セキュリティ
Forefront Security を使用して電子メールを保護する
Neetu Rajpal
概要:
- Forefront Security for Exchange Server をインストールおよび構成する
- 複数のスキャン エンジンとスキャン ポリシー
- 接続とコンテンツのフィルタリングでスパムに対抗する
- Windows PowerShell を使用して FSE を構成および管理する
目次
はじめに
マルウェア対策
スパム対策
結果を表示する
Windows PowerShell
まとめ
Forefront Security for Exchange Server (これ以降では "FSE" と呼びます) の次世代リリースは、Exchange サーバー環境を行き来する電子メールを保護するための上質なマルウェア対策 (スパム対策、ウイルス対策、コンテンツ フィルタリング) 製品です。FSE は、Exchange Server と統合され、伝送中の電子メール メッセージ (外部から届くもの、外部へ送信されるもの、または企業内で送受信されるもの)、使用中の電子メール メッセージ (読まれている最中のもの)、または休息中の電子メール メッセージ (ユーザーのメールボックスに格納されているもの) をすべてスキャンすることができます。この製品は、インストール後すぐに使用できるように既定の構成が適用された状態で出荷されますが、企業のニーズにぴったり合うように変更を加えることができます。
詳細、ケース スタディ、およびこの製品の評価版は、FSE が今年リリースされた後で、Microsoft Forefront Server Security TechCenter で提供されます。
この記事では、FSE の機能について説明します。ここでは、皆さんが Exchange Server 2007 に精通していることを前提とし、ローカルの Exchange Server にインストールされた FSE のセキュリティ機能とコンテンツ フィルタリング機能のみを見ていきます。望ましくないスパムやマルウェアから企業を保護する方法、およびさまざまな種類のフィルタリングを使用して企業の電子メールに含まれるコンテンツを制限する方法について説明します。こうしたすべての技術的説明では、FSE 用の新しい簡略化された管理エクスペリエンス (次にリリースされる Microsoft Forefront (コード名 "Stirling") 管理サーバーと統合されます) を使用します。ただし、この記事では、Stirling や、FSE の Stirling との統合については取り上げません。
はじめに
Exchange Server が既にセットアップされている組織では、FSE のインストールは簡単です。Exchange Server と同じコンピュータに FSE をインストールします。FSE は、Exchange エッジ トランスポート、Exchange ハブ トランスポート、および Exchange メールボックス サーバーの役割をサポートしています。FSE は、パブリックにアクセス可能なエージェント アーキテクチャとウイルス スキャン API (VSAPI) を使用して、Exchange 環境にシームレスに接続します。FSE をインストールしたら、Forefront Server Security Administrator コンソール (図 1 参照) を通じてセキュリティとフィルタリングのポリシーを編集することができます。左側のナビゲーション ペインを使用すると、表示や編集を行うために UI の特定の領域に移動することができます。中央の詳細ペインには構成情報が表示され、右側の [Actions] (操作) ペインは操作の実行に使用されます。
図 1 Forefront Server Security Administrator コンソール
(図 1 の左側にある) [Antimalware] (マルウェア対策) 設定を見てみましょう。この例では、[Antimalware] (マルウェア対策) ノードには、電子メールのセキュリティ設定を異なる箇所で構成するために使用できる次の 3 つのサブノードがあります。
Mailbox Realtime (メールボックス リアルタイム) このセクションの設定は、使用中の (読まれている最中の) 電子メール用の設定です。FSE がインストールされているローカルの Exchange Server がメールボックスの役割ではない場合、このセクションは無効になります。電子メールはメールボックスに届くまでの間に (伝送中に) Hub Transport (ハブ トランスポート) または Edge Transport (エッジ トランスポート) のスキャン設定を使用して必ずスキャンされるというのが、こうした設定にとって設計上の前提でした。しかし、Mailbox Realtime (メールボックス リアルタイム) のスキャンは、電子メールがシステムに届いてから読まれるまでのタイム ラグが長い場合に役立ちます。FSE では、AV (ウイルス対策プログラム) シグネチャ、およびエンジンに組み込まれているヒューリスティックを使用してマルウェアをスキャンするので、エンジンやシグネチャが更新されると、検出されるマルウェアに大きな違いが生じる場合があります。
Hub Transport (ハブ トランスポート) このセクションは、伝送中の電子メール (外部から届くもの、外部へ送信されるもの、および内部で送受信されるもの) 用の設定を構成するために使用されます。このセクションは、基盤となるローカルの Exchange サーバーにハブ トランスポートの役割が展開されている場合にのみ表示されます。一部の企業は、エッジ サーバーの役割をあきらめてハブ サーバーの役割のみを展開するという決断を下します。Exchange 2007 およびそれ以降では、すべての電子メール (外部から届くもの、外部へ送信されるもの、および内部で送受信されるもの) はハブ サーバーを経由します。ハブ サーバーのみを展開する企業は、Administrator コンソールの [Hub Transport] (ハブ トランスポート) セクションで、伝送中の電子メール用のセキュリティ設定をすべて設定することができます。エッジ サーバーとハブ サーバーの両方を展開する企業は、電子メールがエッジ サーバーを経由した後でハブ サーバーに到着したときに、その電子メールを再スキャンしないことを選択できます。
Mailbox Scheduled (スケジュールされたメールボックス) このセクションの設定は、休息中の電子メール (以前に届いてユーザーのメールボックスに格納されている電子メール) 用の、マルウェアのセキュリティ設定です。このセクションは、ローカルの Exchange Server がメールボックスの役割である場合にのみ表示されます。このスキャンは、伝送中のメールに対するスキャンをすり抜けたマルウェアを検出したり、指定されたキーワードをフィルタリングするポリシーの有効性を測定したりするのに役立ちます。たとえば、Contoso という架空の企業が、電子メールでの冒とく的言動を禁止する新しいポリシーを導入するとします。しかし、Contoso のスタッフは、このポリシーが本当に必要なのか、または効果的なのかについて確信が持てません。ポリシーの有効性を測定するために、Contoso では、FSE でキーワード フィルタを設定し、Mailbox Scheduled (スケジュールされたメールボックス) のスキャンを実行します。IT 管理者は、このスキャンを使用して、数人 (または多数) の選択されたユーザー (または全ユーザー) のメールボックス内にある電子メールをスキャンし、このポリシーが実装された場合にこのポリシーに違反することになる電子メールすべてを示すレポートを生成します。このデータがあれば、Contoso では、組織のキーワード フィルタリング ポリシーに関して、より十分な情報に基づく決断を下すことができます。
図 1 には [Edge Transport] (エッジ トランスポート) ノードがないことに注目してください。[Edge Transport] (エッジ トランスポート) セクションは、伝送中の電子メール (外部から届くものと外部へ送信されるもの) 用のマルウェア対策設定を構成するためのものであり、基盤となるローカルの Exchange サーバーがエッジ トランスポートの役割である場合にのみ使用できます。図 1 の例では、基盤となる Exchange サーバーはハブ トランスポートの役割とメールボックスの役割なので、Edge Transport (エッジ トランスポート) の設定は使用できません。Exchange エッジの役割は主として DMZ で展開され、電子メール検疫に使用されます。この役割ではセキュリティ設定を最高レベルに設定することをお勧めします。
マルウェア対策
Forefront Security for Exchange では、ウイルス、ワーム、およびスパイウェアを検出するために複数のマルウェア対策エンジンを使用します。シグネチャ ベースのエンジンもあれば、ヒューリスティック機能を持つエンジンもあります。顧客からの要望としてよくあるのは、検出能力とパフォーマンスを最大限に高めるにはどのエンジンを実行すればよいかについての助言を求めるものです。FSE では、事前設定されたオプションが新たに導入されたことにより、このプロセスが大幅に簡単になります。一方、より高レベルな制御を必要とする顧客のために、これまで使用できた詳細設定もすべて引き続き使用できます。セキュリティ ニーズとパフォーマンス ニーズに基づいてエンジン選択ポリシーの 1 つを選択することができ、その他のエンジン管理設定はすべて自動的に決まります。図 2 は、[Intelligent Engine Selection] (インテリジェント エンジン選択) セクションに用意されているさまざまな種類のスキャンを示しています。
| 図 2 用意されているさまざまなスキャン ポリシー |
| ポリシー | 説明 |
| Always scan with all selected engines (常に選択されたすべてのエンジンでスキャンを行う) | これは最も安全な設定です。これが選択されている場合、FSE に含まれているすべてのエンジンですべての電子メールがスキャンされます。更新中のエンジンまたはエンジンのシグネチャが存在する場合 (これは起こりうることです)、更新が完了して FSE が新しいエンジンまたはシグネチャを使用できるようになるまでは、すべての電子メールが FSE によってブロックされます。 |
| Scan with the subset of selected engines that are available (選択されたエンジンのうち、使用できる一部のエンジンでスキャンを行う) | この設定は上記の設定よりも少し安全性が低いものです。これが選択されている場合、FSE では、現在使用できるすべてのエンジンですべての電子メールをスキャンします。選択されたエンジンがすべて使用できる場合、電子メールは選択されたエンジンすべてでスキャンされます。しかし、選択されたエンジンの 1 つが更新中の場合は、電子メールは残りのエンジンでスキャンされ、マルウェアが含まれていないと判断されると通過を許可されます。 |
| Scan with a dynamically chosen subset of the selected engines (選択されたエンジンのうち、動的に選択された一部のエンジンでスキャンを行う) | この設定では、パフォーマンスとセキュリティのバランスが取られます。電子メールのスキャン用に、一部のエンジンが FSE によって選択されます。少し強力な保護と複数のエンジンを使用する意義を手に入れつつ、パフォーマンスも考慮に入れる必要がある場合は、この設定を選択します。 |
| Scan with only one of the selected engines (選択されたエンジンのうちのたった 1 つでスキャンを行う) | この設定は、パフォーマンスが非常に重要であり電子メールが事前にスキャンされている場合にのみ選択してください。これを選択すると、電子メールをスキャンする 1 つのエンジンが FSE によって動的に選択されます。 |
どのエンジンをスキャンに使用するかを厳密に制御する必要がある企業は、ポリシー ページの下部にある Advanced Engine Management (高度なエンジン管理) の設定を使用するとよいでしょう。
スパム対策
電子メールに関して言うと、スパムは依然として、企業にとってリソースへの最もたちの悪い負担の 1 つです。ほとんどの企業では、届く電子メールのあまりにも多くがスパムです。FSE は、新しい上質なスパム対策ソリューションを提供します。このソリューションでは、接続に基づくフィルタリングとコンテンツに基づくフィルタリングという 2 本の柱から成るアプローチが使用されます。
接続フィルタリング FSE では、電子メールが企業内に到達する前に、送信者の IP アドレスに基づく評価査定を行うことができます。IP アドレスが既知のスパム送信者としてマークされると、接続は拒否され、その電子メールは企業内に入ってきません。評価に基づく査定は、マイクロソフトが管理するオンライン サービスによってサポートされます。FSE では、IT 管理者やメッセージング管理者が FSE による評価査定を上書きできる必要があることも認識されています。そのため、FSE は IP 許可一覧と IP 禁止一覧を提供します。IP 許可一覧にある IP アドレスに対しては査定は行われず、このような IP アドレスからの電子メールは受信者の受信トレイに直接配信されます。IP 禁止一覧にある IP アドレスからの電子メール接続に対しては評価の分析は行われず、このような電子メール接続は拒否されます。図 3 は、FSE の、接続ベースのスパム対策フィルタリング用の Protection Settings (保護設定) を示しています。
図 3 スパム対策用の接続フィルタリング
コンテンツ フィルタリング 電子メールは、FSE の接続フィルタリングを経た後で、電子メールのコンテンツに基づく第 2 段階のスパム評価を受けます。FSE は、業界トップ レベルのサードパーティ製スパム対策エンジンを実装しています。コンテンツ フィルタリングが有効になっている場合、FSE では、スキャンする電子メール メッセージそれぞれに Spam Confidence Level を割り当てます。企業では、Spam Confidence Level に基づいて、その電子メールを削除するか、検疫するか、単にマークしてユーザーのメールボックスに配信するか (その場合、迷惑メール フォルダに配信されます) を決めることができます。
FSE 管理コンソールを通じて指定できるコンテンツ フィルタは数種類あります。図 4 は、ファイル フィルタ ポリシーを指定する際に表示される画面を示しています。ファイル フィルタ ポリシーを使用すると、企業では、特定の種類のファイルが添付されている電子メールをブロックすることができます。FSE では、ファイル名ではなくバイナリ検査に基づいてファイルの種類を検知します。ファイル拡張子が変更されている場合の危険を避けるためです。したがって、企業が実行可能ファイルを電子メールで配布しないというポリシーを設定した場合、送信者がファイル名を NotExecutable.txt のような名前に変更して検知を回避しようとしても、FSE は実行可能ファイルをブロックすることができます。FSE では、ファイルの種類に基づくフィルタリングが可能なだけでなく、ファイル名に基づいてファイルをブロックすることもできます。また、この 2 つを併用することもできます。
図 4 ファイル フィルタを構成する
結果を表示する
設定が構成されたら、FSE はバックグラウンドで動作します。ナビゲーション ペインの [Monitoring] (監視) セクションを使用すると、FSE で行われていた処理をすべて確認できます。インシデント ペイン (図 5 参照) には、すべてのセキュリティ インシデントとそれに対応するフィルタリング ポリシーが一覧表示されます。また、検疫ペインには、FSE によって検疫された電子メールがすべて表示されます。このペインは、ブロックされた電子メールを確認するためだけでなく、以前に検疫された電子メールを配信するためにも使用することができます。
図 5 セキュリティ インシデントの表示
Windows PowerShell
FSE は、新しい大規模な Windows PowerShell 層を実装しています。構成設定やレポートなど、UI からアクセスできるすべてのオプションには、この層からもアクセスすることができます。Forefront 管理シェルから FSE PowershellSnapIn を使用することができます。FSE で使用できるコマンドを確認するには、次のように入力します。
Get-Help *FSE*
Windows PowerShell の使用の最も有益な側面の 1 つは、コマンドを使用することにより、1 台のサーバーで FSE 用の構成設定を定義し、それを他の任意のサーバーに移すのが簡単になることです。1 台のサーバーを構成したら、Export-FSESettings コマンドを使用して設定をエクスポートし、Import-FSESettings を使用して別のサーバーにインポートすることができます。
まとめ
この記事では、次世代の Forefront Security for Exchange Server の機能をいくつか紹介しました。この製品では、複数のスキャン エンジンとフィルタリング機能により、電子メールを保護しつつパフォーマンスも考慮に入れることができます。管理コンソールまたは Windows PowerShell を使用して、好きなように構成と管理を行うこともできます。この記事を読んで、FSE を自分で評価してみようと思っていただければさいわいです。
Neetu Rajpal は、ニューヨーク州ホーポージを拠点とする Forefront Sever Security チームのグループ プログラム マネージャです。13 年以上にわたってソフトウェア プロフェッショナルとして活動しており、すばらしいソフトウェアを構築するのが大好きです。キャリアの前半は XML に関するあらゆることに携わってきましたが、現在はサーバー ベースのセキュリティ ソフトウェアに携わっています。