Windows 情報保護 (WIP) を使用した企業データの保護

適用対象:

  • Windows 10、バージョン1607以降
  • Windows 10 Mobile、バージョン1607以降

Windows の各エディションでサポートされている機能について詳しくは、「Windows 10 エディションの比較」をご覧ください。

企業で従業員が所有するデバイスが増加しているため、メール、ソーシャル メディア、パブリック クラウドなどの、企業が制御できないアプリやサービスを通じて偶発的にデータが漏洩するリスクも増加しています。 たとえば従業員が、個人用のメール アカウントから最新の開発中の画像を送ったり、製品情報をコピーしてツイートにペーストしたり、パブリック クラウド ストレージに処理中の売上レポートを保存したりすることがあります。

以前はエンタープライズ データ保護 (EDP) と呼ばれた Windows 情報保護 (WIP) は、従業員エクスペリエンスと干渉することなく、この潜在的データ漏洩からの保護に役立ちます。 WIP は、企業が所有するデバイスや、従業員が使用環境や他のアプリを変更することなく勤務先に持ち込む個人所有のデバイスでの、偶発的なデータ漏洩から企業のアプリとデータを保護する際にも役立ちます。 さらに、別のデータ保護テクノロジである Azure Rights Management を WIP と連携させて、エンタープライズ対応の権利管理型メール クライアントからメールの添付ファイルが送信されるときなどにデバイスを離れるデータに対してデータ保護を拡張することもできます。

重要

WIP は、正直な従業員からのデータ漏洩を防ぐことができますが、悪意のある insider による企業データの削除を阻止することは意図されていません。 仕掛品の詳細については、このトピックの後半の「仕掛品を使用する理由」を参照してください。

ビデオ: 企業データが誤って間違った場所にコピーされるのを防ぐ

前提条件

企業内で WIP を実行するには、次のソフトウェアが必要になります。

オペレーティング システム 管理ソリューション
Windows 10、バージョン1607以降 Microsoft Intune

または

System Center Configuration Manager

または

現在利用している、サード パーティ製の全社的なモバイル デバイス管理 (MDM) ソリューション。 サード パーティ製の MDM ソリューションについて詳しくは、製品に付属するドキュメントをご覧ください。 サード パーティ製の MDM ソリューションが、ポリシーについて UI サポートを行っていない場合は、EnterpriseDataProtection CSP のドキュメントをご覧ください。

企業データの管理とは

効果的な共同作業を行うには、企業内で他のユーザーとデータを共有する必要があります。 この共有には、何もセキュリティがなく、だれもがすべてにアクセスできるという極端なものから、ユーザーが何も共有できず、セキュリティが非常に高いというもう一方の極端なものまで、さまざまなものがあります。 ほとんどの企業はこの 2 つの極端なケースの中間のどこかに分類され、その成功は必要なアクセスの提供と、不適切なデータの漏洩の可能性のバランスを取ることによって実現されます。

管理者は、従業員の資格情報などのアクセス制御を使用することにより、だれがデータへのアクセスを取得しているかという問題に対処できます。 ただし、ユーザーがデータにアクセスする権限を持っていることで、データが企業のセキュリティで保護された場所にとどまっていることが保証されるわけではありません。 これは、アクセス制御が適切な出発点ではあるが、十分ではないことを意味します。

最後に、これらのセキュリティ対策のすべてに共通することが 1 つあります。従業員は少しでも不便に感じると、セキュリティ制限を回避する方法を探し始めるということです。 たとえば、保護されたシステムでファイルを共有することを従業員に許可していない場合、従業員はセキュリティ コントロールがおそらく十分ではない外部のアプリを使い始めるでしょう。

データ損失防止システムの使用

このセキュリティ insufficiency を解決するために、会社はデータ損失防止 (DLP とも呼ばれます) システムを開発しました。 データ損失防止システムには、次のようなものが必要です。

  • システムが保護する必要があるデータを識別して分類する方法に関する規則のセット。 たとえば、規則セットに、クレジット カード番号を識別する規則と社会保障番号を識別する別の規則を含めることができます。

  • 企業データをスキャンして、定義された規則のいずれかと一致するかどうかを確認する方法。 現在、Microsoft Exchange Server と Exchange Online では、転送中のメールに対してこのサービスを提供しており、Microsoft SharePoint と SharePoint Online では、ドキュメント ライブラリに格納されているコンテンツに対してこのサービスを提供しています。

  • データが規則と一致した場合の処理 (従業員が処理の実行を迂回できるかを含む) を指定する機能。 たとえば、Microsoft SharePoint と SharePoint Online では、Microsoft データ損失防止システムによって、共有データに機密情報が含まれていることを従業員に警告したうえで、(オプションの監査ログ エントリ付きで) 共有を許可することができます。

残念ながら、データ損失防止システムはそれ自体に問題があります。 たとえば、規則セットをより細かくするほど、誤検知が多くなるため、従業員は、規則のために処理速度が低下しており、生産性を維持するには規則を迂回する必要があると考えるようになります。また、データが誤ってブロックされたり、不適切に公開されたりすることにつながる可能性もあります。 もう 1 つの大きな問題は、データ損失防止システムの効果を上げるには、広く実装する必要があるということです。 たとえば、企業がメールについてデータ損失防止システムを使用しているが、ファイル共有やドキュメント ストレージには使用していない場合、保護されていないチャネルを通じてデータがリークしている可能性があります。 しかし、おそらくデータ損失防止システムの最大の問題は、他の操作を許可しながら一部の操作のみを禁止するため、従業員の自然なワークフローが妨げられ、不快なエクスペリエンスをもたらす点です (たとえば、メッセージを送信しようとしたが、そのメッセージにシステムが機密情報としてタグ付けしているファイルが添付されているため送信できないなど)。このような禁止の多くは、従業員に明らかにされず、また理解もできない些細な規則に従って行われます。

Information Rights Management システムの使用

データ損失防止システムの潜在的な問題に対処するために、企業は Information Rights Management (IRMとも呼ばれます) システムを開発しました。 Information Rights Management システムは、保護機能を直接ドキュメントに埋め込むことにより、従業員がドキュメントを作成するときに、各自がどのような保護を適用するかを決定できるようにします。 たとえば、従業員は、ドキュメントの転送、印刷、組織の外部での共有などを禁止することを選択できます。

保護の種類を設定すると、作成アプリは、承認されたユーザーのみが、互換性のあるアプリでのみ開くことができるように、ドキュメントを暗号化します。 従業員がドキュメントを開くと、アプリによって指定した保護が適用されます。 保護機能はドキュメントに付随するため、承認されたユーザーが承認されていないユーザーにドキュメントを送信しても、承認されていないユーザーはドキュメントを表示または変更することができません。 ただし、この機能が効果的に機能するには、Information Rights Management システムをサーバー環境とクライアント環境の両方に展開して設定する必要があります。 また、保護されたドキュメントは互換性のあるクライアントでのみ操作できるため、従業員が互換性のないアプリを使用しようとすると、作業が突然中断される場合があります。

従業員が退職した場合やデバイスの登録を解除した場合はどうでしょうか。

最終的には、従業員が退職した場合やデバイスを登録解除した場合、会社からデータが漏洩するリスクがあります。 以前は、デバイスからすべての企業データを、デバイス上の他の個人データと共に消去するだけでした。

WIP の利点

WIP には次の利点があります。

  • 個人データと企業データが明確に分離されるため、従業員が環境またはアプリを切り替える必要はありません。

  • アプリを更新することなく、既存の基幹業務アプリのデータ保護が強化されます。

  • 個人データに影響を及ぼすことなく、Intune で MDM に登録されたデバイスから企業データを消去できます。

  • 追跡の問題と改善措置の監査報告を使用します。

  • 既存の管理システム (Microsoft Intune、System Center Configuration Manager、または現在のモバイル デバイス管理 (MDM) システム) と統合し、自社向けに WIP を設定、展開、および管理できます。

WIP を使う理由

WIP は、Windows 10 のモバイルアプリケーション管理 (MAM) メカニズムです。 WIP によって、Windows 10 デスクトップオペレーティングシステム上のアプリやドキュメントに対するデータポリシーの強制を管理する新しい方法が提供されます。また、エンタープライズと個人用の両方のデバイスから企業データへのアクセスを削除することもできます (企業の登録後)。管理ソリューション (Intune など)

  • データ ポリシーの施行に対する考え方が変わります。 企業内の管理者は、データ ポリシーとデータ アクセスに関して、コンプライアンスを維持する必要があります。 WIP は、従業員がデバイスを使用していない場合でも、企業および従業員が所有するデバイスの両方で企業を保護するのに役立ちます。 従業員は、企業によって保護されたデバイスでコンテンツを作成する時、そのコンテンツを業務用ドキュメントとして保存するかどうかの選択ができます。 業務用ドキュメントである場合は、企業データとしてローカルに保持されます。

  • 企業のドキュメント、アプリ、暗号化モードを管理します。

    • 企業データのコピーとダウンロード。 従業員またはアプリが、SharePoint、ネットワーク共有、企業の Web などの場所からコンテンツをダウンロードする場合、WIP で保護されたデバイスを使用していると、WIP によってデバイス上のデータが暗号化されます。

    • 保護されたアプリを使用する。 管理対象アプリ (WIP ポリシーの [保護されたアプリ] の一覧に含まれているアプリ) は、企業データにアクセスすることはできますが、許可されていない、非エンタープライズ対応のアプリ、または個人専用のアプリで使用すると、異なる操作を行うことができます。 たとえば、WIP 管理が [ブロック] に設定されている場合、従業員はある保護されたアプリからコピーして別の保護されたアプリにペーストすることはできますが、個人アプリにペーストすることはできません。 人事担当者が、職務内容をコピーして保護されたアプリから企業によって保護されたロケーションである社内求人 Web サイトにペーストしようとしたが、誤って個人用アプリにペーストしたとします。 ポリシーの制限があるため、そのアプリでは貼り付け操作は失敗し、貼り付けることができなかったという通知が表示されます。 その後、人事担当者は求人 Web サイトに問題なくペーストすることができます。

    • 管理されたアプリと制限。 WIP を使用すると、どのアプリに企業データへのアクセスとその使用を許可するかをコントロールできます。 アプリは保護されたアプリ一覧に追加されると、企業データを使えるようになります。 この一覧にないすべてのアプリは、WIP 管理モードに応じて、企業データへのアクセスが禁止されます。

      個人データに触れることなく、保護されたアプリとして表示される基幹業務アプリを変更する必要はありません。これらのファイルは、[保護されたアプリ] の一覧に追加するだけです。

    • データ アクセスのレベルの決定。 WIP を使用すると、従業員のデータ共有操作について、ブロック、オーバーライドの許可、監査を行うことができます。 上書きを非表示にすると、操作が直ちに停止されます。 オーバーライドを許可すると、リスクがあることが従業員に通知されますが、従業員は、操作の記録や監査が実行されている間も、引き続きデータを共有することができます。 Silent は、その設定を使用しているときに、従業員が上書きする可能性のある操作をすべて停止することなく、アクションのログを記録します。不適切な共有のパターンを確認して、educative の操作を行ったり、保護されたアプリの一覧に追加するアプリを見つけたりするために役立つ情報を収集します。 監査ログ ファイルの収集方法について詳しくは、「Windows 情報保護 (WIP) 監査イベント ログの収集方法」をご覧ください。

    • 使用されていないときのデータの暗号化。 WIP を使用すると、ローカル ファイルやリムーバブル メディア上の企業データを保護できます。

      Microsoft Word などのアプリは、WIP と連携してローカル ファイルやリムーバブル メディアでデータ保護を継続することができます。 このようなアプリは、エンタープライズ対応と呼ばれます。 たとえば、従業員が Word から WIP 暗号化コンテンツを開いて編集した後、編集後のバージョンを別の名前で保存しようとすると、Word では新規ドキュメントに自動的に WIP が適用されます。

    • パブリック スペースへの偶発的なデータ漏洩の防止。 WIP を使用すると、パブリック クラウド ストレージなどのパブリック スペースで企業データが誤って共有されることを防止できます。 たとえば、許可されたアプリ一覧に Dropbox™ がない場合、従業員は暗号化されたファイルを従業員の個人用クラウド ストレージに同期することはできません。 ただし、従業員がされたアプリ一覧にあるアプリ (Microsoft OneDrive for Business など) でコンテンツを格納した場合、暗号化されたファイルをビジネス クラウドに自由に同期でき、暗号化はローカルに維持されます。

    • リムーバブル メディアへの偶発的なデータ漏洩の防止。 WIP を使用すると、企業データがリムーバブル メディアへコピーまたは転送されるときに、企業データが漏洩するのを防ぐことができます。 たとえば、個人データも含まれているユニバーサル シリアル バス (USB) ドライブに従業員が企業データを格納した場合、個人データは暗号化が維持されませんが、企業データは暗号化されたままになります。

  • 企業によって保護されたデバイスから企業データへのアクセス権を削除します。 WIP を使用すると、管理者は、MDM に登録されている 1 つまたは複数のデバイスから企業データに対する権利を失効させることができます。このとき、個人データは影響を受けません。 これは、従業員が退職した場合やデバイスが盗難に遭った場合に役立ちます。 データへのアクセス権を削除する必要があると決定した場合は、Microsoft Intune を使用して、デバイスの登録を解除できます。これにより、デバイスがネットワークに接続したときに、デバイスでのユーザーの暗号化キーが無効化され、企業データが読み取り不可能になります。

    注意

    Surface デバイスの管理には、System Center Configuration Manager の Current Branch を使うことをお勧めします。
    System Center Configuration Manager では、企業データを失効させることもできます。 ただし、これを行うには、デバイスを出荷時の設定にリセットする必要があります。

WIP の動作のしくみ

WIP は、企業内の日常的な課題を解決するために役立ちます。 次のような機能があります。

  • 従業員が所有するロックダウンできないデバイスに対しても、企業データの漏洩を防ぐことができる。

  • 企業が所有するデバイスで、制限が多いデータ管理ポリシーによって生じる従業員の不満を緩和する。

  • 企業データの所有権と制御を維持できる。

  • ネットワークとデータ アクセス、およびエンタープライズ対応ではないアプリ向けのデータ共有を制御できる。

エンタープライズ シナリオ

WIP は、現在、これらのエンタープライズ シナリオに対応しています。

  • 従業員が所有するデバイスと企業が所有するデバイスで、企業のデータを暗号化できます。

  • 管理されているコンピューター (従業員が所有するコンピューターを含む) から、個人データに影響を与えることなく、企業データをリモートで消去することができます。

  • 従業員に明確に認識されている企業データにアクセスできる特定のアプリを保護することができます。 非特権アプリから企業データへのアクセスを禁止することもできます。

  • 従業員は、企業ポリシーの適用時に、個人アプリと企業アプリの間で切り替える間に作業を中断されることはありません。 環境の切り替えも、複数回のサインインも必要ありません。

WIP 保護モード

エンタープライズ ソースからデバイスに読み込まれた後、または従業員がデータを企業データとしてマークしている場合、企業データは自動的に暗号化されます。 次に、企業データがディスクに書き込まれるときに、WIP は Windows によって提供される暗号化ファイル システム (EFS) を使用して、企業データを企業 ID に関連付けます。

WIP ポリシーには、企業データにアクセスして処理するために保護された信頼済みアプリの一覧が含まれています。 このアプリの一覧は、AppLocker 機能によって実装されています。この機能は、実行が許可されているアプリを制御し、Windows オペレーティング システムに対して、アプリが企業データを編集できることを通知します。 一覧に含まれているかどうかによって、Windows はそれらにアクセスを許可するかどうかを判断するため、企業データを開くために、この一覧に含まれているアプリを変更する必要はありません。 ただし、Windows 10 の新機能として、アプリ開発者は、新しい一連のアプリケーション プログラミング インターフェイス (API) を使って、企業データと個人データの両方を使用および編集できる対応アプリを作成できます。 対応アプリを使用することの大きな利点は、API によって、アプリはデータが企業によって所有されるか、個人的に所有されるかを特定できるため、個人データが誤って暗号化される問題を気にせずに、Microsoft Word などの二重用途のアプリを使用できることです。

注意

監査ログ ファイルの収集方法について詳しくは、「Windows 情報保護 (WIP) 監査イベント ログの収集方法」をご覧ください。

WIP ポリシーは、次に示す 4 つの保護および管理モードのいずれか 1 つを使用するように設定できます。

モード 説明
ブロック WIP によって、不適切なデータ共有が検索され、従業員が実行している操作が停止されます。 このモードでは、アプリ間での企業データの共有や、組織のネットワーク外部との共有の実行に加え、企業で保護されていないアプリとの企業データの共有も検索の対象となります。
上書きの許可 WIP が、不適切なデータ共有を検出し、従業員が潜在的に危険性のある操作を行っている場合には、その従業員に対して警告します。 ただし、この管理モードでは、従業員はポリシーを上書きしてデータを共有でき、従業員が行った操作が監査ログに記録されます。
サイレント WIP がメッセージを表示せずに実行され、上書きの許可モードであれば従業員による対話操作を要求する操作を一切禁止せずに、不適切なデータ共有をログに記録します。 ネットワーク リソースや WIP で保護されたデータにアプリから不適切にアクセスしようとするなど、許可されていない操作は引き続き禁止されます。
オフ WIP がオフになり、データの保護や監査は行われません。

WIP を無効にすると、ローカルで接続されたドライブ上にある WIP タグの付いたファイルに対して暗号化の解除が試みられます。 WIP 保護を再び有効化しても、以前の復号化とポリシーの情報は自動的に再適用されないので注意してください。

WIP の無効化

すべての Windows 情報保護と制限を無効にして、WIP で管理されているすべてのデバイスの暗号化を解除し、データを損失することなく WIP 導入前の状態に戻すことができます。 ただし、これは推奨しません。 WIP を無効にした場合でも、いつでも再び有効化することはできますが、復号化とポリシー情報は自動的に再適用されません。

次のステップ

社内で WIP を使用することを決定したら、次の作業を行う必要があります。

注意

このトピックを改善するために、編集、追加、フィードバックの送信にご協力ください。 このトピックを投稿する方法について詳しくは、「 WINDOWS IT プロフェッショナル向けドキュメントの編集」をご覧ください。