はじめに
こんにちわ、セキュリティチームのむろです。
今回はmxHEROを導入を検討の際、導入を進める前にご確認いただくと良い情報や検討する際のポイントや流れをご紹介します。
mxHEROにご興味を持っていらっしゃる方のご参考になると嬉しいです!
本ブログの内容は、2023年5月16日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
mxHEROの製品概要を理解する
まずはmxHEROがどんな製品か理解しましょう。
mxHEROはメールシステムとクラウドストレージと相互に連携し、メールの添付ファイルを自動的に自社のクラウドストレージのURLリンクに置き換える製品です。
mxHEROはメールの誤送信対策、脱PPAP製品としてお問合せいただく事が多いのですが、メールの添付ファイルを自社管理のクラウドストレージに保存することから、組織内のファイルがより集約化が進み、データ統制の面でも有効な製品です。
mxHEROを利用できる環境か確認する
まずはmxHEROを利用する環境としては、以下のドメインやメール、クラウドストレージであるか、あるいはこれから準備が可能か確認します。
メールドメイン
- DNSレコードが編集可能な独自ドメインを保有していること。
- 検証用としては本番用ドメインのサブドメインでも問題ありません。
mxHEROではSPFレコードの追加作業が必要となります。
これだけが理由ではありませんが、後述に記載のように検証環境にてトライアルを行うことをご検討ください。
メールシステム
- Exchange Online
- Google Workspace
mxHEROの製品としてはメールゲートウェイが利用できれば、他の製品もで原則サポートがされていますが、弊社で動作確認ができている構成は上記のExchange Online、Google Workspaceとなります。
参考:What email services does mail2Cloud work with?
オンラインストレージ
- Google Workspace
- OneDrive for Business / SharePoint Online
- Box Businessプラン以上
個人アカウント(individualアカウント)で認証する構成は単一の個人アカウントかつ、OAuth 2.0認証のため、アクセストークンが予期せぬタイミングで破棄され、接続エラーとなりやすい点から本番環境での利用は推奨されておりません。 Dropbox、Egnyteは個人アカウントとして認証方法のみのため、上記のリストでは対象外としております。
mxHEROの運用イメージを持つ
添付ファイルをクラウドストレージの共有リンクに置き換える運用を行うにあたって、運用イメージを検討します。
ここでは運用を確定させる必要はありません。あくまでもイメージです。
mxHEROの運用を検討する要素としては以下に例として記載します。
メールの受信者には共有リンクの公開範囲はどうするか?
- パブリックリンク
- 受信者メールアドレスで宛先指定
- メール受信者にクラウドストレージ側のアカウントが必要となります。
共有リンクに追加要件はあるか?
- リンクの有効期限を設定する
- リンクのパスワード自動付与(共有リンクと別メールでパスワードを通知)
共有リンクの取り消しが必要な場合は誰が操作できる前提にするか?
- 送信した本人のみ取り消し可能か
- 添付ファイルの保存先を社内共有し、代理で取り消し可能とするか
添付ファイル保存先のクラウドストレージは分散保管、集中保管のどちらにするか?
- メールの送信者アドレスのアカウントでクラウドストレージへアップロード(分散)
- mxHERO側で指定した特定のアカウントでクラウドストレージへアップロード(集中)
運用イメージと合わせて自社のセキュリティポリシーと照らし合わせて「必須要件」や「運用前提」は何かを決めていきましょう。
- 例)自社のセキュリティポリシーからパブリックリンクの共有が行えない
- 例)共有リンクには必ず14日より短い期間で有効期限の設定が必要
- 例)mxHEROからアップロードされた添付ファイルは社内で共有して確認できる状態で保管する必要がある
場合によっては、自社のセキュリティポリシー自体が適切であるかどうかも再確認が必要になる可能性があります。
クラウドストレージを決める
基本は利用中のクラウドストレージをそのまま利用されるケースがほとんどではあると思います。
ただ、mxHEROと一緒にクラウドストレージを刷新するケースやプラン見直し、容量の追加を検討する場合も踏まえて、mxHEROから見た機能差をそれぞれ記載しておきます。
なお、原則はこれらの機能差はmxHERO側の実装ではなく、クラウドサービス側の制限となります。
実際に複数のサービスを検証してみて最終判断するのも良いと思います。
また、既存のクラウドストレージを利用する場合は先ほど検討した運用イメージとクラウドストレージの制限設定が衝突しないかも確認しましょう。
- クラウドストレージ側の制限設定の例(自社のセキュリティポリシー)
- パブリックリンクの利用を制限しているか
- ホワイトリスト設定などで共有先を特定のドメインを制限を行っているか
また、利用するユーザー数(規模)が大きい、保存される添付ファイル数が多いことが想定される場合はクラウドストレージ側のアイテム数の制限や推奨値に注意する必要があります。
mxHEROからみた主な機能差
主な機能差を表にまとめています。
各ストレージの個別のコメントについては以下を参考ください。
Box
組織としてのBox利用のため、Businessプラン以上が前提となります。
mxHEROという観点だと、機能、アイテム数の両方で一番制限が少ないクラウドストレージとなります。
受信者メールアドレスのアカウント指定で共有リンクを生成する運用の場合は外部ユーザーがコラボレーターとなり、ライセンスの課金対象となるため、プランがBusiness Plus以上を強く推奨します。
また、Boxの場合はmxHEROのメタデータが自動的に付与がされます。
- 紐づくメールの件名やメール送信日、添付ファイルのSHA1、差出人/送信先メールアドレス、メールのMSG ID
等のメタデータの情報で検索をすることも可能です。
Businessプラン以上であれば保存容量はテナント全体で無制限のため、運用時に超過を意識する必要がありません。
そして、検証環境の維持という観点だと、開発者サンドボックス環境が利用できます。
アイテム数の推奨値
- 1アカウントあたりのファイルやフォルダの保管数は1,000,000 アイテムが推奨値
制限ではなく、推奨値となります。推奨値を超えた場合にBoxの動作が不安定になる可能性があります。
OneDrive for Business / SharePoint Online
mxHEROという観点だと、機能制限は真ん中に位置します。
ただし、アイテム数の制限が一番厳しくなります。
OneDrive for Businessも内部的には実態はSharePoint Onlineとなるため、SharePoint Onlineの制限を共通して意識する必要があります。
容量についてもSharePoint Onlineはライセンス数に依存するため、運用時に超過しないように意識する必要があります。
アイテム数の制限
- 1サイト(1ユーザー)あたりの共有ファイルやフォルダの保管数は50,000 アイテムが上限
特にSharePoint Onlineを利用する際にはアカウントによる分散保管の構成が選択できないため、アイテム数の制限には対処が必要な場合に当てはまりやすくなります。
Google Drive マイドライブ / 共有ドライブ
パブリックリンクへの有効期限や行えない、パスワード設定が行えないなど、mxHEROという観点だと、一番機能制限が大きいクラウドストレージとなります。
受信者メールアドレスのアカウント指定で共有リンクを生成する運用の場合であれば、有効期限は設定が可能です。
容量についてもライセンス数に依存するため、運用時に超過しな意識する必要があります。
アイテム数の制限
- 1共有ドライブあたりのファイルやフォルダの保管数は400,000 アイテムが上限
共有ドライブを利用する際にはアカウントによる分散保管の構成が選択できないため、アイテム数の制限にはGASやiPaaS、APIを用いて自動的な対処も検討が必要になる場合があります。
なお、現時点ではマイドライブはアイテム数の上限は公開されていません。
検証環境を準備する
mxHEROはメール、クラウドストレージと連携することから、設定の不備や問題が起きると影響が大きくなる可能性がある性質があります。
そのため、本番利用の前に必ず、検証環境で設定方法の確立と動作確認を行うことを強く推奨しています。
トライアルで申請する際のドメイン情報は「検証を行う環境のドメイン」をご記載ください。
検証環境はmxHEROのテナントと合わせてメール、クラウドストレージが完全に分離する形で準備・構成してください。
トライアルを実施する際にmxHEROへ代理店経由で申請が必要となります。
トライアルが有効でない環境は設定作業は可能ですが、メールの送受信時にエラーとなります。
申請にあたり、以下の情報をご提供ください。
===========
・海外向け英語記載の会社名:
・ご利用予定のクラウドストレージ:
・本番導入後の予定ライセンス数:
・検証テナントでお申し込みのメールドメイン:
・トライアル開始希望日:
===========
申請からおおよそ1〜2営業日ほどで有効となりますが、
トライアル期間はトライアル開始日から14日間となるため、トライアルの有効希望日は余裕を持ってご連絡いただけますと幸いです。
検証環境の良い例
検証環境の悪い例
mxHEROのトライアル期間は2週間なので、トライアルで検証を進める場合はメールやクラウドストレージの検証環境の準備とタイミングを合わせましょう。
mxHERO側で設定変更も本番運用後に発生することから、検証環境は使い捨てではなく、本番運用開始後も検証環境を維持することを強く推奨します。
機能検証やテストケースに沿ってテストする
自社の運用で想定している機能が動作するか確認を行います。
実際に検証を行いながら運用内容や設定内容を固めていきましょう。
基本的な機能検証が完了したら、テストケースに沿って、本番移行の前にテストを行います。
当然ですが、このテストケースはどのような運用を行うかによって必要なケースは異なります。
テストケースは以下のブログをサンプルにしてみてください。
本番切り替えの方法を検討する
切り替えは一括ではなく、段階的に行うことを推奨します。
切り替え手順及び切り戻し手順は検証環境で確立しておきましょう。
切り替え時の不備に備えて、メンテナンス時間を設けることも検討します。
おわりに
今回はmxHEROの導入時の検討ポイント、各ストレージの特徴(機能差)などをまとめてみました。
mxHEROにご興味を持っていただけたら、クラウドネイティブに相談していただけると嬉しいです!
なお、mxHEROの新ダッシュボードに関する基本的な初期セットアップ手順や情報は以下のブログにまとめているのでよろしければ参照してみてください。
