Microsoft PowerPoint Toho.ppt

全文

(1)CADの世界にも広がる情報漏洩対策 EMC Documentum IRM for CAD. 2010年3月5日 EMCジャパン株式会社 CM&A事業本部東方優和. © Copyright 2010 EMC Corporation. All rights reserved.. 1.

(2) アジェンダ y EMC Documentum IRM の実装 y IRM SDK と CAD プラグイン. © Copyright 2010 EMC Corporation. All rights reserved.. 2.

(3) EMC Documentum IRM の実装. © Copyright 2010 EMC Corporation. All rights reserved.. 3.

(4) EMC Documentum IRMの動作. 5. 様々な方法でドキュメントを共有. 6. 1. 受信者は、認証サーバーを介して認証を受け、データの整合性を確認し、保護された状態で閲覧. ドキュメントを作成し、暗号化・ポリシー設定. 7 送信者はログの確認とポリシーの変更が可能. 2. サーバーにポリシーと暗号鍵を登録. IRM サーバー. 4 ポリシーサーバーが認証サーバーを検索し、認証と権限を適用. データベースに暗号鍵・ポリシーを暗号化して保存. 3. © Copyright 2010 EMC Corporation. All rights reserved.. 4.

(5) Documentum IRM の仕様認証方法. シェアードシークレット、Active Directory、LDAP. 暗号化方式. AES 256bit （共通鍵方式）. 通信方式. SSL. 対象クライアント製品. Adobe Acrobat/MS Office Word, Excel, PowerPoint. 暗号文書配布後のアクセス・コントロール. ○. 閲覧禁止. ○. 編集禁止. ○. 印刷禁止. ○. （スクリーンショットも禁止）. コピー＆ペースト禁止. ○. 透かし挿入. ○. アクティビティログ. ○. オフライン設定. ○. 有効期限設定. ○. ネットワークロケーションでの制限. ○. 文書管理システム連携. ○. © Copyright 2010 EMC Corporation. All rights reserved.. 5.

(6) クライアントアプリケーションからの直接利用. アプリケーションの「権限」メニューから操作 •IRM単体で使用できる •アプリケーション内の操作で完結する。 •標準で Microsoft Office、Adobe Acrobat に対応. © Copyright 2010 EMC Corporation. All rights reserved.. 6.

(7) デモ. IRM Office プラグイン. © Copyright 2010 EMC Corporation. All rights reserved.. 7.

(8) IRMシステム構成概要. 外部IRMクライアント - MS Office Client - Adobe Acrobat Client. DMZ. IRM Server - エクスターナル用. IRM Server - インターナル用. IRMクライアント DBサーバーファイルサーバ Active Directory - 社内認証用 - 鍵とポリシーの保管 - MS Office Client - Adobe Acrobat Client - 連既存のADサーバー - IRM Serverが連携. © Copyright 2010 EMC Corporation. All rights reserved.. 8.

(9) Documentum IRM の実装モデルオプション１：ファイルサーバー連携. オプション３： eRoom連携. ファイルサーバーの特定のフォルダーにドキュメントをコピーすると、そのフォルダーに定義されたポリシーで自動的にIRMのセキュリティが付加されるようにフォルダーを監視する。. eRoomの特定のフォルダーにドキュメントをコピーすると、そのフォルダーに定義されたポリシーで自動的にIRMのセキュリティが付加される。. ポーリングセキュリティ付加. ファイルサーバー. IRMサーバー. IRMサーバー. eRoom. オプション２：他のアプリケーションと連携. オプション4： Documentum連携. ERPや他の文書管理アプリケーションと連携してドキュメントに IRMのセキュリティが付加する。IRM SDKでアプリケーション側からリクエストを発行する。. Documentumの特定のフォルダーにドキュメントをコピーすると、そのフォルダーに定義されたポリシーで自動的にIRMのセキュリティが付加される。. リクエストアプリケーション. キーの送付. IRMサーバー IRMサーバー © Copyright 2010 EMC Corporation. All rights reserved.. Documentum. 9.

(10) eRoomとの組み合わせ（１） IRM Services for eRoom. y ユーザが意識せず、使い慣れているUI で透過的にIRMによる文書保護を実現 y アクセス権が eRoomから継承し、 IRMサーバでの二重管理は不要 y ユーザ管理は eRoomで行い、 IRMサーバでの二重管理は不要. 文書登録時に自動的にIRMで保護 © Copyright 2010 EMC Corporation. All rights reserved.. 10.

(11) eRoomとの組み合わせ（２） IRM Services for eRoom y ルーム全体、またはフォルダに対して保護を行うことが可能 y eRoomのアクセス権限と連動した権限管理. IRM連携のために追加したポリシー設定ボタンとポリシー設定画面 © Copyright 2010 EMC Corporation. All rights reserved.. 11.

(12) デモ. IRM Services for eRoom. © Copyright 2010 EMC Corporation. All rights reserved.. 12.

(13) IRM + Documentumの連携（１）登録時の情報保護 y Documentumにファイルを登録すると同時に情報を持ち出し不可能にする – フォルダー単位で持ち出し権限ポリシーを設定 – 配布済みの文書を含めて任意のタイミングでアクセス権を変更 – 古いバージョンは隠す（必要あるときには、メニューからアクセス可能）. インポート後で自動的に IRMで保護されたファイルファイルのインポート. © Copyright 2010 EMC Corporation. All rights reserved.. 13.

(14) IRM + Documentumの連携（２）ワークフローでの自動保護 y レビューや承認の社内プロセスのステップして自動的に持ち出し不可能にする – 「ネイティブ」の状態で文書の編集やレビューを行う – 配布直前に自動的にIRMで保護 – 配布直前に有効期限を設定. ③レビュー＆最終決裁. ②レビュー＆承認. ④自動IRM保護. ①ワークフロー起案 © Copyright 2010 EMC Corporation. All rights reserved.. 社外配布 14.

(15) Documentumを使った文書作成フロー図. ユーザによる作業作成 •文書の作成 •文書の編集 •部門内の承認フロー. •承認処理、最終決裁. •コメントの追加 •バージョンの作成 •PDF変換 •承認フロー. 承認フロー. ①作成中. ユーザによる作業作成作業. ユーザによる作業レビュー. 自動処理配布. 承認フロー. ②レビュー. ③承認済み. ④配布. 自動処理アーカイブ. ×. ⑤アーカイブ. 業務ルール. 業務ルール. 業務ルール. 業務ルール. 業務ルール. •文書作成者は削除権限を持つこと. •レビューする人に閲覧及び、編集権限を与えること. •変更権限を外すこと. •編集権限を外すこと. •部門内ユーザは編集権限を持つこと. •承認監査ログを採ること. •削除権限を外すこと. •自動処理. •改竄防止のため削除や編集権限を外すこと. •自動処理. •IRMポリシーを設定し有効期限及びアクセス権を適用. 自動処理 •属性情報の設定 •アクセス権の設定. 自動処理 •PDF版の自動生成 •「レビュー」フォルダに文書を移動 •アクセス権を設定. © Copyright 2010 EMC Corporation. All rights reserved.. •PDF版の自動生成 •「承認済み」フォルダに文書を移動 •アクセス権を設定. •ポータルやWebサイトに配信 •「Active」フォルダに移動. 自動処理 •アクセス権を変更 •保管期間を設定 •「アーカイブ」フォルダーに移動し、長期保存用のストレージに移動 15.

(16) IRMとその組み合わせの機能比較. 動的ポリシーアクセス変更印刷時の透かし詳細アクセス履歴印刷制御 LDAP/AD連携グループ単位でのポリシー設定. IRM（単体）. IRM Services for eRoom. ○ ○ ○ ○ ○ ○. ○ ○ ○ ○ ○ ○. ユーザ単位でのポリシー設定バージョンの整合性チェック組織の一括変更への対応コラボレーション機能カレンダー機能データベース機能プロジェクトプラン機能基本文書管理高度な文書管理基本セキュリティ高度なセキュリティ電子署名／サインオフワークフロー関連文書の管理フォーマット変換属性情報の保存ライフサイクル監査証跡保管期間設定 © Copyright 2010 EMC Corporation. All rights reserved.. IRM Services for Documentum ○ ○ ○ ○ ○ ○. ○ ○ ○ ○ ○ ○ ○ ○ ○. ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 16.

(17) IRM SDK と CAD プラグイン. © Copyright 2010 EMC Corporation. All rights reserved.. 17.

(18) IRM SDK y. IRM ＳＤＫを使用することにより、EMC Documentum IRMの機能を他のアプリケーションとの統合、連携により、その利用範囲を大きく広げることができます。. y. 使用用途 1. カスタムクライアント・プラグイン開発 . IRM用のクライアントプラグインを開発するとあらゆるファイル形式にIRM保護を適用することが可能。パートナにてCAD及びオープンソースのオフィスツール「Open Office」用のプラグインを開発。. 2. 文書管理システムとの連携 . IRM Server Extension APIを使って文書管理システムとの透過的な連携を実現することが可能。 IRM Services for Documentum及びIRM Services for eRoomはIRM Server Extension APIを使用。. 3. カスタムアプリの作成及びバッチファイル保護及びアプリとの連携 . © Copyright 2010 EMC Corporation. All rights reserved.. カスタムでビューアを作成しイメージ情報にＩＲＭ保護を適用 Windowsのコマンドラインから文書のＩＲＭ保護を実現（サンプルコードあり）. 18.

(19) IRM SDKで提供されるAPIセット. IRM Server Management API for C and COM – IRMサーバ側の操作に関するAPI – ドキュメント、メールの暗号化. IRM Server Extensions API for COM – 認証、権限、イベント通知のカスタムロジック作成 – IRMに関する文書属性情報の取得などに関するAPI – Documentum等のコンテンツ管理製品等との外部連携. IRM Client Integration API for C – サードパーティ製アプリに対するプラグイン開発用API（OpenOffice, CADなど）. IRM Content Decryption API for COM – 復号化のためのAPI – マルチスレッド対応(Content Decryption Extended API). ＩＲＭＳＤＫ動作環境ＯＳ: Windows Server 2003 SP2 Windows XP SP2/SP3 © Copyright 2010 EMC Corporation. All rights reserved.. 19.

(20) IRMのポリシー層とカスタマイズによる拡張. ポリシー層. ユーザのアクセス. ログイン権限. IRMサーバへのアクセスを許可する権限設定. 拡張ログイン権限. 外部の認証システムと連携（APIの利用）. グループ権限. グループ単位の権限設定. サーバ権限. IRMサーバ単位の権限設定. ファイル権限. ファイル単位の権限設定. 拡張ログイン権限. ユーザでカスタマイズが可能な層（APIの利用）（個人ごとの権限設定、印刷回数の制限など）. © Copyright 2010 EMC Corporation. All rights reserved.. 20.

(21) 1）Server Extension APIの利用例 Document Management System (DMS)連携イメージ文書保護. 文書管理システム ①ファイルをＤＭＳフォルダにアップ. 1. ユーザ. 2 ⑥-1鍵を使って文書を暗号化 IRMクライアントライブラリを使ったカスタムロジック. DMSユーザID 管理機能. IRM Server Extension. ③内部クライアントアプリがIRM Serverに連絡する. 3 6. 4. ②DMSがIRMクライアントライブラリーを使った内部アプリに暗号化リクエストを送る. 5. ⑥-2保護された文書はIRM DB に登録. 4. © Copyright 2010 EMC Corporation. All rights reserved.. IRM連携用のサービス. IRM Server. ⑤ IRMの暗号鍵をクライアントに送信. 6 4. ④ユーザ認証がＤＭＳとIRMサーバ間で行われる. 21.

(22) 2）Server Extension APIの利用例 Document Management System (DMS)連携イメージアクセス時のSSO認証 ①DMSに格納されている保護文書を開くときクライアントＰＣに文書がダウンロードされ、該当するＩＲＭクライアントプラグインが入っているアプリで開かれる. 文書管理システム 1 5. 3. ④IRM Server Extensionは認証情報をDMSに転送しファイルに対するアクセス権を取得する. ＤＭＳ上ユーザＡに対するアクセス権. IRM Server Extension. •閲覧. ２. ユーザＡ. IRM Server. •編集. 4. •印刷禁止. 3. ②IRMクライアントがDMSセッションからユーザ認証情報を取得する. IRMクライアントライブラリを使ったカスタムロジック. 4. 2 DMSユーザID 管理機能. 4. IRM連携用のサービス. 3. 5. 3. ③IRMクライアントがバックグラウンドでＤＭＳユーザ認証情報を IRMサーバに転送. ⑤ DMS上で格納されてる文書のアクセス権が文書に適用され、ファイルが開かれる（閲覧が許可されている場合）. 5 © Copyright 2010 EMC Corporation. All rights reserved.. 22.

(23) 3）クライアント・プラグイン事例ＣＡＤプラグイン※. IRM Client Integration APIを利用しＡｕｔｏCADに「Rights」メニュー項目を追加し、ＤＷＧファイルの保護を可能にする。. ※上記の画面はイメージです © Copyright 2010 EMC Corporation. All rights reserved.. 23.

(24) 4）カスタムアプリの作成：ビューアのサンプルアプリ. IRM SDKに含まれる、カスタムアプリケーションのサンプル「IRM Image Viewer」でイメージファイルのＩＲＭ保護は可能. © Copyright 2010 EMC Corporation. All rights reserved.. 24.

(25) IRM for AutoCAD デモ（保存時）. © Copyright 2010 EMC Corporation. All rights reserved.. 25.

(26) IRM for AutoCAD デモ（オープン時）. © Copyright 2010 EMC Corporation. All rights reserved.. 26.

(27) ドキュメンテーションとサンプルコード. ドキュメンテーション. サンプルアプリ. y Client SDK API Reference. y クライアント側プラグインのソースコード. y Server SDK API Reference. y 復号プログラムのソースコード及びコンパイル済みバイナリファイル. y IRM Server Management API for C Reference y IRM Server Extension API for COM Reference y Readme y サンプルアプリのインストールガイド. – プログラムによるファイルの復号化. y WebサービスIRM Server Extensionのソースコード及びコンパイル済みバイナリファイル – 外部ユーザ認証システムとの連携に使用 – 文書管理システムやアプリとの連携に使用. y “docreg”アプリケーションのソースコード及びコンパイル済みバイナリファイル – コマンドラインからのIRMサービスの利用。 (Windows 2000/XP). © Copyright 2010 EMC Corporation. All rights reserved.. 27.

(28) IRMについてのサポートリソース EMC Developer Network https://community.emc.com/docs/DOC-3503. y ＳＤＫのダウンロード y トレーニング・ビデオ y ホワイトペーパー y コードサンプル y フォーラム/ディスカッション/Ｑ＆Ａ. © Copyright 2010 EMC Corporation. All rights reserved.. 28.

(29)

(30)