ブログ(製品・サービス関連)

Office 365の自動脅威復旧の実現に向けて(第1部)

Eメールは、早々にクラウド移行の対象となったサービスのひとつです。Office 365を利用する組織が増加するにつれ、この傾向は加速しています。クラウド・サービスでは、Eメールのセキュリティを確保するだけでなく、脅威が検出された時の迅速な復旧が不可欠です。

Eメール・セキュリティ・ソリューションは、防御の第一線としての役割を果たします。SMTP(Simple Mail Transfer Protocol)がセキュリティを考慮した設計となっていないため、Eメールは攻撃者に狙われやすい攻撃ベクターの一つとなっています。攻撃者はそれを理解した上でEメールを狙ってくるため、Eメールへの対策は欠かすことができません。不正なEメールがユーザーの受信トレイに到着する前に検知、削除されれば、それに越したことはありません。なぜなら、いったん受信トレイにメールが到着してしまうと、あとはユーザー個々の判断に任されるからです。つまり、そのメールを開くか、リンクをクリックするか、返信するかなどのアクションを取るか取らないかは、受信者の判断次第になります。脅威が受信トレイの外にまで影響を及ぼした場合、状況はさらに深刻になり、侵害のリスクが高まります。だからこそ、攻撃者は不正なURLを不用心にクリックするようなユーザーを狙っているのです。

そこで問題です。もし、セキュリティ対策が良性であると判断したURLが、受信トレイに到着した後に悪性に変化するとしたら何が起こるでしょう?つまり、脅威が時間をさかのぼって、遡及的に不正なものとなる場合です。

FireEye Eメール・セキュリティ – Cloudエディションは、Eメールが遡及的に不正なものに変化した場合にもそれを検知し、削除し、対策することができます。これは、Office 365 APIとのシームレスな統合によって実装されています。

この機能は、以下のような場面でその価値を発揮します:

  • 不正な Eメールがユーザーの受信トレイに到着した後にも、管理者が不正メールを削除可能になる
  • サイバー脅威が引き起こすリスクの低減
  • 自動復旧対策オプションによって、アラート対応時間を削減
  • 脅威対応時間の短縮と影響の低減により、 ROIが向上
  • 中央ダッシュボードで Eメール隔離結果を一元管理

本ブログシリーズは2部構成となっています。第1部の本稿では、Office 365の自動復旧と、同機能が業務にもたらす価値について説明します。第2部では、Office 365の自動復旧設定方法について説明します。

Office 365の自動復旧

FireEye Eメール・セキュリティは、FireEyeエコシステム全体で共有される、脅威インテリジェンスを活用しています。これはつまり、FireEye 製品から構成されるネットワークが不正トラフィックに関する情報を検知し、それによってFireEye Eメール・セキュリティのユーザーすべてが保護されることを意味します。FireEye によって受信トレイに到着後に有害化すると判断されたEメール内のURLや添付ファイルがあった場合、遡及的アラートが発生します。

このアラートが発生すると、Office 365の自動復旧機能がユーザーの受信トレイからメールを抽出します。受信トレイ到着後に不正と判断されたEメールは、FireEye Eメール・セキュリティ – Cloudエディションによって、Office 365 APIを経由して削除されます。セキュリティ管理者はポリシーを作成し、3つのポリシー・アクションである「隔離」「管理者によって指定されたフォルダへの移動」「完全削除」のいずれかを設定することができます。


図1:Office 365の自動復旧のポリシー・アクション

受信トレイ到着後に有害化したURLの例

以下の例では、Office 365の自動復旧がどのように動作するかについて説明しています。

図2の例では、Eメールが午前7時55分にインバウンドEメール・サーバーによって受信されています。この時、SPAM、なりすまし、既知マルウェア、既知の不正URLなどがチェックされます。判断のつかない新たなURLの場合は、FireEye Advanced URL Defense (FAUDE)機能によって詳細な解析が行われます。この時点で、当該URLは良性と判定されています。よって本Eメールは無害と判断され、午前7時56分にユーザーの受信トレイに到着します。


図2:Eメールは良性と判断され、ユーザーの受信トレイに到着

この時、攻撃者は一定時間経過後に当該URLを有害化します。これは攻撃に用いられる一般的な手法の一つです。ユーザーの受信トレイに対する遡及的なスキャンが実施された結果、当該URLに対し午前8時15分に「有罪判決」が下され、遡及的アラートが発生します。


図3:Eメールの遡及的分析 - 有害と判断されたURLにより遡及的アラートが生じ、自動抽出が行われる

FireEye Eメール・セキュリティ – CloudエディションのGUI経由で、Office 365に対する自動修正ポリシーを定義することができます。ポリシーが設定されると、遡及的に有害と判断されたEメールがユーザーの受信トレイから抽出された後、「隔離」「移動」または「永久に削除」のいずれかを実行することができます。自動化により、マニュアル検索や抽出といった手のかかる作業から人的リソースを開放し、対応時間の平均値を数秒にまで短縮することが可能になります。復旧の自動化はつまり、24時間稼働可能であることを意味し、24時間稼働するSOCを持っていない組織を補完することができます。

Office 365の自動復旧ポリシーの設定について、本ブログの第2部もぜひご覧ください。また、同様の機能を無償でお試しいただけるプログラム、Eメール・セキュリティ診断サービス for Office 365を併せてお試しください。

本ブログは、米FireEyeが公開した「Automated Threat Remediation for Office 365 Is Now a Few Clicks Away (Part One)」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa