Office 365 ATP(Advanced Threat Protection)とは?
本記事は Office 365 Advent Calendar 2018 に参加しています。
https://adventar.org/calendars/3184
2018年も終わりに近づいてきましたが、今年も Office 365 を狙った攻撃は沢山ありました。
※具体的にどんな攻撃があったかについては以下のスライドP6,7にまとめてあるのでご興味のある方は見てみて下さい。
Office 365 に限らず、スパム・ウイルスの攻撃などは日々高度化しており従来の対応では困難なものも出てきています。
今回はコミュニティでもなかなか取り上げられる機会の少ない「Office 365 ATP」というセキュリティ強化の機能について取り上げてみたいと思います。
Office 365 ATP サービス概要
Office 365 ATP(Advanced Threat Protection)は Office 365 E5 に含まれている機能です。または Exchange Online の各プラン(P1/P2/Kiosk)や Office 365 の Suite 製品に追加することも可能です。
具体的には
- リンクの保護
- 添付ファイルの保護
- スプーフィング インテリジェンス(なりすまし対策)
- 検疫
- フィッシング詐欺対策機能
といった機能をもつセキュリティ強化するための製品です。
元々は メールを主とした機能でしたが、2018年10月には機能を拡張し、Teams、SharePoint Online、One Drive for Business、Office 365 ProPlus(Word、Excel、PowerPoint、Outlook)で扱われるコンテンツに対しても処理されるようになりました。
ひとつピックアップすると、例えばリンクの保護を行った場合、組織外からのメッセージのURL書き換えをし元の URL はリアルタイムで検知、悪意のあるリンクであった場合にはユーザー画面に警告画面表示やサイト閲覧ブロックを行います。
警告画面は以下のようなものがでます。
管理者は URL トレース機能を使い、悪意のあるリンクに対して誰がどのリンクをクリックしたのかを追跡することが可能です。また、標準のレポート機能で Office 365 ATP の処理状況、ファイルの種類ごとのレポートを見る事もできます。
EOP(Exchange Online Protection)と何が違うの?
EOPも似たような機能じゃなかったっけ?と思われる方もいらっしゃるかと思いますが、Office 365 ATP は EOP のアンチスパムフィルターを通過したものだけに適応されます。Office 365 ATP を適応したものはサービス上の仮想 OS で保護された領域で添付ファイルを検出します。
例えば EOP のフィルターを通ってしまったマルウェア付きのメールが Office 365 ATP を適応していないユーザーには着弾、適応しているユーザーにはサービスの仮想環境で検出の上悪意と判断されればメッセージをブロックすることができます。
また、ポリシー設定でマルウェアに対する動作も設定することができ、全面的にブロックする他に
モニター:マルウェアが見つかっても配信、スキャン結果は追跡を行う
置換:見つかったマルウェアを含む添付ファイルのみ削除しメッセージは配信
動的配信:添付ファイルスキャン中はメールだけ先に配信、安全であれば後でマージ ※Exchange Online のみ対象
など、柔軟な設定をすることができます。
まとめ
何も起こらなければ費用対効果が見えにくいセキュリティにどこまでお金をかけるか?はかなりシビアな問題かと思います。
ですが、攻撃は日々進化・高度化していく中で「絶対にうちは大丈夫」と言い切れる環境を作ることもなかなか難しく、且つ対策によっては生産性を下げる要因になったりします。
こういったセキュリティ商材を私自身は保険商品だと思っており、安心を買う・何かあった場合にエライ人が頭を下げる、みたいなことを防ぐ(場合によっては軽減する)ための投資ではないかな?と思っています。
来年以降も、 Microsoft 365 に関わる記事はどんどん書いていこうと思います。少し早いですが Microsoft 365 Lover な皆さま良いお年を!