Windows 情報保護 (WIP) を使用した企業データの保護

  • [アーティクル]

2022 年 7 月以降、Microsoft は Windows Information Protection (WIP) を非推奨としています。 Microsoft は引き続き、サポートされているバージョンの Windows で WIP をサポートします。 Windows の新しいバージョンには WIP の新機能は含まれません。また、今後のバージョンの Windows ではサポートされません。 詳細については、「Windows Information Protectionの日の入りを発表する」を参照してください。

データ保護のニーズに合わせて、Microsoft Purview 情報保護Microsoft Purview データ損失防止を使用することをお勧めします。 Purview を使用すると、構成のセットアップが簡略化され、高度な機能セットが提供されます。

適用対象:

  • Windows 10
  • Windows 11

企業内の従業員所有デバイスの増加に伴い、メール、ソーシャル メディア、パブリック クラウドなど、企業の管理外にあるアプリやサービスを通じて偶発的なデータ漏洩のリスクも高まります。 たとえば従業員が、個人用のメール アカウントから最新の開発中の画像を送ったり、製品情報をコピーしてツイートにペーストしたり、パブリック クラウド ストレージに処理中の売上レポートを保存したりすることがあります。

以前はエンタープライズ データ保護 (EDP) と呼ばれた Windows 情報保護 (WIP) は、従業員エクスペリエンスと干渉することなく、この潜在的データ漏洩からの保護に役立ちます。 WIP は、企業が所有するデバイスや、従業員が使用環境や他のアプリを変更することなく勤務先に持ち込む個人所有のデバイスでの、偶発的なデータ漏洩から企業のアプリとデータを保護する際にも役立ちます。 もう 1 つのデータ保護テクノロジである Azure Rights Management も WIP と共に機能します。 これにより、エンタープライズ対応バージョンの権限管理メール クライアントから電子メールの添付ファイルが送信される場合など、デバイスから離れるデータのデータ保護が拡張されます。

重要

Windows Information Protectionは、正直な従業員からの偶発的なデータ 漏洩を防ぐことはできますが、悪意のあるインサイダーがエンタープライズ データを削除するのを防ぐことを目的としたものではありません。 WIP が提供する特典の詳細については、このトピックの「 WIP を使用する理由 」を参照してください。

ビデオ: 誤って間違った場所にコピーされないようにエンタープライズ データを保護する

前提条件

このソフトウェアは、企業で Windows Information Protectionを実行する必要があります。

オペレーティング システム 管理ソリューション
Windows 10 バージョン 1607 以降 Microsoft Intune

または

Microsoft Configuration Manager

または

現在の会社全体のサード パーティ製モバイル デバイス管理 (MDM) ソリューション。 サード パーティの MDM ソリューションの詳細については、製品に付属のドキュメントを参照してください。 サード パーティの MDM でポリシーの UI サポートがない場合は、 EnterpriseDataProtection CSP のドキュメントを参照してください。

企業データの管理とは

効果的な共同作業を行うには、企業内で他のユーザーとデータを共有する必要があります。 この共有は、セキュリティなしですべてのユーザーがアクセスできる 1 つの極端な場所から行うことができます。 もう 1 つの極端な方法は、ユーザーが何も共有できない場合で、すべて高度にセキュリティ保護されている場合です。 ほとんどの企業はこの 2 つの極端なケースの中間のどこかに分類され、その成功は必要なアクセスの提供と、不適切なデータの漏洩の可能性のバランスを取ることによって実現されます。

管理者は、従業員の資格情報などのアクセス制御を使用することにより、だれがデータへのアクセスを取得しているかという問題に対処できます。 ただし、誰かがデータにアクセスする権利を持っているからといって、データが企業のセキュリティで保護された場所に残ることを保証するものではありません。 そのため、アクセス制御は優れたスタートであり、十分ではありません。

最後に、これらのセキュリティ対策のすべてに共通することが 1 つあります。従業員は少しでも不便に感じると、セキュリティ制限を回避する方法を探し始めるということです。 たとえば、従業員が保護されたシステムを介してファイルを共有することを許可しない場合、従業員はセキュリティ制御が不足している可能性が高い外部アプリに変わります。

データ損失防止システムの使用

このセキュリティの機能不全に対処するために、企業はデータ損失防止 (DLP とも呼ばれます) システムを開発しました。 データ損失防止システムには、次のようなものが必要です。

  • システムが保護する必要があるデータを識別して分類する方法に関する規則のセット。 たとえば、規則セットに、クレジット カード番号を識別する規則と社会保障番号を識別する別の規則を含めることができます。

  • 企業データをスキャンして、定義された規則のいずれかと一致するかどうかを確認する方法。 現在、Microsoft Exchange Server と Exchange Online では、転送中のメールに対してこのサービスを提供しており、Microsoft SharePoint と SharePoint Online では、ドキュメント ライブラリに格納されているコンテンツに対してこのサービスを提供しています。

  • データが規則と一致した場合の処理 (従業員が処理の実行を迂回できるかを含む) を指定する機能。 たとえば、Microsoft SharePoint と SharePoint Online では、Microsoft Purview データ損失防止 システムを使用すると、共有データに機密情報が含まれていることを従業員に警告し、(オプションの監査ログ エントリを使用して) 共有することができます。

残念ながら、データ損失防止システムはそれ自体に問題があります。 たとえば、ルール セットの詳細が低いほど、誤検知が多く作成されます。 この動作により、従業員は、ルールが作業を遅くし、生産性を維持するためにバイパスする必要があると考え、データが誤ってブロックされたり、不適切に解放されたりする可能性があります。 もう 1 つの大きな問題は、データ損失防止システムの効果を上げるには、広く実装する必要があるということです。 たとえば、企業がメールについてデータ損失防止システムを使用しているが、ファイル共有やドキュメント ストレージには使用していない場合、保護されていないチャネルを通じてデータがリークしている可能性があります。 おそらく、データ損失防止システムの最大の問題は、従業員の自然なワークフローを中断する耳障りなエクスペリエンスを提供することです。 一部の操作 (システムが機密としてタグ付けする添付ファイルを含むメッセージの送信など) を停止し、多くの場合、従業員が見ず、理解できない微妙なルールに従って他の操作を許可することができます。

Information Rights Management システムの使用

データ損失防止システムの潜在的な問題に対処するために、企業は Information Rights Management (IRMとも呼ばれます) システムを開発しました。 Information Rights Management システムは、保護機能を直接ドキュメントに埋め込むことにより、従業員がドキュメントを作成するときに、各自がどのような保護を適用するかを決定できるようにします。 たとえば、従業員は、ドキュメントの転送、印刷、組織の外部での共有などを禁止することを選択できます。

保護の種類を設定すると、作成アプリは、承認されたユーザーのみが、互換性のあるアプリでのみ開くことができるように、ドキュメントを暗号化します。 従業員がドキュメントを開くと、アプリによって指定した保護が適用されます。 保護はドキュメントと共に移動するため、承認されたユーザーが承認されていないユーザーに送信した場合、承認されていないユーザーはそれを読み取ったり変更したりすることはできません。 ただし、この機能が効果的に機能するには、Information Rights Management システムをサーバー環境とクライアント環境の両方に展開して設定する必要があります。 また、互換性のあるクライアントのみが保護されたドキュメントを操作できるため、互換性のないアプリを使用しようとすると、従業員の作業が予期せず中断される可能性があります。

従業員が退職した場合やデバイスの登録を解除した場合はどうでしょうか。

最後に、従業員がデバイスを離れたり登録を解除したりすると、会社からデータが漏洩するリスクがあります。 以前は、デバイス上の他の個人データと共に、デバイスからすべての企業データを消去していました。

WIP の利点

Windows Information Protectionでは、次の機能が提供されます。

  • 個人と企業データが明確に分離されるため、従業員が環境またはアプリを切り替える必要はありません。

  • アプリを更新することなく、既存の基幹業務アプリのデータ保護が強化されます。

  • 個人データに影響を及ぼすことなく、Intune で MDM に登録されたデバイスから企業データを消去できます。

  • 追跡の問題と改善措置の監査報告を使用します。

  • 既存の管理システム (Microsoft Intune、Microsoft Configuration Manager、または現在のモバイル デバイス管理 (MDM) システムと統合して、会社の Windows Information Protectionを構成、展開、管理します。

WIP を使う理由

Windows Information Protectionは、Windows 10のモバイル アプリケーション管理 (MAM) メカニズムです。 WIP を使用すると、Windows 10 デスクトップ オペレーティング システム上のアプリとドキュメントのデータ ポリシー適用を管理する新しい方法と、エンタープライズデバイスと個人デバイスの両方からエンタープライズ データへのアクセスを削除する機能が提供されます (Intuneなどのエンタープライズ管理ソリューションへの登録後)。

  • データ ポリシーの施行に対する考え方が変わります。 企業内の管理者は、データ ポリシーとデータ アクセスに関して、コンプライアンスを維持する必要があります。 Windows Information Protectionは、従業員がデバイスを使用していない場合でも、企業所有デバイスと従業員所有デバイスの両方で企業を保護するのに役立ちます。 従業員は、企業によって保護されたデバイスでコンテンツを作成する時、そのコンテンツを業務用ドキュメントとして保存するかどうかの選択ができます。 作業ドキュメントの場合は、エンタープライズ データとしてローカルに管理されます。

  • 企業のドキュメント、アプリ、暗号化モードを管理します。

    • 企業データのコピーとダウンロード。 従業員またはアプリが、SharePoint、ネットワーク共有、企業の Web などの場所からコンテンツをダウンロードする場合、WIP で保護されたデバイスを使用していると、WIP によってデバイス上のデータが暗号化されます。

    • 保護されたアプリの使用。 管理対象アプリ (WIP ポリシーの [保護されたアプリ ] の一覧に含まれているアプリ) は、エンタープライズ データへのアクセスが許可され、許可されていないアプリ、非エンタープライズ対応アプリ、または個人用専用アプリで使用される場合は、異なるやり取りが行われます。 たとえば、WIP 管理が [ブロック]に設定されている場合、従業員はある保護されたアプリからコピーして別の保護されたアプリにペーストすることはできますが、個人アプリにペーストすることはできません。 人事担当者が、保護されたアプリから企業で保護された場所である社内キャリア Web サイトにジョブの説明をコピーしたいが、間違いを犯し、代わりに個人用アプリに貼り付けようとしているとします。 貼り付けアクションが失敗し、ポリシー制限のためにアプリが貼り付けられなかったという通知が表示されます。 その後、人事担当者は求人 Web サイトに問題なくペーストすることができます。

    • 管理されたアプリと制限。 WIP を使用すると、どのアプリに企業データへのアクセスとその使用を許可するかをコントロールできます。 アプリは保護されたアプリ一覧に追加されると、企業データを使えるようになります。 この一覧にないすべてのアプリは、WIP 管理モードに応じて、企業データへのアクセスが禁止されます。

      個人データに触れることのない基幹業務アプリを変更して、保護されたアプリとして一覧表示する必要はありません。保護されたアプリの一覧に含めるだけです。

    • データ アクセスのレベルの決定。 WIP を使用すると、従業員のデータ共有操作について、ブロック、オーバーライドの許可、監査を行うことができます。 上書きを非表示にすると、操作が直ちに停止されます。 オーバーライドを許可すると、リスクがあることが従業員に通知されますが、従業員は、操作の記録や監査が実行されている間も、引き続きデータを共有することができます。 サイレントは、その設定の使用中に従業員がオーバーライドできるものを停止することなく、アクションをログに記録するだけです。不適切な共有のパターンを確認するのに役立つ情報を収集することで、教育的なアクションを実行したり、保護されたアプリの一覧に追加する必要があるアプリを見つけたりすることができます。 監査ログ ファイルの収集方法について詳しくは、「Windows 情報保護 (WIP) 監査イベント ログの収集方法」をご覧ください。

    • 使用されていないときのデータの暗号化。 Windows Information Protectionは、ローカル ファイルとリムーバブル メディア上のエンタープライズ データを保護するのに役立ちます。

      Microsoft Word などのアプリは、WIP と連携してローカル ファイルやリムーバブル メディアでデータ保護を継続することができます。 このようなアプリは、エンタープライズ対応と呼ばれます。 たとえば、従業員がWordから WIP で暗号化されたコンテンツを開き、コンテンツを編集し、編集したバージョンを別の名前で保存しようとすると、Word自動的に Windows Information Protectionが新しいドキュメントに適用されます。

    • パブリック スペースへの偶発的なデータ漏洩の防止。 Windows Information Protectionは、エンタープライズ データが誤ってパブリック スペース (パブリック クラウド ストレージなど) に共有されないように保護するのに役立ちます。 たとえば、Dropbox™ が保護されたアプリの一覧にない場合、従業員は暗号化されたファイルを個人用クラウド ストレージと同期できません。 ただし、従業員がされたアプリ一覧にあるアプリ (Microsoft OneDrive for Business など) でコンテンツを格納した場合、暗号化されたファイルをビジネス クラウドに自由に同期でき、暗号化はローカルに維持されます。

    • リムーバブル メディアへの偶発的なデータ漏洩の防止。 Windows Information Protectionは、リムーバブル メディアにコピーまたは転送するときにエンタープライズ データが漏洩するのを防ぐのに役立ちます。 たとえば、従業員が個人データを持つユニバーサル シリアル バス (USB) ドライブにエンタープライズ データを配置した場合、個人データは暗号化されたままになります。

  • 企業によって保護されたデバイスから企業データへのアクセス権を削除します。 Windows Information Protectionを使用すると、管理者は、1 つまたは複数の MDM 登録済みデバイスからエンタープライズ データを取り消しながら、個人データだけを残すことができます。 これは、従業員が退職したとき、またはデバイスが盗まれた場合の利点です。 データへのアクセス権を削除する必要があると決定した場合は、Microsoft Intune を使用して、デバイスの登録を解除できます。これにより、デバイスがネットワークに接続したときに、デバイスでのユーザーの暗号化キーが無効化され、企業データが読み取り不可能になります。

    Surface デバイスの管理には、Microsoft Configuration Managerの Current Branch を使用することをお勧めします。
    Configuration Managerでは、エンタープライズ データを取り消すこともできます。 ただし、これを行うには、デバイスを出荷時の設定にリセットする必要があります。

WIP の動作のしくみ

Windows Information Protectionは、企業における日常的な課題に対処するのに役立ちます。 次のような機能があります。

  • 従業員が所有するロックダウンできないデバイスに対しても、企業データの漏洩を防ぐことができる。

  • 企業が所有するデバイスで、制限が多いデータ管理ポリシーによって生じる従業員の不満を緩和する。

  • 企業データの所有権と制御を維持できる。

  • エンタープライズ対応ではないアプリのネットワークとデータ アクセスとデータ共有の制御に役立つ

エンタープライズ シナリオ

Windows Information Protectionは現在、次のエンタープライズ シナリオに対応しています。

  • 従業員が所有するデバイスと企業が所有するデバイスで、企業のデータを暗号化できます。

  • 管理されているコンピューター (従業員が所有するコンピューターを含む) から、個人データに影響を与えることなく、企業データをリモートで消去することができます。

  • 従業員が明確に認識できるエンタープライズ データにアクセスできる特定のアプリを保護できます。 非特権アプリから企業データへのアクセスを禁止することもできます。

  • 従業員は、企業ポリシーの適用時に、個人アプリと企業アプリの間で切り替える間に作業を中断されることはありません。 環境を切り替えたり、複数回サインインしたりする必要はありません。

WIP 保護モード

エンタープライズ データは、エンタープライズ ソースからデバイスに読み込まれた後、または従業員がデータを企業としてマークした場合に自動的に暗号化されます。 次に、エンタープライズ データがディスクに書き込まれると、Windows Information Protectionは Windows 提供の暗号化ファイル システム (EFS) を使用して保護し、それをエンタープライズ ID に関連付けます。

Windows Information Protection ポリシーには、企業データにアクセスして処理するために保護されている信頼されたアプリの一覧が含まれています。 このアプリの一覧は、AppLocker 機能によって実装されています。この機能は、実行が許可されているアプリを制御し、Windows オペレーティング システムに対して、アプリが企業データを編集できることを通知します。 この一覧に含まれるアプリは、リストに存在することで、Windows がアクセス権を付与するかどうかを判断できるため、企業データを開くために変更する必要はありません。 ただし、Windows 10 の新機能として、アプリ開発者は、新しい一連のアプリケーション プログラミング インターフェイス (API) を使って、企業データと個人データの両方を使用および編集できる対応アプリを作成できます。 対応アプリを操作する場合の大きな利点は、Microsoft Word などのデュアルユース アプリは、API を使用して、データが企業が所有しているかどうか、または個人が所有しているかどうかをアプリが判断できるため、個人データの暗号化に関する懸念が少ない状態で使用できることです。

監査ログ ファイルの収集方法について詳しくは、「Windows 情報保護 (WIP) 監査イベント ログの収集方法」をご覧ください。

Windows Information Protection ポリシーは、次の 4 つの保護モードと管理モードのうち 1 つを使用するように設定できます。

モード 説明
ブロック Windows Information Protectionは、不適切なデータ共有のプラクティスを探し、従業員がアクションを完了できないようにします。 このモードでは、アプリ間での企業データの共有や、組織のネットワーク外部との共有の実行に加え、企業で保護されていないアプリとの企業データの共有も検索の対象となります。
上書きの許可 Windows Information Protectionは、不適切なデータ共有を検索し、従業員が安全でない可能性があると見なされた場合に警告します。 ただし、この管理モードでは、従業員はポリシーを上書きしてデータを共有でき、従業員が行った操作が監査ログに記録されます。
Silent Windows Information Protectionは、無効なデータ共有をログに記録し、上書きを許可モードで従業員の操作を求められる内容を停止することなく、自動的に実行されます。 ネットワーク リソースや WIP で保護されたデータにアプリから不適切にアクセスしようとした場合など、許可されていない操作は引き続き禁止されます。
オフ Windows Information Protectionはオフになっているので、データの保護や監査には役立ちません。

WIP を無効にすると、ローカルで接続されたドライブ上にある WIP タグの付いたファイルに対して暗号化の解除が試みられます。 Windows Information Protectionを再びオンにしても、以前の暗号化解除とポリシー情報は自動的に再適用されません。

WIP の無効化

すべての Windows 情報保護と制限を無効にして、WIP で管理されているすべてのデバイスの暗号化を解除し、データを損失することなく WIP 導入前の状態に戻すことができます。 ただし、これはお勧めしません。 WIP をオフにすることを選択した場合は、いつでも有効に戻すことができますが、暗号化解除とポリシー情報は自動的に再適用されません。

次のステップ

環境内で WIP を使用することを決定したら、Windows Information Protection (WIP) ポリシーを作成します