電子情報開示ソリューション シリーズ: データスピルシナリオ - 検索と消去
ヒント
新しい Microsoft Purview ポータルで電子情報開示 (プレビュー) を使用できるようになりました。 新しい電子情報開示エクスペリエンスの使用の詳細については、「電子 情報開示 (プレビュー)」を参照してください。
データ流出とは何か、なぜ気にする必要がありますか? データ流出とは、機密ドキュメントが信頼されていない環境に流出することです。 データスピルインシデントが検出された場合は、スピルのサイズと場所をすばやく評価し、その周囲のユーザー アクティビティを調べてから、システムから流出したデータを完全に消去することが重要です。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
データスピルのシナリオ
あなたは Contoso のリード 情報セキュリティ責任者です。 あなたは、従業員が知らないうちに電子メールを介して複数の人と機密性の高いドキュメントを共有したデータ流出の状況について知らされます。 このドキュメントを受け取ったユーザーを内部および外部で迅速に評価する必要があります。 特定されたら、ケースの結果を他の調査担当者と共有して確認し、Office 365からデータを完全に削除します。 調査が完了したら、今後の参照のために、完全な削除の証拠とその他のケースの詳細を含むレポートを生成する必要があります。
この記事の範囲
このドキュメントでは、Microsoft 365 からメッセージを完全に削除してアクセスまたは回復できないようにする方法の一覧を示します。 削除されたアイテムの保持期間が切れるまでメッセージを削除して回復できるようにするには、organizationで電子メール メッセージを検索して削除する方法に関するページを参照してください。
データ流出インシデントを管理するためのワークフロー
データ流出インシデントを管理する方法を次に示します。
手順 1: ケースにアクセスしてコンプライアンス境界を設定できるユーザーを管理する (省略可能)
手順 2: 電子情報開示ケースを作成する
手順 3: スピルされたデータを検索する
手順 4: ケースの結果を確認して検証する
手順 5: メッセージ トレース ログを使用して、スピルされたデータの共有方法をチェックする
手順 6: メールボックスを準備する
手順 7: スピルされたデータを完全に削除する
手順 8: 削除の証明を確認し、提供し、監査する
開始する前に知っておくべきこと
- この記事で説明するデータスピル ワークフローでは、Microsoft Teams内のチャット メッセージは削除されません。 Teams チャット メッセージを検索および削除するには、「Teams でチャット メッセージを検索および消去する」を参照してください。
- メールボックスが保留中の場合、保持期間が切れるか保留が解除されるまで、削除されたメッセージは [回復可能なアイテム] フォルダーに残ります。 手順 6 では、メールボックスから保留を削除する方法について説明します。 保留を削除する前に、レコード管理または法務部門に確認してください。 organizationには、保留中のメールボックスとデータ流出インシデントのどちらを優先するかを定義するポリシーが含まれている場合があります。
- データ流出調査員がケースにアクセスできるユーザーを検索および管理できるユーザー メールボックスを制御するには、コンプライアンス境界を設定し、 手順 1 で説明されているカスタム ロール グループを作成します。 そのためには、組織管理役割グループのメンバーであるか、ロール管理ロールが割り当てられている必要があります。 organizationの管理者が既にコンプライアンス境界を設定している場合は、手順 1 をスキップできます。
- ケースを作成するには、電子情報開示マネージャーの役割グループのメンバーであるか、ケース管理ロールが割り当てられているカスタム ロール グループのメンバーである必要があります。 メンバーでない場合は、Microsoft 365 管理者に 電子情報開示マネージャーの役割グループに追加するように依頼します。
- コンテンツ検索を作成して実行するには、電子情報開示管理者役割グループのメンバーであるか、コンプライアンス検索の管理役割が割り当てられている必要があります。 メッセージを削除するには、Organization Management 役割グループのメンバーであるか、検索と消去の管理役割が割り当てられている必要があります。 役割グループにユーザーを追加する方法については、「電子情報開示アクセス許可の割り当て」を参照してください。
- 手順 8 で監査ログの電子情報開示アクティビティを検索するには、organizationに対して監査を有効にする必要があります。 過去 90 日以内に実行されたアクティビティを検索できます。 監査を有効にして使用する方法の詳細については、手順 8 の 「データスピル調査プロセスの監査 」セクションを参照してください。
(省略可能)手順 1: ケースにアクセスし、コンプライアンス境界を設定できるユーザーを管理する
組織のプラクティスに応じて、データ流出インシデントを調査し、コンプライアンス境界を設定するために使用される電子情報開示ケースにアクセスできるユーザーを制御する必要があります。 これを行う最も簡単な方法は、調査担当者をMicrosoft Purview コンプライアンス ポータルの既存の役割グループのメンバーとして追加し、電子情報開示ケースのメンバーとして役割グループを追加することです。 組み込みの電子情報開示役割グループと、電子情報開示ケースにメンバーを追加する方法については、「電子情報開示のアクセス許可を割り当てる」を参照してください。
組織のニーズに合わせて新しい役割グループを作成することもできます。 たとえば、organizationのデータ流出調査担当者のグループが、すべてのデータ流出ケースにアクセスして共同作業を行う必要がある場合があります。 これを行うには、"Data Spillage Investigator" ロール グループを作成し、適切なロール (エクスポート、RMS 復号化、レビュー、プレビュー、コンプライアンス検索、ケース管理) を割り当て、データスピル調査官を役割グループに追加してから、データスピルケースのメンバーとして役割グループを追加します。 詳細な手順については、「Office 365の電子情報開示調査のコンプライアンス境界を設定する」を参照してください。
手順 2: 電子情報開示ケースを作成する
電子情報開示ケースは、データ流出調査を効果的に管理する方法を提供します。 手順 1 で作成した役割グループにメンバーを追加し、新しい電子情報開示ケースのメンバーとして役割グループを追加し、反復検索を実行してスピルされたデータを検索し、共有するレポートをエクスポートし、ケースの状態を追跡し、必要に応じてケースの詳細を参照できます。 データスピルジ インシデントに使用される電子情報開示ケースの名前付け規則を確立し、ケース名と説明にできる限り多くの情報を提供して、必要に応じて将来検索して参照できるようにすることを検討してください。
新しいケースを作成するには、Microsoft Purview コンプライアンス ポータルで電子情報開示を使用できます。 「 電子情報開示の概要 (Standard)」の「新しいケースを作成する」を参照してください。
手順 3: スピルされたデータを検索する
ケースとマネージド アクセスを作成したので、ケースを使用して繰り返し検索して、スピルされたデータを検索し、スピルされたデータを含むメールボックスを特定できます。 手順 7 で同じメッセージを削除するために電子メール メッセージを見つけるために使用したものと同じ検索クエリを使用します。
電子情報開示ケースに関連付けられたコンテンツ検索を作成するには、「電子情報開示 (Standard) ケースでコンテンツを検索する」を参照してください。
重要
検索クエリで使用するキーワードには、検索している実際の流出したデータが含まれている場合があります。 たとえば、社会保障番号を含むドキュメントを検索し、検索キーワード (keyword)として使用する場合は、それ以上の流出を避けるために、クエリを後で削除する必要があります。 手順 8 の 「検索クエリの削除 」を参照してください。
手順 4: ケースの結果を確認して検証する
コンテンツ検索を作成したら、検索結果を確認して検証し、削除する必要がある電子メール メッセージのみで構成されていることを確認する必要があります。 コンテンツ検索では、検索結果をエクスポートせずに 1,000 件のメール メッセージのランダム サンプリングをプレビューして、さらなるデータ流出を防ぐことができます。 プレビューの制限の詳細については、「 コンテンツ検索の制限」を参照してください。
メールボックスごとに 1,000 を超えるメールボックスまたは 100 を超えるメール メッセージを確認する場合は、日付範囲や送信者/受信者などの追加のキーワードや条件を使用して、最初の検索を複数の検索に分割し、各検索の結果を個別に確認できます。 手順 7 でメッセージを削除するときに使用するすべての検索クエリをメモしておいてください。
流出したデータを含むメール メッセージを見つけたら、メッセージの受信者を調べて、外部で共有されたかどうかを確認します。 メッセージをさらにトレースするには、送信者の情報と日付範囲を収集して、メッセージ トレース ログを使用できます。 このプロセスについては、 手順 5 で説明します。
検索結果を確認したら、セカンダリ レビューのために調査結果を他のユーザーと共有することができます。 手順 1 でケースに割り当てたユーザーは、電子情報開示と Microsoft Purview 電子情報開示 (プレミアム) の両方でケースのコンテンツを確認し、ケースの調査結果を承認できます。 実際のコンテンツをエクスポートせずにレポートを生成することもできます。 この同じレポートは、 手順 8 で説明されている削除証明として使用することもできます。
統計レポートを生成するには:
電子情報開示ケースの [検索 ] ページに移動し、レポートを生成する検索を選択します。
ポップアップ ページで、[ その他] > [レポートのエクスポート] を選択します。
[レポートのエクスポート] ページが表示されます。
![検索を選択し、ポップアップ ページで [その他] > [レポートのエクスポート] を選択します。](media/o365-ediscoverysolutions-dataspillage-exportreport1.png)
[ 認識されない形式のアイテムを含むすべてのアイテムが暗号化されているか、他の理由でインデックスが作成されていない アイテム] を選択し、[ レポートの生成] を選択します。
電子情報開示ケースで、[ エクスポート ] を選択してエクスポート ジョブの一覧を表示します。 [ 更新 ] を選択してリストを更新し、作成したエクスポート ジョブを表示する必要がある場合があります。
エクスポート ジョブを選択し、ポップアップ ページで [レポートの ダウンロード ] を選択します。
![[エクスポート] ページでエクスポートを選択し、[レポートのダウンロード] を選択します。](media/o365-ediscoverysolutions-dataspillage-exportreport2.png)
[エクスポートの概要] レポートには、結果が含まれる場所の数と検索結果のサイズが含まれます。 これを使用して、削除後に生成されたレポートと比較し、削除証明として提供できます。 結果レポートには、メールが読み取られた場合の件名、送信者、受信者、各メッセージの日付、サイズなど、検索結果のより詳細な概要が含まれます。 このレポートのいずれかの詳細に、実際にスピルされたデータが含まれている場合は、調査が完了したら、Results.csv ファイルを完全に削除してください。
レポートのエクスポートの詳細については、「 コンテンツ検索レポートをエクスポートする」を参照してください。
手順 5: メッセージ トレース ログを使用して、スピルされたデータの共有方法をチェックする
スピルされたデータを含むメールが共有されたかどうかをさらに調査するために、必要に応じて、送信者情報と手順 4 で収集した日付範囲情報を含むメッセージ トレース ログにクエリを実行できます。 メッセージ追跡の保持期間は、リアルタイム データの場合は 30 日、履歴データの場合は 90 日間です。
Microsoft Purview コンプライアンス ポータルでメッセージ トレースを使用することも、Exchange Online PowerShell で対応するコマンドレットを使用することもできます。 メッセージ追跡は、返されるデータの完全性を完全に保証するものではないことに注意してください。 メッセージ トレースの使用の詳細については、次を参照してください。
手順 6: メールボックスを準備する
検索結果に削除する必要があるメッセージのみが含まれていることを確認して検証した後、流出したデータを削除するときに手順 7 で使用する影響を受けるメールボックスのメール アドレスの一覧を収集する必要があります。 また、スピルされたデータを含むメールボックスで単一アイテムの回復が有効になっているか、またはそれらのメールボックスのいずれかが保留になっているかどうかに応じて、電子メール メッセージを完全に削除する前に、メールボックスを準備する必要があります。
スピルされたデータを含むメールボックスのアドレスの一覧を取得する
注:
期間限定で、この従来の電子情報開示エクスペリエンスは、新しい Microsoft Purview ポータルでも利用できます。 電子情報開示 (プレビュー) エクスペリエンス設定でコンプライアンス ポータルのクラシック電子情報開示エクスペリエンスを有効にして、新しい Microsoft Purview ポータルにクラシック エクスペリエンスを表示します。
スピルされたデータを含むメールボックスのメール アドレスの一覧を収集するには、2 つの方法があります。
オプション 1: スピルされたデータを含むメールボックスのアドレスの一覧を取得する
電子情報開示ケースを開き、[ 検索 ] ページに移動し、適切なコンテンツ検索を選択します。
ポップアップ ページで、[ 結果の表示] を選択します。
[ 個々の結果 ] ドロップダウン リストで、[ 統計の検索] を選択します。
[ 種類 ] ドロップダウン リストで、[ 上位の場所] を選択します。
![[検索統計] の [上位の場所] ページで検索結果を含むメールボックスの一覧を取得します。](media/o365-ediscoverysolutions-dataspillage-toplocations.png)
検索結果を含むメールボックスの一覧が表示されます。 検索クエリに一致する各メールボックス内のアイテムの数も表示されます。
一覧の情報をコピーしてファイルに保存するか、[ ダウンロード ] を選択して情報を CSV ファイルにダウンロードします。
オプション 2: エクスポート レポートからメールボックスの場所を取得する
手順 4 でダウンロードしたエクスポートの概要レポートを開きます。 レポートの最初の列で、各メールボックスのメール アドレスが [場所] の下に一覧表示されます。
スピルされたデータを削除できるようにメールボックスを準備する
単一アイテムの回復が有効になっている場合、またはメールボックスが保留されている場合は、完全に削除された (消去された) メッセージが [回復可能なアイテム] フォルダーに保持されます。 そのため、スピルされたデータを消去する前に、既存のメールボックス構成をチェックし、単一アイテムの回復を無効にし、保留またはアイテム保持ポリシーを削除する必要があります。 一度に 1 つのメールボックスを準備してから、異なるメールボックスで同じコマンドを実行するか、PowerShell スクリプトを作成して複数のメールボックスを同時に準備できることに注意してください。
- 単一アイテムの回復が有効になっているか、メールボックスが保留になっているか、アイテム保持ポリシーに割り当てられているかをチェックする方法の手順については、「手順 1: メールボックスに関する情報を収集する」を参照してください。
- 単一アイテムの回復を無効にする手順については、「保留中の クラウドベースのメールボックスの回復可能なアイテム フォルダー内のアイテムを削除 する」の「手順 2: メールボックスを準備する」を参照してください。
- メールボックスから保留またはアイテム保持ポリシーを削除する方法については、「保留中 のクラウドベースのメールボックスの回復可能なアイテム フォルダー内のアイテムを削除 する」の「手順 3: メールボックスからすべての保留を削除する」を参照してください。
- 保留の種類が削除された後にメールボックスに配置される遅延保留を 削除 する手順については、「手順 4: メールボックスから遅延保留を削除する」を参照してください。
重要
保留または保持ポリシーを削除する前に、レコード管理または法務部門に確認してください。 organizationには、保留中のメールボックスとデータ流出インシデントのどちらを優先するかを定義するポリシーが含まれている場合があります。
スピルされたデータが完全に削除されたことを確認した後は、メールボックスを以前の構成に戻してください。 手順 7 の詳細を参照してください。
手順 7: スピルされたデータを完全に削除する
手順 6 で収集して準備したメールボックスの場所と、手順 3 で作成および絞り込まれた検索クエリを使用して、スピルされたデータを含むメール メッセージを見つけ、スピルされたデータを完全に削除できるようになりました。 前に説明したように、メッセージを削除するには、組織の管理役割グループのメンバーであるか、検索と消去の管理ロールを割り当てる必要があります。 役割グループにユーザーを追加する方法については、「電子情報開示アクセス許可の割り当て」を参照してください。
スピルされたメッセージを削除するには、「 メール メッセージを検索して削除する」を参照してください。
スピルされたデータを削除する場合は、次の制限に注意してください。
検索および消去アクションを実行してアイテムを削除するために使用できる検索内のメールボックスの最大数は 50,000 です。 手順 3 で作成した検索で 50,000 を超えるメールボックスが検索された場合、消去アクションは失敗します。 1 回の検索で 50,000 個を超えるメールボックスを検索するのは、通常、組織内のすべてのメールボックスを検索に含めるように構成した場合です。 この制限は、検索クエリに一致するアイテムが 50,000 個未満のメールボックスに含まれている場合でも適用されます。
メールボックスごとに最大 10 個のアイテムを一度に削除できます。 メッセージを検索し削除するための機能はインシデント対応ツールを意図したものなので、この制限により、メールボックスからすばやくかつ確実にメッセージを削除できます。 これは、ユーザーのメールボックスをクリーンアップするための機能ではありません。
重要
電子情報開示 (プレミアム) ケースのレビュー セット内のメール アイテムは、この記事の手順で削除することはできません。 これは、レビュー セット内のアイテムは、Azure Storage の場所にコピーされて格納されるライブ サービス内のアイテムのコピーであるためです。 つまり、手順 3 で作成したコンテンツ検索では返されません。 レビュー セット内のアイテムを削除するには、レビュー セットが含まれている電子情報開示 (プレミアム) ケースを削除する必要があります。 詳細については、「Close or delete an eDiscovery (Premium) case (電子情報開示 (プレミアム) ケースを閉じるか、または削除する)」を参照してください。
手順 8: 削除の証明を確認し、提供し、監査する
データ流出インシデントを管理するワークフローの最後の手順は、電子情報開示ケースに移動し、そのデータを削除するために使用されたのと同じ検索クエリを再実行して、結果が返されていないことを確認することで、スピルされたデータがメールボックスから完全に削除されたことを確認することです。 流出したデータが完全に削除されたことを確認したら、レポートをエクスポートし、(元のレポートと共に) 削除の証明として含めることができます。 その後、後で参照する必要がある場合に再度開くことができる ケースを閉じ ることができます。 さらに、メールボックスを以前の状態に戻したり、スピルされたデータの検索に使用する検索クエリを削除したり、データスピル インシデントを管理するときに実行されたタスクの監査レコードを検索したりすることもできます。
メールボックスを以前の状態に戻す
手順 6 のメールボックス構成を変更して、スピルされたデータが削除される前にメールボックスを準備した場合は、メールボックスを以前の状態に戻す必要があります。 「手順 6: メールボックスを以前の状態に戻す」を参照してください。「 保留中のクラウドベースのメールボックスの [回復可能なアイテム] フォルダー内のアイテムを削除する」を参照してください。
検索クエリの削除
手順 3 で作成して使用した検索クエリのキーワードに、実際にスピルされたすべてのデータが含まれている場合は、さらにデータが流出しないように検索クエリを削除する必要があります。
注:
期間限定で、この従来の電子情報開示エクスペリエンスは、新しい Microsoft Purview ポータルでも利用できます。 電子情報開示 (プレビュー) エクスペリエンス設定でコンプライアンス ポータルのクラシック電子情報開示エクスペリエンスを有効にして、新しい Microsoft Purview ポータルにクラシック エクスペリエンスを表示します。
Microsoft Purview コンプライアンス ポータルで電子情報開示ケースを開き、[検索] ページに移動し、適切なコンテンツ検索を選択します。
ポップアップ ページで、[削除] を選択 します。
![検索を選択し、ポップアップ ページで [削除] を選択します。](media/o365-ediscoverysolutions-dataspillage-deletesearch.png)
データ流出調査プロセスの監査
調査中に実行された電子情報開示アクティビティの監査ログを検索できます。 また、監査ログを検索して、手順 7 で実行した New-ComplianceSearchAction -Purge コマンドの監査レコードを返して、スピルされたデータを削除することもできます。 詳細については、以下を参照してください: