Windows 10では、ユーザーのミスを前提とした情報保護機能が追加された。「Windows Information Protection」(WIP)である。Windows 10 Pro以上のエディションおよびWindows 10 Mobile、つまりWindows 10 Home以外のすべてのエディションで利用できる。

 情報を保護する機能として従来のWindowsでは、BitLockerやデバイスの暗号化といった、情報を暗号化する機能を用意していた。これらは、デバイスの盗難や紛失に対しては効果的だが、正規のユーザーが誤って情報を漏洩してしまうことは防げない。そこで導入されたのがWIPだ。

 WIPの基本的な考え方は、データとアプリケーションを、ビジネス(組織)とパーソナル(個人)の二つの領域に分離すること。WIPを利用する場合、管理者はActive DirectoryなどでWIPの設定ポリシーを各パソコンに配布する。ポリシーには、業務で利用するアプリケーションやクラウドサービス、イントラネットのサーバーなどを指定する。指定されたアプリケーションやクラウドサービスなどが作成したデータが業務用データとして認識される。一方、設定ポリシーで指定されていないアプリケーションやサービスは個人用として扱われる。

個人用と組織用の領域を分離
個人用と組織用の領域を分離
Windows Information Protection(WIP)の概要。WIPではデータやアプリケーション、クラウドサービスをビジネスとパーソナルの二つの領域に分け、領域をまたぐデータの移動を制限する。どちらの領域に属するかは、配布されたポリシーに基づいてWindowsが自動的に判断するので、ユーザーが意識する必要はない。ビジネス領域については、MDM製品で管理できる。
[画像のクリックで拡大表示]

 業務用データは、Windowsが自動的に暗号化してビジネス領域に保存する。また、ビジネス領域とパーソナル領域をまたぐデータのコピーやペーストを制限する。さらに、ビジネス領域は組織のMDM製品で管理可能にする。これらにより、業務データをうっかり漏洩するような事態を防ぐ。

 従来のWindowsでも、アプリケーションやデータをビジネス用とパーソナル用に分離し、ビジネス用をMDM製品で管理することは可能だ。だが、サードパーティのMDMクライアント製品を導入する必要がある。一方Windows 10では標準機能として備える。

 実現方法も異なる。従来のWindowsをMDM製品で管理するには、業務データはビジネス用フォルダーに、個人用データはパーソナル用フォルダーに保存するといったユーザーの対応が必要になる。