トランスポート保護ルールについて
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-11-28
電子メール メッセージと添付ファイルには、製品仕様、事業戦略文書、財務データなどのビジネス上非常に重要な情報や、連絡先の詳細、社会保障番号、クレジット カード番号、従業員レコードなどの個人識別情報 (PII) が含まれることが多くなっています。世界の多くの地域に業界固有の規制や地域の規制が数多くあり、PII の収集、保管、および公開を管理しています。
機密情報を保護するためには、この情報の処理方法に関するガイドラインを提供するメッセージング ポリシーを組織が作成します。Exchange Server 2010 では、トランスポート保護ルールを使用して、これらのメッセージング ポリシーを実装するために、メッセージ コンテンツを検索し、機密電子メール コンテンツを暗号化し、コンテンツへのアクセスを制御する権利管理を使用します。
IRM の管理に関連する管理タスクについては、「権限での保護の管理」を参照してください。
トランスポート保護と AD RMS
トランスポート保護ルールを使用すると、Active Directory Rights Management サービス (AD RMS) 権利ポリシー テンプレートを適用することによって、IRM で保護されたメッセージに対してトランスポート ルールを使用できます。
注意
AD RMS は、Rights Management Service (RMS) が有効なアプリケーションおよびクライアントと連係して機密情報をオンラインおよびオフラインで保護する情報保護テクノロジです。Exchange 2010 では、社内の Exchange 展開に IRM 保護を使用するには、Windows Server 2008 オペレーティング システム AD RMS を社内に展開する必要があります。
AD RMS では、XML ベースのポリシー テンプレートを使用して、互換性がある IRM が有効なアプリケーションに一貫した保護ポリシーを適用できるようにします。Windows Server 2008 で、AD RMS サーバーはテンプレートの列挙および取得に使用できる Web サービスを公開します。Exchange 2010 には [転送しない] テンプレートが添付されます。
[転送しない] テンプレートをメッセージに適用すると、メッセージにアドレスが指定された受信者のみがメッセージを解読できます。受信者は、メッセージを他のユーザーに転送したり、メッセージの内容をコピーしたり、メッセージを印刷したりすることはできません。
追加 RMS テンプレートは、組織内の権利保護要件を満たすために社内の AD RMS 展開で作成できます。
重要
権利ポリシー テンプレートが AD RMS サーバーから削除されると、削除されたテンプレートを使用するトランスポート保護ルールを変更する必要があります。トランスポート保護ルールで削除済みの権利ポリシー テンプレートを引き続き使用する場合、AD RMS サーバーは受信者に対するコンテンツのライセンス供与に失敗し、配信不能レポート (NDR) が送信者に配信されます。
Windows Server 2008 では、権利ポリシー テンプレートを削除するのではなくアーカイブ化できます。アーカイブ化されたテンプレートは、まだコンテンツのライセンス供与に使用できますが、トランスポート保護ルールを作成または変更する場合、アーカイブ化されたテンプレートがテンプレートの一覧に含まれません。
AD RMS テンプレート作成については、「AD RMS 権利ポリシー テンプレート展開ステップバイステップ ガイド」を参照してください (これらのサイトは英語の場合があります)。
トランスポート保護ルールを使用した自動保護
ビジネス上非常に重要な情報または PII を含むメッセージは、社会保障番号などのテキスト パターンを識別する正規表現など、トランスポート ルール条件の組み合わせを使用して特定できます。組織には、機密情報の異なる保護レベルが必要です。従業員、請負業者、またはパートナーに限定する情報があれば、正社員のみに限定する情報もあります。必要な保護レベルは、権利ポリシー テンプレートを適用することによって、メッセージに適用できます。たとえば、ユーザーはメッセージまたは電子メール添付ファイルに社内機密としてマークを付けます。次の図に示すように、メッセージ コンテンツに「社内機密」という語句がないか検査するトランスポート保護ルールを作成して、メッセージを IRM で保護することができます。
トランスポート保護ルールを作成する
権利保護を適用するためにトランスポート ルールを作成する詳細については、「トランスポート保護ルールを作成する」を参照してください。
電子メール添付ファイルの永続的な保護
ユーザーは、Microsoft Office Word、Excel、および PowerPoint などの一般的な Microsoft Office ファイル形式を使用して、電子メール添付ファイル内のビジネス上非常に重要な情報と PII を送信します。これらのファイル形式すべてで IRM による永続的な保護をサポートしており、これらのドキュメント内のビジネス上非常に重要な情報と PII を適切に保護することができます。トランスポート保護ルールは、サポートされるファイル形式の電子メール メッセージおよび添付ファイルに同じ保護を適用します。
トランスポート ルール エージェントと暗号化エージェント
トランスポート保護ルールをルール条件に基づいて IRM で保護されたメッセージに使用すると、ハブ トランスポート サーバー上のトランスポート ルール エージェントがメッセージを検査します。すべての条件に合い、いずれの例外にも該当しない場合、メッセージに IRM で保護される対象としてフラグが付けられます。暗号化エージェントは、OnRoutedMessage イベントで起動される組み込みのトランスポート エージェントであり、実際にメッセージに IRM 保護を適用します。暗号化エージェントは、IRM が内部メッセージに有効である場合のみ、メッセージに対して機能します。IRM の有効化の詳細については、「内部メッセージの IRM を有効または無効にする」を参照してください。
トランスポート サービスが再開して、IRM 暗号化を必要とする最初のメッセージを処理する場合、暗号化エージェントが組織内の AD RMS サーバーに到達できる必要があります。後続のメッセージに対して、エージェントが AD RMS サーバーに接続する必要はありません。一時的な状態によりメッセージの暗号化が失敗すると、 Exchange はメッセージを 10 分間隔で 3 回再試行します。3 回の再試行後に、メッセージを暗号化できない場合、メッセージは受信者に配信されません。NDR が送信者に送られます。高可用性のための AD RMS 展開を計画してメッセージ フローが影響を受けないようにすることをお勧めします。
トランスポート保護ルールの使用を計画する場合、保護が必要な情報の種類を考慮し、それに応じてルールの作成を計画する必要があります。Exchange 2010 では、トランスポート ルールに多数の述語があり、サポートされる添付ファイル、メッセージ ヘッダー、送信者および受信者アドレス、それらの Active Directory 属性 (部門、配布グループ メンバーシップ、送信者の受信者との管理関係など) を含むメッセージ コンテンツを検査できます。Exchange 2010 で使用できるトランスポート ルール述語の詳細については、「トランスポート ルールの述語」を参照してください。
組織内のメッセージ トラフィックと、トランスポート保護ルールで保護されるメッセージの数も考慮する必要があります。IRM 保護を大量のメッセージに適用するには、ハブ トランスポート サーバー上のリソースを増やす必要があります。また、大量のメッセージまたはすべてのメッセージを保護すると、特に Microsoft Outlook ユーザーのクライアント エクスペリエンスにも影響を与えます。
© 2010 Microsoft Corporation.All rights reserved.