【AIP with ExO】社外秘ドキュメントの外部誤送信をブロックする
【今回のテーマ】
組織ドメインをコントロール範囲に設定した保護ラベルが付与されたドキュメントが、保護なしラベルを付与したメールによって外部ユーザーに誤送信されるのを防ぐ手順をご紹介します。
【どういうことか?】
参考画像のように、組織ドメインをコントロール範囲に設定した保護ラベルがあるとします。(以下[社外秘ラベル]と記載します)
補足:[保護] > [アクセス許可の追加] > [追加 “ドメイン名” -すべてのメンバー] を選択すると、[ユーザー] に組織ドメインが追加され、組織ドメインをコントロール範囲に設定された保護ラベルが作成可能です。
また、保護を付与していないラベルも存在するとします。(以下 [公開ラベル] と記載します)
この2通りのラベルが存在するシーンにおいて、メールには公開ラベル・添付ファイルには社外秘ラベルを付与した上で、宛先に外部ドメインユーザーを指定し送信した場合、送信が可能となります。
「どうせ送付先のユーザーはファイルを開けないし良くない?」という意見と、「可能であれば誤送信として防ぎたい!」という意見があると思います。今回の記事は後者にフォーカスを当てた記事となります。
※こういったセキュリティポリシーの考え方は、環境や組織で大きく異なると思うので、私自身が後者を推奨するといった内容の記事ではございません、あくまで手順のご紹介となります。「やりすぎは良くない」と「出来るならやるべき」は状況や立場によって逆転する主張かと思います。
【手順】
1. AIP ラベル ID を控えます。
・[AIP] > [ラベル] > [ラベル選択] > 一番下に記載
※PowerShell でも取得可能です。
2. Internet Explorer() で Exchange 管理センターを開き、[メール フロー] > [ルールの新規作成…] をクリックします。
※Google Chrome/Edge だと手順3が行えませんでした。。。
3. メールの検出条件を以下の通り設定します。
・[名前]:任意
・[このルールを適用する条件]①:受信者の場所が/組織外
・[このルールを適用する条件]②:添付ファイルが/これらのプロパティが次の単語のいずれかを含む/プロパティ及び値を指定
4. [プロパティ及び値を指定] を選択した際に表示される画面で [+] をクリックし、表示されるポップアップで以下の通り入力します。
・[ラジオボタン]:カスタム添付ファイルのプロパティを指定
・[プロパティ]:MSIP_Label_“手順①で控えたラベル ID”_Enabled
・[値]:True
※入力完了後、[保存] > [OK] と進みます。
5. 検出時の処理として、以下を指定します。(今回は例としてメール送信をブロックし、その理由を送信者に掲示します)
・[実行する処理]:メッセージをブロックする/メッセージを拒否してその説明を含める
・[拒否の理由の指定]:(例)組織内のみ閲覧可能な添付ファイルが組織外へ送付されました!
※入力完了後、残りの項目を適宜入力し [保存] をクリックします。
【動作確認】
1. 社外秘ラベルを付与したテストファイルを作成します。
2. 公開ラベル付きのメールにテストファイルを添付し、組織外ドメインのユーザーを宛先に指定し、送信します。
3. メール送信がブロックされることを確認します。
※ブロックされた理由も確認が可能です
【まとめ】
今回は、社外秘ラベルが付与されたファイルのメール誤送信を防ぐ手順をご紹介しました。
手探りで検証した手順となりますので、手順誤りなどあればご指摘いただければと思います。
本手順の注意事項として、パスワード付き Zip 化された添付ファイルの場合、上記手順での検出はされません。
※AIP とパスワード付き Zip を同時に運用している組織はないと思いますが(超私見)
また、個人的には Outlook クライアント利用時だけでもいいので、コントロール権を持たないユーザーにメール or 添付ファイルが送付されそうな場合、警告を表示して欲しいなとは思います。(User Voice であるかな?)
【参考情報】
