Office 365 SharePoint

概要

Office 365 SharePoint は、あらゆるプロジェクトチーム、部門、および事業部向けに、動的で生産性の高いチームサイトを提供し、チームワークを強化します。Email Security は、SharePoint で共有されるファイルを悪意のあるコンテンツおよび データ漏洩防止（DLP）についてスキャンし、悪意のあるコンテンツに対して対処可能なイベントを生成することで、Office 365 SharePoint にセキュリティ、プライバシー、および コンプライアンス を追加します。

注 - Email Security は組織の Office 365 SharePoint のみをスキャンし、ユーザがアクセス権を持っている場合でも、組織外のファイルやフォルダはスキャンしません。

仕組み

Email Security は、Office 365 SharePoint に対して次のセキュリティ機能を提供するセキュリティレイヤーを追加します。

• Data Leak Prevention (DLP): 機密データを含むアップロードファイルの保護

• Anti-Malware: 悪意のあるコンテンツについてのファイルスキャン

• 修復: 悪意のあるファイルを隔離し、機密データを含むファイルをボルトに送信します

Email Security は、次のシナリオでファイルをスキャンします:

• 新しいファイルが作成されます

• ファイルがアップロードされます

• ファイルが変更（編集）されます

• ファイルまたはディレクトリが新しいメンバと共有されます

注 - Email Security は、インストール時点からファイルのスキャンを開始します。インストール前から存在していたファイルは、遡ってスキャンされません。

必要な権限

Email Security が Office 365 SharePoint を保護するには、これらの権限が必要です。

注- これらの権限はすべて、次の場所でお客様のデータにアクセスするために必要ですCheck Point ポータル.

Microsoft に必要な権限	Email Securityによって実行される機能
すべてのアクセスレビューを管理する	このアプリが、サインインしたユーザなしで、組織内のアクセスレビュー、レビュー担当者、決定、および設定を読み取り、更新、削除し、操作を実行できるようにします。
すべてのアプリケーションを読み書きする	このアプリが、サインインしたユーザなしで、アプリケーションおよびサービスプリンシパルを作成、読み取り、更新、および削除できるようにします。同意付与の管理は許可されません。
すべてのメールボックス内の連絡先を読み書きする	このアプリが、サインインしたユーザなしで、すべてのメールボックス内のすべての連絡先を作成、読み取り、更新、および削除できるようにします。
ディレクトリ データを読み書きする	このアプリが、サインインしたユーザなしで、ユーザやグループなど、組織のディレクトリ内のデータを読み書きできるようにします。ユーザまたはグループの削除は許可されません。
ドメインを読み書きする	このアプリが、サインインしたユーザなしで、すべてのドメイン プロパティを読み書きできるようにします。また、このアプリがドメインを追加、検証、および削除することも許可します。
すべてのサイト接続内のファイルを読み書きする	このアプリが、サインインしたユーザなしで、すべてのサイト コレクション内のすべてのファイルを読み取り、作成、更新、および削除できるようにします。
すべてのグループを読み書きする	このアプリが、グループを作成し、すべてのグループ プロパティおよびメンバーシップを読み取り、グループ プロパティおよびメンバーシップを更新し、グループを削除できるようにします。また、このアプリがグループの予定表および会話を読み書きすることも許可します。これらの操作はすべて、サインインしたユーザなしでアプリによって実行できます。
すべてのユーザメールボックス設定を読み書きする	このアプリが、サインインしたユーザなしで、ユーザのメールボックス設定を作成、読み取り、更新、および削除できるようにします。メール送信の権限は含まれません。
すべてのメールボックス内のメールを読み書きする	このアプリが、サインインしたユーザなしで、すべてのメールボックス内のメールを作成、読み取り、更新、および削除できるようにします。メール送信の権限は含まれません。
任意のユーザとしてメールを送信する	このアプリが、サインインしたユーザなしで、任意のユーザとしてメールを送信できるようにします。
すべての使用状況レポートを読み取る	アプリが、サインインしたユーザなしで、すべてのサービス使用状況レポートを読み取れるようにします。使用状況レポートを提供するサービスには、Microsoft 365 および Microsoft Entra ID（旧 Azure AD）が含まれます。
組織のセキュリティ イベントを読み取り、更新する	このアプリが、サインインしたユーザなしで、組織のセキュリティ イベントを読み取れるようにします。また、このアプリがセキュリティ イベント内の編集可能なプロパティを更新することも許可します。
すべてのサイト コレクション内の項目を読み書きする	このアプリが、サインインしたユーザなしで、すべてのサイト コレクション内のドキュメントおよびリスト項目を作成、読み取り、更新、および削除できるようにします。
すべてのユーザの完全なプロファイルを読み書きする	このアプリが、サインインしたユーザなしで、ユーザ プロファイルを読み取り、更新できるようにします。
サインインしてユーザ プロファイルを読み取る	ユーザがアプリにサインインできるようにし、サインインしたユーザのプロファイルをアプリが読み取れるようにします。また、このアプリがサインインしたユーザの基本的な会社情報を読み取ることも許可します。

Office 365 SharePoint のアクティブ化

Office 365 SharePoint をアクティブ化する手順の詳細については、以下を参照してくださいOffice 365 SharePoint のアクティブ化.

Office 365 SharePointの非アクティブ化

Office 365 SharePointを非アクティブ化するには:

1. Security Settings > SaaS Applicationsに移動します。

2. Office 365 SharePointのStopをクリックします。

   

Office 365 SharePointのセキュリティ設定

隔離とVaultのカスタマイズ

管理者は、隔離フォルダとVaultフォルダ（フォルダ名、隔離/Vaultメッセージなど）をカスタマイズできます

隔離フォルダ

隔離フォルダは、SharePoint内のマルウェアに感染したファイルを隔離するために使用されます。すべてのユーザの感染ファイルは、あらかじめ定義された1つの隔離フォルダに隔離されます。

注: 隔離フォルダは、組織のルートサイトのルートディレクトリに、設定された名前で作成されます。エンドユーザはこのフォルダにアクセスできません。 これらの隔離されたファイルを保存するのはMicrosoftのみです。

Vaultフォルダ

Vaultフォルダは、SharePointファイルに関連するDLP検出を修復するために使用されます。これは、SharePointの各ユーザに対して作成される非共有フォルダです。

ファイルに組織のデータ共有ポリシーに準拠しない機密情報が含まれている場合、そのファイルは削除され、Vaultフォルダに配置されます。

注 - Vaultフォルダは、各ユーザのドライブのルートディレクトリに、設定されたフォルダ名で作成されます。ユーザはVaultからそのファイルにアクセスできますが、他のユーザと共有することはできません。

隔離フォルダとVaultフォルダをカスタマイズするには:

1. Security Settings > SaaS Applicationsに移動します。

2. Office 365 SharePointのConfigureをクリックします。

3. Quarantineで、必要な隔離フォルダ名を入力します。

4. Vaultで、必要なVault名を入力します。

5. Saveをクリックします。

   

E1/E3テナント向けMicrosoft Teamsファイルスキャンの設定

Email Securityは、Microsoft 365 E1およびE3ライセンスを持つテナントについて、Microsoft Teamsで共有されるファイルのスキャンをサポートします。

この機能により、管理者は、Microsoft Teamsの完全なSaaS保護を必要とせずに、既存のOffice 365 OneDriveおよびOffice 365 SharePointの保護をMicrosoft Teamsファイルに拡張できます。

この機能では、E1/E3環境のMicrosoft Teamsに対してファイルのみのスキャンが可能で、既存のOneDriveおよびSharePointの統合を使用します。

サポートされる保護ポリシー

システムはMicrosoft Teamsチャネルで共有されるファイルをスキャンし、以下のポリシーを含みます:

• マルウェア保護

• データ損失防止(DLP)

注

この機能はファイルのみをスキャンし、Microsoft Teamsメッセージはスキャンしません。

この機能を使用するためにTeams SaaSのアクティベーションは不要です。

Microsoft Teamsのファイルは、Microsoft OneDrive（プライベートチャット）とSharePoint（チャネルファイル）の両方に保存されます。保護範囲を完全に確保するため、Email SecurityではOneDriveとSharePointのスキャンを有効にすることを推奨します。

設定

OneDrive経由でMicrosoft Teamsのファイルスキャンを有効にするには:

以下に移動します：

Security Settings → SaaS Applications → Configure OneDrive

チェックボックスをオンにします:

Microsoft Teamsで会話ファイルをスキャン

「Save（保存）」をクリックします。

Office 365 SharePointポリシーの設定

マルウェアポリシー

デフォルトでは、Office 365 SharePointのマルウェアポリシーは、アップロードされたファイルを悪意のあるコンテンツについてスキャンします。

サポートされるアクション

Office 365 SharePointのマルウェアポリシーは、次のアクションをサポートします:

• マルウェア感染ファイルの隔離。

• 所有者に通知: 悪意のあるコンテンツを含むファイルをアップロードしたユーザに、メール通知を送信します。

• 管理者に通知: 悪意のあるファイルについて管理者にメール通知を送信します。

マルウェアポリシーの設定

マルウェアポリシーを設定するには:

1. Email Security Administrator Portalにアクセスします。

2. 左側のナビゲーションパネルでPolicyをクリックします。

3. Create New Policy Ruleをクリックします。

4. Choose SaaSドロップダウンリストから、Office 365 SharePointを選択します。

5. Choose Securityドロップダウンリストから、Malwareを選択し、Nextをクリックします。

6. 目的の保護モードを選択します:

   • Detect and Remediate

   • Detect

   （任意）必要に応じて、Rule Nameを変更できます。

7. Scopeセクションで、ポリシーを適用するユーザおよび/またはユーザグループを選択します:

   • 組織内のすべてのユーザとグループにポリシーを適用するには、All Users and Groupsチェックボックスをオンにします。

   • 特定のユーザまたはグループにポリシーを適用するには、ユーザ/グループを選択し、Add to Selectedをクリックします。

   • 特定のユーザまたはグループをポリシーから除外するには、必要なユーザ/グループを選択し、Add to Excludedをクリックします。

8. Bladesセクションで、ポリシーに必要な脅威検出ブレードを選択します。

   注 - マルウェア検出で使用可能なすべてのブレードを選択するには、All running threat detection bladesチェックボックスをオンにします。

9. Attachmentsセクションまでスクロールダウンし、Suspected malware attachmentsワークフローでポリシーに必要なワークフローを選択します。

   • 隔離。ユーザには通知されません（管理者は復元可能）

   • 何もしない

   注 - Workflowsは、Detect and Remediate保護モードが有効な場合にのみ使用できます。

10. マルウェア感染ファイルを隔離するには、Quarantine drive filesの下にあるAlertsチェックボックスをオンにします。

    注 - このオプションは、Detect and Remediate保護モードでのみ使用できます。

11. マルウェア感染ファイルを削除するには、Remove malicious filesの下にあるAlertsチェックボックスをオンにします。

    注: Remove malicious filesチェックボックスをオンにすると、悪意のあるファイルは完全に削除され、復元できなくなります。 1つのポリシーでは、Quarantine drive filesまたはRemove malicious filesのいずれかのみを有効にできます。

12. ポリシーのAlertsを設定します。

    

    1. マルウェア感染ファイルを隔離するには、Quarantine malicious filesセクションでAlertsチェックボックスをオンにします。

       注 -このオプションは、Detect and Remediate保護モードでのみ使用できます。

    2. 悪意のあるファイルをクリーンするには、Clean Files (Threat Extraction)チェックボックスをオンにします。参照: Office 365 OneDrive および Office 365 SharePoint のファイルクリーンアップ（Threat Extraction）.

       注 - お使いのCheck Point Portalアカウント（テナント）でClean files (Threat Extraction)チェックボックスを利用できない場合は、contactCheck Point Support.

    3. マルウェアのファイル所有者にメールアラートを送信するには、Alert file owner of malwareチェックボックスをオンにします。

    4. マルウェアについて管理者にメールアラートを送信するには、Alert admin(s)チェックボックスをオンにします。

       特定のユーザへのアラートを設定するには、Select Usersの横にあるAlert admin(s)をクリックします。

    5. マルウェア感染ファイルを削除するには、Remove malicious filesセクションでAlertsチェックボックスをオンにします。

       注 - Remove malicious filesチェックボックスをオンにすると、悪意のあるファイルは完全に削除され、復元できなくなります。

    注: 1つのポリシーでは、Quarantine malicious filesまたはRemove malicious filesのいずれかのみを有効にできます。 ポリシーでここにアラートを有効にしていても、管理者がセキュリティイベントに関するメールアラートを受信できるのは、Receive AlertsでSpecific Service Roleロールが有効になっている場合のみです。Check Point Portal でのロールと権限の管理の詳細については、次の Global Settings > Users を参照してくださいCheck Point Portal Administration Guide.

13. Save and Applyをクリックします。

DLP ポリシー

デフォルトでは、DLP ポリシーは SharePoint にアップロードされたファイルをスキャンし、クレジットカード番号や Social Security Number（SSN）など、漏えいの可能性がある情報を検出します。

サポートされているアクション

Office 365 SharePoint DLP ポリシーは、次のアクションをサポートしています。

• 機密データを含むファイルを vault に送信します。

• 所有者にアラート: 機密情報を含むファイルをアップロードしたユーザにメール通知を送信します。

• 管理者にアラート: 機密情報を含むファイルについて、管理者にメール通知を送信します。

SharePoint 用 DLP ポリシーの設定

DLP ポリシーを設定するには:

1. Email Security Administrator Portal の左パネルで Policy をクリックします。

2. Add a New Policy Ruleをクリックします。

3. Choose SaaS ドロップダウンリストから、Office 365 SharePoint を選択します。

4. Choose Security ドロップダウンリストから、DLP を選択し、Next をクリックします。

5. 必要な保護モード（Detect and Remediate または Detect）を選択します。

   必要に応じて、Rule Name を変更できます。

6. ポリシーの Scope を選択します。

   • ポリシーを特定のユーザまたはグループに適用するには、ユーザとグループを選択し、Add to Selected をクリックします。

   • ポリシーを組織内のすべてのユーザとグループに適用するには、All Users and Groups チェックボックスを有効にします。

   • ポリシーから特定のユーザまたはグループを除外するには、ユーザ/グループを選択し、Add to Excluded をクリックします。

7. DLP Criteria で、ポリシーに必要な DLP カテゴリを選択します。

   DLP データタイプとカテゴリの詳細については、次を参照してください付録 E: DLP 組み込みデータタイプとカテゴリ.

8. ポリシーに必要な感度レベルを選択します。

   1. 非常に高い（ヒット数 > 0）

   2. 高い（ヒット数 > 2）

   3. 中程度（ヒット数 > 5）

   4. 低い（ヒット数 > 10）

   5. 非常に低い（ヒット数 > 20）

9. 内部ユーザとのみ共有されたメッセージおよびファイルに対して DLP ポリシーを除外するには、Skip Internal items チェックボックスを有効にします。

10. ポリシーの Actions を設定します。

    1. 検出された機密データを含むファイルをその所有者の vault に送信するには、Send files with sensitive data to vault チェックボックスを有効にします。

       注 - このオプションは、Detect and Remediate 保護モードでのみ使用できます。

    2. DLP に関するメールアラートを管理者に送信するには、Alert admin(s) チェックボックスを有効にします。

    3. DLP に関するメールアラートをファイル所有者に送信するには、Alert file owner(s) チェックボックスを有効にします。

    4. ドライブファイルを隔離するには、Quarantine drive files チェックボックスを有効にします。

       

    注: 1 つのポリシーに対して、有効にできるのは Send file with sensitive data to vault または Quarantine drive files のみです。 ここでポリシー内でアラートが有効になっている場合でも、管理者がセキュリティイベントのメールアラートを受信できるのは、Receive Alerts で Specific Service Role ロールが有効になっている場合のみです。Check Point Portal でのロールと権限の管理の詳細については、次の Global Settings > Users を参照してくださいCheck Point Portal Administration Guide. メールアラートテンプレートをカスタマイズするには、アラートの右側にある歯車アイコンをクリックします。

11. Save and Applyをクリックします。

Office 365 SharePoint のセキュリティイベントの表示

Email Security は、SharePoint の検出をセキュリティイベントとして記録します。イベントタイプは、そのイベントを生成したポリシーのタイプによって異なります。セキュリティイベントは、自動的に検出/防止されたものか、防止されずに管理者によって後から発見されたものかに応じて、さまざまな方法で対処できます。

Events 画面には、すべてのセキュリティイベントの詳細ビューが表示されます。

注 - Microsoft によってマルウェアとしてマークされたファイルについては、スキャン結果は利用できず、これらのファイルへのアクセスは Microsoft によって防止されます。

Office 365 OneDrive および Office 365 SharePoint のファイルクリーンアップ（Threat Extraction）

ファイルクリーニング（Threat Extraction）は、マルウェア攻撃および内部ユーザ間でのその拡散を防ぐために、Anti-Malwareエンジンに加えた追加のセキュリティレイヤーとして、コンテンツの武装解除と再構築（CDR）エンジンを使用します。

システムは、Office 365 OneDriveまたはSharePointでアップロードまたは編集されるすべてのファイルをスキャンします。

• マルウェアが検出された場合、Email Securityはマルウェアワークフローを適用します。

• マルウェアが見つからない場合は、検出されていない脅威を隠す可能性のあるアクティブコンポーネントを削除して、ファイルをサニタイズします。

必要に応じて、管理者は業務継続性を確保するために元のファイルを復元できます。

ファイルクリーニングの詳細については、次を参照してください。添付ファイルのクリーニング（Threat Extraction）.

Office 365 OneDriveまたはOffice 365 SharePoint向けのファイルクリーニング（Threat Extraction）の設定

Office 365 OneDriveまたはOffice 365 Sharepointのファイルクリーニングを設定するには：

1. Email Security Administrator Portalにアクセスします。

2. 左側のナビゲーションパネルでPolicyをクリックします。

3. 必要なSaaS アプリケーション（Office 365 OneDriveまたはOffice 365 SharePoint）の既存のマルウェアポリシーを開きます。

4. ポリシー保護モードとして Detect and Remediate を選択します。

5. Alerts セクションまでスクロールダウンし、Clean Files (Threat Extraction) チェックボックスを選択します。

   

   注 - ご使用のCheck Point Portalアカウント（テナント）で Clean files (Threat Extraction) チェックボックスを利用できない場合は、次にお問い合わせください：Check Point Support.

6. Save and Applyをクリックします。

クリーニングされたOffice 365 OneDrive / Office 365 SharePointファイル

Email SecurityがOffice 365 OneDriveまたはOffice 365 SharePoint内のファイルをクリーニングすると、ファイルに対して次の変更が行われます。

• ファイル名に文字列 .cleaned を追加します（例：file.doc は file.cleaned.doc になります）。

• ファイルからすべてのアクティブコンテンツを削除します。

サポートされているファイルタイプおよびファイルから削除されるコンポーネントの詳細については、次を参照してください。添付ファイルのクリーニング（Threat Extraction）でサポートされるファイルタイプ.

元のファイルの復元

管理者は、Email Security Administrator Portalを通じて元のファイルを復元できます。これを行うには、以下を実行します。

1. User Interaction >Quarantined Items にアクセス。

2. Quarantined Items の横にあるドロップダウンリストから、Office 365 OneDrive または Office 365 SharePoint を選択します。

3. 該当する File Info ページを開き、元のファイルを復元するには Restore Original File オプションをクリックします。

   

   注 - エンドユーザが元のファイル（クリーニングなし）にアクセスする必要がある場合、ユーザ自身で復元するオプションはないため、管理者に連絡する必要があります。

同じファイルの複数のバージョンが存在する場合、最初の（元の）バージョンのみを復元できます。参照: 複数回クリーニングされたファイルの復元.

複数回クリーニングされたファイルの復元

ファイルを復元すると、Email Securityは、そのファイルがその後何回編集またはクリーニングされたかに関係なく、常に最初にスキャンしたバージョンを復元します。

ファイルは変更されるたびにクリーニングされるため、復元されるバージョンは、エンドユーザが最後に見たものより古い可能性があります。

たとえば、ファイルを復元すると、システムはそのファイルの元のバージョンを復元します。これは、ユーザが最後にアクセスしたバージョンより古い可能性があります。ファイルは変更されるたびにクリーニングされ、各段階でセキュリティが確保されます。

Office 365 OneDriveおよびOffice 365 SharePointのクリーニング済みファイルの表示

Email SecurityによってクリーニングされたOffice 365 OneDriveまたはOffice 365 SharePointのファイルを表示するには：

1. Analytics >Custom Queries にアクセス。

2. 右上隅にある Create New Query をクリックします。

3. 表示される Select Template for New Query ページで、Office 365 OneDrive または Office 365 SharePoint を選択し、All Files をクリックします。

4. 表示される All Files ページで、左上隅の Add Filters をクリックします。

5. Is Cleaned が Yes であることを選択し、Add をクリックします。