今回はMicrosfot Purviewのコンテンツ検索機能を利用して、機密情報を検索する方法をご紹介します。

 

コンテンツ検索とは

Microsoft 365 のメール、ドキュメント、Teams会話などのコンテンツを検索、検索結果をエクスポートできる機能です。

また、電子情報開示（eDiscoveryとも呼ばれる）を活用した機能でもあります。

では、eDiscoveryとコンテンツ検索の違いについて簡単にご紹介したいと思います。

eDiscoveryとの違い

eDiscoveryは名前の通りではありますが、電子情報開示制度に対応することが目的の機能となっています。

コンテンツ検索をし、結果をエクスポートする機能だけではなくケース管理や、訴訟ホールドのような電子情報開示制度に対応するために一定期間ケースとして保管するような機能が備わっている点が、コンテンツ検索とは異なる部分になります。

ちなみに、電子情報開示とは主に欧米諸国における民事訴訟において、当事者が、訴訟に関連する全情報の開示が求められることを示しています。

もちろん日本企業がeDIscoveryの制度も設けている国で民事訴訟を起こされた場合にも対応する必要があります。

よって、コンテンツ検索と電子情報開示とでは利用目的が異なります。

コンテンツ検索の作成方法

では、早速コンテンツ検索の作成方法を見ていきます。

1. Microsfot Purview コンプライアンスポータルに管理者権限でアクセス
2. 左側メニュー[コンテンツ検索]をクリック
3. [検索]タブにて[+新しい検索]をクリック
   
4. 「名前」、「説明」を入力
5. コンテンツ検索の対象とする”場所”を選択
   ※Teamsをコンテンツ検索の対象としたい場合は、Teamsはチャット、チャネルなど各データの保存先が異なるため、どの情報を取得したいのかによって指定する場所が異なります。
   対象/対象外の条件指定をする場合は、ご注意ください。
   　・チャット（個人/グループ）
   　　保存場所：各ユーザーのメールボックス
   　・チームの標準チャネル
   　　保存場所：チームに紐づいた Microsfot 365 グループのメールボックス
   　・チームのプライベートチャネル
   　　保存場所：プライベートチャネルメンバーの各メールボックス
   
6. 検索条件の定義は要件に合わせて入力
   例）コンテンツタイプがドキュメント、かつ最終変更に指示が2022/10/5以降のコンテンツ
   ※機密情報の種類を検索する方法についてはこちらに記載しています。
   
7. [送信]をクリックし、コンテンツ検索の作成完了
   作成完了すると、コンテンツ検索が開始されるため、完了するまで待ちます。
   　　

コンテンツ検索の結果確認

コンテンツ検索の作成、および検索が完了したのちに結果を確認する方法をご紹介します。

検索が完了すると、作成したコンテンツ検索の[概要]タブの「状態」に”検索が完了しました”と表示されます。

[検索の統計情報]タブにて、結果の詳細などをポータル上で確認、および[操作]メニューから検索結果の詳細をエクスポートすることも可能です。

管理ポータルから確認できる内容

[検索の統計情報]タブから確認します。

コンテンツの検索

検索結果の統計がグラフで表示されます。

検索結果に一致する項目数や、一致したコンテンツの格納場所などを確認できます。

条件レポート

検索条件に指定したクエリの情報と一致した数を確認できます。

CSV形式でダウンロードも可能です。

上位の場所

検索によって返されたアイテム数が多いコンテンツの場所に関する統計情報を確認できます。

上位1,000の場所が表示されます。こちらもCSV形式でダウンロード可能です。

検索結果のエクスポート

[操作]メニューより以下2種類をエクスポート可能です。
・結果のエクスポート
・レポートをエクスポート

尚、エクスポートにはツール「Microsfot 365 eDiscovery Export Tool」が必要となります。
初回エクスポート時にはツールのインストールが要求される動きとなります。

機密情報を検知条件に指定する

これまで、コンテンツ検索の基本的な利用方法についてご紹介しました。

では、電話番号や住所など特定の機密情報を検知したい場合にはどのような検知条件をコンテンツ検索作成時に指定したらよいのでしょうか。

”機密”、”社外秘”など特定のキーワードを指定して検索したい場合には、検索条件にてキーワードを直接クエリに記載することで検知可能ですが、電話番号や住所、氏名などキーワード指定が難しい場合もあるかと思います。

その場合には、Microsfot Purviewの”機密情報の種類”を活用することで検知可能となります。

　▼”機密情報の種類”とは機密情報などに関するデータベースのようなものです

”機密情報の種類”を活用する場合には、コンテンツ検索の検知条件にあらかじめテナントにて定義されている”機密情報の種類”のIDを指定する必要があります。

そのため、まずは検知条件に指定を行う”機密情報の種類”のIDを取得します。

機密情報の種類のID取得 & 検知条件の指定方法

GUI上では取得できないため、PowerShellを管理者権限で実行し、Exchange Onlineに接続します。

以下コマンドを実行することで、テナントに登録している機密情報の種類のIDをすべて確認することが可能です。

Get-DLPSensitiveInformationType| select Name,ID,Type

コンテンツ検索に利用する機密情報の種類のIDをコピーします。

取得した機密情報の種類のIDを以下のようにコンテンツ検索の”検索条件の定義”のクエリビルダーに定義します。

SensitiveType:“<replace id>” OR SensitiveType:“<replace id>“

※複数の機密情報の種類のIDを指定した場合、OR条件で定義をかけているため、いずれかの機密情報の種類に一致する内容が含まれていた場合にコンテンツ検索の結果として返ってくる形となります。

特定の機密情報を検索したい（電話番号が含まれるコンテンツを知りたい）といった場合には、機密情報の種類ごとにコンテンツ検索を作成することを推奨します。

 

おわりに

今回は、Microsoft Purview のコンテンツ検索について記載しました。

Microsfot Purview のコンテンツ検索機能を利用することにより、組織が所有している機密情報や、古いでデータなどがどこに存在するのか検索することが可能です。組織の保有するデータに機密情報が含まれているのか、またどこに存在するのか可視化をする際に活用してみるのはいかがでしょうか。

最後までお読みいただきありがとうございました。