Microsoft Office 365 アドバンスト・スレット・プロテクション:完全ガイド
今日、セキュリティ侵害やそれに伴うデータ損失につながる脅威は数え切れないほど存在します。2021年には、スパムメールやフィッシングメールが ランサムウェア感染につながる最も一般的な感染経路 感染。悪意のある攻撃を手動で検知し、阻止しようとするのは不可能な作業です。しかし、Office 365 のアプリケーションおよびサービスについては、マイクロソフトがセキュリティ対策を自動化・簡素化するための一連の検知および対応ツールを提供しています。
Office 365 Advanced Threat Protection (ATP()は、2020年9月以降、 Microsoft Defender for Office 365は、オンライン上の脅威を防ぐためのツール群です。さまざまなポリシーやルールにより、送受信される通信のフィルタリングや共有コンテンツの検証を行い、オンプレミス環境やクラウド環境を保護することができます。
高度な脅威対策とは?
Office 365 アドバンスト・スレット・プロテクション (ATP)は、サイバー脅威の防止と検知を目的としたクラウド型フィルタリングサービスです。 ATP Office 365 サービスを通じて拡散されるウイルスやその他のマルウェア(ゼロデイ攻撃を含む)から、組織を保護することができます。 ATP 最新のウイルスシグネチャデータベースを搭載したほとんどのアンチウイルスソフトでも検出できない、まだ研究されていない未知の複雑な脅威や最新のウイルスを検出することができます。
Office 365 アドバンスト・スレット・プロテクションの仕組み
Office 365 Advanced Threat Protection は、システム管理者が設定すべきポリシーに基づいています。 ATP 組織、ドメイン、ユーザー、および受信者の各レベルで、データ、不審な動作、その他のパラメータをフィルタリングします。
Office 365 Advanced Threat Protection は、以下のサービスと連携して動作します。 Exchange Online Protection (EOP) および Office 365 脅威インテリジェンス。使用して ATP クラウド上のサービスを利用することで、オンプレミスサーバーを含むメールサーバーや、メールサーバー上のセキュリティシステムへの負荷を軽減できます。EOPなどの他のツールを使用している場合でも、Office 365 Advanced Threat Protectionを無効にすることは推奨されません。
"Advanced Threat Protection"は、電子メールの添付ファイルやリンク、およびユーザーが OneDrive for Business、SharePoint Online、Teams にアップロードしたファイルを保護します。さらに、 ATP フィッシングサイトへのリンク、マルウェアコードがアップロードされたサイト、およびダウンロード/アップロードされたファイル内の悪意のあるコードを検出できます。URL追跡機能を活用することで、潜在的な脅威の発生源をブロックし、その性質や発生源を把握することができます。
高度な脅威対策機能
Office 365 Advanced Threat Protection には、Office 365 サービスを利用する際にデータを保護するための便利な機能が多数搭載されています。これらの機能について詳しく見ていきましょう。
方針
ポリシーは、保護レベルと事前定義された脅威への対応を決定するものであり、これらはいずれも異なるレベルに設定可能です。ポリシーは柔軟なオプションを提供しており、Microsoft 365 を管理するシステム管理者が設定を行うことができます。システム管理者として、ポリシーの適用対象やポリシーの厳格度を設定することができます。
安全なアタッチメント
安全な添付ファイル機能により、電子メールに添付されたファイルが悪意のあるものではないことが保証されます。 ゼロデイ攻撃からの保護機能により、メールシステムを安全に守ります。メッセージがユーザーのメールボックスに届く前に、メッセージは特別な環境に転送されます。そこで、ウイルスシグネチャ、機械学習、高度な分析技術を用いて添付ファイルがチェックされ、ウイルスが検出されます。メールの添付ファイルからウイルスが検出されなかった場合、そのメールメッセージはメールボックスに転送されます。安全な添付ファイルを実現するこの機能は、"添付ファイルサンドボックス"と呼ばれています。
安全なリンク
"安全なリンク"は、"安全な添付ファイル"と同様の仕組みで動作します。この機能は、Microsoft 365 環境内でアップロードまたはダウンロードされるメールやその他のファイル内のリンクをチェックします。Microsoft 365 ATP リンクが安全でないことが検出されると、(ダウンロード可能なファイルの場合と同様に)警告メッセージが表示されます。
悪意のあるリンクと検出されたリンクをクリックしようとした場合、ユーザーを警告ページにリダイレクトするように設定できます。システムは悪意のあるリンクを動的にブロックします。"安全なリンク"機能は更新され、元のリンクをMicrosoftクラウド上のWebページへの変更済みリンクに置き換えることはなくなりました。
SharePoint Online用ATP
ATP SharePoint Online のこの機能は、組織内で SharePoint Online サイトや共有ファイルを使用して共同作業を行うユーザーを保護します。この機能は、ドキュメント ライブラリやチーム サイト内の不審なファイルを検出してブロックします。これには、以下に保存されたファイルも含まれます OneDrive. 悪意のあるコンテンツと判定されたものはブロックされます。ユーザーは、悪意のあるファイルとして分類されたブロックされたファイルを開いたり、コピー、移動、編集、共有したりすることはできません。悪意のあるファイルは削除することしかできません。ファイルのダウンロード可否は設定によって異なります。
フィッシング対策
フィッシング対策ポリシーを定義した後、複雑なアルゴリズムを用いた自己学習型システムモデルを活用し、フィッシング攻撃を自動的かつ迅速に検知します。メールボックスインテリジェンスは、ユーザーのメールやコミュニケーションの習慣を分析し、そのデータを集約することで、将来のフィッシング攻撃の検知を支援します。こうした強力な対策により、詐欺攻撃の成功は極めて困難となります。
検疫
不要なファイルや潜在的に危険なファイルは、隔離領域に移動することができます。システム管理者は、隔離されたデータを手動で復元または削除することができます。それ以外の場合、設定された保持期間が経過すると、このデータは削除されます。Microsoft 365 Exchange Online Protection をご利用になったことがある方なら、隔離の仕組みについてご存知かもしれません。
偽情報
ハッカーは、送信者名を偽装することで、1つまたは複数のアカウントを装ってメールを送信することが可能です。ユーザーがこのような"なりすまし"メールを受信した場合、送信者欄に上司の名前が記載されていれば、安全に見える可能性があります。送金や認証情報の送信、悪意のあるスクリプトの実行を求める内容を含むなりすましメールは安全ではなく、ユーザーおよび組織全体に対する脅威となります。
Office 365 Advanced Threat Protection には、送信者が実名を使用しているか、なりすまし名を使用しているかを検出できる"Spoof Intelligence"機能が含まれています。特定の企業ドメインを使用しているユーザーの完全なリストを確認し、組織のドメインや外部ドメインをなりすましているユーザーを特定できます。管理者として、組織の従業員を装ってドメイン名やユーザー名を使用している送信者をブロックすることができます。
レポート
Office 365 Advanced Threat Protection では、保護状況の確認や受信する脅威の分析に役立つ詳細なレポートが提供されます。 レポートは、悪意のあるメールやその他の悪意のあるコンテンツなど、検出された脅威に関する情報を統合した単一のビューです。Office 365 Advanced Threat Protection および Exchange Online Protection によって検出された脅威がレポートに表示されます。レポートには、過去 90 日間(設定可能な最大期間)の情報が表示されます。レポートを分析した後、ポリシーを調整することができます。
脅威の調査と対応
Office 365 ユーザーが多い大企業で働いている場合、処理すべきセキュリティアラートが大量に届き、対応に追われているかもしれません。大量のメールを属性に基づいて仕分ける作業は、非常に時間がかかります。 Office 365 の脅威調査と対応 これにより、システム管理者やセキュリティ担当者は業務をより効率的に遂行できるようになります。検知された脅威を確認し、さまざまな種類の脅威を軽減するための自動対応を設定できます。また、検知された脅威に対して適切な対応を盛り込んだプレイブックを作成できるほか、自動調査後にOffice 365 Advanced Threat Protectionから提案された脅威の是正措置や推奨事項を確認・承認することも可能です。
Microsoft 365 のライセンス
Microsoft 365 ユーザーにはデフォルトで提供される Exchange Online Protection とは異なり、Advanced Threat Protection は上位のサブスクリプション プランに含まれているか、別途購入する必要があります。たとえば、Microsoft 365 E3 には Advanced Threat Protection は含まれていません。
Microsoft Office 365 Advanced Threat Protection は、以下のサブスクリプション プランに含まれています:
- Microsoft 365 E5
- Microsoft 365 A5
- Microsoft 365 Business Premium
ただし、以下のサブスクリプションプランに追加して、Office 365 Advanced Threat Protection ライセンスを購入することができます:
- Exchange Online プラン 1
- Exchange Online プラン 2
- Exchange Online キオスク
- Exchange Online Protection
- Microsoft 365 Business Basic
- Microsoft 365 Business Standard
- Microsoft 365 Enterprise E1
- Microsoft 365 Enterprise E3
- Microsoft 365 Enterprise F3
- Microsoft 365 A1
- Microsoft 365 A3
ご利用のサブスクリプションプランに Office 365 Advanced Threat Protection が含まれていない場合は、スタンドアロン版を別途購入できます ATP ユーザー単位のライセンスモデルを採用したサブスクリプションプラン:
- 高度な脅威対策プラン 1
- 高度な脅威対策プラン 2
高度な脅威対策の設定
更新:Office 365 アドバンスト・スレット・プロテクション ~になった Microsoft Defender for Office 365 2020年9月。現在、以下に挙げる機能のいずれかを設定するには、 ディフェンダー・ポータル.
Office 365 Advanced Threat Protection の設定方法を見てみましょう:
- のWebインターフェースを開く Microsoft 365 管理センター 以下のリンクから https://admin.microsoft.com そして、次のページへ
Admin Centers > Securityウィンドウの左ペインで。
あるいは、Microsoft 365 セキュリティへの直接リンクを開くこともできます & コンプライアンス管理センター: https://protection.office.com
- 左側のペインで、[クリック]
Threat managerそして、クリックしてくださいDashboard.
セキュリティダッシュボード(脅威ダッシュボードとも呼ばれます)には、現在の脅威対策の状況と、設定ページへのリンクが表示されます。
マルウェア対策ポリシー
クリック Policy 左側のペイン(ナビゲーション ペイン)で、ポリシーの表示、編集、作成ができるページが表示されます。フィッシング対策、スパム対策、マルウェア対策のポリシーを設定できます。ここでは、新しいマルウェア対策ポリシーを作成する方法を見ていきましょう。
- クリック
Anti-malware.
- 開いたマルウェア対策ページで、[
+アイコンをクリックして、Office 365 Advanced Threat Protection用の新しいマルウェア対策ポリシーを作成します。
- 新しいポップアップウィンドウが開きます。
ポリシー名と説明を入力し、次のようなその他のポリシー設定を定義します:
- マルウェアの検知と対応
- 一般的な添付ファイルの種類フィルター
- マルウェアのゼロアワー自動削除
- 通知
最後に、このポリシーが誰に適用されるかを指定し、[実行]をクリックしてください Save.
ポリシーが作成され、"マルウェア"ページのポリシー一覧に表示されます。
フィッシング対策ポリシー
フィッシング対策ポリシーは、マルウェア対策ポリシーとは少し異なる方法で作成されます:
- 移動 脅威管理 > 方針 そしてクリック
Anti-phishing.
その Anti-phishing ページが開きます。このページを初めて開く場合、フィッシング対策ポリシーのリストは空になっています。
- をクリックして
+Createボタンをクリックして、Office 365 Advanced Threat Protection用の新しいフィッシング対策ポリシーを作成します。
- 新しいポリシーウィザードがポップアップウィンドウとして開きます。ウィザードのすべての手順を完了してください:
Name your policy新しいフィッシング対策ポリシーの名前を入力してください。説明文を入力することもできます。
Applied to.条件を追加し、受信者を選択して、このポリシーを適用する、または適用除外とする組織内の受信者やドメインを指定します。たとえば、ドメイン全体、グループのメンバー、またはグループとドメインの組み合わせに対してポリシーを適用することができます。その後、Next.
Review your settings.設定を確認し、必要に応じて編集してください。すべて問題なければ、Create this policy.
検疫
Office 365 Advanced Threat Protection の適切な設定が適用されている場合、潜在的に危険と分類された電子メールやファイルは隔離エリアに移動されます。次のページにアクセスしてください Treat management > Review > Quarantine 検疫を解除するには。以下の直接リンクもご利用いただけます: https://protection.office.com/quarantine
注: 隔離エリアには、管理者または隔離エリアの管理権限を持つ他のユーザーがアクセスできます。Office 365 セキュリティの"隔離"ロールのメンバー & コンプライアンス・センターには、隔離管理を行う権限があります。
"検疫"ページでは、必要な列の見出しをクリックして結果を並べ替えることができます。クリックしてください Modify Columns 表示する列を選択するには。
レポート
レポートは、Microsoft 365 環境の現在の状況や統計情報を確認するのに役立ちます。Office 365 セキュリティのナビゲーション ペインで & コンプライアンス管理センターをクリック Reports > Dashboard グラフや図表が表示されたダッシュボードを確認するには。
このページでは、以下の内容を含む概要をご覧いただけます:
- ダウンロード可能な最新レポート
- 人気レーベルトップ5
- 過去90日間のラベルの動向
- ラベルの貼り付け方法
- 記録として分類されたラベル
- Exchange トランスポート ルール
- 脅威対策の状態
- メールにマルウェアが検出されました
- 主なマルウェア
- 主な送信者と受信者
- なりすまし検知
- スパム検出
- 侵害されたユーザー
- 送信および受信したメール
- 監督
- 転送レポート
- コネクタレポート
- 暗号化レポート
グラフにカーソルを合わせると、詳細情報が表示されます。必要なグラフや図をクリックすると、全画面表示で開き、詳細を確認できます。クリックした後 Spoof detectionsすると、詳細ななりすましメールのレポートが表示されます。
デフォルトでは、チャートやグラフには7日間の期間が表示されますが、設定で最大90日間に延長することができます。Advanced Threat Protection を利用している Microsoft 365 のトライアルユーザーは、レポートで最大30日間のデータを表示できます。
結論
Office 365 Advanced Threat Protection は、OneDrive、SharePoint Online、Exchange Online などの他の Microsoft 365 サービスと統合されています。 ATP 有害なリンク、ウイルス、マルウェアなど、さまざまなセキュリティ上の脅威からメールを保護するのに役立ちます。
ただし、より高いレベルのデータ保護を実現するには、次のような専用のソリューションを使用して、Microsoft Office 365 のすべてのデータをバックアップする必要があります。 NAKIVO Backup & ReplicationNAKIVOのソリューションでは、Microsoft 365データの増分バックアップを作成でき、特定の時点への柔軟な復元が可能です。
