【Microsoft Purview】メールの暗号化 Part1

2025/2/13 Microsoft Purview

Microsoft Purviewでのメール暗号化

突然ですがメールの暗号化をしたいと言ったら、どんな方法をとりますか?
そもそも暗号化しなきゃいけないような大事なデータをメールで送ったりしないよというツッコミもありそうですが、一方で「うちの会社、Teams使ってるけど外部テナントとのコミュニケーションは禁止されてて..」という会社もあるのでメールの暗号化は必須なケースも考えられると思います。そんな時に利用できるのがMicrosoft Purviewで利用できるメールの暗号化です。Purviewというとファイルを暗号化するイメージが強いですが、メールの暗号化も設定できます。ただし、ファイルと違って利用上の注意点があるので、今日はその話をしたいと思います。

メールの暗号化方法

Microsoft 365の中で利用可能なメール暗号化にはS/MIMEなどまで含めればいろんな方法がありますが、Purviewを使った方法で言うと大きく分けて2つの方法があります。
ひとつが秘密度ラベルを利用した方法、もうひとつがMicrosoft Purview Message Encryptionです。

秘密度ラベルを利用したメールの暗号化

秘密度ラベルはラベルの中に暗号化の設定やアクセス許可の設定を埋め込む機能で、暗号化した場合、誰にアクセス許可を与えるかを事前に設定しておきます。ファイルにアクセス許可を割り当てるときはある程度割り当てる対象は決まっていると思うのですが、メールの場合はメールごとにアクセス許可を割り当てる相手が違います。
そのため、
Aさんにメールを送りたければAさんにアクセス許可が割り当てられた秘密度ラベル、
Bさんにメールを送りたければBさんにアクセス許可が割り当てられた秘密度ラベル、、
のような設定が必要になります。
これを無視して適当に秘密度ラベルを割り当てて相手にメールを送ると、こんな感じのメールが届くので[メッセージを読む] をクリックして

image

[ワンタイムパスコードを使用したサインイン]をクリックして

image

別メールに届いたワンタイムパスコードを元のメール画面に入力すると

image

アクセス許可がないから開けません。

image

アクセス許可がないなら最初から送らなきゃいいのに.. ってことが起きます。
どうしてこういうことが起きるかと言えば、秘密度ラベルであらかじめ決められた相手にアクセス許可を割り当ててしまうからです。

なので秘密度ラベルを作成するときに最初からアクセス許可を割り当てる相手を設定しないようにしておけばよいのです。秘密度ラベルを作成するときにメールだけを対象にして

image

アクセスの制御設定では [アクセス制御設定の構成] > [ラベルを適用するときにユーザーがアクセス許可を割り当てられるようにする]を選択すれば、メールを送るたびに異なるユーザー (つまり宛先となるユーザー) にアクセス許可が割り当てられます。

image

ちなみに暗号化のみはアクセス許可をメールの宛先のみに限定、転送不可は暗号化に加えて転送不可、コピペ禁止、印刷禁止などが加わります。

ここまでの話をまとめましょう。
秘密度ラベルがダメであるかのような説明をしましたが、
そもそもラベルを設定するときにファイルとメールの両方を対象にしたラベルを作ってしまうことがいけないのです。ファイルに秘密度ラベルを設定するときは「誰にアクセス許可を割り当てるか?」なんて毎回設定したくないからラベルの中であらかじめ定義してしまう。だけどメールの場合は送る相手が毎回異なるから、ラベルの中にアクセス許可を割り当てるユーザーは事前に設定したくない。この2つの異なる思惑をひとつのラベルにまとめちゃうから問題なのです。

image
ということでラベルはファイル向け、メール向けは別々にしておくのがよろしいかと思います。

Microsoft Purview Message Encryption

それに対してMicrosoft Purview Message Encryption (旧Office 365 Message Encryption)は一回限りのメール暗号化を目的とした暗号化方法で暗号化設定を選択すると自動的に宛先となるユーザーを対象とした暗号化・アクセス制御が設定され、メールが送信されます。受け取った相手はサインインユーザーのチェックを行い、Microsoft 365ユーザーであれば勝手にアクセス許可に基づくアクセスが行われ、GWSなどのその他のメールシステムを利用しているユーザーであれば秘密度ラベルの時と同じようにワンタイムパスコードを使ったサインインが行われます。そうして開いたメールがこちら。

image

暗号化されたメールであることがわかる内容が記載されていることがわかります。
ちなみにこのメール、アクセス許可がある本人しか開けないメールなので、画面の中から転送しようとするとSendボタンが押せないことがわかります。
image

ちなみに開いたメールの中から転送するのではなく、もともとのメーラーから転送しようとすればできるのですが、その場合のワンタイムパスコードはアクセス許可のあるユーザーに届くので、誤って転送することがあったとしても受け取ったユーザーがメールを開けることはありません。

設定はどうやって?

Microsoft Purview Message Encryptionは錠前のアイコンをクリックして設定

image

秘密度ラベルはペンキ塗りのハケマークをクリックして設定します。

Microsoft Purviewでのメール暗号化

なんか間違えそう!
だけど思い出してください。秘密度ラベルは事前に定義しなければ、ここに表示されることはありません。ファイルとメールの両方を対象としたラベルを作るから、こういうことになるのです。もっと言えば、秘密度ラベルで暗号化のみとか、転送不可とか、設定する画面を前に紹介しましたが、その設定って最初からMicrosoft Purview Message Encryptionのメニューにありませんか?ということで秘密度ラベルを作らなくてもMicrosoft Purview Message Encryptionを最初から使えばよいのです。

今日はここまで。
次回はメール暗号化のオプションなどについて紹介します。

Suguru KUNII