CSP 担当者コラム

CSP

SharePoint / OneDrive での安全なファイルの共有(後編)

「SharePoint / OneDrive での安全なファイルの共有(前編)」では Microsoft 365 に含まれる SharePoint Online と OneDrive for Business で安全にファイルの共有や共同作業を行うために確認すべき設定やより安全かつ便利に共有を行うための設定について解説しました。
この記事ではその続きとして、外部共有するファイルをより安全に保護するための Microsoft 365 の機能について解説します。

前編で紹介した共有の設定を行うことにより、共有できる範囲や共有リンクの既定の設定を構成することができます。ただしこのままでは、編集可能やダウンロード可能で共有した場合、ダウンロード後のファイルへの統制が効きません。つまりダウンロードしたユーザーがさらに別のユーザーに共有したり、外部に公開したりすることを抑止できません。

Information Rights Management (IRM) を使用すると、SharePoint Online からダウンロードされたOffice ドキュメントファイルや PDF ファイルを制御および保護できます。共有によって SharePoint Online のライブラリのファイルやリストの添付ファイルがダウンロードされる際に自動的に暗号化が行われます。
ファイルを復号するには、共有されたユーザーが自分のアカウントでサインインしてクラウド上の Rights Management サービスサーバーにアクセスし、暗号鍵を受け取る必要があります。そのため、ダウンロードされたファイルは共有対象の本人以外開くことができません。もしダウンロードしたユーザーが別の人にファイルを共有しても、暗号鍵を受け取ることができないので別の人はファイルを開けません。

Microsoft 365 の IRM では Azure Information Protection の Azure Rights Management サービスが利用されます。上記では Azure Rights Management サービスでの暗号化の動作について簡略化して説明しています。Azure Rights Management サービスの動作に仕組みについて詳しくは以下の記事を参照してください。

IRM では開いて表示・編集する際もファイルは暗号化されたままです。開く際にアプリケーションが内部で自動的に復号するので、開いたユーザーの手元には復号されたファイルは残りません。この動作はファイルを共有するためにパスワード付き ZIP ファイルを送信するのに比べて、はるかに安全です。
パスワード付き ZIP ファイルでは、受け取ったユーザーがパスワードを使って展開した後に暗号化されていないファイルが残ります。ファイルを受け取って展開したユーザーはこの暗号化されていないファイルを第三者に転送できます。これに対して IRM では受け取ったユーザーの手元には暗号化されたファイルしか無いので、これを第三者に転送しても第三者は暗号化を解除して開くことができません。
また暗号の強度もパスワード付き ZIP ファイルより強力で、クラッキングなどで復号することは現実的には行えません。

Microsoft 365 の IRM はサブスクリプションに Azure Information Protection が含まれている以下のプランで利用できます。

  • Microsoft 365 Business Premium

    Azure Information Protection P1 が含まれます

  • Microsoft 365 E3 / E5

    E3 には Azure Information Protection P1、E5 には Azure Information Protection P2が含まれます

  • Office 365 E3 / E5

    Azure Information Protection for Office 365 が含まれます

また、これ以外のプランでも Azure Information Protection をアドオンとして追加できます。IRM が利用できるプランへのアップグレードやアドオンの追加については当社担当営業までご相談ください。

Azure Information Protection の各プランの詳細な内容については以下の記事を参照してください。

IRM で暗号化されたファイルを開いて表示・編集するには、Azure Information Protection をサポートしているアプリケーションが必要です。SharePoint Online と OneDrive for Business での自動暗号化がサポートされているファイルの種類と、それに対応したアプリケーションは以下のとおりです。

ファイルの種類 対応するアプリケーション
Office ドキュメント
.docx, .doc
.xlsx, .xls
.pptx, ppt 		Microsoft 365 Apps
Office Professional Plus 2013
Office Professional Plus 2016
Office Professional Plus 2019
Office for the web (表示のみ)
PDF Adobe Reader
Adobe Acrobat
Microsoft Edge
Microsoft Azure Information Protection Viewer
Foxit Reader

IRM を設定・構成するには、まずテナントレベルで IRM 機能を有効にする必要があります。

  1. Microsoft 365 管理センターにアクセスします。

    ※設定の変更にはグローバル管理者または SharePoint 管理者の権限が必要です。

  2. [すべて表示] - [すべての管理センター] - [SharePoint] の順に選択します。
  3. SharePoint 管理センターが表示されたら [設定] を開き、[クラシック設定ページに移動します] をクリックします。
  4. クラシック設定ページが開いたら、[Information Rights Management (IRM)] の項目を見つけます。
  5. [構成で指定した IRM サービスを使う] をクリックしてチェックを入れます。
  6. [IRM 設定の更新] をクリックします。
  7. [設定が正常に更新されました] と表示されたら、最下部の [OK] をクリックしてから画面を閉じます。

    ※設定が反映され、IRM が利用できるまで1時間程度かかります。

次に、共有の際に暗号化を行いたいライブラリやリストに IRM を設定してアクセス許可ポリシーを構成します。

  1. SharePoint Online で設定を行いたいライブラリやリストに移動します。
    [設定](右上の歯車アイコン)をクリックし、[ライブラリの設定] をクリックします。
  2. [ライブラリの設定] が表示されますので、[その他のライブラリ設定] をクリックします。
  3. ライブラリの詳細設定画面が開きますので、[権限と管理] セクションにある [Information Rights Management] をクリックします。
  4. [Information Rights Management 設定] が開きます。
  5. 共有時の暗号化を有効化して保護するには、[ダウンロード時にこのライブラリの権限を制限する] にチェックを入れます。
    併せて構成するアクセス許可ポリシーの名前と説明を入力してください。
  6. [オプションの表示] をクリックすると、以下のようなポリシーの詳細構成が表示されます。
    • 上の例ではダウンロードしたユーザーによる表示は可能ですが、[閲覧者に印刷を許可する] が無効になっているので印刷はできません。また [ダウンロード後、ドキュメントのアクセス権はこの日数(1~365)後に失効する] が 90日に設定されているので、ダウンロードしたファイルはダウンロードから90日後に開けなくなります。

アクセス許可ポリシーで構成できる各項目の詳細については、以下の記事を参照してください。

OneDrive for Business でも IRM を設定してアクセスポリシーを構成できます。
[設定] - [OneDrive の設定] - [その他の設定] - [古いサイトの設定ページに戻る] - [サイトのライブラリとリスト] - ["ドキュメント" のカスタマイズ] と進むと [Information Rights Management] が見つかります。

上の例で Information Rights Management のアクセスポリシーを構成したライブラリのファイルを実際に共有して、動作を確認します。

  1. アクセスポリシーを構成したライブラリにある Word 文書のファイルを共有します。
    共有の設定自体は編集可能になっています。
  2. 共有されたユーザーに以下のような招待状の電子メールが届きます。
  3. 招待状内のリンクをクリックしてファイルにアクセスすると、ブラウザーが開いてサインインを求められます。
  4. 招待状が届いたアカウント(この場合は組織アカウント)でサインインすると、Word 文書がブラウザー内(Office on the Web)に表示されます。
    アクセスポリシー名とその説明が情報バーとして表示されています。また編集のためのユーザーインターフェースは無効になっていて、表示のみできる状態です。
  5. ブラウザーのメニューから印刷を行うと、印刷ダイアログは表示されますがプレビューで確認できるように文書の内容は印刷されません。

以上で、共有されたファイルはサインインしなければ表示されず、編集不可・印刷も不可というアクセスポリシーが正しく反映されていることが確認できました。

このように IRM を利用すると共有したファイルがダウンロードされた後も組織が制御および保護できます。ビジネスパートナーなどとのファイルの共有は必要だが、共有したファイルが共有相手からさらに外部に流出する可能性を危惧するような場合、IRM を利用することで情報流出・情報漏洩の危険性を大きく減らすことが可能です。

Microsoft 365 の SharePoint Online や OneDrive for Business で安全に外部とファイルの共有を行うには、組織ではどのような相手とどのような共有が必要なのか確認し、それに応じた共有の制限を行うことが必要ですが、それだけでは共有相手がダウンロードした後のファイルを制御し保護することはできません。
共有によってダウンロードされたファイルを制御し保護するには、Microsoft 365 Business Premium や Microsoft 365 E3 / E5 に含まれる Information Rights Management(IRM)を利用します。IRM を利用することで共有してダウンロードさせたファイルを閲覧のみ(編集・印刷不可)にしたり、一定期間経過後に利用できなくしたりすることができ、より強力にファイルを保護し、機密情報を守ることができます。

Microsoft 365 を利用した社外との情報共有でお悩みの方、また Information Rights Management にご関心をお持ちで Microsoft 365 プランのアップグレードを検討されている方は、ぜひ当社担当営業までご相談ください。

CSPの記事