CAD の世界にも広がる情報漏洩対策 EMC Documentum IRM for CAD 2010 年 3 月 5 日 EMC ジャパン株式会社 CM&A 事業本部東方優和 1
アジェンダ EMC Documentum IRM の実装 IRM SDK と CAD プラグイン 2
EMC Documentum IRM の実装 3
EMC Documentum IRM の動作 5 1 ドキュメントを作成し 暗号化 ポリシー設定 様々な方法でドキュメントを共有 6 受信者は 認証サーバーを介して認証を受け データの整合性を確認し 保護された状態で閲覧 7 送信者はログの確認とポリシーの変更が可能 データベースに暗号鍵 ポリシーを暗号化して保存 3 サーバーにポリシーと暗号鍵を登録 2 IRM サーバー 4 ポリシーサーバーが認証サーバーを検索し 認証と権限を適用 4
Documentum IRM の仕様 認証方法 シェアードシークレット Active Directory LDAP 暗号化方式 AES 256bit ( 共通鍵方式 ) 通信方式対象クライアント製品暗号文書配布後のアクセス コントロール閲覧禁止編集禁止 SSL Adobe Acrobat/MS Office Word, Excel, PowerPoint 印刷禁止 ( スクリーンショットも禁止 ) コピー & ペースト禁止透かし挿入アクティビティログオフライン設定有効期限設定ネットワークロケーションでの制限文書管理システム連携 5
クライアントアプリケーションからの直接利用 アプリケーションの 権限 メニューから操作 IRM 単体で使用できる アプリケーション内の操作で完結する 標準で Microsoft Office Adobe Acrobat に対応 6
デモ IRM Office プラグイン 7
IRM システム構成概要 DMZ 外部 IRM クライアント - MS Office Client - Adobe Acrobat Client IRM Server - エクスターナル用 IRM Server - インターナル用 DB サーバー - 鍵とポリシーの保管 IRMクライアントファイルサーバ - MS Office Client - Adobe Acrobat Client Active Directory - 社内認証用 - 連既存の AD サーバー - IRM Server が連携 8
Documentum IRM の実装モデル オプション 1: ファイルサーバー連携 ファイルサーバーの特定のフォルダーにドキュメントをコピーすると そのフォルダーに定義されたポリシーで自動的に IRM のセキュリティが付加されるようにフォルダーを監視する オプション 3: eroom 連携 eroom の特定のフォルダーにドキュメントをコピーすると そのフォルダーに定義されたポリシーで自動的に IRM のセキュリティが付加される ポーリング セキュリティ付加 ファイルサーバー IRM サーバー IRM サーバー eroom オプション 2: 他のアプリケーションと連携 ERP や他の文書管理アプリケーションと連携してドキュメントに IRM のセキュリティが付加する IRM SDK でアプリケーション側からリクエストを発行する オプション 4: Documentum 連携 Documentum の特定のフォルダーにドキュメントをコピーすると そのフォルダーに定義されたポリシーで自動的に IRM のセキュリティが付加される リクエスト アプリケーション キーの送付 IRM サーバー IRM サーバー Documentum 9
eroom との組み合わせ (1) IRM Services for eroom ユーザが意識せず 使い慣れている UI で透過的に IRM による文書保護を実現 アクセス権が eroom から継承し IRM サーバでの二重管理は不要 ユーザ管理は eroom で行い IRM サーバでの二重管理は不要 文書登録時に自動的に IRM で保護 10
eroom との組み合わせ (2) IRM Services for eroom ルーム全体 またはフォルダに対して保護を行うことが可能 eroom のアクセス権限と連動した権限管理 IRM 連携のために追加したポリシー設定ボタンとポリシー設定画面 11
デモ IRM Services for eroom 12
IRM + Documentum の連携 (1) 登録時の情報保護 Documentum にファイルを登録すると同時に情報を持ち出し不可能にする フォルダー単位で持ち出し権限ポリシーを設定 配布済みの文書を含めて任意のタイミングでアクセス権を変更 古いバージョンは隠す ( 必要あるときには メニューからアクセス可能 ) ファイルのインポート インポート後で自動的に IRM で保護されたファイル 13
IRM + Documentum の連携 (2) ワークフローでの自動保護 レビューや承認の社内プロセスのステップして自動的に持ち出し不可能にする ネイティブ の状態で文書の編集やレビューを行う 配布直前に自動的に IRM で保護 配布直前に有効期限を設定 2 レビュー & 承認 3 レビュー & 最終決裁 4 自動 IRM 保護 1 ワークフロー起案 社外配布 14
Documentum を使った文書作成フロー図 ユーザによる作業作成 ユーザによる作業レビュー ユーザによる作業作成作業 文書の作成 文書の編集 部門内の承認フロー コメントの追加 バージョンの作成 PDF 変換 承認フロー 承認処理 最終決裁 自動処理配布 自動処理アーカイブ 1 作成中 承認フロー 2レビュー 3 承認済み 4 配布 5アーカイブ 承認フロー 業務ルール 文書作成者は削除権限を持つこと 部門内ユーザは編集権限を持つこと 自動処理 属性情報の設定 アクセス権の設定 業務ルール レビューする人に閲覧及び 編集権限を与えること 承認監査ログを採ること 自動処理 PDF 版の自動生成 レビュー フォルダに文書を移動 アクセス権を設定 業務ルール 変更権限を外すこと 削除権限を外すこと 自動処理 PDF 版の自動生成 承認済み フォルダに文書を移動 アクセス権を設定 業務ルール 編集権限を外すこと 自動処理 IRMポリシーを設定し有効期限及びアクセス権を適用 ポータルやWebサイトに配信 Active フォルダに移動 業務ルール 改竄防止のため削除や編集権限を外すこと 自動処理 アクセス権を変更 保管期間を設定 アーカイブ フォルダーに移動し 長期保存用のストレージに移動 15
IRM とその組み合わせの機能比較 動的ポリシーアクセス変更印刷時の透かし詳細アクセス履歴印刷制御 LDAP/AD 連携グループ単位でのポリシー設定 ユーザ単位でのポリシー設定バージョンの整合性チェック組織の一括変更への対応 コラボレーション機能カレンダー機能データベース機能プロジェクトプラン機能基本文書管理高度な文書管理基本セキュリティ高度なセキュリティ電子署名 / サインオフワークフロー関連文書の管理フォーマット変換属性情報の保存ライフサイクル監査証跡保管期間設定 IRM( 単体 ) IRM Services for eroom IRM Services for Documentum 16
IRM SDK と CAD プラグイン 17
IRM SDK IRM SDK を使用することにより EMC Documentum IRM の機能を他のアプリケーションとの統合 連携により その利用範囲を大きく広げることができます 使用用途 1. カスタムクライアント プラグイン開発 IRM 用のクライアントプラグインを開発するとあらゆるファイル形式に IRM 保護を適用することが可能 パートナにて CAD 及びオープンソースのオフィスツール Open Office 用のプラグインを開発 2. 文書管理システムとの連携 IRM Server Extension API を使って文書管理システムとの透過的な連携を実現することが可能 IRM Services for Documentum 及び IRM Services for eroom は IRM Server Extension API を使用 3. カスタムアプリの作成及びバッチファイル保護及びアプリとの連携 カスタムでビューアを作成しイメージ情報に IRM 保護を適用 Windows のコマンドラインから文書の IRM 保護を実現 ( サンプルコードあり ) 18
IRM SDK で提供される API セット IRM Server Management API for C and COM IRM サーバ側の操作に関する API ドキュメント メールの暗号化 IRM Server Extensions API for COM 認証 権限 イベント通知のカスタムロジック作成 IRM に関する文書属性情報の取得などに関する API Documentum 等のコンテンツ管理製品等との外部連携 IRM Client Integration API for C サードパーティ製アプリに対するプラグイン開発用 API(OpenOffice, CAD など ) IRM Content Decryption API for COM 復号化のための API マルチスレッド対応 (Content Decryption Extended API) IRMSDK 動作環境 OS: Windows Server 2003 SP2 Windows XP SP2/SP3 19
IRM のポリシー層とカスタマイズによる拡張 ポリシー層 ログイン権限 ユーザのアクセス IRM サーバへのアクセスを許可する権限設定 拡張ログイン権限 外部の認証システムと連携 (API の利用 ) グループ権限 グループ単位の権限設定 サーバ権限 IRM サーバ単位の権限設定 ファイル権限 ファイル単位の権限設定 拡張ログイン権限 ユーザでカスタマイズが可能な層 (API の利用 ) ( 個人ごとの権限設定 印刷回数の制限など ) 20
1)Server Extension API の利用例 Document Management System (DMS) 連携イメージ文書保護 ユーザ 6-1 鍵を使って文書を暗号化 1 ファイルを DMS フォルダにアップ 6 文書管理システム DMS ユーザ ID 管理機能 1 4 2 IRM クライアントライブラリを使ったカスタムロジック IRM 連携用のサービス 2DMS が IRM クライアントライブラリーを使った内部アプリに暗号化リクエストを送る 3 内部クライアントアプリが IRM Server に連絡する 3 5 6-2 保護された文書は IRM DB に登録 5 IRM の暗号鍵をクライアントに送信 6 4 IRM Server Extension IRM Server 4 4 ユーザ認証が DMS と IRM サーバ間で行われる 21
2)Server Extension API の利用例 Document Management System (DMS) 連携イメージアクセス時の SSO 認証 1DMS に格納されている保護文書を開くときクライアント PC に文書がダウンロードされ 該当する IRM クライアントプラグインが入っているアプリで開かれる 5 ユーザ A 3 2 2IRM クライアントが DMS セッションからユーザ認証情報を取得する 2 文書管理システム 1 DMS ユーザ ID 管理機能 4 DMS 上ユーザ A に対するアクセス権 閲覧 編集 印刷禁止 IRM クライアントライブラリを使ったカスタムロジック 4IRM Server Extension は認証情報を DMS に転送しファイルに対するアクセス権を取得する 4 IRM 連携用のサービス 3IRMクライアントが バックグラウンドでDM Sユーザ認証情報を IRMサーバに転送 3 3 5 4 IRM Server Extension IRM Server 3 5 5 DMS 上で格納されてる文書のアクセス権が文書に適用され ファイルが開かれる ( 閲覧が許可されている場合 ) 22
3) クライアント プラグイン事例 CAD プラグイン IRM Client Integration API を利用し AutoCAD に Rights メニュー項目を追加し DWG ファイルの保護を可能にする 上記の画面はイメージです 23
4) カスタムアプリの作成 : ビューアのサンプルアプリ IRM SDK に含まれる カスタムアプリケーションのサンプル IRM Image Viewer でイメージファイルの IRM 保護は可能 24
IRM for AutoCAD デモ ( 保存時 ) 25
IRM for AutoCAD デモ ( オープン時 ) 26
ドキュメンテーションとサンプルコード ドキュメンテーション Client SDK API Reference Server SDK API Reference IRM Server Management API for C Reference IRM Server Extension API for COM Reference Readme サンプルアプリのインストールガイド サンプルアプリ クライアント側プラグインのソースコード 復号プログラムのソースコード及びコンパイル済みバイナリファイル プログラムによるファイルの復号化 Web サービス IRM Server Extension のソースコード及びコンパイル済みバイナリファイル 外部ユーザ認証システムとの連携に使用 文書管理システムやアプリとの連携に使用 docreg アプリケーションのソースコード及びコンパイル済みバイナリファイル コマンドラインからの IRM サービスの利用 (Windows 2000/XP) 27
IRM についてのサポートリソース EMC Developer Network https://community.emc.com/docs/doc-3503 SDK のダウンロード トレーニング ビデオ ホワイトペーパー コードサンプル フォーラム / ディスカッション /Q&A 28