[RMS] MSDRM と MSIPC について(2) 証明書の取得について

今回は、MSDRMとMSIPCにおける証明書の取得に関する違いについてご説明致します。

MSIPC でも、IRM 機能を使用する前に、MSDRMと同様、ADRMS サーバーから、ユーザーアカウント証明書と、クライアントライセンサ証明書を取得します。
しかし、MSIPC では、事前に IRM 保護した文書の閲覧を行なわず、一切 ADRMS サーバーへのアクセスが無い状態から、IRM の使用を開始する場合、MSDRMとは異なり、現在のログオンユーザーでの自動ログオンが必須となっております。

以下に詳細を説明いたします。

  • 変更点について

MSIPC を使用するアプリケーションは、レジストリによって ADRMS サーバーを指定しても、環境によっては、直ちに IRM の使用を開始できないことがあります。

具体的には、ワークグループ環境でOffice2013のようなアプリケーションにて新規にIRMを使用し始める場合などに、問題が発生します。 

 

例えば、Office 2013 など MSIPC を使用するクライアントで、IRM の使用を開始するとします。

コンピューターは、ユーザーアカウント証明書と、クライアントライセンサ証明書を取得する必要がありますので、ADRMS サーバーにアクセスしますが、この時、ユーザー認証はバックグラウンド処理されなければなりません。つまり、認証ダイアログを表示せずに、ログオンしているユーザーの資格情報を使用して、ADRMS サーバーにログオンできる必要があります。

ドメインに参加しているコンピューターで、ドメインユーザーのアカウントを使用している場合は、この要件を満たすため、問題はありません。
しかし、ワークグループ環境のマシンのように、ログオンしているユーザーと、実際に ADRMS サーバーにアクセスさせたいアカウントが異なる場合は、問題が発生します。

以前は、ワークグループ環境では、 レジストリで ADRMS サーバーの URL を指示するだけで、指定した ADRMS サーバーにアクセスし、必要に応じて認証ダイアログを表示していました。
しかし、MSIPC を使用するアプリケーションでは、レジストリ設定を行っても、認証ダイアログが表示されずに、エラーとなって、ADRMS の使用ができなくなりました。

ただし、このようなマシンでも、既存の IRM 保護済の文書を開く場合には認証ダイアログが表示され、正常に IRM の使用を開始できます。

  • 変更の背景

この変更は、ADRMS サーバーのなりすましに対する、セキュリティ上の強化によるものです。

レジストリで指定した ADRMS サーバーへのアクセスに対し、無条件で認証ダイアログを表示してユーザーに資格情報を入力できるようにすると、そのサーバーにログオン情報を送ることになります。仮に、そのサーバーが悪意のあるユーザーによって用意された、ADRMS サーバーになりすましたサーバーであった場合、ユーザーのログオン情報が盗み取られる可能性があります。
ワークグループ環境など、ユーザーが自動ログオンできない環境で、レジストリのみで ADRMS サーバーが指定されている場合、その ADRMS サーバーが存在するかどうか、また、ADRMS サーバーに接続できたとしても、それが本当の ADRMS サーバーであるかを確認できません。MSIPC では、これを防ぐため、認証ダイアログを表示する動作を行わなくなりました(下図参照)。

一方、ワークグループ環境のコンピューターであっても、既存の IRM 保護済み文書を開く場合には、ADRMS サーバーアクセス時に認証ダイアログが表示されます。そして、認証ダイアログにドメインアカウントを入力することで、ADRMS サーバーから、ユーザーアカウント証明書と、クライアントライセンサ証明書の取得が可能です。
これは、IRM 保護された文書に含まれる ADRMS サーバーの URL が、その ADRMS サーバーによって署名されており、改ざんが防止されているためです。
署名があることにより、文書の改竄によるなりすまし ADRMS サーバーへの誘導ができません。つまり、IRM 文書内に記述され、署名によって保護された ADRMS サーバーの URL は、その存在が保証されているとみなされます。その結果、MSIPC は、認証ダイアログを表示しても安全であると判断して、認証ダイアログを表示し、ログオンを促します(下図参照)。

上記のように、MSIPC を使用する Office 2013 のようなアプリケーションを、ワークグループ環境にインストールして IRM を使用し始めるには、レジストリで ADRMS サーバーを設定するだけではなく、既存の IRM 保護された文書を用意するか、Sharepoint のように、ダウンロード時に暗号化するソリューションを使用する必要があります。

なお、上記のような MSIPC の動作であっても、 ADRMS サーバーのなりすましは完全には防げません。たとえば、HOSTS や DNS の書き換えなどで、ADRMS の URL が別の IP アドレスに向けられるといった方法があげられます。これらにつきましては、運用上のセキュリティポリシーの徹底や、ファイアウォールやセキュリティソフトの使用などで、可能な限り予防することが肝要です。