mxHEROを新ダッシュボードに切り替えてみた

はじめに

こんにちわ、セキュリティチームのむろです。

今回は移行プログラムとしてのmxHEROの旧ダッシュボード（旧プラットフォーム）から新ダッシュボード（新プラットフォーム）に切り替える方法について情報が揃いましたので、その手順や考慮点をご紹介します！

最初にまとめ

• 新プラットフォームの環境がmxHEROによって自動作成されている
• 2024年5月中旬時点の設定値が自動で移行されている
  • 事前の設定確認や切り替え後の動作確認が必要
• 新旧の切り替え自体はトグルで切り替えるのみ
  • 言い換えると切り戻しもトグルで切り戻すのみ

移行の仕組み

• mxHEROによって旧ダッシュボードと同じ内容の設定値で新ダッシュボードの環境が自動で作成されています
  • 設定値は5月中旬ごろの設定が移行されており、新ダッシュボードは利用されない状態ですでに存在している状態になります
  • テナントごとにユニークな値であるトランスポート値も一致した状態で環境が作成されています。
• 旧ダッシュボード、新ダッシュボードのどちらで処理させるか指定するトグルボタンで切り替える形となります。

mxHEROのトランスポート値とは？

• mxHEROのテナントを識別する値です
  • 例）12xxxxxx2c2eyyyy0444e1dzzzzzz89
• mxHEROの構築作業の際にメールシステム側でmxHEROへの転送ルールを作成しますが、その転送ルール内でメールヘッダへ付与されるように指定している値となります

切り替え時にサービス停止は発生するのか？

• 新ダッシュボードへ設定値が正しく引き継がれている・設定内容が正しい前提であればメール及びmxHEROのルール処理共にサービス停止は発生しません

切り替え後にトラブルが発生した場合に切り戻す手順は？

• 「新しいmxHEROプラットフォーム」トグルを無効にして保存すると旧ダッシュボードへ切り戻ります

切り替えの大まかな流れ

• 新ダッシュボードへログインする
• 移行された設定内容の確認
  • 新ダッシュボードの環境設定を確認する
  • 新ダッシュボードのルール内容を確認する
  • 新ダッシュボードのセキュリティ定義を確認する

• 切り替え前に（旧ダッシュボードのままで）動作確認を行う
• 新ダッシュボードへ切り替える
• 新ダッシュボードへ切り替え後の動作確認を行う
  • 動作に問題ある場合は切り分けの上で旧ダッシュボードへの切り戻しを行う
• 新ダッシュボードで処理されているかトレースログで確認する
  • 新ダッシュボードでルール処理されていない場合は切り替えが正しく行えているか再確認する

切り替えの前に準備・確認するもの

• 動作確認時のテストケースおよびテストを行う手順の確立
  • テストケースの例
    • 添付付きメールを外部へ送信して想定されたクラウドストレージの場所に添付ファイルが分離されるか
    • 添付付きメールを外部へ送信してSPF、DKIM、DMARCが正常にパスしているか
    • 添付付きメールを外部から受信して想定されたクラウドストレージの場所に添付ファイルが分離されるか
    • 添付付きメールを外部から受信してSPF、DKIM、DMARCが正常にパスしているか
  • テストケースに合わせてテスト時に利用する外部・内部のメールアドレスを決定しておく
  • SPF、DKIM、DMARCの確認は受信メールのヘッダーを確認する必要があります
    • また、DKIM、DMARCは設定済みではない場合は確認対象外となります

• 切り替え元である旧ダッシュボードへログインできること
• 切り替え元である旧ダッシュボードの設定内容を把握していること
  • ブログ後半の「参考情報：旧ダッシュボードの設定箇所」もご参考ください
• mxHEROでどのような処理が必要かのご要件の再確認
  • 例）メール送付のみ添付ファイルを分離したい
• 検証環境の有無確認

• 新ダッシュボードへの切り替え日時タイミングの検討

• 新ダッシュボードへの切り替えを行う旨の社内アナウンスの検討

新ダッシュボード（新プラットフォーム）への移行手順

新ダッシュボードへログインする

• 新ダッシュボードのログインURLから旧ダッシュボードと同じ管理者アカウントでログインします

mxHERO Dashboard

mxHERO integrates best of breed cloud storage with your email for powerful email security, governance and management

dashboard-v3.mxhero.com

Googleアカウント、Microsoftアカウントでのログインの場合

• 従来通りにログインが可能です
  • もしも、ログインができない場合は以下の通常のID・パスワードでパスワードリセットを行う手順もお試しください

ID・パスワードでのログインの場合

• パスワードリセットを行ってからログインしてください

新ダッシュボードの環境設定を確認する

アカウントとグループ

旧ダッシュボードではAccounts画面が該当します

• 管理対象のアカウント情報が引き継がれていることを確認します
• メールサービス側と同期設定の情報が引き継がれているか確認します
• 管理対象のグループ情報が引き継がれていることを確認します
  • グループ情報は手動追加不可のため、メールサービス側と同期設定が有効であることが前提となります

請求

• サブスクリプションが「Activated」になっており、ライセンスが有効化されていることを確認します

Gatway

旧ダッシュボードではDomains画面が該当します

• トランスポートエージェントの値が旧ダッシュボードと「同一」か確認する

• 「新しいmxHEROプラットフォーム」のトグルが「無効」であることを確認する

• 以下のブログを参考にメールサービス側で指定している「X-mxHero-Transport-Agent」ヘッダー内のトランスポート値と一致してるかも合わせて確認する

mxHERO×Exchange Onlineの初期設定 − 新ダッシュボード検証ブログ

mxHEROの管理ダッシュボードのデザインや機能に対する大幅アップデートが行われる予定です。そこで、当社ブログでも刷新後の管理ダッシュボードの利用方法に関して連載形…

blog.cloudnative.co.jp

mxHEROのGWS環境での初期設定 − 新ダッシュボード検証ブログ

はじめに セキュリティチームのkakeruです。先日公開したブログでもご案内しましたが、mxHEROの管理ダッ…

blog.cloudnative.co.jp

通知

• 新ダッシュボード側のみの設定箇所となるため、未設定であることを確認します

組織とドメイン

旧ダッシュボードではDomains画面が該当します

• 場所とタイムゾーンが正しいか確認します

• 管理対象ドメインが正しいか確認します

• DKIMを設定している場合にDKIMの設定が正しく引き継がれていることを確認します

セキュリティ

• 新ダッシュボードでは管理ダッシュボードへのログイン方法を明示的に有効・無効で指定する設定が可能になっています
• 旧ダッシュボードで利用中のログイン方法が有効になっていることを確認します

Integrations

旧ダッシュボードでは各ルールの設定画面が該当し、個別の設定メニューではなく各ルール内で表現されています

• 利用しているストレージ設定が引き継がれていることを確認します
• PDFのヘッダーとフッターの設定を利用している場合は「Strorage settings」タブ内で設定が引き継がれていることを確認します
• クラウドストレージのテナントとしての連携ではなく、個別の個人アカウントとして連携している設定の場合は「Accounts」タブで設定が引き継がれているか確認します（弊社では非推奨の構成となります）
• 他の設定値は旧ダッシュボードでは存在しない設定項目のため、未設定であることを確認します

ユーザー

旧ダッシュボードではDomains画面が該当します

• mxHEROの管理ダッシュボードへログイン可能な管理者ユーザーが引き継がれていることを確認します

新ダッシュボードのルール内容を確認する

旧ダッシュボードでは各ルールの設定画面が該当します

• 移行元から引き継がれたルールの内容が正しいか確認する

ルールリストの確認

• ルールリストからルールが全て引き継がれていることを確認する

「アクション」の確認

• 保護対象が「添付ファイル」が選択されていることを確認する
• 詳細オプションで共有リンクがメール本文か、PDFか、あるいは両方のどちらの設定値が引き継がれていることを確認する

「アクションフィルター」の確認

• ファイルサイズや拡張子、ファイル名で個別のフィルタ設定を行っている場合は設定が引き継がれているか確認する
• インライン画像（メール本文に直接貼り付けた画像）に対する除外設定は設定しているケースが多い

「対象」の確認

• メールフローでルールが適用される「ドメインや宛先の定義」が引き継がれているか確認する
• 詳細オプションは新ダッシュボードからの設定値のため、未設定であることを確認する

「対象フィルタ」の確認

• 対象フィルタの設定値が引き継がれているか確認する
• 「Process only managed accounts」は新ダッシュボードからの設定値のため、未設定（無効）であることを確認する
  • 補足：「Process only managed accounts」は旧ダッシュボード時の従来と同様に厳密に管理対象アカウントのみルール適用させる場合は有効に設定する設定箇所となります
• 特に「除外設定」が正しく引き継がれているかを確認する

クラウドストレージの確認

• ルールで利用するクラウドストレージの種類、ストレージアカウントの指定が正しく引き継がれていることを確認する
• セキュリティオプションについては後述で別の設定画面で確認する
  • 補足：新ダッシュボードでは共有リンクの公開範囲は「セキュリティ定義」でという別の設定画面で設定し、ルールと紐づける形に統一されている

• 詳細オプションについても同様に設定が引き継がれているか確認する
• 「Link to folder」機能については新ダッシュボードからの設定箇所となるため、未設定であることを確認する
• 「場所とタイムゾーン」については未設定の場合はドメイン設定で設定している値が適用されるが、もしもルールごとに変更したい場合は設定を行う

ストレージのファイルパスの確認

• 分離された添付ファイルの保存場所のパス設定が正しく引き継がれているか確認する
• ファイルパスに関連する他の設定も引き継がれているか確認する
• 「共同作業のサブフォルダ」は新ダッシュボードからの設定箇所となるため、未設定であることを確認する

追加のアクションの確認

• 新ダッシュボードからの設定値となるため、未設定（「アクションの追加」の状態）であることを確認する

ルールの保存

• もしも、ルールの設定変更を行った場合は「保存ルール」を選択してルールを保存する
  • 「保存ルール」が選択できない場合はここまでの各設定箇所で未確定があることを示しています

新ダッシュボードのセキュリティ定義を確認する

旧ダッシュボードでは各ルールの設定画面が該当し、個別の設定メニューではなく各ルール内のSECURITY OPTIONで表現されています

• 各ルールと紐づく共有リンクの公開範囲の設定である「セキュリティ定義」が正しく引き継がれているか確認する
  • セキュリティ定義はルール内の「3.クラウドストレージ」の箇所で選択され、紐付けされます

切り替え前に（旧ダッシュボードのままで）動作確認を行う

• 事前に準備したテストケースに従って、切り替え前の旧ダッシュボードのままで動作確認を行い、期待する結果であることを確認する

新ダッシュボードへ切り替える

• トランスポート値が変更になっていないことを再確認する
• 「新しい mxHEROプラットフォーム」のトグルを有効にして保存する

新ダッシュボードへ切り替え後の動作確認を行う

• 事前に準備したテストケースに従って、切り替え前の旧ダッシュボードのままで動作確認を行い、期待する結果であることを確認する

旧ダッシュボードへの切り戻し方法

• 想定外の結果となり、旧ダッシュボードへ切り戻しを行う場合は「新しい mxHEROプラットフォーム」のトグルを無効にして保存する

トレースログで新ダッシュボードでルール処理されていることを確認する

• レポート > トレースよりトレースログを検索し、切り替え後のメールが新ダッシュボード側へ切り替わっていることを確認する
  • トレースログへの反映は実際のメール送受信から数分かかる点に留意する
• 動作確認及びトレースログに問題がなければ作業完了となります

切り替え後に任意で行うこと

• 切り替え後に任意で以下の対応を行うことも検討ください

「ルール名」の設定

• 動作確認完了後に移行されたルールの「ルール名」や「ルールの説明」を必要に応じて管理しやすいように設定し、保存する
  • ルール名は移行元のルール内容やタグから自動的に設定されているため

メールサービスとのメールアドレスやグループの同期でフィルタを追加する

• 新ダッシュボードではメールサービス側との同期設定でフィルタ指定が可能になっています
• フィルタ設定を行う場合は以下のブログを参考に設定ください

mxHERO メールアカウントとグループの設定 − 新ダッシュボード検証ブログ

こんにちわ、セキュリティチームのむろです。 先日にブログでもご案内しましたが、mxHEROの管理ダッシュボード…

blog.cloudnative.co.jp

その他

旧ダッシュボードへのログインブロック

• 切り替え後にしばらくすると旧ダッシュボードにログインが行えなくなる場合があります
• もしも、旧ダッシュボードへアクセスしたい場合は個別でご契約の製品サポートの窓口へお問い合わせください

参考情報：旧ダッシュボードの設定箇所

旧ダッシュボード側の設定箇所を参考情報として記載します

改めて自組織で利用していない設定の確認も含めて確認する際にもご参考ください

ルール系の設定確認

最初のダッシュボード画面より各ルールの一覧を表示することができます

よく使われる添付ファイルの分離ルールは「Fusion」になります

• 「Archiving Address」のLIST ALL：メールアーカイブに対するルールの一覧
• 「Email Sync」のLIST ALL：メールボックスに対するルールの一覧
• 「Fusion」のLIST ALL：添付ファイルの分離やメール本文をクラウドストレージへ分離するルールの一覧

各ルールの「EDIT」を選択すると画面上部に詳細設定タブ（ADVANCED OPTIONSやSECURITY OPTIONSなど）も存在しまので合わせて確認します

• ADVANCED OPTIONSやSECURITY OPTIONSなどを選択すると選択した設定メニューが画面下部に設定内容が追加表示されます
  • 新ダッシュボード側のルール内のフィルタや追加オプションに当たる設定が表示されています
• 利用中のクラウドストレージはルール内で表現されています

Domainsの設定確認

各ドメインの以下の設定を確認します

• VIEW USERS：管理者アカウントの一覧が表示されます
• BOX SETTINGS：Boxを利用している場合はBoxのEIDが表示されます
• TRRANSPORT AGENT：トランスポート値が表示されます
• REGION：テナントの言語設定が表示されます
• STORAGE：共有リンクを表示するPDFに対するヘッダーやフッターの設定が表示されます

Gruopsの設定確認

新ダッシュボードではタグに相当するグループの情報が表示されます

• 対象のグループを選択するとグループ所属するユーザーが表示されます

Accountsの設定確認

管理対象ユーザーの一覧が表示されます（非管理者アカウント）

• SETUP DIRECTORY SYNC：メールサービスとのアカウントやグループの同期設定をしている場合はこちらも確認します

Auto Fillingの設定確認

Auto Fillingは複雑なポリシーやテンプレート、変数の設定を利用している場合に利用します

利用されているケースは比較的少ない設定箇所です

• Copy Policies：コピーポリシーの設定
• Security Polices：セキュリティポリシーの設定（共有リンクの公開範囲、パスワードなどの定義）
• Template Polices：テンプレートの設定
• Variables：独自の変数定義の設定

おわりに

ようやく、mxHEROの移行プログラムとしての新ダッシュボードの切り替え手順がご案内できるようになりました。

過去には手動で移行する手順も検証・公開していましたが懐かしいです。

手動時と比べると、事前の確認や動作確認は必要な前提はあるものの、今回の手順は設定などは自動で引き継がれてはおり、切り替え自体もトグルで切り替えるのみの簡単な手順です。

旧ダッシュボードも廃止予定となるため、本ブログをご参考に新ダッシュボードへの移行を進めていただけますと幸いです！