Exchange Online Protection(EOP)を理解する

こんにちは、酒井です。

“Exchange Online Protection”(以下EOP)は、Microsoftのメールサービス “Exchange Online” に付帯しているメールセキュリティサービスです。

マルウェア添付メールやなりすまし、フィッシングメールなどあらゆるメールを用いたサイバー攻撃からメールユーザーを保護します。

なお、Microsoftは世界で最もサイバー攻撃を受けている企業の一つなので、自社内にセキュリティ攻撃に関する膨大なナレッジがあります。そしてそのナレッジをもとにセキュリティソリューションを提供しています。

そんな高品質なメールセキュリティが”Exchange Online”に無料でついてくるなんて、非常にコスパがいいですよね!

しかし、無料で使えるがゆえに

  • 「何か足りない気がする(気がするだけ)」
  • 「別途有料のメールセキュリティも購入したほうが安心かも」

といった不安を持たれるユーザーさんが多いです。

そこで、本記事ではEOPを安心して使っていただくために必要な事項を5つお伝えします!

少し長くなりますが、できるだけわかりやすく説明しますのでよろしくお願いいたします!

Exchange Online Protection(EOP)概要


EOPについて、Microsoftの公式ドキュメント曰く、

Exchange Online Protection (EOP) は、スパム、マルウェア、その他のメールの脅威から組織を保護するクラウドベースのフィルタリング サービスです。

https://docs.microsoft.com/ja-jp/microsoft-365/security/office-365-security/exchange-online-protection-overview?view=o365-worldwide

とのこと。

かみ砕いて説明すると、

  • メール関連の攻撃全部対応できる
  • クラウドベースだから常に最新版のセキュリティが適用される

というものです。

面倒な方は、「メールに関するセキュリティ対策はEOPを導入しておけばオールおっけい。常に最新版適用されていくれるから管理者によるパッチ更新作業とかも不要。楽ちんセキュリティサービス。」ぐらいの理解でよいかと思います。

つまり、EOPですべて対応できるため他のメールセキュリティは基本的に不要です。

なお、MicrosoftからはEOPによるセキュリティ機能に加えてより高度なセキュリティ機能を提供する “Microsoft Defender for Office 365” というライセンスもあります。添付ファイル付きメールを事前にサンドボックスと呼ばれる安全な環境で開いて中身を確認したり、メール本文に記載されているURLリンクすべてを都度チェックしたり、高度化するメール攻撃への対応ソリューションとして提供されています。

「え、じゃあEOPだけじゃたりないってことじゃん!嘘つき!」と思われた方、ちょっと待ってください。

“Microsoft Defender for Office 365” の導入を検討するポイントとしては、

  • エンタープライズ規模の企業または団体である
  • 社内セキュリティポリシー上、サンドボックスなどが必須である
  • すでに標的型攻撃などのメール攻撃を受けている

これらに当てはまる場合だと私は考えています。

そもそも”Microsoft Defender for Office 365″ は機能的にもお値段的にもリッチなセキュリティサービスですので、多くの場合EOPのみでメールセキュリティは十分です。

後程「Exchange Online Protection(EOP)機能全体像」にて具体的な機能をご紹介いたしますので、そちらをご確認いただければ機能的に十分であることをご理解いただけるかと存じます。

Exchange Online Protection(EOP)は初期設定不要


EOPを利用するにあたって、管理者側で設定することは何もありません。

”Exchange Online”が有効になった時点でテナントに対してデフォルトのメールセキュリティが適用されます。デフォルトのメールセキュリティにはマルウェア添付メールやフィッシングメールへのフィルタリングが含まれていますので、メール利用開始と同時にあらゆる攻撃から保護されている状態となります。

初期設定が不要なのは管理者としては楽ちんすぎます

また、デフォルトの各種設定値はMicrosoftの推奨値となっています。ですので、特別な理由がない限りEOPの設定値を変更することはないとかと存じます。

念のため、変更する可能性がある設定項目については本記事最後「Exchange Online Protection(EOP)でよくカスタムされる設置値項目」にて紹介しています。気になる方はご確認ください。

Exchange Online Protection(EOP)機能全体像


EOPで提供されるメールセキュリティ機能は以下の通りです。とりいそぎざっくり説明を記載しております。

機能説明
ブロックリストブロックしたいメールドメインや送信者を指定できる機能。
接続フィルターブロックまたは許可したい接続元IPアドレスを指定できる機能。
マルウェアフィルター添付ファイルからマルウェアを検知して検疫、置き換えする機能
トランスポートルール柔軟な条件でメールのとりあつかいを指定できる機能。
スパムフィルター受信したスパムメールを検知して検疫、迷惑メールフォルダへ格納する機能。
ユーザーのOutlook設定ユーザー自身で設定可能な、受信拒否または許可機能。
送信スパム自分の組織から送信されるスパムメールを検知してブロックする機能。
リモートドメイン他ドメインへの自動転送を防ぐ等の機能。
メールボックスへのセキュリティ受信ボックスへ配送されたメールに対して適用される各セキュリティ機能。

この中でデフォルトで設定されている機能は、

  • マルウェアフィルター
  • スパムフィルター
  • 送信スパム
  • メールボックスへのセキュリティ

の4つであり、その他は組織の要件によってカスタムで設定することが多い機能です。

もちろん各機能は説明で記載した以上に細かい制御や設定項目がありますが、膨大な量になりますのでこちらでは割愛させていただきます。どうしても全部細かく知っておきたい!という方は、Microsoft公式ドキュメントの「Exchange Online Protection の概要」をご確認ください。

セキュリティフィルター適用対象および順番


シナリオによって適用されるセキュリティフィルターや順番が異なります。

<外部から内部の場合>

ブロックリスト⇒接続フィルター⇒マルウェアフィルター⇒トランスポートルール⇒スパムフィルター⇒ユーザーのOutlook設定⇒メールボックスのセキュリティ

<内部から外部の場合>

マルウェアフィルター⇒トランスポートルール⇒送信スパム⇒リモートドメイン

<内部から内部の場合>

マルウェアフィルター⇒トランスポートルール⇒ユーザーのOutlook設定⇒メールボックスへのセキュリティ

ぶっちゃけ適用順について気にする方は少ないと思いますが、シナリオによって適用されるメールセキュリティが異なることはご認識いただいたほうがよろしいかと存じます。

Exchange Online Protection(EOP)でよくカスタムされる設置値項目


基本的にEOPはデフォルトの設定がMicrosoft推奨な為、カスタムすることはありません。

ただ、利用される組織のポリシーによってしばしば変更される設定項目がありますので紹介します。

ゼロアワー自動消去(ZAP)

ゼロアワー自動消去(ZAP)とは、「受信ボックスへ配送されたメールを事後的に検知して検疫または迷惑メールフォルダへ移動する機能」です。

具体的には、受信ボックスに入ったメールがあとあとEOPによって「これ悪意のあるメールじゃん!」と検知されることがあります。その際に自動的に受信ボックスから当該メールが移動させられるという動きになります。ユーザーからすると、「あれ?受信ボックスにあったはずのメールがなんか消えてる。」という見え方になります。

本機能は事前に検知できなかった悪意のあるメールへ対しても対処できる優秀なメールセキュリティ機能なのですが、いかんせんユーザーは混乱します。なぜなら、受信していたはずのメールが突如きえてなくなるのですから。混乱したユーザーから管理者へ問い合わせが発生する可能性もあります。

ですので、ゼロアワー自動消去(ZAP)はユーザーの混乱回避や管理者の問い合わせ対応工数削除のため、EOPの中ではしばしば無効にされる機能です。

もちろん、Microsoftとして無効化は非推奨です。セキュリティリスクを承知したうえでのカスタマイズをお願いいたします。

まとめ


EOP は Exchange Online に付随する、無料で利用可能な高品質なメールセキュリティです。

管理者による初期セットアップ不要で、基本的なメールセキュリティ機能はデフォルトで有効化されています。

組織のポリシーによっては細かいカスタマイズが必要かと思いますが、手軽に利用できるセキュリティサービスとして、ぜひ皆さまご活用ください!


その他Microsoft 365やAzureに関するお悩み、ご相談がありましたらお気軽にWITHWITまでご相談ください!
提案実績100社以上、Microsoft 365やAzureなどMicrosoftクラウドサービスに特化したエンジニアが要件定義から構築まで対応させて頂きます!

関連記事

  1. 受信コネクタ 証明書ベースで作成する際の注意点

  2. 【Exchange Online】IPスロットリング回避方法

  3. Office 365 基本認証廃止の影響を確認する

  4. Intuneで最新Windowsアップデートを適用

  5. Teasm会議参加者のマイクとカメラオフを強制

  6. IntuneでChromeのブックマークを設定

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。