新しい Exchange におけるインプレース電子情報開示とインプレース保持 - パート I
原文の記事の投稿日: 2012 年 9 月 27 日 (木曜日)
電子情報開示の要求を抱える組織は、電子メール レコードの保持、関連レコードの検索、および確認用の情報の生成を行える必要があります。
Exchange Server 2010 と Office 365 では、訴訟ホールドにより、メールボックスのアイテムを保持できます。ユーザーまたはプロセスがアイテムを永久に削除しようとすると、それはユーザーのビューからは削除されて、メールボックス内のアクセスできない場所に移動します。さらに、ユーザーまたはプロセスがアイテムを変更すると、書き込み時コピー (COW) が実行され、変更されたバージョンがコミットされる直前に元のアイテムのコピーが保存されて、元のコンテンツが保持されます。変更のたびにこのプロセスが繰り返され、以降のすべてのバージョンのコピーが保持されます。
やはり Exchange 2010 で新しく導入された複数メールボックス検索を使用すると、委任された法務、人事、または IT の担当者 (探索管理のアクセス許可が割り当てられる必要があるため、探索マネージャーと呼ばれます) は、Exchange 2010 組織全体でメールボックス コンテンツを検索できます。検索から戻されるメッセージは、探索メールボックスにコピーできます。これは、大きなメールボックス クォータを持ち、メッセージを送受信できない、特殊なメールボックスです。
Exchange 2013 におけるインプレース電子情報開示と保持の新機能
Exchange 2010 と Office 365 のリリース以降、アーカイブ、電子情報開示と保持など、メッセージ ポリシーとコンプライアンスの機能について、あらゆる規模の組織から多くのフィードバックが寄せられました。コンプライアンス機能の発展を計画する際には、これらのフィードバックを念頭に置きました。何が変わったのか、見てみましょう。
新しい名前: 新しい Exchange では、複数メールボックス検索が、インプレース電子情報開示と呼ばれています。
新しい検索エンジン: インプレース電子情報開示では、Exchange Search によって生成される検索インデックスを引き続き使用しますが、内部的には、Exchange Search は Microsoft Search Foundation を使用するように一新されています。コンテンツのインデックス付け機能は、以前は、Windows Search によって行われていました。Microsoft Search Foundation は多機能な検索プラットフォームであり、インデックス付けとクエリのパフォーマンスが大きく向上し、検索機能も向上しています。
新しい保持の手段: 新しい Exchange では、インプレース保持を使用して、検索したコンテンツを保持できます。インプレース保持はインプレース電子情報開示に統合されており、同じ使いやすいインターフェイスで、コンテンツの検索と保持を同時に行うことができます。保持と電子情報開示が統合されていることで、クエリを使用して保持する内容を非常に限定できます。保持するデータ量を削減すると、後でデータを確認するコストが低減されます。
新しい UI: 新しい Exchange には、Exchange 管理センター (EAC) という Web ベースの新しい統合管理ツールがあります。探索マネージャーは、新しいインプレースの証拠開示と保持ウィザードを使用して、電子情報開示検索を実行できます。
キーワード統計情報: インプレース電子情報開示検索を作成すると、各キーワードに一致するアイテム数を示す、詳細なキーワード統計情報が得られます。この情報を使用すると、予期していたメッセージ数をクエリが戻しているかどうかを判断できます。クエリの範囲が広すぎるか狭すぎるかに応じて、検索が戻すメッセージが多すぎたり少なすぎたりします。この情報を使用して、クエリを微調整します。
電子情報開示検索のプレビュー: 電子情報開示検索を作成した後、検索結果を簡単にプレビューできます。各ソース メールボックスから戻されたメッセージは、検索プレビューに表示されます。メッセージを簡単にプレビューできると、検索しているコンテンツをクエリが戻しているかどうかを確認でき、クエリをさらに微調整することもできます。
新しい SharePoint との統合: Exchange は、新しい SharePoint と統合された電子情報開示および保持のエクスペリエンスを提供しています。電子情報開示センターを使用すると、ケースに関連付けられたすべてのコンテンツを検索し、インプレース保持することができます。つまり、1 つの場所から SharePoint Web サイト、ドキュメント、SharePoint でインデックス付けされたファイル共有、Exchange 内のメールボックス コンテンツ、およびアーカイブされた Lync コンテンツを検索およびインプレース保持できます。ファイル、リスト、Web ページ、Exchange メールボックス コンテンツなど、ケースに関連付けられているコンテンツをエクスポートできます。メールボックス コンテンツは .PST ファイルとしてエクスポートされます。Electronic Discovery Reference Model (EDRM) 仕様に準拠する XML マニフェストは、エクスポートされた情報の概要を提供します。
Exchange コンテンツを検索するために、SharePoint は Exchange のフェデレーション検索 API を使用します。Exchange コンテンツを EAC から検索するのか、SharePoint を使用して検索するのかにかかわらず、同じ検索結果が戻されます。新しい SharePoint と Exchange は、基になるインデックス付けおよびクエリ エンジンとして、両方とも Microsoft Search Foundation を使用しているため、SharePoint と Exchange の両方のコンテンツに対して同じ検索クエリを使用できます。
インプレース電子情報開示検索の実行
以下では、探索マネージャーがインプレース電子情報開示検索を行う方法について説明します。
Robin は、マーケティング会社 Contoso の法務チームで働いています。Contoso は、Tailspin Toys という会社から、この会社が製造している新しい玩具の販売キャンペーンを支援するように、依頼を受けました。Contoso は玩具業界での実績があり、大規模な玩具販売キャンペーンを行うことで知られています。これはビジネス チャンスではありますが、担当している玩具会社の多くが競合会社であるため、十分な注意が必要です。Contoso は、Wingtip Toys という別の玩具会社の販売キャンペーンを成功裏に終わらせたばかりであり、Robin は、ある顧客から別の顧客へ、自分のチームを通じて機密情報が間違って渡されることがないようにする必要があります。そのため、法務チームの協力を得て、会社の電子メールとドキュメントを検索して、潜在的な問題がないことを確認することにしました。
インプレース電子情報開示を使用するには、ユーザーに探索管理役割グループが委任されている必要があります。役割は、承認された法務、コンプライアンス管理、または人事担当者に委任できます。Robin はこのような法務チームのメンバーの 1 人です。新しい Exchange 2013 ではこのように範囲指定された役割を持つことができるため、IT 担当者は Robin のような社員に Exchange サーバーのすべての機能へのフル アクセス権を与えることなく、コンプライアンスの責務を委任できます。
Robin は、まず、Exchange 管理センターに移動します。EAC の [コンプライアンス管理] (Compliance Management) タブで、新しい Exchange のコンプライアンス機能を管理できます。Robin は他の Exchange 管理者役割を持っていないため、電子情報開示管理役割グループに関係するインターフェイスのみが表示されます。[コンプライアンス管理] (Compliance Management) タブに表示されるのは、[インプレースの証拠開示と保持] (In-Place eDiscovery & Hold) のみです。
図 1: [インプレースの証拠開示と保持] (In-Place eDiscovery and Hold) タブは、探索管理のアクセス許可が委任されたユーザーがアクセスできる
[追加] (Add) ボタンをクリックして新しいインプレースの証拠開示と保持 (new In-Place eDiscovery & Hold) ウィザードを開始し、検索の名前と説明 (オプション) を入力します。
図 2: EAC で新しいインプレースの証拠開示と保持 (new In-Place eDiscovery & Hold) ウィザードを使用してインプレース電子情報開示検索を作成する
Exchange 組織内のすべてのメールボックスを検索したり、検索するメールボックスを選択したりできます。
図 3: メールボックスを指定する (特定のメールボックスの検索またはすべてのメールボックスの検索)
[検索クエリ] (Search query) ページでは、すべてのメールボックスのコンテンツを戻すのか、特定のコンテンツを戻すのかを選択できます。Robin が検索したいのは、チーム メンバーと WingTip Toys の間で行われた仕事に関する特定のコンテンツです。いくつかのキーワードを入力するだけの単純な検索を実行することもできれば、検索対象を限定するために AND、OR、かっこなどのブール演算子を使用して複雑な検索を行うこともできます。数ギガバイトのメールボックスはごく普通であり、一連のコンテンツを、目的のものを見つけるために調べなければならない最小限の量に減らすことができるため、この方法は時間とコストの大きな節約になります。
図 4: 検索クエリ (キーワード、開始日、終了日、送信者、受信者など) を指定する
ここでは、ブール論理の使用に加えて、互いに近くにある単語を検索できる近接演算子 (NEAR) も使用しています。ワイルドカード文字も使用しており、この例では、toy、toys、toymaker などの 3 単語以内で wingtip という単語を検索しています。
この例では、電子メール内の任意の場所でこれらのキーワードが検索されますが、たとえば、メッセージの件名でのみ語句の検索を行うなど、より限定的にするには、「件名:」(Subject:) と入力し、その直後に目的の語句を続けます。限定の度合いに応じて、複雑なクエリを作成できます。クエリには数百のキーワードを指定できます。
特定の種類のメッセージを選択することもできます。Exchange メールボックスには、電子メールだけでなく、予定表アイテム、タスク、メモなど、個人情報管理に関連するアイテムが含まれています。新しい Exchange では、これらのすべてのアイテムを検索したり、特定の種類のアイテムに絞り込んだりできます。Robin は、どの社員が Wingtip と面会したかを追跡し、議論の内容を知るために会議の招待を読むことができるように、電子メールと会議も選択します。
図 5: すべてのメッセージの種類を選択または検索するメッセージの種類を指定する
自分にとって重要なコンテンツを定義するクエリを定義した後、結果の操作に関するいくつかのオプションを選択できます。このコンテンツを保護することが重要だと感じる場合は、それを保持できます。コンテンツが保持の状態に置かれると、Exchange はデータを編集または削除するすべての試行を自動的にキャプチャし、それらのアイテムをメールボックス内の非表示フォルダーに格納します。これらはエンド ユーザーからはまったく見えないため、日常のワークフローに支障を来すことはなく、しかし、将来の回復用の重要なデータが保持されます。
図 6: 検索結果をインプレース保持に置く
インプレース保持については、このブログのパート 2 で詳しく説明します。
[完了] (Finish) をクリックします。Exchange 2013 メールボックスに対して検索が実行され、アイテムが保持の状態に置かれます。
検索が完了したら、合計サイズとアイテム数を見て、管理できるかどうかを確認します。100 万ものアイテムがある場合は、クエリが広範囲すぎる可能性があります。アイテムがまったくない場合は、絞り込みすぎた可能性があります。詳細を調べるには、検索の統計情報を表示して、結果セット全体に占める各キーワードの正確な割合を確認できます。クエリの調整で本当のターゲットに狙いを定めることができるため、結果セットを簡単に管理可能なサイズに削減できます。
図 7: 検索の推定とキーワード統計情報を使用して検索クエリを微調整する
クエリの調整が終了したら、検索を停止し、クエリが正しいかどうか、チームまたは弁護士と話し合います。別の電子情報開示検索を作成し、異なるクエリ パラメーターを使用することもできます。
検索で戻されるメッセージのプレビューを選択することもできます。
図 8: 電子情報開示検索のプレビューでメッセージをプレビューし、クエリの効果を判断する
[電子情報開示検索のプレビュー] には、検索された各メールボックスのメッセージ数と合計サイズが表示されます。プレビュー機能は Outlook Web App に組み込まれており、メッセージは変更されずにネイティブの形式で表示されます。
図 9: [電子情報開示検索のプレビュー] には、メッセージを探索メールボックスにコピーすることなくライブ メッセージ プレビューが表示される
検索結果全体をすばやくスクロールして、検索結果で戻された追加のアイテムを表示できます。再現性が完全な Outlook Web App プレビューを使用しているため、添付ファイルも表示できます。
結果をプレビューして問題がなければ、後で行う確認に備えてコピーを作成するか、外部の弁護士に渡すためにエクスポートできます。そのためには、[検索結果のコピー] リンクをクリックします。
図 10: 検索によって戻されたメッセージを探索メールボックスにコピーする
メッセージを探索メールボックスにコピーする場合、次のオプションを使用できます。
- [検索できないアイテムを含める] 損傷したアイテム、パスワードで保護された zip 添付ファイル、Information Rights Management 以外のもので暗号されたアイテムなど、インデックス システムで処理できない可能性がある "検索できないアイテム" を含めるかどうかを選択できます。このチェック ボックスをオンにすると、精査して何も見逃すことがないように、これらも含めて手動で確認することができます。
- [重複除去を有効にする] 重複除去を有効にすることもできます。電子メールを複数の人にまとめて送信することはよくあることです。重複除去により、コピーが 1 つだけに削減されるため、確認するメッセージが少なくてすみます。
- [詳細ログを有効にする] 目的の検索結果の詳細ログも保持できます。これには、見つかったすべてのアイテムの完全なリストが含まれています。このオプションは重複除去にとって特に重要です。それは、重複している場合、複数のユーザーが持っている可能性があるメッセージのコピーが 1 つだけのためです。後になって、あるユーザーはそのメッセージを受信トレイに残し、重要のフラグを付けているが、別のユーザーはそれを削除済みアイテム フォルダーに移動して読むことはない、ということを確認する必要が生じることがあります。このログにはこのような情報がすべて含まれています。
- [電子メール通知] コピー プロセスの完了時に電子メールが送信されるように選択することもできます。検索結果が 20 ~ 30 GB のデータを戻す場合、これらを探索メールボックスにコピーするには時間がかかります。
Robin が最後に選択するのは、検索結果を置く探索メールボックスです。
コピーが完了すると、Robin にコピー操作の完了が通知され、結果が格納されているメールボックスへのリンクが表示されます。検索結果のコピーに移動して、それを表示できます。このビューでは、アイテムを確認したり、重要なアイテムにタグを付けたり、重要でないと判断したアイテムを削除済みアイテム フォルダーに移動してビューに表示されないようにしたりできます。
これが終了した後、統合結果を社外の弁護士と共有する必要がある場合は、Outlook クライアントを使用して統合結果のリストを PST ファイルにエクスポートできます。
新しい Exchange におけるインプレース電子情報開示およびインプレース保持機能の概要を示しました。間もなく公開予定のこのブログのパート 2 では、インプレース保持について詳しく説明します。
Bharat Suneja、Julian Zbogar-Smith
これはローカライズされたブログ投稿です。原文の記事は 、「In-Place eDiscovery and In-Place Hold in the New Exchange - Part I」をご覧ください。