個人事業主でも標的型攻撃対策にサンドボックスが使える！　オプションだったATPがMicrosoft 365 Businessで標準利用可能に

　Microsoftが提供する中小企業向けのクラウドサービス「Microsoft 365 Business」の標準機能に、いつの間にかセキュリティ関連のサービスが追加されていた。追加された「EOA（Exchange Online Archiving）」「AIP（Azure Information Protection） P1」「ATP（Advance Thread Protection）」のうち、注目のATPを実際に試してみた。

お値段据え置き！

　「Windows 10 Businessに、Office 365 Business Premium、企業のシステム管理者様必携のIntuneまで付けて、月々のお値段、何と2180円！」

　「しかも、それだけじゃあないんです！！」

　「今回、このMicrosoft 365 Businessに、3大オプションとしてご好評いただいていたEOA、AIP、ATPの3つのサービスをお付けして、お値段、なんと据え置き!!　月々2180円のまま！　今まで通りの価格でご提供させていただきます！」

　ノリとしては、これくらいやってもいいんじゃないだろうか？

　いやあ、ひっそりオプションを追加するなんて、実にもったいない。

　2018年4月30日から、Microsoft 365 Businessに標準で含まれるサービスに、EOA、AIP(P1)、ATPの3つの機能が追加された。

「Microsoft 365 Business」にセキュリティ関連の機能が追加された

　Microsoft 365は、以前の本連載で取り上げたが、中小企業向けに提供されているクラウドサービスだ。

　「Office 365 Enterprise E3」と同等の月額料金で、「Windows 10 Business」のライセンスやデバイス管理用の「Intune」（これも機能追加されている）がセットになったサービスとなる。「Windows AutoPilot」でのデバイス自動設定など、中小企業の「兼業管理者」を助ける機能が使える上、スタッフ配置に役立つ「StuffHub」や、タスク管理ができる「Planner」などのアプリも提供されるなど、かなり使い勝手のいいサービスになっている。

　今までのままでも、十分に魅力的なサービスだと思っていたが、今回の強化でさらに魅力的になった印象だ。

標的型攻撃対策が可能なATP

　今回追加されたのは、Exchange Online ArchivingとAzure Information Protection、Advance Thread Protectionの3つのサービス。

　いずれも情報漏えいなどのセキュリティ周りを強化するサービスだ。EOAは無制限のメールアーカイブに対応するだけでなく、アーカイブされたメールを検索可能にすることで、内部からの情報漏えいなどの証拠を掴むことができる。

　AIPも、本連載で取り上げたことがある情報漏えい対策機能だ。少し古い記事なのでUIなどに変更があるが、企業アプリから個人アプリへのコピー＆ペーストを禁止するなどの対策ができる。

　そして今回、個人的に最も注目したいのが最後のATPだ。

　最近では、以前ほど、標的型攻撃やランサムウェアの被害が話題になることがなくなったが、ATPは、こうした従来のセキュリティ対策機能だけでは防ぎ切れない高度な攻撃に対抗するための機能だ。

　具体的には、サンドボックスを用いるセキュリティ対策ソリューションとなる。2017年あたりから、低価格なクラウド型サンドボックスソリューションも目立つようになってきているが、かつては規模や性能により数百から数千万円と非常に高価で、中小企業での導入が非常に困難だった。

　今までの1ユーザーあたり数百円というATPの価格も相当リーズナブルではあったが、これがお値段据え置きで使えるようになったのは、非常に大きなメリットと言える。

　製品の概要はこちらのウェブページが分かりやすいが、簡単に説明すると、メールに含まれるリンクや添付ファイルを隔離された環境（サンドボックス）で実際に開くことで、その安全性をチェックする方式となる。

ATPの機能概要。サンドボックスでメールの添付ファイルやリンクをチェックする

　一般的に、メールのリンクや添付ファイルは、ウイルス検索エンジンによってチェックされるが、標的型攻撃などでは、通常のウイルス検索エンジンでは検出が困難な亜種だったり、ゼロデイ攻撃（更新プログラム提供前の脆弱性を狙う攻撃）がなされることがあり、対策が難しいケースがある。

　サンドボックスでは、こうした攻撃を実際に隔離した環境で発動させることで、システムへの影響をチェックすることができる。言わば“毒味”だ。

　とは言え、最近ではサンドボックスで実行されていることを検知して活動を控えるマルウェアもあり、万全と言い切れるわけではない。だが、それでもサンドボックスがあるとないのとでは、明らかに1段階、セキュリティレベルが異なる。

　標的型攻撃の対象は、大企業だけとは言い切れなくなってきているだけに、中小企業向けのMicrosoft 365 Businessにおいて、追加料金なしでATPが使えるようになったことは、大きなメリットだ。

有効化するには設定が必要

　それでは、実際に使ってみることにしよう。ATPは標準で利用可能な機能だが、既定ではどのユーザーも対象となっていない。ポリシーを作成して、特定のユーザーに対して有効化しておく必要がある。

　「https://portal.office.com」からMicrosoft 365の設定画面にアクセスし、［管理センター］の［セキュリティ］を選択するか、直接、「Microsoft 365セキュリティ／コンプライアンスセンター」（https://protection.office.com）にアクセスし、［脅威の管理］にある［ポリシー］を選択する。

　すると、ATP関連の機能の設定を選択できるので、まずは［ATPの安全なファイル］で添付ファイルの検査を設定する。

Microsoft 365セキュリティ／コンプライアンスセンターで、ATP関連の機能を構成できる

　標準ではポリシーが何も設定されていないので、［＋］をクリックし、ポリシーの名前と検査方法を設定する。

　今回は検査方法で［動的配信］を選択した。動的配信は、メールを受信した際、メッセージだけ先にユーザーに配信し、添付ファイルに関しては、検査が完了した時点でダウンロード可能になる方式だ。

　続いて、いくつかのオプションを任意で設定した後、適用先を設定する。適用先は、任意のユーザー／ドメイン／グループを設定可能だ。ドメインを設定すれば全ユーザーが対象になる。場合によっては、重要なメールをやり取りする経営層などのユーザーだけを対象とすることも可能だ。

　このように設定すると、実際に添付ファイル付きのメールを受信したときに、メッセージは読めるものの、添付ファイルは「ATP Scan In Progress」と表示され、サンドボックスでの“毒味”が完了するまでクリックできなくなる。

動的配信でポリシーを作成

添付ファイルがチェックされる

　続いて、リンクの保護も同じように設定する。ポリシーの設定画面で［ATPの安全なリンク］をクリックし、同様に［特定の受信者に適用されるポリシー］を追加する。

　［ATPの安全なリンク］では、「Default」として全員に適用されるポリシーが設定済みとなっているが、こちらは全般的なオプションを定義するものとなっており、実際のスキャン設定は［特定の受信者に適用されるポリシー］で設定する。

　［＋］でポリシーを追加し、［設定］で機能を［オン］に設定。ダウンロード可能なコンテンツのスキャンなど、いくつかのオプションを選択後、適用先でユーザー、ドメイン、グループを選択する。

　これで「https://jpn01.safelinks.protection.outlook.com/url=xxxxxxxxxx」へと、メールに記載されたURLが置き換えられる。サンドボックスでの検査にしばらく時間が掛かるので、配信直後にクリックすると「このリンクは現在スキャン中です」と表示されるが、検査が完了して安全性が確認されると、普通にリンク先が表示されるようになる。

　いずれの場合も、メールの受信直後は、添付ファイルやリンクをクリックすることができないため、利便性は若干低下してしまうが、時間を掛けた分、ファイルやリンクの安全性がきちんと確保されることになる。

特定の受信者に適用されるポリシーでチェックを有効化

受信後すぐにリンクをクリックするとスキャン中と表示される

セキュリティ対策にお勧め

　以上、Microsoft 365 Businessへ新たに追加されたATPを実際に使ってみた。ATPそのものは決して新しい機能ではないが、改めて使って見ると、その有効性は高いと感じた。

　中小企業では、セキュリティ対策がおろそかになりがちだが、このように手軽な価格で、しかも簡単に使えるのであれば、導入しようという気になるはずだ。

　パートナー経由での販売が主なため、なかなか情報が一般に伝わりにくいMicrosoft 365 Businessだが、こうした新機能が今後も増えていくことを期待したいところだ。