Active Directory 権限管理サービス

Active Directory Rights Management サービス( AD RMSWindows Server 2008より前はRights Management サービスまたはRMSと呼ばれていました) は、Windows Serverに付属の情報権限管理用のサーバー ソフトウェアです。暗号化と選択的な機能拒否の形式を使用して、企業の電子メールMicrosoft Word文書、Web ページなどのドキュメントへのアクセスと、承認されたユーザーが実行できる操作を制限します。企業はこのテクノロジを使用して、このようなドキュメント形式で保存されている情報を暗号化し、ドキュメントに埋め込まれたポリシーを通じて、保護されたコンテンツが、特定の環境、特定の条件、特定の期間を除いて、指定された人またはグループによって復号化されるのを防ぐことができます。印刷、コピー、編集、転送、削除などの特定の操作は、コンテンツ作成者が個々のコンテンツに対して許可または禁止できます。また、RMS 管理者は、これらの権利をまとめて一括して適用できる定義済みの権利にグループ化する RMS テンプレートを展開できます

RMSはWindows Server 2003でデビューし、クライアントAPIライブラリはWindows 2000以降で利用可能になりました。Rights ManagementクライアントはWindows Vista以降に含まれており、 Windows XP、Windows 2000、またはWindows Server 2003で利用できます。 [ 1 ]さらに、Office for MacにはOS Xで権利保護を利用するためのAD RMSの実装があり、 AndroidBlackberry OSiOSWindows RTで権利保護を利用するためのサードパーティ製品もいくつかあります。[ 2 ] [ 3 ]

ポリシー施行機能に対する攻撃

2016年4月、RMS実装(Azure RMSを含む)に対する疑わしい攻撃が公開され、Microsoftに報告されました。[ 4 ] [ 5 ]公開されたコードでは、RMSで保護されたドキュメントの表示権限を付与された承認済みユーザーが、保護を解除してファイルのフォーマットを維持することができます。この種の操作を行うには、ユーザーにコンテンツを復号化する権限が付与されている必要があります。Rights Management Servicesは、承認されていないユーザーが保護されたコンテンツにアクセスできないようにするためのセキュリティ上の主張をしていますが、承認されたユーザーに対する異なる使用権限の区別は、ポリシー適用機能の一部とみなされています。Microsoftは、この機能は「ベストエフォート」で実装されていると主張しているため、セキュリティ上の問題ではなく、ポリシー適用の制限事項と見なしています。以前は、RMS SDKは、RMSと対話するアプリケーションをある程度制御するために、RMS機能を使用してコード署名を強制していましたが、Webサービスを直接使用してコンテンツを復号化するためのライセンスを取得するアプリケーションを作成する可能性があるため、このような動作を制限する能力が限られているため、この機能は後に削除されました。[ 6 ]

さらに、この同じ手法を用いることで、保護された文書を閲覧する権限を与えられたユーザーは、操作の痕跡を残さずに文書の内容を操作することができます。Azure RMSは否認防止ソリューションではなく、文書署名ソリューションとは異なり、改ざん防止機能の提供を主張していません。また、変更は文書への権限を与えられたユーザーのみが行うことができるため、Microsoftは後者の問題をRMSの主張する機能に対する実際の攻撃とは考えていません。[ 7 ] 研究者らは、結果を評価するための概念実証ツールをGitHub経由で提供しています。[ 8 ]

ソフトウェアサポート

RMS は次の製品でネイティブにサポートされています。

Secure Islands ( Microsoftが買収)、GigaTrust、Liquid Machines ( Check Pointが買収)などのサードパーティ ソリューションは、次のものに RMS サポートを追加できます。

参照

参考文献

  1. ^ Microsoft Windows Rights Management Services クライアント(Service Pack 2 適用)- x86
  2. ^ 「RMS Viewer | iPhone、iPad、Android、Blackberry向けのモバイル著作権管理」。2013年10月16日時点のオリジナルよりアーカイブ。 2013年10月14日閲覧
  3. ^ 「iOSデバイス向けGigaTrust – スマートモバイルデバイスのセキュリティを拡張」 。 2012年10月31日時点のオリジナルよりアーカイブ2013年10月14日閲覧。
  4. ^ Mainka, Christian; Grothe, Martin (2016年8月1日). 「Microsoft Rights Management Services の突破方法」 . Webセキュリティと非セキュリティについて. ボーフム大学ネットワーク・データセキュリティ委員長. 2016年8月4日閲覧.
  5. ^ Mainka, Christian; Grothe, Martin (2016年8月4日). 「Microsoft Rights Management Services の突破方法」 . WOOT '16 - 10 USENIX 攻撃技術ワークショップ. USENIX セキュリティシンポジウム. 2016年8月4日閲覧
  6. ^ 「Rights Management Manifest の作成」 . Microsoft Development Network . Microsoft . 2017年10月6日閲覧。
  7. ^ 「AD RMS FAQ」 . MicrosoftDocs . Microsoft. 2013年7月29日. 2017年10月6日閲覧
  8. ^ Mainka, Christian; Grothe, Martin (2016年7月7日). 「MS-RMS-Attacks」 . MS-RMS-Attacks . GitHub . 2016年8月4日閲覧
  9. ^Office 2013でInformation Rights Managementを計画する」TechNet 2015年11月24日閲覧
  10. ^ a b「Secure Islands - Home」 2013年2月2日時点のオリジナルよりアーカイブ。 2010年7月13日閲覧
  11. ^ 「Secure Islands - SharePointの分類と保護」2013年2月16日時点のオリジナルよりアーカイブ2013年1月31日閲覧。
  12. ^ a b c「GigaTrust、Microsoft® Office SharePoint Server 2007 (MOSS 2007)向けAdobe® Rights-Management Protectorの提供開始を発表」 。 2008年5月17日時点のオリジナルよりアーカイブ。 2009年2月18日閲覧
  13. ^ 「Secure Islands - IQProtector for Files」 2013年2月16日時点のオリジナルよりアーカイブ。 2013年1月31日閲覧
  14. ^ 「GigaTrust が包括的なレポート、監査、コンプライアンス機能を備えた Adob​​e 向けの新しい RMS デスクトップ PDF クライアントを発表」 (プレスリリース)。
  15. ^ 「PDF エディターのダウンロード - 無料でオンラインでファイルを編集」