Azure Information Protection(AIP)を試してみた
1.はじめに
皆さんこんにちは!システムソリューション営業本部 古澤と申します。
テレワークが普通の働き方となった昨今、ドキュメントの閲覧や編集も社外で行うのが普通になっており、
機密情報の漏洩リスクに対する考え方を変える必要が出てきているのではないでしょうか。
今回はMicrosoft社のAzure Information Protection(AIP)でドキュメントの保護がどこまで出来るのかを検証するために導入を試してみました。
2.AIPとは
AIPとはドキュメントやメールの保護を行うことが出来るMicrosoft 365ソリューションの一部となります。クライアントアプリをインストールして個別に保護を実施することや、ファイルサーバーを走査して一括で保護対象を決めることも可能です。
今回はクライアントアプリのパターンについて概要を調べてみました。
AIPではクライアントアプリを端末にインストールし、認証を行うことでMicrosoft 365テナント単位で設定した保護が反映されます。
保護設定はMicrosoft 365 コンプライアンスセンター内の"ラベル"と"ポリシー"にて管理されています。 ※Azure Portalでの管理は2021年4月で終了となりました。
以下にラベルとポリシーの概要を記載します。
・ラベル
保護の内容を設定する箇所となり、ファイルやメール、TeamsやSharePointサイトなどに対する保護を行うか定義が可能です。
その他にも文書に対してヘッダーやフッター、透かしを追加することが可能です。
その他にも文書に対するヘッダーやフッターにスタンプを追加したり、データに対し透かしを追加することが可能です
・ポリシー
上述で作成したラベルを適用する範囲の指定を行います。
ユーザー、配布グループ、メールが有効なセキュリティ グループ、Microsoft 365 グループといった各種オブジェクトに対してラベルを適用可能です。
ご参考までに保護が可能なファイルは下記リンクに記載されております。
https://docs.microsoft.com/ja-jp/azure/information-protection/rms-client/clientv2-admin-guide-file-types
3.とりあえず動かしてみた
それでは実際にクライアントアプリを端末にインストールして特定のユーザーのみが開けるようにWordファイルを保護してみます。設定の流れは下記の通りです。
①ラベルの作成
②ポリシーの適用
③クライアントへのアプリインストール
④Officeファイルの保護
①ラベルの作成
AIPは2021年4月からAzureではなく、Microsoft 365 コンプライアンスセンターにて管理されるようになりました。
"情報の保護"ページを開き、"ラベルの作成"を押下します。
ラベルの名前や説明を入力します。
ラベルを適用する範囲を指定します。今回はファイルの保護を確認したいため、"ファイルとメール"を選択します。
ファイルとメールの保護設定を指定します。今回は"ファイルとメールを暗号化"を選択します。
暗号化の方法を指定します。ラベル適用時にユーザー側でアクセス許可を設定できるようにしています。
以降の設定はデフォルトの値に設定し、ラベルの作成を完了します。
②ポリシーの適用
ラベルは作成しただけではユーザーに適用されませんので、ラベルを適用するポリシーの作成を行います。
"ラベルポリシー"タブに移動し、"ラベルを発行"を押下します。
先ほど作成したラベルを選択します。
ラベルを適用するユーザーやグループを指定します。今回は1ユーザーを対象としました。
ラベルに対するオプションを選択できます。今回は特に設定せず進めます。
ラベルに名前を設定して作成を完了します。
以上でクラウド側の設定は完了となります。
引き続き、クライアント側の設定を行っていきます。
③クライアントへのアプリインストール
クライアントでの保護を有効にするため、AIPのアプリケーションをインストールする必要があります。
下記リンク内にクライアントのインストール先が記載されておりますのでこちらからダウンロードし、インストールします。(2021年10月現在)
Azure Information Protection のクライアント | Microsoft Docs
④Officeファイルの保護
クライアントアプリのインストール後、実際にOfficeファイルの保護を確認します。
ラベルで指定したユーザーアカウントでOfficeファイルを右クリックするとメニューに"分類して保護する"と表示されるのでこちらを押下します。
作成したラベルが表示されますので、アクセスを許可したいユーザーを指定します。
保護を行ったOfficeファイルを許可されていないユーザーアカウントで開くと、サインインを求められます。
権限を持っていないユーザーではファイルが開けないことを確認出来ました。
4.最後に
今回はAIPのクライアントアプリを用いてOfficeファイルの保護を行いました。365のE3ライセンスがあればこちらの保護を行うことが出来るため、既にライセンスをお持ちであればセキュリティ強化のためにも実施してみては如何でしょうか。
AIPではこの他にもOutlookやTeamsに対する保護や、スキャナによる一括ラベル適用も可能なため次回はこの辺りもご紹介させて頂ければと考えております。
※このブログで参照されている、Microsoft、Azure、Azure Information Protection、Office、Outlook、Teams
その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。