ダイナミック アクセス制御:シナリオの概要

 

適用対象: Windows Server 2012

Windows Server 2012 では、ファイル サーバー全体にわたってデータ ガバナンスを適用し、情報にアクセスできるユーザーの制御や、情報にアクセスしたユーザーの監査を実施できます。 ダイナミック アクセス制御により、次のことが可能になります。

• 自動および手動によるファイルの分類を使用してデータを特定する。 たとえば、組織のすべてのファイル サーバーのデータにタグを付けることができます。

• 集約型のアクセス ポリシーを使用するセーフティネット ポリシーを適用し、ファイルへのアクセスを制御する。 たとえば、組織内の正常性情報にアクセスできるユーザーを定義できます。

• 集約型の監査ポリシーを使用してファイルへのアクセスを監査し、コンプライアンス レポートや法的分析に使用する。 たとえば、高機密情報にアクセスしたユーザーを特定できます。

• 自動 Rights Management サービス (RMS) 暗号化を使用して、機密性の高い Microsoft Office ドキュメントに RMS 保護を適用する。 たとえば、医療保険の携行性と責任に関する法律 (HIPAA) に関連する情報を含むすべてのドキュメントを暗号化するように RMS を構成できます。

パートナーや基幹業務アプリケーションは、ダイナミック アクセス制御機能セットの基盤となるインフラストラクチャ投資をさらに応用できます。また、組織が Active Directory を使用している場合、これらの機能が提供する価値はより大きくなります。 このインフラストラクチャの特徴は次のとおりです。

• 条件式と集約型ポリシーの処理に対応した Windows 用の新しい承認および監査エンジン。

• Kerberos 認証によるユーザーおよびデバイスの信頼性情報のサポート。

• ファイル分類インフラストラクチャ (FCI) の機能強化。

• パートナーがマイクロソフト以外のファイルを暗号化するソリューションを提供できるようにする RMS の拡張サポート。

このシナリオの内容

このコンテンツ セットの一部として、次に示すシナリオおよびガイダンスが含まれています。

ダイナミック アクセス制御: コンテンツ ロードマップ

シナリオ	評価	計画	展開	操作
シナリオ:集約型アクセス ポリシー ファイルの集約型アクセス ポリシーを作成すると、組織は、ユーザーの信頼性情報、デバイスの信頼性情報、およびリソース プロパティを使用した条件式を含む承認ポリシーを一元的に展開および管理できるようになります。 集約型アクセス ポリシーは、コンプライアンス上およびビジネス上の法的要件に基づきます。 また、Active Directory 内で作成およびホストされるため、容易に管理および展開できます。 フォレスト間にわたる信頼性情報の展開 Windows Server 2012 では、AD DS は各フォレスト内に "信頼性情報ディクショナリ" を保持します。また、フォレスト内で使用中のすべての信頼性情報の種類は Active Directory フォレスト レベルで定義されます。 プリンシパルが信頼の境界を越える必要があるシナリオは多数あります。 このシナリオでは信頼性情報が信頼の境界を越える方法について説明します。	Dynamic Access Control: scenario overview フォレスト間にわたる信頼性情報の展開	集約型アクセス ポリシーの展開の計画 ビジネス要求を集約型アクセス ポリシーにマップするプロセス ダイナミック アクセス制御の管理の委任 集約型アクセス ポリシー計画の例外メカニズム ユーザーの信頼性情報を使う場合のベスト プラクティス 各種オプションを使用した集約型アクセス ポリシーの構成 ユーザー要求を有効にするための操作 集約型アクセス ポリシーを使用せずにファイル サーバーの随意 ACL にあるユーザー要求を使用する場合の考慮事項 デバイスの信頼性情報とデバイスのセキュリティ グループの使用 静的なデバイスの信頼性情報の使用に関する考慮事項 デバイスの信頼性情報を有効にするための操作 展開用ツール Data Classification Toolkit に関するページ	集約型アクセス ポリシーの展開 (デモンストレーション手順) 複数フォレスト (デモンストレーション手順) 間でのクレームを展開します。	集約型アクセス ポリシーのモデリング
シナリオ:ファイル アクセスの監査 セキュリティ監査は、企業のセキュリティ維持の最も強力なサポート手段の 1 つです。 セキュリティ監査の重要な目標の 1 つがコンプライアンス遵守です。 たとえば、Sarbanes Oxley、HIPAA、および Payment Card Industry (PCI) などの業界標準は、データ セキュリティとプライバシーに関する厳格なルール セットへの準拠を企業に要求します。 セキュリティ監査によってこれらのポリシーが存在するかどうかが明確化されます。つまり、監査ポリシーによって各種の標準に準拠しているかどうかが証明されます。 さらにセキュリティ監査は、異常な動作の検出、セキュリティ ポリシー内のギャップの特定と解消、さらに、ユーザー アクティビティの記録を作成し、これを使用して法的分析を実施することで、法的責任を問われる可能性のある動作の防止にも役立ちます。	Scenario: File Access Auditing	ファイル アクセスの監査の計画	集約型の監査ポリシーを使用したセキュリティ監査の展開 (デモンストレーション手順)	ファイル サーバーに適用される集約型アクセス ポリシーを監視します。 ファイルおよびフォルダーに関連付けられた集約型アクセス ポリシーの監視 ファイルおよびフォルダーのリソース属性の監視 信頼性情報の種類の監視 サインイン時のユーザーの信頼性情報およびデバイスの信頼性情報の監視 集約型アクセス ポリシーおよび規則の定義の監視 リソース属性の定義の監視 リムーバブル記憶装置の使用状況を監視します。] の順にクリックします。
シナリオ:アクセス拒否アシスタンス 現在は、ユーザーがファイル サーバー上のリモート ファイルにアクセスを試みた場合、アクセスが拒否されたことだけが示されます。 このことが、問題を特定する必要があるヘルプデスクや IT 管理者への要求を増やしています。また、管理者がユーザーから適切なコンテキストを得るのが難しい場合が多いということが、この問題の解決を難しくしています。 Windows Server 2012 では、IT が関与する前にデータのインフォメーション ワーカーおよびビジネス オーナーがアクセス拒否問題に対処できるよう試みて手助けし、IT が関与する際は、すばやく解決するためにすべての適切な情報を提供することを目標としています。 この目標を達成するうえでの課題の 1 つは、アクセス拒否への一元的な対処方法がないということです。アプリケーションはアクセス拒否に対してそれぞれ異なる方法で対処します。そのため、エクスプローラーでのアクセス拒否エクスペリエンスを向上させることが Windows Server 2012 での目標の 1 つとなっています。	シナリオ:アクセス拒否アシスタンス	アクセス拒否アシスタンスの計画 1.1 アクセス拒否アシスタンスのモデルを決定する 1.2.だれがアクセス要求を処理するのかを決定する 1.3.アクセス拒否アシスタンスのメッセージをカスタマイズする 1.4.例外を計画する 1.5.アクセス拒否アシスタンスの展開方法を決定する	Deploy Access-Denied Assistance (Demonstration Steps)
シナリオ:Office ドキュメントに対する分類ベースの暗号化 機密情報を保護する主な目的は組織のリスクを低減することです。 HIPAA や Payment Card Industry Data Security Standard (PCI-DSS) などのさまざまなコンプライアンス規定が情報の暗号化を義務付けており、その他にも数多くのビジネス上の理由で機密情報が暗号化されています。 一方、情報の暗号化は高コストであるだけでなく、ビジネスの生産性を低下させる原因にもなります。 このためさまざまな組織がさまざまなアプローチを採用して、暗号化する情報に優先順位を設定しています。 Windows Server 2012 には、機密性の高い Windows Office ファイルを分類に基づいて自動で暗号化する機能があり、このシナリオをサポートしています。 これはファイル管理タスクを通じて実行されます。ファイル管理タスクは、ファイル サーバー上のファイルを機密性が高いと認識した数秒後に Active Directory Rights Management サーバー (AD RMS) 保護を起動します。	Scenario: Classification-Based Encryption for Office Documents	Office 文書の暗号化に関する考慮事項の計画	Office ファイルの暗号化の展開 (デモンストレーション手順)
シナリオ:分類を使用してデータの情報を得る データおよび記憶域リソースへの依存は、ほとんどの組織で重要度を増し続けています。 IT 管理者は、従来よりも大規模かつ複雑な記憶域インフラストラクチャを監視しながら総保有コストを妥当な水準に保つ責任を負うという、難しさを増す課題に直面しています。 記憶域リソースの管理はデータのボリュームや可用性だけに関することではなくなり、企業のポリシーを適用し、記憶域の消費用途を知ることで、効率的な使用率とリスク軽減のためのコンプライアンスを実現することも含まれるようになりました。 ファイル分類インフラストラクチャは、データを効率よく管理できるように分類プロセスを自動化することによって、データの性質を理解できるようにします。 ファイル分類インフラストラクチャでは、手動、プログラム、自動の 3 つの分類方法を使用できます。 このシナリオでは自動ファイル分類方法について扱います。	Scenario: Get Insight into Your Data by Using Classification	自動ファイル分類の計画	自動ファイル分類の展開 (デモンストレーション手順)
Scenario: Implement Retention of Information on File Servers 保持期間とは、ドキュメントの有効期限が切れるまでに保存される時間の長さです。 組織によって、保持期間が異なる場合があります。 フォルダー内のファイルを、短い保持期間のファイル、中間の保持期間のファイル、または長い保持期間のファイルとして分類し、それぞれの期間に対して期限を割り当てることができます。 訴訟ホールドにすることでファイルを無期限に保持することもできます。 ファイル分類インフラストラクチャおよびファイル サーバー リソース マネージャーは、ファイル管理タスクおよびファイル分類を使用して一連のファイルに保持期間を適用します。 フォルダーに保持期間を割り当てた後にファイル管理タスクを使用することで、割り当てられた保持期間をいつまで適用するかを構成できます。 フォルダー内のファイルの有効期限が切れそうになると、ファイルの所有者に電子メールによる通知が届きます。 ファイルを訴訟ホールドとして分類し、ファイル管理タスクでファイルの有効期限が切れないように設定できます。	Scenario: Implement Retention of Information on File Servers	ファイル サーバーでの情報の保持の計画	ファイル サーバーでの情報の保持の実装の展開 (デモンストレーション手順)

注意

ダイナミック アクセス制御は ReFS (Resilient File System) ではサポートされません。

関連項目

コンテンツの種類	参考資料
製品評価	ダイナミック アクセス制御レビュアーズ ガイドに関するページ ダイナミック アクセス制御の開発者向けガイダンスに関するページ
計画	集約型アクセス ポリシーの展開の計画 ファイル アクセスの監査の計画
展開	Active Directory ドメイン サービス (AD DS) の社内への展開 (レベル 100) ファイル サービスおよび記憶域サービスの展開に関するページ
運用	ダイナミック アクセス制御 PowerShell リファレンスに関するページ
ツールと設定	Data Classification Toolkit に関するページ
コミュニティ リソース	ディレクトリ サービス フォーラムに関するページ