ビュー:

TMEmS/V1ECS では ウイルス検索 または Webレピュテーションの検索 において不審なファイルまたは URL をクラウド上のサンドボックスである仮想アナライザに送信し、サンドボックス上でファイルまたは URL を解析することでそのリスクを判定してウイルス検索やWebレピュテーションで検出されない脅威から保護します。

  • 仮想アナライザの機能は受信保護のトラフィック (外部から内部宛) のみに用意されており、送信保護のトラフィック (内部から外部宛) は対象外です。

  • 仮想アナライザの解析にかかる時間は平均 3分 程度ですが、仮想アナライザの 解析タイムアウト には 30分 が設定されているため、ファイルや URL、トラフィック状況等により最大 30分 ほど解析に時間がかかり、メッセージが遅延する可能性があります。

仮想アナライザ機能の有効化

仮想アナライザへの ファイル送信URL 送信 で設定方法が異なります。

仮想アナライザへのファイル送信機能の有効化

ウイルス検索における仮想アナライザへのファイル送信を有効化するには、管理コンソールの 受信保護設定 > ウイルス検索 > ウイルスポリシー の画面に配置されているウイルス検索用のポリシールールの検索条件(TMEmS / V1ECS) において 高度な設定の指定 のセクションにある「仮想アナライザに不審ファイルを送信する」のオプションを有効化します。

このオプションが有効化されている場合、不正プログラム検索エンジンが不審と判断したファイルのみ仮想アナライザに送信します。

「仮想アナライザに不審ファイルを送信する」にチェックを入れると、「低 (最も控えめ)」「中」「高 (最も強力)」からセキュリティレベルを選択できるようになります。仮想アナライザにファイルが送信された場合、仮想アナライザの解析によるリスク判定結果 (「リスク高」や「リスク中」「リスク低」など) とこのセキュリティレベルの設定にしたがってメッセージは検出されます。

また、「JSEファイル、VBEファイル、またはマクロを含むファイルを送信する」のオプションを有効化した場合、それらのファイルは不審かどうかに関係なく仮想アナライザに送信されます。

受信保護設定 > ウイルス検索 > ウイルスポリシー には初期設定で "Virus" というポリシールールが用意されて有効化されており、そのポリシールールの検索条件では「仮想アナライザに不審ファイルを送信する」と「JSEファイル、VBEファイル、またはマクロを含むファイルを送信する」のオプションが有効化されているため、初期設定では仮想アナライザへのファイル送信機能は有効です。

仮想アナライザへのファイル送信の除外

仮想アナライザに特定のファイルが送信されることを除外することはできませんが、特定のメッセージの送信者を指定した除外設定をポリシールールに追加することで回避することは可能です。

具体的には、受信保護設定 > ウイルス検索 > ウイルスポリシー に配置されたポリシールールの 受信者と送信者 の設定では、除外 セクションに送信者と受信者のペアで除外設定を登録できます。除外設定に指定した送信者からのメッセージはポリシールールの検索対象から除外され、ウイルス検索が実行されないため、仮想アナライザにメッセージに添付されているファイルが送信されることはありません。

  • 除外設定に指定した送信者からのメッセージすべてに対してウイルス検索が実行されないことになります。

  • スパムメールポリシーやコンテンツフィルタの各ポリシールールの検索は実行されます。

仮想アナライザへの URL 送信機能の有効化

Webレピュテーション検索 における仮想アナライザへの URL 送信を有効化するには、管理コンソールの 受信保護設定 > スパムメールフィルタ > スパムメールポリシー の画面に配置されているスパムメール検索用のポリシールールの 検索条件 において「Webレピュテーション」の検索条件をクリックし、仮想アナライザ のセクションにある「仮想アナライザにURLを送信する」のオプションを有効化します。

このオプションが有効化されている場合、Webレピュテーションの評価が未評価の URL に加え、ファイル共有を行っているWebサイトの URL や 短縮 URL など、不審な URL が仮想アナライザに送信されます。

「仮想アナライザにURLを送信する」にチェックを入れると、「低 (最も控えめ)」「中」「高 (最も強力)」からセキュリティレベルを選択できるようになります。仮想アナライザに URL が送信された場合、仮想アナライザの解析によるリスク判定結果 (「リスク高」や「リスク中」「リスク低」など) とこのセキュリティレベルの設定にしたがってメッセージは検出されます。

受信保護設定 > スパムメールフィルタ > スパムメールポリシー には初期設定で "Spam or Phish" と "Newsletter or spam-like" のポリシールールが用意されて有効化されており、「Webレピュテーション」の検索条件が選択されてしますが、「仮想アナライザにURLを送信する」のオプションは無効化されており、初期設定では仮想アナライザへの URL 送信機能は無効です。

仮想アナライザへの URL 送信の除外

こちら のいずれかの方法で Webレピュテーションの検出から除外することで、特定の送信者からのメッセージまたは特定の URL を仮想アナライザへの送信から除外することが可能です。

例えば特定の URL を除外する場合には Webレピュテーション承認済みリストで除外 します。

  • Webレピュテーション承認済みリストの登録画面で 処理なし にある「Webレピュテーションサービス」の設定が有効化されていたとしても無効化されていたとしても (Webレピュテーション承認済みリストの画面で「Webレピュテーションサービスのバイパス」が Yes であっても No であっても)、仮想アナライザへの送信から除外されますが、特に事情がない限り、「Webレピュテーションサービス」の設定は有効化します。

  • URL の パス に指定した文字列が含まれる URL のみ除外するのであれば「URLキーワード除外リスト」の機能を利用します。

    具体的には、まず 受信保護設定 > スパムメールフィルタ > スパムメールポリシー の画面で「Webレピュテーション」の検索条件が選択されているポリシールールをクリックし、検索条件のセクションを開きます。次に「Webレピュテーション」の検索条件をクリックし、URLキーワード除外リスト のセクションにある「URLキーワード除外リストを有効にする」を有効化して設定を保存します。

    その上で 管理 > ポリシーオブジェクト > URLキーワード除外リスト の画面を開き、任意の文字列 (キーワード) を 登録 します。

仮想アナライザへの送信と検出

まず、仮想アナライザにファイルまたは URL が送信された場合、管理コンソールの ログ > メール追跡 の画面でメッセージを検索すると、処理ステータス には「サンドボックスに送信済み」と表示されます。

また、ログの日時をクリックして表示される 詳細画面 では 処理 のセクションにある 評価済みポリシー に「仮想アナライザ: 検索中 (<ウイルスポリシーまたはスパムメールポリシーのポリシールール名>)」と表示されます。

仮想アナライザの解析が完了してリスクが判定されると、詳細画面ではファイルを送信した場合には「仮想アナライザ: ファイルを検索済み (所要時間: 2分 11秒)」、URL を送信した場合には「仮想アナライザ: URLを検索済み (所要時間: 2分 11秒)」のように解析にかかった時間が表示されます。また、処理ステータスも「サンドボックスに送信済み」から検索後のステータスに変更されます。

仮想アナライザによる検出

仮想アナライザの設定でセキュリティレベルが「低 (最も控えめ)」の場合には仮想アナライザのリスク判定が「リスク高」の場合のみ検出します。セキュリティレベルが「リスク中」の場合、仮想アナライザのリスク判定が「リスク高」と「リスク中」の場合に検出します。そしてセキュリティレベルが「高 (最も強力)」の場合、仮想アナライザの解析でリスクがあると判定されれば (仮想アナライザのリスク判定が「リスク高」「リスク中」「リスク低」のいずれかの場合であれば) 常に検出されます。

仮想アナライザによって検出された場合、メッセージはポリシールールの処理設定にしたがって処理され、メール追跡の詳細画面では「仮想アナライザの検索結果: リスクを検出 (所要時間: 2分 11秒)」にように表示されます。

また、検出されたメッセージは 管理コンソールの ログ > ポリシーイベント の画面で確認できます。ポリシーイベントのログには 検出理由 として 脅威の種類 に「標的型サイバー攻撃」、サブタイプ に「解析済みの高度な脅威 (ファイル)」 (仮想アナライザへのファイル送信で検出された場合) または「解析済みの高度な脅威 (URL)」 (仮想アナライザへの URL 送信で検出された場合) が表示されます。

また、ログの日時をクリックして表示される 詳細画面 では「リスク評価」の項目に仮想アナライザのリスク判定結果が表示され、「レポートの表示」のリンクから詳細を確認できます。

仮想アナライザの検索除外

仮想アナライザにファイルまたは URL を送信した場合、管理コンソールの 受信保護設定 > ウイルス検索 > 検索除外 にある以下の検索除外(TMEmS / V1ECS)でメッセージが処理される可能性があります。
※ 添付ファイル が検索除外として検出される前には ウイルスポリシー による検索が実施され、URL が検索除外として検出される前には スパムメールポリシー による検索が実施されています。
 

初期設定ではいずれの検索除外の処理設定には「処理なし」 (「メッセージをインターセプトしない」) が選択されています。同検索除外に該当したメッセージがウイルス検索やWebレピュテーションの検索で検出されることはありませんが、受信保護設定 > スパムメールフィルタ > スパムメールポリシー受信保護設定 > コンテンツフィルタ に配置されているポリシールールの検索は実行されるため、仮に脅威のあるメッセージであったとしても他のポリシールールによって検出されてブロックされる可能性があります。

一般的な検索除外

一般的に以下のような理由で仮想アナライザによる解析結果が得られなかった場合、メッセージは「仮想アナライザによる検索から除外されました。」の検索除外で処理されます。

  • なんらかの理由で製品内部で仮想アナライザに接続できなかった場合
  • なんらかの理由で 30分 以内に解析結果が得られなかった場合
  • 仮想アナライザに送信したファイルのファイルタイプがサポートされていなかった場合
  • 展開したファイルやダウンロードしたファイルのファイルサイズが制限値を超えている場合
  • 仮想アナライザに送信した URL にアクセスできない、あるいは URL が無効な場合

  • 仮想アナライザ (サンドボックス) がサポートするファイルタイプやファイルサイズの上限値など、詳細に関しては内部情報であるため、開示していません。

  • 仮想アナライザがファイルタイプに対応していたとしても、そのファイルがパスワードで暗号化されている場合には仮想アナライザはパスワード保護されたファイルを復号化できないため、「仮想アナライザによる検索から除外されました。」の検索除外でメッセージは処理されます。

「仮想アナライザによる検索から除外されました。」の検索除外で検出されて処理されたメッセージはメール追跡の詳細画面では 処理 のセクションにある 評価済みポリシー に「仮想アナライザの検索除外。(所要時間: 48秒)」のように表示されます。

また、ポリシーイベントの詳細画面では 脅威の種類 に「検索除外」、サブタイプ に「仮想アナライザの検索除外」、そして 詳細 の項目に「リスク評価なし」と表示されます。

送信割り当てによる検索除外

ウイルス検索またはWebレピュテーションの検索において仮想アナライザにファイルまたは URL を送信する際、直近 24時間 に送信したファイルまたは URL 数が割り当て数を超過していた場合、メッセージは「仮想アナライザへの送信割り当てから除外されました。」の検索除外で処理されます。

「仮想アナライザへの送信割り当てから除外されました。」の検索除外で検出されて処理されたメッセージは、メール追跡の詳細画面では 処理 のセクションにある 評価済みポリシー に「仮想アナライザへの送信数が割り当てを超えました。 (所要時間: 10秒)」のように表示されます。
また、ポリシーイベントの詳細画面では 脅威の種類 に「検索除外」、サブタイプ に「仮想アナライザの送信割り当ての除外」、そして 詳細 の項目に「仮想アナライザへの送信数が割り当てを超えています。」と表示されます。

V1ECSにおける仮想アナライザへの送信割り当て数の上限は、ファイル/URL共に無制限となっております(2024/5/31現在時点)。
TMEmSにおける仮想アナライザへの送信割り当て数の上限に関する詳細は以下の通りです。

まず始めに、オンラインヘルプ に記載されているように、ウイルス検索において直近 24時間 に仮想アナライザに送信可能なファイル数の上限にはライセンスのシート数 (アカウント数) に応じて シート数 × 0.1 が割り当てられています。例えばライセンスのシート数が 100 であればファイル送信の割り当て数は直近 24時間 で 10 となります。

同様に オンラインヘルプ に記載されているように、Webレピュテーションの検索において直近 24時間 に仮想アナライザに送信可能な URL 数の上限には シート数 × 8 が割り当てられています。例えばライセンスのシート数が 100 であれば URL 送信の割り当て数は直近 24時間 で 800 となります。

  • 上記割り当て数は 2024/5/31 現在のものです。今後、変更される可能性があります。

  • ファイル送信の割り当て数の上限には少なくとも 5 が設定されます (ライセンスのシート数が 50 未満であったとしても 5 が割り当てられます) 。

  • 管理コンソールの 管理 > ライセンス情報 の画面で確認できます。

  • 管理コンソールの ダッシュボード脅威の概要 タブにある「仮想アナライザの割り当て使用率の詳細」のグラフではファイル送信の割り当て数と URL 送信の割り当て数をそれぞれ確認できます。また、このグラフではファイルまたは URL の送信状況を確認できます。

  • 過去に仮想アナライザに送信され、キャッシュされているファイルや URL は送信回数には含まれません。また、仮想アナライザの検索除外 に該当した場合も送信回数には含まれません。

  • 直近 24時間 に仮想アナライザに送信可能なファイル数または URL の数は時間の経過と仮想アナライザへの送信状況によってリアルタイムに変化します。

    例えばファイル送信の割り当て数の上限が 10 で直近の 24時間 にひとつも仮想アナライザにファイルが送信されていなかったとします。3:00 に 2個 のファイルが送信されると送信可能なファイル数は 8 に減少し、さらに 11:00 に 3個 のファイルが送信されると送信可能なファイル数は 5 に減少します。しかし、翌日の 3:00 になると送信可能なファイル数は 7 に増加し、8:00 に 1個 のファイルが送信されると送信可能なファイル数は 6 に減少します。そして 11:00 になると割り当て数は 9 に増加します。