Webレピュテーションサービス

トレンドマイクロのWebレピュテーションテクノロジは、世界最大規模のドメインレピュテーションデータベースを利用して、Webサイトの経過期間、場所の変更の履歴、および不正プログラムの動作分析により発見される不審な活動の兆候といった要素に基づいてレピュテーションスコアを採点することで、Webドメインの信頼性を追跡します。不審な活動には、ユーザをだまして個人情報を盗み出すフィッシング攻撃などがあります。精度を高め誤検出を減らすために、トレンドマイクロのWebレピュテーションサービスでは、サイト全体を分類またはブロックする代わりに、レピュテーションスコアをサイト内の特定のページまたはリンクに割り当てます。これは、正規サイトの一部のみが不正侵入されることが多く、レピュテーションは時間の経過とともに動的に変化する可能性があるからです。

攻撃者は正規のWebサイトを装ったフィッシングサイトを利用して、ネットワークにアクセスするユーザの認証情報を盗み取ることがあります。こうしたWebサイトの検出を強化するため、Cloud App Securityは動的なURL検索を機能として提供し、トレンドマイクロのWebレピュテーションサービスで未評価として分類されるURLに適用します。そのURLをリアルタイムにクロールして、Webページに不正なパターンが含まれていないかどうかを判断し、事前設定された処理を実行して、ゼロデイフィッシング攻撃からユーザを保護します。

さらにCloud App Securityでは、AI (人工知能) ベースのコンピュータビジョンを活用して、認証情報を狙ったフィッシング攻撃からクラウドサービスユーザを保護します。この高度なテクノロジにより、有効なクラウドサービスログオンページの主要な要素を認識し、信頼できないサイトへの認証情報の送信を防ぎ、アカウントの侵害防止に役立てます。

本リリースのCloud App Securityでは、認証情報を狙ったフィッシングサイトであることが検出されたファイルやメール内のURLに対し、管理者がこのURLの [処理] に設定した処理が実行されます。

親トピック: 高度な脅威対策ポリシーの追加

Webレピュテーションのリスクレベル

次の表はWebレピュテーションのリスクレベルについて説明します。この表でURLが危険、極めて不審、または不審として分類された理由について確認してください。

リスクレベル

説明

危険

URLが、不正、または脅威の既知の発信源であると確認されました。

極めて不審

URLが、不正、または脅威の発信源となる可能性があります。

不審

URLは、スパムメールに関連付けられているか、感染している可能性があります。

未評価

URLが、まだトレンドマイクロで評価されていません。未評価のURLです。トレンドマイクロは積極的にWebページの安全性をテストしていますが、ユーザが新しいWebサイトやあまり一般的でないWebサイトにアクセスすると、まだテストされていないページに遭遇することがあります。まだテストされていないページへのアクセスをブロックすると安全性は向上しますが、安全なページへのアクセスが妨げられることがあります。

安全

URLには悪意のあるソフトウェアは含まれておらず、フィッシングの兆候も示していません。

Webレピュテーションを設定する

  1. [Webレピュテーションを有効にする] を選択します。
  2. [ルール] を設定します。
    オプション 説明

    適用

    (Exchange OnlineおよびGmailのみ) Webレピュテーションを適用するメールメッセージの範囲を選択します。

    • [すべてのメッセージ]: このポリシーが受信、送信、および内部メールメッセージに適用されることを意味します。受信/送信メールメッセージは、内部以外のドメインとの間で送信されます。

    • [受信メッセージ]: このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。

    注:

    内部ドメインの詳細については、内部ドメインを設定するを参照してください。

    Exchange Online (インラインモード) では、受信保護については [受信メッセージ] に、送信保護については [送信メッセージ] にそれぞれ範囲が固定されています。受信メッセージは組織外から組織内のアドレスに送信されるメッセージで、送信メッセージは組織から外部のアドレスに送信されるメッセージです。

    セキュリティレベル

    ブロックするセキュリティレベルを選択します。

    Webレピュテーションのスコアがしきい値を下回るURLは、安全ではない可能性があるとみなされます。

    Cloud App Securityには、特定のリスクレベルのURLへのアクセスを処理するかを決定する、3つのセキュリティレベルがあります。リスクレベルの詳細については、Webレピュテーションのリスクレベルを参照してください。

    • [高]: 次のページをブロックします。

      • 危険

      • 極めて不審

      • 不審

      • 未評価

    • [中]: 次のページをブロックします。

      • 危険

      • 極めて不審

    • [低]: 次のページをブロックします。

      • 危険

    メッセージ添付ファイル

    (Exchange OnlineおよびGmailのみ) メッセージ添付ファイルに含まれる不審URLを検索するかどうかを選択します。

    動的なURL検索

    Webレピュテーションサービスによって [未評価] に分類されたURLをリアルタイムでより詳しく分析し、フィッシングWebサイトを検出するかどうか選択します。

    動的なURL検索の詳細については、Webレピュテーションサービスを参照してください。

    Retro Scanと自動修復

    (Exchange OnlineおよびGmailのみ) このオプションは初期設定で無効になっています。

    注:

    この機能は、インラインモードでのExchange Onlineの受信保護では使用できません。

    1. ユーザのメールのメタデータに含まれる履歴URLを、Webレピュテーションサービスによってアップデートされた最新のパターンファイルを使用して再検索するかどうかを選択します。

      ユーザのメールのメタデータには、最近になって発見された未検出の不審または危険なURLが含まれている可能性があります。このようなメタデータを検査することは、お使いのメールサービスが攻撃の影響を受けていないかどうか確認するフォレンジック調査の重要な部分になります。Cloud App Securityは、組織内のユーザのメールのメタデータを収集し、Webレピュテーションの新しいパターンファイルを使用して履歴URLを過去にさかのぼって検索します。最新の検索結果に基づき、Cloud App Securityは影響を受けたメールメッセージに対して自動的に修復処理を実行します。

      注:

      [承認済み/ブロックするURLリスト] 内のURLと、[承認済み送信者リスト] または [承認済みヘッダフィールドリスト] に分類されるメールメッセージ内のURLは検索から除外されます。

    2. 表示された画面で [OK] をクリックし、Cloud App Securityでユーザのメールのメタデータを収集できるようにします。

      APIの種類に [脅威調査] を選択した認証トークンがすでにある場合、この画面は表示されません。

    このオプションを有効にすると、Cloud App Securityは定期的に履歴URLを調査するようになります。Retro Scanの結果に基づき、

    • URLのリスクレベルが変わって現在のポリシーに一致した場合、Cloud App Securityは、影響を受けたメールメッセージに対して管理者の設定した処理を実行します。

    • URLのリスクレベルが変わって現在のポリシーに一致しなくなった場合、Cloud App Securityは、影響を受けたメールメッセージの [処理][隔離] に設定されていた場合は復元します。[隔離] 以外の値に設定されていた処理を元に戻すことはありません。
  3. (Exchange Onlineのみ) [Time-of-Clickプロテクション] を設定します。
    注:

    この機能は、インラインモードでのExchange Onlineの受信保護では使用できません。

    1. [Time-of-Clickプロテクションを有効にする] を選択します。
      注:

      Time-of-Clickプロテクションは、受信メールメッセージ内のURLのリアルタイム検索に適用されます。検索対象のURLに対する処理を設定するには、[運用管理] > [グローバル設定] > [Time-of-Clickプロテクション設定] の順に移動します。

    2. Time-of-Clickプロテクションを適用するURLの範囲を選択します。
  4. (Exchange OnlineおよびGmailのみ) [承認済み送信者リスト] を設定します。
    1. [承認済み送信者リストを有効にする] を選択します。
    2. 検索から除外する送信者のメールアドレスを指定し、[追加] をクリックします。
      注:

      個々のメールアドレスではワイルドカード文字と正規表現はサポートされません。

    3. オプションで [インポート] をクリックして、送信者のメールアドレスを一括インポートします。
  5. [承認済みURLリスト] を設定します。
    1. [承認するURLリストを有効にする] を選択します。
    2. (Exchange Onlineのみ) [内部ドメインを承認済みURLリストに追加する] を選択して、内部ドメインを検索から除外します。
    3. 検索から除外するURLを指定し、[追加] をクリックします。
      注:

      正規表現はサポートされません。

      クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。

      クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。

      Gmailでは、クエリパラメータのないURLのみがサポートされます。

    4. オプションで [インポート] をクリックして、URLを一括インポートします。
    5. [ブロックするURLリストを有効にする] を選択します。
    6. 検索をせずにブロックしたいURLを指定し、[追加] をクリックします。
      注:

      承認済みURLリストはブロックするURLリストよりも優先されます。1つのURLを両方のリストに追加した場合、そのURLは承認済みURLとして処理されます。

      正規表現はサポートされません。

      クエリパラメータのあるURLの場合、Cloud App Securityは完全一致を使用します。ワイルドカード文字はサポートされません。

      クエリパラメータのないURLの場合、*.example.comおよび*.example.com/example/*形式のワイルドカード文字のみサポートされます。

      Gmailでは、クエリパラメータのないURLのみがサポートされます。

    7. オプションで [インポート] をクリックして、URLを一括インポートします。
    8. [処理] に移動して、ブロックするURLリストに対する処理を設定します。

      • Gmailでは [メールにラベル付け][削除]、および [隔離] を選択できます。

      • Salesforceでは、[放置][隔離]、および [削除] を選択できます。

      • 他のアプリケーションおよびサービスでは [隔離][削除] を選択できます。

  6. (Exchange Onlineのみ) [承認済みヘッダフィールドリスト] を設定します。
    1. [承認済みヘッダフィールドリストを有効にする] を選択します。
    2. ヘッダフィールドの名前を [フィールドの名前] に、そのフィールドの値を [値] に指定し、必要に応じて [次の値を含む] または [次に等しい] を選択します。
    3. [追加] をクリックします。

      指定したエントリが下の領域に表示されます。

      [次の値を含む] または [次に等しい] が選択されているかどうかに応じて、メールメッセージの指定したヘッダフィールドに指定した値が含まれるか、ヘッダフィールドと指定した値が完全に一致する場合、そのメッセージはWebレピュテーションで不正URLや不審URLについて検索されなくなりますが、ポリシー内の他のセキュリティフィルタの検索対象にはなります。

      注:

      [フィールドの名前][値] では大文字と小文字が区別され、ワイルドカード文字と正規表現はサポートされません。

      ヘッダフィールドの名前と値は128文字以下で指定する必要があります。

    4. (オプション) 必要に応じて手順bcを繰り返し、別のヘッダフィールドを追加します。

      指定した任意のエントリとヘッダフィールドが一致するメールメッセージは、Webレピュテーションによって検索されません。

      注:

      最大10個のヘッダフィールドを指定できます。

    5. 指定したヘッダフィールドを削除するには、リストから選択して [削除] をクリックします。

    ここで指定された承認済みヘッダフィールドリストは、現在のポリシーにのみ適用されます。有効化されたExchange Onlineのポリシーすべてに適用される承認済みヘッダフィールドリストを作成することもできます。詳細については、Exchange Onlineの承認済みヘッダフィールドリストを設定するを参照してください。

  7. [処理] を設定します。

    Cloud App Securityは、検索条件に一致するメールメッセージまたはファイルに指定された処理を実行することでサービスを保護します。

    処理の詳細については、サービスごとに実行可能な処理を参照してください。

    1. (オプション) 新しいURLや短縮されたURLなど、トレンドマイクロによってまだ評価されていないURLに処理を適用するには、[トレンドマイクロのWebレピュテーションサービスで、未評価のURLに対して処理を実行する] チェックボックスをオンにします。

      注:

      URL分析が仮想アナライザで有効な場合、このオプションは適用されません。これらのURLは仮想アナライザに送信され、脅威についてさらに分析されます。

    2. (Salesforceのみ) 必要に応じて [ファイルに適用する処理の設定] チェックボックスをオンにして、ファイルに対して個別に処理を設定し、指定した処理が実行されたときに通知を送信するかどうかを選択します。

      注:

      このオプションをオンにすると、Cloud App Securityはファイルに対して、上記の手順7の表で説明したポリシーレベルの処理の代わりに、ここで指定された処理を実行します。

    3. (Salesforceのみ) ファイルの隔離処理が失敗したときにバックアップ処理を実行する場合は、[ファイルの隔離に失敗した場合に2次処理を適用する] を選択して2次処理を指定します。

      注:

      このオプションは [隔離] 処理が選択されている場合のみ設定できます。

      • [隔離] 処理が選択された状態で、[ファイルに適用する処理の設定] を有効にした場合、その [隔離] 処理が失敗したときに2次処理が適用されます。
      • [ファイルに適用する処理の設定] が有効になっていない場合、ファイルに対するポリシーレベルの [隔離] アクション (上記の手順7の表で説明) が失敗すると、2次処理が適用されます。

    4. [ファイル名にタグを挿入] 処理を選択した場合は、ファイル名に付加するタグを指定します。

      注:

      タグの長さの上限は20文字で、サポート対象外の文字 (/ \ : * ? < > " |) を含めることはできません。

      このタグは、[処理] セクションで指定された [ファイル名にタグを挿入] 処理に適用されます。

    5. 隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。

      このテキストは [処理] セクションの [隔離] および [削除] 処理に適用されます。

  8. [通知] を設定します。
    オプション 説明

    管理者に通知する

    1. 受信者グループを選択するか受信者を個別に指定して、通知する管理者を指定します。[受信者グループを管理する] をクリックして、グループのメンバーを編集したり、グループをさらに追加したりできます。詳細については、受信者グループを設定するを参照してください。

    2. セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。

    3. 通知のしきい値を設定し、送信する通知メッセージの数を制限します。しきい値の設定には次のものがあります。

      • 一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。

      • 一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。

      • 個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。

    ユーザに通知する

    Exchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。

    SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。

    Salesforce: セキュリティリスクが検出され、更新に対して処理が実行されたことをSalesforceオブジェクトレコードを更新したユーザに通知するメッセージの詳細を指定します。

    Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。
    注:

    通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークン変数リストを参照してください。

  9. [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。