Windows 10の「WIP」(旧称、EDP)とは?

Windows 10(Homeを除くエディションでサポート、Mobileもサポート)の「Windows Information Protection(WIP)」は、Windows 10 Anniversary Update(バージョン1607)で正式な機能となった、デバイス上の情報保護技術です。「Windows情報保護」と呼ばれることもあります。

正式提供される以前は「エンタープライズデータ保護(Enterprise Data Protection:EDP)」とも呼ばれていました。まずは、WIPとEDPは同じものであることに注意してください。

繰り返しますが、WIPは“デバイス上の情報保護技術”です。前回まで説明した「Active Directory Rights Managementサービス(AD RMS)」と、そのクラウド版ともいえる「Azure Information Protection(AIP)」は、ファイル共有や電子メール、クラウドベースのオンラインストレージなどを介してやりとりされるデータを高度に暗号化保護し、機密情報の漏えいを防止しようとする情報保護技術でした。

一方、WIPはコンピュータやタブレット、スマートフォンといったデバイスに保存されている企業データを、“その場所で保護する”ことを第一の目的としています。使用される暗号化技術は、NTFSの「暗号化ファイルシステム(EFS)」です。

WIPは、モバイル環境を含む企業内で、個人のデバイスや会社のデバイスが混在する環境や、1つのデバイス上で個人アプリと業務アプリを併用するような環境において、個人と企業の領域に境界を設けて、企業領域のデータを暗号化して保護するとともに、企業領域から個人領域への偶発的な、あるいは意図的な漏えいを防止します。

例えば、WIPでは特定のアプリケーション(Microsoft Edgeなど)で、Webサイトやサービスを企業が承認したものと、そうでないものに明確に区別することができます。

また、アプリケーションの保存先によって自動的に暗号化して保存するようにしたり、ユーザー自身に企業データ(作業)と個人データ(個人用)を設定可能にしたりもできます。

さらに、企業用のアプリから、個人用のアプリへのコピー&ペーストを警告したり、完全にブロックしたりすることも可能です。

●WIPはMDMソリューションとの組み合わせで利用可能

WIPはスタンドアロンで動作する機能ではありません。モバイルデバイス管理(Mobile Device Management:MDM)機能を通じてポリシーを配布することで、利用可能になります。例えば、「Microsoft Intune」のMDM管理機能は、WIPの構成に標準で対応しています。

サードパーティーのMDMソリューションでも、公開されている「構成サービスプロバイダー(CSP)」のインタフェースに従うことで、対応が可能です。

繰り返しますが、WIPはデバイス上の企業データをEFSで暗号化して保護します。NTFSボリューム以外の外部ストレージ、オンラインストレージ、電子メールの送信などは保護対象にはなりません。Microsoft Intuneと前回説明したAIPの両方の環境があれば、「Azure RMS(AIPが使用するRMSテンプレート)」を使用して、デバイスから離れるデータに対してAIPの暗号化保護を適用することができます。例えば、企業アプリとして構成したAIP対応のOutlookからの電子メール送信を保護することも可能になります。

 

 

【関連記事】

Microsoft、「Microsoft Remote Desktop」v10.0をMac向けに無償公開

Windows 10の「Microsoftストア」はフォント追加もSurface購入も可能に