トランスポート保護ルール
製品: Exchange Server 2013
Emailメッセージや添付ファイルには、製品の仕様、ビジネス戦略ドキュメント、財務データなどのビジネスクリティカルな情報や、連絡先の詳細、社会保障番号、クレジット カード番号、従業員レコードなどの個人情報がますます含まれます。 世界の多くの地域には、個人情報の収集、保管、開示を管理する業界固有および地域の規制が数多く存在します。
機密情報を保護するためには、この情報の処理方法に関するガイドラインを提供するメッセージング ポリシーを組織が作成します。 Microsoft Exchange Server 2013 では、トランスポート保護ルールを使用して、メッセージ コンテンツを検査し、機密性の高い電子メール コンテンツを暗号化し、権限管理を使用してコンテンツへのアクセスを制御することで、これらのメッセージング ポリシーを実装できます。
IRM の管理に関連する管理タスクについては、「 Information Rights Management の手順」を参照してください。
トランスポート保護ルールと AD RMS
トランスポート保護ルールを使用すると、Active Directory Rights Management サービス (AD RM) 権利ポリシー テンプレートを適用することによって、IRM で保護されたメッセージに対してトランスポート ルールを使用できます。
注:
AD RMS は、Rights Management Service (RMS) が有効なアプリケーションおよびクライアントと連係して機密情報をオンラインおよびオフラインで保護する情報保護テクノロジです。 オンプレミスの Exchange 展開で IRM 保護を使用するには、Exchange 2013 では、Windows Server 2008 以降で実行されている AD RMS のオンプレミス展開が必要です。
AD RMS では、XML ベースのポリシー テンプレートを使用して、互換性がある IRM が有効なアプリケーションに一貫した保護ポリシーを適用できるようにします。 Windows Server 2008 以降で、AD RMS サーバーはテンプレートの列挙および取得に使用できる Web サービスを公開します。 Exchange 2013 には [転送不可] テンプレートが添付されます。
[転送しない] テンプレートをメッセージに適用すると、メッセージにアドレスが指定された受信者のみがメッセージを解読できます。 受信者は、メッセージを他のユーザーに転送したり、メッセージの内容をコピーしたり、メッセージを印刷したりすることはできません。
追加 RMS テンプレートは、組織内の権利保護要件を満たすために社内の AD RMS 展開で作成できます。
重要
権利ポリシー テンプレートが AD RMS サーバーから削除されると、削除されたテンプレートを使用するトランスポート保護ルールを変更する必要があります。 トランスポート保護ルールで削除済みの権利ポリシー テンプレートを引き続き使用する場合、AD RMS サーバーは受信者に対するコンテンツのライセンス供与に失敗し、配信不能レポート (NDR) が送信者に配信されます。
Windows Server 2008 以降では、権限ポリシー テンプレートは削除される代わりにアーカイブできます。 アーカイブ化されたテンプレートは、まだコンテンツのライセンス供与に使用できますが、トランスポート保護ルールを作成または変更する場合、アーカイブ化されたテンプレートがテンプレートの一覧に含まれません。
AD RMS テンプレート作成の詳細については、「ステップ バイ ステップ ガイド - Active Directory Rights Management サービス権利ポリシー テンプレートを作成および展開する」を参照してください。
トランスポート保護ルールを使用した自動保護
ビジネスクリティカルな情報や個人情報を含むメッセージは、正規表現を含むトランスポート ルールの条件を組み合わせて使用して、社会保障番号などのテキスト パターンを識別することで識別できます。 組織には、機密情報の異なる保護レベルが必要です。 従業員、請負業者、またはパートナーに限定する情報があれば、正社員のみに限定する情報もあります。 必要な保護レベルは、権利ポリシー テンプレートを適用することによって、メッセージに適用できます。 たとえば、ユーザーはメッセージまたは電子メール添付ファイルに社内機密としてマークを付けます。 次の図に示すように、メッセージ コンテンツに「社内機密」という語句がないか検査するトランスポート保護ルールを作成して、メッセージを IRM で保護することができます。
権利保護を適用するためにトランスポート ルールを作成する詳細については、「トランスポート保護ルールを作成する」を参照してください。
電子メールの添付ファイルの永続的な保護
ユーザーは、Microsoft Office Word、Excel、PowerPoint などの一般的な Microsoft Office ファイル形式を使用して、ビジネスに不可欠な情報と個人情報を電子メールの添付ファイルに送信します。 これらのファイル形式はすべて IRM を介した永続的な保護をサポートしており、これらのドキュメント内のビジネスクリティカルな情報と個人情報が適切に保護されていることを確認できます。 トランスポート保護ルールは、サポートされるファイル形式の電子メール メッセージおよび添付ファイルに同じ保護を適用します。
トランスポート ルール エージェントと暗号化エージェント
トランスポート保護ルールをルール条件に基づいて IRM で保護されたメッセージに使用すると、トランスポート サービス上のトランスポート ルール エージェントがメッセージを検査します。 すべての条件に合い、いずれの例外にも該当しない場合、メッセージに IRM で保護される対象としてフラグが付けられます。 暗号化エージェントは、 OnRoutedMessage イベントで起動される組み込みのトランスポート エージェントであり、実際にメッセージに IRM 保護を適用します。 暗号化エージェントは、IRM が内部メッセージに有効である場合のみ、メッセージに対して機能します。 IRM の有効化の詳細については、「 内部メッセージの IRM を有効または無効にする」を参照してください。
トランスポート サービスが再開して、IRM 暗号化を必要とする最初のメッセージを処理する場合、暗号化エージェントが組織内の AD RMS サーバーに到達できる必要があります。 後続のメッセージに対して、エージェントが AD RMS サーバーに接続する必要はありません。 一時的な状態によりメッセージの暗号化が失敗すると、Exchange はメッセージを 10 分間隔で 3 回再試行します。 3 回の再試行後に、メッセージを暗号化できない場合、メッセージは受信者に配信されません。 NDR が送信者に送られます。 高可用性のための AD RMS 展開を計画してメッセージ フローが影響を受けないようにすることをお勧めします。
トランスポート保護ルールの使用を計画する場合、保護が必要な情報の種類を考慮し、それに応じてルールの作成を計画する必要があります。 Exchange 2013 では、トランスポート ルールに多数の述語があり、サポートされる添付ファイル、メッセージ ヘッダー、送信者および受信者アドレス、それらの Active Directory 属性 (部門、配布グループ メンバーシップ、送信者の受信者との管理関係など) を含むメッセージ コンテンツを検査できます。 Exchange 2013 で使用できるトランスポート ルール述語の詳細については、「トランスポート ルールの条件 (述語)」を参照してください。
組織内のメッセージ トラフィックと、トランスポート保護ルールで保護されるメッセージの数も考慮する必要があります。 IRM 保護を大量のメッセージに適用するには、メールボックス サーバー上のリソースを増やす必要があります。 また、大量のメッセージまたはすべてのメッセージを保護すると、特に Microsoft Outlook ユーザーのクライアント エクスペリエンスにも影響を与えます。