mxHeroのFusionルールの設定値サンプルと考慮ポイント（2022/3/4更新）

こんにちは。けーすけです。今回はmxHeroのFusionルール設定値のサンプルになります。基本的にbox・Onedrive・Google workspaceのどのオンラインストレージでも利用可能な設定値にしていますが、機能の差異がありますので、適宜注釈を入れています。また、設定値サンプルの記載の前に考慮ポイントと見解を記載しています。

この記事で説明する範囲

• mxHeroのFusionルールの設定要件の想定
• 設定要件を決めるに当たっての考慮ポイント
• 共有リンクの取り消しについて
• 設定要件を具体的なFusionルールの落とし込んだ場合の設定値サンプル

注意点

• 2022年3月4日現在の情報に基づきます。
• 今回解説しているのは、Fusionルールのみです。また、Secure Emailについても利用しない想定です。
• この記事のサンプル設定値については、すぐ運用開始ができるように考慮していますが、絶対的な正解ではありません。叩き台としてご利用ください。
• mxHeroの性質や用語、基本設定について、ある程度知識をお持ちのかたが前提の記事になっています。よくあるお問い合わせなども併せてご参照ください。
• オンラインストレージ側のプランや制約についても事前にご確認ください。

前提条件

• Fusion ルールが動作する状態の検証環境があること
• メールシステムとしてExchange OnlineまたはGoogle Workspaceを利用していること
• オンラインストレージアカウントとして、individualアカウントが設定されていないこと

設定要件の想定

以下、標準的な設定要件の例です。導入直後の本番利用の開始時点を想定しています。

項目	設定要件	備考
利用スコープ	送信のみ
アクセススコープ	Anyone(有効期限付き)	Googleworkspaceの場合は、 Anyone設定時に有効期限を指定できません。
メーリングリストアドレスの利用	利用する
グループ分けによる複数ルールの作成	しない
メール本文のPDF保存	しない
メールトラッキング	しない
Secure Email	利用しない
パスワードプロテクション	必要があれば一部で利用する	boxのみで利用可能です。
Archive address	利用しない
同一ドメイン内（自社内）メールについてのFusionルールの適用	しない	※ Gmail環境の場合、除外条件を設定しない場合でも送信者自身宛のメールにはFusionルールは適用されません。

個別の考慮ポイント

利用スコープ(2022/03/04更新)

mxHeroは送受信それぞれまたは両方で利用可能ですが、受信については以下の理由により、はっきりとした目的・理由がない限りは利用せず、オンラインストレージのアプリ・アドインを利用し、誤送信対策として送信のみで利用した方が利便性が高くなります。

1. まず、受信に対してもFusionルールを適用すると、PPAPファイルなどもそのままアップロードされるため、オンラインストレージにアクセスしてから、さらにローカルへダウンロードして解凍する操作が必要になり、二度手間が発生する可能性が高いと言えます。
   
2. 加えて、標準的な設定である特定アカウントへの集約保存を行なった場合、PPAPファイルでなくとも、各ユーザーは一度ローカルにファイルをダウンロードし、編集、再度任意の場所に保存するという操作フローになります。
   
   これは、メールアドレスごとに個別にオンラインストレージを設定し、各アカウントにアカウントに分散保存する設定をすることで、ユーザーがローカルに都度ダウンロードする動作は回避できますが、ひとつめに挙げたPPAPファイルなどが無差別に上がる点については回避できません。
   
3. そのため、受信したメールの添付ファイルについては、オンラインストレージのアプリ・アドインを併用する方が、各ユーザーがオンラインストレージへ保存するか否か、どこのフォルダに保存するかを指定できるため、利便性が高まります。
   
4. また、mxHero単体ではアンチマルウェアの機能を持っていません。そのため、アンチマルウェアの文脈で多層防御になり得るのは、ストレージ側でアンチマルウェア機能を利用可能なケースなど、限られます。
   
5. そして、メールシステム内で添付ファイルのアンチマルウェア機能が提供されている場合は、受信についてはmxHeroで共有リンクに置き換えずに、メールシステム側のアンチマルウェア機能にそのまま通した方が、トラブル発生時の切り分けの考慮ポイントが少なく、効果も十分に得られると判断しています。
   
6. そのため、送信についてはオンラインストレージのフォルダ共有とmxHEROの併用、受信についてはオンラインストレージのアドインで対応することをおすすめ致します。
   
7. 例外としては、社内のセキュリティポリシーや契約などによって、「受信したメールおよび添付ファイルは、例外なくオンラインストレージ側のマルウェアチェックを通すことを必須とする」というように規定されているような場合がありますが、これは一般的なユースケースではありません。

以上のことから、以下の各項は全て送信のみで使用した場合の論点です。受信でも利用するケースを考慮していません。

アクセススコープ

基本的には有効期限付きのAnyoneで使用していただくのが標準的な設定です。（mxHero本体のFAQにも標準的な設定として記述されています）

なお、設定値としては、Only the recipients （宛先のみ）も設定可能ですが、標準的な設定とするには以下の問題があります。

Only the recipients （宛先のみ）とした場合の問題点

大きいところで、

• メーリングリストアドレスを利用する場合は、実質上”宛先のみ”は設定できない
• 受信者がオンラインストレージのアカウントを持っていない場合に受信者側にアカウント作成が要求される
• その場合に、受信者側の操作のサポートが自社（送信）側で発生する可能性がある

の3点があります。

ほか、Anyoneに比べ、mxHeroやオンラインストレージ側の仕様変更の影響を受けやすくなります。
結果としてAnyone設定と比べると安定性が乏しくなります。

また、Anyone設定と違い、生成されるフォルダ名が変数にかかわらず、

送信者メールアドレス-受信者メールアドレス

となります。

具体的には以下のようなパスになります。

mxhero/send/ksuke@hoge.com-aite@foo.co.jp/20210505/テストメール

Only the recipients （宛先のみ）とした場合の利点

逆にOnly the recipients （宛先のみ）とした場合の利点は、オンラインストレージ側でのログインを要求されることから、IPアドレスではなくユーザー名がオンラインストレージ側のログに記録されるため、トレーサビリティが高まることが挙げられます。

そのため、アクセスログにユーザー名が残るということがセキュリティーポリシー上必須の場合は、Only the recipients （宛先のみ）で構成してください。ただし、メーリングリストアドレスの利用・運用の変更について考慮が必要になります。

GoogleWorkspaceをオンラインストレージとして利用する場合固有の問題

Googleworkspaceをオンラインストレージとした場合は、共有リンクに有効期限を設定することはできません。そのため、メーリングリストアドレスを利用する前提の場合は、”失効期限無しのAnyone”以外のアクセススコープでは運用できません。なお、メーリングリストアドレスについて、極端に数が少なく、全て把握可能な場合は、個別にFusionルールの適用除外とすることで、”宛先のみ”でも運用する余地があります。

グループ分けによる複数ルールの作成

mxHero側にグループを作成することで複数ルールの運用が可能です。ただし、今回のサンプルは本番環境の導入当初時点の設定サンプルとして設定していますので、グループは作成せず単一のルールで運用する想定です。

メーリングリストアドレスとそれ以外のアドレスで適用ルールを分割する、通常のルールを適用するグループとSecure Emailを適用するグループを分けるなどいろいろな用途が想像できますが、運用負荷も同時に上がります。

また、運用負荷以外についても、各ルールについての変更は全て手作業で作成となり、複製や流し込みなどはできないため、基本的にはグループ分けによる複数ルールの運用はビジネスユースケースの必要性に応じて、必須である場合に行うものとお考えください。

メール本文のPDF保存

アーカイブが必要な場合は、メールシステムのアーカイブ機能または、Archive address機能をご利用ください。

メールトラッキング

Fusionルールの機能として、メールトラッキングが設定可能です。メールの開封または添付ファイルのダウンロード、もしくはその両方について、IPアドレスとジオロケーションに基づく位置情報を送信者（ユーザー）へのメールの形で通知します。

ユーザー各自でのオンオフができないため、利用しない想定にしています。

Secure Email

アクセススコープを”宛先のみ”として設定することで、添付ファイルだけでなく本文についても共有解除可能かつ、オンラインストレージへのログインなしには読めないようにすることが可能です。

そのため、メール本文自体に要配慮情報を含む部署などに対してのみ設定するなどが考えられますが、先述のアクセススコープを”宛先のみ”に設定することによるデメリット全てに加え、グループ分けによる複数ルールの運用、もしくはmxHeroのセキュリティポリシーによっての適用条件指定などが必要になります。

理想的には、導入完了後に別途検証テナントを作成し、一定の期間の検証の後に導入の要否を決定することが望ましいと思われます。導入規模にもよりますが、mxHero自体が未知の状態から始めた場合、無料トライアル期間の2週間では有効な検証にならない可能性がありますので、導入規模に応じ、弊社営業までトライアル開始前にご相談ください。

パスワードプロテクション

boxを利用している場合はパスワードプロテクションを利用することが可能です。この機能を利用することにより、共有リンクへのアクセスに対してパスワードを要求することが可能です。

いわゆるPPAPとの大きな違いは、

• ファイルそのものを送信しているわけではない
• ファイルそのものにパスワードがかかっているわけではなく、ファイルへのアクセスに対してパスワードが要求されている

というものです。

ただし、

• 受信側で都度パスワード入力の手間がある
• パスワードと共有リンクが同じ経路で送信される

という点はPPAPと変わりません。
そのため、”特定のユーザーを対象とした恒常的なデータのやりとり”については、全てをメールベースで無理やり対応するのではなく、適宜”各オンラインストレージの外部共有フォルダの利用”をご検討ください。

Archive address

mxHero側でFusionルールとは独立してメールアーカイブの設定が可能です。

ただし、各メールシステムのアーカイブ機能については既に知見の蓄積があり、トラブル発生の際についても依頼先や相談先が全く見つからないことは少ないですが、mxHeroの場合はつい最近国内展開を開始したこともあり、日本語環境固有のトラブルについては知見が十分蓄積されているとは言い難い状況です。そのため、メール側のアーカイブ機能で実現できない要件がない限り、現時点ではそちらをご利用ください。

また、メールシステムとアーカイブシステムが別の場合は、メールは動作しているがアーカイブが止まっているという障害パターンも考えられますので、それが許容できるか否かについても併せてご検討ください。

mxHeroに限った話ではありませんが、重要なのは、”主要機能が自社のニーズを満たしているか”ですので、mxHeroが”誤送信対策製品”として自社の要件を満たすかを確認していただき、オプション機能はオプション機能としてご評価いただければと思います。

共有リンクの取り消しについての考慮点

mxHeroは添付ファイルの保存先を指定した代表アカウントに集約する、各ユーザーのアカウントに個別に保存し、ユーザーが各自で取り消し操作を行う、このいずれかが選択可能です。

集約する場合は共有リンクの取り消し作業担当者に負荷が集中し、各ユーザーのアカウントに個別保存する場合は、利便性も高まりますが、データの分散や、ユーザー各自によるメール添付ファイルの消去などが考えられます。そのため、個別アカウントへの保存を検討する場合は、メールシステム側のアーカイブ機能や、mxHeroのarchive address機能の利用についても、必要に応じてご検討ください。

また、特に代表カウント一つに集約する場合に、取り消し処理の発生頻度が頻繁であることが事前に想定される場合は、各オンラインストレージの”外部共有フォルダ”を利用することも併せてご検討ください。誤送信の頻度が有意に高い場合はそもそもメールというデータの受け渡し方法が適切でない場合があります。すべてをmxHeroに一本化する必要はありません。

具体的な設定値のサンプル

以下、上記考慮ポイントに沿った、具体的な設定値のサンプルになります。画面例はOnedrive for Businessでの例ですが、基本的に同一です。
（アクセススコープ・パスワードプロテクションの部分のみbox service accountの画面例になります）

基本設定

Individualアカウント以外とは、具体的には以下の3つです。

ストレージアカウントの設定

※こちらは保存先アカウントを指定する場合の設定になります。個別のアカウントに保存する場合は空白にしてください。詳しくはこちらをご覧ください。

フォルダの生成規則

フォルダの命名規則については、変数部分を{Sender}から開始し、まずだれが送ったかを特定しやすくしています。次に{Received Date/yyyyMMdd}を挟み、1フォルダあたりのファイル数が各オンラインストレージの上限を超えにくいようにしています。その上で、{subject}を使い、メール1通あたり1フォルダにまとまるように構成しています。

Advanced options

念のためTimezoneを確認してください。

また、同一ドメイン同士でもFusionルールの適用対象となりますので、除外条件を利用して、社内対社内のメールを除外します。ただし、Gmail環境の場合、送信者自身宛のメールにはFusionルールは適用されません。

設定例：
※ hoge.comを適宜自社ドメインに読み替えてください。

添付ファイルの命名規則は、以下のように設定します。

日時（分まで）-メールの件名-元の添付したファイルのファイル名

この場合、以下のようなファイル名になります。

20210511_1456-送信テスト-見積書ダミー.xls

なお、ファイル名の命名変数に日時を指定しているのは、送信日時を容易に確認できるようにすることのほかに、上書きの防止です。同一名称・同一件名のメールが同じユーザーから1分間に二回以上送信しないかぎり、上書きされません。

なお、上書きが許容できない環境の場合は、以下のように上書きを禁止してください。

ただし、この場合、添付ファイルは宛先と同じ数だけ同一のものが保存されます。

例：上書きを禁止をオンにして3つの宛先へ送信した場合

また、Onedrive for Businessを利用する予定の場合は、以下のような制約があります。

Onedrive for Business固有の設定

Security options

共有リンクの有効期限は暫定的に7日にしています。

セキュリティーポリシーを利用して設定するパターンや、パスワードプロテクションの動作の詳細は別途記事にしています。

なお、パスワードプロテクションを有効にする場合は、以下のように”Advanced Option”から上書きを禁止するか、

保存されるファイル名の変数に”{Recipient}”を挟むなどして、上書きが発生しないように設定してください。

おわりに

今回だいぶ長い記事で恐縮ですが、mxHeroのトライアル完了後から本番導入までの間の参考資料として作成してみました。叩き台としてご利用ください。それでは、けーすけでした。