【AIP with ExO】社外秘ドキュメントの外部誤送信をブロックする

【今回のテーマ】
組織ドメインをコントロール範囲に設定した保護ラベルが付与されたドキュメントが、保護なしラベルを付与したメールによって外部ユーザーに誤送信されるのを防ぐ手順をご紹介します。

【どういうことか？】
参考画像のように、組織ドメインをコントロール範囲に設定した保護ラベルがあるとします。（以下[社外秘ラベル]と記載します）
補足：[保護] > [アクセス許可の追加] > [追加 “ドメイン名” -すべてのメンバー] を選択すると、[ユーザー] に組織ドメインが追加され、組織ドメインをコントロール範囲に設定された保護ラベルが作成可能です。

参考画像：社外秘ラベル

また、保護を付与していないラベルも存在するとします。（以下 [公開ラベル] と記載します）

参考画像：公開ラベル

この２通りのラベルが存在するシーンにおいて、メールには公開ラベル・添付ファイルには社外秘ラベルを付与した上で、宛先に外部ドメインユーザーを指定し送信した場合、送信が可能となります。

「どうせ送付先のユーザーはファイルを開けないし良くない？」という意見と、「可能であれば誤送信として防ぎたい！」という意見があると思います。今回の記事は後者にフォーカスを当てた記事となります。

※こういったセキュリティポリシーの考え方は、環境や組織で大きく異なると思うので、私自身が後者を推奨するといった内容の記事ではございません、あくまで手順のご紹介となります。「やりすぎは良くない」と「出来るならやるべき」は状況や立場によって逆転する主張かと思います。

【手順】
1. AIP ラベル ID を控えます。
・[AIP] > [ラベル] > [ラベル選択] > 一番下に記載
※PowerShell でも取得可能です。

参考画像：ラベル IDの取得

2. Internet Explorer() で Exchange 管理センターを開き、[メール フロー] > [ルールの新規作成…] をクリックします。
※Google Chrome/Edge だと手順３が行えませんでした。。。

参考画像：メール フロー①

3. メールの検出条件を以下の通り設定します。
・[名前]：任意
・[このルールを適用する条件]①：受信者の場所が/組織外
・[このルールを適用する条件]②：添付ファイルが/これらのプロパティが次の単語のいずれかを含む/プロパティ及び値を指定

参考画像：メール フロー②

4. [プロパティ及び値を指定] を選択した際に表示される画面で [+] をクリックし、表示されるポップアップで以下の通り入力します。
・[ラジオボタン]：カスタム添付ファイルのプロパティを指定
・[プロパティ]：MSIP_Label_“手順①で控えたラベル ID”_Enabled
・[値]：True
※入力完了後、[保存] > [OK] と進みます。

参考画像：添付ファイルのプロパティと値を指定

5. 検出時の処理として、以下を指定します。（今回は例としてメール送信をブロックし、その理由を送信者に掲示します）
・[実行する処理]：メッセージをブロックする/メッセージを拒否してその説明を含める
・[拒否の理由の指定]：（例）組織内のみ閲覧可能な添付ファイルが組織外へ送付されました！
※入力完了後、残りの項目を適宜入力し [保存] をクリックします。

参考画像：検出時のアクション

【動作確認】
1. 社外秘ラベルを付与したテストファイルを作成します。

参考画像：テストファイル

2. 公開ラベル付きのメールにテストファイルを添付し、組織外ドメインのユーザーを宛先に指定し、送信します。

参考画像：テストメール

3. メール送信がブロックされることを確認します。
※ブロックされた理由も確認が可能です

参考画像：メールブロック

【まとめ】
今回は、社外秘ラベルが付与されたファイルのメール誤送信を防ぐ手順をご紹介しました。
手探りで検証した手順となりますので、手順誤りなどあればご指摘いただければと思います。

本手順の注意事項として、パスワード付き Zip 化された添付ファイルの場合、上記手順での検出はされません。
※AIP とパスワード付き Zip を同時に運用している組織はないと思いますが（超私見）

また、個人的には Outlook クライアント利用時だけでもいいので、コントロール権を持たないユーザーにメール or 添付ファイルが送付されそうな場合、警告を表示して欲しいなとは思います。（User Voice であるかな？）

【参考情報】

Azure Information Protection ラベルの Exchange Online メールフロールール