Office 365 に標準装備されている電子メールの誤送信防止機能 5 点

  • Article

巷では昨今、情報漏えいやその代償について大きく話題となっています。いったん情報漏えいをしてしまうと企業はとても大きな代償を払わなければなりません。過去の事例を見るとその値段は漏えいした内容によって様々ですが、1 件当たり 500 円とも 1 万円とも言われています。場合によっては 1 件当たり数万円の代償を支払っているケースもあるようです。漏えいの原因としてはハッキングや内部犯行、盗難などもありますが、一般的にその割合は合計で 20% 未満、圧倒的に多いのは管理ミスや操作ミスといわれています。その中でも、メールの誤送信については対策を講じておく必要があります。Office 365 では標準で様々な誤送信対策を講じることができます。Exchange Online 導入の際は、以下の 5 つの設定を行っておくとよいでしょう。

 

1. メールヒント

メールヒントは、あらゆるプランの Exchange Online や Office 365 のメールで Outlook Web App または Outlook 2010 以上の Outlook クライアントを組み合わせて利用する場合に利用可能です。

組織外の受信者を To/CC に指定すると警告を表示します。

  

 

2. 遅延送信

Outlook を利用している場合は、仕分けルールを使って Exchange の遅延送信を設定することができます。たいていの場合、送信ボタンを押した後すぐに間違えに気づくため、1 分から数分くらいの遅延を設定しておけばほとんどの事故は防げるでしょう。これは、エンドユーザーが個別に設定します。

 

この設定を行うと、送信ボタンをクリック後、指定した時間だけメールが送信トレイに滞留し、その後本当に送信されます。設定方法の詳細については、ブログ記事「Outlook で Exchange Online メールの遅延送信オプションを設定する」を参照してください。

 

3. トランスポートルール

トランスポートルールは、管理者がサービス側で特定の条件に応じてメールフローを制御する仕組みです。Office 365 Midsize Business/Enterprise/Education に含まれるメール機能であれば、管理画面で設定することができます。ここでは、トランスポートルールを使って情報漏えいを防ぐために便利な仕組みをいくつかご紹介します。

尚、いずれの場合も設定は Exchange 管理ポータルの [メールフロー]-[ルール]から [新しいルールの作成...] を選択します。ダイアログボックスの [その他のオプション]をクリックして、すべてのオプションを表示するようにしてください。

 

[このルールを適用する条件] では、[受信者...] [外部/内部である] を選択します。

 

受信者の場所として [組織外] を選択して [OK] ボタンをクリックします。これで、ルールの適用条件として、受信者が組織外にいる場合であることが設定されました。

 

3-1: 組織外へのメールを禁止する

まず、極端な例としてすべての組織外へのメールをブロックし、不達メッセージ (NDR) を返す例を見てみましょう。クラウドメールであっても、完全に組織内だけでの利用に限定することも可能です。

 

この設定では、適用条件に受信者が組織外であることを設定したうえで、実行する処理として [メッセージをブロックする...] [メッセージを拒否してその説明を含める] を選択します。

 

[テキストの入力] リンクをクリックして、その理由を簡単に記載して [OK] ボタンをクリックします。

 

このようにして作成されたルールを適用すると、組織内のエンドユーザーから組織外のアドレスに送ったメールはすべて以下のような不達メッセージが返されブロックされます。 

 

同様に、送信者が組織外の場合にもメッセージを拒否 (NDR を返さないようにすることもできる) するように設定すれば、組織内 -> 組織外への送信、および組織外 -> 組織内への送信の両方がブロックされるため、メール機能を完全に組織内だけで運用することが可能になります。

 

3-2: 組織外へメールをする時は上司の承認を得るようにする

もう少し現実的な運用として、組織外にメールをする際には必ず上司の承認を得るようにルールを設定することができます。実行する処理として [メッセージを転送して承認を受ける...] [宛先が送信者の上司] を選択します。

 

 

これを設定すると、組織外にメールを送信すると、送信者の上司に自動的に以下のようなメールが配信されます。上司はこのメールを見て、[承認] または [拒否] の判断を行うことができます。 

 

 

承認者が拒否をすると、送信者には以下のような NDR が送信されます。

 

承認者は上司のほかに特定の宛先に設定することもできます。また、承認をする代わりに、上司を自動的にCCに加えて送信するなどの処理をすることも可能です。 

 

3-3: 組織外へのメールに免責事項をつける

組織外に送信されるすべてのメールに自動的に免責事項をつけることができます。実行する処理として [メッセージに免責事項を追加する...] [免責事項の追加] を選択します。

 

 

免責事項を指定するときには、HTML タグも含めて指定します。テキストメッセージが送信される際には、タグが削除された状態で付加されます。

 

 

万が一、免責事項が付加できない状況の場合にアクションを選ぶことができます。

 

この状態で組織外にメールを送信すると、受信したメッセージには、以下のように免責事項が自動的に付加されています。

 

4. データ損失保護 (DLP)

データ損失保護はトランスポートルールの機能拡張で、個人情報等の機密情報をトランスポートルールで検出できるようにする仕組みです。トランスポートルールで機密情報の検出を適用条件として利用できるようになることで、情報漏えい対策の幅を広げることができます。この機能は Exchange Online プラン 2 のライセンスが必要です。つまり Office 365 Enterprise E3/E4 または Office 365 Education A3/A4 またはこれらに対応する単体サービスが含まれているライセンスが必要です。

 

機密情報の検出は、ルールの適用条件で [メッセージ...] [機密情報を含む] を選択します。 

 

機密情報の内容としては、各国のいろいろなパターンがテンプレートとして登録されています。これらのテンプレートは Exchange 管理ポータルでカスタマイズすることも可能です。

 

また、ルール適用条件が [機密情報を含む] になっている場合、実行する処理に [ポリシーヒントを利用して送信者に通知する]を選択することができます。

 

通知の後のアクションも様々な方法を選択することが可能です。

 

また、同時にインシデントレポートを生成することも可能です。

 

5. Office 365 Message Encryption

Message Encryption は、組織内で利用される Information Rights Management (IRM) の技術を組織外でも利用できるよう拡張した機能です。この機能を利用することで、メールを受信者まで暗号化して配信することができます。閲覧には認証が必要なため、意図した受信者のみが暗号化されたメッセージを表示できることが保証されます。利用には、Azure Rights Management ライセンスが含まれるサービス、つまり Office 365 Enterprise E3/E4、Office 365 Education A3/A4 または Azure Rights Management 単体、および Enterprise Mobility Suite のライセンスを持っているユーザーが利用することができます。

 

下の図は、暗号化プロセスにおける電子メール メッセージの流れをまとめたものです。

1. Exchange Online ユーザーが受信者にメッセージを送信します。
2. メッセージは、暗号化の条件を規定した管理者定義のルールに基づいてフィルターされます。
3. Office 365 組織のテナント キーがアクセスされ、メッセージが暗号化されます。
4. 暗号化されたメッセージが受信者の受信トレイに配信されます。
5. 受信者は、HTML 添付ファイルを開いて、Office 365 暗号化ポータルに接続します。
6. 受信者は、Microsoft アカウントまたは Office 365 組織アカウントを使用して認証します。
7. Office 365 組織のテナント キーがアクセスされ、メッセージから暗号化が解除されて、ユーザーに復号化されたメッセージが表示されます。

 

Message Encryption は、トランスポートルールによって条件設定で自動適用するように設定します。

 

Message Encryption で暗号化されたメールは、受信者側では以下のように受信されます。メールに はHTML 添付ファイルが追加されています。受信者はこの添付ファイルを使用して暗号化ポータルにサインインし、暗号化されたメッセージを表示します。電子メール メッセージには、次の例に示すように、暗号化されたメッセージを表示するための手順が記載されています。

 

受信者は、この HTML 添付ファイルを使ってポータルにサインインして、メールを読むことができます。以下が、メール本文を表示している例です。サインインした受信者がポータルで操作を行わない時間が 15 分経過すると、受信者は自動的にサインアウトされて、タイムアウト ページが表示されます。

 

受信者側の組織も Office 365 を利用している場合、Message Encryption を解除するトランスポートルールを適用して、通常のメールのように送受信することも可能です。