Office 365のフィッシング対策(その2)

【連載】

AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第20回】Office 365のフィッシング対策(その2)

[2019/12/09 08:00]垣内由梨香 ブックマーク ブックマーク

今回は、Office 365/Microsoft 365で利用されているフィッシング対策を解説すると共に、その活用方法をご紹介していきます。

マイクロソフトが提供する多層防御

マイクロソフトでは、各セキュリティ機能やサービスと密に連携して多層防御を提供し、脅威をいち早く検出/自動的に対処するシステム「Microsoftインテリジェントセキュリティグラフ」を構築しています。

Microsoftインテリジェントセキュリティグラフ

同システムでは、メールを経由する脅威に対しても多層的な保護を提供しています。

メールを経由する脅威に対して提供される多層的な保護機能

基本的なフィルタリング

SPF(Sender Policy Framework)/DKIM (DomainKeys Identified Mail)などを利用した、なりすましメールの検知、リスト化されたスパム送信者のチェック、送信元アドレス IP のチェックなどを行います。また、添付されたファイルに関して、シグニチャベースのマルウェアスキャンなども実施し、大規模に展開されている、あるいは既に検知済みの「メールを経由する攻撃」に対するフィルタリングを行います。

より高度なセキュリティフィルタリング

メール本文や添付ファイルに含まれるURLを確認し、メールフローの分析と機械学習によるなりすましの検知を行うことで、ビジネスメール詐欺(BEC)などの高度な攻撃に対する防御を行います。また、クラウドサービス上のサンドボックス環境にて添付されたファイルの動的スキャンを実行し、その実行結果に基づいてユーザーにメールを配信することができます。

クリック時の保護

メール本文やOffice 365で提供されている「Teams」のチャット内で記載されたURL、添付されているOfficeドキュメントに記載されたURLを、Office 365を経由するリンクに置き換えてユーザーに配信します。これにより、実際にユーザーがURLをクリックした際、リンク先に問題がないかどうかをOffice 365側でも確認し、リアルタイム保護を提供しています。

ZAP(Zero-hour Auto Purge)

ユーザーのメールボックスにメールが配信された後でも、新たに発見された脅威がある場合などは、該当するメールを削除するなどの対応を実施しています。

配信後のアラート、調査

管理者は組織のメールセキュリティ環境を総合的に監視し、脅威に関するアラートを受け取ったり、詳細な調査を行ったりすることができます。

なお、Office 365 ではいくつかの利用プランが用意されていますが、メールセキュリティ対策においては、Exchange Online Protection (EoP) で基本的なメールセキュリティの機能を提供し、Office 365 Advanced Threat Protection (OATP) でさらに高度な対策を加えて提供しています。

Office 365 Advanced Threat Protection(OATP)

効果的に運用するために必要なコト

このように、マイクロソフトではいくつものセキュリティ機能を提供していますが、それらを十分に使い切れていない運用も見受けられます。実際、マイクロソフトが調査したところ、ユーザーのメールボックスに到達してしまったフィッシングメールのうち約20%は、本来、ユーザーのメールボックスに到達する前に排除可能であることがわかりました。

これらはOffice 365テナントの構成を見直すことによって回避できるもので、例えば、例外的に許可している送信元ドメインの数が管理しきれていないほど膨大に膨れ上がっているケースや、新たに追加されたOffice 365の管理機能を活用できていないケースなどがあります。

メールを経由するセキュリティを効果的に運用するためには、定期的に構成をアセスメントし、効果を測定し、ポリシーを更新することが重要です。マイクロソフトでは、例えば、以下のような構成を見直し、正しく有効化することを推奨しています。

【フィッシング対策ポリシーを設定する】

  • 安全な添付ファイルを有効化する
  • 安全な添付ファイルを SharePoint や Teams でも有効化する
  • 安全な添付ファイルはすべてのユーザーに有効化する
  • リンクが確認されるまでメールを配信しないようにする
  • 内部のメールに対しても SafeLinks を有効化する
  • BEC 保護 (User & Domain Impersonation) を有効化する
  • メールボックスインテリジェンスを有効化する
  • 高度なフィッシング対策ポリシーを有効化とし”3”を設定する
  • すべてのポリシーに監査を有効化する
  • ZAP (ゼロ時間自動削除) を有効化する

【IP ドメイン制限を見直す】

  • 特定のIPからのみ接続を許可するフィルタを活用する
  • 共有 IP アドレスを許可リストから削除する
  • 認証されたドメインのみ許可リストに登録する
  • 自ドメインを「許可」リストから削除する

【メールボックスセキュリティを設定する】

  • 送信制限数を必要最低限とする
  • 外部ドメインへの転送を禁止する
  • 危殆化したプロトコルの利用を停止する (SMTP, IMAP, POP3)
  • 多 要素認証を有効化する
  • 監査を有効化する
  • 迷惑メール対策を有効化する
  • メッセージのレポートアドインを有効化する

なお、上記のような点をまとめたベストプラクティスガイドと、自テナントの構成をベストプラクティスと比較分析することができる機能「Config Analyzer」が、間もなく利用可能になる予定です。これにより、さらに、自テナントの構成のアセスメントがより効率的に行えるようになります。

Config Analyzer

さて次回は、「マイクロソフトの社内ITシステムでは、どのようにフィッシングメールへの対策を行っているのか?」――その運用の一部をご紹介したいと思います。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

DeNA、楽天、LINEに学ぶ! セキュリティ規定&プライバシー保護規則への対応

DeNA、楽天、LINEに学ぶ! セキュリティ規定&プライバシー保護規則への対応

ディー・エヌ・エー(DeNA)は10月16日、セキュリティ担当者に向けたイベント「Security×Discussion」を開催した。第1回目となる今回は、DeNA、楽天、LINEの3社がセキュリティに関する取り組みについて紹介した。本稿では、DeNA 茂岩祐樹氏、楽天 福本佳成氏、LINE 新美融氏によるパネルディスカッションの様子をお届けしたい。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る