次の方法で共有


Information Rights Management

製品: Exchange Server 2013

インフォメーション ワーカーは、毎日、電子メールを使用して、財務レポートやデータ、法的契約、機密情報、販売レポートと予測、競合分析、調査および特許情報、顧客と従業員の情報などの機密情報を交換します。 ユーザーはどこからでも電子メールにアクセスできるようになったため、メールボックスは大量の機密情報を含むリポジトリに変換されました。 その結果、情報漏洩が組織にとって深刻な脅威になる可能性があります。 情報の漏洩を防ぐために、Microsoft Exchange Server 2013 には、電子メール メッセージと添付ファイルの永続的なオンラインおよびオフライン保護を提供する Information Rights Management (IRM) 機能が含まれています。

情報漏洩について

機密情報の漏洩は、組織にとってコストがかかり、組織とそのビジネス、従業員、顧客、パートナーに広範な影響を与える可能性があります。 地域や業界の規制により、特定の種類の情報の保存、送信、セキュリティ保護の方法がますます管理されます。 適用される規制に違反しないように、組織は意図的、不注意、または偶発的な情報漏えいから身を守る必要があります。

情報漏えいの影響を次に示します。

  • 財務上の損害: 規模、業界、および地域の規制によっては、情報漏えいによって、ビジネスの損失や、裁判所または規制当局によって課される罰金や罰則上の損害が原因で財務上の影響を受ける可能性があります。 また、上場企業は、メディアの報道に悪影響を及ぼして時価総額を失うリスクもあります。

  • 画像と信頼性の損傷: 情報漏えいは、組織のイメージと顧客に対する信頼性を損なう可能性があります。 また、通信の性質によっては、漏洩した電子メール メッセージが送信者と組織にとって恥ずかしい原因になる可能性があります。

  • 競争上の優位性の喪失: 情報漏えいによる最も深刻な脅威の 1 つは、ビジネスにおける競争上の優位性の喪失です。 戦略計画の開示や合併・買収情報の開示は、収益の損失や時価総額の損失につながる可能性があります。 その他の脅威には、研究情報、分析データ、およびその他の知的財産の損失が含まれます。

情報漏洩に対する従来の解決策

情報漏えいに対する従来のソリューションでは、データへの初期アクセスが保護される場合がありますが、多くの場合、一定の保護は提供されません。 次の表に、いくつかの従来のソリューションとその制限事項を示します。

従来のソリューション

ソリューション 説明 制限事項
トランスポート層セキュリティ (TLS) TLS は、暗号化によってネットワーク経由で通信をセキュリティで保護するために使用されるインターネット標準プロトコルです。 メッセージング環境では、サーバー/サーバーとクライアント/サーバーの通信をセキュリティで保護するために TLS が使用されます。

既定では、Exchange 2010 はすべての内部メッセージ転送に TLS を使用します。 Opportunistic TLS は、外部ホストを持つセッションに対しても既定で有効になっています。 Exchange は最初にセッションに TLS 暗号化を使用しようとしますが、宛先サーバーで TLS 接続を確立できない場合、Exchange は SMTP を使用します。 外部組織との相互 TLS を強制するように、ドメイン セキュリティを構成することもできます。
TLS は、2 つの SMTP ホスト間の SMTP セッションのみ保護します。 つまり、TLS では移動している情報が保護されるだけで、メッセージ レベルでの保護や静止している情報の保護は提供されません。 メッセージが別の方法で暗号化されていない限り、送信者と受信者のメールボックス内のメッセージは保護されません。 組織外に送信された電子メールの場合は、最初のホップに対してのみ TLS を要求できます。 組織外のリモート SMTP ホストがメッセージを受信すると、暗号化されていないセッションを介して別の SMTP ホストに中継できます。 TLS はトランスポート層テクノロジであるため、受信者がメッセージで何を行うかを制御することはできません。
電子メールの暗号化 ユーザーは、S/MIME などのテクノロジを使用してメッセージを暗号化できます。 ユーザーはメッセージを暗号化するかどうかを決定します。 公開キー基盤 (PKI) を展開するための追加コスト、およびユーザーに対する証明書の管理や秘密キーの保護に付随するオーバーヘッドが発生します。 メッセージが復号化されると、その情報に対する受信者の操作は制御されなくなります。 復号化された情報はコピー、印刷、または転送できます。 既定では、保存された添付ファイルは保護されません。

S/MIME などのテクノロジを使用して暗号化されたメッセージは、組織からアクセスできません。 組織はメッセージ コンテンツを検査できないため、メッセージング ポリシーを適用したり、ウイルスや悪意のあるコンテンツのメッセージをスキャンしたり、コンテンツへのアクセスを必要とするその他のアクションを実行したりすることはできません。

最後に、従来の解決策には、ほとんどの場合、統一されたメッセージング ポリシーを適用して情報漏洩を防止する強制ツールがありません。 たとえば、ユーザーは機密情報を含むメッセージを送信し、 会社の機密 と転送 不可としてマークします。 メッセージが受信者に配信されると、送信者または組織は情報を制御できなくなります。 受信者は、(自動転送ルールなどの機能を使用して) メッセージを外部の電子メール アカウントに故意または不注意で転送し、組織に実質的な情報漏洩リスクが発生する可能性があります。

Exchange 2013 の IRM

Exchange 2013 では、IRM 機能を使用して、メッセージと添付ファイルに永続的な保護を適用できます。 IRM では、Windows Server 2008 以降の情報保護テクノロジである Active Directory Rights Management Services (AD RMS) を使用します。 Exchange 2013 の IRM 機能を使用すると、組織とユーザーは、電子メールの受信者が持つ権限を制御できます。 IRM は、他の受信者へのメッセージの転送、メッセージまたは添付ファイルの印刷、コピーと貼り付けによるメッセージまたは添付ファイルのコンテンツの抽出など、受信者の操作を許可または制限するのにも役立ちます。 IRM 保護は、Microsoft Outlook または Microsoft Office Outlook Web App のユーザーが適用することも、組織のメッセージング ポリシーに基づいて、トランスポート保護ルールまたは Outlook 保護規則を使用して適用することもできます。 他の電子メール暗号化ソリューションとは異なり、IRM を使用すると、組織は保護されたコンテンツの暗号化を解除してポリシーコンプライアンスを適用することもできます。

AD RMS では、拡張可能な権利マークアップ言語 (XrML) ベースの証明書とライセンスを使用して、コンピューターとユーザーを認定し、コンテンツを保護します。 ドキュメントやメッセージなどのコンテンツが AD RMS を使用して保護されている場合、承認されたユーザーがコンテンツに対して持つ権限を含む XrML ライセンスが添付されます。 IRM で保護されたコンテンツにアクセスするには、AD RMS 対応アプリケーションが AD RMS クラスターから承認されたユーザーの使用ライセンスを調達する必要があります。

注:

Exchange 2013 では、事前ライセンス エージェントは、組織内の AD RMS クラスターを使用して保護されたメッセージに使用ライセンスをアタッチします。 詳細については、このトピックの後半の「事前ライセンス」を参照してください。

AD RMS を使用してコンテンツに永続的な保護を適用するには、コンテンツの作成に使用するアプリケーションが RMS 対応である必要があります。 Word、Excel、PowerPoint、Outlook などの Microsoft Office アプリケーションは RMS 対応であり、保護されたコンテンツの作成と使用に使用できます。

IRM は、次のことを行うのに役立ちます。

  • IRM で保護されたコンテンツの認証された受信者が、コンテンツの転送、変更、印刷、FAX、保存、カットアンドペーストをできないようにします。
  • サポートされている添付ファイルの形式をメッセージと同じレベルの保護で保護します。
  • IRM で保護されたメッセージと添付ファイルの有効期限をサポートし、指定された期間以降表示できないようにします。
  • Microsoft Windows の切り取りツールを使用して IRM で保護されたコンテンツがコピーされないようにします。

ただし、IRM では、次の方法を使用して情報がコピーされないようにすることはできません。

  • サード パーティ製のスクリーン キャプチャ プログラム
  • 画面に表示される IRM で保護されたコンテンツを撮影するためのカメラなどのイメージング デバイスの使用
  • ユーザーが情報を記憶または手動で文字起こしする

AD RMS の詳細については、「 Active Directory Rights Management Services」を参照してください。

AD RMS 権限ポリシー テンプレート

AD RMS では、XrML ベースの権限ポリシー テンプレートを使用して、互換性のある IRM 対応アプリケーションが一貫した保護ポリシーを適用できるようにします。 Windows Server 2008 以降で、AD RMS サーバーはテンプレートの列挙および取得に使用できる Web サービスを公開します。 Exchange 2013 には [転送不可] テンプレートが添付されます。 [転送しない] テンプレートをメッセージに適用すると、メッセージにアドレスが指定された受信者のみがメッセージを解読できます。 受信者がメッセージを転送、メッセージから内容をコピー、またはメッセージを印刷することはできません。 組織の AD RMS サーバーに追加の RMS テンプレートを作成して、IRM 保護の要件を満たすことができます。

IRM 保護は、AD RMS 権限ポリシー テンプレートを適用することによって適用されます。 ポリシー テンプレートを使用すると、受信者がメッセージに対して持つアクセス許可を制御できます。 適切な権限ポリシー テンプレートをメッセージに適用することで、返信、すべてのユーザーへの返信、転送、メッセージからの情報の抽出、メッセージの保存、メッセージの印刷などのアクションを制御できます。

権利ポリシー テンプレートの詳細については、「AD RMS ポリシー テンプレートの考慮事項 」を参照してください。

AD RMS 権利ポリシー テンプレートの作成方法の詳細については、「ステップ バイ ステップ ガイド - Active Directory Rights Management サービス権利ポリシー テンプレートを作成および展開する」を参照してください。

メッセージへの IRM 保護の適用

Exchange 2010 では、IRM 保護は次の方法を使用してメッセージに適用できます。

  • Outlook ユーザーによる手動: Outlook ユーザーは、使用可能な AD RMS 権限ポリシー テンプレートを使用してメッセージを IRM で保護できます。 このプロセスでは、Exchange ではなく Outlook の IRM 機能を使用します。 ただし、Exchange を使用してメッセージにアクセスしたり、組織のメッセージング ポリシーを適用するためのアクション (トランスポート ルールの適用など) を実行したりできます。 Outlook での IRM の使用の詳細については、「 電子メール メッセージの IRM の概要」を参照してください。

  • Outlook Web App ユーザーによる手動: Outlook Web App で IRM を有効にすると、ユーザーは送信したメッセージを IRM で保護し、受信した IRM で保護されたメッセージを表示できます。 Exchange 2013 累積的な更新プログラム 1 (CU1) では、Outlook Web App ユーザーは、ドキュメント表示を使用して IRM で保護された添付ファイル Web-Ready 表示することもできます。 Outlook Web App の IRM の詳細については、「Outlook Web App での Information Rights Management」を参照してください。

  • Windows Mobile および Exchange ActiveSync デバイス ユーザーによる手動: Exchange 2010 のリリースから製造 (RTM) バージョンでは、Windows Mobile デバイスのユーザーは IRM で保護されたメッセージを表示および作成できます。 これにより、ユーザーはサポートされている Windows Mobile デバイスをコンピューターに接続し、IRM 用にアクティブ化する必要があります。 Exchange 2010 SP1 では、Microsoft Exchange ActiveSync で IRM を有効にして、Exchange ActiveSync デバイス (Windows モバイル デバイスを含む) のユーザーが IRM で保護されたメッセージを表示、返信、転送、作成できるようにします。 Exchange ActiveSync の IRM の詳細については、「Exchange ActiveSync の Information Rights Management」を参照してください。

  • Outlook 2010 以降で自動的に: Outlook 2010 以降でメッセージを IRM で自動的に保護する Outlook 保護ルールを作成できます。 Outlook 保護規則は Outlook 2010 クライアントに自動的に展開され、ユーザーがメッセージを作成するときに Outlook 2010 によって IRM 保護が適用されます。 Outlook 保護規則の詳細については、「Outlook 保護 規則」を参照してください。

  • メールボックス サーバーで自動的に: Exchange 2013 メールボックス サーバー上のメッセージを IRM で自動的に保護するトランスポート保護規則を作成できます。 トランスポート保護規則の詳細については、「 トランスポート保護規則」を参照してください。

    注:

    IRM による保護は、既に IRM で保護されたメッセージに再度適用されることはありません。 たとえば、ユーザー IRM が Outlook または Outlook Web App でメッセージを保護する場合、IRM 保護はトランスポート保護規則を使用してメッセージに適用されません。

IRM による保護のシナリオ

IRM 保護のシナリオについては、次の表を参照してください。

IRM で保護されたメッセージの送信 サポート 要件
同じオンプレミス Exchange 2013 展開内 はい 要件については、このトピックの「IRM 要件」を参照してください。
オンプレミスデプロイ内の異なるフォレスト間 はい 要件については、「 複数のフォレストにわたる Exchange Server 2010 と統合するための AD RMS の構成」を参照してください。
オンプレミスの Exchange 2013 展開とクラウドベースの Exchange 組織の間 はい
  • オンプレミスの AD RMS サーバーを使用します。
  • オンプレミスの AD RMS サーバーから信頼された発行ドメインをエクスポートします。
  • クラウドベースの組織で信頼できる発行ドメインをインポートします。
外部受信者へ いいえ Exchange 2010 には、フェデレーションされていない組織の外部受信者に IRM で保護されたメッセージを送信するためのソリューションは含まれていません。 AD RMS では、信頼ポリシーを使用したソリューションが提供されます。 AD RMS クラスターと Microsoft アカウント (旧称 Windows Live ID) の間で信頼ポリシーを構成できます。 2 つの組織間で送信されるメッセージの場合は、Active Directory フェデレーション サービス (AD FS) を使用して、2 つの Active Directory フォレスト間にフェデレーション信頼を作成できます。 詳細については、「 AD RMS 信頼ポリシーについて」を参照してください。

IRM で保護されたメッセージを復号化してメッセージング ポリシーを適用する

メッセージング ポリシーを適用し、規制に準拠するには、暗号化されたメッセージ コンテンツにアクセスできる必要があります。 訴訟、規制監査、または内部調査による電子情報開示の要件を満たすには、暗号化されたメッセージを検索できる必要もあります。 これらのタスクを支援するために、Exchange 2013 には次の IRM 機能が含まれています。

  • トランスポート復号化: メッセージング ポリシーを適用するには、トランスポート ルール エージェントなどのトランスポート エージェントがメッセージ コンテンツにアクセスできる必要があります。 トランスポート暗号化解除を使用すると、Exchange 2013 サーバーにインストールされているトランスポート エージェントがメッセージ コンテンツにアクセスできます。 詳細については、「 トランスポート復号化」を参照してください。

  • ジャーナル レポートの暗号化解除: コンプライアンスまたはビジネス要件を満たすために、組織はジャーナリングを使用してメッセージング コンテンツを保持できます。 ジャーナリング エージェントは、ジャーナリングの対象となるメッセージのジャーナル レポートを作成し、そのメッセージに関するメタデータをレポートに含みます。 元のメッセージが仕訳帳レポートに添付されます。 ジャーナル レポート内のメッセージが IRM で保護されている場合、ジャーナル レポートの暗号化解除によって、メッセージのクリア テキスト コピーがジャーナル レポートに添付されます。 詳細については、「ジャーナル レポート復号化」を参照してください。

  • Exchange Search の IRM 復号化: Exchange Search の IRM 暗号化解除を使用すると、Exchange Search では IRM で保護されたメッセージのコンテンツにインデックスを付けることができます。 検出マネージャーが電子情報開示検索 In-Place を実行すると、インデックスが作成された IRM で保護されたメッセージが検索結果に返されます。 詳細については、「インプレース電子情報開示 (eDiscovery)」を参照してください。

    注:

    Exchange 2010 SP1 以降では、探索管理役割グループのメンバーは、探索検索によって返され、探索メールボックスに存在する IRM で保護されたメッセージにアクセスできます。 この機能を有効にするには、Set-IRMConfiguration コマンドレットで EDiscoverySuperUserEnabled パラメーターを使用します。 詳細については、「 Exchange 検索およびインプレース電子情報開示のための IRM の構成」を参照してください。

これらの暗号化解除機能を有効にするには、Exchange サーバーにメッセージへのアクセス権が必要です。 これは、Exchange セットアップによって作成されたシステム メールボックスであるフェデレーション メールボックスを、AD RMS サーバー上のスーパー ユーザー グループに追加することで実現されます。 詳細については、「フェデレーション メールボックスを AD RMS のスーパー ユーザー グループに追加する」を参照してください。

プレライセンス

IRM で保護されたメッセージと添付ファイルを表示するために、Exchange 2013 は保護されたメッセージにプリライセンスを自動的にアタッチします。 これにより、クライアントが AD RMS サーバーに繰り返しアクセスして使用ライセンスを取得する必要がなくなり、IRM で保護されたメッセージと添付ファイルをオフラインで表示できるようになります。 また、事前ライセンスを使用すると、IRM で保護されたメッセージを Outlook Web App で表示することもできます。 IRM 機能を有効にすると、プレライセンスが既定で有効になります。

IRM エージェント

Exchange 2013 では、メールボックス サーバー上のトランスポート サービスでトランスポート エージェントを使用して IRM 機能が有効になっています。 IRM エージェントは、Exchange セットアップによってメールボックス サーバーにインストールされます。 トランスポート エージェントの管理タスクを使用して IRM エージェントを制御することはできません。

注:

Exchange 2013 では、IRM エージェントは組み込みのエージェントです。 ビルトイン エージェントは、 Get-TransportAgent コマンドレットによって返されるエージェントの一覧には含まれていません。 詳細については、「 トランスポート エージェント」を参照してください。

次の表は、メールボックス サーバー上のトランスポート サービスに実装されている IRM エージェントの一覧です。

メールボックス サーバー上のトランスポート サービス内の IRM エージェント

エージェント イベント 機能
RMS 復号化エージェント OnEndOfData (SMTP) と OnSubmittedMessage トランスポート エージェントへのアクセスを許可するメッセージを復号化します。
トランスポート ルール エージェント OnRoutedMessage トランスポート保護規則のルール条件に一致するメッセージに、RMS 暗号化エージェントによって IRM で保護されるようにフラグを設定します。
RMS 暗号化エージェント OnRoutedMessage トランスポート ルール エージェントによってフラグが設定されたメッセージに IRM 保護を適用し、トランスポート復号化されたメッセージを再暗号化します。
事前ライセンス エージェント OnRoutedMessage IRM で保護されたメッセージにプレライセンスを添付します。
ジャーナル レポート復号化エージェント OnCategorizedMessage ジャーナル レポートに添付された IRM で保護されたメッセージを復号化し、元の暗号化されたメッセージと共にクリアテキスト バージョンを埋め込みます。

トランスポート エージェントの詳細については、「トランスポート エージェント」を参照してください。

IRM の要件

Exchange 2013 組織に IRM を実装するには、展開が次の表に示す要件を満たしている必要があります。

サーバー 要件
AD RMS クラスター
  • オペレーティング システム: Windows Server 2012、Windows Server 2008 R2、または Windows Server 2008 SP2 で修正プログラム Active Directory Rights Management Services ロールを持つ Windows Server 2008 SP2 が必要です。
  • サービス接続ポイント: Exchange 2010 および AD RMS 対応アプリケーションは、Active Directory に登録されているサービス接続ポイントを使用して、AD RMS クラスターと URL を検出します。 AD RMS を使用すると、AD RMS セットアップ内からサービス接続ポイントを登録できます。 AD RMS の設定に使用するアカウントが Enterprise Admins セキュリティ グループのメンバーでない場合は、セットアップが完了した後にサービス接続ポイントの登録を実行できます。 Active Directory フォレスト内の AD RMS のサービス接続ポイントは 1 つだけです。
  • アクセス許可: AD RMS サーバー認定パイプライン (AD RMS サーバー上のServerCertification.asmx ファイル) に対する読み取りと実行のアクセス許可を次に割り当てる必要があります。
    • Exchange サーバー グループまたは個々の Exchange サーバー
    • AD RMS サーバー上の AD RMS サービス グループ

    既定では、ServerCertification.asmx ファイルは AD RMS サーバーの \inetpub\wwwroot\_wmcs\certification\ フォルダーにあります。 詳細については、「 AD RMS サーバー証明パイプラインにアクセス許可を設定する」を参照してください。

  • AD RMS スーパー ユーザー: トランスポート復号化、ジャーナル レポートの暗号化解除、Outlook Web App の IRM、および Exchange Search 用の IRM を有効にするには、Exchange 2013 セットアップによって作成されたシステム メールボックスであるフェデレーション メールボックスを AD RMS クラスターのスーパー ユーザー グループに追加する必要があります。 詳細については、「 フェデレーション メールボックスを AD RMS のスーパー ユーザー グループに追加する」を参照してください。
Exchange
Outlook
  • ユーザーは、Outlook でメッセージを IRM で保護できます。 Outlook 2003 以降では、IRM 保護メッセージ用の AD RMS テンプレートがサポートされています。
  • Outlook 保護ルールは、Exchange 2010 および Outlook 2010 の機能です。 以前のバージョンの Outlook では、この機能はサポートされていません。
Exchange ActiveSync
  • Windows Mobile デバイスを含む Exchange ActiveSync プロトコル バージョン 14.1 をサポートするデバイスは、Exchange ActiveSync で IRM をサポートできます。 デバイス上のモバイル電子メール アプリケーションは、Exchange ActiveSync プロトコル バージョン 14.1 で定義されている RightsManagementInformation タグをサポートする必要があります。 Exchange 2013 では、Exchange ActiveSync の IRM を使用すると、サポートされているデバイスを持つユーザーは、デバイスをコンピューターに接続して IRM 用にアクティブ化することなく、IRM で保護されたメッセージを表示、返信、転送、作成できます。 詳細については、「 Exchange ActiveSync での Information Rights Management」を参照してください。

注:

AD RMSクラスター は、単一サーバーのデプロイを含む、組織内の AD RMS 展開に使用される用語です。 AD RMS は Web サービスです。 Windows Server フェールオーバー クラスターを設定する必要はありません。 高可用性と負荷分散のために、クラスターに複数の AD RMS サーバーをデプロイし、ネットワーク負荷分散を使用できます。

重要

運用環境では、同じサーバーへの AD RMS および Exchange のインストールはサポートされていません。

Exchange 2013 IRM 機能は、Microsoft Office ファイル形式をサポートしています。 カスタム プロテクターを展開することで、IRM による保護を他のファイル形式に拡張できます。 カスタム 保護機能の詳細については、 Microsoft パートナー センターの情報保護および制御パートナーに関するページを参照してください。

IRM の構成とテスト

Exchange 2013 で IRM 機能を構成するには、Exchange 管理シェルを使用する必要があります。 個々の IRM 機能を構成するには、Set-IRMConfiguration コマンドレットを使用します。 内部メッセージ、トランスポート復号化、ジャーナル レポートの暗号化解除、Exchange Search、Outlook Web App に対して IRM を有効または無効にすることができます。 IRM 機能の構成の詳細については、「 Information Rights Management の手順」を参照してください。

Exchange 2013 サーバーを設定したら、 Test-IRMConfiguration コマンドレットを使用して、IRM 展開のエンドツーエンド テストを実行できます。 これらのテストは、IRM の初期構成直後と継続的な IRM 機能を確認するのに役立ちます。 コマンドレットは、次のテストを実行します。

  • Exchange 2013 組織の IRM 構成を検査します。
  • AD RMS サーバーのバージョンや修正プログラムの情報を確認する
  • 権利アカウント証明書 (RAC) とクライアント ライセンサー証明書を取得することで、Exchange サーバーを RMS 用にアクティブにできるかどうかを確認する
  • AD RMS 権利ポリシー テンプレートを AD RMS サーバーから取得する
  • 指定された送信者が IRM で保護されたメッセージを送信できることを確認する。
  • 指定された受信者のスーパー ユーザー使用ライセンスを取得する。
  • 指定された受信者のプレライセンスを取得する

権限管理コネクタで権利の管理を拡張

Microsoft Rights Management コネクタ (RMS コネクタ) は、クラウドベースの Microsoft Rights Management サービスを採用することで、Exchange 2013 サーバーのデータ保護を強化するオプション のアプリケーションです。 RMS コネクタをインストールすると、情報の有効期間中に継続的なデータ保護が提供され、これらのサービスはカスタマイズ可能であるため、必要な保護のレベルを定義できます。 たとえば、特定のユーザーに電子メール メッセージのアクセスを制限したり、特定のメッセージについて表示のみの権限を設定したりできます。

RMS コネクタの詳細とインストール方法については、「 Rights Management コネクタ」を参照してください。