Cloud Service
Azure Information Protection
機密文書やメールに「秘」ラベルを貼って自動で暗号化・追跡。Azure Information Protection が情報の分類・ラベル付け・保護を担い、Microsoft Purview Information Protection の一部として AWS Macie に近い分類と保護を提供。
- 1.文書やメールに機密度ラベルを付け、ラベルに応じて自動で暗号化・アクセス制御する。
- 2.暗号化の中核は Azure Rights Management で、ファイルが社外に出ても権限が追従する。
- 3.現在は Microsoft Purview Information Protection の統合ラベルとして提供され、Office に組み込まれている。
解決する課題
- 機密文書やメールがどこにあるか分からず、誰でも開ける状態になっている
- ファイルがメール添付や USB で社外に持ち出されると、もう制御できない
- 「これは社外秘か公開可か」を人の判断任せにしていて、ラベリングが徹底されない
- 退職者や誤送信先に渡ってしまった文書のアクセスを後から取り消したい
- 規制データ(個人情報・契約書など)の取り扱いを統一ポリシーで強制したい
主要概念と用語
Azure Information Protection(AIP)は「分類」「ラベル付け」「保護」の3段階で機密情報を守ります。
- 機密度ラベル(Sensitivity Label): 「公開」「社外秘」「極秘」のように情報の機密度を表すタグ。文書やメールのメタデータに埋め込まれ、ラベルに応じた挙動(暗号化・透かし・ヘッダー)を適用する
- 分類(Classification): 文書を機密度ごとに仕分けすること。利用者が手動で選ぶ方法と、内容を判定して自動・推奨ラベル付けする方法がある
- 保護(Protection): ラベルに紐づく暗号化とアクセス権の付与。暗号化されたファイルは、許可されたユーザーが許可された操作(閲覧のみ・編集可など)だけを行える
- Azure Rights Management(Azure RMS): AIP の保護を支える暗号化エンジン。文書ごとに暗号鍵と利用権限ポリシーを埋め込み、ファイルが移動しても権限を追従させる
- 統合ラベル付け(Unified Labeling): ラベルの定義・配布を Microsoft Purview コンプライアンスポータルに一元化した方式。現行はこちらが標準
- テナントキー: テナント固有のルート鍵。Microsoft 管理(既定)と、**Key Vault で自分が管理する方式(BYOK / HYOK)**を選べる
- 使用権限(Usage Rights): 閲覧・編集・印刷・コピー・転送などの細かい許可。ラベルや保護テンプレートに定義する
仕様・制限・クォータ
- 保護は文書・メール単位で埋め込まれるため、ファイルがダウンロード・添付・コピーされても暗号化と権限が一緒に移動する
- 対応形式は Office 文書・PDF・画像・テキストなどが中心で、一般ファイルは保護用のコンテナ形式に包んで扱う
- ラベル付けの方法は、利用者の手動選択、ポリシーによる推奨表示、内容判定による自動適用の3通りがある
- ラベルは Microsoft Purview で集中管理し、対象ユーザー・グループへ発行ポリシーとして配布する
- オフラインでも開封できる猶予があり、一定期間は再接続なしで保護文書を利用できる(期間はポリシー依存)
- アクセスの認証は Microsoft Entra IDを使い、社外ユーザーには招待やゲスト連携で権限を渡す
- 旧来の AIP クライアント(独立アプリ)から、Office アプリ・Purview への組み込みへ移行が進んでおり、ラベリング機能は OS・アプリにネイティブ統合されている
Azure Information Protection の機能は、現在 Microsoft Purview Information Protection に統合され、ラベルの管理は Purview コンプライアンスポータルで行います。独立した旧 AIP クライアントは段階的に Office アプリ内蔵のラベリングへ置き換わっています。新規構築では統合ラベル付けを前提にしてください。
内部の仕組み
AIP の保護は **Azure Rights Management(Azure RMS)が中核です。文書を保護すると、その文書専用の対称鍵(コンテンツキー)で本文を暗号化し、誰がどの操作を許されるかを記した発行ライセンス(使用権限ポリシー)**を文書に埋め込みます。コンテンツキー自体はテナントキーで保護され、復号のたびに Entra ID 認証を経て権限がチェックされます。
- 暗号化はクライアント側で行われ、平文の本文がサービスに渡らない設計
- テナントキーは Microsoft 管理が既定だが、Key Vault に置いて自組織で管理する BYOK、オンプレ HSM に鍵を留める HYOK も選べる
- アクセスのたびに Entra ID で認証・認可されるため、権限を後から失効させれば既存ファイルも開けなくなる
- **利用ログ(誰がいつ開いた・拒否された)**が記録され、追跡・監査に使える
- ラベルと暗号化のポリシーは Purview から配布され、Office アプリや OS に組み込まれたラベリング機能が適用する
機密度ラベルは「分類のタグ」、保護(暗号化)は「ラベルに紐づくオプション」です。すべてのラベルが暗号化を伴う必要はありません。まずは分類とヘッダー・透かしから始め、機密度の高いラベルにだけ暗号化を加えると、利用者の混乱を抑えられます。
設計パターン / ベストプラクティス
- ラベルの分類体系をシンプルに設計(例: 公開/社内限定/社外秘/極秘の4段階程度)し、利用者が迷わないようにする
- 既定ラベルと必須ラベルを設定し、無ラベルの文書が生まれないようにする
- 自動・推奨ラベル付けで人手の付け忘れを補い、機密データの取りこぼしを減らす
- 高機密ラベルにのみ暗号化を適用し、編集・印刷・転送などの使用権限を用途別に絞る
- 段階的に展開(まず分類のみ、次に推奨ラベル、最後に自動暗号化)してユーザー教育とセットで進める
- Microsoft Purview DLP と併用し、ラベルを条件にした流出防止ポリシーを効かせる
運用・監視
- **ラベルの利用状況(どのラベルがどれだけ付与されたか)**を Purview のアクティビティで把握する
- 保護文書のアクセスログ(許可・拒否・取り消し)を監査し、不審なアクセスを検知する
- 誤分類の修正フローを用意し、ラベルの引き下げ(ダウングレード)には承認や理由記録を求める
- 退職者・委託終了時はアクセス権を失効させ、配布済みファイルも開けなくする
- オフライン猶予期間を業務実態に合わせて調整し、長期離線端末での利用と失効反映のバランスを取る
- ラベル定義の変更は段階配布し、影響範囲を限定してから全体へ広げる
コスト
AIP / Purview Information Protection の機能は、主に Microsoft 365 / Enterprise Mobility + Security(EMS)のライセンスに含まれる形で提供されます。基本的なラベリングと、自動分類や BYOK などの高度機能でライセンス階層が分かれるのが一般的です。
| 項目 | 課金の考え方 | 向いている用途 |
|---|---|---|
| 基本のラベリングと保護 | 上位 M365 / EMS ライセンスに包含 | 手動ラベル付けと暗号化の基本利用 |
| 自動・推奨ラベル付け | 上位ライセンス階層に包含 | 内容判定での自動分類を広く適用 |
| BYOK / HYOK | Key Vault や HSM の費用が別途 | テナントキーを自組織で管理したい |
| DLP との併用 | Purview の対応ライセンス | ラベル条件での流出防止を強制 |
利用できる機能は契約している Microsoft 365 / EMS のライセンス階層に大きく依存します。自動分類や高度なラベル機能は上位プランが前提のことが多いため、導入前に対象ユーザーのライセンスを確認してください。具体的な価格や包含範囲は変動するため公式情報を参照します。
セキュリティ
- 暗号化と権限が文書に追従するため、社外流出後もアクセスを制御・失効できる
- **テナントキーを自管理(BYOK / HYOK)**すれば、鍵の所有権を組織が握れる
- アクセスのたびに Entra ID 認証を要求し、条件付きアクセスと組み合わせて到達条件を絞る
- 最小権限の使用権限(閲覧のみ・転送禁止など)をラベル単位で定義する
- アクセスログで追跡し、誰がいつ開いた・拒否されたかを監査証跡として残す
- DLP と多層で組み合わせ、ラベルを条件に送信・共有を制御する
全文書にいきなり暗号化必須のラベルを強制すると、共同編集や外部共有が壊れ、利用者が回避策(保護解除・別経路送信)に走ります。分類から段階的に始め、暗号化は高機密ラベルに限定してください。また、テナントキーの管理方式(Microsoft 管理 / BYOK / HYOK)を決めずに本番展開すると、後からの移行が困難になります。
関連サービス・比較
AIP は分類とラベル付けが主眼で、保管中データの自動発見は Microsoft Purview の関連機能が担います。AWS では機密データ検出の Macie が近い位置づけです。
| 観点 | Azure | AWS |
|---|---|---|
| 機密度の分類・ラベル付け | Information Protection の機密度ラベル | リソースタグ(手動) |
| 機密データの自動検出 | Purview の自動分類・データマップ | Macie |
| 文書の暗号化と権限追従 | Azure RMS(保護) | 該当する単一相当なし(KMS + 独自実装) |
| 流出防止(DLP) | Microsoft Purview DLP | Macie + 独自統制 |
| 鍵の自管理 | BYOK / HYOK(Key Vault・HSM) | KMS のカスタマー管理キー |
AWS Macie は S3 内の機密データを発見してアラートすることに強い一方、AIP は 文書そのものに暗号化と権限を埋め込んで持ち出し後も制御する点が特長です。発見(Macie 相当)と保護(RMS)は役割が異なるので、目的に応じて使い分けます。
ハンズオン / CLI例
AIP / RMS の運用は主に PowerShell(AIPService モジュール)と Purview ポータルで行いますが、テナントキーに使う Key Vault や鍵は Azure CLI で準備できます。
# BYOK 用の Key Vault を作成(Purge Protection 有効化を推奨)
az group create --name aip-rg --location japaneast
az keyvault create \
--name aip-byok-kv \
--resource-group aip-rg \
--location japaneast \
--sku premium \
--enable-purge-protection true
# テナントキーに使う RSA 鍵を HSM 保護で作成
az keyvault key create \
--vault-name aip-byok-kv \
--name aip-tenant-key \
--protection hsm \
--kty RSA-HSM \
--size 2048
# 作成した鍵の識別子(キー URI)を確認し、AIPService 側の登録に使う
az keyvault key show \
--vault-name aip-byok-kv \
--name aip-tenant-key \
--query key.kid -o tsv
Azure Service
Azure Information Protectionを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: Azure / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
暗号化の中核は Azure Rights Management で、ファイルが社外に出ても権限が追従する。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Azure
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「文書やメールに機密度ラベルを付け、ラベルに応じて自動で暗号化・アクセス制御する。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。