Exchange Serverの Information Rights Management

[アーティクル]
04/04/2023

人々は日常的に電子メールを使用し、機密情報やレポートなど、秘匿性の高い情報を交換しています。電子メールにはほぼどこからでもアクセスできるため、メールボックスは、秘匿性の高い情報を大量に含むリポジトリになりました。その結果、情報漏洩が組織にとって深刻な脅威になる可能性があります。情報漏洩を防ぐために、Exchange Serverには、電子メールメッセージと添付ファイルに対して永続的なオンラインおよびオフライン保護を提供する Information Rights Management (IRM) 機能が含まれています。これらの IRM 機能は基本的に、Exchange 2013 から変更されていません。

情報漏洩について

情報漏洩とは、権限のないユーザーに対する秘匿性の高い情報の開示です。情報漏洩は、組織にとって多大なコストがかかり、組織の事業、従業員、顧客、およびパートナーに広範な影響を与える可能性があります。適用される規制の違反を防止するために、組織では不慮または意図的な情報漏洩から自身を保護する必要があります。

次に、情報漏洩によって引き起こされる結果をいくつか示します。

経済的損害: 組織は、ビジネスの損失、罰金、または有害なメディアの報道を受ける可能性があります。
画像と信頼性の損傷: 漏洩したメールメッセージは、送信者と組織にとって恥ずかしい原因になる可能性があります。
競争上の利点の損失: これは最も深刻な結果の 1 つです。戦略的ビジネスや合併、買収計画の開示は、組織の収益や時価総額の損失につながります。競争上の優位性の他の脅威としては、研究情報、分析データ、その他の知的財産の損失などがあります。

情報漏洩に対する従来の解決策

情報漏洩に対する従来の解決策では、初期的なデータアクセスを防ぐ効果が得られる場合もありますが、通常、継続的な保護は提供されません。次の表に、情報漏洩に対する従来の解決策を示します。

ソリューション	説明	制限事項
トランスポート層セキュリティ (TLS)	TLS は、ネットワーク通信を暗号化するために使用されるインターネットの標準プロトコルです。メッセージング環境では、TLS を使用して、サーバー/サーバー間やサーバー/クライアント間の通信を暗号化します。既定では、Exchange はすべての内部メッセージ転送に TLS を使用します。外部ホストとの SMTP セッションには、便宜的な TLS も既定で有効にされています (TLS 暗号化が最初に試行されますが、これを利用できない場合、暗号化されていない通信が許可されます)。外部組織との相互 TLS を強制するように、ドメインセキュリティを構成することもできます。	TLS は、2 つの SMTP ホスト間の SMTP セッションのみ保護します。つまり、TLS では移動している情報が保護されるだけで、メッセージレベルでの保護や静止している情報の保護は提供されません。メッセージを別の方法で暗号化しない限り、送信者や受信者のメールボックス内のメッセージは未保護のままになります。組織外に送信される電子メールの場合、1 回目のホップにのみ TLS を要求できます。リモート SMTP ホストがメッセージを受信後に、暗号化されていないセッションを介して別の SMTP ホストにそのメッセージを中継できます。 TLS はメールフローで使用されるトランスポート層テクノロジであるため、受信者がメッセージに対して行う操作を制御することはできません。
メッセージの暗号化	ユーザーは、S/MIME などのテクノロジを使用してメッセージを暗号化できます。	ユーザーはメッセージを暗号化するかどうかを決定します。公開キー基盤 (PKI) を展開するための追加コスト、およびユーザーに対する証明書の管理や秘密キーの保護に付随するオーバーヘッドが発生します。メッセージが復号化されると、その情報に対する受信者の操作は制御されなくなります。復号化された情報はコピー、印刷、または転送できます。既定では、保存された添付ファイルは保護されません。メッセージングサーバーでは、S/MIME で暗号化されたメッセージを開いて検査することはできません。したがって、メッセージングサーバーではメッセージポリシーの適用、メッセージのウイルススキャン、またはメッセージ内のコンテンツへのアクセスを必要とするその他のアクションは実行できません。

ソリューション

説明

制限事項

トランスポート層セキュリティ (TLS)

TLS は、ネットワーク通信を暗号化するために使用されるインターネットの標準プロトコルです。メッセージング環境では、TLS を使用して、サーバー/サーバー間やサーバー/クライアント間の通信を暗号化します。

既定では、Exchange はすべての内部メッセージ転送に TLS を使用します。外部ホストとの SMTP セッションには、便宜的な TLS も既定で有効にされています (TLS 暗号化が最初に試行されますが、これを利用できない場合、暗号化されていない通信が許可されます)。外部組織との相互 TLS を強制するように、ドメインセキュリティを構成することもできます。

TLS は、2 つの SMTP ホスト間の SMTP セッションのみ保護します。つまり、TLS では移動している情報が保護されるだけで、メッセージレベルでの保護や静止している情報の保護は提供されません。メッセージを別の方法で暗号化しない限り、送信者や受信者のメールボックス内のメッセージは未保護のままになります。

組織外に送信される電子メールの場合、1 回目のホップにのみ TLS を要求できます。リモート SMTP ホストがメッセージを受信後に、暗号化されていないセッションを介して別の SMTP ホストにそのメッセージを中継できます。

TLS はメールフローで使用されるトランスポート層テクノロジであるため、受信者がメッセージに対して行う操作を制御することはできません。

メッセージの暗号化

ユーザーは、S/MIME などのテクノロジを使用してメッセージを暗号化できます。

ユーザーはメッセージを暗号化するかどうかを決定します。

公開キー基盤 (PKI) を展開するための追加コスト、およびユーザーに対する証明書の管理や秘密キーの保護に付随するオーバーヘッドが発生します。

メッセージが復号化されると、その情報に対する受信者の操作は制御されなくなります。復号化された情報はコピー、印刷、または転送できます。既定では、保存された添付ファイルは保護されません。

メッセージングサーバーでは、S/MIME で暗号化されたメッセージを開いて検査することはできません。したがって、メッセージングサーバーではメッセージポリシーの適用、メッセージのウイルススキャン、またはメッセージ内のコンテンツへのアクセスを必要とするその他のアクションは実行できません。

最後に、従来の解決策には、ほとんどの場合、統一されたメッセージングポリシーを適用して情報漏洩を防止する強制ツールがありません。たとえば、ユーザーがメッセージを [企業秘密] および [転送不可] のマークを付けて送信したとします。この場合、メッセージが受信者に配信された後、送信者または組織はこのメッセージを制御できなくなります。受信者はメッセージを意図的に、または不注意によって (自動転送ルールなどの機能を使用して) 外部電子メールアカウントに転送できるため、組織が実質的に情報漏洩の危険を被る可能性があります。

Exchange の IRM

Exchange の IRM では、次の機能を提供して情報漏洩を防止できます。

IRM で保護されたコンテンツの認証された受信者が、コンテンツの転送、変更、印刷、FAX、保存、カットアンドペーストをできないようにします。
サポートされている添付ファイルの形式をメッセージと同じレベルの保護で保護します。
IRM で保護されたメッセージと添付ファイルの有効期限をサポートし、指定された期間以降表示できないようにします。
Windows の切り取りツールで IRM で保護されたコンテンツをコピーできないようにします。

ただし、Exchange の IRM では、次の方法による情報開示を防止することはできません。

サードパーティ製の画面キャプチャプログラム。
画面に表示されている IRM で保護されたコンテンツの撮影。
ユーザーによる情報の記憶または書き写し。

IRM では、eXtensible rights Markup Language (XrML) ベースの証明書とライセンスを使用する、Windows Server の情報保護技術である Active Directory Rights Management サービス (AD RMS) を使用して、コンピューターとユーザーを認証し、コンテンツを保護します。ドキュメントやメッセージを AD RMS を使用して保護すると、認証されたユーザーがコンテンツに対して持つ権限を含む XrML ライセンスが添付されます。 IRM で保護されたコンテンツにアクセスするには、AD RMS 対応アプリケーションで AD RMS サーバーから許可されたユーザーに対する使用ライセンスを調達する必要があります。 Word、Excel、PowerPoint、Outlook などの Office アプリケーションは RMS に対応しており、保護されたコンテンツを作成して使用できます。

注:

Exchange プレライセンスエージェントにより、組織の AD RMS サーバーが保護したメッセージに対して使用ライセンスが添付されます。詳細については、このトピックで後述する「プレライセンス」セクションを参照してください。

Active Directory Rights Management サービスの詳細については、「Active Directory Rights Management サービス」を参照してください。

Active Directory Rights Management サービス権限ポリシーテンプレート

AD RMS サーバーは、メッセージに IRM 保護を適用するために使用する XrML ベースの権利ポリシーテンプレートの列挙と取得に使用される Web サービスを提供します。適切な権利ポリシーテンプレートを適用することによって、受信者がメッセージに返信、全員へ返信、メッセージを転送、情報を抽出、保存、または印刷できるかどうかを制御できます。

既定では、Exchange には [転送不可] テンプレートが同梱されています。このテンプレートがメッセージに適用されると、メッセージで指定された受信者のみがメッセージを復号化できるようになります。受信者がメッセージを転送、メッセージから内容をコピー、またはメッセージを印刷することはできません。要件に応じて、組織内の AD RMS サーバー上で RMS テンプレートを追加作成できます。

権利ポリシーテンプレートの詳細については、「AD RMS ポリシーテンプレートの考慮事項」を参照してください。

AD RMS 権利ポリシーテンプレートの作成方法の詳細については、「ステップバイステップガイド - Active Directory Rights Management サービス権利ポリシーテンプレートを作成および展開する」を参照してください。

メッセージへの IRM による保護の適用

既定では、Exchange 組織の IRM は有効にされていますが、メッセージへの IRM による保護を適用するには、次のいずれかの方法を使用する必要があります。

Outlook のユーザーによる手動: ユーザーは、使用可能な AD RMS 権限ポリシーテンプレートを使用して、Outlook のメッセージを IRM で保護できます。このプロセスでは、Exchange ではなく Outlook の IRM 機能を使用します。 Outlook での IRM の使用については、「メールメッセージでの IRM の使用方法」を参照してください。
Outlook on the webのユーザーによる手動: 管理者がOutlook on the webで IRM を有効にすると (旧称Outlook Web App)、ユーザーは送信したメッセージを IRM で保護し、受信した IRM で保護されたメッセージを表示できます。 Outlook on the webの IRM の詳細については、「Outlook Web Appの IRM について」を参照してください。
Exchange ActiveSyncのユーザーによる手動: 管理者が Exchange ActiveSyncで IRM を有効にすると、ユーザーは ActiveSync デバイスで IRM で保護されたメッセージを表示、返信、転送、および作成できます。詳細については、「Understanding Information Rights Management in Exchange ActiveSync」を参照してください。
Outlook で自動的に: 管理者は、メッセージを IRM で自動的に保護する Outlook 保護ルールを作成できます。 Outlook 保護ルールは Outlook クライアントに自動的に展開され、ユーザーがメッセージを作成する際、Outlook によって IRM 保護が適用されます。詳細については、「 Outlook 保護規則」を参照してください。
メールボックスサーバーで自動的に: 管理者は、メールフロールール (トランスポートルールとも呼ばれます) を作成して、指定した条件に一致するメッセージを自動的に IRM で保護できます。詳細については、「Understanding Transport Protection Rules」を参照してください。

注:

IRM による保護は、既に IRM で保護されたメッセージに再度適用されることはありません。たとえば、ユーザーが Outlook または Web 上の Outlook でメッセージを IRM で保護した場合、トランスポート保護ルールでは同じメッセージに IRM 保護が適用されません。

IRM による保護のシナリオ

次の表は、メッセージ送信のシナリオ、および IRM 保護が可能かどうかを示しています。

シナリオ	IRM 保護メッセージの送信はサポートされているか	要件
同じオンプレミスの Exchange 組織内でのメッセージ送信	はい	要件については、このトピックで後述する「IRM の要件」を参照してください。
オンプレミスの組織での複数の Active Directory フォレスト間でのメッセージの送信。	はい	要件については、「複数のフォレスト間で Exchange Server 2010 と統合するための AD RMS の構成」を参照してください。
ハイブリッド展開でオンプレミスの Exchange 組織と Microsoft 365 またはOffice 365組織の間でメッセージを送信する。	はい	詳細については、「 Exchange ハイブリッド展開の IRM」を参照してください。
外部受信者へのメッセージの送信	いいえ	Exchange には、IRM 保護メッセージを、非フェデレーション組織内の外部受信者に送信するための解決策は含まれていません。 Active Directory フェデレーションサービス (AD FS) (AD FS) を使用して 2 つの Active Directory フォレスト間にフェデレーション信頼を作成するには、「AD RMS 信頼ポリシーについて」を参照してください。

IRM で保護されたメッセージの復号化によるメッセージングポリシーの適用

メッセージングポリシーを強制的に適用して規制に準拠するには、Exchange が暗号化されたメッセージのコンテンツにアクセスできる必要があります。訴訟、規制に基づく監査、または内部的な調査による電子情報開示要件を満たすには、指定の監査担当者が暗号化されたメッセージを検索できる必要もあります。これらのタスクを支援するために、Exchange には次の復号化機能が搭載されています。

トランスポート復号化: Exchange サーバーにインストールされているトランスポートエージェントによるメッセージコンテンツへのアクセスを許可します。詳細については、「Understanding Transport Decryption」を参照してください。
ジャーナルレポートの暗号化解除: 標準またはプレミアムのジャーナリングで、IRM で保護されたメッセージのクリアテキストコピーをジャーナルレポートに保存できます。詳細については、「ジャーナルレポート復号化を有効にする」を参照してください。
Exchange Search の IRM 暗号化解除: Exchange Search で IRM で保護されたメッセージ内のコンテンツにインデックスを作成できるようにします。検出マネージャーがインプレースの電子情報開示検索を実行すると、検索結果にインデックスが作成された IRM 保護メッセージが返されます。詳細については、「 Exchange 検索およびインプレース電子情報開示のための IRM の構成」を参照してください。

これらの復号化機能を有効にするには、フェデレーションメールボックス (Exchange によって作成されたシステムのメールボックス) を AD RMS サーバー上のスーパーユーザーグループに追加する必要があります。手順については、「フェデレーションメールボックスを AD RMS のスーパーユーザーグループに追加する」を参照してください。

プレライセンス

許可されているユーザーに IRM で保護されたメッセージと添付ファイルを表示するために、Exchange では、保護されたメッセージにプレライセンスを自動的に添付します。この機能によって、クライアントは AD RMS サーバーに繰り返しトリップを行って使用ライセンスを取得する必要がなくなるうえ、IRM で保護されたメッセージのオフライン表示が可能になります。プレライセンスでは、IRM 保護メッセージを Web 上の Outlook で表示することもできます。 IRM 機能を有効にすると、プレライセンスが既定で有効になります。

IRM エージェント

IRM 機能では、メールボックスサーバー上のトランスポートサービスに存在する組み込みトランスポートエージェントを使用します。組み込みのトランスポートエージェントのほとんどは、Exchange Management Shell (*-TransportAgent) のトランスポートエージェント管理コマンドレットによって非表示および管理できません。

IRM に関連付けられている組み込みトランスポートエージェントを次の表に示します。

エージェント名	管理可能	SMTP またはカテゴライザーイベント	説明
ジャーナルレポート復号化エージェント	いいえ	OnCategorizedMessage	ジャーナルレポートに添付されている IRM で保護されたメッセージのクリアテキストコピーを提供します。
プレライセンスエージェント	いいえ	OnRoutedMessage	IRM で保護されたメッセージにプレライセンスを添付します。
RMS 復号化エージェント	いいえ	OnSubmittedMessage,	IRM で保護されたメッセージを復号化し、トランスポートエージェントによるメッセージコンテンツへのアクセスを許可します。
RMS 暗号化エージェント	いいえ	OnRoutedMessage	トランスポートエージェントによってフラグ設定されたメッセージに対して IRM による保護を適用し、トランスポートで復号化されたメッセージを再度暗号化します。
RMS プロトコル復号化エージェント	いいえ	OnEndOfData	IRM で保護されたメッセージを復号化し、トランスポートエージェントによるメッセージコンテンツへのアクセスを許可します。
トランスポートルールエージェント	はい	OnRoutedMessage	トランスポート保護ルールの条件に一致するメッセージに対して、RMS 暗号化エージェントによって IRM で保護するというフラグを設定します。

トランスポートエージェントの詳細については、「Exchange Serverのトランスポートエージェント」を参照してください。

IRM の要件

既定では、Exchange 組織が IRM に対して有効です。 Exchange Server組織で IRM を実際に実装するには、デプロイがこの表に記載されている要件を満たしている必要があります。

サーバー	要件
AD RMS クラスター	AD RMS クラスターは、1 つの AD RMS サーバーを含む、すべての AD RMS 展開に使用される用語です。 AD RMS は Web サービスであるため、Windows Server フェールオーバークラスターを作成する必要はありません。高可用性と負荷分散を実現するには、クラスター内に複数の AD RMS サーバーを展開して、ネットワーク負荷分散 (NLB) を使用できます。サービス接続ポイント: Exchange などの AD RMS 対応アプリケーションでは、Active Directory に登録されているサービス接続ポイントを使用して、AD RMS クラスターと URL を検出します。 AD RMS のサービス接続ポイントは、Active Directory フォレスト内に 1 つだけ存在します。サービス接続ポイントは AD RMS のセットアップ中またはセットアップ完了後に登録できます。アクセス許可: AD RMS サーバー認定パイプライン (のファイル`\inetpub\wwwroot\_wmcs\certification\`) に対する読み取りと実行のアクセス許可は`ServerCertification.asmx`、次のセキュリティプリンシパルに割り当てる必要があります。 Exchange サーバーグループまたは個々の Exchange サーバー。 AD RMS サーバー上の AD RMS サービスグループ。詳細については、「 AD RMS サーバー証明パイプラインにアクセス許可を設定する」を参照してください。 AD RMS スーパーユーザー: トランスポート復号化、ジャーナルレポートの暗号化解除、Outlook on the webの IRM、Exchange Search の IRM 復号化を有効にするには、AD RMS サーバーの Super Users グループにフェデレーションメールボックスを追加する必要があります。詳細については、「フェデレーションメールボックスを AD RMS のスーパーユーザーグループに追加する」を参照してください。
Exchange	Exchange 2010 以降が必要です。運用環境では、同じサーバーへの AD RMS および Exchange のインストールはサポートされていません。
Outlook	メッセージを保護する AD RMS テンプレートは Outlook 2007 以降から使用できます。 Exchange の Outlook 保護規則では、Outlook 2010 以降が必要です。
Exchange ActiveSync	IRM は、Exchange ActiveSync プロトコルバージョン 14.1 以降をサポートするモバイルアプリケーションとデバイス、およびそれに含まれる RightsManagementInformation タグ (どちらも Exchange 2010 Service Pack 1 で導入済み) で使用できます。サポートされているデバイスを所有するユーザーは、ActiveSync を使用することによって、デバイスをコンピューターに接続して IRM 用にアクティブ化することなく、IRM で保護されたメッセージの表示、返信、転送、および作成を行うことができます。詳細については、「Understanding Information Rights Management in Exchange ActiveSync」を参照してください。

Exchange IRM 機能では、Office ファイル形式がサポートされています。カスタムプロテクターを展開することで、IRM による保護を他のファイル形式に拡張できます。カスタム保護機能の詳細については、Microsoft ソリューションプロバイダーページでInformation Protectionおよびコントロールパートナーを検索してください。

IRM の構成およびテスト

Exchange で IRM 機能を構成するには、Exchange 管理シェルを使用します。手順の詳細については、「Managing Rights Protection」を参照してください。

メールボックスサーバーをインストールして構成したら、 Test-IRMConfiguration コマンドレットを使用して IRM 展開のエンドツーエンドテストを実行できます。コマンドレットでは、次のテストを実行します。

Exchange 組織の IRM 構成を検査する。
AD RMS サーバーのバージョンや修正プログラムの情報を確認する
権利アカウント証明書 (RAC) とクライアントライセンサー証明書を取得することで、Exchange サーバーを RMS 用にアクティブにできるかどうかを確認する
AD RMS 権利ポリシーテンプレートを AD RMS サーバーから取得する
指定された送信者が IRM で保護されたメッセージを送信できることを確認する
指定された受信者のスーパーユーザー使用ライセンスを取得する。
指定された受信者のプレライセンスを取得する

詳細については、「Test-IRMConfiguration」を参照してください。

権限管理コネクタで権利の管理を拡張

Azure Rights Management コネクタ (RMS コネクタ) は、クラウドベースの Azure Rights Management (Azure RMS) サービスを使用することで、Exchange サーバーのデータ保護を強化するオプションのアプリケーションです。 RMS コネクタをインストールすると、情報の使用期間にわたって継続的なデータ保護が提供されます。また、これらのサービスはカスタマイズできるため、必要となる保護レベルを定義することができます。たとえば、電子メールメッセージのアクセスを特定のユーザーに制限、または特定のメッセージについて表示専用の権限を設定できます。

RMS コネクタについての詳細およびインストール方法については、「Azure Rights Management コネクタをデプロイする」を参照してください。