IIJセキュアMX for Office365 を利用してみた(2)

投稿者: | 2020-11-03

1に前に戻る IIJセキュアMX for Office365により、メールセキュリティは、相当グレードアップする。 多層型セキュリティフィルタ(セキュリティポリシー)において、受信では「ドメインで制御する方法」「独自グループで制御する方法」という2方向から管理が可能だ。送信では、「差出人と宛先をペア」として管理することができる。さらに、添付ファイル暗号化においても、細かく設定ができるのが特徴だ。 送受信メールにおけるレポートも用意されており、Office365 (Microsoft365) では判断しづらかった、ウイルスフィルタ数や、迷惑メールフィルタ数も過去・最大1ヶ月間表示することができる。さらに、ウイルス種類の内訳や、どういう添付ファイル(拡張子)が多かったのか、といった調査も簡単に行えるため、社内レポート作成における十分な材料としても利用できるのが魅力の1つだ。   セキュアMXを導入した理由の1つに、ユーザーが実際には送っていなかったメールに対する応答メールが届き、不安にされているユーザーが多い?のではないか、という悩みでもあった。これは、バックスキャッター(Backscatter)対策によって、保護ができる。また、自社ドメインを不正に利用して送信されないような仕組みを採用。これは、(1)でも触れた、Office365アドレス連携に関係する案件だ。 セキュアMXを介してメールを送信、あるいはメール受信にあたっては、セキュアMX上で管理しているOffice365アドレスが登録されているか否か、次第だ。Office365アドレスに登録されていないものであれば、そもそも受信時にフィルタがかかる。 しかし、スパムはセキュアMXを介しては送信されないもの。 例えば、社内にある各種システムのアラートメールを、セキュアMXで有効にしているドメインを利用したアドレスで送信すると、まずフィルタが動きブロックされた。そのため、勤務先の各種システムから発せられるメールのドメインは、パブリックドメイン名でありながら、セキュアMXで連携していないドメインで設定している。

DMARCの設定

DNSの設定は有償委託するまでも無い。 DKIMを設定するNSレコード、SPFやDMARCを設定するためのTXTレコード、メールサーバを切り替えるMXレコードの書き換えが必要程度。 お使いのDNSサーバによっては、すぐにメールサーバが切り替わるため、金曜日の就業時間後とかが望ましい。 というのも、ネームサーバ更新にあたって、最大72時間かかる場合があるからだ。 Microsoft365で利用しているCNAMEレコードには手を加えない。 セキュアMXでは、DMARCにも対応している。 (参考)IIJ、「IIJセキュアMXサービス」において、送信ドメイン認証技術「DMARC」に対応(IIJ) SPFとDKIMの認証結果を利用して、詐称されたメールを受信側がどう扱うべきかの方針を決めることができる技術で、SPFとDKIMの両方の認証に失敗したメールに対して、「そのまま通す(none)」「隔離する(quarantine)」「受信拒否する(reject)」という制御が可能だ。noneだとつまらなかったので、quarantineを利用している。   セキュアMXでは、隔離されたメールは個人毎の専用ポータルにアクセスすれば、隔離されたメールを簡単に見ることができる仕組みになっている。そこから、リリース(メールのブロックを解除して受信できるようにする)、許可(ホワイトリストに登録する)、ほったらかす(一定期間経過後削除)といった方法を取ることができる。ログインにあたっては、日本語・英語の他に中国語にも対応している。

メール送信遅延、添付ファイル暗号化

Microsoft365でのメール送信取り消しは最大(たった)10秒だ。これで何ができる?過ぎ去る時間の秒を見つめながら、よくそう思った。 Microsoft365メールで1点問題がある。フレーム内でメールを送信した場合には、この機能が有効。しかし、メールを新たなウインドウに表示して作業している場合には、送信遅延が適用されず、即送信されてしまう問題があった。 あるいは、メール作成時に手がすべって、書き途中のメールが送信されてしまう等、結構、あちゃ〜といった問題は多いのではないだろうか。 色々な些細な問題点を解決するのが、メール送信遅延機能である「送信一時保留」機能だ。まずメールに対し保留が行われ、保留時間経過後にメールが送信される。なお、そのメールにファイルが添付されていれば、ZIP形式でファイルが暗号化された状態でメールが送信される。この暗号化されたパスワードメールが、一定期間経過後にパスワードメールが送信される仕組みとなっている。 メール送信一時保留時間は5分〜60分の範囲で行うことができる。ここでは5分で設定している。 添付ファイル暗号化のパスワードメール通知は1分〜60分の範囲で行うことができる。ここでは3分で設定してみた。5分も考えたが、5分待つのには、ややイライラさを感じたためだ。2分の場合だと、ちょっと短かった。パスワードの文字列は10〜50桁で設定できる。 この保留通知は送信者に送られる。保留通知に記載されているURLリンクをクリックすれば、即送信・キャンセル(削除)することがすぐに行うことができる。 この保留通知メール内容はカスタマイズが可能。ただ、すべての通知メールがカスタマイズできるとは限らない。 添付ファイル暗号化除外拡張子の設定も可能。iPhoneから送信すると、datファイルが添付されたりするため、数個除外をしてみた。 また、zipファイル形式が添付されている場合は、パスワード付与されていることを想定とし、除外を入れたりしている。   セキュアMXの場合、全体的な設定の他に、セキュアMXポータルから更なる詳細な設定が可能となっている。そのため、ドメインやオリジナルグループ毎に、更なる詳細設定が可能なため、企業規模が小さくても大きくても柔軟に設定ができるのも、規模問わず色々な企業が利用している事例から物語っている。 勤務先では、複雑な管理は避けたいこともあり、セキュアMXポータル上からでは、個々の制御は行わず、全体制御で対応した。

アンチウイルス・アンチスパム

従来オプション提供だったウイルス駆除機能が標準搭載に変わっていたりする。 (参考)IIJ、「IIJセキュアMXサービス」のメールフィルタ機能を強化(IIJ) 6種類のセキュリティフィルタを経由し、Microsoft365のセキュリティフィルタを経由してお手元に届く。これはもはや、添付ファイル類は安全としか言いようがない。まぁ、デスクトップ側もセキュリティソフトを入れているわけなので、これ以上、何を対策すればいいのか?リンク先感染対策だろうか。企業であれば、Webフィルリングである程度防御は可能かもしれない。 この対策として、セキュアMXには、サンドボックス機能が用意されている。まぁ、比較的良い値段はするものの、こここまで対策を行えば、標的型攻撃メールとかによる、心理作戦でやられる以外、セキュリティ対策としてやりようが無いかもしれない。   シンプルな設定で、高性能なセキュリティを実現できるセキュアMXに迷う必要性が見当たらない。少しでもセキュリティを高めたい場合には、このサービスを選ぶことで、安心に近く。    ]]>