ファイルブロック

多くの不正プログラムは、.doc、.exe、.dllなどの特定のファイルタイプ拡張子に密接に関連付けられています。ファイル拡張子はそのファイルタイプを識別します。同様に、多くの場合、特定の攻撃は特定のファイル名に関連付けられています。Cloud App Securityでは、ファイルタイプ、ファイル名、ファイル拡張子、または不審URLを含むファイルコンテンツに基づいてファイルをブロックできます。

  • メールサービスでは、ファイルブロックによって、不審な添付ファイルを含むメールメッセージが受信者に配信されなくなります。ポリシーの処理には、無害なテキストファイルによるファイルの置換、指定したポリシーに違反する添付ファイルを含むすべてのメールメッセージの隔離または削除、受信者のメールボックスでの危険性の高い違反メールメッセージのラベル付け (Gmailのみ) があります。

  • その他のクラウドアプリケーションでは、ファイルブロックによって、これらのアプリケーションへの不審ファイルの侵入が阻止されます。ポリシーの処理には、指定したポリシーに違反するファイルの隔離または削除があります。

注:

すべての高リスクのファイルタイプと既知の不正プログラムファイル名は一時的に隔離しておくことをお勧めします。こうすることで、時間のあるときに隔離フォルダを調査して、検出したファイルに処理を実行できるようになります。

親トピック: 高度な脅威対策ポリシーの追加

ファイルブロックを設定する

  1. [ファイルブロックを有効にする] を選択します。
  2. [ルール] を設定します。
    オプション 説明

    適用

    (Exchange OnlineおよびGmailのみ) 不正プログラム検索を適用するメールメッセージの範囲を選択します。

    • [すべてのメッセージ]: このポリシーが受信、送信、および内部メールメッセージに適用されることを意味します。受信/送信メールメッセージは、内部以外のドメインとの間で送信されます。

    • [受信メッセージ]: このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。

    注:

    内部ドメインの詳細については、内部ドメインを設定するを参照してください。

    Exchange Online (インラインモード) では、受信保護については [受信メッセージ] に、送信保護については [送信メッセージ] にそれぞれ範囲が固定されています。受信メッセージは組織外から組織内のアドレスに送信されるメッセージで、送信メッセージは組織から外部のアドレスに送信されるメッセージです。

    ファイルブロックの種類

    すべてのファイルをブロックするか、特定のファイルをブロックするかを選択します。

    ブロックリスト

    [ファイルブロックの種類] が [すべてのファイルをブロック] に設定されている場合:

    • [ブロックしないファイルタイプ] を選択して、Cloud App Securityでブロックしない実際のファイルタイプを選択または指定します。

    • [ブロックしないファイル拡張子] を選択して、Cloud App Securityでブロックしないファイル拡張子を選択または指定します。

    • [ブロックしないファイル名]を選択して、Cloud App Securityでブロックしないファイル名を入力します。

    [ファイルブロックの種類] が [特定のファイルをブロック] に設定されている場合:

    • [ブロックするファイルタイプ] を選択して、Cloud App Securityでブロックする実際のファイルタイプを選択または指定します。

    • [ブロックするファイル拡張子] を選択して、Cloud App Securityでブロックするファイル拡張子を選択または指定します。

      (オプション) [エクスポート] をクリックして、指定したファイル拡張子を.txtファイルとしてエクスポートします。

      (オプション) [インポート] をクリックして、ファイル拡張子を一括インポートします。拡張子の長さの上限は255文字で、ピリオド (.) で開始または終了したり、サポート対象外の文字 (/ \ : * ? < > " |) を含めたりすることはできません。すでに追加されているユーザを含め、ユーザの合計数は1,000以下である必要があります。

    • [ブロックするファイル名] を選択して、Cloud App Securityでブロックするファイル名を入力します。

    圧縮ファイル

    除外したファイル拡張子とファイル名を圧縮ファイル内で検索するには、このチェックボックスをオンにします。
  3. (Exchange OnlineおよびGmailのみ) [承認済み送信者リスト] を設定します。
    1. [承認済み送信者リストを有効にする] を選択します。
    2. 検索から除外する送信者のメールアドレスを指定し、[追加] をクリックします。
      注:

      個々のメールアドレスではワイルドカード文字と正規表現はサポートされません。

      最大1,024件のメールアドレスを承認済み送信者リストに追加できます。

    3. オプションで [インポート] をクリックして、.txtファイルから送信者のメールアドレスを一括でインポートすることもできます。

      .txtファイルではメールアドレスが1行に1つずつ入力されていることを確認してください。

  4. [処理] を設定します。

    Cloud App Securityは、検索条件に一致するファイルを検出し、指定された処理を実行することでクラウドアプリケーションおよびサービスを保護します。この処理は、各アプリケーションまたはサービス、およびその検索に設定された処理によって異なります。

    • Exchange Online、Exchange Online (インラインモード) - 受信保護、Exchange Online (インラインモード) - 送信保護ポリシー
    オプション 説明

    テキスト/ファイルで置換

    ファイル、感染したコンテンツ、不正なコンテンツ、または望ましくないコンテンツを削除し、テキストまたはファイルで置換します。対象の受信者にはメールメッセージが配信されますが、テキストの置換によって、元のコンテンツが感染のために置換されたことが受信者に通知されます。

    注:

    Exchange Onlineの場合、Cloud App SecurityではMIPで暗号化されたメールメッセージに対して、この処理がサポートされていません。代わりに [放置] 処理が適用されます。

    隔離

    Cloud App Securityは、メールメッセージを専用の隔離場所に移動し、保護対象サービスへのセキュリティリスクを除きます。

    注:

    Exchange Onlineの場合、隔離場所はユーザのメールボックス内のフォルダです。Exchange Online (インラインモード) の場合、隔離場所はCloud App Securityのストレージ内となります。

    削除

    メールメッセージ全体を削除します。

    放置

    検出をログに記録して、メッセージは変更しません。

    詳細設定オプション

    ポリシールールに違反する添付ファイルを受け取った場合にCloud App Securityで使用する [置換ファイル名][置換テキスト] を指定します。Cloud App Securityはファイル/テキストを設定された情報で置換します。
    • SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブのポリシー
    オプション 説明

    隔離

    ファイルを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    削除

    ファイルを削除し、元のファイル名と.txtを使用したプレースホルダで置換します。

    放置

    検出をログに記録して、ファイルは変更しません。

    詳細設定オプション

    隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。
    • Teamsチャットのポリシー
    オプション 説明

    放置

    検出をログに記録して、メッセージは変更しません。

    ブロック

    Cloud App SecurityはMicrosoft Teamsを呼び出して、メッセージを送信者と受信者の両方に対して非表示にします。

    注:

    チャットメッセージ内のファイルがポリシーに違反している場合、そのファイルはプライベートチャットウィンドウ ([チャット] タブ) で非表示になりますが、送信者のOneDriveフォルダには格納されたままであり、[ファイル] タブには表示されます。
    • Gmailのポリシー
    オプション 説明

    メールにラベル付け

    メールボックス内のメールメッセージの先頭に [Risky (by Trend Micro)] というラベルを表示します。

    隔離

    ファイルを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    削除

    メールメッセージ全体を削除します。

    放置

    検出をログに記録して、メッセージは変更しません。
    • Salesforceのポリシー
    オプション 説明

    ファイル名にタグを挿入

    Cloud App Securityでは、アップロードしたファイルで検出された脅威について関係者に警告するために、ファイル名にタグを追加します。

    隔離

    ファイルを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    削除

    メールメッセージ全体を削除します。

    放置

    検出をログに記録して、メッセージは変更しません。

    ファイルの詳細設定

    • ファイルの隔離処理が失敗したときにバックアップ処理を実行する場合は、[ファイルの隔離に失敗した場合に2次処理を適用する] を選択して2次処理を指定します。このオプションは [隔離] 処理が選択されている場合のみ設定できます。

    • ポリシールールに違反するファイルが検出された場合にCloud App Securityで使用する [ファイル名のタグ][置換テキスト] を指定します。[処理] セクションで [ファイル名にタグを挿入] 処理が選択されている場合、Cloud App Securityは指定されたタグをファイル名に追加します。ファイルが隔離または削除された場合には、元のファイルの内容がCloud App Securityにより置換テキストに置き換えられます。
  5. [通知] を設定します。
    オプション 説明

    管理者に通知する

    セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。

    通知のしきい値により、送信するメッセージに制限が設定されます。しきい値には次のものがあります。

    • 一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。

    • 一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。

    • 個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。

    ユーザに通知する

    Exchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。

    SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。

    Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。

    Salesforce: セキュリティリスクが検出され、更新に対して処理が実行されたことをSalesforceオブジェクトレコードを更新したユーザに通知するメッセージの詳細を指定します。
    注:

    通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークン変数リストを参照してください。

  6. [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。