Exchange Online Advanced Threat Protection (ATP) by Office365

update:2015/7/19, 2015/8/1

Exchange Online Advanced Threat Protectionが利用できるようになっていた!

(参考)Exchange Online Advanced Threat Protection の概要(Japan Office Official Blog)

(参考)Exchange Online Advanced Threat Protectionサービス説明(Microsoft)

通常のExchange Onlineには、EOP(Exchange Online Protection)により、脅威が企業のファイアウォールに到達する前に、マルチレイヤのリアルタイム スパム対策およびマルチエンジンのマルウェア対策により脅威を排除するという、高度なセキュリティが備わっています。例えば、既知のマルウェアとウイルスに対し 3 種類のエンジンを使用して堅牢な階層型のウイルス対策保護を提供しています。

eop

しかし、標的型攻撃(APT:Advanced Persistent Threat)を始めとした、ワールドワイトでのハッカーによる攻撃が増大・高度化し、企業にとっては、詳細な保護機能を備えたツールを求められている時代となってきた。マイクロソフトとしての新オプションサービスとして、ATP(Advanced Threat Protection)をリリースした契機となった模様です。

 

この、新オプションサービスでは、従来型のセキュリティ機能の拡張として、未知のマルウェアやウイルスに対する保護機能(ヒューリスティック機能の搭載)、およびゼロデイ攻撃への対策機能が提供されるようになりました。これにより、既知のウイルスやマルウェアのシグネチャ(定義ファイルデータ)が含まれていないメッセージと添付ファイルは、別システムによって高度な処理が行われ、さまざまな機械学習や分析の手法によって挙動が分析され、悪意のある動作が検出されなければ、メッセージがメールボックスに配信されるといった、FireEyeのような機能が搭載されたといって過言無いかもしれません。また、URLリンクにおいても、悪意のあるリンクでは、巧妙にクリックしそうになる仕掛けで受信者を騙します。ATPでは、悪意のあるリンクを受信者がクリックした場合、動的にスキャニングが働き、安全なリンクのみ、アクセスさせるという機能が搭載されました。また、これらの新エンジンによって、ブロックされた情報は、透明性を図るため、レポート作成機能や、トレースを利用して調査が可能になっています。

 

ATPでは、コンテナ全てに包括として設定するのではなく、1ユーザずつ紐付けることができる仕組みになっています。スパムが多いユーザや、クリックしそうになるユーザに対して、この機能を追加する、という購入の仕方ができます。

ATP

 

ATPを有効によって、追加された機能は、赤枠部分だ。

ATP

各ポリシーは次のように設定が可能だ。

ATP ATP

 

URLのトレースは次のように可能だ。加害者と問われた際に、このトレースは有効的だ。

ATP

 

大規模企業や、IT投資にお金がかけられる企業であれば、FireEyeMcAfee NSP等での導入で対策はできそうだが、そこまでの投資ができない企業では、このサービスは実に有効的だ。特に、SOHOや個人での利用は、到底、FireEyeは入れられないために、これはかなり有効的な機能かもしれない。ただし、メール経由での対策だけれども。

 

標的型攻撃は、企業だけでなく、個人も狙われる可能性はある。個人は特に法人のような高度なセキュリティ対策ができないため、少しでも近づけるためにも、このATP機能は必ず効果的と考えられる。非常に良い製品だ。

(以下、2015/8/1追記文)

ポリシーを適用した後は、受信メールには、解析用URLが追加された形で長いURLとして表示される。ここは非常に評価できない。どのURL接続しているか、かえってわかりにくい。
ここはサービスリクエストをあげながら、改善してもらえるよう、アピールしていきたい。

ATPメール

ただしリンク先は、このような正規のアドレスで表示される。

ATP