Windows10の新しいデータセキュリティモデル「Enterprise Data Protection(EDP)」について(2/2)
Windows10のEnterprise Data Protection(EDP)の中身について、詳細は分からない部分も多いですが、以下サイトに記載されている情報を頼りに整理したいと思います。
Enterprise Data Protection overview (Preliminary)
Windows 10 introduces new model for data security with Enterprise Data Protection - AirWatch Blog
まず、あるデータを「企業データ」だと指定すると、EDPがそのデータがどこにどのように共有されたか追跡をするようになります。
その上で、EDPでは4つの保護レベルを設定する形になります。
①Block : 不適切なデータ共有を発見すると共有を停止する
②Override : 不適切なデータ共有を発見すると、従業員にその動作が不適切であることを知らせる。しかし、この保護レベルの場合、従業員がデータの共有レベルを上書きすることができる。(しかし監査ログとしては残る)
③Audit : バックグラウンドで動作し、不適切なデータ共有はブロックせずに記録しておく。
④Off : データ保護機能は動作しない
例えば、ある企業データを従業員が個人デバイスからDropboxやTwitterへ共有しようとしたとします。その場合、①で設定していれば、その共有操作自体が制限され不可能になります。②で設定されていれば、共有時にプロンプトが表示され、企業データを個人データとして上書きすることを承諾すると、共有自体は可能になるものの、上書きの結果がすべて監査ログとして残るといった具合です。
また、データを「企業データ」として指定するにあたって、企業のファイルサーバやSharePoint,Web上の企業データ置き場(Office365など)からコピーされたデータは全て「企業データ」として指定し、暗号化させることができるようです。
一度「企業データ」として指定したデータは、ローカルにダウンロード後にUSBなどの外部デバイスにコピーしたとしても、暗号化は解除されないとのこと。
そして、「Privileged Apps」という概念もあるようで、アプリケーションも「企業アプリ」と「個人アプリ」の色付けが可能で、「企業データ」には「企業アプリ」でしかアクセスできないといったコントロールができるようです。
また、そのために既存のアプリケーション改修などは不要とのこと。
(現状のEMMソリューションではアプリケーションのWrappingやSDKによる改修が必要な場合がほとんどです)
「企業データ」としての指定方法や、既存のEMM・MDM製品とのインテグレーションなど、まだまだ不明な点は多いものの、iOSを上回るデータ保護機能が実装されていることは間違いないです。
このあたりは、これまでも企業向け市場にフォーカスしてきたWindowsならではの機能追加であると感じます。
こういった機能が国内の市場に認知・評価されるまでには時間がかかりそうですが、有力なMDMベンダや資産管理ソフトベンダがサポートし、アナウンスしだすと一気に利用されるのかなと。(要注目です)