【Outlook】社内暗号化ポリシーを全ユーザーに適用するDLP Auto Encryption手順

Microsoft Outlookで機密情報の誤送信を防ぐため、社内ポリシーに基づいた自動暗号化を設定したいと考えていませんか。

しかし、DLP(Data Loss Prevention)の自動暗号化設定は、管理者権限が必要なため、一般ユーザーでは操作できません。

この記事では、Microsoft 365管理者がOutlookでDLP自動暗号化ポリシーを全ユーザーに適用する手順を解説します。

管理者権限があれば、組織全体のメールセキュリティを強化できます。

DLP自動暗号化の仕組みと前提条件

DLP(Data Loss Prevention)の自動暗号化は、Microsoft 365が提供する高度なセキュリティ機能です。特定の条件に合致するメールを自動的に暗号化し、情報漏洩リスクを低減させます。

この機能は、Exchange Onlineのメールフロールールと連携して動作します。機密情報(例:個人情報、契約情報など)がメール本文や添付ファイルに含まれていると検出された場合に、自動的に暗号化処理が実行されます。

自動暗号化を適用するには、Microsoft 365のライセンスにDLP機能が含まれている必要があります。一般的には、Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5、Office 365 Enterprise E3、Office 365 Enterprise E5などのプランで利用可能です。

また、この設定はMicrosoft 365のグローバル管理者またはコンプライアンス管理者などの権限を持つユーザーのみが行えます。一般ユーザーは設定できません。

DLPポリシー作成と自動暗号化設定手順

DLPポリシーを作成し、Outlookでの自動暗号化を適用する手順を説明します。

この作業はMicrosoft Purview コンプライアンス ポータル(旧称: Microsoft 365 コンプライアンスセンター)から行います。

1. Microsoft Purview コンプライアンス ポータルへのアクセス

まず、Microsoft 365の管理者アカウントで、Microsoft Purview コンプライアンス ポータルにサインインします。

1. Webブラウザを開く
   任意のWebブラウザを開き、Microsoft 365の管理ポータルにアクセスします。
2. 管理者アカウントでサインインする
   グローバル管理者またはコンプライアンス管理者の資格情報でサインインします。
3. Microsoft Purview コンプライアンス ポータルに移動する
   ポータルメニューから「コンプライアンス」または「Purview」を選択し、コンプライアンスポータルにアクセスします。

2. DLPポリシーの作成開始

コンプライアンスポータル内で、新しいDLPポリシーの作成を開始します。

1. 「データ損失防止」を選択する
   左側のナビゲーションメニューから「データ損失防止」を選択します。
2. 「ポリシー」を選択する
   「データ損失防止」の下にある「ポリシー」を選択します。
3. 「ポリシーの作成」をクリックする
   画面上部にある「ポリシーの作成」ボタンをクリックします。

3. ポリシーの基本情報設定

ポリシーの名称や説明を設定します。

1. ポリシー名を入力する
   「名前」フィールドに、ポリシーを識別できる名前を入力します(例: 「社内機密情報自動暗号化ポリシー」)。
2. 説明を入力する(任意)
   「説明」フィールドに、ポリシーの目的や内容を簡潔に記述します。
3. 「次へ」をクリックする
   設定内容を確認し、「次へ」をクリックします。

4. ポリシーの適用場所の選択

このポリシーを適用するサービスを選択します。Outlookでの自動暗号化のため、「電子メール」を選択します。

1. 「電子メール」を選択する
   「電子メール」のチェックボックスをオンにします。
2. 「次へ」をクリックする
   選択後、「次へ」をクリックします。

5. 機密情報の種類の定義

どのような情報が機密情報にあたるかを定義します。これにより、DLPがメールをスキャンする際の基準が決まります。

1. 「カスタム機密情報」または「組み込み機密情報」を選択する
   組織のポリシーに合わせて、既存の機密情報タイプ(例: クレジットカード番号、社会保障番号)を選択するか、独自の機密情報タイプを作成します。
2. 機密情報タイプを追加する
   「機密情報の種類」セクションで、「追加」をクリックし、適用したい機密情報タイプ(例: 契約書情報、顧客リスト)を選択または作成します。
3. 「次へ」をクリックする
   設定した機密情報タイプを確認し、「次へ」をクリックします。

6. アクションの設定(暗号化)

機密情報が検出された場合に実行するアクションを設定します。ここで「暗号化」を選択します。

1. 「アクションの追加」をクリックする
   「アクション」セクションで、「アクションの追加」をクリックします。
2. 「電子メールの暗号化」を選択する
   表示されるアクションリストから「電子メールの暗号化」を選択します。
3. 暗号化の種類を選択する
   組織の暗号化ポリシー(例: Office 365 Message Encryption、Azure Information Protection)に合わせて、暗号化の種類を選択します。
4. 「次へ」をクリックする
   設定したアクションを確認し、「次へ」をクリックします。

7. 除外ルールの設定(任意)

特定の条件に合致するメールをDLPスキャンや暗号化から除外したい場合に設定します。例えば、特定の送信者や受信者、部署からのメールを除外できます。

1. 「除外ルールを追加」をクリックする
   「除外ルール」セクションで、必要に応じて「除外ルールを追加」をクリックします。
2. 除外条件を設定する
   送信者、受信者、件名などの条件を指定して、除外対象のメールを設定します。
3. 「次へ」をクリックする
   除外ルールを設定したら、「次へ」をクリックします。

8. ポリシーの適用範囲の設定

このポリシーを組織内のどのユーザーに適用するかを指定します。全ユーザーに適用するには「すべて」を選択します。

1. 「すべて」を選択する
   「適用するユーザーまたはグループ」のセクションで、「すべて」を選択します。
2. 特定のグループを指定する場合
   特定の部署やグループのみに適用したい場合は、「特定のユーザーまたはグループ」を選択し、対象のAzure Active Directory(Azure AD)グループを指定します。
3. 「次へ」をクリックする
   適用範囲を確認し、「次へ」をクリックします。

9. ポリシーモードの選択

ポリシーの動作モードを選択します。最初はテストモードで運用し、問題がないことを確認してから実施モードに移行することを推奨します。

1. 「テストモード」を選択する
   「ポリシーモード」で、「テストモード」を選択します。これにより、ポリシー違反があった場合に通知は行われますが、アクション(暗号化など)は実行されません。
2. 「テストモード(アクションなし)」を選択する
   より安全にテストしたい場合は、「テストモード(アクションなし)」を選択します。これは、ポリシー違反をログに記録するだけで、通知もアクションも行いません。
3. 「有効」を選択する
   テストが完了し、ポリシーが意図通りに機能することを確認できたら、「有効」を選択してポリシーを本番稼働させます。
4. 「次へ」をクリックする
   選択したモードを確認し、「次へ」をクリックします。

10. ポリシーのレビューと作成

これまでの設定内容を確認し、ポリシーを作成します。

1. 設定内容を確認する
   「レビュー」画面で、ポリシー名、適用場所、機密情報タイプ、アクション、適用範囲、モードなど、すべての設定項目を注意深く確認します。
2. 「ポリシーの作成」をクリックする
   設定に誤りがないことを確認したら、「ポリシーの作成」ボタンをクリックします。

11. ポリシーの有効化(テストモードから本番へ)

ポリシー作成後、まずはテストモードで運用し、ログを確認しながら意図通りに動作するかを検証します。問題がなければ、ポリシーを有効化します。

1. ポリシーリストを確認する
   「データ損失防止」>「ポリシー」画面で、作成したポリシーが表示されていることを確認します。
2. ポリシーモードを変更する
   テストモードで数日間運用し、レポートを確認します。問題がなければ、ポリシーを選択し、「編集」から「ポリシーモード」を「有効」に変更します。
3. 変更を保存する
   モード変更後、必ず「保存」ボタンをクリックして設定を適用します。

新しいTeams(v2)と従来Teamsの違い、新しいOutlookと従来Outlookの違い

DLP自動暗号化ポリシーは、Exchange Onlineのメールフロールールに基づいています。そのため、Outlookのクライアントアプリケーション(新しいTeams v2、従来Teams、新しいOutlook、従来Outlook)による動作の違いは基本的にありません。

ポリシーはサーバーサイドで適用されるため、どのクライアントからメールを送信しても、設定されたルールに従って自動的に暗号化が処理されます。

ただし、新しいOutlookでは、一部の機能の表示や操作性が変更されている場合があります。しかし、DLPポリシーの適用自体に影響はありません。

Mac版・モバイル版・Web版での違い

DLP自動暗号化ポリシーは、Exchange Onlineのサーバーサイドで適用されるため、クライアントの種類(Windows版、Mac版、モバイル版、Web版)による機能的な違いはありません。

どのデバイスやクライアントからメールを送信しても、組織で定義されたDLPポリシーが適用され、機密情報が含まれる場合は自動的に暗号化されます。

受信者側が暗号化されたメールを開く際の操作は、使用しているメールクライアントや暗号化方式によって多少異なる場合があります。例えば、Office 365 Message Encryptionでは、受信者がMicrosoftアカウントでサインインするか、パスコードを入力してメール本文を閲覧できます。

管理者権限が必要な場合

この記事で解説したDLPポリシーの作成、編集、適用、およびモード変更は、すべてMicrosoft 365の管理者権限が必要です。

具体的には、以下のいずれかのロールを持つアカウントで実行する必要があります。

• グローバル管理者
• コンプライアンス管理者
• セキュリティ管理者(一部のDLP機能にアクセス可能)

一般ユーザーは、これらの設定を変更することはできません。

組織ポリシー・テナント設定による動作の違い

DLPポリシーの動作は、組織のMicrosoft 365テナント設定や、Azure Information Protection(AIP)などの他のセキュリティソリューションとの連携によって影響を受ける可能性があります。

例えば、既にAIPで機密ラベルが設定されており、それがDLPポリシーと競合する場合、どちらが優先されるかは設定によります。

また、組織によっては、特定の種類の機密情報に対するスキャンが有効になっていない、あるいは暗号化アクションが別の方法(例: 添付ファイルの保護)に置き換えられている場合があります。

これらの設定は、Microsoft 365管理センターやMicrosoft Purview コンプライアンスポータルで確認・調整できます。

DLPポリシー適用後の確認方法

DLPポリシーを適用した後、正しく機能しているかを確認する方法はいくつかあります。

1. DLPレポートの確認

Microsoft Purview コンプライアンスポータルでは、DLPポリシーの適用状況に関するレポートを確認できます。これにより、どのポリシーがいつ、どのようなメールに適用されたか、または違反があったかを把握できます。

1. 「レポート」に移動する
   Microsoft Purview コンプライアンスポータルで、「レポート」を選択します。
2. 「データ損失防止」レポートを選択する
   利用可能なレポートの中から、「データ損失防止」またはそれに類するレポートを選択します。
3. 詳細を確認する
   ポリシー違反の件数、適用されたアクション、影響を受けたユーザーなどの詳細情報を確認します。

2. テストメールの送信

実際に機密情報を含むテストメールを送信し、意図した通りに暗号化されるかを確認します。この際、テストモードではなく、有効なポリシーモードで行う必要があります。

1. テスト用の機密情報を作成する
   ポリシーで定義した機密情報タイプに合致するような、架空の機密情報(例: 架空の契約番号、偽の個人情報)を作成します。
2. テストメールを作成する
   Outlookで、作成した機密情報を含むメールを作成します。件名や本文に含め、添付ファイルにも機密情報が含まれるようにします。
3. メールを送信する
   組織内の他のユーザーまたは別のメールアドレスにテストメールを送信します。
4. 受信メールを確認する
   受信側で、メールが自動的に暗号化されていることを確認します。受信者がメールを開く際に、暗号化解除のための操作(パスコード入力など)が必要になるはずです。

3. 監査ログの確認

Exchange Onlineの監査ログを確認することで、メールの送受信やDLPポリシーの適用に関する詳細なアクティビティを追跡できます。

1. 監査ログを有効にする
   まだ監査ログが有効になっていない場合は、Microsoft Purview コンプライアンスポータルで有効にする必要があります。
2. 「監査」に移動する
   コンプライアンスポータルから「監査」を選択します。
3. 検索条件を設定する
   「メールメッセージ」の操作で、特定のメールボックスや期間を指定して検索します。DLPポリシーの適用に関するイベント(例: MailboxItemSent、MessageRuleExecution)をフィルタリングします。

よくある誤操作と対処法

機密情報に合致しないのに暗号化されてしまう

意図しないメールまで暗号化されてしまう場合、DLPポリシーで定義している機密情報タイプの検出感度が高すぎる、または誤検出しやすいパターンが含まれている可能性があります。

対処法:

1. 機密情報タイプの検出感度を調整する
   DLPポリシーの編集画面で、該当する機密情報タイプの「プロパティ」を開き、検出感度を「低」または「中」に調整します。
2. 誤検出パターンを特定し、除外ルールを設定する
   DLPレポートや監査ログで、誤検出されているメールの特徴を特定します。そして、「除外ルール」を設定し、特定のキーワードや送信者からのメールを除外対象とします。

暗号化されないべきメールが暗号化されない

本来暗号化されるべき機密情報を含むメールが暗号化されない場合、DLPポリシーが正しく適用されていないか、機密情報タイプの定義が不十分である可能性があります。

対処法:

1. ポリシーの適用範囲を確認する
   DLPポリシーの「適用するユーザーまたはグループ」設定が、意図した範囲(全ユーザーなど)になっているか確認します。
2. 機密情報タイプの定義を見直す
   機密情報タイプに、検出したい情報(例: 特定の契約番号のフォーマット、社内コード)が含まれているか、定義が正確かを確認します。必要であれば、正規表現などを利用して定義を強化します。
3. ポリシーモードを確認する
   ポリシーが「テストモード」になっていないか確認します。テストモードではアクションが実行されないため、有効化する必要があります。

新しいOutlookで暗号化メールの表示がおかしい

DLPポリシー自体はサーバーサイドで適用されますが、新しいOutlookクライアントの表示仕様により、暗号化されたメールの表示に一時的な問題が生じることがあります。

対処法:

1. Outlookを最新の状態に更新する
   新しいOutlookクライアントには、頻繁にアップデートが提供されます。最新バージョンに更新することで、表示の問題が解消される場合があります。
2. Web版Outlookで確認する
   問題がクライアント固有のものであるかを確認するため、Web版Outlookで同様のメールを表示させてみます。Web版で問題がなければ、クライアントの再インストールや設定見直しを検討します。
3. Microsoftサポートに問い合わせる
   問題が継続する場合は、Microsoftサポートに問い合わせ、既知の問題でないか、あるいは回避策がないかを確認します。

まとめ

本記事では、Microsoft 365管理者がOutlookでDLP自動暗号化ポリシーを全ユーザーに適用する詳細な手順を解説しました。

Microsoft Purview コンプライアンスポータルで機密情報タイプを定義し、暗号化アクションを設定することで、組織全体のメールセキュリティを強化できます。

まずはテストモードで運用し、レポートを確認しながら慎重に設定を進めることが重要です。

この設定により、機密情報の意図しない漏洩リスクを大幅に低減させることが期待できます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。