information rights management...

Microsoft® Office System

Information Rights Management 技術ドキュメント

Information Rights Management 技術ドキュメント4

1 はじめに ………………………………………………………………………………………………………………6

デジタルコンテンツ管理の現状…………………………………………………………………………………………6

Rights Management の必要性 ………………………………………………………………………………………6

このドキュメントの位置づけ ……………………………………………………………………………………………7

2 RM について …………………………………………………………………………………………………………8

用語の定義 …………………………………………………………………………………………………………………8

Rights Management の変遷 …………………………………………………………………………………………8

Rights Management の特徴 …………………………………………………………………………………………9

永続的に権限を付与 ……………………………………………………………………………………………………………9

細かな権限 ………………………………………………………………………………………………………………………9

最新の暗号化技術と公開キー基盤技術の利用 ………………………………………………………………………………9

簡単な操作 ………………………………………………………………………………………………………………………9

複数の認証をサポート …………………………………………………………………………………………………………9

Rights Management が動作するレイヤ …………………………………………………………………………10

ACL との違い……………………………………………………………………………………………………………10

S/MIME との違い………………………………………………………………………………………………………11

暗号化ファイルシステム（EFS）との違い…………………………………………………………………………11

Office Professional Edition 2003 における RM の使用例 …………………………………………………12

例 1 電子メール転送 ………………………………………………………………………………………………………12

例 2 ドキュメントの利用範囲限定 ………………………………………………………………………………………12

例 3 ドキュメントの利用時間限定 ………………………………………………………………………………………12

例 4 ドキュメントの印刷を制限してコスト削減 ………………………………………………………………………12

3 Rights Management のコンポーネント …………………………………………………………………13

4 つのコンポーネント …………………………………………………………………………………………………13

RM クライアントソフトウェア ……………………………………………………………………………………………13

RM 対応アプリケーション……………………………………………………………………………………………………13

RMS ……………………………………………………………………………………………………………………………14

SDK ……………………………………………………………………………………………………………………………15

RM で設定できる権限の紹介 …………………………………………………………………………………………16

RM のプロセス …………………………………………………………………………………………………………23

4 実装方法 ……………………………………………………………………………………………………………26

必要なシステム環境 ……………………………………………………………………………………………………26

デモシステムで使用するシステム環境………………………………………………………………………………27

実装手順 …………………………………………………………………………………………………………………29

RMS の実装 ……………………………………………………………………………………………………………………29

RMS のインストール手順（RMS サーバーコンピュータ）……………………………………………………………29

RMS の提供（RMS サーバーコンピュータ）……………………………………………………………………………32

RMS 管理の概要 ………………………………………………………………………………………………………36

権利ポリシーテンプレートファイル保存場所の指定（RMS サーバーコンピュータ） ……………………………37

RMS での権利ポリシーテンプレート作成（RMS サーバーコンピュータ）…………………………………………39

RM クライアントの実装………………………………………………………………………………………………………43

目　次

Information Rights Management 技術ドキュメント 5

RM クライアントソフトウェアのダウンロード …………………………………………………………………………43

RM クライアントソフトウェアのインストール（RM クライアントコンピュータ） ………………………………44

テンプレートファイルを読み込むためのクライアント設定（RM クライアントコンピュータ）……………………47

IRM でのドキュメントに対する権限設定（RM クライアントコンピュータ）…………………………………………48

IRM でのドキュメントに対する権限確認 …………………………………………………………………………………50

IRM での電子メールに対する権限設定（RM クライアントコンピュータ）……………………………………………51

IRM での電子メールに対する権限確認 ……………………………………………………………………………………52

Office 2003 Editions がインストールされていないコンピュータでの権限確認 …………………………………54

RMA のインストール …………………………………………………………………………………………………………54

RMA によるアクセス許可の確認 ……………………………………………………………………………………………57

付録 A 関連情報 ………………………………………………………………………………………………………59

ダウンロードサイト …………………………………………………………………………………………………………59

Web サイト ……………………………………………………………………………………………………………………59

ホワイトペーパー ……………………………………………………………………………………………………………59

本ドキュメントに関連する｢Microsoft Office System Technical Readiness Sample

Software」は以下のマイクロソフトホームページからダウンロード可能です：

http://www.microsoft.com/japan/office/business/

はじめに


はじめに

デジタルコンテンツ管理の現状

機密情報の漏洩は企業に深刻なダメージを引き起こします。これまでにも既に多くの被害が報告され、その件数は増加の

一途をたどるばかりです。原因のひとつには機密情報がデジタル情報として扱われていることにあります。現在では企業

で扱われる機密情報のほとんどがデジタルのコンテンツとして保存されていますが、これらのコンテンツは印刷された状

態で管理された情報と内容は何も変わらないにも関わらず、その扱いの手軽さから機密情報である認識が希薄になること

があります。また、例えばメールでの誤操作等により、機密情報が一瞬のうちに、本来意図しない広範囲の人間に渡って

しまう危険性もあります。

Rights Management の必要性

これまでにも、ネットワークアクセスに対してはファイアウォールを使用することで制限したり、ファイルへの直接ア

クセスに対してはアクセスコントロールリスト（ACL）を使用して情報を保護してきました。しかし、これらの方法は

最初から不正な人物によるアクセスを制御するものであり、アクセスを許可されている人物がそのファイルを開いた後の、

ファイルの取り扱いまで制御することはできませんでした。そのため、社員が取得した機密情報を不正に外部の人物に譲

渡、または機密情報であるという認識がないままに外部の人物に譲渡することで情報の流出が起きる可能性がありました。

これはメールに関しても同様です。メールには ACL が設定できないため、S/MIME を用いることで内容の保護や、適

切な人物であることを確認してから内容を参照できるような方法を実現してきました。しかし、この方法も ACL と同じ

くメールを受信した人物の、その後の挙動まで制御することはできません。そのため、受信したメールを機密情報である

にも関わらず、印刷して外部へ持ち出す、第三者にメールを転送するなど、悪意の有無は関係なくメールを通して情報が

流出する可能性がありました。

Rights Management（RM）ではこれまでのセキュリティ機構とは異なる仕組みで以上のような問題を解決します。

RM は組織内に存在する機密情報を制御するためのメカニズムで、ファイルに対してアクセス権限に関する情報を永続的

に付加することでファイルレベルによる強力なデータ保護を実現します。これにより、既にアクセス許可を持ったユー

ザーが意識的または無意識に情報を漏洩させてしまうことを防止できるようになります。また、RMはメールに対しても

同様のアクセス権限に関する情報を付加することができるので、メールを開いたユーザーがその内容を漏洩させてしまう

ことを防止できます。

RM はファイルまたはメール自体にアクセス権限に関する情報を付加することで、ファイル、メール受信者の挙動を制御

できるため、ファイアウォールの内側か外側か、アクセス許可のあるユーザーがコンテンツを開く前か後かを問わず、い

つでも、どこでもデジタル情報を保護することができるようになります。

はじめに


このドキュメントの位置づけ

このドキュメントでは RM の基本的な利用法から実装を中心に記載しています。次の要望がある場合には以下を参照し

てください。

RM の概要を知るにはOffice 2003 Editions リソースキット Information Rights Management の概要

http://www.microsoft.com/japan/office/ork/2003/six/ch20/ColA01.htm

RM の導入例を知るには企業向けの Microsoft Windows® Rights Management ソリューション : デジタル情報に関する永続的なポリシーの

記述と適用

http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/rm.mspx

RMS に関する技術詳細を知るにはWindows Rights Management サービス（RMS）ヘルプ

http://www.microsoft.com/downloads/details.aspx?familyid=be7fae0c-2db2-4f7f-8aa1-416fe1b04fb1&display-

lang=ja

RM クライアント用のソフトウェアを作成する場合Windows Rights Management クライアントソフトウェア開発キット（SDK）

http://www.microsoft.com/downloads/details.aspx?FamilyId=863DADCE-D648-4D50-9392-B4FACA34A0A8&dis-

playlang=en

RMS による権限付与をカスタマイズする場合Windows Rights Management Services（RMS）ソフトウェア開発キット（SDK）

http://www.microsoft.com/downloads/details.aspx?FamilyId=2DFCAFB9-3E7B-4F70-B6D3-AECC965CD598&dis-

playlang=en

ＲＭについて


RM について

用語の定義

Windows Rights Management（RM）機密情報の保護に役立つ、Windowsプラットフォームにおける拡張可能な情

報保護技術の総称です。

Information Rights Management（IRM）IRM は Microsoft Office Professional Edition 2003 アプリケーショ

ンと Internet Explorer®（無償のアドオンを使用）向けに提供された、クライアント側の RM 機能です。

Rights Management Services（RMS）Windows Server® 2003 の拡張機能で、RM のサーバーコンポーネントです。

Digital Rights Management（DRM）Windows Media® コンテンツの保護を目的とした機能で、著作権管理に使わ

れてきました。

Rights Management の変遷

デジタルコンテンツの保護を目的とした技術は今回の提供が初めてではなく、これまでにも DRM という機能として提

供されてきました。DRM では Windows Media に限定してコンテンツの保護を行ってきましたが、パートナーやサプ

ライヤなどとの企業間のシステム統合が進むにつれ、多くの種類のデジタルコンテンツ保護に対する要望が高まってき

ました。こうしたニーズに応えるために、IRM や RMS では、全般的なドキュメントファイルに対しての情報の保護を

実現しています。

図 1 Rights Management テクノロジの変遷

ＲＭについて


Rights Management の特徴

Windows Server 2003 に搭載して利用する RMS は、RM クライアントソフトウェアを搭載したクライアント側の

RM 対応アプリケーションと連携して、RM 技術を実現します（各コンポーネントの詳細は後述）。これにより、クライ

アントアプリケーションでドキュメントや電子メールの作成と同時に権限を付与することができます。

■永続的に権限を付与

ドキュメントに対して設定された権限はアクセス管理情報を格納する業界標準の形式である XrML 形式を使ってファイ

ル自体に格納されます。ファイル作成者から受け取ったドキュメントを開く場合、その内容を確認するために RMS で認

証を行い、その結果に基づいて利用範囲が決定されます。つまり、ドキュメントをどの場所から開く場合でも認証を済ま

せてからでないと利用できないので、ドキュメントを開く場所を問わず永続的に権限が付与されることになります。

■細かな権限

ドキュメントに含まれる情報はどのような方法で漏洩するかわかりません。単純にファイルを開く方法を制限しただけで

は他の方法によって全部または一部の情報が持ち出される可能性があります。そのため、権限の設定にはドキュメントに

アクセスできるユーザーを制限するだけではなく、印刷、コピー（スクリーンショットも含む）、転送など、使用方法を

細かく制限することで情報漏洩の可能性を徹底して排除します。

■最新の暗号化技術と公開キー基盤技術の利用

権限が設定されたドキュメントは認証をバイパスして閲覧や編集されることを防ぐために、保存されている間は最新の暗

号化技術である AES を利用して暗号化されます。権限のあるユーザーがドキュメントを開くときにはじめて復号化され

て、権限のある操作が行えるようになります。また、ユーザーの認証には公開キー基盤（PKI）に基づいた証明書を利用

して行います。なりすましを防いで安全なユーザー認証を実現し、なりすましの可能性がある場合には証明書を失効する

ことで不正アクセスを未然に防止します。

■簡単な操作

IRM を利用して権限の設定を行う場合、RM 対応アプリケーションのメニューから権限の設定を行います。Office

2003 Editions の場合、他の操作と同じような感覚で、権限の設定を行うことが可能です。

しかしユーザーに権限設定を行わせるには「権限」という概念についての理解が必要になります。その概念を正しく理解

し、その上で権限設定を行ってもらうにはユーザーに対する負担が大きいと考えるセキュリティ管理者もいることでしょう。

RMS ではあらかじめ、ユーザーに対して与える権限の設定を権利ポリシーテンプレートとして作成しておくことができ

ます。作成した権利ポリシーテンプレートは各ユーザーの RM 設定メニューに表示されるため、より簡単な操作で権限

の実装が実現できます。また権利ポリシーテンプレートは組織内で統一されたセキュリティ権限を与えたいときにも役

立ちます。

■複数の認証をサポート

RM では認証方法として Active Directory と Passport を利用できます。Active Directory を利用する場合は RMS

が必要になりますが、Active Directory が利用できない環境やインターネット上での利用に関しては RMS を使わない

Passport 認証を活用することができます（ただし Passport 認証は試用版のサービスとして提供されるため、本格的

な利用には適していません）。


Rights Management が動作するレイヤ

RM はアプリケーションの機能として実装されます。つまり、OSI 階層でのアプリケーション層に相当する部分でアク

セスできるユーザーのフィルタ、ファイルの暗号化、認証を提供することになるため、他の階層で提供するさまざまな

サービスをまとめてアプリケーション層で提供することができます。また、他の階層に影響を及ぼすことがないため、他

の階層で利用されるセキュリティ技術と組み合わせて利用することが可能です。

ACL との違い

RM と比較される技術として ACL がありますが、RM と ACL は根本的に異なる技術です。ACL と RM はアクセス許

可を設定するという点においてはどちらも同様の機能を有していますが、ACL は設定したアクセス許可が組織の範囲内

で適用されるのに対して、RM は場所を問わず適用されます。

ACL はコンピュータにその設定を格納するため、組織内であってもファイルを他のコンピュータにコピーすることに

よって管理者が設定したアクセス許可とは異なるアクセス許可が割り当てられる可能性があります。一方、RM は XrML

形式のファイルに権限設定を記述し、ファイルのヘッダーに格納するため、ファイルをコピーしても権限設定が付与され

た状態でコピーされます。

このように ACL と RM は提供するサービス範囲が異なるため、一般的なアクセス許可の制御には ACL、アクセス権の

あるユーザーに対する挙動の制御には RM、と組み合わせて利用することもできます。

図 2 RM が設定されたファイルの構造

ＲＭについて

ＲＭについて


S/MIME との違い

電子メールの場合、メールを参照するユーザーを限定する方法として S/MIME など PKI の技術を利用した認証が利用

されています。この方法による認証の場合、送信者が意図した受信者だけが、メールの内容を確認できるようにすること

が可能です。しかし、これらはメールの内容を開くまでのセキュリティ機能であるため、メールを開いた後で他のユー

ザーにメールが転送される可能性がありました。一方、RM はドキュメントと同様に権限が記述された XrML をメール

のヘッダーに格納します。

この二つの技術は決して相反するものではなく、両者の技術は併用することにより、より広範囲なセキュリティを組織に

実装できるようになります。

暗号化ファイルシステム (EFS) との違い

Windows 2000、 Windows XP、 Windows Server 2003 で利用できる EFS はファイル自体の暗号化を行い、特

定のユーザーだけがファイルを復号化できる機能です。NTFS ボリューム上にあるファイル自体を暗号化するため、他

の OS からファイルを開いたり、ファイル自体をコピーしたりしても暗号化属性が消えることはありません。

しかし、ユーザーが既に復号化したファイルに対しては保護する手段を持ちません。一方、RMは権限が設定された

XrML をファイルのヘッダーに持ちますので、常にその内容に基づいた権限が与えられます。

ＲＭについて


Office Professional Edition 2003 における RM の使用例

■例 1 電子メール転送

エムエスキューブ社 IT ソリューション部のマネージャは顧客からの問い合わせに対応するために調査対応者に問い合わ

せ内容を送信します。問い合わせ内容には個人情報などが含まれるため、Microsoft® Outlook® 2003 を利用して RM

を有効にします。権限の設定では、機密保持に関するポリシーに従って、電子メール自体が転送できないよう指定します。

IT マネージャはそのメールに含まれる重要な情報が調査対応者以外の人物に読まれることがないことが保証され、顧客

からの問い合わせの対応中に起こりうる情報漏洩の懸念が緩和されます。

■例 2 ドキュメントの利用範囲限定

エムエスキューブ社 IT ソリューション部の社員は会議での承認に基づいて作成した提案書や見積書を共有ドキュメント

ライブラリに保存します。

提案書は IT ソリューション部の社員が今後、同様の提案を行う際の参考に利用し、場合によってはその提案書をもとに

新たな提案書を作成します。そのため、提案書には IT ソリューション部の社員だけが閲覧と編集ができるようにします。

見積書は IT ソリューション部の社員が今後、同様の見積もりを行う際の参考に利用します。そのため、見積書には IT

ソリューション部の社員だけが閲覧できるようにします。

■例 3 ドキュメントの利用時間限定

エムエスキューブ社 IT ソリューション部の社員が利用する提案書の中には期間限定のキャンペーンに関する内容が含ま

れている場合があります。そのような提案書に関しては RM を有効にして閲覧期間を設定します。キャンペーン終了後

には閲覧できないようにすることで、社員が終了したキャンペーン内容をもとに新たな提案書を誤って作成してしまう可

能性をなくすことができます。

■例 4 ドキュメントの印刷を制限してコスト削減

IT ソリューション部の社員が使用する共有ドキュメントライブラリの見積書を閲覧のみに設定するのは情報漏洩の問題

を解決できるばかりではありません。閲覧のみにすることで印刷が制限されますので、印刷量が減り、コストを削減する

ことができます。

ただし、ドキュメントを作成した本人は権限に関係なくファイルアクセスできるので、顧客に提出する見積書を印刷す

ることは可能です。

ＲＭのコンポーネント


RM のコンポーネント

4 つのコンポーネント

Windows Rights Management テクノロジは XML をベースとした権限記述用言語である XrML を基盤として動作し

ます。権限を設定するクライアント、権限が設定されたドキュメントを参照するクライアント、認証を担当するサーバー

それぞれで、XrML を利用するためのコンポーネントが動作しています。RM には次の4 つのコンポーネントがあります。

●Rights Management（RM）クライアントソフトウェア　

●Rights Management（RM）対応アプリケーション

●Windows Rights Management Services（RMS）

● Software Development Kit（SDK）

■RM クライアントソフトウェア

Microsoft ダウンロードセンターからダウンロードして利用できる RM クライアントソフトウェアは Rights

Management API を提供することで、クライアントコンピュータ上での RM の利用を実現します。そのため、RM を

利用するすべてのクライアントコンピュータにインストールする必要があります。このソフトウェアは Windows 98

Second Edition 以降のオペレーティングシステムがインストールされたコンピュータで動作します。

RM クライアントソフトウェアのインストールはクライアントコンピュータごとにインストールする方法のほか、グルー

プポリシーや Microsoft Systems Management Server 2.0（SMS）を利用して配布することができます。

■RM 対応アプリケーション

RM 対応アプリケーションは RM クライアントソフトウェアと連携して RM の機能を実際に提供するアプリケーション

です。現在、Microsoft Office 2003 Editions（Word 2003、Excel 2003、PowerPoint® 2003、Outlook

2003）が最初の RM 対応アプリケーションとして提供されています。Office 2003 Editions の RM 機能のことを、

IRM と呼びます。Office 2003 Editions ではすべてのエディションにおいて、権限が設定されたドキュメントにアク

セスすることができますが、権限自体を設定することができるのは Office Professional Edition 2003 または単体の

製品として販売される Word 2003、Excel 2003、PowerPoint 2003、Outlook 2003 のみです。

また、Office 2003 Editions を所有していないユーザーのために Rights Management Add-on for Internet

Explorer（RMA）を Internet Explorer のアドオンソフトウェアとして提供します。これにより Internet Explorer

が、IRM により権限設定された Office ドキュメントのビューアとして利用できるようになります。そのため、一度にす

べてのコンピュータを Office 2003 Editions へ移行できない場合でも、例えば「権限を設定する必要のあるコンピュー

タから Office 2003 Editions へ移行する」など、スムーズな移行を実現できます。

そのほか、Office 2003 Editions や RMA 以外にもパートナー企業からさまざまな RM 対応アプリケーションが提供

される予定です。



RM 対応アプリケーションで設定できる権限一覧

この一覧で × に設定されている項目については RMS から権利ポリシーを利用して設定することができます。権限一覧

にない権限については Windows RM Client SDK (http://www.microsoft.com/downloads/details.aspx?dis-

playlang=ja&FamilyID=3115A374-116D-4A6F-BEB2-D6EB6FA66EEC) を利用して設定することができます。

■RMS

Windows Server 2003 のアドオンサービスとして提供される RMS は RM の核となるコンポーネントです。RMS

ではユーザーの認証、証明書の管理、権利ポリシーテンプレートの管理、ライセンス管理など RM の運用には欠かせな

いさまざまな機能を提供します。

また Passport 認証では利用できない、ログの収集、証明書の失効、RM を利用できないユーザー・ドメインの指定な

ど詳細なオプションを用意しています。

RMS は Microsoft ダウンロードセンターからダウンロードして利用することができます。

Word 2003 Excel 2003 PowerPoint 2003 Outlook 2003

フルコントロール ○ ○ ○ ×

権利の表示 ○ ○ ○ ○※1

保存 ○ ○ ○ ○※1

(名前をつけて保存)

表示 (閲覧) ○ ○ ○ ○※1

印刷 ○ ○ ○ ○※1

編集 ○ ○ ○ ○※1

転送 × × × ○

返信 × × × ×

(全員へ返信)

有効期限の設定 ○ ○ ○ ○※2

※1 転送不可を設定することによって自動的に設定されます。単独で設定することはできません。

※2 転送不可の設定のあと、任意に設定可能です。



■SDK

SDK にはクライアント向けの Windows RM Client SDK と RMS サーバー向けの Windows RMS SDK があります。

クライアント SDK は RM 対応アプリケーションの開発に必要なツール、サンプルコード、関連文書を提供します。現

状 Microsoft Office 2003 Editions は権限を設定できる唯一の RM 対応アプリケーションですが、SDK の利用によ

り RM 対応のアプリケーションを組織内で独自に開発をすることができるようになります。

一方、RMS SDK は RMS アプリケーションのカスタマイズや既存のサーバーアプリケーションとの統合を実現するた

めの開発に必要なツール、サンプルコード、関連文書を提供します。たとえば、開発者は次のようなコンポーネントの

作成が可能になります。

●既存システムと統合して RM に関するデータの保存と情報管理に活用

たとえば、ウイルスチェックのソフトウェアと連携させて、権限の設定されたファイルのウイルスチェックを行い、

ウイルスに感染していないことが確認できたときだけ RMS から使用ライセンスを発行するように構成します。

●すべてのデータに対して権限をリアルタイムに適用

管理者が設定した権限をすべてのデータに適用することでファイルごとにユーザーが権限を設定する手間が省かれ、

負担を軽減する効果をもたらします。



RM で設定できる権限の紹介

Office 2003 Editions（Word 2003、Excel 2003、PowerPoint 2003）から権限を設定する場合、各アプリ

ケーションのメニューバー、もしくはツールバーから操作を行います。

図 3 RM 権限設定 (メニュー)

図 4 RM 権限設定 (ツールバー)



前述のとおり、ユーザーの識別には Active Directory® または Passport 認証を使います。ただし Active Directory

を使う場合、Active Directory ユーザーアカウントを使ってユーザーを識別するのではなく、ユーザーアカウントに

関連付けられた電子メールアドレスを使用してユーザーの識別を行うため、権限設定を行うユーザーが電子メールアド

レスを所有している必要があります。グループアカウントに関連付けられた電子メールアドレスや［すべてのユーザー］

を使用して複数のユーザーに対してまとめて権限設定を行うことも可能です。

グループアカウントに関連付けられた電子メールアドレスを使用した場合、複数のユーザーに対してまとめて権限設定

することができるため、非常に便利です。ファイルに対するアクセス許可を特定の部署に対して設定する場合、部署の全

ユーザーがメンバとなっているグループアカウントに対して権限設定を行います。

図 5 RM 権限設定画面



権限の設定には次の選択肢があります。

● 閲覧ファイル閲覧は可能ですが、編集、印刷、コピーを行うことはできません。コンテンツの内容をその場でのみ

参照させることを許可し、情報を他のコンテンツへ流用したり、第三者に参照させたりすることを禁止したい場合に

使用します。

● 変更ファイルの閲覧、コピー、編集（名前をつけて保存・上書き保存)、変更の保存は可能ですが、印刷を行うこと

はできません。一般的にこの権限はファイルの編集者に対して与える権限です。ファイルの編集者は閲覧、コピー、

保存といった権限を使用して編集するからです。

● フルコントロールフルコントロールの権限を持つユーザーはファイルに対して完全な作成権限を持ち、コンテンツ

の期限の設定、印刷の禁止、ユーザーへのアクセス許可の割り当てなど、作成者と同様の操作をすべて行うことがで

きます。作成者には常にフルコントロールの権限が自動的に設定されます。この権限はファイルに対する権限を設定

することができるため、むやみに権限を与えてはいけません。権限設定を行う必要があるユーザーに対してのみ割り

当てます。

［その他のオプション］をクリックするとダイアログボックスで詳細な権限設定が行えます。ユーザーを選択して、読み

取り、変更、フルコントロールの 3 種類のアクセスレベルと［ユーザーの追加権限］を利用した詳細設定を行います。

図 6 RM 権限詳細設定



［ユーザーの追加権限］および［追加設定］には次の選択肢があります。

● このドキュメントの有効期限ユーザーがこのファイルを開くことのできる期限を表します。ここで指定した有効期

限が過ぎるとファイルを閲覧することができなくなります。例えば、機密情報を含むファイルを利用してパートナー

と共同作業を行う場合、その情報はプロジェクト終了時以降には見せたくない場合があります。このようなときには

[このドキュメントの有効期限] でプロジェクト終了日を設定することで、プロジェクト期間中のみパートナーに対し

てファイルを閲覧できるように設定することができます。

● コンテンツを印刷する閲覧または変更の権限を持つユーザーに対して印刷することを許可します。この権限を利用

した場合、紙媒体でコンテンツが存在することになるため、もはや RM では社外へコンテンツが流出する可能性を制

御することができなくなります。そのため、この権限を設定する場合にはその必要性を十分に検討した上で利用する

ようにしてください。既定ではフルコントロールの権限を持つユーザーのみが利用でき、その他のユーザーは無効に

なっています。

● 閲覧の権限を持つユーザーが、コンテンツをコピーすることを許可する閲覧の権限を持つユーザーに対してファイ

ル内に含まれる全部または一部のコンテンツをコピーすることを許可します。

● プログラムを使ってコンテンツにアクセスするプログラミングアクセスを許可します。VBA 等マクロからのアク

セスを行う場合も、この権限が必要になります。

● 追加権限の要求先権限のないユーザーが、作成者に対して権限設定を変更するよう要求する際の連絡先電子メール

アドレスを指定します。ユーザーがファイルを開く際に権限がないと、この連絡先が表示されます。追加権限の要求

先が利用されるケースについてはこのドキュメントの 53 ページ［権限がない場合の動作について］をご覧ください。

● 以前のバージョンの Office を使用するユーザーが Information Rights Management をサポートするブラウザで

閲覧できるようにする権限設定されたファイルを Rights Management Add-on for Internet Explorer を使用し

て閲覧する場合にはこの設定を有効にする必要があります。

● ユーザーの権限を確認するのに接続を必要とするファイルを開くユーザーに対して割り当てられている権限の確認

を毎回行います。通常は初回ファイルを開くときだけ確認し、次回以降は RMS からダウンロードしたライセンスを

もとに権限の確認をします。



Outlook 2003 から権限を設定する場合、Outlook 2003 のウィンドウからの操作で権限の設定を行います。ただし

Outlook 2003 から設定できる権限は［転送禁止］のみです。転送禁止を設定すると、CC や BCC を含む宛先に第三

者の電子メールアドレスを指定することができなくなります。また、コピー、印刷、名前をつけて保存もできなくなり

ます。

ただし返信は可能なので、返信を禁止したい場合には RMS の権利ポリシーテンプレートで定義しなければなりません。

Word 2003、Excel 2003, PowerPoint 2003 のドキュメントに設定できる [このドキュメントの有効期限］に相当

する設定は、［メッセージオプション］ダイアログボックスの［配信オプション］［期限切れ日時の指定］で行うことが

できます。メールの受信者は、設定された日時以降は、当該メールを開くことができなくなります。

図 7 電子メールに対する RM 権限設定

図 8 Outlook 2003 配信オプション



RMS であらかじめ権利ポリシーテンプレートが作成されている場合、RM 対応アプリケーションを起動すると RMS

サーバーから権利ポリシーテンプレートを読み込み、メニューが以下のように構成されます（以下は例）。権利ポリシー

テンプレートを使用する場合、前述したダイアログボックスから細かな設定を行うのではなく、テンプレート名を直接

クリックします。

図 9 権利ポリシーテンプレートの適用



権利 XrML 要素説明

フルコントロール OWNER

下記のすべての権利をまとめた権利

この権利を持つユーザーには [ドキュメントの有効期限] は

適用されません　

権利の表示 VIEWRIGHT現在ファイルを開いているユーザーが持つ権利を表示する権利

Office ではこの権利は無視されます

エクスポートEXPORT ファイルに対して名前をつけて保存する権利

(名前をつけて保存)

保存 EDIT ファイルの保存をする権利

表示 VIEW ファイルの閲覧をする権利

印刷 PRINT ファイルの内容を印刷する権利

抽出 EXTRACT ファイルの内容の一部または全部をコピーする権利

編集 DOCEDIT ファイルの編集をする権利

マクロの許可 OBJMODEL ファイルに設定されたマクロを実行する権利

転送 FORWARD 電子メールを転送する権利

返信 REPLY 電子メールを返信する権利

全員へ返信 REPLYALL 電子メールを全員へ返信する権利

RMS から権利ポリシーテンプレートを作成する場合、次の 12 種類の権利を組み合わせて権限のセットを作成します。

Microsoft Office 2003 Editions のように IRM で権限設定のユーザーインターフェイスが用意されている場合、権

利ポリシーテンプレートとは異なる権限を設定することができます。この場合、IRM で設定できるそれぞれの権限メ

ニューがユーザーに対してどのような権利を与え、XrML 要素とどのように対応するかは、アプリケーションに依存します。



RM のプロセス

次の図は RM を利用して、どのようにライセンスの発行が行われ、利用者がドキュメントにアクセスしているかについ

て表したものです。

その前に RM のプロセスを理解する上で必要な、証明書とライセンスに関する用語についてまとめておきます。

● コンテンツキー（対称キー）ドキュメントを暗号化するために使用されるキーです。キーはファイルごとに生成さ

れます。

● 発行ライセンス RMS サーバーで発行されるもので、XrML 形式で記述されたドキュメント利用に関する権限情報と

コンテンツキーが含まれます。

● 使用ライセンス発行ライセンスを発行した RMS サーバーから発行されるもので、RM で保護されたコンテンツに

対する特定のユーザーのアクセス許可が含まれます。

● RAC（RM アカウント証明書）ユーザー固有の証明書でドキュメントにアクセスするユーザーの識別に使用します。

● クライアントライセンサ証明書 RMS サーバーに接続することなく RM を実装するためのアクセス許可を持つ証明

書です。オフラインで発行ライセンスを発行するために使用します。

● 所有者ライセンス RM で保護されたコンテンツをオフラインで使用する権利をコンテンツ作成者に付与する使用ラ

イセンスです。

● RMコンピュータ証明書各 PC 固有の証明書で、コンピュータの公開キーを含みます。RM クライアントのインス

トール後、ライセンス認証時に取得されます。



ライセンスの発行と利用に関するシナリオは次の順序によって行われます。

1. コンテンツ作成者は RM 対応アプリケーションを利用して権限を与えるユーザーの指定と権限の設定を行います。

ユーザーと権限の設定は RMS であらかじめ作成された権利ポリシーテンプレートの使用、またはユーザー自身で設

定することが可能です。

また、RM 対応アプリケーションはコンテンツキーを利用してドキュメント内のコンテンツを暗号化します。

2. コンテンツキーを RMS サーバーの公開キーで暗号化します。また、ドキュメントに対して設定された権限をもとに

発行ライセンス（XrML ファイル）を生成します。発行ライセンスの署名要求を行うために、コンテンツキーと発行

ライセンスを RMS に送信します。

3. RMS はコンテンツキーと未署名の発行ライセンスを受け取ると、発行ライセンスを署名してクライアントに返信し

ます。署名された発行ライセンスには暗号化されたコンテンツキーが含まれます。

4. 発行ライセンスをドキュメントヘッダーに挿入し、発行ライセンスと暗号化されたコンテンツを含むドキュメントを、

権限を持つユーザーに送信します。

5. 受信者が RM 対応アプリケーションを利用してファイルを開こうとすると、RM 対応アプリケーションは RMS に使

用ライセンスの発行を要求します。この際、発行ライセンスに加えて、RAC も同時に送信されます。

6. RMS はユーザー認証を行います。RAC が信頼された RMS サーバーから発行されたものであることと、発行ライセ

ンスが改ざんされていないことを確認したうえで使用ライセンスを発行します。

コンテンツキーはサーバーの秘密キーで復号化した上で、RAC の公開キーで再度暗号化したものが使用ライセンス

に含まれます。

7. RM 対応アプリケーションはドキュメントを開き、使用ライセンスに定義されたパラメータに従って権限を付与しま

す。このとき、RAC の秘密キーを使ってコンテンツキーを復号化した上でドキュメントの復号化を行います。

図10 ライセンスの発行と利用のプロセス



RM ではクライアントコンピュータがオフラインの場合、使用ライセンスの発行を要求することはできませんが、発行

ライセンスを発行することは可能です。その場合、オンラインの場合とは異なるプロセスで発行ライセンスを発行します。

1. コンテンツ作成者は RM 対応アプリケーションを利用して権限を与えるユーザーの指定と権限の設定を行います。

ユーザーと権限の設定は RMS であらかじめ作成された権利ポリシーテンプレート（権利ポリシーテンプレートに

アクセスできれば RMS との通信は必要ありません）の使用、またはユーザー自身で設定することが可能です。

2. コンテンツ作成者がファイルを保存するとき、クライアントライセンサ証明書によって、ローカルで発行ライセンス

を発行および署名します。

発行ライセンスには、コンテンツキーの 2 つのコピー（クライアントライセンサ証明書の公開キーで暗号化された

ものと、クライアントライセンサ証明書を発行したサーバーの公開キーで暗号化されたもの）が格納されます。また、

サーバーの URL も格納されます。

この 2 つの公開キーおよび URL はクライアントライセンサ証明書から取得されます。

3. アプリケーションがコンテンツをコンテンツキーで暗号化し、そのファイルに発行ライセンスを付与します。発行ラ

イセンスからコンテンツキーを復号化できる RMS サーバーだけが、このファイルを暗号化解除するためのライセン

スを発行できます。

また、コンテンツ作成者が一度、権限設定したファイルを後からオフラインで開くときには所有者ライセンスを使用

します。そのため、発行ライセンスの作成と同時に所有者ライセンスも作成されます。

コンテンツ作成者のコンピュータがクライアントライセンサ証明書を使用して、所有者ライセンスを作成します。ク

ライアントライセンサ証明書に格納されている秘密キーを使用して、発行ライセンスに格納されたコンテンツキーを

暗号化解除し、それを再び暗号化して、所有者ライセンスにコンテンツキーを格納します。

4. 発行ライセンスをドキュメントヘッダーに挿入し、発行ライセンスと暗号化されたコンテンツを含むドキュメントを、

権限を持つユーザーに送信します。

5. 受信者が RM 対応アプリケーションを利用してファイルを開こうとすると、RM 対応アプリケーションは RMS に使

用ライセンスの発行を要求します。この際、発行ライセンスに加えて、RAC も同時に送信されます。

6. RMS はユーザー認証を行います。RAC が信頼された RMS サーバーから発行されたものであることと、発行ライセ

ンスが改ざんされていないことを確認したうえで使用ライセンスを発行します。

コンテンツキーはサーバーの秘密キーで復号化した上で、RAC の公開キーで再度暗号化したものが使用ライセンス

に含まれます。

7. RM 対応アプリケーションはドキュメントを開き、使用ライセンスに定義されたパラメータに従って権限を付与しま

す。このとき、RAC の秘密キーを使ってコンテンツキーを復号化した上でドキュメントの復号化を行います。

図11 ライセンスのオフライン発行と利用のプロセス

実装方法


実装方法

必要なシステム環境

このドキュメントの内容に従い RMS を実装するには Windows Server 2003 が正常に動作し、かつ次の要件を満た

すシステム環境が必要になります。

また、RM クライアントを実装するには次のいずれかのオペレーティングシステムが正常に動作するシステム環境が必

要になります。

●Windows 98 Second Edition

●Windows ME

●Windows 2000 ファミリ（Service Pack 3 以上を適用）

●Windows XP ファミリ

●Windows Server 2003 ファミリ

最低 CPU 800 MHz 以上（1500 MHz 以上推奨）

最小メモリ 256 MB 以上（512 MB 以上推奨）

ハードディスクの空き容量 20 GB 以上（40 GB 以上推奨）

その他ネットワークインターフェイスカード

実装方法


デモシステムで使用するシステム環境

デモシステムでは、次のようなシステム環境を利用して説明しています。

RMS サーバー

RM に使用するユーザーアカウント

ドメイン名 mscube.local

コンピュータ名 RMServer

使用するWindows Server 2003 のエディション Enterprise Editionを使用

ファイルシステム NTFS

インストールするサービス・ Active Directory

・ IIS6.0

・ ASP.NET

・ MSMQ

・ SQL Server 2000 Service Pack 3 または

MSDE Service Pack 3

ネットワーク要件・メールサーバー

・インターネット接続

共有フォルダ C:￥rpt フォルダを rpt という名前で共有アクセス許可

Administrators フルコントロール

Authenticated Users 読み取り

・デモシステム環境内に RMS サーバーを用意する場合、既に Active Directory が存在するため、

Active Directory のインストールは不要です。・デモシステム環境内に RMS サーバーを用意する場合、既に Exchange Server が存在するため、メー

ルサーバーのインストールは不要です。・Active Directory を RMS サーバーとは異なるサーバーに用意する場合、Windows 2000 Service

Pack 3 以降で構成されるものでも構いません。・RMS に使用するデータベースサービスは MSDE を使用することもできますが、ネットワークイン

ターフェイスをサポートしていないため、テスト環境でのみ使用することをお勧めします。

ユーザー名パスワード部署／役職所属するグループメールアドレス

rmsservice Password! RMS 管理者 Domain Admins [email protected]

kurosaki Password! IT ソリューション部 ITSolMng [email protected]

マネージャ ITSolGrp

okada Password! IT ソリューション部 ITSolGrp [email protected]

・デモシステム環境内では既に上記のユーザーは作成されているため、追加は不要です。

実装方法


RM に使用するグループアカウント

RM クライアント

グループ名メンバメールアドレスその他

ITSolGrp Kurosaki [email protected] IT ソリューション部

Okada

ITSolMng Kurosaki [email protected] IT ソリューション部マネージャ

・デモシステム環境内では既に上記のグループは作成されているため、追加は不要です。

ドメイン名 mscube.local

コンピュータ名 mscube1

mscube2

使用する Windows XP のエディション Windows XP Professional を使用

インストールするソフトウェア Office 2003 Editions Professional Edition

実装方法


実装手順

■RMS の実装

ここでは RMS をインストールする方法を紹介します。Passport 認証を用いる場合には、RMS の実装は必須ではあり

ませんが、このドキュメントでは RMS を利用することを前提にしています。

RMS は前述のシステム環境が整備されていない場合、インストールすることができませんので事前にすべての要件を整

備してください。

まず、RMS をインストールするために次の Web サイトからインストーラをダウンロードしてください。

Windows Rights Management サービス（RMS）ダウンロードサイトhttp://www.microsoft.com/downloads/details.aspx?FamilyId=BE7FAE0C-2DB2-4F7F-8AA1-

416FE1B04FB1&displaylang=ja

■RMS のインストール手順 (RMS サーバーコンピュータ)

ダウンロードした RMS を RMS コンピュータにインストールします。

1. RMSSetup.exe をダブルクリックします。

［Windows Rights Management サービスセットアップウィザードへようこそ］で［次へ］をクリックします。

図12 Windows Rights Management サービス─ようこそ

実装方法


2.［使用許諾契約書］で契約書の内容をよくお読みの上、［同意します］をクリックして［次へ］をクリックします。

3.［インストール先フォルダの選択］でインストール先フォルダを確認して［次へ］をクリックします。

図 13 Windows Rights Management サービス ─ 使用許諾

契約書

図 14 Windows Rights Management サービス ─ インス

トール先フォルダの選択

実装方法


4.［インストールの確認］で［インストール］をクリックします。

Rights Management サービスのインストールが開始されます。

5.［インストールの完了］で［閉じる］をクリックします。

図15 Windows Rights Management サービス ─ インス

トールの確認

図16 Windows Rights Management サービス─ インス

トールの完了

実装方法


■RMS の提供（RMS サーバーコンピュータ）

提供とは RMS サーバーが動作するように構成することを指します。RMS のサービスは ASP.NET のサービスとして

提供されるため、提供する Web サイトを指定する必要があります。提供プロセスでは指定した Web サイトに RMS 起

動に必要なコンポーネントを展開します。また、提供プロセス中にインターネット上の Microsoft 登録サービスに接続

し、サーバーライセンサ証明書を取得します。このサーバーライセンサ証明書は各種証明書やライセンスの発行を許可

するための権利を RMS に与えます。証明書の取得のために発生するインターネットアクセスには SSL を使用するた

め、ファイアウォール等に特別な設定は必要ありません。

このドキュメントでは［既定の Web サイト］に提供しますが、それ以外のサイトに提供する場合は事前にインターネッ

トサービスマネージャから Web サイトを作成しておく必要があります。

提供が完了した後、RMS の初期設定として RMS 接続ポイント（SCP）を指定します。RMS 接続ポイントとは RM

対応クライアントがサービスの接続に使用する Web サイトです。Active Directory に SCP が登録されるため、クラ

イアントは Active Directory を通してサービスを発見することができるようになります。

1.［スタート］ボタンから［すべてのプログラム］─［Windows RMS］─［RMS の管理］をクリックします。［グロー

バル管理］ウィンドウで RMS 管理サイトとなる Web サイトをクリックして、［この Web サイトに RMS を提供

する］をクリックします。

図 17 Windows Rights Management サービス─グローバ

ル管理

実装方法


2.［RMS ライセンスサーバーの提供 ─ 既定の Web サイト］で次の情報を入力して、［送信］をクリックします（こ

の処理を提供と呼びます）。なお、［送信］をクリックする際には、必ず外部 Internet に接続できる必要があります。

図 18 Windows Rights Management サービス ─ RMS

ライセンスサーバーの提供

構成データベースローカルデータベース

RMS サービスアカウントドメインアカウント

ユーザー名 [email protected]

パスワード Password!

クラスタ URL 既定

既定のソフトウェアベースの秘密キー保護を有効にする有効

RMS 秘密キーのパスワード Password!

サーバーのライセンサ証明書の名前既定

管理者の連絡先 [email protected]

このコンピュータをプロキシサーバーを使用して無効

インターネットに接続する

(この項目はお使いのインターネット接続環境に

応じて変更してください)

組織内のライセンサ証明書を失効させることができる無効

第三者の公開キーを指定する

実装方法


3. 提供の設定が完了すると、［RMS ルート証明サーバー］が表示されます。［グローバル管理ホームページ］をクリック

します。

4.［グローバル管理］で、［この Web サイトの RMS を管理する］をクリックします。

図 19 Windows Rights Management サービス─提供処理

の完了

図 20 Windows Rights Management サービス─グローバ

ル管理

実装方法


5.［管理の対象］で［RMS サービス接続ポイント］をクリックします。

6.［RMS サービス接続ポイント］で［URL の登録］をクリックします。

図 21 Windows Rights Management サービス ─ 管理の

対象

図 22 Windows Rights Management サービス ─ RMS

サービス接続ポイント

実装方法


RMS 管理の概要

RMS 管理ツールは ASP.NET のサービスとして提供され、信頼するドメイン、権利ポリシーテンプレート、ログの設

定などを設定することができます。

具体的には次のメニューが利用できます。

メニュー説明

信頼ポリシー RMS の利用を許可するドメインを指定します。

権利ポリシーテンプレート各クライアントコンピュータで設定する権限のひな型となる

テンプレートを設定します。

ログの設定 RMS のログをデータベースに格納するかについて設定します。

エクストラネットクラスタ URL 設定組織外にある他の RMS サーバーと連携して動作させるための

設定です。

RM アカウント証明レポート RM の使用許諾契約に同意したユーザーの数を確認できます。

セキュリティの設定スーパーユーザー、秘密キーパスワード、インターネット接続、

RMS 使用停止に関する設定です。

証明の設定 RAC の有効期限に関する設定です。

除外のポリシー RM の利用を拒否する条件に関する設定です。

RMS サービス接続ポイント RMS を Active Directory に登録するための設定です。

実装方法


■権利ポリシーテンプレートファイル保存場所の指定 (RMS サーバーコンピュータ)

RM ユーザーが使用するテンプレートファイルはサーバー上の共有フォルダを参照します。既定ではテンプレートファ

イルの保存場所となる共有フォルダは指定されていないので、あらかじめ指定する必要があります。このドキュメントで

はテンプレートファイルの保存場所として￥￥rmserver￥rpt 共有を使用します。RMS は共有フォルダを通してテン

プレートファイルの保存をしますので、RMS 管理者アカウントに対してフルコントロールアクセス許可をあらかじめ

設定する必要があります。また、RM を使用するすべてのユーザーが共有フォルダにアクセスできるように読み取りアク

セス許可を設定する必要があります。

1.［グローバル管理］で、［この Web サイトの RMS を管理する］をクリックします。

図 23 Windows Rights Management サービス ─ グローバ

ル管理

実装方法


2.［管理の対象］で［権利ポリシーテンプレート] をクリックします。

3.［権利ポリシーテンプレート］で［テンプレートの場所］に「￥￥rmserver￥rpt」と入力して［保存］をクリック

します。

図 24 Windows Rights Management サービス ─ 管理の

対象

図 25 Windows Rights Management サービス ─ 権利

ポリシーテンプレート

実装方法


■RMS での権利ポリシーテンプレート作成 (RMS サーバーコンピュータ)

権利ポリシーテンプレートの作成は RMS 管理画面から行います。適用するユーザーや権利などを指定し、作成したテ

ンプレートファイルは XrML 形式で先に指定した共有フォルダに自動的に保存されます。

権利ポリシーテンプレートの作成時に指定できるパラメータには次の内容があります。

このドキュメントでは IT ソリューション部ユーザーが使う 3 つのテンプレートファイルの作成を行います。

● IT ソリューション部ユーザーだけが閲覧できる権限が与えられる権利ポリシーテンプレート

● IT ソリューション部ユーザーだけが編集できる権限が与えられる権利ポリシーテンプレート

● IT ソリューション部マネージャだけが編集できる権限が与えられる権利ポリシーテンプレート

項目説明

テンプレート識別情報テンプレートを識別するための情報を設定します。

テンプレート名、テンプレートの説明は必須入力項目です。

ユーザーとグループテンプレートに含めるユーザーまたはグループを電子メールア

ドレス形式で指定します。すべてのユーザーを指定する場合、

anyone と指定します。

権利も同時に設定できます。12 種類の権利から組み合わせて

設定します。

有効期限ポリシーファイルを開くことのできる有効期限を指定します。[コンテン

ツの使用ライセンスを更新する間隔] を設定すると、使用ライセ

ンスを取得するためのユーザー認証を行う間隔を指定できます。

（既定では有効期限が切れるまで使用ライセンスは更新しません）

拡張ポリシー権利ポリシーテンプレートの各種オプションを指定します。

失効ポリシー証明書を失効させるための設定をします。

実装方法


1.［権利ポリシーテンプレート］で［権利ポリシーテンプレートの追加］をクリックします。

2.［権利ポリシーテンプレートの設定］から新規テンプレートを作成します。

それぞれの項目に次の情報を入力します。

図 26 Windows Rights Management サービス ─ 権利ポ

リシーテンプレート


リシーテンプレートの設定

項目情報

テンプレート名共有ドキュメントライブラリ - 閲覧

テンプレートの説明 IT ソリューション部のユーザーだけが共有ドキュメントライブ

ラリに閲覧アクセスできる権利を設定します。

ユーザーまたはグループの追加 [email protected]

実装方法


3.［権利ポリシーテンプレートの設定］で［ユーザーまたはグループの追加］にグループ名を入力したら、［追加］をク

リックします。［現在のユーザーまたはグループ］に表示されているグループ名をクリックし、権利の一覧から次のよ

うに設定します。

4.［権利ポリシーテンプレートの設定］で 2.～3. の設定が完了したら、［送信］をクリックします。

グループ名権限

[email protected] 表示


リシーテンプレートの設定



実装方法


5. 1.～4. を繰り返して次の権利ポリシーテンプレートを作成します。

6. 3 つの権利ポリシーテンプレートを作成すると、以下のように表示されます。

テンプレート名共有ドキュメントライブラリ - 編集分析用スマートドキュメント - 編集

テンプレートの説明 IT ソリューション部のユーザーだけが IT ソリューション部のマネージャだけ

共有ドキュメントライブラリに編集が分析用スマートドキュメントに編集

アクセスできる権利を設定します。アクセスできる権利を設定します。

ユーザーまたは [email protected] [email protected]

グループの追加

権限エクスポート、保存、表示、印刷、編集エクスポート、保存、表示、印刷、編集



実装方法


■RM クライアントの実装

クライアントコンピュータで RM 機能を使用する場合、RM 対応アプリケーションがインストールされているコン

ピュータに RM クライアントソフトウェアをインストールする必要があります。これは権限を設定するコンピュータだ

けでなく、権限が設定されたファイルを開くコンピュータにも必要です。

このドキュメントでは RM クライアントソフトウェアをダウンロードした上で、RM クライアントコンピュータにイン

ストールします。

■RM クライアントソフトウェアのダウンロード

RM クライアントソフトウェアをインストールするために次の Web サイトからインストーラをダウンロードしてくだ

さい。

Windows Rights Management クライアント (RM クライアント) ダウンロードサイトhttp://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=3115A374-116D-4A6F-

BEB2-D6EB6FA66EEC

インストールせずに Office Professional Editions 2003 上で IRM を利用しようとすると、サイトからのダウンロー

ドを促すダイアログボックスが表示されます。このダイアログボックスを利用してダウンロードすることも可能です。

その際、［保存］をクリックした場合にはダウンロードのみが行われますので、インストールは改めて実行する必要があ

ります。また、インストール後、最初にRM機能を利用する際には、必ず外部 Internet に接続できることが必要となり

ます（RM クライアントのライセンス認証といいます）。

図 31 Rights Management クライアント ─ ダウンロード

実装方法


■RM クライアントソフトウェアのインストール (RM クライアントコンピュータ)

1.［MSDRMClient.msi］アイコンをダブルクリックします。

［Windows Rights Management クライアントセットアップウィザードへようこそ］で［次へ］をクリックします。

2.［Windows Rights Management クライアント］で声明をよくお読みの上、［次へ］をクリックします。

図 32 Rights Management クライアント ─ ようこそ

図 33 Rights Management クライアント ─ プライバシー

に関する声明

実装方法



4.［インストールの確認］で［次へ］をクリックしてインストールを開始します。

図 34 Rights Management クライアント─使用許諾契約書

図 35 Rights Management クライアント ─ インストール

の確認

実装方法


5.［インストールが完了しました］で［閉じる］をクリックします。

図36 Rights Management クライアント─インストール完了

実装方法


■テンプレートファイルを読み込むためのクライアント設定 (RM クライアントコンピュータ)

RMS サーバーで作成したテンプレートファイルは先に指定した共有フォルダに保存されていますが、保存されている共

有フォルダの場所をクライアント側でも指定する必要があります。

なお、この設定はユーザーごとに行う必要がありますので、グループポリシーや Microsoft Systems Management

Server2.0 (SMS) などを使用して自動的にレジストリが修正されるように構成してください。

1. レジストリエディタを起動します。

［スタート］ボタンをクリックし、［ファイル名を指定して実行］で「regedit」と入力して［OK］をクリックします。

2. レジストリエディタで

［￥￥HKEY_CURRENT_USER￥Software￥Microsoft￥Office￥11.0￥Common￥DRM］フォルダを開きます。

3.［DRM］キーを右クリックし、［新規］から［文字列値］をクリックします。

文字列の名前に「AdminTemplatePath」と入力します。

4. AdminTemplatePath の値に「￥￥rmserver￥rpt」と入力します。

5. レジストリエディタを終了します。

図 37 レジストリエディタ ─ RM の設定

図 38 レジストリエディタ ─ RM の設定（詳細）

実装方法


■IRM でのドキュメントに対する権限設定 (RM クライアントコンピュータ)

IRM による権限の設定は RM 対応アプリケーションの中にあるメニューから設定することができます。メニューを開く

と、RMS サーバーの共有フォルダに格納されているテンプレートファイルを読み込んで一覧表示されます。

権利ポリシーテンプレートの一覧はアプリケーションを起動したタイミングで読み込みますので、アプリケーション起

動後に権利ポリシーテンプレートを変更した場合はアプリケーションを再起動する必要があります。

このドキュメントでは、共有ドキュメントライブラリに保存するファイルを作成し、権限を設定して保存します。権限

を設定したユーザーはフルコントロールの権限が与えられるため、ファイル保存と権限の設定の順番は問いません。

1. ユーザー [email protected] でログオンします。

2. Microsoft Excel 2003 を起動します。

3. Excel 2003 で見積書を作成します（ドキュメントの内容は任意です）。

4.［ファイル］─ ［アクセス許可］─［共有ライブラリ ─ 閲覧］をクリックし、権限を設定します。

図 39 Rights Management クライアント ─ 権利ポリシー

テンプレートの使用

実装方法


5. 設定された権限は作業ウィンドウで確認できます。

6. ファイルに名前をつけて保存します。ファイル名は "見積書1.xls" とします。

7. 2.～5. と同じ要領で PowerPoint 2003 で権限が設定されたファイルを作成します。

● 権限｢共有ドキュメントライブラリ - 編集｣テンプレートで設定

● ファイル名 "提案書1.ppt"

図 40 Rights Management クライアント─権限設定の結果

実装方法


■IRM でのドキュメントに対する権限確認

前の手順で作成したファイルに権限が設定されていることを確認します。"見積書1.xls" と"提案書1.ppt" はいずれも IT

ソリューション部のユーザーに対して権限が設定されていますので、IT-Solution グループのメンバでログオンした上で

確認します。

1. "見積書1.xls" を開きます。

2.［Microsoft Office］ダイアログボックスで［OK］をクリックして、使用ライセンスを取得します。

3. ファイルが開いたら［共有ワークスペース］作業ウィンドウの［保有している権限の表示］をクリックし、保有して

いる権限を確認します。また、実際に次の操作を行おうとしても、制限がかけられているために実行できないことを

確認します。

［コピー］、［名前をつけて保存］、［印刷］

4. 同様に、"提案書1.ppt" についても確認します。

図 41 Rights Management クライアント ─ ライセンスの

ダウンロード

図 42 Rights Management クライアント─資格情報の確認

図 43 Rights Management クライアント ─ 権限の確認

実装方法


■IRM での電子メールに対する権限設定（RM クライアントコンピュータ）

電子メールに対する権限の設定はドキュメントに対する権限の設定と同様に RM 対応アプリケーションの中にあるメ

ニューから設定することができます。既定では［転送禁止］のみがクリック可能ですが、RMS でテンプレートを作成す

ることで返信を禁止することも可能です。

このドキュメントでは、問い合わせフォーム②が含まれた電子メールに対して権限を設定して送信します。


2. Microsoft Outlook 2003 を起動します。

3.［新規作成］をクリックします。

4. IT ソリューション部顧客対応者（今回は [email protected]）宛ての電子メールを作成します。

5.［ファイル］─［アクセス許可］─［転送禁止］をクリックし、権限を設定します。

図 44 Rights Management クライアント ─ 転送禁止設定

実装方法


■IRM での電子メールに対する権限確認

前の手順で作成した電子メールを受信したユーザーに権限（今回は転送禁止）が設定されていることを確認します。


2. Microsoft Outlook 2003 を起動します。

3. メールを受信し、送信者が [email protected] のメールを開きます。

4. 実際に次の操作を行おうとしても、制限がかけられているために実行できないことを確認します。

［転送］、［コピー］、［名前をつけて保存］、［印刷］

図 45 Rights Management クライアント ─ 権限の確認

実装方法


Tips 権限がない場合の動作について

Office 2003 Editions でアクセス許可のないファイルを開くと、図のようなメッセージが表示されます。

［ユーザーの変更］をクリックすると、別のユーザーでファイルにアクセスします。［はい］をクリックすると、権限を付

与するよう要求するため、ファイルの作成者にメールを送信します。

Tips RMS を利用して Passport 認証を有効にする

組織内で RMS サーバーが起動している場合、通常は RMS を利用した認証によってアクセス許可が確認されます。し

かし RMS が起動している場合でも Passport 認証を利用するケースも考えられます。このような場合、事前に RMS

サーバーで Passport 認証を有効にするための設定を行わなければなりません。

RMS のグローバル管理から信頼ポリシーの設定で［Passport RAC を信頼する］をクリックして RMS を利用した

Passport 認証を有効にします。

図 46 Rights Management クライアント ─ 権限がない場

合の動作

図 47 Rights Management サービス ─ Passport 認証の

サポート

実装方法


■Office 2003 Editions がインストールされていないコンピュータでの権限確認

Office 2003 Editions がインストールされていないコンピュータで権限の設定されたファイルを開く場合、RM クラ

イアントソフトウェアに加えて、RM 対応アプリケーションに相当する Rights Management Add-on for Internet

Explorer（RMA）をインストールする必要があります。

RMA は Rights-Managed HTML 形式（拡張子 RMH）のファイルを開くことができます。そのため、Office 2003

Editions で作成したファイルは拡張子を RMH に変更した上で利用する必要があります。

RMA では次の 3 つの認証方法を選択することができます。

● ネットワークユーザーアカウント現在ログオンしているユーザーアカウントをもとに RMS で認証を行います。

● ゲストネットワークアカウント現在ログオンしているユーザーとは異なるユーザーアカウントの情報を提示して

RMS で認証を行います。ただし、この認証方法でファイルを開いた場合、閲覧できる時間は 15分に制限されます。

● .NET Passport アカウント Passport アカウントの情報を提示して認証を行います。

このドキュメントでは RM クライアントソフトウェアがインストールされていることを前提に RMA をインストールす

る方法と権限が設定されたファイルを開く操作を説明します。

■RMA のインストール

まず、RMA をインストールするために次の Web サイトからインストーラをダウンロードしてください。

Rights Management Add-on for Internet Explorer ダウンロードサイトhttp://www.microsoft.com/japan/ie/downloads/addon/

実装方法


1.［RMUSetup.exe］アイコンをダブルクリックします。

［Rights Management Internet Explorer アドオンセットアップウィザード］で [次へ］をクリックします。


図 48 Rights Management Internet Explorer アドオン

─ セットアップウィザードの開始


─ 使用許諾契約書

実装方法


3.［インストール先フォルダの選択］でインストール先フォルダを確認して［次へ］をクリックします。

4.［インストールを確認します］で［次へ］をクリックします。


─ インストールフォルダの選択


─ インストールの確認

実装方法


5.［インストールを完了しました］で［閉じる］をクリックします。

■RMA によるアクセス許可の確認

1. "見積書1.xls" ファイルを右クリックし、［プログラムから開く］をクリックします。

2.［ファイルを開くプログラムの選択］で［Internet Explorer］をクリックし、［OK］をクリックします。


─ インストールの完了

図 53 ファイルを開くプログラムの選択

実装方法


3.［セットアップの開始］で［次へ］をクリックします。

4.［アカウントのセットアップ］で［ネットワークユーザー］をクリックし、［アカウントのセットアップ］をクリック

します。

5. ファイルが開いたら次の操作を行い、制限がかけられていることを確認します。

［コピー］、［名前をつけて保存］、［印刷］


─ セットアップの開始


─ アカウントのセットアップ

図 56 権限の設定されたファイルの閲覧


付録 A 関連情報

■ダウンロードサイト

http://www.microsoft.com/japan/ie/downloads/addon/default.asp - Internet Explorer 用 Rights

Management アドオン

http://www.microsoft.com/downloads/detai ls.aspx?familyid=be7fae0c-2db2-4f7f-8aa1-

416fe1b04fb1&displaylang=ja - Windows Rights Management サービス (RMS) 1.0

http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=3115A374-116D-4A6F-

BEB2-D6EB6FA66EEC - Windows Rights Management クライアント 1.0

http://www.microsoft.com/downloads/details.aspx?FamilyId=2DFCAFB9-3E7B-4F70-B6D3-

AECC965CD598&displaylang=en - Windows Rights Management Services (RMS) Software

Development Kit (SDK)

http://www.microsoft.com/downloads/details.aspx?FamilyId=863DADCE-D648-4D50-9392-

B4FACA34A0A8&displaylang=en - Windows Rights Management Client Software Development Kit

(SDK)

■ Web サイト

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/prodtechnol/office/

office2003/plan/of03irm.asp - Microsoft Office 2003 Editions の Information Rights Management

http://www.microsoft.com/japan/office/ork/2003/six/ch20/ColA01.htm - Office 2003 Editions リソース

キット Information Rights Management の概要

http://www.microsoft.com/windowsserver2003/evaluation/news/bulletins/rm.mspx - Windows Adds

Rights Management Protection for Enterprise Information

http://www.xrml.org/ - XrML Webサイト

■ ホワイトペーパー

http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/rm.mspx ‐ 企業向けの

Microsoft Windows Rights Management ソリューション : デジタル情報に関する永続的なポリシーの記述と適用

http://www.microsoft.com/windowsserver2003/techinfo/overview/rmhtml.mspx - Introducing Rights-

Managed HTML

http://www.microsoft.com/windowsserver2003/techinfo/overview/rmenterprisewp.mspx - Technical

Overview of Windows Rights Management Services

付　　録

本ドキュメントに関連する｢Microsoft Office System Technical Readiness Sample

Software」は以下のマイクロソフトホームページからダウンロード可能です：

http://www.microsoft.com/japan/office/business/

本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoft は絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。本評価ガイドは情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。すべての当該著作権法を遵守することはユーザーの責務です。Microsoft 書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。Microsoft は、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoft から書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。

詳細な情報は、 http://www.microsoft.com/japan/office/editions/prodinfo/technologies/irm.mspx をご参照ください。

' 2004 Microsoft Corporation AlI rights reserved※ Microsoft、Microsoft ロゴ、Windows、Windows ロゴ、Active Directory、Microsoft Internet Explorer ロゴ、Outlook、PowerPoint、Windows Media、Windows Server は米国 Microsoft Corporation の米国およびその他の国に　おける登録商標または商標です。その他、記載されている実際の会社名および製品名は、各社の登録商標または商標です。

●この冊子の内容は、2004 年 2 月現在のものです。 ●製品内容については予告なく変更する場合があります。

※電話番号のおかけ間違いにご注意ください。

導入に関するお問い合わせは次のインフォメーションをご利用ください。

■インターネットホームページ http://www.microsoft.com/japan/ ■マイクロソフトインフォメーションセンター東京（03）5454-2300 大阪（06）6347-9300

（9：30～12：00、13:00～19：00 土日祝日、弊社指定休業日を除きます）

マイクロソフト株式会社〒151-8533 東京都渋谷区笹塚1-50-1　笹塚 NA ビルディング

2325-FX1

information rights management...

Documents