通信
Exchange Server 2007 を使用して規制遵守を強化する
Alan Maddison
概要:
- 管理フォルダ
- トランスポート ルール
- メッセージ分類
- ジャーナリング
アナリストの予測によると、企業の文書の 75% は電子メールで作成および伝達されています。おそらく、組織の知的財産のかなりの部分が、メッセージング サーバーに依存しています。
このため、メッセージング サーバーの管理者には、多くの責任が委ねられるようになりました。これは、メッセージング サーバーに企業の重要なデータの大半が格納されるようになったためです。さらに、企業データの保存に関する要件が指定された、連邦規制または地方規制の数が (米国でもその他の国でも) 増加しているため、この仕事の複雑さと重要度は高まっています。
企業資産を保護し、規制遵守を保証する必要が生じたことで、IT 部門には大きな負担がかかっています。Exchange Server 2007 の設計に際しては、Exchange の規制遵守機能を大幅に強化すると同時に、実際の管理作業を簡略化するための多くの変更や新機能が実装されました。この記事では、規制遵守に役立つ Exchange Server 2007 の主要な変更点について説明します。
規制遵守について
Exchange Server 2007 について説明する前に、対処する規制遵守要件について述べておく必要があります。通常、規制遵守要件は、情報の保存、アクセス制御、データの整合性という 3 つの大まかな分野に分かれています。たとえば米国の SEC 規則 17A-4 では、証券取引所の特定の構成員、ブローカー、およびディーラーを対象とした、データの保存に関する方針が規定されています。この規則は、電子メールのキャプチャ、インデックス付け、アーカイブ、検索、および取得を実行できる環境を用意することを金融機関に求めています。データへのアクセスの制御は、医療保険の携行性と責任に関する法律 (HIPAA)、グラム リーチ ブライリー法 (GLB Act)、およびカリフォルニア州上院法案 1386 (SB 1386) など、多くの有名な法律で規定されています。HIPAA と GLB Act は、個人データのセキュリティと機密保持について規定しており、SB 1386 では、コンピュータが機密データに関連するセキュリティ侵害を受けた場合、その内容を一般公開することを義務付けています。
さらに、データの整合性に関する要件は、サーベンス オクスリー法 (SOX)、米国愛国者法、およびバーゼル II など、その他の重要な法律で規定されています。しかし、このような知名度の高い規制は、氷山の一角にすぎません。世界中で施行されている規制の数は 35,000 件を超えるという予測もあります。このため、企業が、情報の保存、データへのアクセスの制御、およびデータの整合性の保証に関連するリスクを管理する必要があることは明らかです。では管理者として、このリスクを管理し、これらすべての規制を遵守する義務を果たすにはどうすればよいでしょうか。
まずは、規制遵守とデータ保存に関するポリシーを文書化します。次に、これらのポリシーを実装し、継続的に管理します。Exchange Server 2007 では、管理フォルダ、トランスポート ルール エージェント、メッセージ分類、およびジャーナリング エージェントを使用して、これらのポリシーを制定できます。
管理フォルダ
データの保存 (またはレコードの管理) は、規制遵守フレームワークの重要な部分です。Exchange Server 2007 では、管理者がデータを管理するための方法が大幅に強化されました。Exchange Server 2007 のレコードの管理は、古いメッセージは削除する、必要なメッセージは保存する、ユーザーは各自でメッセージを分類する責任がある、という 3 原則に基づいて行われます。
ほとんどの Exchange 管理者にとって馴染みがあるのは、メールボックスに適用できる、Exchange Server 2003 メールボックス マネージャのポリシーです。Exchange Server 2007 の管理フォルダを使用すると、移動や名前の変更ができず、ほとんどの場合は削除もできない、新しい既定のフォルダやカスタム フォルダの作成と展開を一元的に行うことができます。また、SDK を使用すると、メールボックスに追加するフォルダをユーザーが選択できる、Web ベースのセルフサービス アプリケーションを作成することもできます。
図 1 に示されているように、Exchange 管理コンソールには、フォルダを作成するためのウィザードが用意されています (この操作は、Exchange 管理シェルで New-ManagedFolder コマンドレットを使用して実行することもできます)。
図 1** Exchange 管理コンソールを使用した新しいフォルダの作成 **(画像を拡大するには、ここをクリックします)
図 1 の操作を行うと、図 2 のようなウィザードが起動します。フォルダの作成手順は非常に簡単です。フォルダの名前と説明を入力して、[新規作成] をクリックするだけです。フォルダの作成が完了すると、確認画面が表示されます。
図 2** 新しい管理フォルダを簡単に作成できる直感的なウィザード **(画像を拡大するには、ここをクリックします)
データの保存ポリシーが用意できたら、ユーザーにメッセージの並べ替えと保存を行うための単純な方法を提供し、データが組織の要件に従って保存されるようにする必要があります。たとえば、ユーザーが 3 年間保存するメール、5 年間保存するメール、および 7 年間保存するメールを区別できるように、3 つのカスタム フォルダを展開することが考えられます。管理フォルダを作成したら、次は各フォルダにコンテンツの設定を適用します。これを行うには、管理コンテンツの設定の新規作成ウィザードを使用します。
メッセージング管理者は、コンテンツの有効期間 (日数で計算されます) の設定、および有効期限が切れた際にコンテンツに対して実行されるアクションの設定を管理します。実行できるアクションには、次の 5 つがあります。
- 削除して回復を許可する
- 保存期限経過としてマークする
- 管理されたカスタム フォルダに移動する
- 削除済みアイテム フォルダに移動する
- 完全に削除する
これらの設定を構成する際に、特に細心の注意を払う必要があるパラメータが 3 つあります。1 つ目はメッセージの有効期間の値です。この値は日数で計算されるため、うるう年を考慮する必要があります。企業の経営陣 (裁判官は言うまでもありません) は、予定よりたった 1 日早くコンテンツが削除されただけでも困惑します。2 つ目のパラメータは有効期間の開始日です。通常、法務部門から特別に指示がない限り、メッセージがメールボックスに配信された日を開始日にします。3 つ目のパラメータは、コンテンツの有効期限が切れた際にコンテンツに対して実行されるアクションです。推奨されるアクションは、コンテンツを完全に削除することです。コンテンツの設定を使用すると、メッセージを SMTP アドレスに転送することによって、メッセージのジャーナルを作成することもできます。
管理フォルダの適用は、管理フォルダ メールボックス ポリシーを使用して行います。Exchange 管理コンソールでは、これらのポリシーを作成するためのウィザードが別に用意されています。管理フォルダ メールボックス ポリシーを使用すると、複数のフォルダを選択してグループ化することができます。これにより、複数のフォルダを 1 つのポリシーに関連付けることができます。
通常は、メールボックスの作成時に管理フォルダ メールボックス ポリシーを適用します。または、Exchange 管理シェルで Set-Mailbox コマンドレットを使用して、既存のメールボックスにポリシーを適用することもできます。たとえば、"retention" (保存) という名前の管理フォルダ メールボックス ポリシーを、USER1 というエイリアスを持つ電子メール アカウントに適用するとします。これを行うには、次のコマンドを実行します。
Set-Mailbox –Identity USER1
–ManagedFolderMailboxPolicy “retention”
管理フォルダ、および対応するコンテンツの設定により、保存および規制遵守プロセスを管理するための強力なメカニズムが提供されます。ユーザーは、このメカニズムを使用すると、関連する電子メールを並べ替えたり、一元管理されたフォルダにデータを保存したりできるだけでなく、これらのアイテムのジャーナルを作成し、情報の開示要求や保全命令が出された場合に簡単に裁判所の要求に応じることができるようになります。
トランスポート ルール
Exchange Server 2007 には、2 つのトランスポート ルール エージェントがあります。ただし、規制遵守に関係があるのは、ハブ トランスポート サーバー上で動作するエージェントだけです。このエージェントを使用すると、Exchange 組織内を流れるメッセージにポリシー ベースの規制遵守ルールを適用できます (一方、エッジ トランスポート サーバーのルール エージェントは、組織をスパムやウイルスから保護するのに役立ちます)。
管理者が実装する必要がある一般的な規制遵守の要件には、以下のようなものがあります。
- 異なるグループに属する送信者と受信者の間の通信を制限すること
- 不適切なコンテンツが企業に入り込んだり企業から流出したりするのを防ぐこと
- 機密情報をフィルタ処理すること
- 特定のユーザーやグループに送信されたメッセージ、および特定のユーザーやグループから受信したメッセージの追跡やアーカイブを行うこと
- 受信メッセージと送信メッセージをリダイレクトし、配信前に検査すること
- 免責事項を適用すること
ハブ トランスポート サーバーは、Exchange 2007 トポロジでこのサーバーが果たす役割から、トランスポート ルール エージェントとして選択されました。Exchange 2007 ではトポロジに大幅な変更が加えられ、その結果、Exchange がさらに密接に Active Directory® トポロジと統合されました。組織内を流れるメールは、ある時点で必ずハブ トランスポート サーバーによって処理されます。ハブ トランスポート サーバーは Active Directory に現在のトランスポート ルールの構成を照会し、処理するすべてのメッセージにそのルールを適用します。
あるハブ トランスポート サーバーで構成されたすべてのトランスポート ルールは、Active Directory サービスによって他のすべてのハブ トランスポート サーバーにレプリケートされます。このため、管理しているサイトとトポロジがレプリケーションに与える影響、および組織規模のルールの展開にかかる時間を知っておく必要があります。
また、ハブ トランスポート サーバーでは、受信者や配布リストの参照のために受信者のキャッシュが保持されることも覚えておく必要があります。さらに、更新間隔 (既定では 4 時間) が、メッセージにルールが適用されるタイミングに影響を与えることにも注意してください。
ハブ トランスポート サーバーのトランスポート ルールは、認証されたユーザー間で送信された、会議出席依頼、通常のメッセージ、暗号化されたメッセージ、および権限が保護されたメッセージをすべて評価します。また、匿名で送信された電子メール メッセージは、メッセージの種類、送信者、受信者にかかわらず、すべて評価されます。
各トランスポート ルールは、条件、例外、およびアクションという要素から構成されます。条件は、メッセージの識別処理に使用するメッセージ属性 (ヘッダー、受信者、送信者など) を指定するために使用されます。メッセージが特定のルールの条件をすべて満たした場合、そのメッセージが構成済みの例外に該当しない限り、アクションが適用されます。例外は構成しなくてもかまいません。例外を構成した場合、トランスポート ルールは、その例外基準のいずれかを満たしたメッセージの処理を停止します。アクションは、各トランスポート ルールで必ず構成する必要があります。アクションにより、メッセージの処理方法が指定されます。図 3 は、ハブ トランスポート サーバーで構成されたトランスポート ルールに基づいて適用できるアクションの一覧です。
Figure 3 ハブ サーバーのトランスポート ルールで実行できるアクション
アクション | アクション名 | 説明 |
メッセージに関するイベントをログに記録する | LogEvent | ローカル コンピュータのアプリケーション ログにイベントを追加します。 |
件名の先頭に文字列を追加する | PrependSubject | メッセージの "件名" フィールドの先頭に文字列を追加します。 |
メッセージ分類を適用する | ApplyClassification | メッセージにメッセージ分類を適用します。 |
免責事項を追加する | ApplyDisclaimer | メッセージに免責事項を適用します。 |
値に Spam Confidence Level を設定する | SetScl | メッセージに Spam Confidence Level (SCL) を設定します。 |
ヘッダーに値を設定する | SetHeader | 新しいメッセージ ヘッダー フィールドを作成するか、既存のメッセージ ヘッダー フィールドを変更します。 |
ヘッダーを削除する | RemoveHeader | 指定したメッセージ ヘッダー フィールドをメッセージから削除します。 |
"宛先" フィールドのアドレスに受信者を追加する | AddToRecipient | メッセージの "宛先" フィールドのアドレス一覧に 1 人以上の受信者を追加します。元の受信者は追加のアドレスを見ることができます。 |
メッセージをアドレスにコピーする | CopyTo | メッセージの CC (カーボン コピー) フィールドに 1 人以上の受信者を追加します。元の受信者は元のアドレスを見ることができます。 |
メッセージをアドレスにブラインド コピーする | BlindCopyTo | メッセージの BCC (ブラインド カーボン コピー) フィールドのアドレス一覧に 1 人以上の受信者を追加します。 |
メッセージをアドレスにリダイレクトする | RedirectMessage | 管理者が指定した 1 人以上の受信者にメッセージをリダイレクトします。メッセージは元の受信者には配信されず、受信者や送信者には通知が送信されません。 |
拡張状態コードを付けて送信者にバウンス メッセージを送信する | RejectMessage | メッセージを削除し、送信者に配信不能レポートを送信します。受信者は、メッセージまたは通知を受信しません。 |
メッセージを確認なしで削除する | DeleteMessage | メッセージを削除します。受信者や送信者には、通知は送信されません。 |
トランスポート ルールを作成するには、Exchange 管理コンソールから、トランスポート ルールの新規作成ウィザードを実行します (図 4 を参照)。または、Exchange 管理シェルからスクリプトを実行してルールを作成することもできます。
図 4** ハブ トランスポート サーバーのトランスポート ルールを構成できる、トランスポート ルールの新規作成ウィザードの起動操作 **(画像を拡大するには、ここをクリックします)
また、SDK を使用して、Exchange 内の SMTP イベントに基づいてメッセージを処理するトランスポート エージェントを独自に記述することもできます。ただし、これはそれほど単純な作業ではありません。
メッセージ分類
新しいメッセージ分類ツールは、メタデータによって特定のメッセージの使用目的や対象者を説明するために使用します。クライアント側では、このメタデータを Outlook® Web Access (OWA) や Outlook 2007 で使用して、ユーザーが読める形式で分類の説明を表示することができます。サーバー側では、トランスポート ルール エージェントがメッセージ分類に基づいてメッセージを処理することができます。
Exchange Server 2007 に含まれている既定のメッセージ分類は、A/C 特権 (弁護士/クライアント特権)、添付ファイル削除済み、企業秘密、および企業内部です。しかし、多くの組織では独自の分類を作成することが必要になる場合があります。新しい分類を作成するには、Exchange 管理シェルで new-MessageClassification コマンドレットを実行します。たとえば、財務データへのアクセスを制限する必要がある場合は、次のコマンドを実行して、"Financial - Confidential" (財務 - 機密事項) というメッセージ分類を作成することができます。
new-MessageClassification –Name finance –DisplayName “Financial—Confidential”
-RecipientDescription “This message contains confidential financial data.”
–SenderDescription “Restricts recipients of messages that contain confidential financial data”
必須のパラメータは Name、DisplayName、SenderDescription の 3 つだけですが、基本的な機能を実装するには、少なくとも RecipientDescription を追加する必要があります。図 5 は、OWA インターフェイスに表示された、この新しい分類を示しています。
図 5** 新しく作成した "Financial - Confidential" が含まれたメッセージ分類の一覧 **(画像を拡大するには、ここをクリックします)
このコマンドではロケール パラメータを使用しないため、Exchange 組織内の全ロケールにこのコマンドが適用されます。世界規模での運用をサポートしている場合は、ロケール別のメッセージ分類を作成する必要が生じることがあります。
また、分類にアクセス許可を正しく設定する必要があります。既定では、新しく作成されたすべてのメッセージ分類に関して、認証されたユーザーに読み取りアクセス許可が与えられます。ただし、ユーザーが各自の役割に適したメッセージ分類だけにアクセスできるように、作成した複数のメッセージ分類を分割する必要があります。また、各分類には、他のメッセージ分類に対する相対優先順位を指定することができます。この優先順位により、記述の順序が指定され、転送されるメッセージや返信されるメッセージに関連付けられる分類が決定されます。
必要な分類を作成したら、次は、それらの分類を使用するトランスポート ルールを作成します (もちろん、これらのメッセージ分類にアクションを関連付けず、単に情報を提供するためだけに使用してもかまいません)。図 6 に示されているように、メッセージ分類をトランスポート ルールと組み合わせる際には多くのオプションを使用できます。ここでは、"Financial" (財務) と分類されたメッセージがあるかどうかを監視するトランスポート ルールを作成しました。メッセージが "Financial" と分類された場合、トランスポート ルール エージェントによってそのメッセージの受信者が調べられます。受信者の中に "Financial Dept" (財務部門) 配布グループに属していないユーザーが存在した場合、メッセージは、カスタムの配信不能メッセージと共に送信者に返送されます。
図 6** Financial と分類されたメッセージに適用するトランスポート ルールの作成 **(画像を拡大するには、ここをクリックします)
メッセージ分類を使用すると、組織内に "倫理的境界" を設けることもできます。たとえば、特定の個人間や部門間の通信を制限することが必要になる場合があります。メッセージ分類を使用して、この操作を行うことができます。
ジャーナリング エージェント
規制遵守を保証する際、ジャーナリングが強力な (しかし時として複雑な) 手段となる場合があります。さいわい、Exchange Server 2007 には、柔軟性が大幅に向上したジャーナリング機能が用意されています。Exchange Server 2007 では、標準ジャーナリング (メールボックス データベースごと) と新しいプレミアム ジャーナリング (受信者ごと) の両方がサポートされています。プレミアム ジャーナリングを使用すると、個々のユーザーや配布グループのジャーナルを作成できます。これにより、要求 (保持要求や、裁判所から出された保全命令など) を遵守するための手順がはるかに単純になります。また、ジャーナリングが記憶域やパフォーマンスに与える影響をより細かく制御できるようになります。
新しいジャーナリング機能の中で、最も柔軟性が高いものの 1 つは、動的配布グループに基づいたジャーナリングのサポートです。たとえば、組織で、特定の個人の電子メール メッセージを継続的に保持しておく必要があるとします。これは、組織内の人事調査または訴訟を目的とした場合などが考えられます。管理者は、動的配布グループを使用すると、既にジャーナルが作成されている設定済みのグループにユーザーを追加したり、このグループからユーザーを削除したりすることができます。これにより、その場に応じたジャーナリングをすばやく簡単に提供できます。
Exchange 管理コンソールと、動的配布グループの新規作成ウィザードを使用すると、ユーザー コンテナを選択し、特定の Active Directory 属性の値に基づいて、配布グループに含めるメールボックスをフィルタ処理できます (図 7 を参照)。管理者は、いずれかのカスタム属性 (図 7 を参照) を選択し、この属性の値を追加または削除することにより、どのユーザーのジャーナルを作成するかを制御できます。
図 7** 動的配布グループの新規作成ウィザードを使用したジャーナリング ルールの構成 **(画像を拡大するには、ここをクリックします)
Exchange 2007 のジャーナリングに関する詳細な説明については、2006 年 12 月号の David Strome による記事「Exchange 2007 の強化されたジャーナリング」を参照してください。その他の情報については、「ジャーナリングの概要」を参照してください。
Alan Maddisonは、MTI Technology Corporation でマイクロソフト テクノロジの導入支援を担当しているシニア コンサルタントです。主な担当分野は、Active Directory、Exchange Server、および仮想化です。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.