メインコンテンツへスキップ
English (US) 简体中文 繁體中文

[Cloud Protection] 運用ポリシーの検討

対象

  • Cloud Protection の管理者

目的

  • Cloud Protection で脅威が発見された場合の対応として管理者が予め検討すべき項目について説明します。

注意事項

  1. 本記事の内容は 2025 年 5 月時点での製品内容をもとにしたものであり、以後予告なく変更される場合があります。

発見できる脅威の種類

Cloud Protection では、Microsoft 365 上で発生しうる下記の脅威をリアルタイムで監視し、脅威の発生を検知した場合は自動的に対処を行うことが可能です。

  1. Exchange Online
    ・Exchange Online 上のアイテム (※) に添付されたマルウェア (ウィルス、トロイの木馬、ランサムウェアなど) を含むファイル
    ・Exchange Online アイテム 上の有害な URL
    ・第三者への Microsoft 365 アカウントの流出 (アカウントの侵害)
    ・悪意のある受信トレイ ルール
    ※ メール、添付ファイル、カレンダーの予定、メモ、連絡先、グループなどの Microsoft Office 365 ユーザメールボックスアイテム
  2. SharePoint
    ・作成されたサイトにアップロードされたマルウェア (ウィルス、トロイの木馬、ランサムウェアなど) を含むファイル
  3. OneDrive
    ・アップロードされたマルウェア (ウィルス、トロイの木馬、ランサムウェアなど) を含むファイル
  4. Teams
    ・アップロードされたマルウェア (ウィルス、トロイの木馬、ランサムウェアなど) を含むファイル

脅威への対応

脅威が検出された場合、以下の対応が可能です。

Exchange Online

1. Exchange Online アイテムに添付されたマルウェアファイル+

・Exchange Online アイテム全体、もしくはマルウェアファイルのみを自動的に削除する 
・Exchange Online アイテム全体、もしくはマルウェアファイルのみを自動的に隔離する
・特にアクションは行わない

説明:
削除を選択する場合、Exchange Online アイテム、もしくはマルウェアファイルは復元できず、完全に削除されます。
隔離を選択する場合、Exchange Online アイテム、もしくはマルウェアファイルは一時的に Microsoft 365 上からは非表示となり、エンド ユーザーの端末に拡散する状態を防ぐことが可能です。
隔離状態となったファイルは管理者が Cloud Protection の管理画面上で確認することができ、後から復元 (解放) を行えます。
隔離されたアイテムの解放を行うと、アイテムは元々それが存在していた場所に復元され、ユーザーで閲覧・操作が可能となります。
一度解放されたファイルは解放を行ったあとでも、再検出された場合、隔離されます。

2. Exchange Online アイテム上の有害な URL+

・Exchange Online アイテムを自動的に削除する
・Exchange Online アイテムを自動的に隔離する
・件名を変更し、URLのリンクを解除する
・特にアクションは行わない

説明:
削除を選択する場合、Exchange Online アイテムは復元できず、完全に削除されます。
隔離を選択する場合、Exchange Online アイテムは一時的に Microsoft 365 上からは非表示となり、エンド ユーザーの端末に拡散する状態を防ぐことが可能です。
隔離状態となったアイテムは管理者が Cloud Protection の管理画面上で確認することができ、後から復元 (解放) を行えます。
隔離されたアイテムの解放を行うと、アイテムは元々それが存在していた場所に復元され、ユーザーで閲覧・操作が可能となります。

3. 悪意のある受信トレイ ルール+

・受信トレイのルールに不審なルールがないか検出する

説明:
メール移動、転送、削除などを行うような不審な受信トレイルールが検出された場合、管理者またはユーザーへ通知を行えます。

4. 侵害されたアカウント+

・接続している Microsoft 365 アカウントと、流出している ID が一致しているか検出する

接続している Microsoft 365 アカウントと、流出している ID の一致が検出された場合、管理者またはユーザーへ通知を行えます。

5. 通知+

上記各処理が検出された場合、通知先を定義することができます。
・ユーザーへのメール通知
・管理者へのメール アドレスへのメール通知
・上記 2 つの項目をいずれも行う

SharePoint

1. SharePoint サイトにアップロードされたマルウェアファイル+

・マルウェアファイルを自動的に隔離する
・マルウェアファイルを自動的に削除する
・特にアクションは行わない

説明:
削除を選択する場合、SharePoint サイトにアップロードされたマルウェアファイルは復元できず、完全に削除されます。
隔離を選択する場合、一時的にマルウェアファイルが隔離され、エンド ユーザーの端末に拡散する状態を防ぐことが可能です。
隔離状態となったファイルは管理者が Cloud Protection の管理画面上で確認することができ、後から復元 (解放) を行えます。
隔離されたアイテムの解放を行うと、アイテムは元々それが存在していた場所に復元され、ユーザーで閲覧・操作が可能となります。
更に、以後安全なファイルとして Cloud Protection 内に記録され、今後同一のファイルがアップロードされたとしても [検知] は行われますが [隔離] は実施されません。(Exchange 保護では一度解放されたファイルであっても隔離されます)
またその動作を元に戻す (再度隔離されるように戻す) ことはできません。
※ Teams との接続状況により隔離方法が異なります。
・Teams に接続していないチームサイトおよびコミュニケーションサイト : マルウェアファイルは一時的に Microsoft 365 上からは非表示となります。
・Teams に接続していないチームサイト : マルウェアファイルを隔離領域に移動し、ファイルは  [HARMFUL_CONTENT_REMOVED] が追記されたものに置き換わります。

2. 通知+

上記各処理が検出された場合、通知先を定義することができます。
・管理者へのメール アドレスへのメール通知

OneDrive

1. OneDrive にアップロードされたマルウェアファイル+

・マルウェアファイルを自動的に隔離する
・マルウェアファイルを自動的に削除する
・特にアクションは行わない

説明:
削除を選択する場合、OneDrive にアップロードされたマルウェアファイルは復元できず、完全に削除されます。
隔離を選択する場合、マルウェアファイルは一時的に Microsoft 365 上からは非表示となり、エンドユーザーの端末に拡散する状態を防ぐことが可能です。
隔離状態となったファイルは管理者が Cloud Protection の管理画面上で確認することができ、後から復元 (解放) を行えます。
隔離されたアイテムの解放を行うと、アイテムは元々それが存在していた場所に復元され、ユーザーで閲覧・操作が可能となります。
更に、以後安全なファイルとして Cloud Protection 内に記録され、今後同一のファイルがアップロードされたとしても [検知] は行われますが [隔離] は実施されません。(Exchange 保護では一度解放されたファイルであっても隔離されます)
またその動作を元に戻す (再度隔離されるように戻す) ことはできません。

2. 通知+

上記各処理が検出された場合、通知先を定義することができます。
・管理者へのメール アドレスへのメール通知

Teams

1. Teams サイトにアップロードされたマルウェアファイル+

・マルウェアファイルを自動的に隔離する
・マルウェアファイルを自動的に削除する
・特にアクションは行わない

削除を選択する場合、Teams にアップロードされたマルウェアを含むファイルは復元できず、完全に削除されます。
隔離を選択する場合、一時的にマルウェアファイルが隔離され、エンド ユーザーの端末に拡散する状態を防ぐことが可能です。
※ Teams チャットと Teams チャネルで隔離時の動作が異なります。
・Teams チャット : [チャット] タブと [共有済み] タブ共にファイルが表示されたままの状態で、本体は隔離されます。
※ PDF ファイルのみ他者とのチャットでプレビューすることが可能なのでご注意ください。
・Teams チャネル : [投稿] タブではファイルが表示されたままの状態で、本体は隔離されます。
[ファイル] タブでは、ファイル名へ  [HARMFUL_CONTENT_REMOVED] が追記されたものに置き換わり、ファイルは隔離されます。
隔離状態となったファイルは管理者が Cloud Protection の管理画面上で確認することができ、後から復元 (解放) を行えます。
隔離されたアイテムの解放を行うと、アイテムは元々それが存在していた場所に復元され、ユーザーで閲覧・操作が可能となります。
更に、以後安全なファイルとして Cloud Protection 内に記録され、今後同一のファイルがアップロードされたとしても [検知] は行われますが [隔離] は実施されません。(Exchange 保護では一度解放されたファイルであっても隔離されます)
またその動作を元に戻す (再度隔離されるように戻す) ことはできません。

2. 通知+

上記各処理が検出された場合、通知先を定義することができます。
・管理者へのメール通知

ポリシー設定の検討事項

Cloud Protection では下記の 3 種類の方法でポリシー設定を行い、運用を開始できます。

  • 処理は何も行わず通知のみ設定する
  • 一部ユーザーのみ保護する
  • 全ユーザーの検出 / 隔離を開始する

※ ポリシーの作成方法は下記をご参照ください
新しいポリシーの作成

▼ 処理は何も行わず通知のみ設定する+

ポリシーに以下の設定を行います。

【設定方法】

マルウェアスキャン及び URL スキャンの処理を以下に設定します。
処理:何も実行しない
参考記事:新しいポリシーの作成

【内容】

本設定では、マルウェアや悪意のある URL 等が検出されますが、実際の処理は何も行われません。
検出状況を確認することで、社内でどの程度マルウェア等が検出されるのかを確認することが可能です。
それにより、今後の運用に必要な工数を検討できます。
また、必要に応じてユーザーへ通知を行うことも可能です。
隔離を行わないため導入しやすく、初期設定時は本設定を推奨しています。

▼ 一部ユーザーのみ接続+

各サービスの保護対象ユーザーを指定します。
参考記事:保護対象メールボックスの接続手順

【設定方法】

クラウドサービスより、対象のサービス(Exchange、SharePoint等)を選択します。
Exchange:メールボックスの保護をカスタマイズを選択
SharePoint / OneDrive / Teams :新しく追加されたSharePointとTeams及び OneDriveのアセットを自動的に保護する を オフにします

【内容】

本設定では、実際に隔離等をポリシーで定義している場合、隔離されたときの動作や通知の動作を一部のユーザーのみへ展開できます。
対象を絞ることで、全体展開前に、本番運用に沿ったマニュアル作成や、ユーザー周知のタイミングを検討できます。
様々なポリシーで定義できる処理を検証し、段階的に運用を開始してください。

▼ 全ユーザーに適用を開始する+

すぐに全社展開し、運用を開始できます。
ポリシーで隔離処理が適用されている場合はユーザーのメールが隔離されるため、運用開始時は注意してください。

【設定方法】

クラウドサービスより、対象のサービス(Exchange、SharePoint等)を選択します。
Exchange:すべてのメールボックスを保護 
その他サービスはすべてを保護してください。
参考記事:保護対象メールボックスの接続手順

【内容】

本設定では、全ユーザーに適用されます。
隔離のポリシーを設定していた場合、ファイルは隔離が行われます。
懸念点などがない場合は、直ちにセキュリティ対策を開始できます。

参考

脅威の発生が検知された場合の対応
検出された脅威の詳細を確認する方法
ダッシュボードの確認