(Microsoft PowerPoint - IRMOverview_20100219_Washi\210\363
by user
Comments
Transcript
(Microsoft PowerPoint - IRMOverview_20100219_Washi\210\363
Title Month Year EMC Documentum IRM 「内部からの情報漏洩を防ぎたい/ 外部に安全に情報を提供したい!」 ~ 次世代の情報発信と 情報漏洩対策について(IRM)~ EMCジャパン株式会社 CM&A 事業本部 鷲崎 達也 © Copyright 2009 EMC Corporation. All rights reserved. 1 DRM vs IRM DRM - Digital Rights Management Information Rights Management - IRM • 音楽や動画のマルチメディア • 企業内の業務データ • 個人向け • エンタープライズ向け 例:音楽ネット販売、映画配信 例:Office文書、メールメッセージ IRMの特徴 – – – – 終始データは暗号化され、ビジネス情報の機密が完全に保たれる コンテンツとセキュリティが別個に管理される 配布後の動的な権限管理 監査機能 © Copyright 2009 EMC Corporation. All rights reserved. 2 Title Month Year 暗号化 vs 権限管理 暗号化 - Encryption Rights Management - 権限管理 機能:データにスクランブルがかかる 機能:鍵の管理と操作の制限 • 誰にでも読むことができない • 管理者は、状況が把握できる • 鍵があれば平文と同じ • 部分的な禁止もできる • 配布後も変更できる 暗号化だけでは情報保護の要件を満たせない – 鍵(ID, パスワード)は運用しだい – 追跡ができない – 後で変更できない IRMは 暗号化 + 権限管理 © Copyright 2009 EMC Corporation. All rights reserved. 3 情報共有の実態と課題 ファイルサーバ運用における課題 – – – – – – – – 作業やデータの重複等で容量がかさむ 複数のファイルサーバに跨っておりメンテナンスが困難 組織間での情報共有が困難 必要な情報がすぐに見つからない 版管理が困難 履歴管理が困難 アクセス権が細かく設定できない 情報漏えいリスク、紛失リスク メールや媒体(紙やCD-ROM)での情報伝達の課題 – – – – – – メールサーバの容量圧迫 誤送信や無制限の情報転送 アクセス権、監査履歴がない 宛先記入ミス、膨大なCCリスト 媒体での情報伝達は、時間とコストを考えると非効率 紛失、漏洩事故の危険性 © Copyright 2009 EMC Corporation. All rights reserved. 4 Title Month Year 情報共有の実態 セキュリティ課題 誤送信 無制限の情報転送 アクセス権がない 監査履歴がない コラボレーション課題 宛先記入ミス 宛先記入ミス 膨大なCCリスト 共通履歴として公開できない 電子メールやファイルサーバは情報を広める手段として優れていますが、 効率的な『コラボレーション』『セキュリティ』ツールではありません。 © Copyright 2009 EMC Corporation. All rights reserved. 5 権限管理の必要性・・最近の不正アクセス事件 GM Spark or Chery QQ? © Copyright 2009 EMC Corporation. All rights reserved. 6 6 Title Month Year IRMのアプローチ(1/2) 場所で 場所で制御する 制御する「 する「従来型」 従来型」方式に 方式にプラスし プラスし, ファイルで ファイルで制御する 制御する「 する「鍵」方式( 方式(IRM) IRM)を採用することにより 採用することにより さらに堅牢 さらに堅牢な セキュリティシステムを実現 堅牢なセキュリティシステムを “場所”で制御する “ファイル単位”で制御する 「文書」 と 「人」 を結びつけて アクセス権限をコントロール IR の M プ ア ロ ー チ ファイルひとつひとつに 「鍵」をかける ファイルのダウンロードの禁止 (持ち出し制限/アクセスコントロール) 万一 ID/Password+ファイルの すべてが流出したら・・・ 文書の所在は不問 コピーされてもOK 操作履歴の監査 監査・制御不能 文書毎の アクセス権限 物理的な持ち出しの禁止 万一流出しても・・・ 監査と制御が可能 ファイルを「壁」で守る © Copyright 2009 EMC Corporation. All rights reserved. 7 IRMの のアプローチ( アプローチ(2/2) 2/2) IRMは、文書ファイルの暗号化と権限管理により情報の漏洩を防止します。 従来の 従来の情報保護アプローチ 情報保護アプローチ IRMの IRMのアプローチ 限定された利用者だけがアクセス 社内外での情報共有 フォルダやハードディスクなど、 大きな単位で暗号化 ファイル単位で暗号化 正当な利用者から、故意または 事故により流出した情報 (コピーも含む)も同様に保護 流出発覚後、即時失効できる 正当な利用者が持ち出し/ コピーした情報は保護の対象外 情報流出後は打ち手がない 内部だけで利用する情報を保護 外部と共有しなければならない 情報まで保護 © Copyright 2009 EMC Corporation. All rights reserved. 8 Title Month Year IRMのメカニズム 保護されたコンテンツは通常のワーク フロー(e-mail, ファイル共有, CD, コン テンツ管理)を通して配信される 1 3 コンテンツを保護する (暗号化+ポリシ設定) 閲覧可 協力会者Aのみ 印刷 不可 有効期限 30日 6 ポリシーで許可され ていないため、開くこ とができない。 SSL IRM Server SSL AD 協力会社A 社員 GUID、設定した ポリシー、暗号鍵 がサーバ上に保 Content activity viewed 管される and policy dynmaically アクセスログで監査が可能 4 5 Plug-in 2 changed 権限もダイナミックに変更 できる 【ポリシー設定】 閲覧可 協力会社A 印刷不可 期限 30日 Recipient IRMサーバーに接続し、認証と許可の is authenticated. Enterprise directories referenced for authentication ためにエンタープライズディレクトリが参照 and authorization. Content is opened される。ポリシーで許可されている権限で with policy enforced. 暗号化されたコンテンツを開く。暗号鍵は メモリ上から削除される。 第三 者 © Copyright 2009 EMC Corporation. All rights reserved. 9 IRMの主な機能と特徴 機能 特徴 永続的な情報保護 •編集中や利用されていない間、転送中、配布後であっ ても常に情報が保護される。 動的な権限管理 •情報を受け取った側の個人ごとに、許可する操作をリ アルタイムに変更することができる。 有効期限の自動失効 •どこにファイルが置かれていても、期限がきたら自動 的にアクセスを失効させることができる。 継続的な監査証跡 •文書ごとに、どのユーザーが何をしたのか詳細な記録 が残る。 オフラインアクセス •インターネットにつながらない環境であっても、ファ イルを開くことができる。 動的な透かし •印刷時に、いつ、誰が印刷したのかを強制的に出力さ せられる。 既存のインフラとの統合 •既存の認証ドメインやと統合により、ユーザー管理の 負荷の軽減や自動認証の利用が可能になる。 © Copyright 2009 EMC Corporation. All rights reserved. 10 Title Month Year IRM ( Information Rights Management )の機能 - IRMの IRMの機能 - IRMの 画面イメージ IRMの画面イメージ © Copyright 2009 EMC Corporation. All rights reserved. 11 IRMの機能 – 1 文書 文書への への操作 への操作の 操作の制限 – 表示、編集して保存、コピー&ペースト、印刷、スクリーンショット – ファイル名の変更やファイルのコピーがされても、制限は全て継承される。 © Copyright 2009 EMC Corporation. All rights reserved. 12 Title Month Year IRMの機能 – 2 動的 動的な な権限設定 – 配布後であっても、ファイルの差し替えをせずに権限を変更ができる。 – 情報漏えい後も、瞬時にアクセス権の取り消し(文書の回収)が可能 仕様書Ver.1 仕様書 • 表示可 • 印刷不可 • 編集不可 ファイルの利用者 仕様書Ver.1 仕様書 • 表示可 • 印刷可 • 編集可 仕様書Ver.1 仕様書 • 表示可 • 印刷可 • 編集可 仕様書Ver.2 仕様書 • 表示可 • 印刷可 • 編集可 編集して保存 認証し、常に新しいポリシーで ポリシーは継承される 開く ファイルを開く ポリシー ファイルを保護 ポリシー変更 印刷許可 編集許可 ファイルの所有者 © Copyright 2009 EMC Corporation. All rights reserved. 13 IRMの機能 – 3 詳細 詳細な なアクセスログの アクセスログの記録 – ユーザーのOffice, Acrobatのプラグインから確認が可能 – サーバー側にはさらに詳細な情報が記録されている。 ログの ログの情報 • ユーザーID • アクセス元のIPアドレス もしくはドメイン名 • 操作内容 •読み取り(開く) •印刷 •変更(編集して保存 ) © Copyright 2009 EMC Corporation. All rights reserved. 14 Title Month Year IRMの機能 – 4 透かしの印刷 かしの印刷 – 固定の文字列だけでなく、印刷時の動的な情報を強制的に出力 – Office, PDF文書に対応 – PDF文書では、ディスプレイにもリアルタイムに表示 印刷した 印刷した人 した人の ユーザーID ユーザー 印刷した 印刷した コンピュータの の コンピュータ IPアドレス アドレス 印刷した 印刷した日時 した日時 © Copyright 2009 EMC Corporation. All rights reserved. 15 IRMの機能 – 5 有効期限、 有効期限、有効な 有効な時間帯の 時間帯の設定 – 期日(日付指定)もしくは期間(相対的な日数指定)でファイルを利用できる期限 の設定が可能。 – ファイルがいつから有効になるのかの設定が可能。 © Copyright 2009 EMC Corporation. All rights reserved. 16 Title Month Year IRMの機能 – 6 ネットワークロケーション ネットワークロケーションでの でのアクセス でのアクセス制限 アクセス制限 – 同じユーザーの同じファイルへの操作であっても、アクセス元のネットワークロ ケーションによってアクセスの制限ができる。 R&D アクセス許可 来客エリア 来客エリア アクセス禁止 自宅 アクセス禁止 © Copyright 2009 EMC Corporation. All rights reserved. 17 IRMの機能 – 7 所有者権限 所有者権限の の移譲 – サーバー管理者だけでなく、所有者自身が権限委譲の操作が可能 組織の変更、担当者の変更などに、柔軟に対応できる – アクセス権の一括変更(組織変更時など) EMC Documentumとの連携により、 旧部署の書類を新部署に対するアクセス権へ、一括変更が可能 設計部のアクセス権を持つコンテンツ 設計部 設計第2 設計第2部用のアクセス権を持つコンテンツ 部用 update “dm_document” object set “acl_name” = ‘設計第2部用’ where “acl_name” = ‘設計部用’’ 複雑な条件で、更新を行うことも可能(「佐々木さんと山田さんのコンテンツのみ、設計 第2部として変更」などをwhere条件として設定) © Copyright 2009 EMC Corporation. All rights reserved. 18 Title Month Year IRMの機能 – 8 オフライン – ネットワークに接続できない環境もサポート – 日数を指定して、オフラインを許可する期間を設定 – ネットワークに再接続した時点で全ての操作ログをサーバーへ送信 © Copyright 2009 EMC Corporation. All rights reserved. 19 IRMの機能 – 9 認証 認証システム システムとの システムとの連携 との連携、 連携、複数の 複数の認証システム 認証システムの システムの併用が 併用が可能 – 既存の認証システム(Active Directoryなど)と連携するころができ、ユーザー 管理の負荷を軽減 – 複数の認証システムを使用する場合、統合の必要がない 複数のActive Directoryを1つのIRM Serverで連携可能 – 外部ユーザー向けにも、1つのIRMのシステムで管理可能 セキュリティのために、インターナルとエクスターナルの分離を推奨 © Copyright 2009 EMC Corporation. All rights reserved. 20 Title Month Year IRMの機能 – 10 ポリシー付与 ポリシー付与の 付与の自動化 社外秘 人事 ユーザーは ユーザーは意識せずに 意識せずに ファイルを ファイルを保護することが 保護することが可能 することが可能 eRoomはファイルサーバによるデータ共有の問題点である バージョン eRoom 管理ができない、ごみ貯め状態、情報の再利用性の低下などを改善し、 社内、社外で情報の共有と再利用性を高めるためのプラットホームであ るとともに、ユーザ ユーザは ユーザは意識せず 意識せずファイル せずファイルを ファイルを保護することが 保護することが可能 することが可能である 可能である。 である。 © Copyright 2009 EMC Corporation. All rights reserved. 21 画面イメージ – ファイル作成時 (1 / 4) クライアント・プラグインから暗号化をする場合のイメージ ※クライアントプラグインを インストールすると アイコンが表示されます。 1. 保護したいファイルを開き、暗号化の アイコンをクリック、もしくは「権限 >ファイルの保護」を選択 2. IRMサーバに接続し、このユーザが暗 号化を行なう権限があるかどうかを確 認 3. 権限があればポリシ設定画面が表示さ れる 4. 予め設定されているテンプレートを選 択する 5. あるいは カスタムポリシーで保護の 種類を選択する © Copyright 2009 EMC Corporation. All rights reserved. 22 Title Month Year 画面イメージ – ファイル作成時 (2 / 4) カスタムポリシーの場合、閲覧 を許可するユーザーを追加する ファイルのポリシーを設定して 保存 – – – – – 印刷の許可 編集の許可 オフラインの許可 有効期限 透かし © Copyright 2009 EMC Corporation. All rights reserved. 23 画面イメージ – ファイル閲覧時 (3 / 4) 暗号化された文書には鍵マーク 1. ファイルを開くと認証のためIRM サーバに接続する 2. 認証情報を入力しファイルを開く – 3. ADの場合、シングルサインオンが可能 許可された権限でファイルを閲覧 © Copyright 2009 EMC Corporation. All rights reserved. 24 Title Month Year 画面イメージ – ファイル閲覧時 (4 / 4) 透かしを挿入できる ディスプレイでも透かし表 示 PDFでは、ファイルごと もしくはページごとに権限 設定が可能 © Copyright 2009 EMC Corporation. All rights reserved. 25 IRMの採用ユーザが増えてきた理由 •クライアントPlug-inの の開発 クライアント •コンテンツ管理 コンテンツ管理( 管理(ECM) Documentum, eRoom •メール連携 メール連携 Tiff Exchange、 、LotusNotes •サーバ側 の開発 サーバ側APIの Sharepoint.Filenet等 等,既存 既存ECMとの との連携 既存 との連携 • Software as Service (“SaaS”) •MFP等 等のデバイス 共通の 共通のポリシーで ポリシーで、 複数の 複数のファイルを ファイルを コントロール 連携強化 26 © Copyright 2009 EMC Corporation. All rights reserved. 26 Title Month Year IRM製品比較(参考資料) EMC Adobe MS Oracle 社内 ✔ ✔ ✔ ✔ 社外 ✔ ✔ ✔ 動的な な権限管理 動的 ✔ ✔ ✔ MSは権限を埋め込んでファイルを作成。権限を変更 する場合は再度ファイルを作り配布する必要がありま す。 詳細な なアクセスログ 詳細 ✔ ✔ ✔ いずれの製品も詳細なアクセスログを採取することが できます。 ✔ MSはPDFへの対応は絶対行わない(契約上の問題)。 AdobeはPDF以外にOffice用のPlug-inを提供しているが品 質が極めて悪く使い物になっていません。これによりCAD、 TIFFなどマルチフォーマットへの対応Plug-inをパートナー、 顧客が開発し拡張することが可能です。また、Oracleはファ イル名に日本語を使用することができない制約があります。 ネットワーク 対応 フォーマット ✔ PDF ✔ ✔ MS Office ✔ ✔ ✔ SDKの提供 ✔ ✔ ✔ ネットワークロケーションでの ネットワークロケーション での 制限 PDF ✔ ✔ MSはActive Directoryでのセキュリティを管理してい るため、原則ファイアウォールの内側のみです。 例えば、会社のネットワークに接続している場合はドキュメン トを利用できるが、社外(自宅など)からアクセスした場合が 利用できないなど、IPアドレスをみてドキュメントをコントロー ルすることができます。 ✔ MS Office 透かし挿入 かし挿入 ✔ コメント ✔ ✔ ✔ PDF、Officeの両方のフォーマットに透かし印刷ができ るのはEMCのみです。 © Copyright 2009 EMC Corporation. All rights reserved. 27 (参考) DRM機能実現方法 プラグインタイプ 専用ビューアタイプ 専用ビューアタイプ ドライバタイプ (EMC/Adobe/MS) ) (Oracle等 等) (Oracle等 等) ネイティブ・アプリケーション Plug-in 専用ビューア 専用ビューア ネイティブ・ ネイティブ・アプリケーション Agent (AP hook) Agent (AP hook) 暗号化: 暗号化:別拡張子 OS 暗号化: 暗号化:同じ拡張子 ファイル 暗号化: 暗号化:同じ拡張子 ファイル ファイル ドライバ H/W ①プラグインタイプ ファイル拡張子 ファイル拡張子はそのままであるが 拡張子はそのままであるが、 はそのままであるが、暗号化ファイル 暗号化ファイルの ファイルの利用を 利用をネイティブアプリケーションで ネイティブアプリケーションで行う。暗号化されたまま 暗号化されたまま利用 されたまま利用。 利用。 ②専用ビューアタイプ 専用ビューアタイプ 暗号化ファイル 暗号化ファイルを ファイルを独自な 独自なファイル拡張子 ファイル拡張子を 拡張子を付与し 付与し、暗号化ファイル 暗号化ファイルを ファイルを閲覧、 閲覧、利用するためには 利用するためには専用 するためには専用ビューア 専用ビューアからでないと ビューアからでないとファイル からでないとファイルを ファイルを 利用できないようにした 利用できないようにした。 できないようにした。 ③ドライバタイプ ファイルI/Oレベル ファイル レベルで レベルで暗号化/ 暗号化/復号を 復号を行い、印刷制限、 印刷制限、コピー制限 コピー制限も 制限も行うがアプリケーション うがアプリケーション機能 アプリケーション機能との 機能との連携 との連携が 連携が不充分な 不充分な製品が 製品が多く使い 勝手は 勝手は悪い。 © Copyright 2009 EMC Corporation. All rights reserved. 28 Title Month Year IRMのCase Studyと市場規模 – 製造業 製造業設計、試作データや新製品情報などの漏えい対策 配布図面、技術文書などのバージョン管理等 社外契約先、取引先とのセキュアな情報のやりとり 顧客情報の入った文書の保護 ドキュメントコントロール の市場規模 ・2005年度 年度: 億円 年度:18億円 – 金融業 ・2006年度 年度: 億円 年度:27億円 金融顧客情報の入った契約書等の保護 (保険)代理店などとのセキュアな情報のやり取り 顧客、契約先へ送付したドキュメントの開封確認等 ・ ・ ・ ・2010年度 年度: 億円 年度:54億円 – 官公庁 官公庁情報漏えい対策 入札などにおける期間限定での情報公開 古い申請様式を失効させ、常に最新の様式を仕様させる等 富士キメラ総研 – 全般 全般社外秘、プロジェクト内限定などのドキュメント管理要件 退社、契約終了などによる元従業員の情報持ち出し対策 メール本文及び添付されたすべてのデータの保護(BlackBerry等モバイル端末含め) © Copyright 2009 EMC Corporation. All rights reserved. 29 IRM導入のトレンド IRMのDemand – 部門から 部門から全社 から全社そして 全社そして社外 そして社外との 社外とのコラボレーション とのコラボレーション利用 コラボレーション利用へ 利用へ拡大( 拡大(数万人規模案件の 数万人規模案件の増加) 増加) 社外コラボレーション 社外コラボレーション 全社利用 部門利用 – IRM単体 単体での との連携 単体での検討 での検討は 検討は少なく、 なく、ECMとの との連携による 連携による導入 による導入( 導入(IRM for ECM 案件の 案件の増加) 増加) ECM+ ECM+ IRM 法務部 各部門の 各部門の 共有情報の の保管 共有情報 営業部 社内各部門 社内規定の 社内規定 の 保管 サービス 部 プロジェクト 関連資料の の保管 関連資料 プロジェクト 提案書の 提案書の 保管 取引先 共同作業エリア 共同作業エリア 情報共有エリア 情報共有エリア IRM機能 IRM機能の 機能の 統合 パートナー企業 パートナー企業 – IRM for CADフォーマット オフショア(中国、インド等)の金型メーカーからの 情報漏洩が顧客の潜在課題 様々なCADフォーマットに対応できるのが Documentum IRMの強み © Copyright 2009 EMC Corporation. All rights reserved. 30 Title Month Year CADの世界にも広がる情報漏洩対策 IRM Client Integration API for C を使用して、CADアプリケーション用 のIRMプラグインを開発 → CADファイルのセキュアな共有が可能に! CAD アプリケーション (メーカー側) 例) Pro/ENGINEER, AutoCAD, NX CAD, ICAD/SX, SolidWorks, Micro CADAM 等 IRMプラグイン CAD アプリケーション (サプライヤー側) セキュアコラボレーション + Policy 例) Pro/ENGINEER, AutoCAD, NX CAD, ICAD/SX, SolidWorks, Micro CADAM 等 + Policy IRMプラグイン IRMプラグイン ・IRM Client Integration API for Cを使用して 各アプリごとに開発 (PDF、MS Officeファイ ルについては、EMCからプラグインが提供) ・IRM Server との通信・認証 ・ファイルの暗号化/権限の制御などを行う Documentum IRM Server © Copyright 2009 EMC Corporation. All rights reserved. 31 ビューアのサンプルアプリ IRM SDKに含まれる、 カスタムアプリケーションの サンプル「IRM Image Viewer」で イメージファイルのIRM保護は可能 – バイナリー & ソースコードあり – 他商用Viewer製品とも連携計画 © Copyright 2009 EMC Corporation. All rights reserved. 32 Title Month Year Securing Pro/Engineer & CATIA CAD Documents © Copyright 2009 EMC Corporation. All rights reserved. 33 【まとめ】 他社との差別化ポイント! 1 マルチファイルフォーマット対応 マルチファイルフォーマット対応 Plug-in SDKを利用しあらゆるファイルフォーマットに対してポリシー付与が可能 2 ネットワークの ネットワークの外でのアクセス でのアクセス制限 アクセス制限 プラグイン経由でサーバーへの認証を必要とし、どこにあっても操作を制限させられる 3 動的な 動的な権限管理 表示、編集や印刷の操作制限が、ファイルの配布後にも変更が可能 4 詳細な 詳細なアクセスログ 誰がいつアクセスしたのかだけでなく、認証の失敗や印刷などの操作も記録 © Copyright 2009 EMC Corporation. All rights reserved. 34 Title Month Year Documentum IRM 今後の展開 - Documentum IRM Plug-in SDK パートナーとの連携強化 - SaaSモデルでのサービス提供 - www.eroom.net - Documentum IRM 製品情報 - http://japan.emc.com/products/detail/software/irm-services.htm © Copyright 2009 EMC Corporation. All rights reserved. 35 Documentum IRM トライアルサイト 30日間無料 日間無料 テスト用 テスト用サーバー準備不要 サーバー準備不要 インストール不要 インストール不要 インターネット経由で利用 対象製品:Documentum IRM + eRoom 申し込み方法 – http://japan.emc.com/microsites/japan/semi nar/irm-trial-site.htm © Copyright 2009 EMC Corporation. All rights reserved. 36 Title Month Year ご清聴ありがとうございました。 製品の問い合わせにつきましては、 下記窓口へご連絡お願い致します。 EMCジャパン株式会社 CM&A事業本部 担当 鷲崎 達也 Email [email protected] © Copyright 2009 EMC Corporation. All rights reserved. 37