Defender で多層防御!「安全なリンク」によるフィッシング対策
受信メールに記載されている URL、どのくらい安全性に注意を払って開いていますか?こちらをお読みの賢明な方なら注意を払っていらっしゃるでしょうが、社員全員に徹底させるのは難しいですよね。
また、リンクを使った脅威は巧妙になってきており、なかなか人の目で判別するのも難しいのが実情ではないでしょうか。
そんなわけで、Microsoft Defender for Office 365 の「安全なリンク」をご紹介します。
安全なリンク とは
メールや Teams、Office ファイルに記載されたリンクを開く前に、そのサイトが安全かどうかを確かめ、問題が見つかった場合はアクセスをブロックしてくれる機能です。
一部機能はライセンスを持っているだけで動作しますが、基本的にはポリシーを定義して機能を構成する必要があります。
機能・動作はメールと Teams、Office アプリで若干異なるので、分けて説明します:
メールの場合
メール受信時にメール本文に記載されている URL の安全性がチェックされます。
また、ポリシーでリンクの置換機能を有効にすると、メール本文中の URL が安全性チェックを行う URL に置き換えられるため、ユーザーはクリックするたびにリンク先の安全性のチェックを受けることになります。常に最新の脅威情報を基にチェックを受けられるので、安心ですね。
例えば、アレックスさんがアデルさんに、以下のような URL を含むメッセージを送信します。
アデルさんに「安全なリンク」の置換機能が有効になっているポリシーが割り当てられていると、受信したメッセージは以下のようになります。
URL が「https://nam12.safelinks.protection.outlook.com」で始まる長い文字列に置き換わっていますね。
これにより、アデルさんがリンクをクリックすると、必ず安全なリンクによるチェックを通った上で URL にアクセスする、という仕組みです。(動作としては、安全なリンク先にアクセスした後、問題が見つからなければ元の URL に転送される仕組みです)
この例では分かりやすいようテキスト形式のメッセージにしましたが、HTML 形式のメッセージであればリンクの表示テキストは置換されないため、メッセージの体裁が崩れることも起きづらくなります。
ちなみに、ポリシーでは URL の置換はせずに、最新の Windows 版 Outlook で受信メッセージのリンクをクリックした際だけ安全なリンクのチェックが働くようにもできます。会社貸与 PC の Outlook しか使わせないよ、という組織であれば、メッセージの体裁に影響がないのでこの設定がおすすめです。
Teams の場合
Teams のグループ チャットやチャネル上の会話のメッセージやタブ上にあるリンクをクリックすると、安全なリンクのチェックが動作します。(Teams 上ではメッセージ上のリンクは置換されません)
Teams の安全なリンク機能は、ポリシーによる設定が必要です。
いわゆる Office アプリの場合
Microsoft 365 Apps または Microsoft 365 Business Premium に含まれる Word, Excel, PowerPoint などに組織アカウントでサインインすると、Office ファイル上に記載されたリンクに対して安全なリンクのチェックが動作します。
こちらも、ポリシーによる設定が必要です。
おわりに
必要なライセンスですが、メールや Teams に関しては以下のいずれかを保有していれば OK です:
Microsoft Defender for Office 365 プラン 1
Microsoft Defender for Office 365 プラン 2
Office 365 E5
Microsoft 365 E5
Microsoft 365 Business Premium
というわけで、これまた Microsoft 365 Business Premium でも使えます!
Microsoft 365 のメール関係のセキュリティ機能については、以下でも概要が紹介されているのでご参考ください。
おまけ
さて、今回はポリシー構成時の Tips 付きです。
ポリシーはユーザー、配布グループ、ドメインといった単位で割り当てます。割り当て画面は以下です:
例えば、Alex さんはグループ safelinkusers@Contso.com のメンバーではないとします。(Adele さんはグループ メンバーです)
リンクの置き換えも設定して、Alex さんにメールを送って動作確認!と Alex さん宛にリンクを載せたメールを送っても、実はこの状態ではリンクが置き換わりません。(Adele さんは置き換わります)
これ、設定画面上の「および」という言葉がポイントです。
この「および」、「OR」ではなく「AND」を意味します。
つまりこの画面の設定では、
(Adele OR Alex) AND (safelinkusers@Contso.com のメンバー)
という意味になるのです!
「AND」を「かつ」と訳されていればすぐ気づいたのですが、「および」と訳されると「OR」とも受け取れませんか?私だけ??
というわけで、この UI は他の設定と異なり、各項目が AND 条件になっているので気をつけましょう、というお話でした。