Microsoft 365を自社のメールサービスとして利用しているほとんどすべての組織が、最終的に次の疑問に直面します。Microsoft内で利用できるツールは、スパムやフィッシング、その他の迷惑メールがユーザーのメールボックスに届くのを防ぐのに十分なのだろうか?
組織やMSPがユーザーのメールボックスを保護するためにMicrosoft 365内で利用できるツールがいくつか存在しますが、中でも最もよく知られているのはExchange Online Protection (EOP)です。かつては、Microsoftが提供するほとんどのライセンスレベルで有料のアドオンであったEOPは、今では年間または月間定額制のすべてのライセンスタイプに含まれています。
EOPはその誕生以来、長い道のりを歩んできました。当初はスパムとバルクメールのフィルタリングに焦点を当てていましたが、今はフィッシングやスピアフィッシングメール、マルウェアの配信を目的とした悪意のあるペイロードを特定するために、さまざまな検出技術を活用できるようになっています。これは主に、世界規模のメールトラフィックや法人エンドユーザーからの誤検出や検出漏れの報告から成るデータのコーパスを大いに活用して実行されるMicrosoftのマルチスキャンとウィルス対策スキャンによって成し遂げられています。
組織が、EOPが十分な役目を果たしているのかと疑い始めたり、その疑問をMSPに投げかけ始めたりした時は、通常ユーザーの元にこれらの迷惑な脅威やスパムが非常に頻繁に配信されていることが原因です。
正当な評価を下しましょう:Microsoftの検出率は時間の経過とともに改善されてきています。しかしMicrosoftは、より標的を絞った個人化された攻撃(たいていの場合、受信者の同僚になりすましたもの)や少量で配信されるフィッシングキャンペーンに苦戦しており、データのコーパスがその脅威を説明できない場合やユーザーの報告がそのメールの分類を「正常」から「悪意のあるもの」に切り替えるレベルに達しない場合、EOPはミスの影響を受ける可能性が高くなります。これによりリスクが増大し、Microsoft内のソリューションは通常手作業で集中的に管理されることになり、組織やその組織のMSPにとって複雑な問題になります。
EOPだけでは不十分だと思われる場合、組織やMSPには他にどのような選択肢があるのでしょうか?また、代わりのソリューションには何を求めるべきでしょうか?
具体的なオプション以前に、メールセキュリティソリューションは、簡単に実装できて、必要な管理費用を抑えられ、しかもこれまでの技術よりも効果的に脅威を検出できなければならないということに、多くの人が同意していると思います。今日の組織とMSPは、まず導入までの時間を短縮することを求めており、次に、継続的な運用とメンテナンスに多大な時間を費やすことなく、しかも有効性を低下させずに、短時間で価値実現できることを期待しています。
メールのセキュリティのために実装されている有名な技術の一つにSecure Email Gateway(SEGまたはゲートウェイ)があります。SEGが登場してからおよそ20年が経ちますが、そのアーキテクチャ設計はこの事実を反映しています。それらは、ホストされたアプライアンスまたはクラウドベースのアプライアンスの形式で配信されるサービスに、メールフローをリダイレクトさせることによって動作します。このアーキテクチャアプローチは、しばしばゲートウェイの有効性を限定してしまいます。これについては、後ほど詳しくご説明します。
検出に関しては、ゲートウェイは脅威インテリジェンスフィード、ヒューリスティックルール、場合によってはサンドボックスを利用して、悪意のあるトラフィックを特定したり、隔離したり、それらがユーザーのメールボックスに到達するのを防いだりします。このアプローチに聞き覚えがあるはずです。というのもこれは、すでにEOPで採用されている検出方法に非常に類似しているからです。多くの場合、ユーザーはこの隔離されたトラフィックの一部をウェブベースのポータルを介してリリースできます。
隔離されたメールの展開、初期調整、継続的な管理レビューを行うために、ツールの管理を担うMSPや組織は多大な時間を要することがあるため、SEGの全体的な価値実現時間は長くなります。ここでもう一つ考慮すべき点は、新しいサービスやドメインが追加された場合のメールフロー変更に関連して発生する必要不可欠な作業です。
過去数年間にMicrosoft 365を通じて利用できるさまざまなAPIを活用する新規サービスがメールセキュリティ市場へ参入しました。もちろん、それぞれの具体的なアプローチはベンダーごとに異なりますが、これらのテクノロジーの一部は、メールフローを変更することなく、メールからデータを抽出して分析し、APIを介して自動アクションを実行するように設計されています。通常、これらのソリューションの導入までにかかる時間は比較的短いため、MSPはクライアントベース全体で迅速に運用を可能にできます。
また、メンテナンスの点で継続的に考慮すべきこともほとんどありません。これらのテクノロジーの多くは、SEGにこれまで長い間存在してきた同様の検出方法を使用できます。つまり、それらは脅威インテリジェンスフィード、ヒューリスティックルール、URL /添付ファイルのサンドボックスや分析です。しかし、検出の観点から見たAPIベースのアーキテクチャの大きな利点は、SEGのアーキテクチャでは不可能な方法でリアルタイム分析を実行できる能力です。つまり、検出機能は、静的インテリジェンスへの依存度を低くし、その代わりに、各メールをより動的に分析して、少量で発生するそれらの脅威を特定することによって、より精度の高いものにならなければなりません。
検出方法と検出率が向上するだけなく、通常、管理者とエンドユーザーの双方とも、より堅牢で使いやすいツールを備えたはるかにシームレスな体験ができるようになります。しかも、そのために必要なサードパーティアプリやポータルは少なくて済みます。
Vade for Microsoft 365は、EOPと層を成して補完するAPIベースのソリューションです。多忙なMSPのために作られたこのソリューションは、数分で展開できるうえに、MXレコードの変更も必要ありません。SEGとは異なり、Vade for Microsoft 365は、隔離やサンドボックスへの移動なしに、リアルタイムでメールの分析を実行します。これは、EOPに代わるメンテナンスの手間があまりかからないソリューションを求めるMSPのためのソリューションです。このソリューションは、Microsoft 365のマージンを増やしながら、Microsoftが見逃してしまう脅威をキャッチできます。
