ダイナミック アクセス制御:シナリオの概要
適用対象: Windows Server 2012
Windows Server 2012 では、ファイル サーバー全体にわたってデータ ガバナンスを適用し、情報にアクセスできるユーザーの制御や、情報にアクセスしたユーザーの監査を実施できます。 ダイナミック アクセス制御により、次のことが可能になります。
自動および手動によるファイルの分類を使用してデータを特定する。 たとえば、組織のすべてのファイル サーバーのデータにタグを付けることができます。
集約型のアクセス ポリシーを使用するセーフティネット ポリシーを適用し、ファイルへのアクセスを制御する。 たとえば、組織内の正常性情報にアクセスできるユーザーを定義できます。
集約型の監査ポリシーを使用してファイルへのアクセスを監査し、コンプライアンス レポートや法的分析に使用する。 たとえば、高機密情報にアクセスしたユーザーを特定できます。
自動 Rights Management サービス (RMS) 暗号化を使用して、機密性の高い Microsoft Office ドキュメントに RMS 保護を適用する。 たとえば、医療保険の携行性と責任に関する法律 (HIPAA) に関連する情報を含むすべてのドキュメントを暗号化するように RMS を構成できます。
パートナーや基幹業務アプリケーションは、ダイナミック アクセス制御機能セットの基盤となるインフラストラクチャ投資をさらに応用できます。また、組織が Active Directory を使用している場合、これらの機能が提供する価値はより大きくなります。 このインフラストラクチャの特徴は次のとおりです。
条件式と集約型ポリシーの処理に対応した Windows 用の新しい承認および監査エンジン。
Kerberos 認証によるユーザーおよびデバイスの信頼性情報のサポート。
ファイル分類インフラストラクチャ (FCI) の機能強化。
パートナーがマイクロソフト以外のファイルを暗号化するソリューションを提供できるようにする RMS の拡張サポート。
このシナリオの内容
このコンテンツ セットの一部として、次に示すシナリオおよびガイダンスが含まれています。
ダイナミック アクセス制御: コンテンツ ロードマップ
シナリオ |
評価 |
計画 |
展開 |
操作 |
---|---|---|---|---|
シナリオ:集約型アクセス ポリシー ファイルの集約型アクセス ポリシーを作成すると、組織は、ユーザーの信頼性情報、デバイスの信頼性情報、およびリソース プロパティを使用した条件式を含む承認ポリシーを一元的に展開および管理できるようになります。 集約型アクセス ポリシーは、コンプライアンス上およびビジネス上の法的要件に基づきます。 また、Active Directory 内で作成およびホストされるため、容易に管理および展開できます。 フォレスト間にわたる信頼性情報の展開 Windows Server 2012 では、AD DS は各フォレスト内に "信頼性情報ディクショナリ" を保持します。また、フォレスト内で使用中のすべての信頼性情報の種類は Active Directory フォレスト レベルで定義されます。 プリンシパルが信頼の境界を越える必要があるシナリオは多数あります。 このシナリオでは信頼性情報が信頼の境界を越える方法について説明します。 |
ユーザーの信頼性情報を使う場合のベスト プラクティス デバイスの信頼性情報とデバイスのセキュリティ グループの使用 展開用ツール |
|
||
シナリオ:ファイル アクセスの監査 セキュリティ監査は、企業のセキュリティ維持の最も強力なサポート手段の 1 つです。 セキュリティ監査の重要な目標の 1 つがコンプライアンス遵守です。 たとえば、Sarbanes Oxley、HIPAA、および Payment Card Industry (PCI) などの業界標準は、データ セキュリティとプライバシーに関する厳格なルール セットへの準拠を企業に要求します。 セキュリティ監査によってこれらのポリシーが存在するかどうかが明確化されます。つまり、監査ポリシーによって各種の標準に準拠しているかどうかが証明されます。 さらにセキュリティ監査は、異常な動作の検出、セキュリティ ポリシー内のギャップの特定と解消、さらに、ユーザー アクティビティの記録を作成し、これを使用して法的分析を実施することで、法的責任を問われる可能性のある動作の防止にも役立ちます。 |
||||
シナリオ:アクセス拒否アシスタンス 現在は、ユーザーがファイル サーバー上のリモート ファイルにアクセスを試みた場合、アクセスが拒否されたことだけが示されます。 このことが、問題を特定する必要があるヘルプデスクや IT 管理者への要求を増やしています。また、管理者がユーザーから適切なコンテキストを得るのが難しい場合が多いということが、この問題の解決を難しくしています。 |
||||
シナリオ:Office ドキュメントに対する分類ベースの暗号化 機密情報を保護する主な目的は組織のリスクを低減することです。 HIPAA や Payment Card Industry Data Security Standard (PCI-DSS) などのさまざまなコンプライアンス規定が情報の暗号化を義務付けており、その他にも数多くのビジネス上の理由で機密情報が暗号化されています。 一方、情報の暗号化は高コストであるだけでなく、ビジネスの生産性を低下させる原因にもなります。 このためさまざまな組織がさまざまなアプローチを採用して、暗号化する情報に優先順位を設定しています。 |
Scenario: Classification-Based Encryption for Office Documents |
|||
シナリオ:分類を使用してデータの情報を得る データおよび記憶域リソースへの依存は、ほとんどの組織で重要度を増し続けています。 IT 管理者は、従来よりも大規模かつ複雑な記憶域インフラストラクチャを監視しながら総保有コストを妥当な水準に保つ責任を負うという、難しさを増す課題に直面しています。 記憶域リソースの管理はデータのボリュームや可用性だけに関することではなくなり、企業のポリシーを適用し、記憶域の消費用途を知ることで、効率的な使用率とリスク軽減のためのコンプライアンスを実現することも含まれるようになりました。 ファイル分類インフラストラクチャは、データを効率よく管理できるように分類プロセスを自動化することによって、データの性質を理解できるようにします。 ファイル分類インフラストラクチャでは、手動、プログラム、自動の 3 つの分類方法を使用できます。 このシナリオでは自動ファイル分類方法について扱います。 |
Scenario: Get Insight into Your Data by Using Classification |
|||
Scenario: Implement Retention of Information on File Servers 保持期間とは、ドキュメントの有効期限が切れるまでに保存される時間の長さです。 組織によって、保持期間が異なる場合があります。 フォルダー内のファイルを、短い保持期間のファイル、中間の保持期間のファイル、または長い保持期間のファイルとして分類し、それぞれの期間に対して期限を割り当てることができます。 訴訟ホールドにすることでファイルを無期限に保持することもできます。 |
Scenario: Implement Retention of Information on File Servers |
注意
ダイナミック アクセス制御は ReFS (Resilient File System) ではサポートされません。
関連項目
コンテンツの種類 |
参考資料 |
---|---|
製品評価 |
|
計画 |
|
展開 |
|
運用 |
|
ツールと設定 |
|
コミュニティ リソース |