秘密度ラベルを利用してファイルやメールにラベルを設定しましょう、ファイルやメールを暗号化しましょうって話、前回「秘密度ラベルとは?を知ろう」という投稿で紹介をしました。
Microsoft Purviewというブランドの中にデータセキュリティ、ガバナンス、コンプライアンスがあり、秘密度ラベルの暗号化はデータセキュリティのテクノロジーであること、
そして秘密度ラベルとはコンテンツに対するラベリング機能で、ラベル自体に暗号化機能があるわけではなく、ラベルを選択するときのオプションとしてMicrosoft Purview Information Protectionというオプションが選択できるんだ、という話をしました。
そしてこれも前回話したことですが、「暗号化の仕組みなんか世の中いっぱいあるのにどうして必要なの?」と言われれば、
パスワードで暗号化を管理するテクノロジーではなく
Microsoft Entra IDの認証機能を使うから
というのが特徴でした。
今日はそのアーキテクチャというか仕組みについて少し深堀してみたいと思います。
Microsoft Purview Information Protection の暗号化の仕組み
Microsoft Purview Information Protection (MIP) はざっくり言うと、ご覧のような暗号化の仕組みで動作します。これを順番に見ていきましょう。
暗号化とアクセス権限設定
MIPではファイルやメールなどを対象にコンテンツの暗号化を設定する際、OfficeアプリケーションやAdobe Acrobatなどを使います。これらのアプリケーションからコンテンツが暗号化されると、暗号化に使われたカギはMIPのクラウドサービスにアクセス権設定と共に保存されます。
暗号化されたコンテンツへのアクセス
MIPで暗号化されたコンテンツへアクセスする場合、カギが必要になるのでクラウドへ取りに行きます。このとき誰でも取りに行けるのではなく、Microsoft Entra IDで認証を行い、認証を行ったユーザーがアクセス権のあるユーザーであるかを確認します。
参考までに.. ですが、条件付きアクセスを利用してMIPのアクセス制御ができます。
これはEntra IDで認証を済ませた後、MIPにカギを取りに行こうとするタイミングでアクセス制御がかかります。ですので条件付きアクセスを組み合わせれば「誰がコンテンツにアクセスするか?」だけでなく、IPアドレスだったり、アクセスするデバイスだったりを条件にアクセス制御することだってできるのです。
これについてはanbutterさんのブログに詳しく書かれているので参考にしていただけると良いと思います。
暗号化解除のためのカギの送付
アクセス権があることが確認できると暗号化解除のためのカギがMIPクラウドから送られてきます。この時に他の暗号化の仕組みと決定的に異なるのは人によって異なる暗号化解除のカギが送られてくる点です。MIPはアクセス権がある/ないだけを判断する仕組みではなく、閲覧・編集・フルアクセスなどの細かなアクセス制御ができるようになっているので
与えられた権限に応じて与えられるカギも違ってくるのです。ここが暗号化を解除したら、なんでもできちゃう暗号化機能とは異なる最大のポイントなんですね。
■ ■ ■
今日はMicrosoft Purview Information Protectionを利用して暗号化/暗号化解除するときの仕組みについて見てみました。
秘密度ラベルの中でもMIPを利用したときに暗号化の仕組みは作動すること、
アクセス制御にはMIPのクラウドを利用し、その認証にはEntra IDを使っていること
そしてアクセス権であらかじめ定められた範囲でアクセスできるようなカギが与えられることを解説しました。
