うっかり機密文書をメールで送信！？　転ばぬ先の「Azure Information Protection」

　マイクロソフトが「Azure Information Protection」のパブリックプレビューを開始した。提供済みのAzure RMSサービスに、文書のラベル付け機能を追加した新しい情報保護機能だ。ユーザーが難しい操作を意識することなく、ほぼ自動的に機密文書を漏えいから保護できるしくみを実際に体験してみた。

聞いちゃった方が早い

　本当はAnniversary Updateで追加されたとされるWIP（Windows Information Protection）のテストをしたかった。

　しかし、いざAnniversary Update適用済みのWindows 10でテストしてみると、一見適用されているように見えるポリシーがまったく機能しない（アプリのバッチも表示されなければ、保存ダイアログの保護アイコンも表示されない）。さっぱり原因がわからないので、今はすっかり放置してある。

　とまあ、こんな風に「できるはずなのに、なぜかできない」ってことは結構よくある。筆者のようにコラムのネタに取り上げるのが目的なら、あきらめて「ハイ次」と切り替えることもできるが、実運用だとそうもいかないケースも多いだろう。

　と、少々、無理やりに流れを作ったところで、申し訳ないが私的な宣伝をさせていただきたい。筆者も裏方として協力させていただいているサーバーの勉強会が9月17日に開催される。

　オンプレのサーバーの話だが、実は身近なサーバーの話って最近はメディアで取り上げられる機会も減りつつあり、ノウハウがあまり見当たらない。

　冒頭の話に戻るわけではないが、結局、何か知りたいことあったり、トラブルを抱えていれば「聞いちゃった方が早い」ので、実際に中小で運用に携わっている人の話が聞けるチャンスは実は貴重。サーバーの実機の展示もあったり、軽食付きの懇談会もあるので、ちょっと遊びにという感じで参加していただけるとありがたい。

　WIPの件もだれかエキスパートが勉強会でも開催してくれると助かるんだが……、と思いつつも今回は到底間に合わないので、代わりに「Azure Information Protection」を使ってみたので、今回はそのレポートをお届けする。

社外でも重要な情報を保護するには？

　Azure Information Protectionは、簡単に説明すると、文書の自動ラベリングと、そのラベルに基づいたアクセス権制御を実現するサービスだ。

　簡単な例を挙げよう。

　ここに発表前の新製品に関する機密文書があったとする。この文書は、機密文書ながら、社内の必要なメンバー間で共有する必要があるし、出張先など社外で扱う機会もあるとしよう。

　普通なら文書にパスワードでもかけて社員間で共有するところだが、いつの間にか複製がいくつも存在したり、本来は送信すべきでない社外の第三者にメールで送られているというのはよくある話だ。

　機密であることを意識して情報を慎重に扱うユーザーなんて、社内の限られた人だけで、手を離れたデータがどう扱われるかはなかなか予想できない。

　Azure Information Protectionは、そんな悩みを解決するサービスだ。

パブリックベータが開始された「Azure Information Protection」（http://www.microsoft.com/en-us/cloud-platform/azure-information-protection）

　たとえば、機密文書を作成したユーザーが文書内に「社外秘」と一言書き込めば、自動的にその文書に「Confidential」などのラベルが付与され、同時にフッターやウォーターマークで機密であることが表示されるようになる。

　しかも、バックエンドで連携するAzure Rights Managementの機能により、この文書を開くにはOffice 365などのアカウントでの認証が必要になる。つまり、文書がうっかり社外の第三者にメールで送られたとしても、認証されなければファイルを開くことができないわけだ。

　もちろん、社内のメンバーにも制限をかけられる。特定のユーザーだけが編集権限を持ち、他のユーザには編集や印刷を禁止するといったことも可能だ。

　さらには、文書がいったいどこに存在するのかトラッキングすることができたり、途中でアクセス権をはく奪することまでもできる。

　要するに、意識せずに文書を機密扱いすることができるうえ、自分や自社の管理の手を離れたとしても文書に記載された内容を保護できるしくみというわけだ。

自動ラベリングとそれに基づく文書の制御を可能にする

中小でも扱いやすい

　このサービスが優れているのは、導入の敷居があまり高くない点だ。

　最終的にAzure Information Protectionの利用料がどれくらいになるのかはわからないが、現状のベータは、Office 365 E3/E5プランに含まれるAzure Rights Management（もしくは月額220円＠ユーザー/月のオプション）ユーザーであれば利用可能となっており、手軽にサービスを試すことが可能となっている。

　使い方も簡単だ。同社が公開している「Azure Information Protection のクイック スタート チュートリアル（https://docs.microsoft.com/ja-jp/rights-management/information-protection/infoprotect-quick-start-tutorial）」が非常に参考になるが、基本的には以下の3つの作業で利用可能になる。

　また、社内のファイルサーバーやインフラはそのままに利用できる点も大きい。必要なのはクラウド上のサービスとクライアントソフト（Officeの拡張機能）のみで、冒頭でも触れたWindows Server EssentialsやNASなどの既存のファイルサーバーはそのまま利用することができる。

　それでは実際の設定方法を見ていこう。

1.Azure Rights Managementのアクティブ化

　Office 365管理センターでAzure Rights Managementの画面で「アクティブ化」をクリック（すでにアクティブな場合は設定不要）

2.Azure Information Protectionの設定

　Azureのポータル画面から「Azure Information Protection（プレビュー）」の項目を選択し、各種設定を実行する。具体的な設定方法は前出のドキュメントに詳しく記載されているので、その通りに設定してほしいが大まかに説明すると以下のようになる。

　a)規定で文書に設定するラベルを「Internal」に設定
　b)秘密度を低くする場合に理由を提示するを「On」に設定
　c)「Confidential」ラベルに「組織名-Confidential」のRMSテンプレートを設定
　d)透かしを有効化
　e)ラベルが自動で適用される条件を設定（例はクレジットカード番号）

Azure Information Protectionの設定画面。規定のラベルをInternalに設定。秘密度を下げる場合の理由を要求する

ここではConfidentilaラベルの設定を変更。RMSテンプレートで標準のConfidentialを選択し、透かしを有効化して文字列を登録

クレジットカード番号を条件に設定する

　ポイントは、e)の条件設定。例ではクレジットカード番号と思われる文字列（4242-4242-4242-4242）を設定しているが、これを「社外秘」などの任意の文字列に変更したり、新製品やサービスに関する情報ならその名前を条件にしておけばいい。

　また、具体的な動作は「RMSテンプレート」によって制御される。Azureのポータルから「Rights Management」を選択すると、具体的な設定が可能になっており、特定のユーザーやグループに対して以下の権限を付与できる。

・ビューアー（表示、返信、全員に返信）
・レビューアー（表示、編集、返信、全員に返信、転送）
・共同作成者（表示、編集、コピー、印刷、返信、全員に返信、転送）
・共同所有者（すべての権限）
・カスタム

　例として設定した「組織名-Confidential」は、レビューアー権限を全員に付与する設定となるので、必要に応じて新しいテンプレートを作成して適用するといいだろう。たとえば、Confidentialラベルの文書は管理職以上のグループのみにビューアー権限を与えるといったことが可能だ。

　このようにAzure Information ProtectionからAzure Rights Managementの設定を参照するといったように入れ子になっている点に若干注意が必要になる。

実際の制御はRMSのテンプレートによって定義される。標準のテンプレートは変更できないのでカスタマイズしたい場合は新しく作成して設定する

3.クライアントのインストール

　最後にAzure Information Protectionのサイト（https://www.microsoft.com/en-us/cloud-platform/azure-information-protection）からクライアントをダウンロードしてインストールする。

　Azure Rights Managementの共有ツールに似たクライアントで、基本的にOfficeのツールバーに機能を追加するモジュールとなる。インストール後、リボンに「保護」というボタンが表示されれば完了だ。また、Office365のユーザーでOfficeにサインインしておく必要もある。

クライアントにソフトウェアをインストールすると文書の制御が可能になる

OfficeにAzure Information Protection用のツールバーが追加される

意識せずに文書を機密扱いできる

　実際に試してみると、これがなかなかな賢い。

　前述した例では、Confidentialラベルの条件としてクレジットカード番号を指定しているので、Wordを起動して「4242-4242-4242-4242」のようにクレジットカード番号らしき文字列を入力して、文書を保存しようとすると、ラベルを「Confidential」にした方がいいことがダイアログで表示される。

　前述したように標準では文書にInternalラベルが設定されるが、このラベルには特にRMSのテンプレートが設定されていないため、文書は何も制御されない。メッセージに従ってConfidentialに設定すると、あらかじめ設定したテンプレートによって「レビューアー」権限のみが付与され、コピーと印刷が禁止されることになる。

　従来の機能では、文書をどのように保護するか、どの文書を保護するかはユーザーまかせだった。このため、機密情報が記載された文書であっても何も制限されない場合があったが、Azure Information Protectionであれば、あらかじめ管理者が設定したキーワードが文書に含まれれば、それを機密扱いとしてすぐに設定できる（ダイアログの表示ではなく強制設定も可能）。

　ユーザーは、自分が作成した文書が機密かどうか、機密の場合どのような設定をすればいいのかを意識しなくて済む。社員間に製品やサービスに関する情報格差がある場合やITのスキルレベルの差が個人によって大きい場合でも、一定のセキュリティが確保できるのは大きなメリットだ。

　ラベルが設定された文書は、自動的に設定したウォーターマークが挿入されると同時にRMSの機能によって保護されるようになる。

文書が条件を満たすとラベルの設定が推奨される。もちろん強制設定も可能

設定したラベルによってはウォーターマークが自動的に挿入される

　もちろん、作成した文書を第三者にメールしたとしよう。受け取った人が、Office 365のユーザーアカウントを所有していなかったり、所有していたとしてもAzure Rights Managementで許可されていない場合、このファイルは開けない。

　機密情報をうっかりメールなどで流出させたり、マルウェアなどによって盗まれたとしても、その中身をしっかりと保護できるわけだ。

　ユーザーアカウントと権利を持っていれば、このファイルを開くことができるが、自分のPC以外で開く場合でも、前述したクライアントソフトウェアのインストールは不要で、単にOfficeにOffice 365のアカウントでサインインしているだけでかまわない。

　前述した設定例のようにレビューアーとして設定されている場合、編集は可能だが、文書のコピーや印刷は禁止される（所有者は可能）。

クライアントソフトがなくても文書を参照、編集可能（サインイン必要）。文書の権限によって印刷なども制限される（画面は所有者アカウントで開いているため印刷も可能）

文書レベルでの管理を

　以上、パブリックプレビューが開始されたAzure Information Protectionを実際に使ってみたが、ほぼ自動的に機密文書を管理できるうえ、外部への漏えいから重要な情報を保護できる適切なソリューションと言えそうだ。

　今回はライセンスの関係で試せなかったが（Azure Rights Management Premiumが必要）、文書のある場所を地図上でトラッキングする機能なども備えられている。最終的な料金が気になるが、リーズナブルな設定で登場すれば中小の現場でも活躍しそうなサービスだ。

　もはや機密情報といえども、文書が社内だけを流通する時代ではない。そう考えると、小規模なオフィスでも、こういったしくみの導入をそろそろ検討しなければならない時代と言える。

　PCやファイルサーバー、NAS、クラウドなど、保存場所を問わずデータを手軽に保護できるので、導入を検討する価値は多いにありそうだ。