Tech・Ed 2005 Yokohama

セミナ

タイトル:Share Point/Windows SharePoint ServicesでのRMS活用ソリューション
講師:マイクロソフト株式会社
費 國寶様
時間:13:20〜14:35


■情報共有と情報保護
・情報共有の目的

ノウハウの共有
→情報保護について
・インフラ
 →総合的な認証基盤
  認証を受けないと、あるシステムに接続できないなど
  MSの例だと・・・
  ドメイン認証とか

  ネットワーク自身の認証
  無線LANの認証
   コストが下がって導入しやすい
  社外からの社内のアクセス(リモートアクセス)は、暗号化も必要

・情報共有ツール
 →今までは・・・
  アクセス権を指定して接続許可をあたえる
  たとえば・・・文書の保護だと。
  エクセルだとシートの保護
  コピーは可能だったり・・

・内部要因
 →操作可能な人は、何でも出来てしまう
  コピー、持ち出し、印刷等
 →情報保護を強化し過ぎると、情報共有を阻害する
  必ずしも、アドレス保護した人以外にも見れたほうがいいという事も・・・

 課題という観点だとまだまだ・・・・

・外部要因
 →情報漏えい問題
  重要な問題

 →個人情報保護法
  こう言った法律が実際に存在するので、やはり注意する必要がある


■SPS/WSS概要

コミュニティサイトが簡単に作れて、情報共有が簡単にできる
WSSサービスを基本とした、SPSの機能

全体機能としては、ポータルサイト、コミュニティ機能など

RMSの概要イメージ

クライアントとしてのOutlook
→メール自身を制御
 転送ができなくする
→ファイルサーバ、グループウェア
 暗号化をかける事で、暗号に対応したアプリケーション以外では開けない
 ここでは・・OFFICE2003など

 たとえば・・・
 コピーができない、
 ファイルに対するアクセス権は別途必要である
 →しかし、持ち出した後は?
  RMSの仕組みとしては、対応したアプリケーションで開く
  認証ができない環境では、持ち出しても開くことができない


 その本人が、ネットワークに認証ができる環境であれば、開くことは可能となる・・・
  暗号化の解読をするには、認証が必須となるため、ファイルを盗まれても解読することができない
  内容自身を暗号化した上で、認証をおこない、認証をした上で、開くことができるので、アクセス権を併用した暗号化などの仕組みができる。
  その為、別のところにコピーしたところで、ファイルを開くことができない

ポータルサイト
 →大きい組織でも情報共有

 それ以外にも・・・・
  組織をまたいだ情報共有も可能である

個別のユーザーを設定して、アクセス権を設定する
 →すべてのユーザーを選択して、参照のみという設定も可能である
 →OFFICEの場合、それらの設定が可能

■ソリューション概要
 
・基本的な考え方
 コンセプト
  →従来のファイルサーバでも情報共有は可能・・
   ただ、よりセキュアな環境など、情報保護を意識させない方向、
   システムで情報保護をおこなう

 利用製品・技術
  →SharePoint Portal Server 2003 Windows SharePoint Services
→Rights Management Services
 →OFFICE2003

・実現イメージ

  ユーザー側は、平文の文章をそのまま登録
  それを何かの手段で、暗号化する
  →ここにRMSを使う

  一度、登録するとここを通じて暗号化する
  →ユーザーが意識することなく・・・・・・・

■DEMO

・保護されていないもの
 →情報ライブラリに登録(ここに置くと暗号化される)
 →先ほど登録したユーザーと別のユーザーで開く
 →右側にアクセス権の表示
  制限がかかっているのがわかる・・・
  メニューの一部がグレーアウトされ編集ができない。
  ショートカットもできない
  →設定しだいでは、印刷もできないという設定ができる

■実現アプローチ

・概要
 →RM処理場所
  実際の暗号化する処理する場所
   →クライアント or Server
 →RM処理実装手段
  Officeの機能かRMSSDKなのか
 →格納形態
  平文文書orRM文書で格納
・RM処理場所
 →クライアント側で実行
  専用のUIの作成が必要となる
  処理の分散が可能
  →サーバーへの負荷分散が可能
  →クライアント側で実装することで、分散がおこなえる
   カスタムUIを通して、RMSの処理をクライアント側でおこない、登録がおこなわれる
  →サーバー側で実行
  実現の難易度が上がる
  →試験をおこなう難易度
  →バックグラウンドで動作するアプリケーションに対する試験も大変

  標準UIを利用可能
  →まったく同じというのは微妙?

  ユーザー側は、標準のUIを利用してサーバーへ登録し、サーバーで暗号化処理をおこなう
  →ただし、若干のタイムラグがあるかも?

 *実際に実装した結果は変わらない・・
  実装への難易度とかはわかってくるけど。

・RM処理実装手段

 どうやって暗号化させるか?

→OFFICE2003
  デフォルトでRMSに対応
  設定をおこなうと、結果として暗号化された形になる
  →サーバー側での実行時は、サポート対象外になる
   元々、クライアント対象としているから、、、、
 →RMSSDKを使う
  実現が極めて難しい
  →技術面
  →実装の工数もかかるし・・・
  →手続き面が大変
   ファイルフォーマット(OFFICEとか・・)
*C++を使う
 →サーバーアプリケーションとして、本格的な実装が可能
  もちろん、クライアントアプリケーションとしても可能

  処理の実際のAPI
 →暗号化の結果は同じ・・・

・格納形態
 →平文で格納
  ダウンロードする時に暗号化される
  SQLの機能を持たせることができる
  ファイルを開くorダウンロードする際に暗号化するっていう処理・・
  →つまりは、その時にその処理をさせる設定が必要
 →RM化文書で格納
  対応していないので、プロパティ検索のみ可能 
  標準UIを活かすことが可能
  ファイルサイズが大きくなる
  →格納するディスク容量が普通より大きくなる

*上が平文文書での格納イメージ
  →ユーザーは登録時にカスタムUIを通してアクセスする
  →取り出すときは、暗号化した形で出てくる

  RM化文書で格納
  →DEMOでは・・
   暗号化する手段は、OFFICEを使ったDEMO、場所はサーバーで暗号化

■まとめ

 情報保護が必要なものだけを情報保護をしたいというユーザーもいる
 →実際には、、、
  社内にある文書は、あまり社外に持ち出されてもうれしくないのではないか。。。

  情報共有と保護は相反するかもしれないけど、
  何かの形で実現することは効果的

  最初から個人情報漏えいとかおきてしまうという前提だと、やっぱり・・・
  →しかし、情報共有をする上で、がちがちにしちゃうと作業効率が落ちるから
  →その2つをどうするかを検討する
  →インフラ上で、ユーザー自身が意識するものと、意識させないもので作っていく・・・
 
 企業の境界・・
  →一番外側に情報保護の境界を作る
  →認証ができないとファイルにアクセスできない

■感想

WSSって無償だよねって会話してましたが・・
そうなんだよね(^^;

そんなんで、まじめにこれ導入したらいいかもしれないと思う・・・個人的な意見でした。
実際にユーザーが意識しないでも、情報をある程度保護できることは、実際には大切なことですね。