Windows 10 があなたの情報を守る ～Windows Information Protection～

1. Session ID: SEC-012
本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 開催日（2016年11月1－2日）時点のものであり、予告なく変更される場合があります。

2. ...は宛先を間違えて
機密情報を送った経験がある1
58%
...の上級管理者は
会社のデータを個人の
メールやクラウド サービスに
日常的に転送している1
87%
全業種含めた
平均的な 1 レコードあたりの
情報漏えいのコスト2
$240
レコード
あたり
2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, March 30, 2012
1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013

3. DEVICE
PROTECTION
(デバイス保護)
DATA
SEPARATION
(データ分離)
LEAK
PROTECTION
(持ち出し防止)
SHARING
PROTECTION
(共有保護)
デバイス紛失時や
盗難時のシステムと
データの保護
個人データと
組織データとを
分離
未許可のユーザーや
アプリからの
アクセスやデータの
持ち出しを防止
他者との
データ共有や
組織外のデバイス
利用時のデータ保護
Windows Information Protection Azure Information ProtectionBitLocker

4. 企業内のデータを保護
自然な操作で
アプリでの利用を制限
監査ログの取得

5. Microsoft Tech Summit

6. 企業のデータとアプリ
暗号化される
個人の
データとアプリ
ブロック
(コピー & ペースト禁止)
コピー & ペースト可能
(ただし暗号化)
復号化して
添付や送信可能
a

7. 個人の
データとアプリ
暗号化されない
企業の
データとアプリ
暗号化される
Y/N
ブロック
• 企業 → 個人への移動を禁止
無視（オーバーライド）
• 企業 → 個人への移動時に確認あり
• 監査ログに記録
サイレント
• 企業 → 個人への移動が可能
• 監査ログに記録
オフ
• WIP の保護なし
Y/N
Logging

8. Skype for
Business Facebook
OneDrive
for
Business WhatsApp
Power
Point OneDrive
PDF Reader Weather
企業用
アプリとデータ
(管理対象)
個人用
アプリとデータ
(管理対象外)
データのやり取りが
ブロックまたは監査される
WIP 対応
アプリとデータ
Calendar
Photos
eMail
Contacts
WIP 対応アプリ
WIP 非対応アプリ
個人用アプリ
企業
個人
• データは暗号化されて保存される
• データは分離される
• データ交換はブロックまたは監査される
• 企業用と定義された領域にアクセス可能
• データが企業用か個人用かを選択できる
• 企業用と定義された領域にアクセス可能
• データは暗号化されずに保存される
• 暗号化された (企業用) ファイルにアクセス不可
• 企業用と定義された領域にアクセス不可

9. Microsoft Tech Summit

10. 個人領域
企業領域

11. WIP API の実装 実装あり 実装なし
WIP ポリシー実行 アプリ自身が実行 Windows が代理実行
企業データと個人データ 企業と個人を区別 全て企業 or 全て個人
アプリのポリシー
企業
個人
企業
個人
ファイル共有
フォルダー
クラウド
リソース
企業 個人 企業 個人

12. 個人領域
企業領域

14. WIP 対応ブラウザー WIP 非対応ブラウザー
アプリのポリシー
企業サイト
個人サイト
企業 個人 企業 個人

15. 個人領域
企業領域

16. 個人領域
企業領域

17. Microsoft Tech Summit

18. Microsoft Tech Summit

19. オペレーティング
システム
Windows 10 バージョン 1607 以上
Windows 10 Mobile バージョン 1607 以上
管理ソリューション
Microsoft Intune
- or -
System Center Configuration Manager
(1606 以降)
- or -
サード パーティ製の
モバイル デバイス管理 (MDM) ソリューション

20. 個人領域
企業領域

22. System Center
Configuration
Manager
MDM – optional
(Intune or 3rd-party)
Allowed apps:
Corporate network boundary:
¥¥internal_file_share
DRA cert:
Cert
Corporate identity:
corp.microsoft.com
Clipboard restriction mode:

23. 許可
• WIP ポリシーが適用される
• WIP 対応アプリは企業データと個人データの
それぞれを区別して取り扱いできる
• WIP 非対応アプリはすべてを企業データ
として取り扱う
除外設定
• WIP ポリシー適用から除外される
• 個人アプリであるが企業データを取り扱う
ことができる
• データ漏洩の可能性に注意
（アプリ互換に限定して利用すべき）

24. • アプリの発行元と製品名を指定
• アプリの発行元と製品名は Windows ストアを利用して取得可能
• アプリをインストール済みであれば PowerShell で取得可能
• 内製アプリは Visual Studio の AppManifest から取得可能
• アプリの発行元、製品名、バイナリ名、バージョンを
組み合わせて指定
• 参照用デバイスにアプリをインストールし、PowerShell で情報を取得
• AppLocker ポリシーをファイルにエクスポートして取り込む
• ストア アプリとデスクトップ アプリを一括して指定可能
• アプリの登録数が多い場合におすすめ

25. • WIP 対応アプリを許可
（Microsoft Edge, IE, Notepad, リモート デスクトップ接続...）
• Office Mobile は許可
• デスクトップ版 Office は WIP 対応版を許可（現在は未対応）
• 企業データのみにアクセスする業務アプリは許可
• 業務アプリのテスト時には許可（テスト終了後に規則を見直す）
• 個人アプリ、特に企業＆個人の両方にアクセスする可能性のあるアプリを
許可しない（Chrome や Firefox など）
• デスクトップ版 Office の WIP 非対応版は許可しない（2016 以前）
• WIP 非対応アプリの動作に支障がある場合は除外設定を検討する
（ただし情報漏えいの可能性がある)

26. ブロック
• 貼り付け、ドロップ、共有を禁止
• 制限のきついシナリオ向け
無視
• 貼り付け、ドロップ、共有の際に確認あり
• 一般的なシナリオ向け
サイレント
• 貼り付け、ドロップ、共有が今まで通り可能
• 導入検証シナリオ向け
オフ
• WIP を使用しない

27. 企業 ID
• 最初に記述した ID は WIP のタグになる
• メール ドメイン等、すべてのドメインを指定
• 企業 ID は変更できなくはないが大変
企業ネットワークの定義
• 企業領域とするネットワーク リソースを指定
• エンタープライズ ネットワーク ドメイン名
• エンタープライズ クラウド リソース
• エンタープライズ IP アドレス範囲
• エンタープライズ プロキシ サーバー
• エンタープライズ内部プロキシ サーバー
• ニュートラル リソース

28. • 企業リソースと個人リソースの両方にアクセス可能
• 自動で暗号化＆復号化処理
• ローカルのファイルにアクセス可能
ホスト名指定でアクセス
• 企業リソースへのアクセスはブロックされる
• 暗号化＆復号化はしない
• ローカル ファイルへのアクセスはできない
• 企業リソースと個人リソースの両方にアクセス可能
• 暗号化＆復号化はしない
• ローカルのファイルにアクセス可能
許可
(企業)
指定なし
(個人)
除外
IP アドレス指定でアクセス (/*AppCompat*/ なし)
• 企業＆個人リソースにアクセス不可
• 暗号化＆復号化はしない
• ローカル ファイルにアクセス不可
IP アドレス指定でアクセス (/*AppCompat*/ あり)
• 企業＆個人リソースにアクセス可能
（ポリシーの影響は受ける）
• 暗号化＆復号化はしない
• ローカル ファイルにアクセス不可

29. アイコン オーバーレイ
• WIP ファイルと非対応アプリにアイコン
• はいを推奨
DRA 証明書
• WIP ファイルの修復に必要
[個人用] オプション表示
• はいを推奨
デバイス ロック時にデータアクセス拒否
• いいえを推奨（Windows 10 Mobile のみ）
Windows Search の許可
• はいを推奨
登録解除時に暗号化キーを取り消し
• はいを推奨（MDM のみ）

30. 秘密鍵 (.PFX) を証明書ストアに
登録する際に使用するパスワード
公開鍵 (WIPDRA.CER) と
秘密鍵 (WIPDRA.PFX) が作成される
• WIP ポリシー設定の DRA 証明書には、ここで作成した公開鍵 (.CER) を指定
• 公開鍵と秘密鍵のペアをきちんと保管しておくこと
（WIP 暗号化ファイルの復旧時に会社のマスター キーとして利用する）
• AD の証明機関を利用している場合は、AD の EFS DRA 証明書の利用がおすすめ

40. Microsoft Tech Summit

43. Microsoft Tech Summit

45. aEZQAR]ibr{qU@M]BXN
oHp9nMDAtnBfrfC;jx+
Tg@XL2,Jzu
()&(*7812(*:

46. Microsoft Tech Summit

47. System Center
Configuration
Manager
MDM – optional
(Intune or 3rd-party)

48. Microsoft Tech Summit

49. aEZQAR]ibr{qU@M]BXN
oHp9nMDAtnBfrfC;jx+
Tg@XL2,Jzu
()&(*7812(*:

50. aEZQAR]ibr{qU@M]BXN
oHp9nMDAtnBfrfC;jx+
Tg@XL2,Jzu
()&(*7812(*:
NEW

51. aEZQAR]ibr{qU@M]BXN
oHp9nMDAtnBfrfC;jx+
Tg@XL2,Jzu
()&(*7812(*:
NEW

52. Microsoft Tech Summit

53. 個人領域
企業領域

54. 個人領域
企業領域

55. 個人領域
企業領域
??
?
?
?
?

56. Microsoft Tech Summit

57. 個人領域
企業領域
共存可能 共存可能
WIP 対応
デバイス間でファイルの
共有は不可 (WIP 鍵が別)
暗号化されたまま

59. Day 時間 セッションID Room タイトル
Day 1 11:30 - 12:20 CLD013 Room 6 一体どこまでできるの！？ クラウドを使用した Windows 10 管理 ～明日からできるクラウ
ドからのPC管理～
Day 1 12:45 - 13:35 SEC013 Room 3 その資格情報、簡単に盗まれますよ～攻撃者の手口と Active Directory & Windows 10 の対
策方法
Day 1 14:00 - 14:50 SPL004 Room 6 Surface from ideation to manufacturing
「Surface - コンセプトから製品化までの裏側 - 」（英語セッション,同時通訳）
Day 1 15:15 - 16:05 DEP004 Room 3 Windows Server 2016 標準機能とクラウド活用で、ここまで出来るセキュリティ対策
Day 1 15:15 - 16:05 SEC009 Room 7 Windows 10 とクラウドリソースの利用を安全にする Better Together シナリオ
Day 1 16:30 - 17:20 SEC008 Room 3 Azure AD でクラウドの認証基盤を統合したいけど、ID の安全性はどう確保する？
Day 1 16:30 - 17:20 DEP007 Room 4 WaaS に対応したアップデート配信基盤の設計
Day 1 16:30 – 17:20 APP014 Room 7 デスクトップ アプリを Windows ストア で公開するには
Day 1 17:45 - 18:35 SEC015 Room 1 クライアントへの侵入を検出する Windows Defender ATP の威力
Day 1 17:45 – 18:35 SEC004 Room 6 Cloud First, Mobile First における ID 管理とは？-人 ( Identity ) からはじまるアクセス制御-

60. Day 時間 セッションID Room タイトル
Day 2 09:00 - 09:30 DEP008 Room 7 Windows ストアは業務の邪魔者？ ～企業向け Windows ストアを活用した最適なアプリ展
開と管理手法～
Day 2 09:55 – 10:25 SEC017 Room 2 なぜ Windows 10 は史上最も安全といわれるのか？ ～RED TEAM のアプローチ～
Day 2 09:55 - 10:25 SEC019 Room 5 30分で理解 ! 初心者向け Active Directory の "フェデレーション" 構成パターン
Day 2 10:50 – 11:40 PRD008 Room 2 日本初！“Windows 10 Team” OS ベースの新デバイス、Surface Hub のすべて～
Day 2 10:50 - 11:40 SEC014 Room 4 ゼロデイ攻撃やランサムウェアの脅威に打ち勝つために～ Device Guard 徹底解説
Day 2 10:50 - 11:40 SEC012 Room 7 Windows 10 があなたの情報を守る ～Windows Information Protection～
Day 2 13:10 – 14:00 CLD027 Room 6 Windows の第一人者が語る！Windows as a Service の全貌
（英語セッション,同時通訳）
Day 2 14:25 – 15:15 SEC003 Room 3 セキュリティマニアックス ～インフラ編 サイバー攻撃からビジネスを守る！～
Day 2 14:25 - 15:15 CLD024 Room 6 Windows の第一人者が語る! Windows 10 の現実と WaaS 導入 -実践編-
（英語セッション,同時通訳）
Day 2 15:40 - 16:30 CLD016 Room 3 "Windows 10 と Windows Server 2016 で何が変わる？“ ～ 新しい認証方式、Windows 10
New VPN～
Day 2 15:40 - 16:30 SEC016 Room 5 詳説 - Rights Management Services / Azure Information Protection
Day 2 15:40 – 16:30 PRD009 Room 8 Windows 10 Mobile のセキュリティ設定と導入・管理のコツ

61. Day 時間 セッションID Room タイトル
Day 2 16:55 – 17:45 SEC011 Room 3 セキュリティマニアックス ～クライアント編 Windows 10 vs Windows 7～
Day 2 16:55 – 17:45 PRD014 Room 8 これが最新のワークスタイルだ!～ Windows 10 Mobile でお仕事を楽しむ方法
Day 2 18:10 - 19:00 SEC007 Room 1 条件付きアクセスを徹底理解 - Azure Active Directory で実現する場所とデバイスの“条件付き
アクセス制御”-
Day 2 18:10 - 19:00 CLD009 Room 5 お待たせしました！ 真の VDI on Azure がついに実現します！ ~ Citrix と Microsoft のタッ
グがもたらす次世代型クラウド・デスクトップ環境 ~
Day 2 18:10 - 19:00 DEP010 Room 7 進化し続ける OS インフラへの挑戦 ～WaaS 時代のアプリ互換の考え方～