Azure Managed Service Column ＜Azure運用コラム＞Microsoft Purview Message Encryptionとは？その機能やメリット、設定手順を解説

手軽に利用できるメール暗号化を活用して機密情報の漏洩を防ごう

機密情報漏洩を防ぐために通信環境をセキュアに保つことは、現代の組織では必須の要件です。Web では HTTPS が普及していますが、電子メールではデファクトスタンダードと呼べる暗号化方式がなく、既存の多くの暗号化ツールやサービスは使い勝手が良いとはいえません。

そんな中、暗号化電子メールの送受信を簡単な操作で可能にするサービスとして Microsoft Purview Message Encryption があります。本記事では Microsoft Purview Message Encryption の特徴と機能、メリットや利用手順など、導入に向けての有用な情報を提供します。

1. Microsoft Purview Message Encryption の基礎知識

Microsoft Purview Message Encryption （以下、 MPME ）は主に電子メールの暗号化を行うサービスで、Microsoft Purview を構成するセキュリティソリューションの一つです。

Microsoft Purview とはデータセキュリティ、ガバナンス、コンプライアンス管理の機能を備えた包括的ソリューションセットです。

これまで Microsoft の電子メール暗号化機能には Office 365 Message Encryption （ OME ）と Information Rights Management （ IRM ）がありました。 MPME は両者を統合した新バージョンのソリューションです。

仕組みとしては、 Azure Information Protection で使用される Azure Rights Management Services （ Azure RMS ）の保護機能を利用しています。

Azure Information Protection とは、電子メールやファイルなどの機密情報を保護するクラウドベースの情報漏洩対策ソリューションです。

MPME の主な特徴は次のとおりです。

• ファイルを添付するだけで自動的に暗号化される
• 送信者の操作手順を変更する必要がない
• 宛先のメールアドレス（ Gmail 、 Yahoo! Mail など）に関係なく暗号化できる
• 暗号化されたメッセージを表示するには 1 回限りのパスコードを取得して Microsoft アカウントでサインインする
• 受信者は暗号化された返信も可能

2. Microsoft Purview Message Encryption を使うメリット

MPME を利用するメリットとしては以下が挙げられます。

組織内外で安全にメールの送受信ができる

組織内外を問わず、同じ操作で暗号化メールを送受信できます。 Outlook Desktop 、 Outlook for Mac 、 Outlook on the web クライアントの [ オプション ][ 暗号化 ] から暗号化メールを送信可能です。

同クライアントの場合、通常の手順でメールを受信できます。それ以外のメールクライアントの場合は Microsoft 365 アカウントを使用して暗号化メールを読み取る操作を行います。

Microsoft 以外のメールサービスでも利用できる

メールの送信先が Gmail や Yahoo メールなどであっても MPME 暗号化メールを利用可能です。 Gmail や Yahoo メールなどで暗号化メールを受信した場合、メール本文に記載された [ メッセージを読む ] リンクからメッセージポータルを開き、認証を行って受信したメールを表示できます。

認証には Google または Yahoo アカウントか、メールで送信される一時的なパスコードを使用します。

添付ファイルも暗号化できる

メールに添付されたファイルは、サポートされている種類であれば全て暗号化されます。サポートされるファイルの一覧は Information Rights Management （ IRM ）の使用方法のページを参照してください。

※参考：IRM ポリシーの対象となるメッセージ添付ファイルの種類

ただしクラウド上の添付ファイルはサポートされておらず、 SharePoint や OneDrive 上の添付ファイルは暗号化されません。

Bring Your Own Key を実現できる

Bring Your Own Key （ BYOK ）とは、サービスベンダー提供のものではなく、自前の暗号化キーを用いて暗号化することを指します。

MPME は BYOK をサポートしており、 Microsoft でさえ知らない暗号化キーを利用することが可能です。これによりセキュリティレベルをさらに高められます。

3. Microsoft Purview Message Encryption の利用手順とライセンス

MPME 導入に必要となる前提条件や設定手順、必要なライセンスについて解説します。

Microsoft Purview Message Encryption の利用における前提条件

暗号化ソリューションの前バージョンである OME や IRM を設定していると MPME を利用できません。また、 Exchange で Active Directory Rights Management サービス（ AD RMS ）を使用している場合、 Azure Information Protection に移行する必要があります。

さらに MPME 利用上の制限として、送信できるメッセージサイズには 25MB の上限があります。

自動暗号化の設定手順

メールの暗号化は送信者が手動で個別に行うこともできますが、自動的に暗号化されるよう設定することも可能です。また「特定の宛先の場合だけ暗号化する」といった条件の定義や、転送不可などのオプション設定もできます。

設定には Exchange 管理センターまたは PowerShell Exchange Online を使用します。手順は以下の通りです。

必要なライセンス

MPME の利用には以下のいずれかのライセンスが必要です。

• Microsoft 365 Enterprise E3 、 E5
• Microsoft 365 Business Premium
• Office 365 Enterprise E3 、 E5
• Office 365 Government G3 、 G5
• Office 365 A1 、 A3 、 A5

料金体系は MPME 個別ではなく Microsoft Purview の料金に含まれます。詳細は関連記事を参照ください。

4. Microsoft Purview Message Encryption のユースケース

MPME を PPAP の代替とするユースケースを紹介します。

PPAP とは、メールで暗号化した ZIP ファイルを送り、その後に別メールで暗号解除のパスワードを送る手順のことを指します。しかし、 PPAP は下記の理由から誤ったセキュリティ対策とされています。

• ZIP ファイルとパスワードが同じ通信経路を通るため、盗聴対策として有効ではない
• 暗号化された ZIP ファイルはウィルス検出されない場合があり、マルウェア攻撃に悪用される恐れがある
• パスワード送信の際に ZIP ファイルを送信したときの宛先をそのまま使用しがちで、宛先誤りの場合にパスワードも誤送信の相手先に届いてしまう

MPME の導入すれば、 PPAP を用いずにファイルのみならず本文まで暗号化されたメールを送ることが可能となります。メールを送るたびにファイルを ZIP 化したりパスワードを設定する手間もなく、業務効率化にも役立つでしょう。

ただし、 MPME でも誤送信の防止まではできませんので、その点には注意が必要です。

5. まとめ

ここまで MPME の特徴やメリット、利用例や必要となるライセンスなどを解説しました。MPME はメールクライアントの使い勝手を損なわずに機密情報の漏洩を防ぐ、セキュアなメール環境を構築できる優れたソリューションです。

導入にあたっては、Azure のサービスについて様々なノウハウと実績を持つプロフェッショナルに相談するとよいでしょう。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

• 

  Microsoft Entra Connectとは？オンプレミスとクラウドの統合と一元的なID管理の実現方法を解説

• 

  Azure AI Document Intelligenceとは？ユースケースを紹介