<4D F736F F F696E74202D20325F49524D2082CC82B28FD089EE2E B93C782DD8EE682E890EA97705D205B8CDD8AB B83685D>

EMC Documentum IRM のご紹介 EMCジャパン株式会社インフォメーションインテリジェンス事業本部 1 EMCのアプローチ(1/2) 場所で制御する従来型方式にプラスし, ファイルで制御する鍵方式 (Documentum IRM)を採用することによりさらに堅牢なセキュリティシステムを実現場所で制御するファイル単位で制御する文書と人を結びつけてアクセス権限をコントロールファイルのダウンロードの禁止 ( 持ち出し制限 /アクセスコントロール) ファイルひとつひとつに鍵をかける万一 ID/Password+ファイルのすべてが流出したら文書の所在は不問コピーされてもOK 操作履歴の監査監査制御不能文書毎のアクセス権限物理的な持ち出しの禁止ファイルを壁で守る万一流出しても監査と制御が可能 2

EMCのアプローチ(2/2) IRMは文書ファイルの暗号化と権限管理により情報の漏洩を防止します! 従来の情報保護アプローチ限定された利用者だけがアクセス EMCのアプローチ利用者は不特定多数フォルダやハードディスクなど大きな単位で暗号化正当な利用者が持ち出し/ コピーした情報は保護の対象外情報流出後は打ち手がない内部だけで利用する情報を保護ファイル単位で暗号化正当な利用者から故意または事故により流出した情報 (コピーも含む)も同様に保護流出発覚後即時失効できる外部と共有しなければならない情報まで保護 3 Documentum IRMのメカニズム 1 コンテンツを保護する ( 暗号化 +ポリシ設定 ) 閲覧可協力会者 Aのみ印刷不可有効期限 30 日保護されたコンテンツは通常のワークフロー(e-mail, ファイル共有, CD, コンテンツ管理 )を通して配信される 3 6 ポリシーで許可されていないため開くことができない社員 SSL IRM Server AD GUID 設定した 5 ポリシー暗号鍵がサーバ Recipient IRMサーバーに is authenticated. 接続し認証 Enterprise と許可のた Content activity viewed 上に保 2 管されるめにエンタープライズディレクトリが directories referenced for 参照さアクセスログで and policy dynmaically 監査が可能れるポリシーで authentication 許可 and されている authorization. 権限で暗権限もダイナミックに changed 変更で号化 Content されたコンテンツを is opened 開く with 暗号 policy 鍵はメモきるリ上から削除される enforced. ポリシー設定閲覧可協力会社 A 印刷不可期限 30 日 Plug-in 4 SSL 協力会社 A 第三者 4

他社製品との差別化ポイント 1 ネットワークの外でのアクセス制限プラグイン経由でサーバーへの認証を必要としどこにあっても操作を制限させられる 2 3 4 動的な権限管理表示編集や印刷の操作制限がファイルの配布後にも変更が可能詳細なアクセスログ誰がいつアクセスしたのかだけでなく認証の失敗や印刷などの操作も記録マルチファイルフォーマット対応 Plug-in SDKを利用しあらゆるファイルフォーマットに対してポリシー付与が可能 5 IRMの機能と特徴機能永続的な情報保護動的な権限管理有効期限の自動失効継続的な監査証跡オフラインアクセス動的な透かし既存のインフラとの統合特徴編集中や利用されていない間転送中配布後であっても常に情報が保護される情報を受け取った側の個人ごとに許可する操作をリアルタイムに変更することができるどこにファイルが置かれていても期限がきたら自動的にアクセスを失効させることができる文書ごとにどのユーザーが何をしたのか詳細な記録が残るインターネットにつながらない環境であってもファイルを開くことができる印刷時にいつ誰が印刷したのかを強制的に出力させられる既存の認証ドメインやと統合によりユーザー管理の負荷の軽減や自動認証の利用が可能になる 6

Documentum IRM の仕様認証方法シェアードシークレット Active Directory LDAP 暗号化方式 AES 256bit ( 共通鍵方式 ) 通信方式 SSL 対象クライアント製品 Adobe Acrobat/MS Office Word, Excel, PowerPoint 暗号文書配布後のアクセスコントロール閲覧禁止編集禁止印刷禁止 (スクリーンショットも禁止 ) コピー&ペースト禁止透かし挿入アクティビティログオフライン設定有効期限設定ネットワークロケーションでの制限文書管理システム連携 7 IRMシステム構成概要 DMZ 外部 IRMクライアント -MS Office IRMクライアント -MS Office IRM Server - エクスターナル用 -Active/Standby IRM Server - インターナル用 -Active/Standby RDBサーバー - 鍵とポリシーの保管 -RDBMS 別途ご手配下さい Development & SDK 用サーバー - 開発環境用 - フォルダ監視 APL 開発用 Active Directory - 社内認証用 - 連既存のADサーバー -IRM Serverが連携 8

IRMの機能 1 文書への操作の制限表示編集して保存コピー&ペースト印刷スクリーンショットファイル名の変更やファイルのコピーがされても制限は全て継承される 9 IRMの機能 2 動的な権限設定配布後であってもファイルの差し替えをせずに権限を変更ができる情報漏えい後も瞬時にアクセス権の取り消し( 文書の回収 )が可能ファイルの利用者仕様書 Ver.1 表示可印刷不可編集不可仕様書 Ver.1 表示可印刷可編集可仕様書 Ver.1 表示可印刷可編集可仕様書 Ver.2 表示可印刷可編集可ファイルを開くポリシーファイルを保護認証し常に新しいポリシーで開くポリシー変更印刷許可編集許可編集して保存ポリシーは継承されるファイルの所有者 10

IRMの機能 3 詳細なアクセスログの記録ユーザーのOffice, Acrobatのプラグインから確認が可能サーバー側にはさらに詳細な情報が記録されているログの情報ユーザーID アクセス元のIPアドレスもしくはドメイン名操作内容読み取り( 開く) 印刷変更 ( 編集して保存 ) 11 IRMの機能 4 透かしの印刷固定の文字列だけでなく印刷時の動的な情報を強制的に出力 Office, PDF 文書に対応 PDF 文書ではディスプレイにもリアルタイムに表示印刷した人のユーザーID 印刷したコンピュータの IPアドレス印刷した日時 12

IRMの機能 5 有効期限有効な時間帯の設定期日 ( 日付指定 )もしくは期間 ( 相対的な日数指定 )でファイルを利用できる期限の設定が可能ファイルがいつから有効になるのかの設定が可能ネットワークロケーションでのアクセス制限同じユーザーの同じファイルへの操作であってもアクセス元のネットワークロケーションによってアクセスの制限ができる研究室アクセス許可来客エリアアクセス禁止自宅アクセス禁止 13 IRMの機能 6 所有者権限の移譲サーバー管理者だけでなく所有者自身が権限委譲の操作が可能組織の変更担当者の変更などに柔軟に対応できるオフラインネットワークに接続できない環境もサポート日数を指定してオフラインを許可する期間を設定ネットワークに再接続した時点で全ての操作ログをサーバーへ送信認証システムとの連携複数の認証システムの併用が可能既存の認証システム(Active Directoryなど)と連携するころができユーザー管理の負荷を軽減複数の認証システムを使用する場合統合の必要がない複数のActive Directoryを1つのIRM Serverで連携可能外部ユーザー向けにも 1つのIRMのシステムで管理可能セキュリティのためにインターナルとエクスターナルの分離を推奨 14

IRMの機能 7 ポリシー付与の自動化社外秘人事ユーザーは意識せずにファイルを保護することが可能 eroomはファイルサーバによるデータ共有の問題点であるバージョン管理ができないごみ貯め状態情報の再利用性の低下などを改善し社内社外で情報の共有と再利用性を高めるためのプラットホームであるとともにユーザは意識せずファイルを保護することが可能である 15 IRMの機能 8 アクセス権の一括変更 ( 組織変更時など) EMC Documentumとの連携により旧部署の書類を新部署に対するアクセス権へ一括変更が可能営業部用のアクセス権を持つコンテンツ営業第 2 部用のアクセス権を持つコンテンツ update dm_document object set acl_name = 営業第 2 部用 where acl_name = 営業部用複雑な条件で更新を行うことも可能 ( 佐々木さんと山田さんのコンテンツのみ営業第 2 部として変更などをwhere 条件として設定 ) 16

画面イメージファイル作成時 (1 / 4) クライアントプラグインから暗号化をする場合のイメージ 1. 保護したいファイルを開き暗号化のアイコンをクリックもしくは権限 >ファイルの保護を選択 2. IRMサーバに接続しこのユーザが暗号化を行なう権限があるかどうかを確認 3. 権限があればポリシ設定画面が表示される 4. 予め設定されているテンプレートを選択する 5. あるいはカスタムポリシーで保護の種類を選択するクライアントプラグインをインストールするとアイコンが表示されます 17 画面イメージファイル作成時 (2 / 4) カスタムポリシーの場合閲覧を許可するユーザーを追加するファイルのポリシーを設定して保存印刷の許可編集の許可オフラインの許可有効期限透かし 18

画面イメージファイル閲覧時 (3 / 4) 暗号化された文書には鍵マーク 1. ファイルを開くと認証のため IRMサーバに接続する 2. 認証情報を入力しファイルを開く ADの場合シングルサインオンが可能 3. 許可された権限でファイルを閲覧 19 画面イメージファイル閲覧時 (4 / 4) 透かしを挿入できるディスプレイでも透かし表示 PDFではファイルごともしくはページごとに権限設定が可能 20

Configuration オプション1: ファイルサーバー連携ファイルサーバーの特定のフォルダーにドキュメントをコピーするとそのフォルダーに定義されたポリシーで自動的にIRMのセキュリティが付加される Extranet Serverというサーバーサービスがフォルダーを監視するオプション3: eroom 連携 eroomの特定のフォルダーにドキュメントをコピーするとそのフォルダーに定義されたポリシーで自動的にIRMのセキュリティが付加されるポーリングセキュリティ付加ファイルサーバー IRMサーバー IRMサーバー eroom オプション2: 他のアプリケーションと連携他のアプリケーションと連携してドキュメントにIRMのセキュリティが付加する IRMはWebサービスのSDKを提供しておりアプリケーション側からWebサービスでリクエストを発行する Webサービスアプリケーションセキュリティ付加 IRMサーバー 21 THANK YOU 22

<4D6963726F736F667420506F776572506F696E74202D20325F49524D2082CC82B28FD089EE2E7070745B93C782DD8EE682E890EA97705D205B8CDD8AB78382815B83685D>