AD RMS とは?

どうも、Miyaです。

企業でITを活用していくには、同時にセキュリティを考慮する必要があります。
最近では、海外への事業拡大に伴って「ファイルやメールの保護を実装したい!」なんて話を貰います。
今回は、重要なドキュメントやメールをむやみに外部に持ち出されないように保護するAD RMSの概要をご説明します。

スポンサーリンク:

AD RMSで何ができるの?

AD RMSを実装することにより、作成者によってメールやドキュメントの保護が実現できます。
保護されたデータは暗号化され、細かな権限設定をユーザ単位で設定されます。
第三者がそのデータを利用しようとすると、ADによってユーザ認証が行われ、そのユーザに許可された範囲での操作のみ行うことができます。

例を挙げると、組織内の承認された特定のユーザグループだけに表示のみドキュメントがあるとします。
ドキュメントの作成者はそのグループに対して表示のみの権限を付与することで、印刷や編集を拒否することが出来ます。
Wordに付随する機能とWindows Liveアカウントを利用することで実現できるのですが、AD RMSを使用すると、これらのアクセス拒否設定をADのアカウントに基づいて設定が可能となります。
それでは、AD RMSの各動作について説明してきましょう(´_ゝ`)

AD RMSのサーバー/クライアント構成

まず、AD RMSサービスを利用するにあたり登場する各コンポーネントを紹介します。
RMS

AD RMSサーバー

AD RMSサーバーでは、クライアントで作成されたファイルの保護やそれに対する許諾を行います。
AD RMSサーバーはIIS上で動作し、サーバーの構成情報およびポリシー情報の格納先としてデータベースを使用します。
このデータベースには、ローカルのWindows Internal DatabaseまたはSQLサーバーを使用できます。

AD RMSクライアント

AD RMSクライアントは、Windows Vista以降の各OSで動作します。
AD RMSに対応したアプリケーションを使用して、コンテンツを保護することができます。
Windows Vista以降ならAD RMSクライアントが組み込まれているので問題はないのですが、他OSの場合でAD RMSクライアントが利用できない場合、例え権限が付与されていてもAD RMSで保護されたコンテンツを参照することができません。

AD RMS対応のアプリケーション

AD RMS対応のアプリケーションを使用することにより、ユーザはAD RMSで保護されたコンテンツを作成および利用できます。
例えば、Outlookを使用すると、ユーザーは保護された電子メールを表示・作成したり、その他Office製品で保護されたドキュメントを表示・作成したりできます。
また、MicrosoftよりAD RMSソフトウェア開(SDK)が提供されているため、コンテンツに対するAD RMS保護をサポートするアプリケーションの開発が可能です。

AD RMSの証明書およびライセンス

AD RMSが動作する仕組みを理解するには、証明書とライセンスのさまざまな種類に精通している必要があります。
また、サーバーライセンサー証明書(SLC)などの一部の証明書は非常に重要なため、定期的にバックアップをする必要があります。
AD RMSで使用する証明書およびライセンスは以下になります。

  • サーバーライセンサー証明書(SLC)
  • AD RMSコンピューター証明書
  • RMSアカウント証明書(RAC)
  • クライアントライセンサー証明書
  • 発行ライセンス(PL)
  • エンドユーザライセンス

はい、おおいーーーーーーーーーー(´_ゝ`)笑
ここでは、重要なモノをピックアップして、ご説明していきます。

サーバーライセンサー証明書(SLC)

SLCはAD RMSを構成すると自動的に生成される証明書で、そのサーバーを識別する一意の情報として使用されます。
自動生成によって生成されたSLCの有効期限は250年になります。この数字の意図は分かりません(´_ゝ`)
SLCは冒頭でも申し上げた非常に重要な証明書の一つです。
なぜかと言うと、AD RMSではSLCによって証明書およびライセンスを発行する仕組みになっているため、SLCが紛失または壊れた場合にAD RMSは正常にサービスを継続することが出来ません。

発行ライセンス

発行ライセンスとは、AD RMSで保護されたコンテンツに適応される権限を決定します。
例えば、ユーザがドキュメントの編集、印刷または保存を行えるかどうかを決定します。
発行ライセンス

発行ライセンスには、SLCの公開キーによって暗号化されたコンテンツキーの他、AD RMSサーバーのURLおよびデジタル署名が含まれています。

使用ライセンス

使用ライセンスは、認証済みユーザに対して、権限の保護が設定されたドキュメントに適応する権限を指定するために使用されます。
例えば、User01というユーザーがドキュメントAに行える権限は表示と印刷のみなどの権限を決定します。
使用ライセンス

SCPオブジェクトによるAD RMSサーバーへの接続

最後に、クライアントからAD RMSサーバーへの接続方法をご説明します。
クライアントから保護されたドキュメントへの権限の設定または参照を行う際に、AD RMSサーバーへ接続しライセンスを取得しなければなりません。
この時に、クライアントからわざわざブラウザURLを手入力するのは非常に手間になるので、ADの構成パーティションに格納されているSCPオブジェクトを利用して自動検出を行っています。
SCP

SCPオブジェクトは、AD RMSに限って登場するモノではなく、他サービスでもSCPを使用した自動検出を採用しているサービスがあり、Exchange Serverなどがまさにそうです。

AD RMSの基本的な動作の説明は以上になります。
これらを踏まえて、AD RMSの構築することで「あ、ここの設定のことか!」と、理解が深まるでしょう。(本当か…??
次回は、AD RMSを実際に構築したいと思いますので、ご興味ございましたら、一読お願いいたします。

それでは、よいWindowsライフをっ♪

スポンサーリンク