Rights Management では、ドキュメントの保護に暗号化アルゴリズムとライセンスを使用しています。Rights Management はドキュメントを暗号化するときに、クライアントアプリケーションに渡す DocKey という復号キーを生成して管理します。ドキュメントを保護するポリシーでオフラインアクセスが許可されている場合は、そのドキュメントにオフラインでアクセスできるユーザーごとに、「プリンシパルキー」というオフラインキーも生成されます。
注意: プリンシパルキーがない場合は、ドキュメントを保護するために Rights Management で生成されます。
ポリシーで保護されたドキュメントをオフラインで開くには、対応するプリンシパルキーがユーザーのコンピューター上に存在している必要があります。コンピューターがプリンシパルキーを取得するのは、ユーザーが Rights Management と同期したとき、つまり保護されたドキュメントをオンラインで開いたときです。このプリンシパルキーが侵害されると、ユーザーがオフラインでアクセスできるドキュメントも侵害される可能性があります。
オフラインドキュメントへの脅威を減らす方法はいくつか考えられます。その 1 つは、機密性を重視するドキュメントへのオフラインアクセスを許可しないというものです。プリンシパルキーを定期的にロールオーバーするという方法もあります。Rights Management によってキーのロールオーバーが行われると、既存のキーではポリシーで保護されたドキュメントにアクセスできなくなります。例えば、犯罪者が盗んだコンピューターからプリンシパルキーを取得したとしても、ロールオーバーが行われると、そのキーを使用しても保護されたドキュメントにアクセスすることはできません。特定のプリンシパルキーが侵害されたと思われる場合は、そのキーを手動でロールオーバーすることができます。
ただし、キーのロールオーバーは 1 つのプリンシパルキーだけでなく、すべてのプリンシパルキーに影響を及ぼすことに注意してください。また、システムのスケーラビリティも低下します。なぜなら、クライアントがオフラインアクセスのために格納する必要のあるキーが増えるからです。キーのロールオーバーのデフォルトの頻度は 20 日です。この値を 14 日未満に設定することは好ましくありません。なぜなら、ユーザーがオフラインドキュメントを表示できなくなる可能性があり、システムパフォーマンスに悪影響を及ぼす可能性もあるからです。
次の例では、2 つのプリンシパルキーのうち、Key1 のほうが古く、Key2 のほうが新しいキーです。「今すぐキーをロールオーバー」ボタンを最初にクリックすると、Key1 が無効になり、新しい有効なプリンシパルキー(Key3)が生成されます。ユーザーが Key3 を入手するのは、Rights Management と同期するとき(通常は保護されているドキュメントをオンラインで開くとき)です。ただし、ポリシーで指定されているオフラインリース期間の上限に達するまでは、Rights Management との同期は強制されません。キーのロールオーバーを初めて行った後も、オフラインのままのユーザーは、オフラインリース期間の上限に達するまでは、Key3 で保護されているものも含めて、オフラインドキュメントを引き続き開くことができます。「今すぐキーをロールオーバー」ボタンを 2 回目にクリックすると、Key2 が無効になり、Key4 が作成されます。2 回のキーのロールオーバー中にオフラインのままだったユーザーは、Rights Management と同期するまでは、Key3 または Key4 で保護されているドキュメントを開くことができません。
セキュリティについて詳しくは、『Adobe LiveCycle の概要』を参照してください。
キーのロールオーバーの頻度の変更
Rights Management では、オフラインドキュメントを使用する場合に、機密性を確保する目的で自動的にキーのロールオーバーが行われるようにするオプションがあります。キーのロールオーバーのデフォルトの頻度は 20 日です。この頻度は変更することができます。ただし、この値を 14 日未満に設定することは好ましくありません。なぜなら、ユーザーたちがオフラインドキュメントを表示できなくなる可能性があり、システムパフォーマンスに悪影響を及ぼす可能性もあるからです。
Rights Management ページで、設定/キー管理をクリックします。
「キーのロールオーバーの頻度」ボックスに、ロールオーバー頻度を示す日数を入力します。
「OK」をクリックします。
手動によるプリンシパルキーのロールオーバー
オフラインドキュメントの機密性を維持するために、プリンシパルキーを手動でロールオーバーすることができます。手動でキーをロールオーバーすることが必要になる場合があります(例えば、ドキュメントにオフラインアクセスできるようにキャッシュされているコンピューターからキーが盗まれ、キーが侵害された場合)。
重要: 手動によるロールオーバーを頻繁に行うのは好ましくありません。なぜなら、すべてのプリンシパルキーがロールオーバーされるので、一時的にユーザーたちが新しいドキュメントをオフラインで表示できなくなる可能性があるからです。
プリンシパルキーは、クライアントコンピューターに以前からあったキーを無効にするまでに 2 度ロールオーバーする必要があります。プリンシパルキーを無効にしたクライアントコンピューターは、新しいプリンシパルキーを取得するには、Rights Management サービスと再同期される必要があります。
Rights Management ページで、設定/キー管理をクリックします。
「今すぐキーをロールオーバー」をクリックして、「OK」をクリックします。
10 分程度待ちます。サーバーログに、「Done RightsManagement key rollover for N principals.」というログメッセージが表示されます(ここで、N は Rights Management システム内のユーザー数を示します)。
「今すぐキーをロールオーバー」をクリックして、「OK」をクリックします。
10 分程度待ちます。
