMS 暗号化ツールを利用 2 RMS 権限 FCI 連携 ファイル サーバーのファイルを 自動的に RMS 権限設定 さらに ファイルの重要度に応じた 権限設定が出来る 7
ファイル保護の自動化 情報共有サイト連携 課題:公開するファイルは自動的に権限設定したい 設定を 効率化したい ファイルを公開するたびに 権限を設定するのが面倒 印刷禁止 印刷禁止 印刷禁止 権限を設定して公開 印刷禁止 解決策: 情報共有サイト (MOSS) との連携 作成者は 編集可能 作成者側 利用者側 ファイルが 漏えいしても 閲覧できない ①ファイルを そのままアップロード 作成者 指定された文書管理エリアに 保存されると自動的に セキュリティ設定が適用される 主な セキュリティ設定項目 印刷許可/不許可 スクリーン ショット禁止 / コピー禁止 閲覧の有効期限 セ キ ュ リ テ ィ 自 動 設 定 MOSS Microsoft Office SharePoint Server 2007 の略 情報共有 ポータル 検索などの機能を持つ 印刷不可 ② 権限が設定されたド キュメントを ダウンロード 閲覧者 MOSS 連携 MOSS と連携すれば 自動的に 権限が設定される MOSS 上で全文検索できる 8
Active Directory で統合認証 課題: ユーザ管理が面倒 Active Directory 文書管理専用 認証 DB パスワードの暗号化方式は 簡単だが AD と認証 DB が 分かれていると 文書を開く時にも パスワードを入力しな いといけない 2重管理も面倒 パスワードさえ 分かれば 誰でも アクセスできる 解決策: Active Directory による統合認証と AD RMS 暗号化 暗号化されて 解読できない Active Directory ドメイン AD RMS Takada Yamazaki AD DS AD にログオンすれば パスワードはいらない Sato Sales 管理者 ADでユーザと グループを管理 利用者 ファイルが持ち出されても 認証されていないユーザは ファイルを開けない Active Directory 統合認証 AD RMS なら AD による シングル サインオンでパスワードを 入れなくても使える AD で認証されないユーザーは ファイルを開くことができない AD のユーザーやグループはそのまま アクセス制限に指定できる 9
参考構成例 Windows Server 2008 R2 Standard 2, Windows Server 2008 R2 Enterprise 2 Windows Server CAL 1,000, AD RMS CAL x 1,000 Microsoft SQL Server 2008 Standard x 1 参考価格 : 12,235,300 - 冗長構成例 ドメインコントローラ クライアント PC x 1,000 台 AD RMS Server ネットワーク負荷分散 (NLB) SQL Server フェールオーバークラスタ (Active/Passive) Windows Server 2008 Standard R2 2 台, Windows Server 2008 Enterprise R2 2 台 SQL Server 2008 Standard x 1 CPU x 1 台 記載の価格は 2009 年 10 月現在の参考価格です ( 参考価格は Select の価格レベル A の新規ライセンス (L) + SA 3 年分で算出しております ) お客様の実際のお支払額は お客様のご注文先である LAR 様 販売会社様との間で決定されます 上記はあくまで参考情報であり 導入の際には実環境に合わせた構成を考慮する必要があります 本構成例にはハードウェア 構築費用は含まれておりません AD RMS 動作要件として Active Directory が必要になります ( 本構成例ではドメインコントローラーの費用は含まれていません ) Windows Server CAL は 2008 用のライセンスをお持ちであればその分の購入の必要はありません 10
導入事例 (RMS) 日産自動車株式会社様 ( 導入前 ) 機密度が高い情報は紙で配布 オーナーと配布先を明確にし 鍵をかけて保管 台帳管理で徹底していた ( 導入後 ) 共有するファイルは利用者を指定するだけで 作業が楽になった 開発日程表は約 60 部署に送るのですが 以前は 1 枚ずつ判を押して配っていました 今では配る部署をグループとして登録することにより 配信する文書にそのグループを指定して ポン とボタンを押すだけで完了します 作業が非常に楽になったし 今後も活用し続けたいという声を数多く聞きます 稼働を開始してから 2 年ほどたちますが この間に情報が漏えいしたことは 当然ながら 1 回もありません http://www.microsoft.com/japan/business/peopleready/casestudy/nissan/nissan-s.mspx 参天製薬株式会社様 ( 導入前 ) 重要な書類は PDF 化し 改ざんや印刷の制限を実施 機密メールには逐一 機密文書 である文言を付記 作業効率が下がっていた ( 導入後 ) ワンクリックで設定でき セキュリティ対策にかかる手間が減り 業務に集中できるようになった 社外秘のメールに転送不可の制限をかける場合など RMS/IRM はユーザービリティに非常に優れていました RMS/IRM では アイコンをクリックするだけでさまざまな設定が行えるため 誰でも容易に使用することができます また 当社では 多くの業務で Office 製品を活用していますので 他社製品と比較して Office 製品との親和性の高さも魅力的でした http://www.microsoft.com/japan/showcase/santen.mspx ソフトバンク BB 株式会社様 ( 導入前 ) 日常的にファイルをメールに添付して共有 別のグループ会社のユーザーへの誤送信や メールの転送を繰り返すうちに意図しない人への転送の危険性があった ( 導入後 ) メールの転送や印刷 ファイルの持ち出しを制御できるようになった ドメインを分けて RMS を導入した結果 メールの転送や印刷を制御し Excel や Word ファイルの持ち出しを防ぐことができるようになりました http://www.microsoft.com/japan/showcase/softbankbb3.mspx Windows Server 2008 導入事例はこちらからアクセス http://www.microsoft.com/japan/windowsserver2008/casestudies/default.mspx 11
AD RMS サーバー / クライアント要件 サーバー バージョン AD RMS サーバー Active Directory ドメインサービス SQL Server Windows Server 2003 Windows Server 2008 / 2008 R2 Windows 2000 Server SP3 以上 Windows Server 2003 Windows Server 2008 / 2008 R2 SQL Server 2005 SQL Server 2008 クライアント 対応 OS Windows Vista / Windows 7 AD RMS 対応アプリケーション Windows Server 2008 / 2008 R2 Windows XP Windows Server 2003 Windows 2000 Server / Professional SP3 AD RMS モジュール標準搭載 AD RMS モジュールが必要 Office Professional Edition 2003 / Office Professional Plus 2007 以上 (Word Excel PowerPoint Outlook InfoPath) XPS Viewer 12
もっと知りたい方は Windows Server 2008 Webcast Active Directory Rights Management サービスで実現するコンテンツ保護 Webcast 本 Webcast では Windows Server 2008 の Active Directory Rights Management サービス (AD RMS) の新機能 強化点をデモンストレーションを交えながらおよそ 30 分程度でご紹介します ご都合のよい時間に視聴下さい http://www.microsoft.com/japan/windowsserver2008/webcast/default.mspx 技術情報 Windows Server 2008 TechCenter 本 Web サイトには Windows Server 2008 の評価 導入に役立つ技術情報が掲載されています 機能説明 ステップバイステップガイドなど Windows Server 2008 / Windows Server 2008 R2 の評価 導入にお役立てください http://technet.microsoft.com/ja-jp/library/cc771234(ws.10).aspx 製品の評価 Windows Server 2008 の Active Directory Rights Management サービスの新機能ステップバイステップガイド Windows Server Active Directory Rights Management サービス Windows Server 2008 TechCenter で検索 13
サポートライフサイクル マイクロソフトは ビジネス製品および開発用製品について 最短でも 10 年間 ( メインストリームサポートフェーズ 5 年間 および延長サポートフェーズ 5 年間 ) サポートを提供します 1 年 2 年 3 年 4 年 5 年 6 年 7 年 8 年 9 年 10 年 メインストリームサポート 延長サポート メインストリームサポート 延長サポート オンラインセルフヘルプサポート オンラインセルフヘルプサポート 上記はビジネス製品および開発用製品についての情報です コンシューマ製品 ハードウェア製品 マルチメディア製品 および Microsoft Dynamics 製品については 最短でも 5 年間のメインストリームサポートを提供します 詳細については マイクロソフトのサポートライフサイクルの Web サイトをご覧ください http://support.microsoft.com/lifecycle/ 製品の仕様変更 機能追加 セキュリティ更新プログラム提供 セキュリティ以外の更新プログラムのリクエスト 無償サポート 有償サポート セキュリティ更新プログラム提供 セキュリティ以外の更新プログラムのリクエスト ( 別途契約が必要 ) 有償サポート マイクロソフトの Web サイトでの製品情報提供 Windows Server のサポートライフサイクルは以下のとおりです Windows 2000 Server はまもなく延長サポート終了です 新バージョン移行へのご計画を早期にお願いいたします 2009 年 2010 年 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 延長サポート 2010 年 7 月終了 メインストリームサポート 延長サポート 2015 年 7 月終了 + メインストリームサポート 延長サポート Windows Server 2008 R2 をお勧めします 14
他の章は下記をクリックして PDF 一覧からお入り下さい IT ライブラリー (pdf 100 冊 ) http://www.geocities.jp/ittaizen/itlib1/ 目次番号 270 番 Windows Server Enterprise 2008 R2 完全解説 ( 再入門 ) 全 26 冊 15