IIJセキュアMX


Office365 (Microsoft365) メールセキュリティの一環として、IIJ社のクラウドサービス「IIJセキュアMX for Office365」を利用してみた。
利用してからわかった、いくつかの問題点をリストアップしながら、それに対処すべき内容を、特にOffice365側部分を中心に記載する。
*記事が長くなるため、数回に渡って記載していきたい。

 

セキュアMXは、IIJ(インターネットイニシアティブ)社の「メールセキュリティ強化」をうたったクラウドサービスで、「Office365」との連携が可能な製品だ。競合他社として、へんげ社のHENNGE Oneがある。勤務先では、「メール送信遅延」「添付ファイル暗号化」だけで良いという目的で安価の方として、セキュアMXの採用となった。HENNGE Oneは利用したことが無いため、評価は難しいが、IIJセキュアMXの設定は非常にシンプルのため、これは導入して良かった、と感じている。

ただIIJ社のサポート、「IIJセキュアMXサービスOffice365連携」とサービス名を語りながら、Office365側の設定いついては、ほぼサポートしてくれないという困り果てたサービスとなっており、かなり苦労した。そのため覚書を含めた執筆に至っている。

 

Office365アドレスを的確に管理が必要

セキュアMXでの課金は、同期したOffice365メールアドレス数で、Microsoft365 ID数の課金では無い。その月内のOffice365の最大アドレス数に対して行われ、最大アドレス数はIIJサービスオンライン「メールアドレス登録数照会」画面より確認することが可能だ。

つまり、MicrosoftグループやTeams等、勝手(ユーザ任意)で作成可能なアドレスが多ければ、どんどん課金されてしまうという問題点がある。そのため、Office365アドレスを「連携する」か「連携しない」かが、重要な鍵となる。ただ、セキュアMXにおいて、Office365アドレスを連携しない場合、Office365アドレス登録において大変か?と言われると、指定フォームに入力するだけなので、非常に簡単なインタフェースとなっている。当然、個別削除画面も用意され、一括登録・一括削除も用意されているため、非常にシンプルな管理画面となっている。従量課金に悩まされてしまう場合には、手動管理も一つの方法だ。手動管理にすれば、以下記述のカスタム属性値に登録したりする管理も不要のため、手作業管理が無難かもしれない。

Office365アドレス連携を行う場合のメリットは、運用を楽にしたい場合だ。Office365アドレスを削除すれば、削除されるし、追加すれば追加となる。運用フリーが可能だ。

Office365連携を行う場合には、セキュアMX側からOffice365にアクセスするため、Office365のID1つと、以下のアクセス権限が必要となる。

  • Distribution Groups
  • Mail Enabled Public Folders
  • Team Mailboxes
  • Role Management
  • Mail Recipients

 

Office365に限らず、Microsoft365の管理者権限は沢山ありすぎるため、「全体管理者」で付与している。
なお、上記アクセス権限に限定した設定方法については、落ち着いた後に、当記事を修正していくことにする。
(参考)Microsoft365管理センター・管理者ロールについて(Microsoft)

上記の権限を利用して、Office365メールアドレス同期には、下記のPowerShellコマンドレットを使用して、各メールボックスオブジェクトを取得される。同期時間は公開されておらず、おおよそ6時間毎にコマンドが実行され、Office365アドレス同期が行われるという。

  • Get-Mailbox
  • Get-DistributionGroup
  • Get-DynamicDistributionGroup
  • Get-SiteMailbox
  • Get-MailPublicFolder
  • Get-UnifiedGroup

事前に用意されている連携除外は、「会議室・備品用メールアドレス」だけとなっているため、本来メールアドレスとして機能しない筈の「セキュリティグループ」とかが、Office365メールアドレスとして同期されてしまう。
これを防ぐのに、メールアドレスに15個用意されているCustomAttribute1〜CustomAttribute15のカスタム属性値に登録されている特定キーワードを入れることで、同期除外にすることができる。このカスタム属性値を設定する場合には、「指定したカスタム属性のメールアドレス」にチェックを入れる必要がある。

連携せずに利用することも可能。連携しない場合には、Microsoftアカウントを登録したら、セキュアMX側にもメールアドレスを登録するという的確な運用を取る必要があるため、どちらを採用するか、が、課題となる。

Office365メールアドレスに対しカスタム属性値を登録するには次のコマンドとなる。
事前に登録されているカスタム属性一覧を出力し編集した上でインポートする方法が確実だ。

■操作記録

Start-Transcript “C:¥log¥log.txt”

■Exchange Onlineへの接続

$Cred = Get-Credential
(認証が聞かれる。全体管理者とかでサインイン)

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri “https://outlook.office365.com/powershell-liveid/” -Credential $Cred -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking
■カスタム属性情報を出力
青い部分「UnifiedGroup(グループ)」を MailBox(ユーザ)、DistributionGroup(配布グループ)に変更して出力する。
また、カスタム属性値は1〜15まで利用できるため、select の数を増やすなり、CustomAttribute2とか、設定したい値で入力するなど、ちょっとした工夫が必要。
Get-UnifiedGroup | select DisplayName,PrimarySMTPAddress,CustomAttribute1 | Export-csv -NoTypeInformation -Encoding UTF8 “C:¥temp¥o365grouplist.csv”​
(出力したファイルを加工た上でインポート)
■変更したカスタム属性情報をインポート
出力した各アドレスをインポートする。UnifiedGroup部分をMailBoxやDistributionGroupに変更する。
ユーザー数が多いとタイムアウトが出るようで、1,000 ID毎に分けてインポートした方が良いようだ。
Import-csv “C:¥Temp¥o365grouplist.csv” | Foreach {​​Set-UnifiedGroup -Identity $_.PrimarySmtpAddress -CustomAttribute1 $_.CustomAttribute1}​​​​​​​​​​
■インポートした内容を確認
上記方法でCSV出力しても良いし、| Export-csv -NoTypeInformation -Encoding UTF8 “C:¥Temp¥〜ファイル名” を削除し、画面上に表示して確認したりして、確認
■ログ採取
Stop-Transcript

 

ここで、CustomAttrubuteに登録した値「1つ」を、除外設定にすることができる。

定期的にメールアドレスを出力し、カスタム属性値を登録しながら管理していくという運用を取っていけば、十分管理が可能だ。

 

セキュアMXの仕組みを理解する

IIJセキュアMXの詳細はこちらに記載されているので、ここでは、くだけた内容となる。
Microsoft365 (Office365)を利用している場合は、[利用者]↔︎[Office365]という運用環境となるのだが、セキュアMXを利用すると、[利用者]↔︎[Office365]↔︎[セキュアMX]という運用に変わる。つまり、Office365の機能は特にスルーされず残ることになる。

つまり、Office365でメールフィルタしたものは、そのまま残り、セキュアMXのセキュリティが追加となる。言い換えると、セキュアMXを入れたことによって、Office365の設定がめちゃくちゃ大変になるのではなく、対して変わらないということだ。ただ、Office365を利用してメールを送信した際、セキュアMXに転送させる設定が必要。

この設定には、「トランスポートルール」を利用して、[送信者のドメインが、○○○○○]に該当し、[組織外]にメールを送信された場合には、[パートナー組織]で設定したコネクタに送信する、という設定を行う。この設定については、セキュアMX契約後に利用できる「膨大な説明資料」に記載されているので省略。この設定は、結構細かく書かれているので、安心して設定が可能だ。

受信については、セキュアMXを通過したものは安全に近いため、SCL (スパム信頼度レベル) を「-1」に設定して、メールをバイパス(通過)させるという設定を行うことで、無駄なブロックが解除される。
(参考)Office365 スパム信頼度レベル SCL(Spam Confidence Level)

 

ただ、「-1」にしたとしても、経験上、個人が任意で設定したブロックリストがあれば、迷惑メールとしてフィルタされていることが判明している。
そのため、「メールが届かない!」というユーザーの声に対しての調査が、[ユーザ]↔︎[Office365]の調査を行なった上で、[Office365]↔︎[セキュアMX」での調査が必要になったのが、やや大変という状況だ。

また、受信においてもSPF、DKIM、DMARCといった認証を経て更なる多層に渡るセキュリティフィルタを経由してOffice365にメールが届くという運用がセキュアMXでは可能だ。
(参考)送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説(IIJ)

 

これらの設定の影響で、Microsoft365管理センター「ドメイン管理」においては、メールサーバーがIIJ側に向くため、正常管理ではなくなる、というのが、あまり気持ちが良いものではない。そのため、例えば、mxtoolboxとかのサイトでDNS情報を確認していく必要が出てくる。mxtoolboxを使わなくても、nslookupや、digで確認して管理することは、従来通りだ。

言い換えると、セキュアMXに向いているドメインは「サービス上の問題の可能性」と表示され、「正常」として表示されているのは、セキュアMXには向いていないという判断が取れる。

 

セキュアMXを利用することで、セキュリティ機能大幅UPにもかかわらず、運用管理負荷は微妙にUPというのが嬉しい。管理がシンプルだけに、管理負荷が小さいのが、この製品のウリなのかもしれない。

(つづく)


Twitterでフォローしよう

おすすめの記事