Windows Rights Management Services に関してよく寄せられる質問

Microsoft Windows Rights Management Services (RMS) は、RMS 対応のアプリケーションと連動する情報保護テクノロジであり、オンラインとオフライン、ファイアウォールの内外を問わず、デジタル情報を不正使用から保護するのに役立ちます。 RMS を Windows Server 2003 の機能、開発ツール、定評のあるセキュリティ テクノロジ (暗号化、証明書、認証など) と組み合わせて使用すると、組織では信頼性の高い情報保護ソリューションを構築するのに役立ちます。 RMS は、永続的な使用ポリシーを通じて情報の保護を提供することにより、組織のセキュリティ方針を後押しします。情報がどこへ移動しようと、使用ポリシーは常にその情報と共に移動します。

Information Rights Management (IRM) は、RMS を使用してインフォメーション ワーカーが機密情報を含む Word 文書、スプレッドシート、プレゼンテーション、および電子メールを保護するのに役立つ Microsoft Office 2003 Professional (Office Word 2003、Office Excel 2003、Office PowerPoint 2003、および Office Outlook 2003) の機能です。

企業権利管理 (ERM) は、ドキュメントや電子メールを含むビジネス アプリケーションを保護することに重点を置いた権利管理です。 これはデジタル著作権管理 (DRM) とは異なります。 DRM は、歌や映画など商用のメディア コンテンツの保護に重点を置いた特殊な権利管理です。 権利管理の幅広いカテゴリの 1 つには、RMS で対象としている企業の権利管理も含まれます。 今後、個人権利管理、プライバシー権利管理など、その他多くの権利管理向けのアプリケーションが登場してくるでしょう。 デジタルであれば最終的にはすべて保護できます。これが、権利管理です。

Windows Rights Management Service (RMS) テクノロジには、以下のコンポーネントが含まれます。

Microsoft パートナーでは、SDK と同梱されている API を使用して、PC とユーザーを RMS の信頼モデルに登録したり、保護されたコンテンツを公開することができる信頼性の高いアプリケーションを構築することができます。

RMS のリリース後、マイクロソフトでは、RMS を評価および展開したユーザーからのフィードバックと、RMS プラットフォーム対応の企業の権利管理 (ERM) ソリューションを開発しているアプリケーション ベンダからのフィードバックに耳を傾けてきました。

これらのフィードバックとそれに対する対応には、次のようなものがあります。

現在、Microsoft Office 2003 Professional における RMS の実装により、エンド ユーザーは、ドキュメントや電子メール メッセージに権限ポリシーを割り当てられるようになりました。 多くの組織から、サーバーやネットワーク レベルなど、1 か所に集中した方法で情報に権利保護ポリシーを適用できるようにしてほしいという要望が寄せられました。

寄せられた要望には、次のようなシナリオがありました。

これらのようなシナリオの実現を容易にするため、RMS では "サーバー ロックボックス" と呼ばれる機能を導入しました。 権利で保護される情報を公開および使用するために必要な、暗号化、暗号化解除、署名、検証などのすべて手順を実行する RMS コンポーネントを “ロックボックス” と呼びます。 最初のバージョンの RMS では、このロックボックスは、Microsoft Office などのクライアント アプリケーション用に設計されていました。 その結果、ロックボックスでは、サーバー アプリケーションで必要なパフォーマンス特性が不足していました。 RMS Service Pack 1 (SP1) では、新しい種類のロックボックスが導入され、クライアント向けのロックボックスの機能も強化されました。 新しいサーバー ロックボックスにより、サーバー アプリケーションに含められる RMS ソリューションの範囲が広がりました。

サーバー ロックボックスにより、サーバー アプリケーションの記録情報管理、メッセージング ゲートウェイ、および電子メール アーカイブ ソリューションで、保護されたドキュメントや電子メールを容易に扱えるようになります。 この “サーバー フレンドリ” なロックボックスには、パフォーマンスや機能面の強化が実装されたので、サーバー アプリケーションは、たとえば、サーバー アプリケーションが必要とするレベルのパフォーマンスを維持したまま、権利管理ポリシーに基づいて自動的にドキュメントを保護できます。

以前のバージョンの Windows Rights Management Services (RMS) では、ユーザーは RMS サーバーに対してアクティブなインターネット接続を保持することが必要でした。 これは、RMS セットアップのサーバー登録とクライアント コンピュータのアクティブ化という 2 つの手順に、ユーザーの RMS サーバーからインターネット上でホストするサービスへの接続が必要だったためです。 RMS Service Pack 1 (SP1) では、"エアギャップ" ネットワークと呼ばれる、インターネットに接続していないネットワークで RMS を運用できるようになりました。 これは 2 つの変更によって実現されました。

連邦情報処理規格 (FIPS: Federal Information Processing Standard) 140-1 と 140-2 が暗号化製品とモジュールに適用されます。 Windows Rights Management Services Service Pack 1 (SP1) では、標準的な Windows CryptoAPI (CAPI) インターフェイス経由でアクセスできる Windows の FIPS-140 認定の暗号化モジュールを使用できるようになりました。 これらのモジュールに含まれている暗号化アルゴリズムには、コンテンツの対称暗号化用の AES (FIPS 197) とコンテンツ キーや他の資格情報の非対称暗号化用の RSA があります。 秘密キ―情報をセキュリティで保護するために Microsoft Data Protection API (DPAPI) が使用されます。

FIPS の証明書レベルは以下のとおりです。

* FIPS-140-2 は 2002 年 5 月に認定されました。Windows 2000 および Windows XP では、それまでの公認であった FIPS-140-1 の認定レベルに達していました。 FIPS 140-1 は、依然として有効かつ認められている認定レベルであり、Longhorn の出荷タイムフレームを通じて FIPS 140-1 が無効にならないことが予想されています。

最初のバージョンの RMS では、ユーザーは RMS ユーザーの資格情報を取得するために、Microsoft Active Directory (AD) にログインして認証を受ける必要がありました。 ユーザーは、このような RMS 資格情報を取得すると、その後は、AD 認証なしにコンテンツを公開および使用できました。

ユーザーからは、2 要素の認証手法など、強化されたレベルの認証を求める声がありました。

RMS SP1 では、RMS ユーザーの資格情報を得るために、エンド ユーザーに対してスマート カードから x.509 証明書を提示することを要求できます。 これは、ユーザーの Active Diretory アカウントを x.509 証明書にマップし、ユーザーに証明書を提供する RMS サービスにアクセス制御リストを設定することによって実現されます。 Windows は、ユーザーを認証するためにスマート カード ベースの PIN を問い合わせ、これによってユーザーに RMS の資格情報を付与します。 この機能により、ユーザー名とパスワードによる単純な AD 認証に新たなセキュリティ層を提供することができます。

さらに高レベルのセキュリティが必要な組織では、RMS のライセンス サービスにアクセス制御リストを設定することができます。 このようなセーフガードを設定することにより、エンド ユーザーは、新しい RMS で保護されたコンテンツを使用または "ライセンスを取得" するたびにネットワーク証明書を提示する必要があります。 上記の証明書シナリオで示したように、RMS SP1 を使用すると、管理者はライセンス シナリオでスマート カード ベースの認証を実施することができます

エンドユーザーに必要な権限が少なくなった容易な展開
RMS SP1 では、クライアント パッケージをデスクトップ コンピュータに展開することが大幅に容易になりました。 たとえば、ユーザーはマイクロソフトから提供される展開とインストールのテクノロジを使用して、デスクトップ コンピュータに “アクセス” しないで、またエンド ユーザーに特別な管理特権を付与することなく、ネットワーク全体に RMS クライアントを展開できます。

RMS SP1 では、プログラムの “提供” をサポートするインストール テクノロジが使用されています。 組織は提供されるプログラムにより、管理者以外が起動したインストール プログラムでインストールが正しく行われるように、一時的に “特権を昇格” できます。 これはグループ ポリシー オブジェクト (GPO) を使用して行うことができ、Microsoft Systems Management Server (SMS) を使用してさらに自動化することができます。

また、RMS SP1 クライアント ソフトウェアは Microsoft Windows Update チャネル経由で配布されるので、ユーザーは Software Update Services (SUS) や Windows Update Services (WUS) を使用してクライアントを展開できます。

役割ベースのセキュリティを容易にする
多くの組織では、メンバが絶えず変化するグループに情報を制限しなければならない場合があります。このような場合、グループにメンバが出入りするたびにグループの定義を変更することは望ましくありません。

RMS SP1 では、クエリ ベースのグループがサポートされることにより、Active Directory の特定の属性に対するクエリで定義された動的なグループに基づいて権限管理ポリシーを適応できるようになりました。 たとえば、受信者が権利で保護されたコンテンツを “使用” または開こうとすると、RMS がコンテンツに割り当てられた権利に照らして、グループのメンバシップを確認します。 受信者がコンテンツを使用した時点で適切なグループのメンバではない場合は、そのコンテンツのアクセスに必要なライセンスを入手できません。 このことは、クエリ ベースのグループだけでなく、静的に定義されたグループにも当てはまります。

クエリ ベースのグループを使用するには、Microsoft Exchange 2000 Service Pack 3 (SP3) 以降と Active Directory がインストールされた Windows 2000 SP3 以降が必要です。

ツールやガイダンスの強化
RMS SP1 のリリースに伴い、RMS Toolkit が更新されました。 RMS SP1 Toolkit には既存の RMS Log Analyzer ツールと連動する Web ユーザー インターフェイスなど、新しいツールや更新されたツールが含まれており、ユーザーは、組織内で行われた認定、公開、ライセンスの発行などの RMS 操作をユーザーごとに簡単に表示することができるようになります。

RMS SP1 で変更された技術的な必要条件で最も重要なことは、RMS のインストール、展開、または運用にインターネット接続が必要なくなったことです。 RMS は、インターネットから完全に遮断されたネットワーク ("エアギャップ" ネットワーク) で運用できるようになりました。 それ以外については、RMS SP1 の技術的な必要条件は、最初のバージョンの RMS の技術的な必要条件と変わりません。

サーバーソフトウェアの要件

サーバーハードウェア要件

クライアントソフトウェア要件

RMS はプラットフォーム テクノロジであり、Microsoft Office などのアプリケーションのリリース スケジュールから独立しています。 RMS SP1 プラットフォームは、現在 RMS を使用している既存の Microsoft Office の Information Rights Management (IRM) 機能でサポートされます。 Microsoft Office チームはもとより、他のマイクロソフト アプリケーション製品チームでは、今後リリースする製品で強化された RMS テクノロジを活用する予定です。

RMS SP1 のキー フローの大部分については、最初のバージョンの RMS と同様です。 たとえば、オフラインおよびオンラインの公開、コンテンツの利用については、まったく同様に機能します。 大きな変更は 2 点あり、RMS のセットアップ プロセスで 2 つの手順 "オフラインのサーバー登録" と "クライアント コンピュータの自己アクティブ化" が導入されたことです。