Webレピュテーションサービス

トレンドマイクロのWebレピュテーションテクノロジは、世界最大規模のドメインレピュテーションデータベースを利用して、Webサイトの経過期間、場所の変更の履歴、および不正プログラムの動作分析により発見される不審な活動の兆候といった要素に基づいてレピュテーションスコアを採点することで、Webドメインの信頼性を追跡します。不審な活動には、ユーザをだまして個人情報を盗み出すフィッシング攻撃などがあります。精度を高め誤検出を減らすために、トレンドマイクロのWebレピュテーションサービスでは、サイト全体を分類またはブロックする代わりに、レピュテーションスコアをサイト内の特定のページまたはリンクに割り当てます。これは、正規サイトの一部のみが不正侵入されることが多く、レピュテーションは時間の経過とともに動的に変化する可能性があるからです。

攻撃者は正規のWebサイトを装ったフィッシングサイトを利用して、ネットワークにアクセスするユーザの認証情報を盗み取ることがあります。こうしたWebサイトの検出を強化するため、Cloud App Securityは動的なURL検索を機能として提供し、トレンドマイクロのWebレピュテーションサービスで未評価として分類されるURLに適用します。そのURLをリアルタイムにクロールして、Webページに不正なパターンが含まれていないかどうかを判断し、事前設定された処理を実行して、ゼロデイフィッシング攻撃からユーザを保護します。

さらにCloud App Securityでは、AI (人工知能) ベースのコンピュータビジョンを活用して、認証情報を狙ったフィッシング攻撃からクラウドサービスユーザを保護します。この高度なテクノロジにより、有効なクラウドサービスログオンページの主要な要素を認識し、信頼できないサイトへの認証情報の送信を防ぎ、アカウントの侵害防止に役立てます。

本リリースのCloud App Securityでは、認証情報を狙ったフィッシングサイトであることが検出されたファイルやメール内のURLに対し、管理者がこのURLの [処理] に設定した処理が実行されます。

Webレピュテーションのリスクレベル

次の表はWebレピュテーションのリスクレベルについて説明します。この表でURLが危険、極めて不審、または不審として分類された理由について確認してください。

リスクレベル

説明

危険

URLが、不正、または脅威の既知の発信源であると確認されました。

極めて不審

URLが、不正、または脅威の発信源となる可能性があります。

不審

URLは、スパムメールに関連付けられているか、感染している可能性があります。

未評価

URLが、まだトレンドマイクロで評価されていません。未評価のURLです。トレンドマイクロは積極的にWebページの安全性をテストしていますが、ユーザが新しいWebサイトやあまり一般的でないWebサイトにアクセスすると、まだテストされていないページに遭遇することがあります。まだテストされていないページへのアクセスをブロックすると安全性は向上しますが、安全なページへのアクセスが妨げられることがあります。

安全

URLには悪意のあるソフトウェアは含まれておらず、フィッシングの兆候も示していません。

Webレピュテーションを設定する

  1. [Webレピュテーションを有効にする] を選択します。
  2. [ルール] を設定します。
    オプション 説明

    適用

    (Exchange OnlineおよびGmailのみ) Webレピュテーションを適用するメールメッセージの範囲を選択します。

    • すべてのメッセージ

    • 受信メッセージ

      注:

      [受信メッセージ] は、このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。

    セキュリティレベル

    ブロックするセキュリティレベルを選択します。

    Webレピュテーションのスコアがしきい値を下回るURLは、安全ではない可能性があるとみなされます。

    Cloud App Securityには、特定のリスクレベルのURLへのアクセスを処理するかを決定する、3つのセキュリティレベルがあります。リスクレベルの詳細については、Webレピュテーションのリスクレベルを参照してください。

    • [高]: 次のページをブロックします。

      • 危険

      • 極めて不審

      • 不審

      • 未評価

    • [中]: 次のページをブロックします。

      • 危険

      • 極めて不審

    • [低]: 次のページをブロックします。

      • 危険

    メッセージ添付ファイル

    (Exchange OnlineおよびGmailのみ) メッセージ添付ファイルに含まれる不審URLを検索するかどうかを選択します。

    動的なURL検索

    Webレピュテーションサービスによって [未評価] に分類されたURLをリアルタイムでより詳しく分析し、フィッシングWebサイトを検出するかどうか選択します。

    動的なURL検索の詳細については、Webレピュテーションサービスを参照してください。

    Retro Scanと自動修復

    (Exchange OnlineおよびGmailのみ) このオプションは初期設定で無効になっています。

    1. ユーザのメールのメタデータに含まれる履歴URLを、Webレピュテーションサービスによってアップデートされた最新のパターンファイルを使用して再検索するかどうかを選択します。

      ユーザのメールのメタデータには、最近になって発見された未検出の不審または危険なURLが含まれている可能性があります。このようなメタデータを検査することは、お使いのメールサービスが攻撃の影響を受けていないかどうか確認するフォレンジック調査の重要な部分になります。Cloud App Securityは、脅威調査APIを介して組織内のユーザのメールのメタデータを収集し、Webレピュテーションの新しいパターンファイルを使用して履歴URLを過去にさかのぼって検索します。最新の検索結果に基づき、Cloud App Securityは影響を受けたメールメッセージに対して自動的に修復処理を実行します。

      注:

      [承認済み/ブロックするURLリスト] 内のURLと、[承認済み送信者リスト] または [承認済みヘッダフィールドリスト] に分類されるメールメッセージ内のURLは検索から除外されます。

    2. 表示される画面で [OK] をクリックし、Cloud App Securityで認証トークンを作成できるようにします。これにより、脅威調査APIを使用してユーザのメールのメタデータを収集できるようになります。認証トークンは、[運用管理] > [オートメーションと統合API] 画面で確認できます。

      APIの種類に [脅威調査] を選択した認証トークンがすでにある場合、この画面は表示されません。

    このオプションを有効にすると、Cloud App Securityは定期的に履歴URLを調査するようになります。Retro Scanの結果に基づき、

    • URLのリスクレベルが変わって現在のポリシーに一致した場合、Cloud App Securityは、影響を受けたメールメッセージに対して管理者の設定した処理を実行します。

    • URLのリスクレベルが変わって現在のポリシーに一致しなくなった場合、Cloud App Securityは、影響を受けたメールメッセージの [処理][隔離] に設定されていた場合は復元します。[隔離] 以外の値に設定されていた処理を元に戻すことはありません。

  3. (Exchange Onlineのみ) [Time-of-Clickプロテクション] を設定します。
    1. [Time-of-Clickプロテクションを有効にする] を選択します。
      注:

      Time-of-Clickプロテクションは、受信メールメッセージ内のURLのリアルタイム検索に適用されます。検索対象のURLに対する処理を設定するには、[運用管理] > [グローバル設定] > [Time-of-Clickプロテクション設定] の順に移動します。

    2. Time-of-Clickプロテクションを適用するURLの範囲を選択します。
  4. (Exchange OnlineおよびGmailのみ) [承認済み送信者リスト] を設定します。
    1. [承認済み送信者リストを有効にする] を選択します。
    2. 検索から除外する送信者のメールアドレスを指定し、[追加] をクリックします。
      注:

      個々のメールアドレスではワイルドカード文字と正規表現はサポートされません。

    3. オプションで [インポート] をクリックして、送信者のメールアドレスを一括インポートします。
  5. [承認済みURLリスト] を設定します。
    1. [承認するURLリストを有効にする] を選択します。
    2. (Exchange Onlineのみ) [内部ドメインを承認済みURLリストに追加する] を選択して、内部ドメインを検索から除外します。
    3. 検索から除外するURLを指定し、[追加] をクリックします。
      注:

      正規表現はサポートされません。

      クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。

      クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。

      Gmailでは、クエリパラメータのないURLのみがサポートされます。

    4. オプションで [インポート] をクリックして、URLを一括インポートします。
    5. [ブロックするURLリストを有効にする] を選択します。
    6. 検索をせずにブロックしたいURLを指定し、[追加] をクリックします。
      注:

      承認済みURLリストはブロックするURLリストよりも優先されます。1つのURLを両方のリストに追加した場合、そのURLは承認済みURLとして処理されます。

      正規表現はサポートされません。

      クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。

      クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。

      Gmailでは、クエリパラメータのないURLのみがサポートされます。

    7. オプションで [インポート] をクリックして、URLを一括インポートします。
    8. [処理] に移動して、ブロックするURLリストに対する処理を設定します。
      • Gmailでは [メールにラベル付け][削除]、および [隔離] を選択できます。

      • Salesforceでは、[放置][隔離]、および [削除] を選択できます。

      • 他のアプリケーションおよびサービスでは [隔離][削除] を選択できます。

  6. (Exchange Onlineのみ) [承認済みヘッダフィールドリスト] を設定します。
    1. [承認済みヘッダフィールドリストを有効にする] を選択します。
    2. ヘッダフィールドの名前を [フィールドの名前] に、そのフィールドの値を [値] に指定し、必要に応じて [次の値を含む] または [次に等しい] を選択します。
    3. [追加] をクリックします。

      指定したエントリが下の領域に表示されます。

      [次の値を含む] または [次に等しい] が選択されているかどうかに応じて、メールメッセージの指定したヘッダフィールドに指定した値が含まれるか、ヘッダフィールドと指定した値が完全に一致する場合、そのメッセージはWebレピュテーションで不正URLや不審URLについて検索されなくなりますが、ポリシー内の他のセキュリティフィルタの検索対象にはなります。

      注:

      [フィールドの名前][値] では大文字と小文字が区別され、ワイルドカード文字と正規表現はサポートされません。

      ヘッダフィールドの名前と値は128文字以下で指定する必要があります。

    4. (オプション) 必要に応じて手順bcを繰り返し、別のヘッダフィールドを追加します。

      指定した任意のエントリとヘッダフィールドが一致するメールメッセージは、Webレピュテーションによって検索されません。

      注:

      最大10個のヘッダフィールドを指定できます。

    5. 指定したヘッダフィールドを削除するには、リストから選択して [削除] をクリックします。

    ここで指定された承認済みヘッダフィールドリストは、現在のポリシーにのみ適用されます。有効化されたExchange Onlineのポリシーすべてに適用される承認済みヘッダフィールドリストを作成することもできます。詳細については、Exchange Onlineの承認済みヘッダフィールドリストを設定するを参照してください。

  7. [処理] を設定します。

    Cloud App Securityは、検索条件に一致するメールメッセージまたはファイルに指定された処理を実行することでサービスを保護します。この処理は、各サービス、およびその検索に設定された処理によって異なります。

    • Exchange Onlineのポリシー
    オプション 説明

    件名にタグを挿入

    メールメッセージの件名の前にキーワードを追加して (不審URL: <件名>)、処理が実行されたことをユーザに知らせます。対象の受信者にはメールメッセージが配信されますが、このタグによって、元のメールにセキュリティリスクが存在することを受信者に通知します。

    削除

    メールメッセージ全体を削除します。

    隔離

    メールメッセージを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    放置

    検出をログに記録して、メッセージは変更しません。

    • SharePoint Online、OneDrive、Microsoft Teams (Teams)、Box、Dropbox、およびGoogleドライブのポリシー
    オプション 説明

    削除

    ファイルを削除して、通知用のテキストファイルで置換します。

    隔離

    ファイルを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    放置

    検出をログに記録して、ファイルは変更しません。

    詳細設定オプション

    隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。

    • Teamsチャットのポリシー
    オプション 説明

    放置

    検出をログに記録して、メッセージは変更しません。

    ブロック

    Cloud App SecurityはMicrosoft Teamsを呼び出して、メッセージを送信者と受信者の両方に対して非表示にします。

    注:

    チャットメッセージ内のファイルがポリシーに違反している場合、そのファイルはプライベートチャットウィンドウ ([チャット] タブ) で非表示になりますが、送信者のOneDriveフォルダには格納されたままであり、[ファイル] タブには表示されます。

    • Gmailのポリシー
    オプション 説明

    メールにラベル付け

    メールボックス内のメールメッセージの先頭に [Risky (by Trend Micro)] というラベルを表示します。

    削除

    メールメッセージ全体を削除します。

    放置

    検出をログに記録して、メッセージは変更しません。

    隔離

    ファイルを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    • Salesforceのポリシー

    オプション 説明

    放置

    検出をログに記録して、コンテンツは変更しません。

    隔離

    • Chatterの投稿やリンクなど、Chatterコミュニティ、およびケースのテキストまたはURLの場合、ポリシーに違反しているコンテンツの半分をアスタリスク (*) で置換し、コンテンツを制限付きカスタムオブジェクトに移動します。隔離したコンテンツは編集できません。

    • ファイルの場合: ファイルを制限付きカスタムオブジェクトに移動して事前設定ファイルで置換し、元のファイルが特定のCloud App Securityポリシーに違反したことと置換されたことをユーザに知らせます。

      注:

      Chatterのファイルなどバージョン履歴を持つファイルは削除せず、フィードコメントを追加して、ファイルが特定のCloud App Securityポリシーに違反したことをユーザに警告します。

    削除

    • ファイルの場合: ファイルを削除して事前設定された置換ファイルを追加し、元のファイルが特定のCloud App Securityポリシーに違反したことと削除されたことをユーザに知らせます。

      注:

      Chatterのファイルなどバージョン履歴を持つファイルは削除し、フィードコメントを追加して、ファイルが特定のCloud App Securityポリシーに違反したことと削除されたことをユーザに警告します。

    • Chatterコミュニティのテキストコンテンツの場合: コンテンツ全体を削除します。

    • ケースのテキストコンテンツの場合: 検出をログに記録して、ポリシーに違反しているコンテンツ全体をアスタリスク (*) で置換します。

    1. (オプション) 新しいURLや短縮されたURLなど、トレンドマイクロによってまだ評価されていないURLに処理を適用するには、[トレンドマイクロのWebレピュテーションサービスで、未評価のURLに対して処理を実行する] チェックボックスをオンにします。

      注:

      URL分析が仮想アナライザで有効な場合、このオプションは適用されません。これらのURLは仮想アナライザに送信され、脅威についてさらに分析されます。

    2. (オプション) [ファイルに適用する処理の設定] チェックボックスをオンにして、ファイルに対して個別に処理を設定し、指定した処理が実行されたときに通知を送信するかどうかを選択します。

      [ファイル名にタグを挿入] 処理を選択した場合は、ファイル名に付加するタグを指定します。

      注:

      タグの長さの上限は20文字で、サポート対象外の文字 (/ \ : * ? &lt; &gt; " |) を含めることはできません。

    3. 隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。

  8. [通知] を設定します。
    オプション 説明

    管理者に通知する

    セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。

    通知のしきい値により、送信するメッセージに制限が設定されます。しきい値には次のものがあります。

    • 一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。

    • 一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。

    • 個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。

    ユーザに通知する

    Exchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。

    SharePoint Online、OneDrive、Microsoft Teams (Teams)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。

    Salesforce: セキュリティリスクが検出され、更新に対して処理が実行されたことをSalesforceオブジェクトレコードを更新したユーザに通知するメッセージの詳細を指定します。

    Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。

    注:

    通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークン変数リストを参照してください。

  9. [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。