Office 365 OneDrive

概要

Office 365 OneDrive は、ファイル共有と共同作業を可能にするクラウド ストレージ システムです。Email Security は、OneDrive で共有されるファイルをスキャンして悪意のあるコンテンツとデータ漏洩防止(DLP)を検出し、悪意のあるコンテンツに対して対処可能なイベントを生成することで、Office 365 OneDrive にセキュリティ、プライバシー、およびコンプライアンスを追加します。

- Email Security は組織の Office 365 OneDrive のみをスキャンし、ユーザがアクセス権を持っている場合でも、組織外のファイルやフォルダはスキャンしません。

仕組み

Email Security は、Office 365 OneDrive に対して以下のセキュリティ機能を提供するセキュリティ レイヤーを追加します。

  • Data Leak Prevention(DLP): 機密性の高いテキスト メッセージやファイルを保護します

  • Anti-Malware: ファイルをスキャンして悪意のあるコンテンツを検出します

  • 修復: 悪意のあるファイルを隔離し、機密データを含むファイルをボールトに送信します

Email Security は、次のシナリオでファイルをスキャンします:

  • 新しいファイルが作成されます

  • ファイルがアップロードされます

  • ファイルが変更(編集)されます

  • ファイルまたはディレクトリが新しいメンバと共有されます

- Email Security は、インストール時点からファイルのスキャンを開始します。インストール前から存在していたファイルは、遡ってスキャンされません。

必要な権限

Email Security が Office 365 OneDrive を保護するには、これらの権限が必要です。

- これらの権限はすべて、Email Security Administrator Portal でお客様のデータにアクセスするために必要です。

Microsoft に必要な権限

Email Securityによって実行される機能

すべてのアクセス レビューを管理する

サインインしたユーザがいなくても、組織内のアクセス レビュー、レビュー担当者、決定、および設定に対して、アプリが読み取り、更新、削除、およびアクションの実行を行えるようにします。

すべてのアプリケーションを読み書きする

サインインしたユーザがいなくても、アプリがアプリケーションとサービス プリンシパルを作成、読み取り、更新、および削除できるようにします。同意付与の管理は許可されません。

すべてのメールボックス内の連絡先を読み書きする

サインインしたユーザがいなくても、アプリがすべてのメールボックス内のすべての連絡先を作成、読み取り、更新、および削除できるようにします。

ディレクトリ データを読み書きする

ユーザやグループなど、組織のディレクトリ内のデータを、サインインしたユーザなしでアプリが読み書きできるようにします。ユーザまたはグループの削除は許可されません。

ドメインを読み書きする

サインインしたユーザがいなくても、アプリがすべてのドメイン プロパティを読み書きできるようにします。また、アプリがドメインを追加、検証、および削除できるようにします。

すべてのサイト接続内のファイルを読み書きする

サインインしたユーザがいなくても、アプリがすべてのサイト コレクション内のすべてのファイルを読み取り、作成、更新、および削除できるようにします。

すべてのグループを読み書きする

アプリがグループを作成し、すべてのグループ プロパティとメンバーシップを読み取り、グループ プロパティとメンバーシップを更新し、グループを削除できるようにします。また、アプリがグループの予定表と会話を読み書きできるようにします。これらの操作はすべて、サインインしたユーザがいなくてもアプリによって実行できます。

すべてのユーザ メールボックス設定を読み書きする

サインインしたユーザがいなくても、アプリがユーザのメールボックス設定を作成、読み取り、更新、および削除できるようにします。メール送信の権限は含まれません。

すべてのメールボックス内のメールを読み書きする

サインインしたユーザなしで、アプリがすべてのメールボックス内のメールを作成、読み取り、更新、および削除できるようにします。メールを送信する権限は含まれません。

任意のユーザとしてメールを送信する

サインインしたユーザなしで、アプリが任意のユーザとしてメールを送信できるようにします。

すべての使用状況レポートを読む

サインインしたユーザなしで、アプリがすべてのサービス使用状況レポートを読めるようにします。使用状況レポートを提供するサービスには、Microsoft 365 と Microsoft Entra ID(旧 Azure AD)が含まれます。

組織のセキュリティ イベントを読み取り、更新する

サインインしたユーザなしで、アプリが組織のセキュリティ イベントを読めるようにします。さらに、アプリがセキュリティ イベント内の編集可能なプロパティを更新できるようにします。

すべてのサイト コレクション内のアイテムを読み書きする

サインインしたユーザなしで、アプリがすべてのサイト コレクション内のドキュメントおよびリスト アイテムを作成、読み取り、更新、および削除できるようにします。

すべてのユーザ' の完全なプロファイルを読み書きする

サインインしたユーザなしで、アプリがユーザ プロファイルを読み取り、更新できるようにします。

サインインしてユーザ プロファイルを読む

ユーザがアプリにサインインできるようにし、アプリがサインインしたユーザのプロファイルを読めるようにします。さらに、アプリがサインインしたユーザの基本的な会社情報を読めるようにします。

Office 365 OneDrive をアクティブ化する方法

Office 365 OneDrive をアクティブ化するには、以下を参照してくださいOffice 365 OneDrive のアクティブ化.

Office 365 OneDrive を非アクティブ化する方法

Office 365 OneDrive を非アクティブ化するには:

  1. Security Settings > SaaS Applicationsに移動します。

  2. Office 365 OneDrive の Stop をクリックします。

Office 365 OneDrive セキュリティ設定

Quarantine フォルダと Vault フォルダをカスタマイズする方法

管理者は、Quarantine フォルダおよび Vault フォルダ(フォルダ名、quarantine/vault メッセージなど)をカスタマイズできます。

Quarantine フォルダとは

Quarantine フォルダには、OneDrive から隔離されたマルウェア感染ファイルまたは機密ファイルが保存されます。すべてのユーザのファイルを隔離し、組織全体用の単一の事前定義された quarantine フォルダに配置します。

Threat Detection ポリシーおよび DLP ポリシーを設定して、マルウェアのみを隔離し、機密ファイルはエンド ユーザ's Vault に送信することができます。

:

  • Quarantine フォルダは、組織の OneDrive またはCheck Pointクラウド内の、組織のCheck Point Portalアカウント

  • エンド ユーザはこのフォルダにアクセスできません。

Quarantine フォルダをカスタマイズするには:

  1. Security Settings >SaaS Applications にアクセス。

  2. Office 365 OneDrive の Configure をクリックします。

  3. Quarantined Files セクションに移動します。

  4. Store quarantined files in セクションで、隔離されたファイルの保存場所を選択します:

    • Check Point - 隔離されたファイルを、組織のCheck Pointアカウントに関連付けられたリージョンのCheck Point Portalアカウント

    • Company’s OneDrive- 隔離されたファイルを、組織の OneDrive アカウントにある Quarantine フォルダに保存します。

  5. 前の手順で Company's OneDrive を選択した場合は、Quarantine フォルダについて次の詳細を入力します:

    • Quarantine folder owner email address フィールドに、必要なメールアドレスを入力します。

      - 指定したメールアドレスの OneDrive アカウントが存在することを確認してください。

    • Quarantine folder name フィールドに、必要なフォルダ名を入力します。

      - システムは、指定されたメールアドレスのルートディレクトリに、指定した名前の Quarantine folder を作成します。

  6. (任意)隔離された悪意のあるファイルを元のフォルダ内で置き換えるファイルの内容をカスタマイズするには、Text in placeholder file (Malware) フィールドにテキストを入力します。

  7. (任意)隔離された機密ファイルを元のフォルダ内で置き換えるファイルの内容をカスタマイズするには、Text in placeholder file (DLP) フィールドにテキストを入力します。

  8. Saveをクリックします。

Vaultフォルダとは

Vaultフォルダは、OneDriveファイルに関連するDLP検出を修復します。システムは、OneDriveの各ユーザに対して共有されていないVaultフォルダを作成します。

ファイルに組織のデータ共有ポリシーに準拠しない機密情報が含まれている場合、システムはそのファイルを削除し、ユーザのVaultフォルダに配置します。

注:

  • システムは、各ユーザのルートディレクトリに指定された名前でVaultフォルダを作成します。

  • ユーザはVaultフォルダ内のファイルにアクセスできますが、他のユーザと共有することはできません。

Vaultフォルダをカスタマイズするには:

  1. Security Settings > SaaS Applicationsに移動します。

  2. Office 365 OneDriveのConfigureをクリックします。

  3. Vaulted Filesセクションに移動します。

  4. Vault folder nameフィールドに、必要なVaultフォルダ名を入力します。

    - システムは、各ユーザのルートディレクトリに指定された名前でVaultフォルダを作成します。

  5. エンドユーザがVaultから手動でファイルを復元できるようにする場合は、Allow end users to manually restore files from Vaultチェックボックスを有効にします。

  6. (任意)元のフォルダ内でVaultに格納された機密ファイルを置き換えるファイルの内容をカスタマイズするには、Text in placeholder file (DLP)フィールドにテキストを入力します。

  7. Saveをクリックします。

Office 365 OneDriveポリシーの設定方法

マルウェアポリシー

デフォルトでは、Office 365 OneDrive マルウェアポリシーは、アップロードまたは編集されたファイルをスキャンして悪意のあるコンテンツを検出します。

サポートされるアクション

Office 365 OneDrive マルウェアポリシーは、次のアクションをサポートします。

  • マルウェアに感染したファイルの隔離/削除。

  • 所有者にアラート: 悪意のあるコンテンツを含むファイルをアップロードしたユーザに電子メール通知を送信します。

  • 管理者にアラート: 悪意のあるファイルについて管理者に電子メール通知を送信します。

マルウェアポリシーの設定方法

マルウェアポリシーを設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. 左側のナビゲーションパネルでPolicyをクリックします。

  3. Create New Policy Ruleをクリックします。

  4. Choose SaaSドロップダウンリストから、Office 365 OneDriveを選択します。

  5. Choose SecurityドロップダウンリストからMalwareを選択し、Nextをクリックします。

  6. 必要な保護モードを選択します:

    • Detect and Remediate

    • Detect

    (任意)必要に応じて、Rule Nameを変更できます。

  7. Scopeセクションで、このポリシーが適用されるユーザおよび/またはユーザグループを選択します:

    • 組織内のすべてのユーザおよびグループにポリシーを適用するには、All Users and Groupsチェックボックスを有効にします。

    • 特定のユーザまたはグループにポリシーを適用するには、ユーザ/グループを選択し、Add to Selectedをクリックします。

    • ポリシーから特定のユーザまたはグループを除外するには、必要なユーザ/グループを選択し、Add to Excludedをクリックします。

  8. Bladesセクションで、このポリシーに必要な脅威検出ブレードを選択します。

    - マルウェア検出に使用可能なすべてのブレードを選択するには、All running threat detection bladesチェックボックスを有効にします。

  9. 下にスクロールしてAttachmentsセクションに移動し、Suspected malware attachmentsワークフローでこのポリシーに必要なワークフローを選択します。

    • 隔離。ユーザには通知されません(管理者は復元可能)

    • 何もしない

    - Workflowsは、Detect and Remediate保護モードが有効な場合にのみ使用できます。

  10. マルウェアに感染したファイルを隔離するには、Quarantine drive filesの下にあるAlertsチェックボックスを有効にします。

    - このオプションは、Detect and Remediate保護モードでのみ使用できます。

  11. マルウェアに感染したファイルを削除するには、Remove malicious filesの下にあるAlertsチェックボックスを有効にします。

    :

    • Remove malicious filesチェックボックスを有効にすると、悪意のあるファイルは完全に削除され、復元できなくなります。

    • 1つのポリシーにつき、有効にできるのはQuarantine drive filesまたはRemove malicious filesのいずれか一方のみです。

  12. このポリシーのAlertsを設定します。

    1. マルウェアに感染したファイルを隔離するには、Quarantine malicious filesセクションのAlertsチェックボックスを有効にします。

      -このオプションは、Detect and Remediate保護モードでのみ使用できます。

    2. 悪意のあるファイルをクリーンアップするには、Clean Files (Threat Extraction)チェックボックスを有効にします。参照: Office 365 OneDrive および Office 365 SharePoint のファイルクリーニング(Threat Extraction).

      - ご使用のCheck Point Portalアカウント(テナント)でClean files (Threat Extraction)チェックボックスを利用できない場合は、次にお問い合わせくださいCheck Point Support.

    3. マルウェアファイルの所有者に電子メールアラートを送信するには、Alert file owner of malwareチェックボックスを有効にします。

    4. マルウェアについて管理者にメールアラートを送信するには、Alert admin(s)チェックボックスを有効にします。

      特定のユーザへのアラートを設定するには、Select Usersの横にあるAlert admin(s)をクリックします。

    5. マルウェアに感染したファイルを削除するには、Remove malicious filesセクションでAlertsチェックボックスを有効にします。

      - Remove malicious filesチェックボックスを有効にすると、悪意のあるファイルは完全に削除され、復元できません。

    :

    • 1 つのポリシーでは、Quarantine malicious filesまたはRemove malicious filesのいずれか 1 つのみを有効にできます。

    • ここでポリシー内のアラートを有効にしていても、Receive AlertsSpecific Service Roleロールが有効になっている場合にのみ、管理者はセキュリティイベントのメールアラートを受信します。Check Point Portal でロールと権限を管理する方法の詳細については、のGlobal Settings > Usersを参照してください。Check Point Portal Administration Guide.

  13. Save and Applyをクリックします。

DLP ポリシー

デフォルトでは、DLP ポリシーは、クレジットカード番号や社会保障番号(SSN)など、漏えいの可能性がある情報について、OneDrive にアップロードされたファイルをスキャンします。

サポートされているアクション

Office 365 OneDrive DLP ポリシーは、次のアクションをサポートしています。

  • 機密データを含むファイルをボルトに送信します。

  • 所有者にアラート: 機密情報を含むファイルをアップロードしたユーザにメール通知を送信します。

  • 管理者にアラート: 機密情報を含むファイルについて管理者にメール通知を送信します。

OneDrive 用 DLP ポリシーを設定する方法

DLP ポリシーを設定するには:

  1. Email Security Administrator Portal にアクセスします。

  2. 左側のナビゲーションパネルでPolicyをクリックします。

  3. Create New Policy Ruleをクリックします。

  4. Choose SaaSドロップダウンリストから、Office 365 OneDriveを選択します。

  5. Choose SecurityドロップダウンリストからDLPを選択し、Nextをクリックします。

  6. 必要な保護モードを選択します。

    • Detect and Remediate

    • Detect

    (任意)必要に応じて、Rule Nameを変更できます。

  7. Scopeセクションで、ポリシーを適用するユーザおよび/またはユーザグループを選択します。

    • 組織内のすべてのユーザとグループにポリシーを適用するには、All Users and Groupsチェックボックスを有効にします。

    • 特定のユーザまたはグループにポリシーを適用するには、ユーザ/グループを選択し、Add to Selectedをクリックします。

    • 特定のユーザまたはグループをポリシーから除外するには、必要なユーザ/グループを選択し、Add to Excludedをクリックします。

  8. DLP Criteriaまでスクロールダウンし、Check Point DLP Categoriesを有効にして、ポリシーに必要な DLP カテゴリを選択します。

    DLP データタイプおよびカテゴリの詳細については、以下を参照してください付録 E: DLP 組み込みデータタイプとカテゴリ.

  9. ポリシーに必要な感度レベルを選択します。

    1. 非常に高い(ヒット数 > 0)

    2. 高い(ヒット数 > 2)

    3. 中程度(ヒット数 > 5)

    4. 低い(ヒット数 > 10)

    5. 非常に低い(ヒット数 > 20)

  10. 内部ユーザとのみ共有されているファイルに対して DLP ポリシーを除外するには、Skip Internal itemsチェックボックスを有効にします。

  11. ポリシーのActionsを設定します。

    1. 検出された機密データを含むファイルをその所有者のボルトに送信するには、Send files with sensitive data to vaultチェックボックスを有効にします。

      - このオプションは、Detect and Remediate保護モードでのみ使用できます。

    2. DLP について管理者にメールアラートを送信するには、Alert admin(s)チェックボックスを有効にします。

      特定のユーザへのアラートを設定するには、Select Usersの横にある Alert admin(s)をクリックします。

    3. ドライブファイルを隔離するには、Quarantine drive filesチェックボックスを有効にします。

      - このオプションは、Detect and Remediate保護モードでのみ使用できます。

    4. DLP についてファイル所有者にメールアラートを送信するには、Alert file owner(s)チェックボックスを有効にします。

    :

    • 1 つのポリシーでは、Send file with sensitive data to vaultまたはQuarantine drive filesのいずれか 1 つのみを有効にできます。

    • ここでポリシー内のアラートを有効にしていても、Receive AlertsSpecific Service Roleロールが有効になっている場合にのみ、管理者はセキュリティイベントのメールアラートを受信します。Check Point Portal でロールと権限を管理する方法の詳細については、のGlobal Settings > Usersを参照してください。Check Point Portal Administration Guide.

  12. Save and Applyをクリックします。

Office 365 OneDrive のセキュリティイベントを表示する方法

Email Security は OneDrive の検出をセキュリティイベントとして記録します。イベントタイプは、そのイベントを作成したポリシーのタイプによって異なります。セキュリティイベントは、自動的に検出/防止された場合でも、防止されずに管理者によって発見された場合でも、さまざまな方法で対処できます。

Events画面には、すべてのセキュリティイベントの詳細ビューが表示されます。

- Microsoft は、マルウェアとしてマークしたファイルへのアクセスを防止し、それらのスキャン結果は提供しません。

Office 365 OneDrive および Office 365 SharePoint のファイルクリーニング(Threat Extraction)

ファイルクリーニング(Threat Extraction)は、マルウェア攻撃および内部ユーザ間でのその拡散を防ぐために、Anti-Malwareエンジンに加えた追加のセキュリティレイヤーとして、コンテンツの武装解除と再構築(CDR)エンジンを使用します。

システムは、Office 365 OneDriveまたはSharePointでアップロードまたは編集されるすべてのファイルをスキャンします。

  • マルウェアが検出された場合、Email Securityはマルウェアワークフローを適用します。

  • マルウェアが見つからない場合は、検出されていない脅威を隠す可能性のあるアクティブコンポーネントを削除して、ファイルをサニタイズします。

必要に応じて、管理者は業務継続性を確保するために元のファイルを復元できます。

ファイルクリーニングの詳細については、次を参照してください。添付ファイルのクリーニング(Threat Extraction).

Office 365 OneDriveまたはOffice 365 SharePoint向けのファイルクリーニング(Threat Extraction)の設定

Office 365 OneDriveまたはOffice 365 Sharepointのファイルクリーニングを設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. 左側のナビゲーションパネルでPolicyをクリックします。

  3. 必要なSaaS アプリケーション(Office 365 OneDriveまたはOffice 365 SharePoint)の既存のマルウェアポリシーを開きます。

  4. ポリシー保護モードとして Detect and Remediate を選択します。

  5. Alerts セクションまでスクロールダウンし、Clean Files (Threat Extraction) チェックボックスを選択します。

    - ご使用のCheck Point Portalアカウント(テナント)で Clean files (Threat Extraction) チェックボックスを利用できない場合は、次にお問い合わせください:Check Point Support.

  6. Save and Applyをクリックします。

クリーニングされたOffice 365 OneDrive / Office 365 SharePointファイル

Email SecurityがOffice 365 OneDriveまたはOffice 365 SharePoint内のファイルをクリーニングすると、ファイルに対して次の変更が行われます。

  • ファイル名に文字列 .cleaned を追加します(例:file.docfile.cleaned.doc になります)。

  • ファイルからすべてのアクティブコンテンツを削除します。

サポートされているファイルタイプおよびファイルから削除されるコンポーネントの詳細については、次を参照してください。添付ファイルのクリーニング(Threat Extraction)でサポートされるファイルタイプ.

元のファイルの復元

管理者は、Email Security Administrator Portalを通じて元のファイルを復元できます。これを行うには、以下を実行します。

  1. User Interaction >Quarantined Items にアクセス。

  2. Quarantined Items の横にあるドロップダウンリストから、Office 365 OneDrive または Office 365 SharePoint を選択します。

  3. 該当する File Info ページを開き、元のファイルを復元するには Restore Original File オプションをクリックします。

    - エンドユーザが元のファイル(クリーニングなし)にアクセスする必要がある場合、ユーザ自身で復元するオプションはないため、管理者に連絡する必要があります。

同じファイルの複数のバージョンが存在する場合、最初の(元の)バージョンのみを復元できます。参照: 複数回クリーニングされたファイルの復元.

複数回クリーニングされたファイルの復元

ファイルを復元すると、Email Securityは、そのファイルがその後何回編集またはクリーニングされたかに関係なく、常に最初にスキャンしたバージョンを復元します。

ファイルは変更されるたびにクリーニングされるため、復元されるバージョンは、エンドユーザが最後に見たものより古い可能性があります。

たとえば、ファイルを復元すると、システムはそのファイルの元のバージョンを復元します。これは、ユーザが最後にアクセスしたバージョンより古い可能性があります。ファイルは変更されるたびにクリーニングされ、各段階でセキュリティが確保されます。

Office 365 OneDriveおよびOffice 365 SharePointのクリーニング済みファイルの表示

Email SecurityによってクリーニングされたOffice 365 OneDriveまたはOffice 365 SharePointのファイルを表示するには:

  1. Analytics >Custom Queries にアクセス。

  2. 右上隅にある Create New Query をクリックします。

  3. 表示される Select Template for New Query ページで、Office 365 OneDrive または Office 365 SharePoint を選択し、All Files をクリックします。

  4. 表示される All Files ページで、左上隅の Add Filters をクリックします。

  5. Is CleanedYes であることを選択し、Add をクリックします。