mxHeroのFusionルールの設定値サンプルと考慮ポイント(2021/06/09更新)

mxHeroのFusionルールの設定値サンプルと考慮ポイント(2021/06/09更新)

こんにちは。けーすけです。今回はmxHeroのFusionルール設定値のサンプルになります。基本的にbox・Onedrive・Google workspaceのどのオンラインストレージでも利用可能な設定値にしていますが、機能の差異がありますので、適宜注釈を入れています。また、設定値サンプルの記載の前に考慮ポイントと見解を記載しています。

この記事で説明する範囲

  • mxHeroのFusionルールの設定要件の想定
  • 設定要件を決めるに当たっての考慮ポイント
  • 共有リンクの取り消しについて
  • 設定要件を具体的なFusionルールの落とし込んだ場合の設定値サンプル

注意点

  • 2021年6月9日現在の情報に基づきます。
  • 今回解説しているのは、Fusionルールのみです。また、Secure Emailについても利用しない想定です。
  • この記事のサンプル設定値については、すぐ運用開始ができるように考慮していますが、絶対的な正解ではありません。叩き台としてご利用ください。
  • mxHeroの性質や用語、基本設定について、ある程度知識をお持ちのかたが前提の記事になっています。よくあるお問い合わせなども併せてご参照ください。

前提条件

  • Fusion ルールが動作する状態の検証環境があること
  • メールシステムとしてExchange OnlineまたはGoogle Workspaceを利用していること
  • オンラインストレージアカウントとして、individualアカウントが設定されていないこと

設定要件の想定

以下、標準的な設定要件の例です。導入直後の本番利用の開始時点を想定しています。

項目設定要件備考
利用スコープ送信のみ
アクセススコープAnyone(有効期限付き)Googleworkspaceの場合は、
Anyone設定時に有効期限を指定できません。
メーリングリストアドレスの利用利用する
グループ分けによる複数ルールの作成しない
メール本文のPDF保存しない
メールトラッキングしない
Secure Email利用しない
パスワードプロテクション必要があれば一部で利用するboxのみで利用可能です。
Archive address利用しない

個別の考慮ポイント

利用スコープ

mxHeroは送受信それぞれまたは両方で利用可能ですが、受信については以下の2つの理由により、はっきりとした目的・理由がない限りは利用せず、オンラインストレージのアプリ・アドインを利用し、誤送信対策として送信のみで利用した方が利便性が高くなります。

  1. mxHeroを受信に利用した場合、ほとんどのケースで、一度ローカルにダウンロードし、再度任意の場所に保存するという操作フローになります。オンラインストレージのアプリ・アドインを利用する方が最初からユーザーが任意の保存先を指定できるなど、利便性が高まります。
  2. mxHero単体ではアンチマルウェアの機能を持っていません。そのため、アンチマルウェアの文脈で多層防御になり得るのは、ストレージ側でアンチマルウェア機能を利用可能なケースなど、限られます。

    また、メールシステム内で添付ファイルのアンチマルウェア機能が提供されている場合は、受信についてはmxHeroで共有リンクに置き換えずにアンチマルウェア機能にそのまま通した方が、トラブル発生時の切り分けの考慮ポイントが少なく、効果も十分に得られると判断しています。

なお、以下の各項は全て送信のみで使用した場合の論点です。受信でも利用するケースを考慮していません。

アクセススコープ

基本的には有効期限付きのAnyoneで使用していただくのが標準的な設定です。(mxHero本体のFAQにも標準的な設定として記述されています)

なお、設定値としては、Only the recipients (宛先のみ)も設定可能ですが、標準的な設定とするには以下の問題があります。

Only the recipients (宛先のみ)とした場合の問題点

大きいところで、

の3点があります。

ほか、Anyoneに比べ、mxHeroやオンラインストレージ側の仕様変更の影響を受けやすくなります。
結果としてAnyone設定と比べると安定性が乏しくなります。

また、Anyone設定と違い、生成されるフォルダ名が変数にかかわらず、

送信者メールアドレス-受信者メールアドレス

となります。

具体的には以下のようなパスになります。

mxhero/send/ksuke@hoge.com-aite@foo.co.jp/20210505/テストメール
Only the recipients (宛先のみ)とした場合の利点

逆にOnly the recipients (宛先のみ)とした場合の利点は、オンラインストレージ側でのログインを要求されることから、IPアドレスではなくユーザー名がオンラインストレージ側のログに記録されるため、トレーサビリティが高まることが挙げられます。

そのため、アクセスログにユーザー名が残るということがセキュリティーポリシー上必須の場合は、Only the recipients (宛先のみ)で構成してください。ただし、メーリングリストアドレスの利用・運用の変更について考慮が必要になります。

GoogleWorkspaceをオンラインストレージとして利用する場合固有の問題

Googleworkspaceをオンラインストレージとした場合は、共有リンクに有効期限を設定することはできません。そのため、メーリングリストアドレスを利用する前提の場合は、”失効期限無しのAnyone”以外のアクセススコープでは運用できません。

グループ分けによる複数ルールの作成

mxHero側にグループを作成することで複数ルールの運用が可能です。ただし、今回のサンプルは本番環境の導入当初時点の設定サンプルとして設定していますので、グループは作成せず単一のルールで運用する想定です。

メーリングリストアドレスとそれ以外のアドレスで適用ルールを分割する、通常のルールを適用するグループとSecure Emailを適用するグループを分けるなどいろいろな用途が想像できますが、運用負荷も同時に上がります。

また、運用負荷以外についても、各ルールについての変更は全て手作業で作成となり、複製や流し込みなどはできないため、基本的にはグループ分けによる複数ルールの運用はビジネスユースケースの必要性に応じて、必須である場合に行うものとお考えください。

メール本文のPDF保存

アーカイブが必要な場合は、メールシステムのアーカイブ機能または、Archive address機能をご利用ください。

メールトラッキング

Fusionルールの機能として、メールトラッキングが設定可能です。メールの開封または添付ファイルのダウンロード、もしくはその両方について、IPアドレスとジオロケーションに基づく位置情報を送信者(ユーザー)へのメールの形で通知します。

ユーザー各自でのオンオフができないため、利用しない想定にしています。

Secure Email

アクセススコープを”宛先のみ”として設定することで、添付ファイルだけでなく本文についても共有解除可能かつ、オンラインストレージへのログインなしには読めないようにすることが可能です。

そのため、メール本文自体に要配慮情報を含む部署などに対してのみ設定するなどが考えられますが、先述のアクセススコープを”宛先のみ”に設定することによるデメリット全てに加え、グループ分けによる複数ルールの運用、もしくはmxHeroのセキュリティポリシーによっての適用条件指定などが必要になります。

理想的には、導入完了後に別途検証テナントを作成し、一定の期間の検証の後に導入の要否を決定することが望ましいと思われます。導入規模にもよりますが、mxHero自体が未知の状態から始めた場合、無料トライアル期間の2週間では有効な検証にならない可能性がありますので、導入規模に応じ、弊社営業までトライアル開始前にご相談ください。

パスワードプロテクション

boxを利用している場合はパスワードプロテクションを利用することが可能です。この機能を利用することにより、共有リンクへのアクセスに対してパスワードを要求することが可能です。

いわゆるPPAPとの大きな違いは、

  • マルウェアスキャンなどのセキュリティ対策を阻害しない
  • ファイルそのものを送信しているわけではない
  • ファイルそのものにパスワードがかかっているわけではなく、ファイルへのアクセスに対してパスワードが要求されている

というものです。

ただし、

  • 受信側で都度パスワード入力の手間がある
  • パスワードと共有リンクが同じ経路で送信される

という点はPPAPと変わりません。
そのため、”特定のユーザーを対象とした恒常的なデータのやりとり”については、全てをメールベースで無理やり対応するのではなく、適宜”各オンラインストレージの外部共有フォルダの利用”をご検討ください。

Archive address

mxHero側でFusionルールとは独立してメールアーカイブの設定が可能です。ただし、現時点でポリシー設定が日本語に対応していないため、ほとんどのケースで各メールシステム側のアーカイブ機能に対しての優位性はありません。

また、各メールシステムのアーカイブ機能については既に知見の蓄積があり、トラブル発生の際についても依頼先や相談先が全く見つからないことは少ないですが、mxHeroの場合はつい最近国内展開を開始したこともあり、日本語環境固有のトラブルについては知見が十分蓄積されているとは言い難い状況です。そのため、メール側のアーカイブ機能で実現できない要件がない限り、現時点ではそちらをご利用ください。

また、メールシステムとアーカイブシステムが別の場合は、メールは動作しているがアーカイブが止まっているという障害パターンも考えられますので、それが許容できるか否かについても併せてご検討ください。

mxHeroに限った話ではありませんが、重要なのは、”主要機能が自社のニーズを満たしているか”ですので、mxHeroが”誤送信対策製品”として自社の要件を満たすかを確認していただき、オプション機能はオプション機能としてご評価いただければと思います。

なお、ポリシー設定の日本語対応の完了次第、Archive addressについては別途詳細をご紹介いたします。

共有リンクの取り消しについての考慮点

mxHeroは特定の代表アカウント配下のフォルダに、変数によってフォルダを生成し、その中に添付ファイル格納、共有リンクを発行する、という動作をします。

そのため、標準的な運用としては、mxHeroが添付ファイルを格納するフォルダに対して、取り消し処理を行うユーザー(一般的には情シスメンバー)のアクセス権を付与し、そのユーザーが取り消し処理を代行する形になります。
(ユーザー各自のアカウント配下のフォルダに保存する設定はできません)

そのため、「現在誤送信がどのくらい発生しているか=どのくらいの頻度で共有リンクの取り消し作業が発生しそうか」について事前に想定しておくことが重要です。

その際、もし、共有リンクの取り消し作業の発生頻度がマンパワーに対して過重であるように思われる場合は、各オンラインストレージの”外部共有フォルダ”を利用することも併せてご検討ください。誤送信の頻度が有意に高い場合はそもそもメールというデータの受け渡し方法が適切でない場合があります。

具体的な設定値のサンプル

以下、上記考慮ポイントに沿った、具体的な設定値のサンプルになります。画面例はOnedrive for Businessでの例ですが、基本的に同一です。
(アクセススコープ・パスワードプロテクションの部分のみbox service accountの画面例になります)

基本設定

Individualアカウント以外とは、具体的には以下の3つです。

ストレージアカウントの設定

フォルダの生成規則

フォルダの命名規則については、変数部分を{Sender}から開始し、まずだれが送ったかを特定しやすくしています。次に{Received Date/yyyyMMdd}を挟み、1フォルダあたりのファイル数が各オンラインストレージの上限を超えにくいようにしています。その上で、{subject}を使い、メール1通あたり1フォルダにまとまるように構成しています。

Advanced options(2021/06/09追記)

Box環境下でパスワードプロテクションを有効化している場合は、当面”Do not overwrite existing messages”をオンにしてご利用ください。 バグがある可能性があり、調査中です。
https://blog.cloudnative.co.jp/4486/#outline__3_1

念のためTimezoneを確認してください。添付ファイルの命名規則は、以下のように設定します。

日時(分まで)-メールの件名-元の添付したファイルのファイル名

この場合、以下のようなファイル名になります。

20210511_1456-送信テスト-見積書ダミー.xls

なお、ファイル名の命名変数に日時を指定しているのは、送信日時を容易に確認できるようにすることのほかに、上書きの防止です。同一名称・同一件名のメールが同じユーザーから1分間に二回以上送信しないかぎり、上書きされません。

なお、上書きが許容できない環境の場合は、以下のように上書きを禁止してください。

ただし、この場合、添付ファイルは宛先と同じ数だけ同一のものが保存されます。

例:上書きを禁止をオンにして3つの宛先へ送信した場合

Security options

共有リンクの有効期限は暫定的に7日にしています。

セキュリティーポリシーを利用して設定するパターンや、動作の詳細は別途記事にしています。

おわりに

今回だいぶ長い記事で恐縮ですが、mxHeroのトライアル完了後から本番導入までの間の参考資料として作成してみました。叩き台としてご利用ください。それでは、けーすけでした。

情報システム部門は企業のコア

CTA-IMAGE 株式会社クラウドネイティブは、情報システム部門のコンサルティング専門家集団です。 ゼロトラストの概念を国内でいち早く取り入れ、現実的に実装できる国内唯一のコンサルティング会社です。 「どの製品選べばいいの?」 「社内インフラ改革はどこから?」 「セキュリティって結局どうすれば?」 その疑問や不安にお応えします。