Office365のセキュリティセンター内にある電子情報開示では、有事が発生した際にフォレンジック対応処理として、データの保全やそのデータの検索などを行うことができます。

しかしながら、この検索機能、かなり癖があるので利用時には要注意。
独特なワードブレイカーの動作に惑わされないようにしながら検索を行う必要があります。

例えば、以下のような添付ファイルの付いたメールを検索してみましょう。

電子情報開示を開きます。

ケースの作成などが最初にあるのですが、そんなに難しくないので割愛し、検索機能まで飛びましょう。

まずはコンテンツにヒットするようにすべてのケース コンテンツを対象としました。

そして、まずはテキストファイルの中身を全文字検索してみます。
結果は以下の通り。右ペインの0 アイテムとなっているように、ヒットしませんでした。

続いて、Bodyプロパティからいろはにほへとを検索。
明示的にBodyプロパティがあるとはどこにも書いていないのですが、メール本文またはメールの添付ファイルがヒットするようになるプロパティです。

これでも残念ながらヒットは0件。

もう内部テキストをヒットさせられる気がしないので、添付ファイル名で検索を行ってみました。

検索文字は新しいテキスト。 添付ファイル名は「新しいテキスト ドキュメント (2).txt」なので、部分一致すれば検索されます。が、残念なことにこれもヒットせず。

残念過ぎるので「新しいテキスト ドキュメント (2).txt」で検索してみるも、、、

ヒットしない涙

結果、この添付ファイルは引っ掛けることができませんでした。
どうも日本語文字のヒットはかなり難しいワードブレイカーが働いているようです。
もう少しパターンを増やして検討するのは必要だとは思いますが、ヒットしやすいもの、しにくいものを意識して、何をもって検索していくのかを検討するのが良いのかと思います。

余談ですが、時間で検索を行う場合の時間設定はUTCですので、注意してくださいね。

音楽：heaven's not enough