改善のための要件: クライアントインフラ担当東野智子の場合マイクロソフトのソリューションとその効果東野智子(30 歳) SaaSアプリ情報システム部のクライアントインフラ担当情報システム部のクライアント課題 ID と認証の統合 EMS : Azure AD Premium クラウド

The Microsoft Conference 2014 ROOM E

改善のための要件: クライアントインフラ担当東野智子の場合マイクロソフトのソリューションとその効果東野智子(30 歳) SaaSアプリ情報システム部のクライアントインフラ担当情報システム部のクライアント課題 ID と認証の統合 EMS : Azure AD Premium クラウドインフラ担当クライアント管理の効率化個人情報保護対策情報漏えい対策 IT ガバナンスクラウドアプリのパスワード管理改善方法サイバー攻撃対策マルチデバイス管理アカウントと認証管理フェデレーション認証ディスクやデータの暗号化アカウントと認証の管理 EMS : Azure RMS 社内 ID 連携 Active Directory 情報漏えい対策 BitLocker マルチデバイス管理 EMS Windows Intune サイバー攻撃対策最新クライアントへの移行パッチ管理 EMS : Enterprise Mobility Suite

改善のための要件 : ソリューション Azure Rights Management Service (RMS) で社内とクラウドのデータを保護 EMS は Azure RMS を包含 Office 2013 や Office 365 で作成したデータやメールを暗号化して参照編集コピー印刷転送などの操作を制限 Office 2013 Azure RMS Office 365 取引先ユーザーと共有も可能登録

The Microsoft Conference 2014

Microsoft Rights Management Microsoft Office の IRM 基盤 Rights Management Services (RMS) Information Rights Management (IRM) Microsoft Office の機能名 Microsoft Office のファイル / メールを保護 Microsoft Office ファイル / メールの暗号化利用権限の制御基盤の歴史 2003 年提供開始 2003 年 ~ Windows Rights Management (Windows RMS) (Windows Server 2003/R2) 2008 年 ~ Active Directory Rights Management サービス (AD RMS) (Windows Server 2008/R2, Windows Server 2012/R2)

情報漏えい対策と安全な共有情報の所有者が意図した範囲で情報の共有が可能 RMS で保護されたコンテンツ ( ファイルメール ) 1. 暗号化 2. ユーザー認証 ( コンテンツごと ) 3. 権限の制御 ( 閲覧編集保存印刷利用期限など ) 情報のオーナー共有相手 1. 暗号化コンテンツは暗号化され紛失 / 盗難時から保護安全な共有 ( 二次三次流出の保護 ) 2. ユーザー認証データの持ち出し紛失 / 盗難から保護 3. 権限の制御意図した権限範囲での共有印刷不可メール転送不可など

暗号化と認証コンテンツは暗号化利用には認証が必要紛失 / 盗難といったリスクから保護権限を持たないユーザーは利用できない

認証と権限制御その価値権限を持たないユーザーは利用できないコンテンツに対して保有する権限を細かく制御保有権限ユーザー A ( 社内 ) ユーザー B ( 社内 ) 他のユーザー閲覧編集保存コピー & ペースト印刷など - - - 利用期限 10/31 - 情報の所有者社内ユーザー社内ユーザー A さん社内ユーザー B さん社内社外ユーザー

コンテンツの保護暗号化と認証と権限制御アクセスが制限される旨の表示保有権限ユーザー B ( 社内 ) 閲覧編集不可編集保存ファイルメニューコピー & ペースト不可保有権限コピー & ペースト印刷など - 保存不可利用期限 2015/1/14 印刷不可有効期限

The Microsoft Conference 2014 DEMO RMS って?

The Microsoft Conference 2014

https://portal.aadrm.com

Azure RMS の提供を開始 Azure Active Directory Rights Management 2013 年クラウド基盤の提供を開始 Office 365 でも機能の一部として提供 E3/E4 ライセンスには Azure RMS の利用権が含まれる ( 機能制限あり ) O365 利用ユーザーはライセンス購入 / 割り当てを行えばすぐに利用可能新機能

Azure RMS と AD RMS の関係クラウドの基盤とオンプレミスの基盤いずれか 1 つの基盤を選択して利用 Azure RMS と AD RMS の同時利用は不可できることはほぼ同じ Azure RMS の方がクライアント要件が高い Windows 7 / Office 2010 以降が対応 Azure RMS はすべての連携製品と連携可能 ( ライセンスは別 ) SharePoint Online, Exchange Online, SharePoint Server, Exchange Server Windows Server 2012 以降のファイルサーバー (FCI) AD RMS は SharePoint Online との同期が不可社外ユーザーとの共有 (B2B) は Azure RMS のみの機能

The Microsoft Conference 2014

情報漏えい対策と安全な共有情報の所有者が意図した範囲で情報の共有が可能管理者が意図した範囲で安全に情報を流通させることが可能社内外を問わない RMS による安全な共有 RMS で保護されたコンテンツは例外なく暗号化 AES + RSA の利用 Windows 以外の端末でも利用可能 (ios/android など ) Office のファイル以外でも利用可能 RMS で保護されたコンテンツの利用には認証が必要認証ができないユーザーは利用できない外部ユーザーにも共有可能 RMS で保護されたコンテンツへの権限を細かく制御ユーザーもしくはグループの単位で権限を付与利用期限の設定も可能

RMS = 暗号化と認証と権限制御暗号化されたコンテンツについて誰が ( 認証 ) 何を ( 権限 ) いつまで利用できる誰が誰が何をいつまで何をいつまで保有権限ユーザー A ( 社内 ) ユーザー B ( 社内 ) ユーザー C ( 社外 ) 閲覧編集保存コピー & ペースト印刷など - - - 利用期限 10/31 10/25

誰が展開スコープの拡張社内で使っている仕組みを社外ユーザーとの共有でも利用可能社外ユーザーのアカウントはケアする必要なし ( ライセンスも不要 ) 社外ユーザーの電子メールアドレスで保護して共有するだけ保有権限ユーザー A ( 社内 ) ユーザー B ( 社内 ) ユーザー C ( 社外 ) 社内ユーザー A さん閲覧編集情報の所有者社内ユーザー B さん社外社内社外ユーザー C さん保存コピー & ペースト印刷など - - 利用期限 10/31-10/25

RMS Sharing Application 強力な RMS ツールの提供 Microsoft 提供の無償のツール RMS 利用インターフェースの追加ファイルを右クリックして保護可能 Microsoft Office の UI 拡張外部ユーザー共有のための UI 実装 Microsoft Office のファイル以外に RMS で保護可能なファイルフォーマットの追加テキスト画像 PDF ファイル Protected ファイル (Pxxx) として保護専用のビューア (IPViewer) で保護されたファイルを展開マルチプラットフォームで提供 Windows / Mac / ios / Android / Windows Phone などのプラットフォームで利用可能

IPViewer による RMS で保護されたファイル (PPDF) 閲覧 (ios) IPViewer による RMS で保護されたファイル (PPDF) 閲覧 (Mac OS) RMS Sharing Application - IPViewer

何を - 対応ファイルの追加 RMS によるファイルの保護保護の対象と形態アプリケーションが RMS に対応しているファイル RMS が提供する機能をすべて利用可能対応ファイルの例 Microsoft Office ファイル PDF ファイルリーダーは Foxit PDF リーダーなどの利用他対応アプリケーション RMS Sharing Application で対応拡張子を変え P という Prefix をつけて保護する形態 (PDF -> PPDF) IPViewer で利用 ( 閲覧のみ ) 対応ファイルの例テキストファイル画像ファイルなど RMS Sharing Application で対応 zip ファイルのような形でファイルをコンテナに格納コンテナから出されたファイルは保護されない対応ファイル全てのファイル ( ファイルフォーマットを問わない )

Pxxx ファイルによる保護オリジナルの拡張子.txt.xml.jpg.jpeg.pdf.png.tiff.bmp.gif.jpe.jfif.jif RMS で保護した後.ptxt.pxml.pjpg.pjpeg.ppdf.ppng.ptiff.pbmp.pgif.pjpe.pjfif.pjif RMS Sharing Application による対応ファイルの拡張子を変えて保護 (Protected ファイル ) 専用のビューア (IPViewer) で保護されたファイルを利用 Pxxx ファイルとして保護されたファイルはファイルのアイコンが変わるテキスト txt -> ptxt PDF pdf -> ppdf PNG png -> ppng

マルチプラットフォーム対応 ios / Android OS のサポート RMS Sharing Application の提供現時点で利用可能なファイルは Pxxx ファイルと PFILE のみ Mobile Office は RMS 未対応 ( ネイティブで保護された Microsoft Office ファイルは取り扱えない点に注意 ) 基本的にコンテンツの閲覧に特化保護の機能は限定 ( 画像ファイル )

The Microsoft Conference 2014 DEMO RMS Sharing Application モバイルデバイスでの利用

The Microsoft Conference 2014

コンテンツの保護と利用どう保護する? ユーザーサイド ( 手動 ) - ユーザーに設定を委ねる Microsoft Office ユーザーインターフェース Edition により UI 有無 RMS Sharing Apps ユーザーインターフェースサーバーサイド ( 自動 ) - システムで RMS による保護を徹底 SharePoint / SharePoint Online Exchange / Exchange Online ファイルサーバー (Windows Server 2012 以降 FCI) どう利用する? ファイルの保護は Windows 端末それ以外の端末は消費専用 Windows 端末ならフル機能を利用可能 Windows 以外の端末では保護されたコンテンツの安全な閲覧 Office Web Apps / Pxxx の活用 (Office Mobile は対応していない )

RMS 適用ユーザー手動 1. Microsoft Office のメニューから設定 ( 詳細設定 ) ユーザーグループ単位でコンテンツに対する権利条件を細かく設定

RMS 適用ユーザー手動 2. Microsoft Office のメニューから設定 ( 権利ポリシーテンプレート ) 標準追加管理者があらかじめ定義した権利条件の雛形を使ったワンクリックでのコンテンツ保護ユーザーグループ単位で付与する権利条件を定義機密区分 C テンプレート Contoso 機密区分 B テンプレートユーザー Contoso Contoso Senior グループ Contoso 機密区分 A テンプレートユーザー Managers Employees Managers Contoso Contoso Senior グループ Contoso ユーザー Managers 閲覧 Managers Contoso Employees Contoso Senior グループ Managers Employees 編集閲覧 Managers 保存編集閲覧印刷保存編集など印刷保存 - - - 利用期限など印刷 - 30 日間 - - 利用期限など - 30 日間 - - 利用期限 30 日間

権利ポリシーテンプレート権限セットの雛形の作成と配布ユーザーグループ機密区分 A テンプレート Contoso Senior Managers Contoso Managers Contoso Employees 閲覧編集保存印刷など - - - 利用期限 30 日間 Azure 管理ポータルから作成 (O365 の管理ポータルでは設定不可 ) 配布は自動

RMS 適用ユーザー手動 3. RMS Sharing Apps の利用 RMS Sharing Application ( 別途インストール要 ) を利用することでエクスプローラでファイルを右クリックして保護が可能権利ポリシーテンプレートによるワンクリックでの保護 Pxxx ファイルで保護できるのは RMS Sharing Apps のみ SharePoint は対応していない外部ユーザーへの共有を容易にするためのインターフェースを提供

RMS 適用ユーザー手動 3. RMS Sharing Apps の利用 RMS Sharing Application による外部ユーザーへの共有設定権限を付与するユーザー電子メールアドレスで設定 ( 無償メールなどは利用不可 ) コンテンツへの権限ビューアーレビュー担当者共同作成者共同所有者コンテンツの有効期限共有相手がコンテンツを利用した際の通知 ( メール )

RMS 適用サーバー自動適用 1. SharePoint SharePoint Online の利用 2. ファイルサーバーによる保護 (Windows Server 2012 以降 ) ドキュメントライブラリにファイルを配置するだけで自動的に RMS で保護保護のタイミングはユーザーのダウンロード時共有フォルダにファイルを配置するだけで自動的に RMS で保護保護のタイミングは共有フォルダーへのアップロード時

RMS 適用サーバー自動適用 3. Exchange Exchange Online の利用ユーザーが送ったメールについて設定された条件に合致する場合自動的に RMS で保護添付ファイルについても RMS で保護可能な場合自動的に保護 Exchange Online の設定管理センターのメールフローに関する設定でメールを保護する条件を定義 Exchange Server ( オンプレミス ) でも同様に利用可能 ( ライセンスに注意 )

RMS 利用 - Windows RMS で提供される全ての機能を利用可能 Azure RMS を利用するには Windows 7 / Office 2010 が必要 RMS Sharing Application の配布 RMS 適用と保護されたコンテンツの利用が可能 Office ファイル Pxxx ファイル Office Web Apps (O365) 適用利用適用利用ファイルメール閲覧のみ

RMS 利用非 Windows 基本的に閲覧限定保護コンテンツの消費 RMS Sharing Application の利用が前提各ストアから無償で入手可能 Office ファイル Pxxx ファイル Office Web Apps (O365) 適用利用適用利用ファイルメール画像は適用可能閲覧のみ

Office Web Apps 利用 Office Web Apps による保護されたファイルの利用 (ipad) OWA for ipad (O365 用アプリ ) による保護されたメールの利用

The Microsoft Conference 2014 DEMO Contoso ドラッグ

Contoso ドラッグの場合社内社外何を保護? 東野智子 (30 歳 ) Office 課題個人情報保護対策情報漏えい対策 Pxxx メール PDF (PPDF) 何で使う? 改善方法 Azure RMS の利用展開スコープ : 社内社外ファイル : 社内 Office, PDF 社外 PDF 端末 : 社内 Windows 社外何でも権限 : 社内フルコントロール社外閲覧のみ Windows フルコントロール何でも ( 社外ユーザーなので統制不可 ) 閲覧のみ何ができる?

The Microsoft Conference 2014

利用するには何が必要? Office 365 を利用している場合既に基盤は整備済み ( ライセンスはプランによる ) ユーザーにライセンスを割り当てるだけで利用可能 RMS Sharing Application を利用する場合配布を検討オンプレミスの Exchange / SharePoint / ファイルサーバーを連携させる場合 RMS コネクターをインストールしたサーバーを配置 Office 365 をまだ利用していない場合 Azure RMS は単体でも導入可能 ( ライセンスを単体で購入 ) Exchange ファイルサーバー SharePoint Active Directory RMS コネクターサーバー ADFS WAP (Web Application Proxy) ディレクトリ同期サーバー Microsoft Azure Active Directory

利用するには何が必要? ライセンス O365 サブスクリプション (E3/E4) 機能制限有 Azure RMS Standalone サブスクリプション EMS (Enterprise Mobility Suite) サブスクリプション組織ユーザー ID を使ったコンテンツの保護と参照 Office 365 上に保存されたコンテンツの保護オンプレミスの Office に保存されたコンテンツの保護 (RMS Connector による Exchange Server, SharePoint Server の保護 ) 自己生成キーによるデータ保護 (Bring your own Key (Hybrid protection)) 非 Office ファイルの RMS による保護 (Pxxx ファイルの保護 ) RMS SDK の提供オンプレミスの Windows Server ファイル共有に保存されたコンテンツの保護 (RMS FCI Connector による保護 ) O365 E3/E4 Azure RMS

2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

The Microsoft Conference 2014

Windows の場合 2014/10 時点 1. Microsoft Office 2010 / 2013 2. Office Web Apps (SharePoint (Online)) Office 2010 の場合 RMS Sharing Application のインストールが必須 Office に含まれるアプリケーションでも RMS に対応していないものがある点に注意 (Access Visio 等は非対応 ) Foxit Reader などの対応リーダーが別途必要 PDF ネイティブで保護している場合 IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合 3. Pxxx ファイルの方式として保護することも可能この場合 IPViewer で展開可能 RMS Sharing Application テキスト画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用ユーザーが保持している権限に関わらず閲覧しかできない点に注意 1. Microsoft Office 2010 / 2013 2. Outlook Web Apps (Exchange (Online)) Office 2010 の場合 RMS Sharing Application のインストールが必須

ios の場合 2014/10 時点 1. Office Web Apps (SharePoint (Online)) Office Mobile は RMS (IRM) 非対応 RMS 権限に関わらず閲覧しかできない Foxit Mobile PDF などの対応リーダーが必要 PDF ネイティブで保護している場合 IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合 3. Pxxx ファイルの方式として保護することも可能この場合 IPViewer で展開可能 RMS Sharing Application テキスト画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用ユーザーが保持している権限に関わらず閲覧しかできない点に注意 1. Outlook Web Apps (Exchange (Online)) OWA for iphone / ipad は RMS (IRM) 対応 (Exchange Online のみ )

Android の場合 2014/10 時点 1. Office Web Apps (SharePoint (Online)) Office Mobile は RMS (IRM) 非対応 RMS 権限に関わらず閲覧しかできない Foxit Mobile PDF などの対応リーダーが必要 PDF ネイティブで保護している場合 IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合 3. Pxxx ファイルの方式として保護することも可能この場合 IPViewer で展開可能 RMS Sharing Application テキスト画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用ユーザーが保持している権限に関わらず閲覧しかできない点に注意 1. Outlook Web Apps (Exchange (Online)) OWA for Android は RMS (IRM) 対応 (Exchange Online のみ )

Mac の場合 2014/10 時点 1. Office Web Apps (SharePoint (Online)) 現時点では対応手段なし Mac 用 Microsoft Office は Azure RMS 非対応 (AD RMS は利用可能 ) RMS 権限に関わらず閲覧しかできない RMS Sharing Application テキスト画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用ユーザーが保持している権限に関わらず閲覧しかできない点に注意 1. Outlook Web Apps (Exchange (Online)) Mac 用 Microsoft Office は Azure RMS 非対応 (AD RMS は利用可能 )

The Microsoft Conference 2014

社外ユーザーの利用 1 無償サービスへの登録初回利用時に Microsoft Rights Management ポータルへアクセス自身のビジネスのメールアカウントを登録

社外ユーザーの利用 2 無償サービスへの登録一度登録すれば次回以降の利用は ID ( メールアドレス ) とパスワードで認証

社外ユーザーの利用 3 無償サービスへの登録アカウントのプロビジョニング完了後必要なアプリケーション (RMS Sharing Application などをインストール )

社外ユーザーの利用 4 無償サービスへの登録本人確認登録が完了した旨など一連のやり取りで登録するメールアドレスに対してメールが届くフリーのメールサービス (Hotmail など ) は利用できない点に注意 O365 ユーザーである場合には登録は必要ない