添付ファイルのクリーニング(Threat Extraction)

Attachment Cleaning (Threat Extraction) は、アンチマルウェア エンジンに加えて、メール添付ファイルに追加のセキュリティ層を提供するコンテンツの武装解除と再構築 (CDR) エンジンです。

アンチマルウェア セキュリティ エンジンが添付ファイルを悪意がないと判断した後、Attachment Cleaning (Threat Extraction) は、テキストの背後にあるハイパーリンク、マクロ、およびマルウェア を含む可能性のあるその他のアクティブ コンテンツを削除した、安全なバージョンの添付ファイルをエンドユーザに配信します。

管理者は、エンドユーザが添付ファイルの元のバージョンを取得できるようにすることができます。この操作には、ヘルプデスク's の介入は必要ありません。

ファイル サニタイズ モード

Attachment Cleaning (Threat Extraction) は、次の方法でメール添付ファイルの安全なバージョンを作成できます。

  • Clean- ファイル タイプを維持したまま、添付ファイルからマクロ、埋め込みオブジェクト、およびあらゆるアクティブ コンテンツを削除します。

    たとえば、DOC ファイルがクリーニングされると、エンドユーザは変更された DOC ファイルを受け取ります。

  • Convert- 元のファイル タイプに関係なく、ファイルは PDF 形式に変換され、アクティブ コンテンツが含まれないことが保証されます。

    たとえば、DOC ファイルが変換されると、エンドユーザは PDF 形式のファイルを受け取ります。

:

  • Convert オプションは安全であると見なされていますが、ユーザーエクスペリエンスと生産性に影響を与えます。厳格な規制要件または組織のポリシー要件がない限り、PDF ファイルのみを配信するために Clean オプションを使用することをお勧めします。

  • Convert オプションは、メール内の添付ファイル クリーニングでのみ使用できます。

添付ファイルのクリーニング(Threat Extraction)の設定

Office 365 Mail または Gmail の添付ファイルのクリーニング(Threat Extraction)を設定するには:

  1. 左側のパネルで Policy をクリックしますCheck Point ポータル.

  2. 利用可能な場合は Office 365 Mail または Gmail の脅威検出ポリシーを開き、手順 6 から続行します。

    または

    Add a New Policy Ruleをクリックします。

  3. Choose SaaS ドロップダウンリストで、SaaS アプリケーション(Office 365 Mail または Gmail)を選択します。

  4. Choose Security ドロップダウンリストで、Threat Detection を選択し、Next をクリックします。

  5. Prevent (Inline) 保護モードを選択します。

  6. Attachment Cleaning (Threat Extraction) セクションまでスクロールダウンし、Clean attachments before delivering to end users チェックボックスを選択します。

  7. Clean フィールドで、必要なオプションを選択します。

    • すべてのファイルタイプをクリーニングするには、All supported file types を選択します。

      - このオプションを選択すると、Convert オプションは無効になります。

    • 一部のファイルタイプのみをクリーニングするには、Only specific file types を選択し、必要なファイルタイプを入力します。

      サポートされているファイルタイプについては、次を参照してください添付ファイルのクリーニング(Threat Extraction)でサポートされるファイルタイプ

    • 一部のファイルタイプをクリーニング対象から除外するには、All supported file types except を選択し、必要なファイルタイプを入力します。

    • ファイルのクリーニングを停止するには、None を選択します。

  8. Convert フィールドで、必要なオプションを選択します。

    • すべてのファイルタイプを変換するには、All supported file types を選択します。

      - このオプションを選択すると、Clean オプションは無効になります。

    • 一部のファイルタイプのみを変換するには、Only specific file types を選択し、必要なファイルタイプを入力します。

      サポートされているファイルタイプについては、次を参照してください添付ファイルのクリーニング(Threat Extraction)でサポートされるファイルタイプ

    • 一部のファイルタイプを変換対象から除外するには、All supported file types except を選択し、必要なファイルタイプを入力します。

    • ファイルの変換を停止するには、None を選択します。

  9. Attachment cleaning workflow フィールドで、ワークフローを選択します。参照: 添付ファイルのクリーニング(Threat Extraction)のワークフロー.

  10. Save and Applyをクリックします。

Office 365 OneDrive または Office 365 SharePoint のファイルのクリーニング(Threat Extraction)を設定するには、次を参照してくださいOffice 365 OneDrive および Office 365 SharePoint のファイルクリーニング(Threat Extraction).

添付ファイルのクリーニング

Threat Extraction は、これらの条件が満たされると、添付ファイルを無害化し、設定されたワークフローを実行します。

  • 添付ファイルが次のいずれかであるsupported file type.

  • 添付ファイルに次のいずれかが含まれているsupported active parts for removal

  • 添付ファイルが悪意のあるものとして検出されない(悪意のあるものとして検出された場合は、Anti-Malware ワークフローが有効になります)。

さらに、これらの条件が満たされると、Threat Extraction は添付ファイルを無害化の対象から除外します。

  1. 同じメール内の他の添付ファイルがパスワード保護されている。

  2. パスワード保護された添付ファイルのワークフローが設定されているとしてRequire end-user to enter a password.

添付ファイルが無害化されない場合、その元のバージョンがエンドユーザに送信されるメールに含まれ、ユーザによる復元は不要です。

- 潜在的にリスクのある添付ファイルの削除など、標準的なメールセキュリティアクション向けです。デジタル署名されたメッセージの完全性を維持できるようにするため、Email Security には、S/MIME 署名済みメールに対するセキュリティ上の変更を回避する機能があります。参照: S/MIME署名付きメールのサポート.

添付ファイルのクリーニング(Threat Extraction)のワークフロー

管理者は、メール内の添付ファイルのクリーニングにこれらのワークフローのいずれかを選択できます。

ワークフロー

説明

ユーザは任意の添付ファイルの復元を要求できます(管理者の承認が必要)

ユーザは元の添付ファイルの復元を要求できます。添付ファイルは、管理者が承認した後にのみ復元されます。

ユーザは無害な添付ファイルのみ復元できます

ユーザは添付ファイルの復元を要求できます。添付ファイルが無害である場合、ただちに復元されます。

ユーザは任意の添付ファイルを復元できます

ユーザは添付ファイルの復元を要求でき、ただちに復元されます。

Threat Extraction の例外

Threat Extraction(添付ファイル/ファイルのクリーニング)は、送信者およびファイルハッシュによる許可リストの定義をサポートします。

Threat Extraction の例外の表示

Threat Extraction の許可リスト ルールを表示するには:

  1. Email Security Administrator Portal にアクセスします。

  2. 左側のナビゲーションパネルから、Security Settings > Exceptions > Threat Extraction に移動します。

    Threat Extraction ページには、すべての例外と定義された条件が表示されます。

Threat Extraction の許可リスト例外の追加

Threat Extraction の許可リスト例外を追加するには:

  1. Security Settings > Exceptions > Threat Extraction をクリックします。

  2. Create Allow-Listをクリックします。

    Create Threat Extraction Allow-List ポップアップが表示されます。

  3. Allow-List Type ドロップダウンから、必要なオプションを選択します。

    • Sender
    • File Hash

  4. 必要な送信者/受信者のメールアドレス、またはドメイン/ファイル MD5 を入力します。

    • Sender Address / Domain– これらの送信者またはドメインからのメールの添付ファイルは、エンドユーザに配信される前にクリーン化されません。

    • File Hash– 許可リストに登録されたファイルハッシュに一致する添付ファイルは、エンドユーザに配信される前にクリーン化されません。

    - ここで許可リストに登録された添付ファイルも、引き続きサンドボックス検査を受けます。ただし、エンドユーザに配信される前にクリーン化(CDR)されないだけです。

  5. Comment フィールドに、許可リスト ルールのコメントを入力します。

  6. ここをOK.

Threat Extraction の許可リスト例外の削除

Threat Extraction の許可リスト例外を削除するには:

  1. Security Settings > Exceptions > Threat Extraction をクリックします。

  2. 削除する例外(Sender または File Hash)を選択します。

  3. 右上隅の Delete をクリックします。

  4. 表示される確認ポップアップで、OK をクリックします。

添付ファイルのクリーニング(Threat Extraction)でサポートされるファイルタイプ

ファイル タイプ

ファイルの拡張子

Adobe FDF

FDF

Adobe PDF(すべてのバージョン)

PDF

Microsoft Excel 2007 以降

XLSX, XLSB, XLSM, XLTX, XLTM, XLAM

Microsoft Excel 2007 バイナリ

XLSB

Microsoft Excel 97 - 2003

XLS

Microsoft PowerPoint 2007 以降

PPTX, PPTM, POTX, POTM, PPAM, PPSX, PPSM

Microsoft PowerPoint 97 - 2003

PPT, PPS, POT, PPA

Microsoft Word 2007 以降

DOCX, DOCM, DOTX, DOTM

Microsoft Word 97 - 2003

DOC, DOT

元の添付ファイルとクリーニング済み添付ファイルの比較

添付ファイルのクリーニング処理では、添付ファイルの一部のコンポーネントが削除または無効化されます。

デフォルトでは、添付ファイルのこれらのコンポーネントはクリーニングされます。クリーニングされるファイルタイプに応じて、添付ファイルの特定のコンポーネントが、この表に示すように削除される場合があります。

コード

ファイル タイプ

説明

1018

サポートされているすべてのファイルタイプ

リモートデータベースへのクエリ

1019

サポートされているすべてのファイルタイプ

ドキュメントに埋め込まれたファイルおよびオブジェクト

1021

サポートされているすべてのファイルタイプ

ドキュメントをすばやく保存するための保存済みデータ

1026

サポートされているすべてのファイルタイプ

Microsoft Office のマクロおよび PDF JavaScript コード

1034

サポートされているすべてのファイルタイプ

ネットワークまたはローカルのファイルパスへのリンク

1137

PDF

他の PDF ファイルを開く

1139

PDF

PDF の起動アクション

1141

PDF

Uniform Resource Identifier(URI)リソースを開く

1142

PDF

サウンドオブジェクトを再生する

1143

PDF

動画ファイルを再生する

1150

PDF

JavaScript コードを実行する

1151

PDF

リモートの場所にデータを送信する

デフォルトではクリーニングされない添付ファイルの追加部分をクリーニングするように Email Security を設定するには、お問い合わせくださいCheck Point Support.

コード

ファイル タイプ

ファイル パート

500

サポートされているすべてのファイル タイプ

ドキュメントに埋め込まれた画像

1017

サポートされているすべてのファイル タイプ

カスタム ドキュメント プロパティ

1025

サポートされているすべてのファイル タイプ

別のアプリケーションによってレビューされるファイルへのリンク

1036

サポートされているすべてのファイル タイプ

統計ドキュメント プロパティ

1037

サポートされているすべてのファイル タイプ

サマリー ドキュメント プロパティ

1178

PDF

埋め込み 3D アートワーク

クリーン処理された添付ファイル付きメールの表示

これらの詳細は、Emails with Modified Attachmentsページで表示できます。

- このページには、メール本文内のリンクが置き換えられたメールは表示されません。

変更されていないメールをエンドユーザに送信する

元のメールをエンドユーザに送信するには、次のいずれかを実行します。

  • Modified Attachmentsページから。

    1. User Interaction >Modified Attachments にアクセス。

    2. 元のメールを送信するには、リクエストテーブルの最後のカラムにあるそのメールのアイコンをクリックし、Send Originalを選択します。

    3. 複数のメールを一度に送信するには、メールを選択し、ページ右上隅のSend Originalをクリックします。

    4. ここをOK.

  • メールプロファイルページから。

    1. メールプロファイルページを開きます。

    2. Email Profileセクションで、SendSend Original Emailをクリックします。

    3. ここをOK.

添付ファイルのクリーン処理 (Threat Extraction) - エンドユーザー エクスペリエンス

ポリシーがファイルをクリーンアップするように設定されており、ファイルがメールで送信されると、クリーンアップされたファイルが添付されたメールを受信します。デフォルトでは、クリーンアップされたファイルには、ファイル名の前にthreat_extracted_ が付きます。

ポリシーがファイルを変換するように設定されており、ファイルがメールで送信されると、変換されたPDFファイルが添付されたメールを受信します。デフォルトでは、変換されたPDFファイルには、ファイル名の前にthreat_extracted_が付きます。

元のメールの復元をリクエストするには(エンドユーザ):

  1. メール内の添付ファイルの下にあるリンクをクリックします。

  2. 求められた場合は、添付ファイルを復元する理由を入力し、Submitをクリックします。

    - この画面は、Attachment cleaning workflow が、元の添付ファイルを復元するために管理者の承認が必要となるように設定されている場合にのみ表示されます。

    送信後、管理者がそのリクエストを受信します。

    管理者がリクエストを承認すると、システムは元のメールをユーザの メールボックスに送信します。

  3. もしAttachment cleaning workflow が、添付ファイルの復元に管理者の承認を必要としないように設定されている場合、元のメールは直ちにユーザに配信されます。

復元されたメールを誰が受信するかについて詳しくは、隔離から復元されたメールを受信するユーザをご覧ください。