エンタープライズ:ニュース 2003/10/31 01:35:00 更新


Security Solutionを振り返る:11月上旬にも登場するWindows RMSの実力とは

マイクロソフトは間もなく、Officeスイートで作成したドキュメントに対しアクセス管理を実現し、情報漏えい防止を支援するWindows RMSをリリースする計画だ。

 マイクロソフトはOffice 2003スイートの出荷に続き、11月上旬にも、文書に対し権限に応じたアクセスコントロールを可能にするWindows Rights Management Services(RMS)対応ソフトウェアの提供を開始し、企業からの情報漏えい防止を支援していく計画だ。これに先立ち同社セキュリティ戦略グループのシニアプロダクトマネージャ、古川勝也氏は、Security Solution 2003の併催イベントとして行われたMicrosoft Security Summitの中でWindows RMSの概要について説明した。

 現在、企業では多くの重要な情報が電子形式のドキュメントで、あるいは電子メールでやり取りされている。だがこうした情報は、プリントアウトや外部メディアへの保存、転送といった簡単な操作で、容易に外部に流出してしまう。時には、ユーザーには悪意がなくとも、単なる不注意が情報流出を招くケースも多い。

 「ほとんどの企業では、外部からの攻撃への対策としてファイアウォールやウイルス対策ソフトを導入している。これに対し内部からの情報漏えいに対する対策は、手付かずのままであることが多い。だが実は、そのリスクこそ非常に大きい」(古川氏)。Windows RMSがカバーするのはまさにこの部分という。

 Windows RMSは、文書作成者が設定したアクセス権限に応じて、データのコピー&ペーストや印刷、転送やスクリーンショットの可否、データの有効期限をコントロールする仕組みのことだ。このときの権限/ルール情報はXrML形式の「ライセンス」に記され、データは暗号化されてやり取りされる。ユーザーはActive Directoryによる認証を経て、権限があることが確認されない限りデータを利用することはできない。ただ、後からプロジェクトに参加したメンバーに情報を閲覧させたいといった場合には、権限追加のためのリクエストを出すこともできる。

 無論、こうしたアクセスコントロール、あるいはデジタル権限管理の仕組みは、Windows RMSが初めてではない。ただ、実質的に大半の企業で利用されているOfficeアプリケーションにこうした機能が実装されることにより、組織のポリシーに基づく情報コントロールが容易になることは認めてもいいだろう。マイクロソフトでは今後、Passport認証、もしくは信頼関係の確立を通じて他社のWindows DRMサービスと連携させる道筋も予定しているという。

あくまで「ポリシー」が基本に

 Windows RMSを利用するには幾つか必要なものがある。まず、仕組みの中核としてWindows Rights Management Services(専用ソフトウェア)を搭載したWindows Server 2003が必要だ。またユーザー認証のためにActive Directoryを、RMSにおける情報のやり取りを保存するためにSQL Server 2000/MSDEを設置することになる。ここまでがバックエンドの仕組みだ。

 このうちWindows Rights Management Servicesが、まもなく同社Webサイトから提供される予定だ。このコンポーネントは無償でダウンロードできるが、利用に当たっては数千円程度のクライアントライセンスが必要になるという。

 また実際にアクセス権限を設定するには、クライアント側にもいくつかコンポーネントが必要になるのだが、こちらは既にWindows Updateを通じて提供済み。定期的にアップデート作業を行っていれば、インストールされた状態になっているはずだと古川氏は述べた。そして10月24日から出荷が開始されたOffice 2003は、Windows RMSに対応した初のアプリケーションということになる。またパートナー企業からも、SDKを用いて開発されたWindows RMS対応製品が出荷される計画という。

 だが逆に言えば、当面はWindows Server 2003+Windows RMSソフトが稼動している環境で、Office 2003で作成したドキュメントに対してしかコントロールができないということになる。これに対しマイクロソフトは、1つ逃げ道を作っている。権限が設定された文書をInternet Explorer上で開けるようにするアドオンソフト「Rights Management Add-on for Internet Explorer」で、これは今年中に提供される予定だ。「これにより、イントラネット上の情報閲覧に制限をかけることも可能になる」(古川氏)。

 問題は、既存のOfficeで作成した文書である。残念ながらこれら過去の(あるいは現在の)資産にアクセスコントロール機能を追加することは困難で、別途提供されるSDKを用いて開発作業を行うしかない。ただこのSDKを利用すれば、売上集計など既存のアプリケーションに権限管理機能を追加するだけでなく、ロギングや監査といった管理サービスも実行できるようになるという。

 では、このWindows RMSによって、企業からの情報漏えいはなくなるのだろうか? 古川氏の答えは「No」だ。「例えばカメラ付き携帯電話で画面を撮影してしまえば、情報は外部に持ち出せる。まず大事なことは人に対する取り組み。セキュリティポリシーに沿ったマネジメントの仕組みがなければ、テクノロジはうまく動かない」(古川氏)とし、Windows RMSはあくまでポリシーの実行を支援するツールの1つだと述べた。

関連記事
▼マイクロソフトが企業向けセキュリティツール「RMS」を発表

関連リンク
▼Security Solution 2003
▼マイクロソフト

[高橋睦美,ITmedia]