SaaS

mxHEROを新ダッシュボードに切り替えてみた

はじめに

こんにちわ、セキュリティチームのむろです。

今回は移行プログラムとしてのmxHEROの旧ダッシュボード(旧プラットフォーム)から新ダッシュボード(新プラットフォーム)に切り替える方法について情報が揃いましたので、その手順や考慮点をご紹介します!

本ブログ記事はmxHEROを旧ダッシュボードで利用されている方が対象となります。

最初にまとめ

  • 新プラットフォームの環境がmxHEROによって自動作成されている
  • 2024年5月中旬時点の設定値が自動で移行されている
    • 事前の設定確認や切り替え後の動作確認が必要
  • 新旧の切り替え自体はトグルで切り替えるのみ
    • 言い換えると切り戻しもトグルで切り戻すのみ

移行の仕組み

  • mxHEROによって旧ダッシュボードと同じ内容の設定値で新ダッシュボードの環境が自動で作成されています
    • 設定値は5月中旬ごろの設定が移行されており、新ダッシュボードは利用されない状態ですでに存在している状態になります
    • テナントごとにユニークな値であるトランスポート値も一致した状態で環境が作成されています。
  • 旧ダッシュボード、新ダッシュボードのどちらで処理させるか指定するトグルボタンで切り替える形となります。

mxHEROのトランスポート値とは?

  • mxHEROのテナントを識別する値です
    • 例)12xxxxxx2c2eyyyy0444e1dzzzzzz89
  • mxHEROの構築作業の際にメールシステム側でmxHEROへの転送ルールを作成しますが、その転送ルール内でメールヘッダへ付与されるように指定している値となります

切り替え時にサービス停止は発生するのか?

  • 新ダッシュボードへ設定値が正しく引き継がれている・設定内容が正しい前提であればメール及びmxHEROのルール処理共にサービス停止は発生しません

サービス停止は発生しない前提であるものの、業務影響の大きいメールシステムに対する変更作業ではあるため想定外の事態の影響度を確認し、切り替えタイミングを影響の少ない時間帯に行うなどを事前に組織内で検討することを推奨する

  • 例)新ダッシュボードへ切り替え後にメールの送受信が行えなくなる
  • 例)新ダッシュボードへ切り替え後に添付ファイルの分離が行われなくなる

切り替え後にトラブルが発生した場合に切り戻す手順は?

  • 「新しいmxHEROプラットフォーム」トグルを無効にして保存すると旧ダッシュボードへ切り戻ります

切り替えの大まかな流れ

  • 新ダッシュボードへログインする
  • 移行された設定内容の確認
    • 新ダッシュボードの環境設定を確認する
    • 新ダッシュボードのルール内容を確認する
    • 新ダッシュボードのセキュリティ定義を確認する

設定値やルールの確認作業のおいて、自組織の要件を満たす設定値であるかのどうか観点で確認を進める方法もある

  • 要件を満たすのであれば、旧ダッシュボード側と完全に一致した設定値である必要な無い考え方
  • また、設定やルール内容の確認を行いながら、切り替え後に変更を検討する設定箇所の目星をつけておく
  • 切り替え前に(旧ダッシュボードのままで)動作確認を行う
  • 新ダッシュボードへ切り替える
  • 新ダッシュボードへ切り替え後の動作確認を行う
    • 動作に問題ある場合は切り分けの上で旧ダッシュボードへの切り戻しを行う
  • 新ダッシュボードで処理されているかトレースログで確認する
    • 新ダッシュボードでルール処理されていない場合は切り替えが正しく行えているか再確認する

切り替えの前に準備・確認するもの

  • 動作確認時のテストケースおよびテストを行う手順の確立
    • テストケースの例
      • 添付付きメールを外部へ送信して想定されたクラウドストレージの場所に添付ファイルが分離されるか
      • 添付付きメールを外部へ送信してSPF、DKIM、DMARCが正常にパスしているか
      • 添付付きメールを外部から受信して想定されたクラウドストレージの場所に添付ファイルが分離されるか
      • 添付付きメールを外部から受信してSPF、DKIM、DMARCが正常にパスしているか
    • テストケースに合わせてテスト時に利用する外部・内部のメールアドレスを決定しておく
    • SPF、DKIM、DMARCの確認は受信メールのヘッダーを確認する必要があります
      • また、DKIM、DMARCは設定済みではない場合は確認対象外となります
  • 切り替え元である旧ダッシュボードへログインできること
  • 切り替え元である旧ダッシュボードの設定内容を把握していること
  • mxHEROでどのような処理が必要かのご要件の再確認
    • 例)メール送付のみ添付ファイルを分離したい
  • 検証環境の有無確認

検証環境をお持ちの場合は本番切り替えの前に検証環境で動作確認を行ってください

  • 新ダッシュボードへの切り替え日時タイミングの検討

サービス停止は発生しない前提であるものの、業務影響の大きいメールシステムに対する変更作業ではあるため不測の事態に備えて、切り替えタイミングを影響の少ない時間帯に行うなどを事前に組織内で検討することを推奨する

  • 例)新ダッシュボードへ切り替え後にメールの送受信が行えなくなる
  • 例)新ダッシュボードへ切り替え後に添付ファイルの分離が行われなくなる
  • 新ダッシュボードへの切り替えを行う旨の社内アナウンスの検討

新ダッシュボード(新プラットフォーム)への移行手順

新ダッシュボードへログインする

Googleアカウント、Microsoftアカウントでのログインの場合

  • 従来通りにログインが可能です
    • もしも、ログインができない場合は以下の通常のID・パスワードでパスワードリセットを行う手順もお試しください

ID・パスワードでのログインの場合

  • パスワードリセットを行ってからログインしてください

旧ダッシュボードと新ダッシュボードとではパスワードは連動しないため、旧ダッシュボードへのログインは従来のパスワードで引き続きログインします

「ユーザーが見つかりません」エラーが表示された場合は以下をご確認の上でご契約の製品サポートの窓口へお問い合わせください

  • IDで利用しているメールアドレスは正しいか
  • 旧ダッシュボードでログインが可能かどうか
  • 旧ダッシュボード側で該当の管理アカウントは存在しているか

新ダッシュボードの環境設定を確認する

アカウントとグループ

旧ダッシュボードではAccounts画面が該当します

  • 管理対象のアカウント情報が引き継がれていることを確認します
  • メールサービス側と同期設定の情報が引き継がれているか確認します
  • 管理対象のグループ情報が引き継がれていることを確認します
    • グループ情報は手動追加不可のため、メールサービス側と同期設定が有効であることが前提となります

請求

  • サブスクリプションが「Activated」になっており、ライセンスが有効化されていることを確認します

Gatway

旧ダッシュボードではDomains画面が該当します

  • トランスポートエージェントの値が旧ダッシュボードと「同一」か確認する
  • 「新しいmxHEROプラットフォーム」のトグルが「無効」であることを確認する

もしも、以下のようにすでに有効になっている場合はご契約の製品サポート窓口へ問い合わせください

  • 以下のブログを参考にメールサービス側で指定している「X-mxHero-Transport-Agent」ヘッダー内のトランスポート値と一致してるかも合わせて確認する

通知

  • 新ダッシュボード側のみの設定箇所となるため、未設定であることを確認します

組織とドメイン

旧ダッシュボードではDomains画面が該当します

  • 場所とタイムゾーンが正しいか確認します
  • 管理対象ドメインが正しいか確認します
  • DKIMを設定している場合にDKIMの設定が正しく引き継がれていることを確認します

旧ダッシュボードにおいてはDKIMの構成は個別の有効化依頼となり、管理ダッシュボード上では表示はありません

セキュリティ

  • 新ダッシュボードでは管理ダッシュボードへのログイン方法を明示的に有効・無効で指定する設定が可能になっています
  • 旧ダッシュボードで利用中のログイン方法が有効になっていることを確認します

Integrations

旧ダッシュボードでは各ルールの設定画面が該当し、個別の設定メニューではなく各ルール内で表現されています

  • 利用しているストレージ設定が引き継がれていることを確認します
  • PDFのヘッダーとフッターの設定を利用している場合は「Strorage settings」タブ内で設定が引き継がれていることを確認します
  • クラウドストレージのテナントとしての連携ではなく、個別の個人アカウントとして連携している設定の場合は「Accounts」タブで設定が引き継がれているか確認します(弊社では非推奨の構成となります)
  • 他の設定値は旧ダッシュボードでは存在しない設定項目のため、未設定であることを確認します

ユーザー

旧ダッシュボードではDomains画面が該当します

  • mxHEROの管理ダッシュボードへログイン可能な管理者ユーザーが引き継がれていることを確認します

ログイン中の自分自身のアカウントは表示されません

新ダッシュボードのルール内容を確認する

旧ダッシュボードでは各ルールの設定画面が該当します

  • 移行元から引き継がれたルールの内容が正しいか確認する

本ブログ記事ではよく利用される「添付ファイルの分離ルール」の内容で確認箇所を示します

ルールリストの確認

  • ルールリストからルールが全て引き継がれていることを確認する

旧ダッシュボードで無効化されていたルールは新ダッシュボードへは移行されていません

Disabled(無効)のルールは「All Rules」から確認が可能

「アクション」の確認

  • 保護対象が「添付ファイル」が選択されていることを確認する
  • 詳細オプションで共有リンクがメール本文か、PDFか、あるいは両方のどちらの設定値が引き継がれていることを確認する

「アクションフィルター」の確認

  • ファイルサイズや拡張子、ファイル名で個別のフィルタ設定を行っている場合は設定が引き継がれているか確認する
  • インライン画像(メール本文に直接貼り付けた画像)に対する除外設定は設定しているケースが多い

「対象」の確認

  • メールフローでルールが適用される「ドメインや宛先の定義」が引き継がれているか確認する
  • 詳細オプションは新ダッシュボードからの設定値のため、未設定であることを確認する

「対象フィルタ」の確認

  • 対象フィルタの設定値が引き継がれているか確認する
  • 「Process only managed accounts」は新ダッシュボードからの設定値のため、未設定(無効)であることを確認する
    • 補足:「Process only managed accounts」は旧ダッシュボード時の従来と同様に厳密に管理対象アカウントのみルール適用させる場合は有効に設定する設定箇所となります
  • 特に「除外設定」が正しく引き継がれているかを確認する

クラウドストレージの確認

  • ルールで利用するクラウドストレージの種類、ストレージアカウントの指定が正しく引き継がれていることを確認する
  • セキュリティオプションについては後述で別の設定画面で確認する
    • 補足:新ダッシュボードでは共有リンクの公開範囲は「セキュリティ定義」でという別の設定画面で設定し、ルールと紐づける形に統一されている
  • 詳細オプションについても同様に設定が引き継がれているか確認する
  • 「Link to folder」機能については新ダッシュボードからの設定箇所となるため、未設定であることを確認する
  • 「場所とタイムゾーン」については未設定の場合はドメイン設定で設定している値が適用されるが、もしもルールごとに変更したい場合は設定を行う

ストレージのファイルパスの確認

  • 分離された添付ファイルの保存場所のパス設定が正しく引き継がれているか確認する
  • ファイルパスに関連する他の設定も引き継がれているか確認する
  • 「共同作業のサブフォルダ」は新ダッシュボードからの設定箇所となるため、未設定であることを確認する

追加のアクションの確認

  • 新ダッシュボードからの設定値となるため、未設定(「アクションの追加」の状態)であることを確認する

ルールの保存

  • もしも、ルールの設定変更を行った場合は「保存ルール」を選択してルールを保存する
    • 「保存ルール」が選択できない場合はここまでの各設定箇所で未確定があることを示しています

新ダッシュボードのセキュリティ定義を確認する

旧ダッシュボードでは各ルールの設定画面が該当し、個別の設定メニューではなく各ルール内のSECURITY OPTIONで表現されています

  • 各ルールと紐づく共有リンクの公開範囲の設定である「セキュリティ定義」が正しく引き継がれているか確認する
    • セキュリティ定義はルール内の「3.クラウドストレージ」の箇所で選択され、紐付けされます

切り替え前に(旧ダッシュボードのままで)動作確認を行う

  • 事前に準備したテストケースに従って、切り替え前の旧ダッシュボードのままで動作確認を行い、期待する結果であることを確認する

想定外の結果となった際に正確に原因の切り分けを行う目的で切り替え作業前に動作確認を行う

  • 切り替え後の動作確認で想定外の結果の場合に本当に切り替え作業が原因か、元々の設定によるものかを判別できる状態にしておく

新ダッシュボードへ切り替える

  • トランスポート値が変更になっていないことを再確認する
  • 「新しい mxHEROプラットフォーム」のトグルを有効にして保存する

このタイミングで旧ダッシュボードから新ダッシュボードの切り替えが発生する

新ダッシュボードへ切り替え後の動作確認を行う

  • 事前に準備したテストケースに従って、切り替え前の旧ダッシュボードのままで動作確認を行い、期待する結果であることを確認する

記載した結果でない場合は切り替え前のテストと比較して新ダッシュボードの切り替えが原因かどうかの切り分けを行う

旧ダッシュボードへの切り戻し方法

  • 想定外の結果となり、旧ダッシュボードへ切り戻しを行う場合は「新しい mxHEROプラットフォーム」のトグルを無効にして保存する

トレースログで新ダッシュボードでルール処理されていることを確認する

  • レポート > トレースよりトレースログを検索し、切り替え後のメールが新ダッシュボード側へ切り替わっていることを確認する
    • トレースログへの反映は実際のメール送受信から数分かかる点に留意する
  • 動作確認及びトレースログに問題がなければ作業完了となります

切り替え後に任意で行うこと

  • 切り替え後に任意で以下の対応を行うことも検討ください

「ルール名」の設定

  • 動作確認完了後に移行されたルールの「ルール名」や「ルールの説明」を必要に応じて管理しやすいように設定し、保存する
    • ルール名は移行元のルール内容やタグから自動的に設定されているため

メールサービスとのメールアドレスやグループの同期でフィルタを追加する

  • 新ダッシュボードではメールサービス側との同期設定でフィルタ指定が可能になっています
  • フィルタ設定を行う場合は以下のブログを参考に設定ください

その他

旧ダッシュボードへのログインブロック

  • 切り替え後にしばらくすると旧ダッシュボードにログインが行えなくなる場合があります
  • もしも、旧ダッシュボードへアクセスしたい場合は個別でご契約の製品サポートの窓口へお問い合わせください

今後、完全に旧ダッシュボードが廃止になった場合は上記の旧ダッシュボードへのログインブロックの解除の個別対応は対応不可となる点はご了承ください

参考情報:旧ダッシュボードの設定箇所

旧ダッシュボード側の設定箇所を参考情報として記載します

改めて自組織で利用していない設定の確認も含めて確認する際にもご参考ください

設定確認中に設定を変更して保存しないように注意してください

ルール系の設定確認

最初のダッシュボード画面より各ルールの一覧を表示することができます

よく使われる添付ファイルの分離ルールは「Fusion」になります

  • Archiving Address」のLIST ALL:メールアーカイブに対するルールの一覧
  • Email Sync」のLIST ALL:メールボックスに対するルールの一覧
  • Fusion」のLIST ALL:添付ファイルの分離やメール本文をクラウドストレージへ分離するルールの一覧

各ルールの「EDIT」を選択すると画面上部に詳細設定タブ(ADVANCED OPTIONSSECURITY OPTIONSなど)も存在しまので合わせて確認します

  • ADVANCED OPTIONSやSECURITY OPTIONSなどを選択すると選択した設定メニューが画面下部に設定内容が追加表示されます
    • 新ダッシュボード側のルール内のフィルタや追加オプションに当たる設定が表示されています
  • 利用中のクラウドストレージはルール内で表現されています

Domainsの設定確認

各ドメインの以下の設定を確認します

  • VIEW USERS:管理者アカウントの一覧が表示されます
  • BOX SETTINGS:Boxを利用している場合はBoxのEIDが表示されます
  • TRRANSPORT AGENT:トランスポート値が表示されます
  • REGION:テナントの言語設定が表示されます
  • STORAGE:共有リンクを表示するPDFに対するヘッダーやフッターの設定が表示されます

Gruopsの設定確認

新ダッシュボードではタグに相当するグループの情報が表示されます

  • 対象のグループを選択するとグループ所属するユーザーが表示されます

Accountsの設定確認

管理対象ユーザーの一覧が表示されます(管理者アカウント)

管理対象ユーザーでの制御は新ダッシュボードでは「Process only managed accounts」が有効な場合のみ動作するように変更になっています(デフォルトは無効)

  • SETUP DIRECTORY SYNC:メールサービスとのアカウントやグループの同期設定をしている場合はこちらも確認します

Auto Fillingの設定確認

Auto Fillingは複雑なポリシーやテンプレート、変数の設定を利用している場合に利用します

利用されているケースは比較的少ない設定箇所です

  • Copy Policies:コピーポリシーの設定
  • Security Polices:セキュリティポリシーの設定(共有リンクの公開範囲、パスワードなどの定義)
  • Template Polices:テンプレートの設定
  • Variables:独自の変数定義の設定

おわりに

ようやく、mxHEROの移行プログラムとしての新ダッシュボードの切り替え手順がご案内できるようになりました。

過去には手動で移行する手順も検証・公開していましたが懐かしいです。

手動時と比べると、事前の確認や動作確認は必要な前提はあるものの、今回の手順は設定などは自動で引き継がれてはおり、切り替え自体もトグルで切り替えるのみの簡単な手順です。

旧ダッシュボードも廃止予定となるため、本ブログをご参考に新ダッシュボードへの移行を進めていただけますと幸いです!

むろ

おいしいおつまみとお酒が好きです。
最近ハマっているのは芋焼酎のソーダ割り。

履き物の基本は下駄の人です。
好きな漫画はワールドトリガーです。