Active Directory 権限管理サービス

Active Directory Rights Management サービス( AD RMS、Windows Server 2008より前はRights Management サービスまたはRMSと呼ばれていました) は、Windows Serverに付属の情報権限管理用のサーバーソフトウェアです。暗号化と選択的な機能拒否の形式を使用して、企業の電子メール、Microsoft Word文書、Web ページなどのドキュメントへのアクセスと、承認されたユーザーが実行できる操作を制限します。企業はこのテクノロジを使用して、このようなドキュメント形式で保存されている情報を暗号化し、ドキュメントに埋め込まれたポリシーを通じて、保護されたコンテンツが、特定の環境、特定の条件、特定の期間を除いて、指定された人またはグループによって復号化されるのを防ぐことができます。印刷、コピー、編集、転送、削除などの特定の操作は、コンテンツ作成者が個々のコンテンツに対して許可または禁止できます。また、RMS 管理者は、これらの権利をまとめて一括して適用できる定義済みの権利にグループ化する RMS テンプレートを展開できます。

RMSはWindows Server 2003でデビューし、クライアントAPIライブラリはWindows 2000以降で利用可能になりました。Rights ManagementクライアントはWindows Vista以降に含まれており、 Windows XP、Windows 2000、またはWindows Server 2003で利用できます。 ^{[ 1 ]}さらに、Office for MacにはOS Xで権利保護を利用するためのAD RMSの実装があり、 Android、Blackberry OS、iOS、Windows RTで権利保護を利用するためのサードパーティ製品もいくつかあります。^{[ 2 ]}^{[ 3 ]}

ポリシー施行機能に対する攻撃

2016年4月、RMS実装（Azure RMSを含む）に対する疑わしい攻撃が公開され、Microsoftに報告されました。^{[ 4 ]}^{[ 5 ]}公開されたコードでは、RMSで保護されたドキュメントの表示権限を付与された承認済みユーザーが、保護を解除してファイルのフォーマットを維持することができます。この種の操作を行うには、ユーザーにコンテンツを復号化する権限が付与されている必要があります。Rights Management Servicesは、承認されていないユーザーが保護されたコンテンツにアクセスできないようにするためのセキュリティ上の主張をしていますが、承認されたユーザーに対する異なる使用権限の区別は、ポリシー適用機能の一部とみなされています。Microsoftは、この機能は「ベストエフォート」で実装されていると主張しているため、セキュリティ上の問題ではなく、ポリシー適用の制限事項と見なしています。以前は、RMS SDKは、RMSと対話するアプリケーションをある程度制御するために、RMS機能を使用してコード署名を強制していましたが、Webサービスを直接使用してコンテンツを復号化するためのライセンスを取得するアプリケーションを作成する可能性があるため、このような動作を制限する能力が限られているため、この機能は後に削除されました。^{[ 6 ]}

さらに、この同じ手法を用いることで、保護された文書を閲覧する権限を与えられたユーザーは、操作の痕跡を残さずに文書の内容を操作することができます。Azure RMSは否認防止ソリューションではなく、文書署名ソリューションとは異なり、改ざん防止機能の提供を主張していません。また、変更は文書への権限を与えられたユーザーのみが行うことができるため、Microsoftは後者の問題をRMSの主張する機能に対する実際の攻撃とは考えていません。^{[ 7 ]} 研究者らは、結果を評価するための概念実証ツールをGitHub経由で提供しています。^{[ 8 ]}

ソフトウェアサポート

RMS は次の製品でネイティブにサポートされています。

Microsoft Office 2003以降：Word、Excel、PowerPoint、Outlook、InfoPath ^{[ 9 ]}
Microsoft Office for Mac 2011以降: Word、Excel、PowerPoint、Outlook
SharePoint 2007以降
Exchange Server 2007以降
XML ペーパー仕様(XPS)

Secure Islands ( Microsoftが買収)、GigaTrust、Liquid Machines ( Check Pointが買収)などのサードパーティソリューションは、次のものに RMS サポートを追加できます。

シェアポイント2003 ^{[ 10 ]}^{[ 11 ]}^{[ 12 ]}
マイクロソフトVisio
マイクロソフトプロジェクト^{[ 10 ]}^{[ 12 ]}
アドビアクロバット^{[ 13 ]}^{[ 14 ]}^{[ 12 ]}^{[ 15 ]}
インターネットエクスプローラー
IIS 6.0

参照

Microsoft サーバー

参考文献

^ Microsoft Windows Rights Management Services クライアント（Service Pack 2 適用）- x86
^ 「RMS Viewer | iPhone、iPad、Android、Blackberry向けのモバイル著作権管理」。2013年10月16日時点のオリジナルよりアーカイブ。 2013年10月14日閲覧。
^ 「iOSデバイス向けGigaTrust – スマートモバイルデバイスのセキュリティを拡張」。 2012年10月31日時点のオリジナルよりアーカイブ。2013年10月14日閲覧。
^ Mainka, Christian; Grothe, Martin (2016年8月1日). 「Microsoft Rights Management Services の突破方法」 . Webセキュリティと非セキュリティについて. ボーフム大学ネットワーク・データセキュリティ委員長. 2016年8月4日閲覧.
^ Mainka, Christian; Grothe, Martin (2016年8月4日). 「Microsoft Rights Management Services の突破方法」 . WOOT '16 - 10 USENIX 攻撃技術ワークショップ. USENIX セキュリティシンポジウム. 2016年8月4日閲覧。
^ 「Rights Management Manifest の作成」 . Microsoft Development Network . Microsoft . 2017年10月6日閲覧。
^ 「AD RMS FAQ」 . MicrosoftDocs . Microsoft. 2013年7月29日. 2017年10月6日閲覧。
^ Mainka, Christian; Grothe, Martin (2016年7月7日). 「MS-RMS-Attacks」 . MS-RMS-Attacks . GitHub . 2016年8月4日閲覧。
^「Office 2013でInformation Rights Managementを計画する」TechNet 2015年11月24日閲覧。
^ ^a ^b「Secure Islands - Home」 2013年2月2日時点のオリジナルよりアーカイブ。 2010年7月13日閲覧。
^ 「Secure Islands - SharePointの分類と保護」。2013年2月16日時点のオリジナルよりアーカイブ。2013年1月31日閲覧。
^ ^a ^b ^c「GigaTrust、Microsoft® Office SharePoint Server 2007 (MOSS 2007)向けAdobe® Rights-Management Protectorの提供開始を発表」。 2008年5月17日時点のオリジナルよりアーカイブ。 2009年2月18日閲覧。
^ 「Secure Islands - IQProtector for Files」 2013年2月16日時点のオリジナルよりアーカイブ。 2013年1月31日閲覧。
^ 「GigaTrust が包括的なレポート、監査、コンプライアンス機能を備えた Adobe 向けの新しい RMS デスクトップ PDF クライアントを発表」 (プレスリリース)。
^ 「PDF エディターのダウンロード - 無料でオンラインでファイルを編集」。

外部リンク

[1] Microsoft Windows Rights Management Services クライアント（Service Pack 2 適用）- x86

[2] 「RMS Viewer | iPhone、iPad、Android、Blackberry向けのモバイル著作権管理」。2013年10月16日時点のオリジナルよりアーカイブ。 2013年10月14日閲覧。

[3] 「iOSデバイス向けGigaTrust – スマートモバイルデバイスのセキュリティを拡張」。 2012年10月31日時点のオリジナルよりアーカイブ。2013年10月14日閲覧。

[4] Mainka, Christian; Grothe, Martin (2016年8月1日). 「Microsoft Rights Management Services の突破方法」 . Webセキュリティと非セキュリティについて. ボーフム大学ネットワーク・データセキュリティ委員長. 2016年8月4日閲覧.

[5] Mainka, Christian; Grothe, Martin (2016年8月4日). 「Microsoft Rights Management Services の突破方法」 . WOOT '16 - 10 USENIX 攻撃技術ワークショップ. USENIX セキュリティシンポジウム. 2016年8月4日閲覧。

[6] 「Rights Management Manifest の作成」 . Microsoft Development Network . Microsoft . 2017年10月6日閲覧。

[7] 「AD RMS FAQ」 . MicrosoftDocs . Microsoft. 2013年7月29日. 2017年10月6日閲覧。

[8] Mainka, Christian; Grothe, Martin (2016年7月7日). 「MS-RMS-Attacks」 . MS-RMS-Attacks . GitHub . 2016年8月4日閲覧。

[9] 「Office 2013でInformation Rights Managementを計画する」TechNet 2015年11月24日閲覧。

[Archived_copy-10] 「Secure Islands - Home」 2013年2月2日時点のオリジナルよりアーカイブ。 2010年7月13日閲覧。

[11] 「Secure Islands - SharePointの分類と保護」。2013年2月16日時点のオリジナルよりアーカイブ。2013年1月31日閲覧。

[i-sis-12] 「GigaTrust、Microsoft® Office SharePoint Server 2007 (MOSS 2007)向けAdobe® Rights-Management Protectorの提供開始を発表」。 2008年5月17日時点のオリジナルよりアーカイブ。 2009年2月18日閲覧。

[13] 「Secure Islands - IQProtector for Files」 2013年2月16日時点のオリジナルよりアーカイブ。 2013年1月31日閲覧。

[14] 「GigaTrust が包括的なレポート、監査、コンプライアンス機能を備えた Adobe 向けの新しい RMS デスクトップ PDF クライアントを発表」 (プレスリリース)。

[15] 「PDF エディターのダウンロード - 無料でオンラインでファイルを編集」。

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]