はじめに 本資料は Trend Micro Hosted Security の機能を説明する資料です 用語と略称について 本書では 下記の略称を用いています Trend Micro Hosted Security HES Trend Micro Reputatio

Trend Micro Hosted Email Security™

機能説明資料

はじめに

• 本資料は、

Trend Micro Hosted Email Security

の機能を説

明する資料です。

• 用語と略称について

– 本書では、下記の略称を用いています。

• Trend Micro Hosted Email Security

…「HES」

• Trend Micro Email Reputation Services …「ERS」

目次

• Trend Micro Hosted Email Security概要

• 機能概要

HES管理コンソールから実行可能な

設定・管理について

• 機能概要

エンドユーザメール隔離（EUQ)コンソール

• サービスの要件

Trend Micro Hosted Email Securityとは

■自社製品に資産を持たず、メールセキュリティ対策ができるクラウド型製品

■社内メールサーバとインターネット上の他のメールサーバ間で送受信されるメールに

検出されるウイルスやその他の不正プログラムを、自動的に除去する事ができます。

■検出されたスパムメールやその他の不適切なメッセージは隔離しておき、その後、隔

離されたメッセージを解放するか削除するかをメッセージ受信者または管理者が選択す

る等の選択も可能です。

Trend Micro Hosted Email Security(HES)の概要

ウイルス対策 スパイウェア対策

スパム対策

フィッシング対策

コンテンツフィルタ

スマートプロテクションネットワーク（SPN）の利用によ

る最新の脅威への対応

•IPレピュテーション（Eメールレピュテーションを利用)

•Webレピュテーションサービス

ウイルス・スパムメールなど各種脅威の検索・駆除

•不正プログラム（ウイルス・スパイウェア等）の検知

•スパムメール・フィッシングの検知

•コンテンツフィルタリング（キーワード登録可）

•ソーシャルエンジニアリング対策

•標的型攻撃への対応

管理者負担を削減する管理機能の提供

• Webエンドユーザ隔離（EUQ）機能の提供

• レポート（ダッシュボード）によるセキュリティ状況把

握

SaaSサービス利用による運用管理負荷の低減

• システムの運用・保守はトレンドマイクロが実施

• 社内リソースの有効活用（H/WやS/Wの追加投資は

不要）

SaaS型メールセキュリティソリューション

お客様はハードウェアの導入・運用、ソフ

トウェアの導入・パッチ適用・バージョン

アップグレードなどは必要ありません！

① セキュリティ対策のための自社内のハード

ウェアリソース、ソフトウェアの軽減

② IT予算が削られる中、セキュリティ対策は

コスト、負担が増すばかりです。コスト・手

間の削減に効果的です。

③ 最新のセキュリティ対策のメンテは24時間

365日プロに任せて、お客様はコアコンピテ

ンシーに集中、生産性を向上させます

④ MTAがオフラインまたは到達不能となった

場合でも、メールメッセージをHES内に最長

10日間保存できます。

ここがポイント！

2種類のフィルタによる保護

■IPレピュテーションによるフィルタリング

•

Trend Micro Email Reputation(ERS)による保護

•

ERSはメールのコンテンツのスキャンなしでブロックが可能です。

⇒IPレピュテーションで設定

■コンテンツベースのフィルタリング

•

メールのコンテンツをスキャンします。

ウイルス、スパム、フィッシング、マーケティングメッセージ、

ソーシャルエンジニアリング攻撃、ルールベースのコンテンツの

フィルタリングを行うことが可能。

⇒ポリシーで設定

【参考】Email Reputation Services(ERS) 概要

HES

• 既知のスパムメール送信元IPアドレスや、ゾンビPCやボットネットによるスパムメール送信元IP（非固定

IPアドレス）からの接続に対して、トレンドマイクロが保持しているスパムメール送信元IPアドレスデータ

ベースを参照し、該当するIPアドレスからの接続をブロックします。

Trend Micro

DNSサーバ

アップデート

②

③

ケース1

ケース2

Eメールレピュテーションサービス

①

MTA

①HESが送信元から接続要求を受ける

②HESが送信元IPアドレスをTrend Micro DNSサーバに問い合わせる （名前解決の仕組みを利用）

③HESが送信元IPアドレスがスパム送信元として登録されているかどうかの結果を受け取る

⇒登録されている場合は【

ケース1

】へ ⇒登録されていない場合は【

ケース2

】へ

【ケース1】送信元に5.x.x番台（常にブロック）または4.x.x番台（一時的にブロック）のコードを返し接続を切断する

トレンドマイクロ

マスタDB

【参考】ERSの２つのサービスのレベル

■STANDARD

このサービスでは、要求されたIP アドレスをトレンドマイクロのレピュテーションデータベース

と照合することによってスパムメールのブロックを促進します。

■ADVANCED

このサービスは、スパムメール送信元で大量のメッセージが送信処理されている間に、その送

信元を特定し、阻止します。

これは、動的なリアルタイムのスパムメール対策ソリューションです。

最新テクノロジー

■HES2.0(2015年リリース）の新機能

• クラウドサンドボックス

不審なメールを仮想空間（サンドボックス）で実行し、そのふるまいを解析できる動的解析

機能を提供。標的型攻撃への対応をより高度に行うことが可能です。

• より高度な脅威検索

パターンベースの検索と強力なヒューリスティック検索とを組み合わせて使用して、標的型攻

撃で使用される文書の脆弱性やその他の脅威を検出することが可能です。

既知および未知の高度な脅威を識別し、パターンにまだ追加されていない新型の脅威から

システムを保護します。

• ソーシャルエンジニアリング対策

ソーシャルエンジニアリング攻撃対策機能(SNAP)の実装により、メールのヘッダー等を含む

内容を照査し標的型攻撃を含む、電子メール経由のソーシャルエンジニアリング攻撃に対応

します。

• Office365 & Google Appsとの連携

メール環境への導入イメージ

・受信の場合は、送信元のMTAは、example.comのMXレコードに対しDNSルック

アップを実行し、example.comの場所を特定します。

・送信フィルタを使用する場合は、MTAが外部へメール送信する際のダウンスト

リームMTAをHESサーバに指定。

HESの使用開始

1. 管理コンソールによりドメインの登録・設定

2. 管理コンソールによりポリシーの設定

3. MXレコード情報の設定 （配送をHES経由に切り替え）

ファイアーウォールの設定

mta.domain.com IN A xxx.xxx.xxx.xxx

domain.com IN MX 10 mta.domain.com

DNS

DNS

mta.domain.com IN A xxx.xxx.xxx.xxx

domain.com IN MX 10

mx.hes.trendmicro.com

DNS設定例

お客様MTAのIPアドレス

実際には確認メールで記載されたものを

ご記載ください。

■導入手順

4. 送信フィルタを使用する場合は、MTAが外部へメール送信する際の

ダウンストリームMTAをHESサーバに指定

管理コンソール

■Webベースのコンソールにより管理者は、セキュリティ設定、メールトラフィックやス

パムのモニタリング、ログの閲覧が可能。

■メインメニュー（機能）

・ダッシュボード

・ポリシー

・送信者フィルタ

・IPレピュテーション

・隔離

・ログ（メール追跡）

・管理

機能概要

HES管理コンソールから実行可能な

設定・管理について

ポリシー

■概要

•

管理者はウイルス検索等ルールを組み合わせ、送信メール、受信メールに対して

セキュリティリスクの検知/処理を設定

•

指定した処理の種類によりルールの適用順序は自動的に決定

•

ドメイン登録時にデフォルトのルールが作成されます （一部、削除・編集不可）

ポリシー



ウイルス



スパム、フィッシング、マーケティングメッセージ、

ソーシャルエンジニアリング攻撃



詳細(添付/コンテンツ/サイズ/その他

)

インターセプト

変更

監視

メッセージをインターセプトしない 駆除可能なウイルスを駆除し、駆除

不可能なウイルスを削除

通知を送信

メッセージ全体を削除

一致する添付ファイルを削除

BCC

今すぐ送信

本文にスタンプを挿入

隔離

件名にタグを挿入

【ルール】

【対象】

【適用条件】

【処理】

■ルールの構成

ポリシー

■ルールの適用条件 ‐ 基本条件

•

ウイルスまたは不正なコード

•

スパムメール

検出レベル：最低 (最も控えめ)、低、中低、中高、高、最高 (最も強力)

•

フィッシング またはその他の疑わしいコンテンツ

•

マーケティングメッセージ

•

ソーシャルエンジニアリング攻撃

オプション：

高度な解析を実行して高リスクオブジェクトを検出。この条件を有効

にすればサンドボックス環境でサンプルファイルに高度な解析を 実行し、

従来の検索では検出されない疑わしいオブジェクトを検出できます。

但し、この高度な解析が完了するまでメッセージの配信は遅延します。

（最大30分）

ポリシー

■ルールの適用条件 ‐ 詳細条件

•

サイズ

メッセージまたは添付ファイルのサイズに基づいてフィルタします。

•

キーワード

件名、本文、ヘッダ、またはメッセージの添付ファイルに特定の単語が含まれているメッ

セージをフィルタします。正規表現もサポートします。

•

添付ファイル

ファイル名や拡張子、MIMEコンテントタイプ、実際のファイルタイプ、サイズ数、またはフ

ァイル内のキーワードによって添付ファイルをフィルタします。

•

受信者の数

受信者の数に基づいてフィルタします。

•

パスワードで保護されたファイル

添付ファイルがパスワードで保護されているかどうかに関してフィルタします。

ポリシー

■検索（適用）条件設定画面

（Note)

ポリシー

■ルール処理のクラス

1. インターセプト処理

メッセージをインターセプトし、メッセージが元の受信者に

届かないようにします。

2. 変更処理

メッセージまたはその添付ファイルを変更します。

3. 監視処理

管理者によるメッセージの監視を許可します。

4. 検索の制限処理

管理者はメッセージの許可または迂回することができます。

※ルールにより設定可能な処理が異なります。

ルール適用順序

(自動的に決定)

2.

変更

3.

監視

※終端処理のため実行されると

以降のルール判定には入りません。

※2と3を組み合わせることが可能

1.インターセプト

ポリシー

■処理設定画面

（Note)

この画面で処理を選択します。

検索の制限では「メッセージを

拒否」または「このルールを省略」

を選択できます。

送信者フィルタ

■承認済み送信者（ホワイトリスト）

•

メールアドレス、ドメインにより設定

•

IPレピュテーションベース、スパムメール、フィッシング、マーケティングメッセージのフィルタ

の対象から除外

•

不正プログラムおよび添付ファイルの検索はすべての受信メッセージに対して実行

■ブロック済み送信者

•

メールアドレス、ドメインにより設定

•

Hosted Email Security検索は実行されずに自動的にブロック

HES

A

A

X

Y

☑スパム

☑ウイルス

☑コンテンツフィルタ

☑添付ファイル

PASS:スパム

☑ウイルス

☑コンテンツフィルタ

☑添付ファイル

IPレピュテーション

■設定

•

Eメールレピュテーションサービス(ERS)を利用した送信元判定によるスパムメール検知設定

- ダイナミックIPレピュテーションの設定

HESでのEmail Reputation Services AdvancedサービスのダイナミックIPレピュテーション

データベースの使用方法を制御

0～4段階の強度設定が可能

- IPレピュテーションの標準設定

HESでのEmail Reputation Services StandardサービスのスタンダードIPレピュテーション

データベースの使用方法を制御

□既知のスパムメール送信元（RBL)

□動的に割り当てられたIP(DUL)

IPレピュテーション

■承認/ブロック

•

国/地域、IPアドレス、およびClassless Inter-Domain Routing (CIDR) ブロックのそれぞれにつ

いて、承認済みリストとブロックリストを設定できます。

-承認済み ：ＩＰレピュテーションフィルタは省略されます。

-ブロック済み ：該当するIPアドレスからの接続を拒否します。

隔離

■概要

•

ルールの設定により、メールアカウントへの配信前にスパムメールまたはその他の不適切な

コンテンツが検出されると、隔離メッセージとしてブロックすることができます。

•

隔離されたメッセージは、管理者またはユーザが削除または再配信できます。

-管理コンソール：管理者が操作

- エンドユーザメール隔離（EUQ）コンソール：各ユーザが操作（別章で説明）

- ダイジェストメール（隔離通知）：各ユーザに送信されたダイジェストメールで操作

•

隔離されたメッセージは上記操作を行われない場合、HES内で30日間保管された後、削除さ

れます。

承認

隔離対象となった

ルール以降の

ルールをチェック

隔離

e-mail

(Note)

•再配信操作後、隔離されたルール以降の

ルールが実行されます。それらのルールが

適用された場合には、その処理が実行され

ます。

隔離

■クエリ

•

送信者/受信者を指定して隔離対象となったメールのクエリを実施

•

隔離されたメールの削除・配信の実施が可能

(Note)

特定のメールアドレスを照会するには、アドレス全体を入力します。

ドメインのすべてのアドレスを照会するには、メールアドレスのアット記号 (@) より前の

隔離

■隔離設定

•

隔離通知のスケジュールやテンプレートを設定。

•

隔離処理がされた場合に、この設定により一定の時間にテンプレートの内容による通知メー

ルが送信されます。

隔離

■隔離通知のスケジュール

•

頻度を毎日か毎週で設定します。このスケジュールにより隔離通知メールが受信者に

送信され、受信者は自分宛てに送られたメールが隔離されたことを知り得ます。

-毎日 ：１日に３回まで通知時刻を設定可能。

-毎週 ： どの曜日（月～日曜日で複数選択可能）の何時を設定可能

(Note)

隔離

■2種類の通知メールテンプレート

以下から選択可能です。

-HTML形式 ： インライン処理によりユーザは通知メールメッセージから直接、

メッセージや送信者を承認することが可能です。

-プレーンテキスト形式 ： ユーザは通知メールメッセージから直接、隔離管理はできま

せんので通知のみとなります。

■件名

Trend Micro Hosted Email Security 隔離通知 %DIGEST_DATE% for %DIGEST_RCPT%

■HTMLコンテンツ(インライン処理有効の場合）※テキストコンテンツについてもサンプルをFAQ公開

<head>

<meta http-equiv=“content-type” content=“text/html; charset=utf-8” />

<style>

<!--

--- 中略 ---

</style>

</head>

<body>

<div style="font-family:arial;font-size:12px">

<div>Trend Micro&#0153; Hosted Email Security は、スパムメッセージや好ましくないメッセージを隔離することによりあなたのメールボックスを脅威

から保護しています。この隔離通知を使用して隔離されたメッセージの管理、および隔離メッセージの送信者メールアドレスを承認することができます。

</div><br/>

--- 中略 ---

</div>

</div>

</body>

HTML形式テンプレート例

トークン

隔離

■2種類の隔離通知メール表示例

HTML隔離通知メール(インライン処理有効)例

テキスト隔離通知メール例

隔離

■HTML形式隔離通知メールによるインライン処理の例

隔離されたメッセージを解除

承認済み送信者リストへの送信者の追加

隔離されたメッセージを解除

• ユーザは隔離通知メールにより隔離されたメールの操作が可能です。

（Note:）

•インライン処理ではOutlook2003、2007、2010、2013がサポート

ログ

■メール追跡

•

「メールの追跡ログ」の表示により、処理されたメッセージ詳細や未解決のメッセージ一覧を

確認できます。

-送信者/受信者を指定してメールのクエリを実施（ワイルドカード使用可）

-最大で連続7日間のデータの検索が可能。

-過去30日間分のデータを確認可能（保存期間30日間）

管理

■概要

管理者に以下の機能を提供

• エンドユーザのパスワードの変更（EUQのエンドユーザパスワードの再設定）

• ディレクトリの管理

ユーザディレクトリをアップロードしてスパムメールの管理を強化

• ドメインの管理

ドメインのステータスの管理

• Webサービス

HESでのディレクトリの管理の自動化

• サービス品質文書

サービス品質文書の表示

管理

■ディレクトリ管理とは

•

有効なメールアドレスに対するメッセージをフィルタして処理するのに役立ちます。無効なメー

ルアドレスへのメッセージは拒否されます。 バックスキャッタ (アウトスキャッタ) スパムメール

およびディレクトリハーベスト攻撃 (DHA) を防止します。

•

LDIF(ANSIエンコード）/CSV(UTF-8)形式のユーザディレクトをインポートすることが可能

送信元ユーザは、

間違ったアドレス

にメールを送信。

（ドメイン部分は

正しい）

SMTP

エラー

コード

NDR

HES

送信元のメール

サーバはHESに

送ろうとするが、、、

「ディレクトリ管理機能」に登録され

たメールアドレスと比較して、宛先が

間違っていると判別。前段のメール

サーバへエラーコードを返す。

管理

■ユーザディレクトリのインポート

•

HESには、LDAPデータ交換形式 (LDIF) ファイルやカンマ区切り値 (CSV) ファイルをインポー

トできます。

•

インポートすることにより、HESで組織内の正規のメールアドレスとドメインが識別されます

。

（Note）

•あるドメインに関する情報が含まれるアップデート済みユーザディレクトリをインポート

する場合は、そのドメインのすべてのエントリが上書きされます。

管理

■ドメイン管理

•

ドメインを追加、変更、アクティベートや無効化を行えます。

•

送信フィルタが有効にする場合は、送信元MTAとしてOffice365、Google Apps、IPアドレスか

ら選択可能です。

（Note）

・登録されたドメインはMXレコードが設定

されなければアクティベートされません。

・ドメインがアクティベートされていなけれ

ば、HESからの配信はできません。

レポート（ダッシュボード）

■選択されたドメインの下記の送受信メールの統計情報をグラフ化し、ダッシュボード

に表示

・概要

・トラフィック

・許可されたサイズ

・脅威の概要

・脅威の詳細

・スパムメール送受信者（上位）

・ウイルスメール送受信者（上位）

■以下の期間でグラフの選択が可能。

・日付

・週

・月

・過去12か月

■エクスポート機能により、以下の形式で

グラフをファイル出力可能。

・PNG

・JPDG

・PDF

機能概要

エンドユーザメール隔離（EUQ）コンソール

■概要

•

EUQコンソールを利用することで、各エンドユーザは、隔離されたスパムメールの

処理（再配信/削除）および個別の承認済み送信者リストへの追加の実施が可能です

•

EUQコンソール利用には、各ユーザがアカウントを作成する必要があります。

EUQコンソールを利用して、自

分の隔離メールを確認・再配信

可能。

隔離データベース

e-mail

隔離

Aさん宛のメール

Bさん宛のメール

Cさん宛のメール

HES

エンドユーザメール隔離（EUQ）コンソール

■EUQコンソールのアカウント作成

•

情報を入力し、情報が正常に認証されると、アクティベーションURLを含むメール

エンドユーザメール隔離（EUQ）コンソール

■隔離されたスパムメールの操作

•

ログインユーザ宛てのメールの以下の処理が可能。

-削除

-配信（非スパムメール）

-配信および送信者の承認（承認済み送信者リストに追加）

エンドユーザメール隔離（EUQ）コンソール

■承認済み送信者

・送信者のアドレスまたはドメインの追加

・送信者のアドレスまたはドメインの編集

・送信者のアドレスまたはドメインの削除

（Note）

・

承認済み送信者からのメッセージはスパムメール、フィッシング、マーケティングとして検出されませんが、ウイルス

ルール、コンテンツルールおよび添付ファイルルールは適用されます。

サービスの要件

■

メッセージ

の制限

■添付のzip/アーカイブの制限

サービスの要件

■サポートされるブラウザ

Internet Explorer 7～10

Mozilla Firefox 2.2以降