重要な文書やファイルを社外に送付するとき、暗号化しているでしょうか。IDとパスワードの設定が一般的ですが、社内で閲覧する文書であっても「社内だからいいだろう」と安心できません。メールや文書は簡単にコピー&ペーストできます。もし悪質なウィルスの侵入があった場合には、社内の情報がごっそり漏えいする恐れがあります。
経営幹部だけで閲覧すべき情報が一般社員もしくは取引先に流れてしまうことも、大きな混乱を招きます。機密情報にアクセスできる権限の設定をして、場合によっては文書やファイルを監視や追跡することが必要になります。
「Azure Information Protection」は「AIP」とも呼ばれ、電子メールや機密文書の保護を強化するソリューションです。ここでは、Azure Information Protectionの概要を解説します。
Azureの概要やメリットについては、下記の記事で解説しています。ぜひ本記事と併せてご覧ください。
Microsoft Azureとは|何ができる?入門内容からわかりやすく解説
Azure Information Protection、2つの保護の仕組み
Azure Information Protectionのデータを保護する仕組みには2つあります。データの機密性にしたがったラベル付けと、Azure Rights Managementによるデータの保護です。それぞれについて以下で概要をまとめます。
データの機密性にしたがったラベル付け
Azure Information Protectionは、文書や電子メールを分類することによってラベル付けします。ラベル付けが行われると、データの保存場所、共有者に限らず分類の識別が可能です。
具体的には、ラベルはクリアテキスト(Clear text)で、ファイルと電子メールのヘッダーに追加されます。クリアテキストは別名で「平文」と呼ばれ、ラベルのクリアテキスト自体は暗号化されていません。しかし暗号化されていないため、他のベンダーのデータ損失防止ソリューションでも分類を識別できます。識別したクリアテキストのラベルによって、適切な対策を行うことが可能です。
たとえばAzure Information Protectionでは、電子メールのフッターに秘密度が「一般」というラベルがメールに追加されると、組織外に送信すべきではないことを自動的に識別し、すべての受信者に向けた視覚的な指標になります。ラベルを追加すると、電子メールのヘッダーに情報を埋め込みます。この仕組みから、メールサービスで監査エントリを作成したり、外部の組織に送信を回避したりすることが可能です。
Azure Rights Managementによるデータの保護
新規事業計画などの文書や、売上予測データなどは、機密性が高く社内だけでの閲覧を限定すべきです。Azure Information Protectionを使えば、社内のユーザーだけがアクセスできるようにしたり、ドキュメントやデータの編集を制限もしくは読み取り専用にしたり、印刷できないようにしたりできます。 電子メールも同様に制限をかけることができます。さらに電子メールを転送できない設定や、受信者の全員に返信するオプションを使用できないように設定できます。
データ保護の仕組みには、Azure Rights Management(以下、Azure RMS)が使われています。Azure RMSは、Office 365やAzure Active Directory などMicrosoftの他のソリューションと統合されていることに加えて、自社独自の基幹業務アプリケーションや他のベンダーから提供された情報保護ソリューションにも利用できます。実行するアプリケーションやソリューションは、オンプレミスまたはクラウドの場所を問いません。
アプリケーションレベルで保護されたデータは、制限されたユーザーが使用するとき、もしくは承認されたサービスで処理される場合だけ、データの暗号化が解除されて、ポリシーで定義された権利が適用されます。権限が与えられていないユーザーはファイルを開くことができないため、誤ってデータを読んでしまうケースを回避します。
Azure Information Protectionの特長は簡単であること
Azure Information Protectionの大きな特長は「データ保護が簡単にできる」ことです。煩わしいワークフローでデータを保護しなければならない場合は、安全性が高まったとしても生産性を大きく損ないます。データの保護はなるべく面倒な作業をしなくても、強力な保護ができることが重要です。
Azure Information Protection は「完全自動」「ユーザー駆動」「推奨ベース」のいずれかを選択してラベルを分類でき、オンプレミスやクラウドなど格納場所や共有場所に関わらず保護状態を維持します。分類と保護のコントロールはMicrosoft Officeはもちろん一般的なアプリケーションも統合され、作業中にワンクリックでデータを保護できます。
デプロイと管理においても柔軟性があります。クラウドとオンプレミスのどちらに格納されているかに関係なく、自己管理による暗号キーによるBring Your Own Key (BYOK)と 、組織でキーを保持するHold Your Own Key (HYOK)など、暗号化キーの管理オプションをそれぞれ最適な状況に合わせて選択できます。
共有データを追跡して、必要に応じてアクセス権限を取り消すこともできます。データの監視、分析、判断がスムーズになり、運用の負荷を軽減します。
Azure Information ProtectionとAD RMSの違い
AD RMSとは「Active Directory Rights Management Services」のことです。AD RMSの機能は、電子メール、Officeドキュメント、Web閲覧の制限であり、情報漏えいを防ぐ保護ソリューションとして「Azure Information ProtectionとAD RMSは同じではないか。どこが違うのか」と疑問が生じるかもしれません。
そこでAD RMSと比較して、Azure Information Protectionの優位性を以下に挙げます。
分類とラベル付けが可能
これまで解説したとおり、Azure Information Protectionはデータを分類してラベル付けする機能が特長です。しかし、AD RMS は分類とラベル付け機能をサポートしていません。これが最も大きな違いといえるでしょう。
Azure Information Protectionのラベル付けは従来の「Azure Information Protection クライアント (クラシック)」と、その後の「Azure Information Protection 統合ラベル付けクライアント」の2つで提供されています。
後者の統合ラベル付けクライアントでは、MacOSのほか、iOSやAndroidなどモバイルOSでもラベルを作成可能です。クラシックでは、統合ラベル付けクライアントで使用できない機能を持つバージョンのクライアントを使えるようになりますが、その場合、他のクライアントプラットフォームや別の管理ポータルでラベルを使用できないデメリットがあります。
クラシックのクライアントと統合ラベル付けクライアントでは、さまざまな機能の違いがあります。具体的な違いは以下でご確認ください。
追加サーバーが不要、クラウドベースで認証
AD RMSでデータを保護するためには、追加サーバーとPKI 証明書が必要です。しかし、Azure Information ProtectionはそれらがAzureで処理されるため、追加サーバーが不要です。したがって、短時間でデプロイして簡単に管理できます。
またAD RMSでは内部認証が必要ですが、Azure Information Protectionでは内部ユーザーと他の組織からのユーザーをAzure Active Directoryで認証します。ユーザーは内部ネットワークに接続されていない状態でも認証を行うことができ、保護されたコンテンツを他の組織のユーザーと共有できます。
モバイルデバイスの組み込みサポート
AD RMSでモバイルデバイスを使う場合には、モバイルデバイス拡張機能のインストール、認証を簡略化するためにフェデレーション用のAD FSの構成、パブリックDNS サービスの追加レコード作成が必要でした。しかし、Azure Information Protection 統合ラベル付けクライアントでは、モバイルデバイスをサポートしているため、そのような必要がありません。
既定と部門別のテンプレートを利用することが可能
AD RMSでは、保護を簡略化するためのテンプレートの機能がありません。しかし、Azure Information Protectionには、自社コンテンツに対してアクセスを制限する既定のテンプレートが自動的に作成されます。
テンプレートを使って機密データの保護を迅速化できます。また、ユーザーが作成する追加テンプレートに対して「スコープテンプレート」と呼ばれる部門別テンプレートがあります。ユーザーのサブセットを指定すると、クライアントアプリケーションで特定のテンプレートを表示します。異なるユーザーグループでテンプレートの表示数を制限すれば、使えないテンプレートは非表示になるので、適切なポリシーを設定できます。
機密性の高い文書の追跡と、アクセスの取り消しが可能
AD RMSではサポートしていない機能です。しかし、Azure Information Protection クライアント(クラシック) ではサポートしています。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
Azureはサイバー攻撃から企業の情報資産を守る堅牢なセキュリティを備えています。情報漏えいを防ぐためには、内部的なコンプライアンスの徹底も重要です。しかし、人材教育を行うだけでは不完全といえるでしょう。
Azure Information Protectionを使うと、自動的にラベル付けをすることによって閲覧やアクセスを制限して、人為的なリスクを減らすことができます。機密情報を保護するために有効なソリューションです。
![[Azure]【AvePoint × PSC】動画で解説「ローコード実践術 × データ保護」](https://www.cloud-for-all.com/hubfs/images/cta/cta-footer-low-code-practice-and-data-protection.png "[Azure]【AvePoint × PSC】動画で解説「ローコード実践術 × データ保護」")
