Active Directory Rights Management Services

Active Directory Rights Management Services(アクティブ・ディレクトリ・ライツ・マネジメント・サービス、AD RMS)は、Windows Serverの機能であるInformation Rights Management (IRM)を利用するためのサーバソフトウェアである。Windows Server 2008以前はRights Management Services (RMS)と呼ばれていた。

概要

AD RMSにより実現されるIRMでは、情報の暗号化や選択的機能拒否機能を使うことができ、企業の電子メールMicrosoft Word文書、 ウェブページなどの文書へのアクセスを制限し、許可されたユーザーのみが閲覧、編集することができるようにする。企業はこのテクノロジーを使用して、このようなドキュメント形式で保存された情報を暗号化し、ドキュメントに埋め込まれたポリシーを通じて、特定の人やグループ以外、特定の環境、特定の条件下、特定の期間、保護されたコンテンツが復号されるのを防ぐことができる 。IRMには、印刷、コピー、編集、転送、削除のような操作について、特定のコンテンツに対する可否をコンテンツ作成者が指定する機能や、およびRMS管理者がこれらの特定の操作をグループ化して事前定義されたRMSテンプレートとして一斉適用できる機能がある。

RMSはWindows Server 2003で新規に実装され、クライアントAPIライブラリがWindows 2000以降で利用できるようになった。 Rights Management ClientはWindows Vista以降に同梱され、Windows XP、Windows 2000、Windows Server 2003でも後日利用できるようになった[1]。また、AD RMSはOffice for Macでも実装され、Mac OS X上でIRMが利用できる。また、AndroidBlackberry OSiOSWindows RT上でIRMを利用するためのサードパーティの製品が存在する[2][3]

ポリシー強制機能に対する攻撃

2016年4月、RMS実装(Azure RMSを含む)に対する攻撃の疑いが公開され、 マイクロソフトに報告された[4][5]。 公開されたコードにより、RMSで保護されたドキュメントを表示する権限が付与された許可ユーザーは、保護を削除してファイル形式を保持することができた。この場合は、コンテンツを表示できるように、コンテンツを復号する権限がユーザーに付与されている必要がある。 Rights Management Servicesは、権限のないユーザーが保護されたコンテンツにアクセスできないように特定のセキュリティアサーションを作成するが、権限を取得したユーザーに異なる権限内容を与えるかは、マイクロソフトが「ベストエフォート」として実装されていると主張するポリシー強制機能の一部と見なされる。マイクロソフトでは、セキュリティの問題ではなく、ポリシー強制に関する制限と見なしている。以前は、RMS SDKは、アプリケーションがRMSと対話するレベルをある程度限定するために、RMS機能を使用してコードの署名を強制していたが、この機能は後で削除された。これは、攻撃者がコンテンツを復号するライセンスをウェブサービスから直接取得するアプリケーションを作成する可能性があり、RMSと対話するレベル限定する機能がバイパスされるためである[6]

さらに、これと同じ手法を使用して、保護されたドキュメントを表示する権限を付与されたユーザーは、操作の痕跡を残さずにドキュメントのコンテンツを変更することができる。 Azure RMSは否認防止ソリューションではなく、ドキュメント署名ソリューションとは異なり、改ざん防止機能を提供するとはマイクロソフトは主張していない。また、変更はドキュメントへの権限を付与されたユーザーのみが行えるため、マイクロソフトは後者の問題は、RMSの機能に対する攻撃であるとは見なしていない[7]。 研究者は、GitHubを介して、結果の評価を可能にする概念実証ツールを提供している[8]

ソフトウェアでの対応状況

RMSは、次の製品がネイティブにサポートする。

Secure Islands (マイクロソフトが買収)、GigaTrust、Liquid Machines (Check Pointが買収) などのサードパーティソリューションは、RMS機能を以下の製品に追加する。

関連項目

脚注

  1. ^ Microsoft Windows Rights Management Services Client with Service Pack 2 - x86
  2. ^ http://www.rmsviewer.com/
  3. ^ Archived copy”. 2012年10月31日時点のオリジナルよりアーカイブ。2013年10月14日閲覧。
  4. ^ Mainka (2016年8月1日). “How to Break Microsoft Rights Management Services”. On Web-Security and -Insecurity. Network and Data Security Chair Ruhr-University Bochum. 2016年8月4日閲覧。
  5. ^ Mainka (2016年8月4日). “How to Break Microsoft Rights Management Services”. WOOT '16 - 10 USENIX Workshop on Offensive Technologies. USENIX Security Symposium. 2016年8月4日閲覧。
  6. ^ Creating a Rights Management Manifest”. Microsoft Development Network. Microsoft. 2017年10月6日閲覧。
  7. ^ AD RMS FAQ”. MicrosoftDocs. Microsoft. 2017年10月6日閲覧。
  8. ^ Mainka (2016年7月7日). “MS-RMS-Attacks”. MS-RMS-Attacks. GitHub. 2016年8月4日閲覧。
  9. ^ Plan Information Rights Management in Office 2013”. TechNet. 2015年11月24日閲覧。
  10. ^ a b Secure Islands”. 2013年2月2日時点のオリジナルよりアーカイブ。2010年7月13日閲覧。
  11. ^ SHAREPOINT CLASSIFICATION AND PROTECTION”. 2013年2月16日時点のオリジナルよりアーカイブ。2013年1月31日閲覧。
  12. ^ GigaTrust Announces Availability of Adobe® Rights-Management Protector for Microsoft® Office SharePoint Server 2007 (MOSS 2007)”. 2008年5月17日時点のオリジナルよりアーカイブ。2009年2月18日閲覧。
  13. ^ IQPROTECTOR FILE PROTECTION”. 2013年2月16日時点のオリジナルよりアーカイブ。2013年1月31日閲覧。
  14. ^ http://www.prnewswire.com/news-releases/gigatrust-launches-new-rms-desktop-pdf-client-for-adobe-with-comprehensive-reporting-auditing-and-compliance-capability-277422531.html
  15. ^ http://www.foxitsoftware.com/products/rms/

外部リンク