mxHeroについてよくいただくご質問 (2021/04/16更新)

mxHeroについてよくいただくご質問 (2021/04/16更新)

あけましておめでとうございます、には時間が経ってしまいましたがけーすけです。
年末年始ともに、mxHeroについてのお問い合わせを多数いただいております。今回はその中でよくあるお問い合わせについて、回答と合わせて記載致します。導入検討の参考としてご覧ください。

目次

この記事で説明する範囲

  • mxHero単体での機能の有無を記載しております。
  • Fusion機能(添付ファイルをクラウドストレージに移動させ、URLリンクを発行する機能)を利用する想定です。

注意点

  • 本記事は2021年4月16日時点の機能に基づいております。
  • 2021年3月31日に比較的大きなアップデートが入りました。
  • 非常に製品のアップデートが早い製品ですので、必ずトライアルにて動作をご確認ください。
  • 現時点での既知の不具合については、以下の記事に纏めております。
    mxHeroの既知の不具合と対応状況

機能

添付ファイル付きのメールを送受信した時の基本動作は

  • 送信時
    添付ファイルを”お客様管理下のクラウドストレージ”に格納し、ファイル自体を送信しません。
    メール本文または、自動で付加されるPDFに、格納されたファイルのURLリンクが表示されます。
  • 受信時
    添付ファイルを”お客様管理下のクラウドストレージ”に格納します。
    メール本文または、自動で付加されるPDFに、格納されたファイルのURLリンクが表示されます。

利用イメージは以下になります。

送信側がこのように普通にファイルを添付しても、

受信側にはこのように、オンラインストレージへの共有リンクに置き換えられて送付されます。
このとき、以下の画像のようなメール本文にのみ共有リンクが記載される設定と、共有リンクが記載されたPDFも送信する設定の2つのパターンが選択可能です。

添付ファイルとしても共有リンクを送付する場合のPDFの内容は以下のようになります。

上記機能が組み込まれたメールシステムということか(2021/04/16更新)

mxHero単体ではメールの受発信の機能を備えておりません。そのため、Google Workspace・Exchange Onlineいずれかのご用意が必要です。

送信時のSMTPリレーは可能か(2021/04/16追記)

ダッシュボードからは指定できませんが、mxHeroのサポートに、SMTPリレー先のホスト名を連絡することで可能です。

mxHeroのサポート対象のメールシステムは何か(2021/03/25追記)

  • Google Workspace
  • Exchange Online
  • Exchange Server

なお、弊社ではExchange Server環境での検証は行っておりません。

どのように設定してGoogle Workspace・Exchange Onlineと接続するのか(2021/03/25追記)

Google Workspaceとは管理コンソールのGmailの設定画面から、Exchange Onlineとは、Exchange管理センターのメールフローからコネクタとルールを作成して接続します。具体的な手順は検証環境の作成手順の記事がありますので、そちらをご覧ください。

主要な機能セットの概要について(2021/04/16更新)

主として以下の機能で構成されます。

誤送信対策

  • Fusion rule
    添付ファイルをルールにしたがって、オンラインストレージの特定のアカウントのフォルダ配下に格納し、共有リンクを発行する。オンラインストレージにboxを利用する場合は、パスワード付き共有リンクの発行が可能です。
    mxHeroのパスワードプロテクション機能について

オプション機能

  • Secure Email
    メール本文についてもPDF化し、オンラインストレージへのアクセス無しに読まれないようにする。
  • メールアーカイブ
    送受信したメールについて、Fusionルールとは別にオンラインストレージにアーカイブする。
    mxHeroのメールアーカイブ機能について

上長承認機能の有無について(2021/04/16更新)

mxHeroには承認・差し止めの機能はありません。グローバルを含め、接続を確認済みのサードパーティ製品はありません。

パスワード付きZipファイルを受信した場合どうなるのか

この場合、Zipファイルのままオンラインストレージに格納されます。Zipファイルの解凍機能はありません。

マルウェアスキャン機能はあるのか

mxHeroにはマルウェアのスキャン機能はありません。接続しているメールシステム・オンラインストレージの機能に依存します。

メールのログは mxHero内で確認できるか(2021/03/31追記)

簡易的なものですが、備えています。ログの粒度についてはトライアルでご確認いただくか、弊社営業経由でデモをご依頼ください。なお、ダウンロード形式はJSONです。また、併せてメールアーカイブ機能の活用もご検討ください。

mxHeroのメールアーカイブ機能について

メールの量やトラフィックなどをレポーティングする機能はあるか(2021/04/1更新)

簡易的なものですが、備えています。ログの粒度についてはトライアルでご確認いただくか、弊社営業経由でデモをご依頼ください。

管理者操作に対しての監査ログ機能はあるか(2021/03/31追記)

ございます。ログの粒度についてはトライアルでご確認いただくか、弊社営業経由でデモをご依頼ください。

Fusionルールについて

ルールを作成しようとするとエラーが出る時がある(2021/03/15追記)

Fusionルールは重複したり、矛盾する設定を行おうとするとエラーが表示され、保存できません。

ただし、以下のように、既存ルールを”Disabled”にして無効にすることで設定可能になります。トライアル環境などで複数ルールの比較が必要な場合はこのようにしてご対応ください。

SecureEmailについて

添付ファイルがついていないメールでは動作しないのか(2021/04/02追記)

添付ファイルがついていないメールでも動作します。

本文だけをオンラインストレージへのログインを必要とし、添付ファイルをそのまま送ることはできるか(2021/04/02追記)

できません。

環境設定時のオンラインストレージの認証について(2021/04/07追記)

boxを利用する場合の認証方法は

box service accountとして認証します。具体的には、boxのカスタムアプリとしてmxHeroを登録します。この場合、”JSONウェブトークンを使用したOAuth 2.0”として認証されるため、box側のSAML設定の影響は受けません。

Onedrive for Businessを利用する場合の認証方法は

OIDCで接続します。

Google workspaceを利用する場合の認証

Marketplaceアプリとして認証します。(OAuth)

オンラインストレージへの保管について

利用可能なオンラインストレージは何か(2021/03/25更新)

以下の中から選択可能ですが、individualアカウント(画像赤枠部分)については、トークンの有効期限切れの問題が発生するため、本番環境では利用せず、テストのみのご利用に留めてください。
なお、Box Service Accuntの利用には、 Box enterprise IDが必要となるため、最低限Box Business以上のプランが必要ですが、送信時の共有リンクのアクセススコープ設定を”宛先のみ”とする必要がある場合は、外部コラボレーションユーザーとして扱われるため、Box Business Plus以上のプランでご検討ください。

individualアカウントを利用した場合に、トークンの有効期限切れに起因するメールの不達やループが確認されております。上記記載の通り、テスト用に限ってご利用ください。

オンラインストレージがどれであっても機能の差異はないのか(2021/04/16更新)

大枠として同じですが、オンラインストレージ側の機能に依存する部分もあるため、細かい差異があります。例えば、パスワードプロテクションは、現状box限定の機能です。総じてboxを利用した場合が高機能です。

また、Googleドライブをオンラインストレージとして利用している場合、共有リンクに有効期限の設定はできません。

保存されるファイルのフォルダ分けについて(2021/03/25更新)

基本的に、オンラインストレージ側に”個人に紐づかない代表アカウント”を作成していただき、そのアカウントのストレージにフォルダを指定して保存する形になります。その際、変数が利用可能です。

以下の画像は、

送信時のメール添付ファイルを、代表アカウント配下の”mxHero Send”というフォルダの中に、送信者のメールアドレスでフォルダを生成し、同じく自動生成した宛先メールアドレスごとのサブフォルダに分けて格納

と設定している例です。

なお、共有リンクのアクセススコープを宛先のみにした場合は、設定にかかわらず、格納フォルダ名が”送信者アドレス-宛先アドレス”となります。例として以下のように設定した場合、

アクセススコープがAnyoneの場合は、以下のようにSendの下に送信者のメールアドレス(sender)がフォルダ名となります。

アクセススコープを宛先のみにした場合は、”送信者アドレス-宛先アドレス”というフォルダ名になります。

※デフォルト変数について英語版のヘルプ記事が作成されました。(2021/03/02)
Dynamic Variables

既存の各個人アカウント内のフォルダに保存するような運用は可能か(2021/04/16更新)

認証アカウントをユーザーに応じて動的に変更することはできません。ユーザーと保存先のオンラインストレージのアカウントを対応させたい場合はユーザーごとに個別にルールを設定する形になります。

基本的なルール設定のスコープについて

ルールの作成時に、対象とするスコープを以下の画像のように、アドレス・ドメイン・グループ単位などで設定可能です。

除外設定(バイパス設定)について(2021/03/10更新)

上記のスコープ設定以外に、各ルールに除外条件を設定可能です。オンラインストレージへのアクセスが禁止されている先にメールを送付しなければいけない場合などでも、ルールそのものを書き換えずに対応が可能です。

ドメインまたは特定のメールアドレス、Anyoneが、from・toいずれに対しても可能です。

ほか、添付ファイルのサイズを閾値とした、除外設定も可能です。

社内メール(mxHero登録ドメイン内のメール)について(2021/04/02更新)

バイパス設定とは関係なく、もともとFusionルールの適用対象とならず、オンラインストレージには保管されません。添付ファイルのまま届きます。
ただし、SecureEmail機能とメールアーカイブ機能は同一ドメイン宛のメールであっても動作します。

バイパスしたメールアドレスとそれ以外のアドレスが混在している時の動作(2021/03/10更新)

特定のメールアドレスをバイパスしたときに、他のバイパスしていない宛先のメールが混在していても、バイパスしたメールだけがルールの適用外となります。社内メールがルール適用外であることも変わりません。

以下の例では、送信時のルールで、特定のgmailアドレスをバイパスしています。

このとき、以下のように送信したとします。
k.mから始まる宛先アドレスは外部アドレス、CCは除外対象アドレスです。それ以外の2つは内部アドレスで、BCCを自分宛に送っています。

送信結果は以下のようになります。

宛先アドレス(Fusion有効)

CC(除外設定アドレス)

添付ファイルがそのまま届いています。

内部アドレス(宛先・自分宛BCC)

もともとルールが適用されないため、添付ファイルがそのまま届きます。

送信者が自分が送ったファイルの共有リンクを知る術はないのか(2021/03/08追記)

現状ありません。上記のように内部向けのメールはルールの適用外のため、仮に自分宛にBCCを送っても、上の例のように添付ファイルがそのまま返って来ます。

部署単位で保存先フォルダを変更する運用について

保存先のフォルダについての変数に“グループ“などの部署に相当する変数がございませんので、mxHero側のグループ設定を利用して、上記ルールを部署ごとに作成していただく形になります。

保存されるファイルの命名について

保存先フォルダ同様変数で指定可能です。以下の画像はファイル名を、

受信日時-件名-元々の添付ファイルのファイル名

と設定している例です。

共有リンク(オンラインストレージに保存されるファイル)について

共有リンクのアクセススコープ(2021/04/16更新)

mxHero側のアクセス権設定で、共有リンクの共有範囲を以下の3つから指定することが可能です。

  • Anyone (public links) :パブリック
  • Company (people in the organization) :自組織(ドメイン)内
  • Only the recipients of the email :宛先のみ

Anyoneに設定した場合はファイルに対して、宛先のみにした場合はフォルダに対して共有リンクが発行されます。

有効期限の設定(2021/04/16更新)

オンラインストレージにboxを利用している時のみ可能です。Googleドライブを利用している場合は設定できません。なお、”日”の単位で設定可能です。時間や分では設定できません。
また、こちらは共有リンクの有効期限となります。mxHeroには、時限でドライブの中に保存されたファイルを削除する機能はありません。

オンラインストレージのアカウントを持っていないユーザーがアクセスしてきた場合について(GoogleWorkspaceの場合)

以下はGoogleWorkspaceの場合の例ですが、

  • Anyone (public links) :パブリックの場合

Googleアカウントなしでもプレビューにアクセスでき、ダウンロードなども可能、となります。

  • Only the recipients of the email :宛先ユーザーの場合

ログイン(アカウント作成)を要求されます。

Fusionルールでメール本文もPDF保存する設定にした場合の基本動作

送信時のルールとしてこの設定を有効にしても、送信されるメール自体の文面には変更はなく、添付ファイルの共有リンクのみが発行されます。ただし、ファイルの保存場所は基本的に添付ファイルの格納先と同じフォルダになりますので、アクセススコープを”宛先のみ”している場合はPDF化された本文も受信者が確認可能です。

メールトラッキングができるようだが、そこから共有リンクを取り消すことはできるのか(2021/03/04追記)

Fusionルールにて、以下のようなトラッキングの設定が可能です。

ただし、共有リンクの取り消しはできません。現在共有リンクの取り消しについては、オンラインストレージ側から行う必要があります。

送受信時の注意点

メーリングリスト(グループアドレス)への送信時(2021/03/10更新)

”メーリングリストなどのグループメールアドレスに対して送信する場合”は、オンラインストレージ側に、グループに含まれるユーザー以外に、”グループメールアドレスで作成したアカウント”が必要になります。

また、このとき、上記アクセス権設定を、

Only the recipients of the email :宛先ユーザー

とした場合、メールは届きますが、グループに含まれるユーザーのアカウントではなく、”グループメールアドレスで作成したオンラインストレージのアカウント”のみが認証可能となってしまいます。

加えて、メーリングリストには外部の宛先が含まれているケースが多々ありますので、メーリングリストへの送信が必須の場合は、アクセス権を

Anyone (public links) :パブリック

とし、有効期限を設定するという形をご検討ください。

(2021/03/10追記) Googleドライブをオンラインストレージとした場合について、共有リンクの有効期限の設定が削除されました。Googleドライブ利用時については、共有リンクに有効期限の設定はできません。

フォルダのアクセス権設定について(2021/04/16更新)

mxHero側のアクセス権設定は、mxHeroが生成するフォルダや、生成されたフォルダに格納されるファイルに対してのみ行われます。
また、mxHero側のアクセススコープをAnyoneから宛先のみに変更しても、既にAnyoneで発行された共有リンクが、宛先ユーザーに限定したアクセス権にmxHeroによって上書きされるということはありません。

そのため、

  • mxHeroから見てRootに当たるフォルダのアクセス権
  • mxHero側の共有リンクのアクセス権限設定を変更する時の、生成済みの既存フォルダのアクセス権

に注意が必要です。

なお、mxHeroの共有リンクの共有範囲を、

Only the recipients of the email :宛先ユーザー 

とした場合は、自動生成されるフォルダに対して、あらかじめ共有が設定されますが、以下のような動作になります。(boxを利用した場合の例になります)

以下のようにフォルダを生成するように設定した場合、

Anyoneとは異なり、”送信者メールアドレス-受信者メールアドレス”をフォルダ名としてフォルダが生成されます。

なお、このとき、宛先ユーザーがboxアカウントを持っていない場合は、アカウント登録を促すメールが送信されます。
宛先ユーザーがアカウントを作成した場合、外部コラボレーターとして登録されます。

宛先ユーザーからは、”外部コラボレーションフォルダ”として、送信されたメールの添付ファイルが格納されたフォルダが見えるようになります。

mxHeroのファイル格納先のフォルダに権限がないユーザーからはどう見えるのか(2021/03/10追記)

以下はbox環境で、
mxHeroの共有リンクの共有範囲を、

Only the recipients of the email :宛先ユーザー

と設定し、”格納先フォルダに対して権限のないboxアカウントを持っている同一組織のユーザー”(eo-test-user1@〜)がメールを送信した場合の例です。

以下の宛先に送信しています。

この場合の格納フォルダの設定は以下です。

このときboxの格納フォルダ”mxHero”にアクセス権を持っている管理者からはこのように見えます。

各フォルダごとには以下のようになります。

このとき、送信者(eo-test-user1@〜)が自身のboxアカウントでboxにアクセスしても、”mxHero”フォルダにアクセス権がないため、以下のように何も表示されません。

送信時の添付ファイルの容量制限について

メールシステムからmxHeroにメールが転送されるという構成になりますので、”添付可能なファイルの最大サイズは、メールシステム側の設定に依存”します。
以下はGoogle Workspaceの例ですが、最大25MBまでの制限がありますので、制限を超えるサイズのファイルを添付した場合は、通常のメール同様にGoogleドライブの共有機能を利用するよう警告が表示されます。

ログイン不要でプレビュー・ダウンロードできるようにした場合の注意事項(2021/03/25追記)

共有リンクへのアクセスについて、ログイン不要にした場合、ファイルに対してのユーザーの操作が、IPレベルでしかオンラインストレージ側のログには記載されません。

管理

ユーザーの同期・登録

以下のディレクトリと同期が可能です。ただし、ディレクトリ側のグループは、メーリングリストユーザー (Email List account)として登録され、mxHeroのグループとは別個のものとして扱われます。
ユーザーの登録は、ディレクトリ同期のほか、個別登録・CSVアップロードでの登録が可能です。

ディレクトリ同期について(2021/04/07更新)

ディレクトリ全体と同期します。グループなど、スコープを絞っての同期はできません。なお、同期は24時間に1度の定期実行のため、ディレクトリ側のユーザー追加が、即時反映される訳ではありません。ただし、手動での同期実行も可能です。

グループの作成について

ルール設定のスコープとしてmxHero側に作成可能です。上記の通り、Google Workspaceなどとディレクトリ同期をした場合でも、同期して作成されることはありません。
また、あくまでも設定のスコープとしてのグループとなり、管理単位を区切って、管理を移管することはできません。

グループ管理者について

グループの仕様が上記のとおりのため、グループ管理者というロールもありません。
なお、mxHeroのテナント管理者を複数アカウント設定することは可能です。

ひとつのテナントで複数のドメインを管理・設定可能か(2021/03/15追記)

可能です。その場合、以下のようにダッシュボードの”Domeins”に複数のドメインが表示されます。

画面右上のアカウント表示も以下のように変化します。

その他

ライセンス体系はどうなっているか(2021/03/22更新)

mxHeroの必要ライセンス数は、組織内でmxHeroを利用する”ユーザーアカウント(End User Account)の数”に基づいています。 ディレクトリ同期時にグループアカウントに対応して作成される”Email List account”については課金されません。ディレクトリ同期を利用しない場合、Email List accountは作成されません。
なお、Email List accountを手動で作成することはできません。
また、End User AccountとEmail List accountに機能的な差異はありませんが、Email List accountには上に記載した注意点がある点にご留意ください。

最低契約ライセンス数はいくつか(2021/03/22追記)

20ライセンスが最低契約ライセンス数になります。

最低契約期間はあるか(2021/03/31追記)

定められていませんが、年間契約しかありませんので、実質上1年です。途中解約での払い戻しもありません。

契約状況を確認する方法はあるか(2021/04/07追記)

ダッシュボード右上のアカウントから、”Account settings”をクリックし、

”Manage billing”から確認可能です。

Manage billingからは契約情報、登録したドメインなどが確認可能です。

現在の有効なライセンスのうち何ライセンス利用しているかを自ら確認する方法はあるか。(2021/04/07更新)

契約ライセンスのうち、現在何ライセンス利用しているかについては表示されません。上記、Manage billing画面で契約数量を確認して、End User Accountの数量と突き合わせる必要があります。

mxHero本体のサポート体制はどうなっているか(2021/03/31追記)

24/365のサポートは提供されておらず、日本とは12時間の時差があります。
また、mxHero本体には日本語話者は在籍していません。

SLAやサーバー所在地はどうなっているか

標準契約ではSLAは提供されておらず、カスタム契約が必要です。ただし、現時点での稼働率は99.99%を超えています。
物理的には、AWSのUS-East-1です。弊社環境では遅延はありません。

サービス停止を伴う定期メンテナンスが発生することはあるか(2021/04/02更新)

サービスの中断を伴う定期メンテナンスはありません。 また、メンテナンスが発生すると、以下のステータスページに掲載されます。

http://status.mxhero.com

なお、メール・slack・RSSフィードなどで更新が通知されるようにすることも可能です。

日本語のヘルプサイトはあるか

ありません。英語のみとなります。

オンラインストレージ側が停止した場合、どのような処理がされるのか(2021/04/07追記)

Fusionルールとアーカイブ機能で処理が分かれます。

Fusionルールの場合

15分間処理が再試行されます。15分を経過してもオンラインストレージ側が回復しない場合は、メールは処理されず、添付ファイルとしてそのまま送信されます。このため、オンラインストレージが停止していても、メール自体が届かないということはありません。また、メールが処理されなかった場合でも、エラーメールなどは返ってきません。

アーカイブ機能の場合

1時間処理が再試行されます。1時間を経過してもオンラインストレージ側が回復しない場合は、メールはアーカイブとして保存されません。Archiving Addressルール内の、Advanced optionsで、Redirect Addressを指定した場合に限り、アーカイブできなかった旨、平易な英文のエラーメールがRedirect Addressで指定したメールアドレス宛に送信されます。

エラーの一覧や、エラーコードの一覧はあるか(2021/04/07追記)

提供されていません。また、エラーメールはアーカイブ失敗時のRedirect Addressへのメール以外には送信されません。その場合も平易な英文で送信されるため、エラーコード自体が存在しません。

共有ファイル一覧(有効期限/共有先)を取得する方法はあるか

mxHero側には該当機能はありません。オンラインストレージ側の機能に依存します。

mxHero側にユーザーを登録していない状態でも、ドメインだけ登録して設定すれば動作するのか

mxHero側にユーザーとして登録されていないメールアカウントについては、ルールの適用対象外となりますので、動作致しません。

オンラインストレージの利用をブロックしている先に送った場合はどうなるのか。Fusionルールのバイパス設定以外の方法はあるか。(2021/03/08更新)

オンラインストレージに格納するのが前提の製品のため、ブロックされます。ルールのバイパスでご対応ください。

また、オンラインストレージの利用を禁止している先に対して、そのポリシーを無効化・潜り抜ける方向での機能開発は倫理上の問題が想定され、また、送り先のシステム管理者にも負荷が発生します。このため、こういった方向での機能開発は行われないと思われます。

mxHeroが対応している各種セキュリティ基準などはどこかにまとまっているか(2021/03/10追記)

https://www.mxhero.com/trust にまとまっています。(英語)

mxHeroを利用した場合は、メールデータはmxHero側に保持されるのか(2021/03/15追記)

上記、https://www.mxhero.com/trust 冒頭部の”Service Architecture”に記載がありますので、引用いたします。
※機械翻訳を通しています。

mxHeroのサービスは、トポロジ的にはネットワークルーターと同等です。 mxHeroはデータを保持するようには設計されていません。 このサービスは、クラウドストレージシステムと統合するために電子メールが一時的に処理されるゲートウェイとして機能します。 ルーターと同様に、mxHeroのサービスには内部ストレージがほとんどなく、転送中のメールを処理するのに十分な量しかありません。

処理が終わると、mxHeroはローカルの一時的なコピーを削除し、システムが受信メッセージの処理を継続できるようにします。mxHeroのシステムは、処理のために必要以上にメッセージを保持するようには設計されていません。
通常、処理は30秒以内に行われます。追加の予防措置として、処理に使用されるすべての一時的なストレージは暗号化されたファイルシステムを使用しており、データは常に暗号化されています。

おわりに

現状、よくいただくご質問はこういったところです。Fusion設定はいろいろな設定項目がありますので、弊社営業にお声がけいただき、検証環境でいろいろお試しください。以上けーすけでした。

情報システム部門は企業のコア

CTA-IMAGE 株式会社クラウドネイティブは、情報システム部門のコンサルティング専門家集団です。 ゼロトラストの概念を国内でいち早く取り入れ、現実的に実装できる国内唯一のコンサルティング会社です。 「どの製品選べばいいの?」 「社内インフラ改革はどこから?」 「セキュリティって結局どうすれば?」 その疑問や不安にお応えします。