Microsoft Office 365 Advanced Threat Protection：完全な概要

現在、安全脆弱性を引き起こし、その後にデータ丧失を発生させることができる脅威は、数に尽きません。2021年には、スパムとフィシング電子メールは勒索软件への最も一般的な配信手段となっていました。手動で悪意のある攻撃を侦测し、防ごうとするのは不可能な課題です。しかしながら、Office 365アプリケーションとサービスには、マイクロソフトが提供している侦测と対応ツールのセットがあり、これらを自動化して安全を簡素化することができます。

Office 365 Advanced Threat Protection (ATP)は、2020年9月以降Microsoft Defender for Office 365として名称を変更されたツールで、オンプレミスおよびクラウド環境を保護するために入力された通信と共有内容を確認することで、オンライン脅威を防止するためのツールのコレクションです。

Advanced Threat Protectionとは何か？

Office 365 Advanced Threat Protection (ATP)は、サイバー脅威の防止と detectionサービスで、クラウドベースのフィルタリングサービスです。ATPは、オフィス365サービスを通じて広がられるウイルスや他のマルウェア（ゼロデイ攻撃も含む）に対して、組織を保護することができます。ATPは、最新のウイルスサインaturary databaseにも認識されない、新しいウイルスや未知の複雑な脅威を認識することができます。

Office 365 Advanced Threat Protectionの動作方式

Office 365 Advanced Threat Protectionは、システム管理者によって構成されるべきポリシーに依存しています。 ATPは、組織、ドメイン、ユーザー、および受信者のレベルでデータ、不審な動作、およびその他のパラメーターをフィルタリングします。

Office 365 Advanced Threat Protectionは、Exchange Online Protection（EOP）およびOffice 365 Threat Intelligenceと統合して動作することができます。クラウドでATPを使用することで、メールサーバーやメールサーバー上の保護システム、およびオンプレミスサーバーをオフロードできます。他のツール（EOPなど）を使用している場合でも、Office 365 Advanced Threat Protectionをオフにしないことをお勧めします。

Advanced Threat Protectionは、ユーザーがOneDrive for Business、SharePoint Online、およびTeamsにアップロードした電子メールの添付ファイル、リンク、およびファイルを保護できます。さらに、ATPはフィッシングWebサイトへのリンク、マルウェアコードのアップロードされたサイト、およびダウンロード/アップロードされたファイルに悪意のあるコードが存在するかどうかを検出できます。URLトレース機能を使用すると、脅威の潜在的なソースをブロックし、それらの性質とその発信元を理解するのに役立ちます。

Advanced Threat Protectionの機能

Office 365 Advanced Threat Protectionには、Office 365サービスを使用する際にデータを保護するための多くの便利な機能が含まれています。これらの機能を詳細に調べてみましょう。

ポリシー

ポリシーは保護レベルと事前定義された脅威への対応を決定し、それぞれ異なるレベルで設定できます。ポリシーは柔軟なオプションを提供し、Microsoft 365を管理するシステム管理者が構成できます。システム管理者として、どのユーザーがポリシーの影響を受けるか、そしてこれらのポリシーがどれだけ厳格かを設定できます。

安全な添付ファイル

安全な添付ファイルは、電子メールに添付されたファイルが悪意のあるものでないことを保証します。ゼロデイ保護が提供され、メールメッセージングシステムを保護します。メッセージがユーザーのメールボックスに受信される前に、メッセージは特別な環境にルーティングされ、添付ファイルがウイルスの署名、機械学習、および高度な分析技術を使用してウイルスを検出するためにチェックされます。電子メールの添付ファイルでウイルスが検出されない場合、電子メールメッセージはメールボックスに転送されます。安全な添付ファイルを担当する機能は、添付ファイルのサンドボックス化と呼ばれます。

安全なリンク

安全なリンクは、安全な添付ファイルと同様の動作原理を使用します。この機能は、Microsoft 365環境でアップロード/ダウンロードされる電子メールやその他のファイル内のリンクをチェックします。Microsoft 365 ATPがリンクが安全でないと検出した場合、警告メッセージが表示されます（ダウンロード可能なファイルと同様）。

ユーザーが悪意のあると検出されたリンクをクリックしようとした場合、機能を警告ページにリダイレクトするように構成できます。システムは動的に悪意のあるリンクをブロックします。安全なリンク機能は更新され、Microsoftクラウド内のウェブページへのオリジナルのリンクを修正されたリンクで置換しません。

SharePoint Online用のATP

SharePoint Onlineを使用してコラボレーションするユーザーを保護します。組織内で共有されたファイルやドキュメント ライブラリ内の不審なファイルを検出し、ブロックするこの機能では、OneDriveに保存されたファイルも対象となります。検出された悪意のあるコンテンツはブロックされ、ユーザーはそれを開いたり、コピーしたり、移動したり、編集したり、共有したりすることはできません。悪意のあるファイルは削除するだけです。ファイルのダウンロード可能性は構成に依存します。

フィッシング対策

フィッシング対策ポリシーを定義した後、複雑なアルゴリズムを用いた自己学習システムモデルが自動的かつ迅速にフィッシング攻撃を検出します。メールボックスの知能はユーザーのメールやコミュニケーションの習慣を分析し、そのデータを集約して将来のフィッシング試行を検出するのに役立ちます。これらの厳格な措置により、詐欺攻撃を行うことは困難になります。

隔離

望ましくないまたは潜在的に危険なファイルは、隔離領域に移動されます。システム管理者として、隔離されたデータを手動で復元または削除できます。それ以外の場合、このデータは構成された保持期間が切れた後に削除されます。Microsoft 365 Exchange Online Protectionを使用したことがある場合は、隔離の動作原理に精通しているかもしれません。

スプーフィング知能

ハッカーは、送信者の名前を置き換えることで、1つまたは複数のアカウントの代わりに電子メールを送信することができます。ユーザーがそのような「スプーフィング」メールを受信すると、送信者がマネージャーの名前を送信者フィールドに使用している場合、安全に見えるかもしれません。送信者名にマネージャーの名前を使用している場合、送信者名がリアルかスプーフされているかを検出する Spoof Intelligence 機能が含まれています。 特定の会社ドメインを使用するユーザーの完全なリストを表示し、組織のドメインまたは外部ドメインをスプーフしているかどうかを確認できます。 管理者として、組織の従業員であるかのように振る舞うドメイン名またはユーザー名を使用している送信者をブロックできます。

Office 365 Advanced Threat Protection には Spoof Intelligence 機能が含まれており、送信者がリアルの名前を使用しているかスプーフされた名前を使用しているかを検出できます。 特定の会社ドメインを使用するユーザーの完全なリストを表示し、組織のドメインまたは外部ドメインをスプーフしているかどうかを確認できます。 管理者として、組織の従業員であるかのように振る舞うドメイン名またはユーザー名を使用している送信者をブロックできます。

レポート

Office 365 Advanced Threat Protection は、保護の状態を表示し、受信する脅威を分析できる情報提供レポートを提供します。 レポートは、検出された脅威に関する情報、悪意のある電子メール、およびその他の悪意のあるコンテンツを含む、単一のビューです。 Office 365 Advanced Threat Protection と Exchange Online Protection によって検出された脅威がレポートに表示されます。 レポートには、前の 90 日間の情報が表示されます（設定できる最大期間）。 レポートを分析した後、ポリシーを調整できます。

脅威の調査と対応

もしあなたが多くのOffice 365ユーザーを持つ大きな会社で働いているなら、多数のセキュリティアラートに圧倒されるかもしれません。多数のメールを属性に基づいて整理するのは、時間のかかる作業です。Office 365の脅威調査と対応は、システム管理者やセキュリティ専門家がより効率的に動作するのを助けることができます。検出された脅威を見ることができ、脅威を軽減するために様々な脅威に対して自動化されるアクションを構成できます。検出された脅威のために適切なアクションを含むプレイブックを作成でき、また、自動調査後にOffice 365のAdvanced Threat Protectionによって推奨されるアクションや脅威の除去をレビューして承認することもできます。

Microsoft 365のライセンス

Exchange Online Protectionは、Microsoft 365のユーザーにデフォルトで提供される一方、Advanced Threat Protectionはハイエンドの購読プランまたは別途購入する必要があります。例えば、Microsoft 365のE3には高度な脅威保護が含まれていません。

Microsoft Office 365のAdvanced Threat Protectionは、次のサブスクリプションプランに含まれています

• 。Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

ただし、次のサブスクリプションプランにOffice 365のAdvanced Threat Protectionライセンスを追加することもできます。

• Exchange Online Plan 1
• Exchange Online Plan 2
• Exchange Online Kiosk
• Exchange Online Protection
• Microsoft 365 Business BasicMicrosoft 365 Business Standard
• Microsoft 365 Business Standard
• Microsoft 365 Enterprise E1
• Microsoft 365 Enterprise E3
• Microsoft 365 Enterprise F3
• Microsoft 365 A1
• Microsoft 365 A3

もしOffice 365 Advanced Threat Protectionがサブスクリプションプランに含まれていない場合、ユーザーごとのライセンスモデルを使用して、以下のスタンドアロンATPサブスクリプションプランのいずれかを購入できます：

• Advanced Threat Protection Plan 1
• Advanced Threat Protection Plan 2

Advanced Threat Protection Configuration

更新: Office 365 Advanced Threat Protectionは2020年9月にMicrosoft Defender for Office 365になりました。以下にリストされている機能のいずれかを構成するには、Defenderポータルにアクセスする必要があります。

Office 365 Advanced Threat Protectionを構成する方法を見てみましょう：

1. Microsoft 365 管理センターのウェブインターフェイスをhttps://admin.microsoft.comから開き、ウィンドウの左ペインにある管理センター＞セキュリティに移動します。

別の方法として、Microsoft 365 セキュリティ＆コンプライアンス管理者センターへの直接リンクを開くことができます: https://protection.office.com

2. 左側のパネルで、脅威マネージャーをクリックし、次にダッシュボードをクリックします。

セキュリティダッシュボード、または脅威ダッシュボードは、現在の脅威保護状態と設定ページへのリンクを表示します。

マルウェア対策ポリシー

左側のパネル、またはナビゲーションパネルでポリシーをクリックすると、ポリシーの表示、編集、作成ができるページが表示されます。フィッシング対策、スパム対策、マルウェア対策ポリシーを設定できます。新しいマルウェア対策ポリシーを作成する方法を見てみましょう。

1. をクリックしますマルウェア対策.

2. 開いたマルウェア対策ページで、+ アイコンをクリックしてOffice 365 Advanced Threat Protectionの新しいマルウェア対策ポリシーを作成します。

3. A new pop-up window opens.

ポリシー名と説明を入力し、マルウェア検出応答などの他のポリシーオプションを定義します。

• マルウェア検出応答
• 一般的な添付ファイルタイプフィルター
• マルウェアゼロ時間自動プル
• 通知

最後に、このポリシーが適用される対象を指定し、保存をクリックします。

ポリシーが作成され、マルウェアページのポリシーリストに表示されます。

フィッシング対策ポリシー

フィッシング対策ポリシーは、マルウェア対策ポリシーよりもわずかに異なる方法で作成されます。

1. 以下は、指定されたテキストを日本語に翻訳したものです。

   脅威管理に移動し、ポリシーを選択してから反フィッシングをクリックします。

反フィッシングのページが開きます。このページを初めて開く場合、反フィッシングポリシーのリストは空になります。

2. 新しい反フィッシングポリシーを作成するために、+作成ボタンをクリックします。これはOffice 365 Advanced Threat Protection用です。

3. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:

• ポリシー名を付ける。新しい反フィッシングポリシーの名前を入力します。説明も入力可能です。

• 適用対象。このポリシーが適用または除外される組織内の受信者やドメインを定義します。条件を追加して、受信者を選択してください。例えば、ポリシーをドメイン全体、グループメンバーシップ、またはグループとドメインの組み合わせに適用できます。その後、次へをクリックします。

• 設定の確認。設定を確認し、必要に応じて編集してください。正しい場合は、このポリシーを作成をクリックします。

隔離

Office 365 Advanced Threat Protectionで適切な設定を使用している場合、潜在的に危険と分類された電子メールメッセージとファイルは隔離されます。脅威管理に移動し、確認を選択してから隔離を開きます。また、この直接リンクを使用することもできます：https://protection.office.com/quarantine

注: 隔離は管理者または隔離を管理するアクセス許可を持つ別のユーザーによってアクセスできます。Office 365 セキュリティ & コンプライアンス センターの隔離ロールのメンバーは、隔離を管理するアクセス許可を持っています。

隔離ページでは、必要な列のタイトルをクリックして結果を並べ替えることができます。列の変更をクリックして、表示する列を選択してください。

レポート

レポートは、Microsoft 365 環境の現在の状態と統計情報を表示するために役立ちます。Office 365 セキュリティ & コンプライアンス管理者センターのナビゲーション ウィンドウで、レポート > ダッシュボードをクリックして、グラフと図で構成されるダッシュボードを表示します。

このページでは、次の概要を表示できます。

• ダウンロードのための最近のレポート
• トップ 5 ラベル
• 過去 90 日間のラベルのトレンド
• ラベルの適用方法
• レコードとして分類されたラベル
• Exchange トランスポート ルール
• 脅威保護の状態
• 電子メールで検出されたマルウェア
• トップ マルウェア
• トップ 送信者および受信者
• スプーフィング検出
• スパム検出
• 侵害されたユーザー
• 送信および受信電子メール
• 監督
• 転送レポート
• コネクタ レポート
• 暗号化レポート

グラフをホバーすると、より詳細な情報が表示されます。必要なグラフィックやダイアグラムをクリックして、フルスクリーンモードで開き、詳細を確認してください。スプーフィング検出をクリックすると、詳細なスプーフィングメールレポートが表示されます。

デフォルトでは、グラフに7日間が表示されますが、設定で最大90日間まで延長できます。Microsoft 365 with Advanced Threat Protectionのトライアルユーザーは、レポートで最大30日間のデータを確認できます。

結論

Office 365 Advanced Threat Protectionは、OneDrive、SharePoint Online、Exchange Online、SharePoint Onlineなどの他のMicrosoft 365サービスと統合されています。ATPは、有害なリンク、ウイルス、マルウェアなどの様々なセキュリティ上の脅威からメールを保護するのに役立ちます。

ただし、より高いレベルのデータ保護を実現するために、NAKIVO Backup & Replicationのような専用のソリューションでMicrosoft Office 365のすべてのデータをバックアップする必要があります。NAKIVOソリューションでは、Microsoft 365データの差分バックアップを作成し、柔軟なポイントインタイム復元を提供します。