Windows
FCI: 分類
Greg Shields
私は、"図らずも" 米国政府の秘密事項取り扱い許可を得てしまった日のことを覚えています。
さらに信じられないことに、それはある政府計画に関する超最高機密取り扱い許可で、あまりにも機密性が高くて名前をお伝えできないほどです。私は大学を出たばかりで、初めて本格的な会社の本格的な仕事に就いたところでした。初出勤日には、とてつもない量の (山のような) 事務書類への記入を行い、「本格的な仕事をするには自分の情報をこんなにいろいろ提供しなければならないなんて知らなかった。」と驚いていました。住んだことのあるすべての場所、会ったことのあるすべての人、就いたことのあるすべての仕事など、私の人生に関する信じられない量の情報が、後世のために文書化されました。後でわかったのですが、これは連邦政府の個人機密保持アンケートでした。
約 6 か月後、私は呼び出されて、"審査をパスした" と告げられました。驚きです。初めて特別な "立ち入り禁止区域" 内を歩いたとき、私はすぐに、自分が、IT プロジェクト計画のページが涙を流すようなレベルのプロセスやセキュリティ、およびドキュメントや特殊なマーキングに囲まれているのに気付きました。
マイクロソフトが新たに提供する、Windows Server 2008 R2 で導入されたファイル分類インフラストラクチャ (FCI) について考えるときに思い浮かぶのが、まさに、こうしたドキュメントと、その機密扱いのコンテンツの処理のされ方です。
コンテンツ管理: IT 管理者の仕事はどのように変化したか
私たち IT 管理者の仕事が長年の間にどれほど進化したか、少し考えてみてください。最初は、私たちは、ほとんどの時間を、単にデスクトップ コンピューターを動作させ続けることに費やしていました。デスクトップ コンピューターがより安定し、ユーザーがより熟練してくるにつれて、私たちの関心の的はそのうち、サーバー ルームに移っていきました。この段階では、私たちはサーバー インフラストラクチャを拡張し、アプリケーションが LAN 上のクライアントにとって、そして最終的にはインターネット上のクライアントにとっても、可用性の高いものになるようにしました。
そして、今では、基幹業務アプリケーションの多くをいつでもどこからでも使用することができます。ユーザーはほぼすべての接続からデータにアクセスすることができ、必要に応じてどのような場所からでも仕事をすることができます。しかし、このユビキタス性に伴って、データが公開されるという、非常に高コストになる可能性がありすべての IT 管理者が避けたいと思っている事態が発生するリスクも高まります。問題は他にもあります。管理されるデータが急増し、その多くは、作成されたら再びアクセスされることはなく、高いコストをかけて意味もなく保存されているということです。
こうした問題に対処するために、IT 管理者の職務は再び変化を遂げます。現在、業界と法令遵守により、システム自体だけでなく、システムに格納されたデータも積極的に管理することが義務付けられています。つまり、異なる部類のデータに適切なレベルの注意が払われるようにするうえで私たち IT 管理者は積極的な役割を果たす必要があるということです。専有のデータや慎重な扱いを要するデータ、業務への影響が大きいデータ、または、個人を特定できる情報を扱うデータには、より注意を払う必要があります。コストを抑える必要がある場合は、古くなったデータや有効でなくなったデータを適切な方法で処分する必要があります。
この新しい職務に関する問題は、このデータすべてを (データのコンテンツに関して) 適切に管理するためのツールが、従来、存在しなかったか、高価で使いにくかったことです。皆さんの現在の環境で、Stan の 会計スプレッドシートで計算されているのが、Stan が今週食べたオレオの数なのか、それとも、実は非常に慎重な扱いを要する新しいプロジェクトの予算なのかを知ることはできますか。Stan がそのスプレッドシートを何年も前に作成し、それ以来見ていないことを知ることはできますか。高価なサードパーティ製のツールがなければ、おそらく知ることはできないでしょう。
マイクロソフトは、この種の問題を解決するために、Windows Server 2008 R2 の追加コストなしで使用できる機能としてリリースされるファイル分類インフラストラクチャを新たに開発しました。FCI は、ファイル サーバー リソース マネージャー (FSRM。Windows Server 2003 R2 で初めて導入されたが、おそらくないがしろにされていたツール) を補うものとして提供されます。FSRM が初期に提供していた、クォータを管理する機能、ファイル スクリーン処理規則を作成する機能、および記憶域レポートを生成する機能は、すべて興味深いものではありましたが、これらの機能では、まだデータはコンテンツではなくファイルとして処理されていました。
機密扱いは易しく取り扱い注意は難しい
機密の世界で過ごしたころを思い返してみると、政府がビジネスの世界と比べるとデータの分類に関して非常に成熟していたことに驚きます。やり方は簡単で、政府は、機密データを鍵のかかったドアの向こうにしまい込みます。米国政府では、機密データは、物理的に他のネットワークから分離したネットワーク上にある、鍵のかかった施設の中に保存される必要があります。政府の機密ドキュメントは、非常に特別な保護なしでは、決して、保護された安全に区画化された情報施設 (SCIF) の外に持ち出されてはなりません。簡単に言うと、間違ったドキュメントをかばんに入れて家に持ち帰ってしまった場合、銃を持った人たちが訪ねてくる可能性があるということです。
"銃を持った人たち" が家に訪ねてくると必ず興味深い晩になりますが、実際のところ、これはこの話の興味深い部分ではありません。興味深いのは、このようなドキュメントにどのようにマークが付けられるかです。政府では、作成されたすべてのドキュメントには特殊なコードを使用してマークが付けられます。各コードが実際に何を意味するかはもちろん秘密ですが、すべての機密ドキュメントのマークでは必ず、そのドキュメントの秘密区分レベル (最高機密、機密など)、そのドキュメントが関係する計画、およびそのドキュメントをどのように処理する必要があるかに関する他の情報が示されているとだけ言っておきましょう。
つまり、紛失したドキュメントの適切な所有者を突き止めることができるということです。また、すべてのドキュメントについて、処理方法が常にわかっているということでもあります。
ビジネスの世界では、通常、ファイル サーバー上の各ドキュメントに、法律で義務付けられたこのようなマーキングは付けられていません。しかし、中心的な分類法なしでも、既知の特性を確認するためにすべてのドキュメントをスキャンして、業務にとっての各ドキュメントの重要性を特定およびマークすることができます。これが FCI によって行われる処理の一部です。
FCI の自動分類規則を使用すると、適切と思われる任意の特別なやり方でインフラストラクチャ内のドキュメントにマークを付けることができます。個人を特定できる情報を含むドキュメントにあるラベルを付け、業務への影響が大きいドキュメントに別のラベルを付けることができます。TIFF などのイメージを OCR でスキャンして、重要な単語が含まれているかどうかを確認することもできます。ドキュメントにマーキングを割り当てることにより、特別な方法で処理する必要があるドキュメントに適切な注意を払うことができるようになります。
まずは、必要なマーキングを特定します。
FCI を使用してドキュメントにマークを付ける
マイクロソフトの FCI は、各ドキュメントのマーキングを NTFS 代替データ ストリーム (ADS) に格納します。つまり、ドキュメントを移動しても、NTFS 記憶域以外の場所に移動されない限り、ドキュメントにはマーキングが付いたままだということです。また、どのような種類のファイルでも分類できるためインフラストラクチャ内のすべてのファイルに FCI を適用できるということでもあります。Microsoft Office ファイルは特別な方法で処理され、FCI マーキングが ADS 内だけでなくファイル自体の中にも格納されます。この二重のマーキングにより、Microsoft Office ドキュメントは NTFS 共有上と SharePoint 内の両方で分類を維持することができます。
実際のカテゴリや割り当てられるプロパティは個々の実装にゆだねられるので、会社では、意味をなすあらゆるマーキングを自由に作成することができます。機密性レベルの例を以下に示します。
- 機密性 = 最高機密、機密、非機密
- 個人情報 = はい、いいえ
- 業務への影響 = 大、中、小
マーキングを実際にドキュメントに適用する処理は、次の 4 つのメカニズムのいずれかを通じて行うことができます。
- 手動分類: 必要なレベルの分類が既に含まれている Microsoft Office テンプレートを作成することができます。私が機密の世界で経験したのと同様に、最高機密に分類されるドキュメントは会社の "最高機密" .DOTX ファイルを基にして作成されるよう義務付けることができます。
- アプリケーションによる分類: FCI には、サードパーティのフック用のいくつもの拡張ポイントが組み込まれています。つまり、他のソフトウェア会社が、ドキュメントを分析したり作成または操作された分類プロパティを適用したりするための独自のツールを作成できるということです。
- スクリプトを使用したカスタムの分類: アドオンの Windows PowerShell 分類子モジュールを使用して、ドキュメントをスキャンしマーキングを適用する独自のスクリプトを記述することができます。
- 自動分類: この最後の方法が最も簡単です。FSRM に組み込まれている自動分類エンジンを使用して、自動的に処理を行うことができます。
何でも屋の管理者である私たちにとって、この中で最も実用的なのは、FCI の自動分類エンジンです。単純な GUI コンソールを使用して、インフラストラクチャ内のファイル サーバーを自動的にスキャンしドキュメントの場所またはコンテンツに基づいてマーキングを適用するように FSRM を構成することができます。
たとえば、非常に重要なドキュメントが 2 セットあるとします。1 つ目のグループには個人を特定できる情報が含まれており、このグループのドキュメントは必ず最初は特別なファイル共有上の特定のフォルダー内に作成されます。このグループのドキュメントはライフサイクル中に他の場所に移動される場合がありますが、必ずこの 1 つの場所で作成されることがわかっています。このグループのドキュメントは、法令遵守のために特別な方法で処理する必要があります。
2 セット目の非常に重要なドキュメントは、会社が取り組んでいる "プロジェクト X" と呼ばれる特別な投機的事業に関係しています。このグループのドキュメントはファイル サーバー上のあらゆる場所に格納されている可能性があるので、見つけるのが困難です。ただし、このプロジェクトに関係するすべてのドキュメントには、ドキュメント内のテキストのどこかに "Project X" の順列が含まれていると考えることができます。外部の法令ではこのグループのドキュメントを特別な方法で処理することは義務付けられていませんが、このグループのドキュメントは会社の運営にとってデリケートなので、取り扱いには格別の注意が必要です。
これらのドキュメントになんらかの特別な保護を提供する必要があります。まずは、ファイル サーバーで、ファイル サービスの役割に FSRM 役割サービスを追加します。これにより、サーバー マネージャーの [ファイル サービス] の下に、共有と記憶域の管理コンソールが追加されます (図 1 参照)。ご覧のとおり、\\server1 上には現在、\Home (ユーザーのホーム ドライブ用)、\Shared (共有ドキュメント用)、および \Shared – PII Restricted (個人を特定できる情報が含まれている、法令遵守の制約を受けるドキュメント用) という 3 つの共有が構成されています。
図 1 FSRM の、共有と記憶域の管理コンソール
この 2 種類のドキュメント用に 2 つの分類プロパティを作成する必要があります。これを行うには、左側のペインの [分類プロパティ] を右クリックし、[Create Property] (プロパティの作成) をクリックします。1 つ目のプロパティには "PII" という名前を付け、プロパティの種類は "はい/いいえ" にします。この構成 (図 2 参照) を使用すると、ドキュメントに個人を特定できる情報が含まれていることを特定することができます。
2 セット目のドキュメント用のプロパティには "Special Project" という名前を付け、プロパティの種類は文字列にします。この構成を使用すると、必要に応じて、慎重な扱いを要する任意のドキュメントに、該当する特別なプロジェクトの名前を使用してマークを付けることができます。
図 2 "はい/いいえ" 分類プロパティの作成
このような分類プロパティを作成すると、ドキュメントに適用するマーキングの分類法が確立されます。次は、こうしたプロパティを適切なドキュメントに実際に適用します。FCI の自動分類サービスを使用すると、ドキュメントが特定のフォルダー内に存在するかどうかに基づいて、こうしたプロパティをドキュメントに適用することができます。ファイル サーバー上の各ドキュメントを読み取って特定のテキスト文字列を検索するように FCI に指示することもできます。今回は、両方を行いましょう。
[分類規則] を右クリックし、[Create a New Rule] (新しい規則の作成) をクリックします。最初に作成する規則は、PII 共有用のファイル パス規則です。この規則の名前と説明を指定し、PII ドキュメントが格納されているフォルダー パスにこの規則を適用します。次に、[分類] タブで、図 3 に示すように設定を構成します。この規則ではフォルダー分類子メカニズムを使用して PII プロパティの "はい" という値をこのフォルダー内のドキュメントに適用することが、図からわかります。
図 3 分類規則の定義を設定
2 つ目の規則を構成するには、1 つ目よりも少し手間がかかります。ここでは、2 つ目の規則の適用範囲となるのは \Shared ドライブと \Shared – PII Restricted ドライブです (実際には、ユーザーが Special Project のドキュメントを格納する可能性のあるあらゆる場所がこの規則の適用範囲に含まれます)。また、"コンテンツ分類子" 分類メカニズムと Special Project というプロパティ名を使用します。この規則では "Project X" のドキュメントを検索するので、プロパティ値として "Project X" を設定します。
最後に、見つかったドキュメント内で何を検索するかをこの規則に指示します。[詳細設定] をクリックして [追加の分類パラメーター] というタブに移動すると、この規則の検索文字列を入力するダイアログ ボックスが表示されます。大文字と小文字が区別される文字列も区別されない文字列も構成することができます。また、ニーズがより複雑な場合は、正規表現を使用することができます。図 4 は、大文字と小文字が区別されない 4 種類の "Project X" という語句の順列を検索する方法を示しています。
図 4 "Project X" というテキストの順列を検索
最後に、自動分類エンジンのスケジュールを構成します。これを行うには、[分類規則] を右クリックし、[Configure Classification Schedule] (分類スケジュールの構成) をクリックします。関連する規則が適用されたすべてのフォルダーをスキャンするための複数のスケジュールを作成することができます。また、複数の形式 (DHTML、HTML、XML、CSV、およびテキスト) でレポートを作成し、必要に応じて管理者や監査担当者に電子メールで送信することができます。
実際にタスクを実行する
ここまでの作業では、ドキュメントにマークが付けられるだけです。次は、実際にこのようなマーク付きドキュメントに対してタスクを実行します。ここですばらしいのは、選択肢を制限するのは皆さんのスクリプト作成能力と想像力だけだということです。
Windows Server 2008 R2 では FSRM のファイル管理タスク エンジンが FCI 対応になったので、選択した操作があらゆる場所にあるあらゆるマーク付きドキュメントに自動的に適用されるため、このプロセスのほぼすべての苦労がなくなります。自動的に適用できる操作の例を以下に示します。
- 一定の期間が過ぎたら有効期限切れに設定し、削除前に最後のアーカイブのために特別な有効期限切れディレクトリに移動することができます。
- 監査担当者用にレポートに含めることができます。これにより、インフラストラクチャ内の法令遵守関連の全ドキュメントの場所がわかっていることが証明されます。
- 定期バックアップ用のテープが慎重な扱いを要する情報によって "破損" しないように、特別な場所にバックアップすることができます。
基本的に、実行可能ファイルやスクリプトを通じて実行される操作はすべて、1 回、または定期的に、マーク付きドキュメントに適用することができます。すべての操作は、FSRM コンソール内で作成されます。これを行うには、[ファイル管理タスク] を右クリックし、[Create File Management Task] (ファイル管理タスクの作成) をクリックします。複数のタブで構成されたウィンドウが表示されます。このウィンドウで、タスクおよび使用するコマンドやスクリプトを定義したり、通知オプション、レポート オプション、およびスケジュール オプションを定義したりすることができます。
タスクの実行条件を設定することもできます (図 5 参照)。ご覧のとおり、個人を特定できる情報を含むというマークが付けられており、なおかつ過去 1 年間変更もアクセスもされていないすべてのドキュメントに対して、なんらかの操作を実行するようにタスクが作成されています。おそらく、このタスクは、古くなったデータが不適切な人物の手に渡ることを避けるためにこのようなドキュメントを自動的に削除するように構成されているのでしょう。また、このタスクでは、このようなドキュメントを削除前に保存のためにアーカイブ用の場所に移動するかもしれません。ここでのポイントは、条件が満たされると、実行する必要のある操作が自動的に実行されるということです。
図 5 FSRM のファイル管理タスク用の条件を設定
FCI を使用するとコンテンツを制御できる
白状しますが、あの秘密事項取り扱い許可を得たのが、私のプロとしてのキャリアにおける波乱万丈の 1 年目の始まりでした。私は、皆さんが一般的に考えるような "審査をパスする" 人間の特徴には合致していないかもしれません。なにしろ、私は長髪で、読書の趣味は軍隊の歴史よりも大衆社会学やマウンテン バイク雑誌に偏っているうえ、連邦政府職員が住むメリーランド州ではなくコロラド州を故郷と呼びます。ですが、私が現在正式なセキュリティ システムに関して持っている知識のほとんどは、あの仕事から得たものです。
また、あの仕事のおかげで、高セキュリティ環境でコンテンツを管理するために必要な労力のレベルをかなり好意的にとらえられるようになりました。Windows Server 2008 R2 の現在のテクノロジを使用すると、はるかに多くの組み込みの自動化を利用して、皆さんの環境でも同じレベルの制御を実現することができます。
Greg Shields (MVP) は、Concentrated Technology の共同経営者です。何でも屋である IT プロフェッショナル向けのヒントとテクニックについては、www.ConcentratedTech.com (英語) を参照してください。