メール暗号化 OME(Office 365 Message Encryption)

OME（Office 365 Message Encryption）は2023年7月に廃止され、Microsoft Purview Message Encryptionにバージョンアップしました。Microsoft Purview Message Encryptionの記事はこちらになります。

脱PPAPとは

PPAPとはパスワード保護したZIPファイルの添付メールを送信後、その解凍パスワードをあとから別送する方法のことを言います。
PPAPはセキュリティが危険視されていて、廃止することを求められています。

なぜPPAPが危険視されているのか

PPAPは下記の理由でセキュリティ上の問題があります。

• ZIPファイルも解凍パスワードも同一経路で送信する
  メールの送信経路を盗み見られた場合、解凍パスワードを別送しても両方のメールが盗み見られている可能性があり、別送する意味がありません。
• ZIPファイルのパスワード保護の解除は容易である
  ZIPファイルの解凍は、無制限にパスワードを試行することができるため、パスワードを片っ端から試してみる総当たり攻撃を行うと、必ず解除することができます。

政府や大手企業が次々に脱PPAPを表明しています。

脱PPAPに取り組まないと、情報漏洩のリスクがあるばかりでなく、取引先企業から「セキュリティに対する認識が甘く、取引において信用できない企業」といった印象を抱かれかねません。

脱PPAPの代替手段（OMEとOneDrive）

MicrosoftではPPAPに替わる手段として、以下の２通りの方法を推奨しています。
それぞれメリットがありますので、ケースバイケースで使い分けていただくことをおすすめします。

代替手段１～OME～

OMEとはOffice 365 Message Encryptionの略で、メールにファイルを添付すると自動的に暗号化する方法です。送信者は従来通りメールに添付するだけなので、送信者の操作手順を変更する必要が無いことがメリットとして挙げられます。

代替手段２～OneDrive～

OneDriveを使った場合、安全にファイルを共有することができます。
ファイルを送信するのではなく、自分の管理下にあるクラウドストレージ（OneDrive）へアクセスしてもらうかたちなので、権限を自由にコントロールすることができます。
例えば、重要な機密情報を共有する場合、閲覧するだけで編集やダウンロードはできないようにすることができます。

OneDriveでの送信手順についてはこちらの記事をご覧ください。

OMEとOneDriveの比較

	OME	OneDrive
脱PPAP対策	対応	対応
主機能	Eメールの暗号化通信	安全なファイル共有
メリット	ファイルを添付すると自動的に暗号化されるため、送信者の手間が無い	閲覧のみ／編集可／ダウンロード可、有効期限など細かな権限設定が可能
送信者の操作	通常のメール送信と同じ	OneDriveまたはエクスプローラーから操作
送信相手（受信者）の操作	マイクロソフトユーザー以外の場合は15分間有効なワンタイムパスコードを取得 マイクロソフトユーザーの場合はサインインのみ	マイクロソフトユーザー以外の場合は検証コードを取得 マイクロソフトユーザーの場合はサインインのみ
必要なライセンス	Exchange Online + Azure Information Protection Exchange Online + Azure Information Protectionを含む下記ライセンスも対象 ・Microsoft 365 Business Premium ・Office 365 E3 ・Office 365 E5 ・Microsoft 365 E3 ・Microsoft 365 E5	OneDrive for Business OneDrive for Businessを含む下記ライセンスも対象 ・Microsoft 365 Business Basic ・Microsoft 365 Apps for business ・Microsoft 365 Business Standard ・Microsoft 365 Business Premium ・Office 365 E3 ・Office 365 E5 ・Microsoft 365 Apps for enterprise ・Microsoft 365 E3 ・Microsoft 365 E5 他

OMEでの送信手順

• OMEに必要なライセンス
• OME設定
  1. Azure Rights Management が有効であることを確認
  2. Exchange Online PowerShell でOME 構成を確認
  3. メール フロー ルールを定義
• 暗号化メールを送信

OMEに必要なライセンス

OMEはExchange Online＋Azure Information Protection（Plan 1以上）で利用できます。

また、下記プランはExchange OnlineとAzure Information Protectionを含んでいるため、OMEが利用できます。
・Microsoft 365 Business Premium
・Office 365 E3
・Office 365 E5
・Microsoft 365 E3
・Microsoft 365 E5

OME設定

1.Azure Rights Management が有効であることを確認

Azure ポータルへアクセスして、検索窓に「Azure Information Protection」と入力します。
「サービス」一覧の「Azure Information Protection」をクリックします。

左部メニューの「保護のアクティブ化」をクリックします。
「保護の状態は アクティブ化されています。」と表示されることを確認します。

2.Exchange Online PowerShell でOME 構成を確認

まず、PowerShellを管理者モードで起動します。

PowerShellGet モジュールをインストールします。

Install-PackageProvider -Name NuGet -Force

Install-Module -Name PowerShellGet -Force

インストール済みの場合はアップデートします。

Update-Module -Name PowerShellGet
Exit

Windows PowerShell ウィンドウを閉じてから再度開きます。
Install-Module コマンドレットを使用して、PowerShell ギャラリーから EXO V2 モジュールをインストールします。

Install-Module -Name ExchangeOnlineManagement

PowerShell ウィンドウで、次のコマンドを実行して EXO V2 モジュールを読み込みます。

Connect-ExchangeOnline

対象テナントの管理者アカウントでサインインします。

接続に成功すると、下記のような表示になります。

次のコマンドを実行して 「AzureRMSLicensingEnabled」が「True」となっていることを確認します。

Get-IRMConfiguration

（Trueになっていない場合は、「Set-IRMConfiguration -AzureRMSLicensingEnabled $true」コマンドでTrueにします。）

次のコマンドを実行して動作をテストします。

Test-IRMConfiguration -Sender [テストメールアドレス]

「全体的な結果：合格」と表示されればOKです。

3.メール フロー ルールを定義

Exchange Onlineのメールフロールールを作成します。
ここでは、下記２条件を満たした際に暗号化送信する設定を行います。
・ファイルサイズが1KB以上の添付ファイルがある
・社外への送信

Exchange 管理センターより「メールフロー」＞「ルール」画面を開きます。
「＋」＞「Office 365 Message Encryptionと権利保護をメッセージに適用する」をクリックします。

任意の名前「メール暗号化送信」を入力します。
「*このルールを適用する条件」から「任意の添付ファイル」＞「サイズが次の値以上である」を選択します。

「添付ファイル サイズの制限(KB)を指定する」枠に「1」と入力します。

「条件の追加」ボタンをクリックします。

「この受信者」＞「外部/内部である」を選択します。

「受信者の場所の選択」で「組織外」を選択します。

「次のテンプレートでOffice 365 Message Encryptionと権利保護をメッセージに適用する」右側の「1つ選択してください」をクリックします。

「RMSテンプレートの選択」で「暗号化」を選択します。

「保存」ボタンをクリックして設定完了です。

暗号化メールを送信

実際に暗号化メールを送信してみます。

Outlook on the webより、社外のGmail宛てに花の写真を添付したメールを送信します。

受信者（社外のGmail）は下記のようなメールが届きます。
「メッセージを読む」をクリックします。

ここでは、Gmail以外の受信者の場合と同様に、ワンタイムパスコードで閲覧するので「ワンタイムパスコードを使用してサインイン」をクリックします。

（ちなみに、Gmailの場合は「Sign in with Google」ボタンをクリックしてGoogleアカウントのパスワードを入力すると、ワンタイムパスコードは不要です）

ワンタイムパスコードが送信され、ワンタイムパスコードの入力フォームが表示されます。

受信者（社外Gmail）宛てにワンタイムパスコードが届きます。

ワンタイムパスコードを入力して「→続行」をクリックします。

メール本文及び添付ファイルが閲覧できるようになります。

添付ファイルをプレビュー表示すると下記のようになります。
もちろん、ローカルPCへダウンロードすることもできます。

受信者が閲覧するタイミングでワンタイムパスコードを発行でき、かつワンタイムパスコードの有効期限を15分に制限しているため、安全に閲覧者を限定することができます。

受信者がMicrosoft 365ユーザーで、Outlookを使用している場合は、ワンタイムパスコード無しで通常のメールのように暗号化メールが届きます。その場合、下記画面のように一覧リストには鍵のアイコンが表示され、メッセージには「このメッセージは暗号化されています。」と表示されます。

送信者側の操作手順を変えずに利用できることは、大変便利に感じます。
この記事では、ブラウザ版のOutlook on the webからメールを送信しましたが、デスクトップ版のOutlookはもちろんのこと、スマホやタブレットからiOS版やAndroid版のOutlookからでも、添付ファイルがあれば自動暗号化送信することができます。

是非一度お試しください。