2つの情報保護技術、クラウドのAIPとWindows 10のWIP（その3）：企業ユーザーに贈るWindows 10への乗り換え案内（13）

　繰り返しますが、WIPは“デバイス上の情報保護技術”です。前回まで説明した「Active Directory Rights Managementサービス（AD RMS）」と、そのクラウド版ともいえる「Azure Information Protection（AIP）」は、ファイル共有や電子メール、クラウドベースのオンラインストレージなどを介してやりとりされるデータを高度に暗号化保護し、機密情報の漏えいを防止しようとする情報保護技術でした。

　一方、WIPはコンピュータやタブレット、スマートフォンといったデバイスに保存されている企業データを、“その場所で保護する”ことを第一の目的としています。使用される暗号化技術は、NTFSの「暗号化ファイルシステム（EFS）」です。

　WIPは、モバイル環境を含む企業内で、個人のデバイスや会社のデバイスが混在する環境や、1つのデバイス上で個人アプリと業務アプリを併用するような環境において、個人と企業の領域に境界を設けて、企業領域のデータを暗号化して保護するとともに、企業領域から個人領域への偶発的な、あるいは意図的な漏えいを防止します。

　例えば、WIPでは特定のアプリケーション（Microsoft Edgeなど）で、Webサイトやサービスを企業が承認したものと、そうでないものに明確に区別することができます（画面1）。

画面1　Webサイトやサービスをドメイン名で識別し、企業領域と個人領域を明確に分けることができる

　また、アプリケーションの保存先によって自動的に暗号化して保存するようにしたり、ユーザー自身に企業データ（作業）と個人データ（個人用）を設定可能にしたりもできます（画面2）。

画面2　企業アプリ（Excelなど）からローカルへの保存は自動的にEFSで暗号化。ユーザーに作業／個人用の指定を許可することも可能

　さらに、企業用のアプリから、個人用のアプリへのコピー＆ペーストを警告したり、完全にブロックしたりすることも可能です（画面3）。

画面3　企業アプリ（Wordなど）から個人用アプリ（Facebookなど）にコピー＆ペーストしようとしたところ。この例は警告するだけだが、完全にブロックするように設定することも可能

WIPはMDMソリューションとの組み合わせで利用可能

　WIPはスタンドアロンで動作する機能ではありません。モバイルデバイス管理（Mobile Device Management：MDM）機能を通じてポリシーを配布することで、利用可能になります。例えば、「Microsoft Intune」のMDM管理機能は、WIPの構成に標準で対応しています（画面4、画面5）。

画面4　Microsoft Intuneを使用したWIPのためのポリシーの構成

画面4　AIP（Azure RMSテンプレート）と連携して、外部とやりとりされるデータを保護することも可能

　サードパーティーのMDMソリューションでも、公開されている「構成サービスプロバイダー（CSP）」のインタフェースに従うことで、対応が可能です。

　繰り返しますが、WIPはデバイス上の企業データをEFSで暗号化して保護します。NTFSボリューム以外の外部ストレージ、オンラインストレージ、電子メールの送信などは保護対象にはなりません。Microsoft Intuneと前回説明したAIPの両方の環境があれば、「Azure RMS（AIPが使用するRMSテンプレート）」を使用して、デバイスから離れるデータに対してAIPの暗号化保護を適用することができます。例えば、企業アプリとして構成したAIP対応のOutlookからの電子メール送信を保護することも可能になります。