よくある質問

表 1. よくある質問 (FAQ)

質問

回答

Cloud App Securityでは、どのようにして高い可用性を確保していますか。

Cloud App Securityのすべてのサービスコンポーネントはステートレスな設計になっています。そのため、ボリュームの増加に合わせて自由に拡張できます。初期設定では、顧客に提供されるすべてのサービスは、高可用性を実現するためにWindows Azureのロードバランサで冗長に設定されています。

Cloud App Securityでは、どのようにしてマルチテナント環境でのデータのプライバシーを保証していますか。

Cloud App Securityには、メールメッセージやファイルといった元のコンテンツが保存されません。Cloud App Securityは、クラウドアプリケーションでメールやファイルのコンテンツにアクセスし、それをメモリで処理します。完了時、コンテンツは保存しません。

Cloud App Securityを使用することで、メッセージやファイルへのアクセス速度が低下することはありますか。

Cloud App Securityが、メールメッセージの受信、クラウドアプリケーションやサービスに対するファイルのアップロードまたはダウンロードのパフォーマンスに影響することはありません。

※Smart Protection Completeは日本では販売されていない製品です。

体験版のCloud App Securityを使用してから製品版のSmart Protection Completeを購入した場合、体験版の管理コンソールの設定を製品版に移行するにはどうすればよいですか。

まず、体験版のCloud App Securityで作成したCLPアカウントを、製品版のSmart Protection Completeに結び付ける必要があります。

  1. CLPアカウントの認証情報を使用して、Trend Micro Customer Licensing Portal (CLP) (https://clp.trendmicro.com) にログオンします。

  2. [登録済みの製品/サービス] に移動し、[キーの入力] をクリックします。

  3. [ライセンスキー] 画面で、[アクティベーションコードまたはキーを入力してください] にアクティベーションコードではなくレジストレーションキーを入力して、[続行] をクリックします。

  4. チェックボックスをオンにし、[続行] をクリックして処理を完了します。

製品版のCloud App Security管理コンソールに再度ログオンすると、すべての設定が移行され、ライセンスが更新されます。

Windows ServerでInternet Explorerを使用してCloud App Securityにログオンするにはどうすればよいですか。

Windows Serverと他のバージョンのWindowsでは、Internet Explorerの初期設定が異なります。Windows ServerでInternet Explorerを使用してCloud App Securityにログオンするには、「インターネット」 ゾーンでアクティブスクリプトを有効にします。

  1. Internet Explorerを開きます。

  2. [ツール] > [インターネット オプション] > [セキュリティ] の順に選択します。

  3. [インターネット] ゾーンを選択します。

  4. [レベルのカスタマイズ] をクリックします。[セキュリティの設定 - インターネット ゾーン] 画面が表示されます。

  5. [スクリプト] セクションで、[アクティブ スクリプト] を有効にします。

  6. [OK] をクリックし、[セキュリティの設定 - インターネット ゾーン] 画面を閉じます。

  7. [OK] をクリックして [インターネット オプション] 画面を閉じます。

※Trend Micro Smart Protection Completeは日本では販売されていない製品です。

Trend Micro Smart Protection Completeを購入すれば、レジストレーションキーまたはアクティベーションコードによって指示されたサイトとは別のサイトでCloud App Securityを使用できますか。

いいえ。Cloud App Securityを使用できるサイトは、レジストレーションキーまたはアクティベーションコードによって指示された地域または国に基づいて決まります。Cloud App Securityを別のサイトで使用するには、そのサイトに対応した新しいレジストレーションキーを持つ新しいCustomer Licensing Portalアカウントを申請する必要があります。

Cloud App Securityによって隔離されたメールメッセージを復元も削除もできないのはなぜですか。

隔離されたメールメッセージは、さらに処理するため、Cloud App Securityによって作成された隔離フォルダに保存されます。復元または削除するよう要求されたメッセージが隔離フォルダに存在しない場合、Cloud App Securityは要求を実行できません。この問題が発生した場合は、目的のメッセージが隔離フォルダから他の場所に移動されていないか確認してください。[隔離] に移動して、[メールの場所] 列でメッセージの隔離フォルダを確認できます。

顧客のライセンスの有効期限が切れた場合、Cloud App Securityでは、いつ、どのようにOffice 365サービスのサービスアカウントが削除されるのですか。

お使いのライセンスの更新猶予期間が終了した場合、Cloud App Securityは、お客さまのCLPアカウントを無効にします。これによりCloud App Security管理コンソールにアクセスできなくなり、お使いのサービスがCloud App Securityで保護されなくなります。

更新猶予期間終了の30日後、お客さまのCLPアカウントはCloud App Securityによって自動的に削除されます。

  • Exchange Onlineの場合: 隔離フォルダを削除します。

  • SharePoint Online/OneDriveの場合:

    • 各サイトコレクションからリモートイベントレシーバーを削除します。

    • 各サイトコレクションの管理者グループからサービスアカウントを削除します。

      注:

      この措置は、準備の際にサービスアカウントをグローバル管理者に昇格させている場合にのみ適用されます。このオプションを選択していない場合は、後からグローバル管理者アカウントを使用してMicrosoft 365管理センターにサインインし、サービスアカウントを手動で削除できます。

    • 隔離文書ライブラリを削除します。

注:

アカウントを削除する前に隔離ログを削除することをお勧めします。

サービスアカウントが自動的に削除されてから30日後、マイクロソフトによってSharePointのユーザプロファイルが削除されます。さらにCloud App Security用に作成されたデータのうち、次のデータを手動でクリーンアップする必要があります。

  • SharePoint/OneDriveのユーザリストからサービスアカウントユーザを削除する必要があります。

  • Cloud App Security通知ファイルを削除する必要があります。

アカウントを自動的に準備した後、Exchange OnlineとSharePoint Onlineのデリゲート アカウントに対する多要素認証 (MFA) を有効にするにはどうすればよいですか。

2019年8月2日、マイクロソフトはOffice 365のライセンスをエンドユーザに再販売するすべてのパートナーに対し、必須の多要素認証 (MFA) ポリシーを導入しました。このポリシーでは、クラウドソリューションプロバイダ (CSP) テナントのすべての管理者アカウントに多要素認証を設定することが要求されています。

  • トークンベースの先進認証を使用して準備された認証アカウントの場合、これは推奨されるアプローチであり、MFAの適用による影響は受けません。

  • 自動準備プロセスを使用して作成されたExchange OnlineとSharePoint Onlineのデリゲート アカウントの場合、このパートナーセキュリティ要件を満たす必要がありますが、同時にOffice 365サービスの保護に使用されているそれぞれの機能も維持する必要があります。デリゲート アカウントに対するMFAを有効にする方法については、https://success.trendmicro.com/solution/1123706を参照してください。

隔離項目をダウンロードする際、初期設定の名前を使用する代わりに名前と場所を指定するにはどうすればよいですか。

Webブラウザを介して隔離項目をダウンロードする場合、Cloud App Securityではファイル名が自動的に「<タイムスタンプ>_<メールの件名またはファイル名>_<影響を受けたユーザの名前>」という初期設定の形式で生成されます。

ファイルの名前と場所をカスタマイズするには、ダウンロードするたびに各ファイルの保存場所を常に確認するようにWebブラウザのダウンロード設定を行います。

すべてのポリシーが監視のみモードになっているときでも、Cloud App Securityがメールメッセージの隔離や削除を行うのはなぜですか。

Cloud App Securityでは、初期設定の監視のみポリシーが効力を発するのは、あくまでポリシーレベルです。統合された製品やCloud App Securityの脅威軽減APIによってメールメッセージの隔離や削除が要求された場合、Cloud App Securityは、初期設定の監視のみポリシーが有効になっていても、メールメッセージの隔離や削除を行います。

初期設定の監視のみポリシーが有効になっているときに、Cloud App Securityで「放置」以外の処理が行われないようにするには、次の手順を実行します。

  • [運用管理] > [グローバル設定] > [不審オブジェクトリスト] の順に選択し、この機能を無効にします。

  • [運用管理] > [グローバル設定] > [Exchange Onlineのブロックリスト] の順に選択し、自分の組織を選択して、この機能を無効にします。

  • 統合された製品や脅威軽減APIを使用してメールメッセージに対する処理を実行しないようにしてください。

Cloud App Security Inline Protectionによって検索された受信メッセージの場合、メッセージがMicrosoft Exchange Online Protection (EOP) によって未確認の送信者としてマークされないようにするにはどうすればよいですか。

Cloud App Security Inline Protectionのドメインを、ご使用のサイトに基づいてMicrosoftのテナント許可リストに追加します。

  1. Microsoft 365 Defenderポータルで、[ポリシーとルール] > [脅威のポリシー] > [ルール] > [テナント許可/禁止リスト] の順に移動します。

  2. [テナント許可/禁止リスト] 画面で [なりすまされた送信者] タブを選択し、[+追加] をクリックします。

  3. 表示された [新しいドメインペアの追加] パネルで、次の設定を行います。

    • [ワイルドカードを使用してドメインペアを追加する]: ご使用のサイトに基づいて、ドメインペアを入力します。

      • 米国のサイト: *, inpost.tmcas.trendmicro.com

      • EUのサイト: *, inpost-eu.tmcas.trendmicro.com

      • 日本のサイト: *, inpost.tmcas.trendmicro.co.jp

      • オーストラリアとニュージーランドのサイト: *, inpost-au.tmcas.trendmicro.com

      • カナダのサイト: *, inpost-ca.tmcas.trendmicro.com

      • シンガポールのサイト: *, inpost.tmcas.trendmicro.com.sg

      • 英国のサイト: *, inpost.tmcas.trendmicro.co.uk

      • インドのサイト: *, inpost-in.tmcas.trendmicro.com

    • [なりすましの種類]: [外部] を選択します。

    • [アクション]: [許可] を選択します。

  4. [追加] をクリックします。

詳細については、Microsoftのドキュメントを参照してください。

Cloud App Security Inline Protectionによって検索された内部メッセージの場合、メッセージがMicrosoft Exchange Online Protection (EOP) によって内部メールのなりすましとしてマークされないようにするにはどうすればよいですか。

注:

通常、Cloud App Security Inline Protectionでは内部メッセージは検索されません。ただし、内部メッセージがプライベートメールサーバを使用して送信される場合などは、Cloud App Security Inline Protectionで使用されるExchange Online転送ルールによって、内部メッセージが外部ユーザからの受信メッセージとして識別され、検索のためにCloud App Security Inline Protectionに転送されることがあります。

  • 解決策1: Cloud App Security Inline Protectionのドメインを、ご使用のサイトに基づいてMicrosoftのテナント許可リストに追加します。

    詳細については、上の質問の回答を参照してください。

  • 解決策2: 受信メッセージ用のCloud App Security Inline Protection MTAのIPアドレスを、ドメインのSPFレコードに追加します。

    ご使用の各サイトのIPアドレスは、次のとおりです。
    • 米国のサイト: 20.245.215.64/28

    • EUのサイト: 20.4.48.48/28

    • 日本のサイト: 13.78.70.144/28

    • オーストラリアとニュージーランドのサイト: 20.70.30.192/28

    • カナダのサイト: 52.228.5.240/28

    • シンガポールのサイト: 52.163.102.112/28

    • 英国のサイト: 20.254.97.192/28

    • インドのサイト: 20.204.179.112/28

送信メッセージ用のCloud App Security Inline Protection MTAのIPアドレスを、ドメインのSPFレコードに追加する必要はありますか。

Microsoftによって推奨されているように、送信メッセージ用のCloud App Security Inline Protection MTAのIPアドレスをドメインのSPFレコードに追加することができます。

ご使用の各サイトのIPアドレスは、次のとおりです。

  • 米国のサイト: 20.66.85.0/28

  • EUのサイト: 20.160.56.80/28

  • 日本のサイト: 20.78.49.240/28

  • オーストラリアとニュージーランドのサイト: 20.227.209.48/28

  • カナダのサイト: 20.220.229.208/28

  • シンガポールのサイト: 52.163.216.240/28

  • 英国のサイト: 20.0.233.224/28

  • インドのサイト: 20.235.86.144/28

Cloud App Security Inline Protectionの準備、設定、移行が常に失敗するのはどうしてですか。

  • 考えられる理由1: Inline Protectionの準備またはInline Protectionへの移行に使用されているアカウントが、Microsoft 365 E5の開発者サブスクリプションに属しています。この場合、受信コネクタの作成がサポートされません。

    準備および移行には、Microsoft 365 E5開発者サブスクリプションに属しているアカウントを使用しないでください。

  • 考えられる理由2: Microsoft 365管理センターで作成した転送ルールの総数が、上限に達しています。

    続行する前に、Microsoft 365管理センターで不要な転送ルールを削除します。

Cloud App Security Inline Protectionによって検索されたメッセージの場合、Microsoft EOPの接続フィルタによって拒否されないようにするにはどうすればよいですか。

Inline Protection用のCloud App Security MTAのIPアドレスを、EOPのIP許可リストに追加します。

  1. Microsoft 365 Defenderポータル[ポリシー] セクションで、[電子メールとコラボレーション] > [ポリシーとルール] > [脅威のポリシー] > [迷惑メール対策] の順に移動します。

  2. [スパム対策ポリシー] 画面で、ポリシーの名前をクリックし、リストから [接続フィルターポリシー (既定)] を選択します。

  3. 表示されたポリシーの詳細パネルで、[説明] セクションを設定し、[保存] をクリックします。

  4. [接続フィルター] セクションで、[接続フィルターポリシーの編集] をクリックします。

  5. 表示されたパネルで、[以下のIPアドレスまたはアドレス範囲からのメッセージを常に許可する] を設定します。これは、IP許可リストです。

    ご使用のサイトに基づいて、Inline Protection用のCloud App Security MTAのIPアドレスを追加します。

    受信メッセージ用のCloud App Security Inline Protection MTAのIPアドレスは、次のとおりです。

    • 米国のサイト: 20.245.215.64/28

    • EUのサイト: 20.4.48.48/28

    • 日本のサイト: 13.78.70.144/28

    • オーストラリアとニュージーランドのサイト: 20.70.30.192/28

    • カナダのサイト: 52.228.5.240/28

    • シンガポールのサイト: 52.163.102.112/28

    • 英国のサイト: 20.254.97.192/28

    • インドのサイト: 20.204.179.112/28

    送信メッセージ用のCloud App Security Inline Protection MTAのIPアドレスは、次のとおりです。

    • 米国のサイト: 20.66.85.0/28

    • EUのサイト: 20.160.56.80/28

    • 日本のサイト: 20.78.49.240/28

    • オーストラリアとニュージーランドのサイト: 20.227.209.48/28

    • カナダのサイト: 20.220.229.208/28

    • シンガポールのサイト: 52.163.216.240/28

    • 英国のサイト: 20.0.233.224/28

    • インドのサイト: 20.235.86.144/28

詳細については、Microsoftのドキュメントを参照してください。

Cloud App Security管理コンソールのセッションタイムアウト期間はどのくらいですか。

Cloud App Security管理コンソールのセッションタイムアウト期間は1時間です。1時間以内に管理コンソールで操作を実行しない場合は、コンソールから自動的にログアウトされます。

Cloud App Securityインライン保護とTrend Micro Email Securityの両方を使用している場合に、ユーザにメールが届かないのはなぜですか。

Trend Micro Email Securityからのメールのみを受け付けるように、転送ルール [送信者または受信者でメッセージを制限...] を追加してある場合、Microsoft Office 365のメールサーバはインライン保護のCloud App Security MTAからのメールを拒否します。インライン保護を正常に機能させるには、Cloud App Security MTAの次のIPアドレスを [送信者または受信者でメッセージを制限...] の除外リストに追加する必要があります:

  • 米国のサイト: 20.245.215.64/28、20.66.85.0/28

  • EUのサイト: 20.4.48.48/28、20.160.56.80/28

  • 日本のサイト: 13.78.70.144/28、20.78.49.240/28

  • オーストラリアとニュージーランドのサイト: 20.70.30.192/28、20.227.209.48/28

  • カナダのサイト: 52.228.5.240/28、20.220.229.208/28

  • シンガポールのサイト: 52.163.102.112/28、52.163.216.240/28

  • 英国のサイト: 20.254.97.192/28、20.0.233.224/28

  • インドのサイト: 20.204.179.112/28、20.235.86.144/28