IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MS365&Entra > 【Exchange Online×Purview】メール情報開示
最終更新日

【Exchange Online×Purview】メール情報開示

MS365&Entra インフラ

Microsoft 365 Exchange Online × Purview メール情報開示

法人向けMicrosoft 365のメールサービス「Exchange Online」のメールに関して、同社のコンプライアンス管理サービス「Microsoft Purview」を使用した情報開示の方法を紹介します。
これにより、メールによる不正な情報流出の有無確認や、訴訟時の証拠としてのデータ提供を行うことができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)

 

 

メールによる情報流出対策について

冒頭の説明で「訴訟時の証拠としてのデータ提供」と記載しましたが、いきなりそうはならずとも、「メールによる不正な情報流出の有無確認」は組織でメールを運用するのに必要な対応と考えます。

 

この記事では、組織内のメンバーが組織外のメールアドレス(自身の個人メールアドレスを含む(*))宛に、機密性の高いファイルを不正に外部送信しているかどうかを毎月確認するという運用シナリオを想定し、設定例を紹介します。

*組織の環境やルールにもよりますが、第三者に無断送信しなくても、メンバーが自身の個人メールアドレスに無断送信することは、一般的には情報流出に該当します。中にはこの認識がないメンバーもいます。社会人経験の浅い若年層とは限らず、仕事とプライベートの境界が曖昧な環境で働いているメンバーや、副業を行っているメンバーにも注意が必要です。厳格に運用するなら、組織規程や契約書等に禁止事項として明記し、誓約書にサインをさせる位のことをしても良いと考えます

 

Exchange管理C 訴訟ホールド有効化

Microsoft Exchange管理センターにアクセスし、左メニューの[受信者>メールボックス]を選択し、ユーザーを選択します。
右側に表示された設定項目の[その他]タブにある[訴訟ホールドの管理]を選択します。

図表2-1 Exchange管理センターの訴訟ホールドの設定へ

図表2-1 Exchange管理センターの訴訟ホールドの設定へ

 

[訴訟ホールド]のオプションを[オン]にし、ホールド期間を必要に応じて設定し(無期限の場合は空白)、[保存]を選択します。
これでユーザーがメールボックスから削除したメッセージも検索できるようになります。
他のユーザーも同じ要領で設定します。

図表2-2 訴訟ホールドの設定

図表2-2 訴訟ホールドの設定

 

Purview 情報開示のアクセス許可設定

Microsoft Purviewにアクセスし、左メニューの[設定]を選択し、サブメニューの[役割とスコープ>役割グループ]を選択し、[eDiscovery Manager]を選択します。

図表3-1 Microsoft Purviewのアクセス許可設定へ

図表3-1 Microsoft Purviewのアクセス許可設定へ

 

右側に表示された詳細画面の[編集]を選択します。

図表3-2 アクセス許可設定(編集)

図表3-2 アクセス許可設定(編集)

 

[電子情報開示マネージャーの管理]画面が表示されたら、[ユーザーの選択]を選択します。

図表3-3 アクセス許可設定(マネージャー選択)

図表3-3 アクセス許可設定(マネージャー選択)

 

この例では、システム管理者を選択し、次へ進みます。

図表3-4 アクセス許可設定(マネージャー選択の続き)

図表3-4 アクセス許可設定(マネージャー選択の続き)

 

[電子情報開示管理者の管理]画面が表示されたら、[ユーザーの選択]を選択します。
この例では図表3-4と同じ要領でシステム管理者を選択し、先に進みます。

*画面の説明にもありますが、マネージャーは一部のケース、管理者は全ケースを扱うことができます

図表3-5 アクセス許可設定(管理者選択)

図表3-5 アクセス許可設定(管理者選択)

 

[保存]を選択します。

図表3-6 アクセス許可設定(保存)

図表3-6 アクセス許可設定(保存)

 

[完了]を選択します。

*工程4以降の作業は、この工程でアクセス許可したユーザーのみが実行できます

図表3-7 アクセス許可設定(設定完了)

図表3-7 アクセス許可設定(設定完了)

 

Purview 送信メールのコンテンツ検索設定

左メニューの[ホーム]を選択し、[すべてのソリューションを表示する]を選択します。

図表4-1 Microsoft Purviewのメインメニュー選択

図表4-1 Microsoft Purviewのメインメニュー選択

 

[電子情報開示]を選択します。
サブメニューの[ケース]を選択し、[ケースを作成]の右の下矢印を選択し、[検索を作成]を選択します。

図表4-2 電子情報開示のケース作成へ

図表4-2 電子情報開示のケース作成へ

 

[ケース名]と[検索名]を適宜入力し、[作成]を選択します。

図表4-3 電子情報開示のケース作成(詳細入力)

図表4-3 電子情報開示のケース作成(詳細入力)

 

画面左下の[Add data sources]を選択します。
[People]を選択し、対象ユーザーを検索して追加し、今回はメールを対象とするので[Site]のチェックを外し、[保存]を選択します。

*Groupsからユーザーをまとめて対象にしようとしても、ユーザーのメールボックスが対象にならないので、ご注意ください

図表4-4 電子情報開示のケース作成(データソース選択)

図表4-4 電子情報開示のケース作成(データソース選択)

 

[キーワードクエリ言語(KeyQL)]タブを選択し、以下クエリを設定します。その際、Web画面に直接入力しづらいので、テキストエディタ等でクエリを入力してからコピー&ペーストすることをお奨めします。

図表4-5 電子情報開示のケース作成(キーワードクエリ)

図表4-5 電子情報開示のケース作成(キーワードクエリ)

 

KeyQLの仕様に関する公式記事のリンクを貼っておきます。

 

以降、毎月確認するのであれば、都度上記クエリのsendの日付を更新し、この後の工程の作業を実施する形になります。

 

Purview コンテンツ検索実施、PSTファイル取得

[Run Query]を選択し、検索ヒット数が表示されるまで待ちます。
検索ヒット数が0件でない場合、[エクスポート]を選択します。

図表5-1 電子情報開示の検索実施・PST取得(検索実施,エクスポートへ)

図表5-1 電子情報開示の検索実施・PST取得(検索実施,エクスポートへ)

 

[エクスポート名]を適宜入力し、[Organize data from different locations into separate folders or PSTs]のチェックを外し、[エクスポート]を選択します。

*上記チェックを外さないと、メールボックス毎にPSTファイルが作成されます。用途に応じて調整してください

図表5-2 電子情報開示の検索実施・PST取得(エクスポート)

図表5-2 電子情報開示の検索実施・PST取得(エクスポート)

 

[エクスポートを開始しました]メッセージが表示されたら、[OK]を選択します。
[プロセスマネージャー]を選択します。

図表5-3 電子情報開示の検索実施・PST取得(エクスポート開始)

図表5-3 電子情報開示の検索実施・PST取得(エクスポート開始)

 

直近のエクスポートの状態が[Completed]になっていたらこれを選択し、ファイルのチェックボックスをオンにし、[Download packages]を選択します。
これで検索結果のPSTファイルをダウンロードできました。

図表5-4 電子情報開示の検索実施・PST取得(エクスポート結果取得)

図表5-4 電子情報開示の検索実施・PST取得(エクスポート結果取得)

 

コンテンツ検索または結果のエクスポートを行うと、電子情報開示管理者宛にメールが届くようになっています。
この例ではシステム管理者一人きりなので意味がありませんが、複数人アサインしておけば興味本位の検索やエクスポートの抑止に繋がります。

図表5-5 電子情報開示の検索実施・PST取得(エクスポートの通知メール)

図表5-5 電子情報開示の検索実施・PST取得(エクスポートの通知メール)

 

Outlookデスクトップアプリ PSTファイル内容確認

前の工程でダウンロードしたzipファイルを展開(解凍)します。中を確認すると、xxxxxx.pstというファイルがあります。
この後、Outlookのデスクトップアプリでこれを読み込み、添付ファイル付きメールを確認します。

図表6-1 OutlookでのPST確認(zip解凍結果の確認)

図表6-1 OutlookでのPST確認(zip解凍結果の確認)

 

Outlookのデスクトップアプリを起動し、上メニューの[ファイル]を選択します。
[アカウント設定>プロファイルの管理]を選択します。

図表6-2 OutlookでのPST確認(データファイル追加へ)

図表6-2 OutlookでのPST確認(データファイル追加へ)

 

[データファイル]を選択します。
[データファイル]タブの[追加]を選択します。
この工程の最初に確認したPSTファイルを選択します。

図表6-3 OutlookでのPST確認(データファイル追加)

図表6-3 OutlookでのPST確認(データファイル追加)

 

追加できたら[閉じる]を選択し、アプリ起動時のメール画面に戻ります。

図表6-4 OutlookでのPST確認(データファイル追加結果)

図表6-4 OutlookでのPST確認(データファイル追加結果)

 

PSTファイル内のメールを確認できるようになりました。
宛先で並べ替えると不正な情報流出を見つけやすくなります。また、メールが大量にあり確認が大変な場合は、送信日時・件名・From・To・添付ファイル名等をExcelに書き出すVBAを用意すると良いでしょう。

図表6-5 OutlookでのPST確認(追加済PSTのメール確認)

図表6-5 OutlookでのPST確認(追加済PSTのメール確認)

 

【2024/11/19追記】
別の記事でOutlook VBAでメールのExcelファイル一覧出力を行う方法を紹介しています。ご興味あればどうぞ。

 

Purview 情報開示の監査ログ確認

情報開示機能の使用状況は監査ログで確認できます。アクティビティのキーワード欄に[情報開示]を入力すると、これに関するアクティビティが表示されますので、目的の情報を見つけやすいです。
また、Web画面だけでなくPowerShellからの使用状況も検索できます。

*左メニューに[監査]が表示されない場合は、左メニューの[ホーム]を選択し、[すべてのソリューションを表示する]を選択して探します

図表7-1 監査ログ確認(検索実施)

図表7-1 監査ログ確認(検索実施)

 

前の画面で検索結果を選択すると、検索条件に該当したアクティビティの一覧が表示されます。日時・ユーザー・アクティビティ等の概況を確認できます。
さらに、アクティビティの一覧から行選択すると、詳細情報を確認できます。
この監査ログにより、情報開示機能の使用が適切かどうか、確認することができます。

図表7-2 監査ログ確認(検索結果確認)

図表7-2 監査ログ確認(検索結果確認)

 

おわりに

実際に情報流出の疑いや事故が発生した後で、情報開示の機能を初めて扱うのは大変ですので、事前に作業を試しておくことをお奨めします。少なくとも、訴訟ホールドの設定はユーザー追加時に実施しておきましょう

 

 

当ブログ内の関連記事

elmgrn.hatenablog.com