Tech・Ed 2005 Yokohama
タイトル:Share Point/Windows SharePoint ServicesでのRMS活用ソリューション
講師:マイクロソフト株式会社
費 國寶様
時間:13:20〜14:35
■情報共有と情報保護
・情報共有の目的ノウハウの共有
→情報保護について
・インフラ
→総合的な認証基盤
認証を受けないと、あるシステムに接続できないなど
MSの例だと・・・
ドメイン認証とかネットワーク自身の認証
無線LANの認証
コストが下がって導入しやすい
社外からの社内のアクセス(リモートアクセス)は、暗号化も必要・情報共有ツール
→今までは・・・
アクセス権を指定して接続許可をあたえる
たとえば・・・文書の保護だと。
エクセルだとシートの保護
コピーは可能だったり・・・内部要因
→操作可能な人は、何でも出来てしまう
コピー、持ち出し、印刷等
→情報保護を強化し過ぎると、情報共有を阻害する
必ずしも、アドレス保護した人以外にも見れたほうがいいという事も・・・課題という観点だとまだまだ・・・・
・外部要因
→情報漏えい問題
重要な問題→個人情報保護法
こう言った法律が実際に存在するので、やはり注意する必要がある
■SPS/WSS概要
コミュニティサイトが簡単に作れて、情報共有が簡単にできる
WSSサービスを基本とした、SPSの機能全体機能としては、ポータルサイト、コミュニティ機能など
■RMSの概要イメージ
クライアントとしてのOutlook
→メール自身を制御
転送ができなくする
→ファイルサーバ、グループウェア
暗号化をかける事で、暗号に対応したアプリケーション以外では開けない
ここでは・・OFFICE2003などたとえば・・・
コピーができない、
ファイルに対するアクセス権は別途必要である
→しかし、持ち出した後は?
RMSの仕組みとしては、対応したアプリケーションで開く
認証ができない環境では、持ち出しても開くことができない
その本人が、ネットワークに認証ができる環境であれば、開くことは可能となる・・・
暗号化の解読をするには、認証が必須となるため、ファイルを盗まれても解読することができない
内容自身を暗号化した上で、認証をおこない、認証をした上で、開くことができるので、アクセス権を併用した暗号化などの仕組みができる。
その為、別のところにコピーしたところで、ファイルを開くことができないポータルサイト
→大きい組織でも情報共有それ以外にも・・・・
組織をまたいだ情報共有も可能である個別のユーザーを設定して、アクセス権を設定する
→すべてのユーザーを選択して、参照のみという設定も可能である
→OFFICEの場合、それらの設定が可能■ソリューション概要
・基本的な考え方
コンセプト
→従来のファイルサーバでも情報共有は可能・・
ただ、よりセキュアな環境など、情報保護を意識させない方向、
システムで情報保護をおこなう利用製品・技術
→SharePoint Portal Server 2003 Windows SharePoint Services
→Rights Management Services
→OFFICE2003・実現イメージ
ユーザー側は、平文の文章をそのまま登録
それを何かの手段で、暗号化する
→ここにRMSを使う一度、登録するとここを通じて暗号化する
→ユーザーが意識することなく・・・・・・・■DEMO
・保護されていないもの
→情報ライブラリに登録(ここに置くと暗号化される)
→先ほど登録したユーザーと別のユーザーで開く
→右側にアクセス権の表示
制限がかかっているのがわかる・・・
メニューの一部がグレーアウトされ編集ができない。
ショートカットもできない
→設定しだいでは、印刷もできないという設定ができる■実現アプローチ
・概要
→RM処理場所
実際の暗号化する処理する場所
→クライアント or Server
→RM処理実装手段
Officeの機能かRMSのSDKなのか
→格納形態
平文文書orRM文書で格納
・RM処理場所
→クライアント側で実行
専用のUIの作成が必要となる
処理の分散が可能
→サーバーへの負荷分散が可能
→クライアント側で実装することで、分散がおこなえる
カスタムUIを通して、RMSの処理をクライアント側でおこない、登録がおこなわれる
→サーバー側で実行
実現の難易度が上がる
→試験をおこなう難易度
→バックグラウンドで動作するアプリケーションに対する試験も大変標準UIを利用可能
→まったく同じというのは微妙?ユーザー側は、標準のUIを利用してサーバーへ登録し、サーバーで暗号化処理をおこなう
→ただし、若干のタイムラグがあるかも?*実際に実装した結果は変わらない・・
実装への難易度とかはわかってくるけど。・RM処理実装手段
どうやって暗号化させるか?
→OFFICE2003
デフォルトでRMSに対応
設定をおこなうと、結果として暗号化された形になる
→サーバー側での実行時は、サポート対象外になる
元々、クライアント対象としているから、、、、
→RMSのSDKを使う
実現が極めて難しい
→技術面
→実装の工数もかかるし・・・
→手続き面が大変
ファイルフォーマット(OFFICEとか・・)
*C++を使う
→サーバーアプリケーションとして、本格的な実装が可能
もちろん、クライアントアプリケーションとしても可能処理の実際のAPI
→暗号化の結果は同じ・・・・格納形態
→平文で格納
ダウンロードする時に暗号化される
SQLの機能を持たせることができる
ファイルを開くorダウンロードする際に暗号化するっていう処理・・
→つまりは、その時にその処理をさせる設定が必要
→RM化文書で格納
対応していないので、プロパティ検索のみ可能
標準UIを活かすことが可能
ファイルサイズが大きくなる
→格納するディスク容量が普通より大きくなる*上が平文文書での格納イメージ
→ユーザーは登録時にカスタムUIを通してアクセスする
→取り出すときは、暗号化した形で出てくるRM化文書で格納
→DEMOでは・・
暗号化する手段は、OFFICEを使ったDEMO、場所はサーバーで暗号化■まとめ
情報保護が必要なものだけを情報保護をしたいというユーザーもいる
→実際には、、、
社内にある文書は、あまり社外に持ち出されてもうれしくないのではないか。。。情報共有と保護は相反するかもしれないけど、
何かの形で実現することは効果的最初から個人情報漏えいとかおきてしまうという前提だと、やっぱり・・・
→しかし、情報共有をする上で、がちがちにしちゃうと作業効率が落ちるから
→その2つをどうするかを検討する
→インフラ上で、ユーザー自身が意識するものと、意識させないもので作っていく・・・
企業の境界・・
→一番外側に情報保護の境界を作る
→認証ができないとファイルにアクセスできない■感想
WSSって無償だよねって会話してましたが・・
そうなんだよね(^^;そんなんで、まじめにこれ導入したらいいかもしれないと思う・・・個人的な意見でした。
実際にユーザーが意識しないでも、情報をある程度保護できることは、実際には大切なことですね。