次の方法で共有

電子情報開示で検索結果を評価および絞り込む

  • [アーティクル]

検索結果の評価と絞り込みは、電子情報開示調査作業における最も重要な手順の 1 つです。 構成した検索クエリと返される結果は、調査に適用できる項目と情報を検出したか、または検索を変更して追加の関連項目を検出する必要があるかどうかを判断するのに役立ちます。 この項目の初期検索と情報の初期レビューは、検索パラメーターを終了した後に必要なアクションを決定するのに役立ちます。

ヒント

Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。

検索結果を評価する

検索を作成して実行した後、次の手順では、検索統計を表示して、関連するコンテンツが見つかり、ヒット数が最も多いコンテンツの場所を確認します。 検索結果のサンプルを確認して、コンテンツが調査の範囲内にあるかどうかを判断するのに役立つこともできます。

統計ダッシュボード

検索の最初の結果の種類として [ 統計 ] を選択した場合、検索結果が完了すると、このダッシュボードに自動的にリダイレクトされます。 以前のバージョンの電子情報開示に既に精通している場合は、[ 統計 ] タブの情報はコレクションの見積もりに似ています。 統計ダッシュボードの検索結果は、次のセクションに含まれています。

  • 概要: このセクションでは、検索ヒット数、場所、データ ソース、および部分的にインデックス付けされた項目の合計ファイル サイズを示します。
    • 検索ヒット数: 検索された場所のクエリ条件に一致するすべてのアイテムの検索ヒット数とボリュームの合計を表示します。
    • 場所: 検索されたすべての場所からヒットした場所の割合を表示します。 分子はヒットした場所を示し、分母は検索された場所の数を示します。 エラーが発生した場所は赤で表示されます。 すべての場所と関連するヒットとエラーの詳細を表示するには、[ レポートのダウンロード ] を選択して、完全な .csv レポートをダウンロードします。
    • データ ソース: 検索されたすべてのデータ ソースからヒットしたデータ ソースの割合を表示します。 分子はヒットしたデータ ソースを示し、分母は検索に含まれるデータ ソースの数を示します。 このデータ ソースは、検索デザイン フローのデータ ソースと一致しており、検索に含まれるユーザーまたはグループの数と一致する必要があります。 すべてのユーザーとすべてのグループのテナント全体のデータ ソースは、1 つのデータ ソースとしてカウントされます。
    • 部分的にインデックス付けされた項目 または "高度なインデックス付きアイテムヒット": 検索の一部として返される部分的およびインデックスのない項目の数とボリュームを表示します。 このカードは、検索構成の一部として部分的またはインデックスのない項目を含める場合に、部分的にインデックスが付いた項目の情報を表示します。 部分的およびインデックスのない項目を含め、高度なインデックス作成オプションを有効にした場合、このカードには、高度なインデックス付きアイテムから取得した追加のヒットが表示されます。 高度なインデックス付きヒット数は、部分的にインデックス付けされた項目の統計サンプルからのものであり、実際のヒットが多い可能性があり、レビュー セットへの追加と検索結果のエクスポートアクションを使用して確認する必要があります。
  • 検索ヒットの傾向: このセクションでは、次の検索結果カードを示します。 グラフは対話型で、セクション名、パーセンテージ、項目番号を表示するためにマウス ポインターを合わせます。 各傾向に含まれる項目の詳細を確認し、結果を .csv ファイルにダウンロードするには、[ 上位 100 件を表示] を選択します。
    • 上位のデータ ソース: クエリに一致する検索ヒット数が最も多い上位 5 つのデータ ソースを表示します。 これらのデータ ソースの名前 (ユーザー、グループ、またはorganization全体の場所の名前) は、ヒット数と共に一覧表示されます。 これらのデータ ソースは、検索クエリの作成時にデータ ソース ワークフローで選択したデータ ソースと一致する必要があります。
    • 上位の機密情報の種類 (SID): クエリに一致する検索ヒットに最も多く含まれる SharePoint ファイルの上位 5 種類の機密情報の種類 (SID) を表示します。 1 つの項目/ドキュメントに複数の SIT 型が含まれている可能性があるため、各 SIT のカウントを追加しても、ヒット数の合計と必ずしも一致しません。 たとえば、ドキュメントには、パスワードと社会保障番号 (SSN) の両方が含まれています。 この例では、2 回カウントされます。 これらの SIT カウントの場所をより深く理解し、重複しているかどうかを確認するには、[ 上位 100 件を表示] を選択することをお勧めします。
    • 上位のキーワード: クエリ キーワード。その結果、クエリに一致する検索ヒットが最も多く発生しました。
    • 上位のアイテムの種類: クエリに一致する検索ヒット内の最も頻繁なアイテムの種類。 この数は、Exchange コンテンツの 場合は itemClass 、SharePoint コンテンツの 場合は ContentType によって決まります。
    • インデックス作成の状態: インデックスが作成されていない (部分的にインデックス付きを含む) データ項目と完全にインデックス付けされたデータ項目の内訳。
    • 上位のコミュニケーション参加者: Exchange の場所でのメール、Microsoft Teams チャット、予定表の招待の送信者または受信者。
    • 上位の場所の種類: 場所の種類 (メールボックスとサイト) によるヒット数。

[ ビューの再生成] を選択してクエリを再実行し、最新の結果を確認します。 [ レポートのダウンロード ] を選択して、すべての 統計 結果を 1 つの .csv ファイルに結合します。 いずれかの傾向領域の上位 100 件の結果を表示する場合は、選択したヒット傾向の上位 100 件の結果の .csv ファイルの [レポートのダウンロード ] を選択します。

統計と検索結果について

電子情報開示で検索を実行するタイミングに応じて、検索の統計情報に異なる結果が含まれる場合があります。 たとえば、まったく同じ条件で、異なる時刻に 2 つの検索を実行すると、統計情報の結果が異なる可能性があります。 これらの違いは、次の理由で発生する可能性があります。

  • organizationがアクティブです: 運用環境にはアクティブなユーザーがいるため、organization内のデータは常に移動、追加、削除、廃止されます。 同じ場所に対して同じ検索条件を実行すると、検索の実行時間の間にそれらの場所のデータが変更されているため、検索結果が異なる可能性があります。
  • 一時的なエラー: 検索を実行 (またはレビュー セットにエクスポートまたは追加) すると、特に大規模なデータ セットに対して一時的な処理エラーが発生する可能性があります。 これらのエラーは多くの場合、タイムアウトの処理が原因であり、検索をより小さな日付範囲に分割し、データを並列にエクスポートすることで軽減できます。 常に、検索をより具体的な検索条件で小さなサイズに分割し、選択した場所を対象にして検索を分割してください。 これにより、エラーが発生する可能性が低く、プロセスをより効率的に実行できます。
  • 場所へのアクセス: 検索に含まれる場所が無効、アクセスできない、処理中にタイムアウトするシナリオがあります。 同じ条件で 2 つの検索の結果を比較する場合は、検索された場所が一致していることを確認します。 たとえば、1,000 の場所に対する検索では、最初の実行で失敗した場所が 1 つあり、2 回目の実行で失敗した場所がない可能性があります。 つまり、最初の実行では 999 の場所のみが正常に検索され、2 回目の実行では 1,000 の場所が検索されました。 1 つの場所の違いは、2 つの実行間で検索結果が異なる理由です。 検索、エクスポート、追加の locations.csvレポート を使用して、設定プロセスを確認して、成功した場所と失敗した場所に関する包括的なレポートを表示します。 失敗した場所の検索を再実行します。
  • 検索を実行しているユーザー: 検索プロセスを開始するユーザーによっては、コンプライアンス境界またはコンプライアンス検索フィルターが適用されている場合と適用されていない可能性があります。 このフィルターは、メールボックスのプロパティに基づいて場所をフィルター処理するか、コンテンツ パス (SharePoint サイト) に基づいてコンテンツをフィルター処理します。 コンプライアンス境界または検索アクセス許可フィルターが適用されている場合、ユーザーの 結果が制限される可能性があります。 たとえば、1 人のユーザーにはコンプライアンス境界が適用されていませんが、2 番目のユーザーにはコンプライアンス境界が適用され、このユーザーは特定のリージョンのユーザー メールボックスと OneDrive サイトに制限されます。 最初のユーザーによる検索では、すべてのメールボックスが返され、OneDrive はすべてのリージョンの検索条件と一致し、2 番目のユーザーの検索では、許可されたリージョンのメールボックスと OneDrive サイトの一致のみが返されます。

サンプル ダッシュボード

検索の最初の結果の種類として [ サンプル ] を選択した場合、検索結果が完了すると、このダッシュボードに自動的にリダイレクトされます。 サンプル ダッシュボード列の検索結果には、各項目に関する次の情報が含まれています。

  • 件名/タイトル: サンプルに含まれる項目の件名またはタイトル。
  • 日付: アイテムが作成または送信された日付。
  • 送信者/作成者: アイテムの送信者または作成者。

サンプルを使用すると、個々のアイテムの代表的なサブセットと、検索に返される各項目の詳細を検査できます。 場所ごとのサンプル数と、検索で定義されているサンプルの場所の数によって、サンプル項目の数とサンプル項目の場所の表現が決まります。

サンプル項目を選択すると、その項目の ソース 情報が表示されます。 アイテムで使用できる場合、このビューには選択したアイテムの豊富なビューが表示されるため、定義された検索データ ソースと条件に関連するアイテムの関連性を評価できます。

[ ビューの再生成] を選択してクエリを再実行し、最新の結果を確認します。 [ レポートのダウンロード ] を選択して、すべての サンプル 結果を 1 つの .csv ファイルに結合します。 [ ビュー設定] を選択して、サンプル ビュー生成に適用された設定を表示します。

検索結果を絞り込む

検索によって返される見積もりと統計に基づいて、検索されるデータ ソースと検索クエリを変更して検索を拡張または絞り込むことで、検索を編集および絞り込むことができます。 検索結果にケースに最も関連するコンテンツが確実に含まれるまで、検索を更新して再実行できます。

検索結果に満足したら、次のアクションを実行できます。