この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

こんにちは、パーソルプロセス＆テクノロジーの内田です。
AIP(Azure Information Protection)はコンテンツに対してラベル付けを行い、そのラベルの内容によって暗号化のアクセス制御を構成するというサービスです。

ラベルの暗号化設定の中で、誰にどんなアクセス権を付与するかを事前に定義しておくため、仮に情報漏洩したとしても正規のユーザーしかアクセスできないため安心というものです。

かなり活かしたサービスだと思いますが、組織のユーザー 一人一人に今までやってこなかった「ラベル運用」を定着させることに対して、難しいという感想を漏らすシステム管理者の方は多いのではないでしょうか。

今回はメール送信時の添付ファイルのラベルに応じた送信制御について、想定シナリオを元に解説していきたいと思います。

最初にどんな具合に送信制御を実装できるのか、サンプルをお見せします。

想定シナリオ

この組織では業務で取り扱う情報について、次のように分類を行いそれをラベルとして定義しました。

この組織におけるルールは次の通りです。

• 社外のユーザーとファイルをやり取りする場合、原則としてそれは公開情報である必要がある。
• 機密情報は原則として社外とやり取りしてはいけない、例外的に機密情報をやり取りするケースが存在する。
• 極秘情報は何があっても社外と共有してはならない。

この組織が抱えている課題

• ユーザーのラベル付けが定着せず、既定の機密情報ラベルのまま社外に送信している
• 機密情報ラベルで送信しているため、相手先でそのファイルを開くことができない問題が生じている

ラベルに応じた送信制御でポップアップを表示させる

まず注目すべきは既定のラベルが機密情報であり、原則として社外と共有できないようになっている点です。

ユーザーが明示的にラベルを変更しない限り、外部のユーザーにそのファイルを共有したとしても、共有先のユーザーはアクセス権を持っていないため、そのファイルを閲覧することはできません。

しかしユーザー教育が行き届いていないため、既定のままで社外にメール送信することで、相手先から閲覧できないと指摘をうける状況にありました。

ラベルの詳細設定にて、メール送信時のポップアップメッセージをカスタマイズすることによって、メールを送信しようとしているユーザーに対して、ラベル付けが正しいか確認する機会を設けることができます。

詳細設定では添付ファイルのラベルIDに応じて次のようにポップアップメッセージをカスタマイズするとしましょう。

• 公開情報：ポップアップメッセージ未構成
• 機密情報：警告を示すポップアップメッセージを構成。ユーザーは上書きして送信することが可能。
• 極秘情報：送信不可を示すポップアップメッセージを構成。ユーザーは上書きすることができない。

このようにすることで、ユーザーに向けた追加の教育コンテンツを用意する必要なく課題を解決することができる。そんな機能がAIPのラベル詳細設定となります。

実際にどのように設定するのか

AIPのラベルポリシーの詳細設定(OutlookCollaborationRule_<n>)を構成することで、上記のポップアップメッセージを構成することができます。詳細設定は2021.10時点においてPowershellでしか設定できないため注意が必要です。

Powershellで設定する上で必要なモジュールは ExchangeOnlineManagementとなります。次のようにしてサインインした後、ラベルポリシーの詳細設定を修正します。

# サインイン
Connect-IPPSSession

# ラベルの取得
$labels = Get-Label
## ラベルID(guid)を確認するために、「$labels | fl」として値を控えておきましょう

# ラベルポリシーの取得
$policies = Get-LabelPolicy
## ラベルポリシーが複数ある場合は、適切なポリシーに制限してください。

# 設定ファイルの取得
$filedata = Get-Content <filepath> 


# ラベルポリシー詳細設定の更新
Set-LabelPolicy -Identity $policies.Identity -AdvancedSettings @{ "OutlookCollaborationRule_1" = "$filedata"}

設定ファイルについては今回のサンプルを下記に残しておきます。またOutlookCollaborationRule末尾（1）の値については、適宜インクリメントしてください。

{   
    "type" : "And",     
    "nodes" : [         
        {
          "type": "AttachmentLabel",
          "LabelId": "ab6a87bf-2d1c-4f5f-aa4f-75a285a672ba",
        },
    {       
	"type": "Except" ,
	"node": {    
            "type" : "SentTo",              
            "Domains" : [               
                "kyoheiuchidapoc.onmicrosoft.com",              
            ]   
}        
        },      
        {           
            "type" : "Warn" 
        }   
    ] 
}

{   
    "type" : "And",     
    "nodes" : [         
        {
          "type": "AttachmentLabel",
          "LabelId": "d9382a4b-20f5-43f0-a526-859e26a2eb9a",
        },
    {       
	"type": "Except" ,
	"node": {    
            "type" : "SentTo",              
            "Domains" : [               
                "kyoheiuchidapoc.onmicrosoft.com",              
            ]   
}        
        },      
        {           
            "type" : "Block" 
        }   
    ] 
}

ポリシーヒントと何が違うのか

Microsoft 365 コンプライアンス管理センターにおけるDLPポリシーにて、ポリシーヒントを構成することができます。ユーザー目線での違いとしては表示のされ方程度ですので、正直どちらで設定しても構わないと考えています。

良い点をあげるとすると、今回紹介したラベルポリシーの詳細設定による影響範囲はラベルポリシーのみですので、システム部門目線からは設定しやすい箇所であるということでしょうか。

とはいえ、今日では情報を共有するツールはメールだけではありません。Teams等のビジネス コミュニケーション ツールや、OneDrive、Box等のクラウドストレージについても考えないといけません。
複数の情報流出経路において、今回のようなポップアップを構成するにはDLPポリシーが最適であると考えています。

しかし、DLPポリシーを始めとしたコンプライアンス管理を検討のスコープに入れ始めると、内容が複雑であり、まとめあげるのに時間を要するのが正直なところです。
そういうわけで、AIPを導入したものの中々上手く運用できていない！という場合には、影響範囲がAIPラベルのみに抑えられるラベルの詳細設定を構成して、メール送信時のポップアップメッセージを構成するというのが、現実的なラベル運用定着の一つの解であると考えています。