トレンドマイクロのWebレピュテーションテクノロジは、世界最大規模のドメインレピュテーションデータベースを利用して、Webサイトの経過期間、場所の変更の履歴、および不正プログラムの動作分析により発見される不審な活動の兆候といった要素に基づいてレピュテーションスコアを採点することで、Webドメインの信頼性を追跡します。不審な活動には、ユーザをだまして個人情報を盗み出すフィッシング攻撃などがあります。精度を高め誤検出を減らすために、トレンドマイクロのWebレピュテーションサービスでは、サイト全体を分類またはブロックする代わりに、レピュテーションスコアをサイト内の特定のページまたはリンクに割り当てます。これは、正規サイトの一部のみが不正侵入されることが多く、レピュテーションは時間の経過とともに動的に変化する可能性があるからです。
攻撃者は正規のWebサイトを装ったフィッシングサイトを利用して、ネットワークにアクセスするユーザの認証情報を盗み取ることがあります。こうしたWebサイトの検出を強化するため、Cloud App Securityは動的なURL検索を機能として提供し、トレンドマイクロのWebレピュテーションサービスで未評価として分類されるURLなどに適用します。そのURLをリアルタイムにクロールして、Webページに不正なパターンが含まれていないかどうかを判断し、事前設定された処理を実行して、ゼロデイフィッシング攻撃からユーザを保護します。
さらにCloud App Securityでは、AI (人工知能) ベースのコンピュータビジョンを活用して、認証情報を狙ったフィッシング攻撃からクラウドサービスユーザを保護します。この高度なテクノロジにより、有効なクラウドサービスログオンページの主要な要素を認識し、信頼できないサイトへの認証情報の送信を防ぎ、アカウントの侵害防止に役立てます。
本リリースのCloud App Securityでは、認証情報を狙ったフィッシングサイトであることが検出されたファイルやメール内のURLに対し、管理者がこのURLの [処理] に設定した処理が実行されます。
Webレピュテーションのリスクレベル
次の表は、Webレピュテーションの各リスクレベルについて説明しています。この表で、URLが危険、極めて不審、または不審と分類された理由を確認してください。
リスクレベル
|
説明
|
危険
|
URLが、不正、または脅威の既知の発信源であると確認されました。
|
極めて不審
|
URLが、不正、または脅威の発信源となる可能性があります。
|
不審
|
URLは、スパムメールに関連付けられているか、感染している可能性があります。
|
未評価
|
URLが、まだトレンドマイクロで評価されていません。未評価のURLです。トレンドマイクロは積極的にWebページの安全性をテストしていますが、ユーザが新しいWebサイトやあまり一般的でないWebサイトにアクセスすると、まだテストされていないページに遭遇することがあります。まだテストされていないページへのアクセスをブロックすると安全性は向上しますが、安全なページへのアクセスが妨げられることがあります。
|
安全
|
URLには悪意のあるソフトウェアは含まれておらず、フィッシングの兆候も示していません。
|
Webレピュテーションを設定する
手順
- [Webレピュテーション] を選択します。
- Webレピュテーションを有効にします。
- [ルール] を設定します。設定説明適用(Exchange OnlineおよびGmailのみ) Web検索を適用するメールメッセージの範囲を選択します。
-
[すべてのメッセージ]: このポリシーが受信メールメッセージ、送信メールメッセージ、および内部メールメッセージに適用されることを意味します。受信/送信メールメッセージは、内部以外のドメインとの間で送信されます。
-
[受信メッセージ]: このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。
注意
内部ドメインの詳細については、内部ドメインリストを設定するを参照してください。Exchange Online (インラインモード) では、受信保護については [受信メッセージ] に、送信保護については [送信メッセージ] にそれぞれ範囲が固定されています。受信メッセージは組織外から組織内のアドレスに送信されるメッセージで、送信メッセージは組織内から外部のアドレスに送信されるメッセージです。セキュリティレベル[セキュリティレベル] を選択し、Webレピュテーションを適用するセキュリティレベルを選択します。Webレピュテーションのスコアがしきい値を下回るURLは、安全ではない可能性があるとみなされます。Cloud App Securityには3つのセキュリティレベルがあり、特定のリスクレベルのURLに対して、設定された処理を適用するかどうかを決定します。リスクレベルの詳細については、Webレピュテーションのリスクレベルを参照してください。-
[高]: 次のページをブロックします。
-
危険
-
極めて不審
-
不審
-
未評価
-
-
[中]: 次のページをブロックします。
-
危険
-
極めて不審
-
-
[低]: 次のページをブロックします。
-
危険
-
メッセージ添付ファイル(Exchange OnlineおよびGmailのみ) メッセージ添付ファイルやQRコードに含まれる不審URLを検索するかどうかを選択します。注意
QRコードスキャンの詳細については、を参照してください。Quishing 検出 。このオプションを有効にすると、メール本文の Cloud App Security コード画像もスキャンされます。動的なURL検索Webレピュテーションサービスによって [未評価] に分類されたURLなどをリアルタイムでさらに分析し、フィッシングWebサイトを検出するかどうか選択します。動的なURL検索の詳細については、Webレピュテーションサービスを参照してください。コンピュータビジョン(Exchange OnlineおよびGmailのみ) コンピュータビジョン技術を使用してフィッシングWebサイトを検出するかどうかを選択します。コンピュータビジョンは、画像分析を使用してフィッシングを検出するAIベースの高度な検出テクノロジーです。Retro Scanと自動修復(Exchange OnlineおよびGmailのみ) このオプションは初期設定で無効になっています。注意
この機能は、Exchange Online (インラインモード) では使用できません。-
ユーザのメールのメタデータに含まれる履歴URLを、Webレピュテーションサービスによってアップデートされた最新のパターンファイルを使用して再検索するかどうかを選択します。ユーザのメールのメタデータには、最近になって発見された未検出の不審または危険なURLが含まれている可能性があります。このようなメタデータを検査することは、お使いのメールサービスが攻撃の影響を受けていないかどうか確認するフォレンジック調査の重要な部分になります。Cloud App Securityは、組織内のユーザのメールのメタデータを収集し、Webレピュテーションの新しいパターンファイルを使用して履歴URLを過去にさかのぼって検索します。最新の検索結果に基づき、Cloud App Securityは影響を受けたメールメッセージに対して自動的に修復処理を実行します。
注意
[承認済み/ブロックするURLリスト] 内のURLと、[承認済み送信者リスト] または [承認済みヘッダフィールドリスト] に分類されるメールメッセージ内のURLは、検索から除外されます。 -
表示された画面で [OK] をクリックし、Cloud App Securityでユーザのメールのメタデータを収集できるようにします。APIの種類に [脅威調査] を選択した認証トークンがすでにある場合、この画面は表示されません。
このオプションを有効にすると、Cloud App Securityは定期的に履歴URLを調査するようになります。Retro Scanの結果に基づき、-
URLのリスクレベルが変わって現在のポリシーに一致した場合、Cloud App Securityは、影響を受けたメールメッセージに対して管理者の設定した処理を実行します。
-
URLのリスクレベルが変わって現在のポリシーに一致しなくなった場合、Cloud App Securityは、影響を受けたメールメッセージの [処理] が [隔離] に設定されていれば復元しますが、[隔離] 以外の値に設定されていた処理をCloud App Securityが元に戻すことはありません。
Time-of-Clickプロテクション -
[Time-of-Clickプロテクションを有効にする] を選択します。
注意
-
Time-of-Clickプロテクションは、受信メールメッセージ内のURLにリアルタイム検索を適用します。これらのURLに対する処理を設定するには、の順に移動します。
-
この機能は、Exchange Online (インラインモード) の送信保護では使用できません。
-
-
Time-of-Clickプロテクションを適用するURLの範囲を選択します。
-
- [承認済み/ブロックリスト] をクリックします。
- (Exchange OnlineおよびGmailのみ) [承認済み送信者リスト] を設定します。
- [承認済み送信者リストを有効にする] を選択します。
- Webレピュテーションの検索から除外する送信メールアドレスまたはドメインを指定し、[追加 >]をクリックします。
注意
ワイルドカード文字 (*) を使用して、メールアドレスまたはドメイン名に含まれる任意の文字を表すことができます。例: *@example.com、name@*.com、*@*.example.com次の形式は無効です。*@*、* - オプションで [インポート] をクリックして、送信者のメールアドレスを一括インポートします。
- Webレピュテーションの承認/ブロックURLリストを設定します。
- 承認済みURLリストを有効にします。
- (Exchange Onlineのみ) [内部ドメインを承認済みURLリストに追加する] を選択して、内部ドメインを検索から除外します。
- Webレピュテーションスキャンから除外するURLを指定し、[追加]をクリックします。
注意
正規表現はサポートされません。クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。Gmailでは、クエリパラメータのないURLのみがサポートされます。 - オプションで [インポート] をクリックして、URLを一括インポートします。
- ブロックするURLリストを有効にします。
- スキャンせずにブロックするURLを指定し、[追加]をクリックします。
注意
承認済みURLリストは、ブロックするURLリストより優先されます。URLが両方のリストに追加されている場合は、承認済みURLとして扱われます。正規表現はサポートされません。クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。Gmailでは、クエリパラメータのないURLのみがサポートされます。 - 必要に応じて[エクスポート]をクリックしてURLを一括でエクスポートします。
- [処理] に移動して、ブロックするURLリストに対する処理を設定します。
-
Gmailでは [メールにラベル付け]、[削除]、および [隔離] を選択できます。
-
Salesforceでは、[放置]、[隔離]、および [削除] を選択できます。
-
他のアプリケーションおよびサービスでは [隔離] と [削除] を選択できます。
-
- (Exchange Onlineのみ) [承認済みヘッダフィールドリスト] を設定します。
- 承認済みヘッダフィールドリストを有効にします。
- ヘッダフィールドの名前を [フィールドの名前] に、そのフィールドの値を [値] に指定し、必要に応じて [次の値を含む] または [次に等しい] を選択します。
- [追加] をクリックします。指定したエントリが下の領域に表示されます。[次の値を含む] または [次に等しい] が選択されているかどうかに応じて、メールメッセージの指定したヘッダフィールドに指定した値が含まれるか、ヘッダフィールドと指定した値が完全に一致する場合、そのメッセージはWebレピュテーションで不正URLや不審URLについて検索されなくなりますが、ポリシー内の他のセキュリティフィルタの検索対象にはなります。
注意
[フィールドの名前] と [値] では大文字と小文字が区別され、ワイルドカード文字と正規表現はサポートされません。ヘッダフィールドの名前と値は128文字以下で指定する必要があります。 - (オプション) 必要に応じて手順bとcを繰り返し、別のヘッダフィールドを追加します。指定した任意のエントリとヘッダフィールドが一致するメールメッセージは、Webレピュテーションによって検索されません。
注意
最大10個のヘッダフィールドを指定できます。 - 指定したヘッダフィールドを削除するには、リストから選択して [削除] をクリックします。
ここで設定される承認済みヘッダフィールドリストは、現在のポリシーにのみ適用されます。Exchange Onlineのすべての有効なポリシーに適用される承認済みヘッダフィールドリストを作成することもできます。詳細については、Exchange Onlineの承認済みヘッダフィールドリストを設定するを参照してください。 - (Exchange Online のみ) Time-of-Click Protection の承認済み URL リストを構成します。
- 指定されたURLの承認済みURLリストを有効にして、Time-of-Click Protectionをバイパスします。これは、受信メールメッセージ内の疑わしいURLを書き換えて、URLをWebレピュテーションサービスにリダイレクトします。
- URLを指定してTime-of-Click Protectionスキャンから除外し、[追加]をクリックします。
注意
正規表現はサポートされません。クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。 - オプションで [インポート] をクリックして、URLを一括インポートします。
- 必要に応じて[エクスポート]をクリックしてURLを一括でエクスポートします。
- [処理と通知] をクリックします。
- [処理] を設定します。Cloud App Securityは、検索条件に一致するメールメッセージまたはファイルに指定された処理を実行することでサービスを保護します。処理の詳細については、サービスごとに実行可能な処理を参照してください。
-
(オプション) 新しいURLや短縮されたURLなど、トレンドマイクロによってまだ評価されていないURLに処理を適用するには、[トレンドマイクロのWebレピュテーションサービスで、未評価のURLに対して処理を実行する] チェックボックスをオンにします。
注意
URL分析が仮想アナライザで有効な場合、このオプションは適用されません。これらのURLは仮想アナライザに送信され、脅威についてさらに分析されます。 -
(オプション) [ファイルに適用する処理の設定] チェックボックスをオンにして、ファイルに対して個別に処理を設定し、指定した処理が実行されたときに通知を送信するかどうかを選択します。
注意
このオプションをオンにすると、Cloud App Securityはファイルに対して、上記の手順7の表で説明したポリシーレベルの処理の代わりに、ここで指定された処理を実行します。 -
(Salesforceのみ) ファイルの隔離処理が失敗したときにバックアップ処理を実行する場合は、[ファイルの隔離に失敗した場合に2次処理を適用する] を選択して2次処理を指定します。
注意
このオプションは [隔離] 処理が選択されている場合のみ設定できます。- [隔離] 処理が選択された状態で、[ファイルに適用する処理の設定] を有効にした場合、その [隔離] 処理が失敗したときに2次処理が適用されます。
- [ファイルに適用する処理の設定] が有効になっていない場合、ファイルに対するポリシーレベルの [隔離] アクション (上記の手順7の表で説明) が失敗すると、2次処理が適用されます。
-
[ファイル名にタグを挿入] 処理を選択した場合は、ファイル名に付加するタグを指定します。
注意
タグの長さの上限は20文字で、サポート対象外の文字 (/ \ : * ? < > " |) を含めることはできません。このタグは、[処理] セクションで指定された [ファイル名にタグを挿入] 処理に適用されます。 -
隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。このテキストは [処理] セクションの [隔離] および [削除] 処理に適用されます。
-
- [通知] を設定します。
オプション 説明 管理者に通知する-
受信者グループを選択するか受信者を個別に指定して、通知する管理者を指定します。[受信者グループを管理する] をクリックして、グループのメンバーを編集したり、グループをさらに追加したりできます。
-
セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。
-
通知のしきい値を設定し、送信する通知メッセージの数を制限します。しきい値の設定には次のものがあります。
-
一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。
-
一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。
-
個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。
-
ユーザに通知するExchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。Salesforce: セキュリティリスクが検出され、更新に対して処理が実行されたことをSalesforceオブジェクトレコードを更新したユーザに通知するメッセージの詳細を指定します。Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。注意
通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークンリストを参照してください。 -
- [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。