トレンドマイクロのWebレピュテーションテクノロジは、世界最大規模のドメインレピュテーションデータベースを利用して、Webサイトの経過期間、場所の変更の履歴、および不正プログラムの動作分析により発見される不審な活動の兆候といった要素に基づいてレピュテーションスコアを採点することで、Webドメインの信頼性を追跡します。不審な活動には、ユーザをだまして個人情報を盗み出すフィッシング攻撃などがあります。精度を高め誤検出を減らすために、トレンドマイクロのWebレピュテーションサービスでは、サイト全体を分類またはブロックする代わりに、レピュテーションスコアをサイト内の特定のページまたはリンクに割り当てます。これは、正規サイトの一部のみが不正侵入されることが多く、レピュテーションは時間の経過とともに動的に変化する可能性があるからです。
攻撃者は正規のWebサイトを装ったフィッシングサイトを利用して、ネットワークにアクセスするユーザの認証情報を盗み取ることがあります。こうしたWebサイトの検出を強化するため、Cloud App Securityは動的なURL検索を機能として提供し、トレンドマイクロのWebレピュテーションサービスで未評価として分類されるURLに適用します。そのURLをリアルタイムにクロールして、Webページに不正なパターンが含まれていないかどうかを判断し、事前設定された処理を実行して、ゼロデイフィッシング攻撃からユーザを保護します。
さらにCloud App Securityでは、AI (人工知能) ベースのコンピュータビジョンを活用して、認証情報を狙ったフィッシング攻撃からクラウドサービスユーザを保護します。この高度なテクノロジにより、有効なクラウドサービスログオンページの主要な要素を認識し、信頼できないサイトへの認証情報の送信を防ぎ、アカウントの侵害防止に役立てます。
本リリースのCloud App Securityでは、認証情報を狙ったフィッシングサイトであることが検出されたファイルやメール内のURLに対し、管理者がこのURLの [処理] に設定した処理が実行されます。
次の表はWebレピュテーションのリスクレベルについて説明します。この表でURLが危険、極めて不審、または不審として分類された理由について確認してください。
リスクレベル |
説明 |
---|---|
危険 |
URLが、不正、または脅威の既知の発信源であると確認されました。 |
極めて不審 |
URLが、不正、または脅威の発信源となる可能性があります。 |
不審 |
URLは、スパムメールに関連付けられているか、感染している可能性があります。 |
未評価 |
URLが、まだトレンドマイクロで評価されていません。未評価のURLです。トレンドマイクロは積極的にWebページの安全性をテストしていますが、ユーザが新しいWebサイトやあまり一般的でないWebサイトにアクセスすると、まだテストされていないページに遭遇することがあります。まだテストされていないページへのアクセスをブロックすると安全性は向上しますが、安全なページへのアクセスが妨げられることがあります。 |
安全 |
URLには悪意のあるソフトウェアは含まれておらず、フィッシングの兆候も示していません。 |
オプション | 説明 |
---|---|
適用 |
(Exchange OnlineおよびGmailのみ) Webレピュテーションを適用するメールメッセージの範囲を選択します。
注:
内部ドメインの詳細については、内部ドメインを設定するを参照してください。 Exchange Online (インラインモード) では、受信保護については [受信メッセージ] に、送信保護については [送信メッセージ] にそれぞれ範囲が固定されています。受信メッセージは組織外から組織内のアドレスに送信されるメッセージで、送信メッセージは組織から外部のアドレスに送信されるメッセージです。 |
セキュリティレベル |
ブロックするセキュリティレベルを選択します。 Webレピュテーションのスコアがしきい値を下回るURLは、安全ではない可能性があるとみなされます。 Cloud App Securityには、特定のリスクレベルのURLへのアクセスを処理するかを決定する、3つのセキュリティレベルがあります。リスクレベルの詳細については、Webレピュテーションのリスクレベルを参照してください。
|
メッセージ添付ファイル |
(Exchange OnlineおよびGmailのみ) メッセージ添付ファイルに含まれる不審URLを検索するかどうかを選択します。 |
動的なURL検索 |
Webレピュテーションサービスによって [未評価] に分類されたURLをリアルタイムでより詳しく分析し、フィッシングWebサイトを検出するかどうか選択します。 動的なURL検索の詳細については、Webレピュテーションサービスを参照してください。 |
Retro Scanと自動修復 |
(Exchange OnlineおよびGmailのみ) このオプションは初期設定で無効になっています。 注:
この機能は、インラインモードでのExchange Onlineの受信保護では使用できません。
このオプションを有効にすると、Cloud App Securityは定期的に履歴URLを調査するようになります。Retro Scanの結果に基づき、
|
この機能は、インラインモードでのExchange Onlineの受信保護では使用できません。
Time-of-Clickプロテクションは、受信メールメッセージ内のURLのリアルタイム検索に適用されます。検索対象のURLに対する処理を設定するには、[運用管理] > [グローバル設定] > [Time-of-Clickプロテクション設定] の順に移動します。
個々のメールアドレスではワイルドカード文字と正規表現はサポートされません。
正規表現はサポートされません。
クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。
クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。
Gmailでは、クエリパラメータのないURLのみがサポートされます。
承認済みURLリストはブロックするURLリストよりも優先されます。1つのURLを両方のリストに追加した場合、そのURLは承認済みURLとして処理されます。
正規表現はサポートされません。
クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。
クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。
Gmailでは、クエリパラメータのないURLのみがサポートされます。
Gmailでは [メールにラベル付け]、[削除]、および [隔離] を選択できます。
Salesforceでは、[放置]、[隔離]、および [削除] を選択できます。
他のアプリケーションおよびサービスでは [隔離] と [削除] を選択できます。
指定したエントリが下の領域に表示されます。
[次の値を含む] または [次に等しい] が選択されているかどうかに応じて、メールメッセージの指定したヘッダフィールドに指定した値が含まれるか、ヘッダフィールドと指定した値が完全に一致する場合、そのメッセージはWebレピュテーションで不正URLや不審URLについて検索されなくなりますが、ポリシー内の他のセキュリティフィルタの検索対象にはなります。
[フィールドの名前] と [値] では大文字と小文字が区別され、ワイルドカード文字と正規表現はサポートされません。
ヘッダフィールドの名前と値は128文字以下で指定する必要があります。
指定した任意のエントリとヘッダフィールドが一致するメールメッセージは、Webレピュテーションによって検索されません。
最大10個のヘッダフィールドを指定できます。
ここで指定された承認済みヘッダフィールドリストは、現在のポリシーにのみ適用されます。有効化されたExchange Onlineのポリシーすべてに適用される承認済みヘッダフィールドリストを作成することもできます。詳細については、Exchange Onlineの承認済みヘッダフィールドリストを設定するを参照してください。
Cloud App Securityは、検索条件に一致するメールメッセージまたはファイルに指定された処理を実行することでサービスを保護します。
処理の詳細については、サービスごとに実行可能な処理を参照してください。
(オプション) 新しいURLや短縮されたURLなど、トレンドマイクロによってまだ評価されていないURLに処理を適用するには、[トレンドマイクロのWebレピュテーションサービスで、未評価のURLに対して処理を実行する] チェックボックスをオンにします。
URL分析が仮想アナライザで有効な場合、このオプションは適用されません。これらのURLは仮想アナライザに送信され、脅威についてさらに分析されます。
(Salesforceのみ) 必要に応じて [ファイルに適用する処理の設定] チェックボックスをオンにして、ファイルに対して個別に処理を設定し、指定した処理が実行されたときに通知を送信するかどうかを選択します。
このオプションをオンにすると、Cloud App Securityはファイルに対して、上記の手順7の表で説明したポリシーレベルの処理の代わりに、ここで指定された処理を実行します。
(Salesforceのみ) ファイルの隔離処理が失敗したときにバックアップ処理を実行する場合は、[ファイルの隔離に失敗した場合に2次処理を適用する] を選択して2次処理を指定します。
このオプションは [隔離] 処理が選択されている場合のみ設定できます。
[ファイル名にタグを挿入] 処理を選択した場合は、ファイル名に付加するタグを指定します。
タグの長さの上限は20文字で、サポート対象外の文字 (/ \ : * ? < > " |) を含めることはできません。
このタグは、[処理] セクションで指定された [ファイル名にタグを挿入] 処理に適用されます。
隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。
このテキストは [処理] セクションの [隔離] および [削除] 処理に適用されます。
オプション | 説明 |
---|---|
管理者に通知する |
|
ユーザに通知する |
Exchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。 SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。 Salesforce: セキュリティリスクが検出され、更新に対して処理が実行されたことをSalesforceオブジェクトレコードを更新したユーザに通知するメッセージの詳細を指定します。 Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。 |
通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークン変数リストを参照してください。