こんにちは。Azure Security サポートチームです。
今回は AIP クライアント (右クリックオプションの「分類して保護する」) や、PowerShell コマンドレット、AIP スキャナーのご利用にあたって、注意する必要があるシナリオが確認できましたのでお知らせいたします。
日本語 (マルチバイト文字) でカスタム プロパティが構成されている Office ドキュメントの秘密度ラベルを削除するとファイルが破損する場合がある
Office ドキュメントには、ファイルの内容を識別しやすくするためのプロパティとして、独自の情報を使用できるカスタム プロパティの項目があります。
このカスタム プロパティの設定は、例えば Windows Server 標準機能のファイル分類インフラストラクチャ (Windows Server FCI) の分類規則ジョブで付与するシナリオがよく知られています。
ドキュメントに設定されているカスタム プロパティ情報の詳細は、Office アプリの [ファイル] > [情報] オプション画面内の “プロパティ (詳細プロパティ)” の [ユーザー設定] タブの箇所から確認することができます。
Office ドキュメントに対して秘密度ラベル機能 (Microsoft Information Protection) を利用する場合にも、カスタム プロパティの設定箇所を利用して、秘密度ラベルに関するメタデータ (ラベル ID や) を記述する仕様となっています。
一般的なユースケースとして、カスタム プロパティにお客様独自のメタデータ (分類プロパティ) が含まれている場合でも、秘密度ラベルと併用することは問題ありませんが、一部の限定的な条件で Office ドキュメント ファイルが破損する症状を確認いたしました。
以下に発生条件や要因、対処方法についてご案内します。
【事象の発生条件と概要】
- 秘密度ラベルの共同編集機能が無効 (既定値) となっているテナント
- 対象ファイルに日本語 (マルチバイト文字) で秘密度ラベル以外のカスタム プロパティ情報が含まれていること
- 対象ファイルに暗号化設定のある秘密度ラベルが付与されていること
- 対象ファイルを AIP クライアント (右クリック >[分類して保護する]) エクスプローラーたは PowerShell コマンドレット (Set-AIPFileLabel) を使用してラベルを削除する or AIP スキャナーのコンテンツ スキャンジョブでラベルを削除する
上記の条件を満たした場合、Office アプリで対象ファイルを開封する際に「’対象ドキュメント名’ の一部の内容に問題が見つかりました。可能な限り内容を回復しますか?ブックの発行元が信頼できる場合は、[はい]をクリックしてください。」と表示される状態となります。
[はい] をクリックすると、Office アプリの修復機能により問題が修復された状態となります。
ファイルを保存し直すことで再利用可能な状態となります。
【事象の要因】
AIP クライアント モジュールで使用されている一部のコンポーネントがマルチバイト文字に対応しておらず、カスタム プロパティ情報の処理に失敗することが要因であることを確認しております。
AIP クライアントは2022年1月よりメンテナンス モードに入っており、セキュリティ上重大な問題以外の修正は行われない状態となっており、本問題についてはシナリオが限定的であることもあり改修されないことが決定されています。
【対処/回避方法】
該当ファイルを Office アプリの修復機能で修正後、そのまま利用する
AIP クライアントによるラベル付与/削除処理によって、マルチバイト文字のカスタム プロパティ情報の処理の一部に失敗することから事象が発生しますが、該当nファイルは Office アプリによる修復によって以前の通りに使用できるようになります。
エラー メッセージは表示されてしまうものの Office アプリの修復機能を利用して、該当ファイルをそのままご利用いただくことが可能です。秘密度ラベルの共同編集機能を有効にする
秘密度ラベルの共同編集機能を利用することで、AIP 側の Office ドキュメントのメタデータの用法が変更されます。
これによって事象が発生しなくなります。
共同編集機能を有効化する場合には、秘密度ラベル機能を利用するユーザーは共同編集に対応したバージョンの Office アプリである Microsoft 365 Apps を使用する必要があります。
テナント内のユーザーでボリュームライセンス版の Office Professional Plus エディションと AIP クライアントの組み合わせで秘密度ラベルを利用している端末などがある場合には共同編集の有効化機能を推奨しておりません。
また、AIP のカスタム プロパティを使用した独自アプリケーションなどを運用いただいている場合にも、この設定は推奨されません。
この設定はお客様側で元に戻すことができませんので、有効化を検討する場合には前提条件や制限事項などの注意事項をよく確認のうえで計画いただけましたら幸いです。
<参考>
Title : 機密度ラベルを使用して暗号化されたファイルの共同編集を有効にする
URL : https://docs.microsoft.com/ja-jp/microsoft-365/compliance/sensitivity-labels-coauthoring?view=o365-worldwide
カスタム プロパティにシングルバイトの英数字を利用する
現在日本語で運用いただいているカスタム プロパティの情報をシングルバイト (半角英数字) に書き換えることで事象の発生を緩和させることが可能です。
これからカスタム プロパティを利用した運用を計画している場合などにはこのアプローチも有効となる可能性があります。Office アプリを使用してラベルを削除する
AIP クライアントや AIP スキャナーを使用して、Office ドキュメントのラベルを削除した場合に問題が発生します。
該当ファイルのラベルを削除したい場合に、Office アプリを使用してラベルを削除する場合にはこの問題は発生しません。
[秘密度] のアイコンから該当のラベルを再度クリックすることで、ラベルを削除することができます。
ラベルによって保護されたドキュメントを外部に共有したい場合などにラベルを削除してからデータを渡すシナリオがよくあるかと存じます。
ラベルを削除する操作は外部共有に限りませんが、特定の条件下でラベルを削除した対象ファイルについては、Office アプリでファイルを開封する際に、破損を検出する動作となる点についてご理解をいただけましたら幸いです。
今回のお知らせは以上になります。
※本ブログ記事化にあたり、弊社サポートによる調査にご協力いただきましたお客様に深く感謝いたします。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。