そもそもMicrosoft Defender for Office 365とは?

Microsoft 365環境におけるセキュリティ対策を提供するクラウドベースのサービスです。
Exchange Online、Teams、SharePoint、OneDriveを利用する際に、フィッシング、マルウェアなどの脅威から守ってくれるソリューションです。

どうやったら利用できるのか?

まず前提として、Microsoft Defender for Office 365にはP1とP2という2つのプランがあります。

今回紹介する「安全なリンク」と「安全な添付ファイル」の2つのメイン機能はP1に含まれています。
P2はP1の上位互換となり、さらに「攻撃シミュレーションのトレーニング」や「自動調査及び対応」など高度なセキュリティ対策も可能になっています。

このプランの違いを前提にして、Microsoft Defender for Office 365を利用するためには大きく分けて2つの方法があります。

(1) Microsoft Defender for Office 365が含まれているMicrosoft 365ライセンスを購入する

以下、プランごとにどのMicrosoft 365ライセンスに含まれているか記載します。

P1:Microsoft 365 Business Premium
P2:Microsoft 365 E5、Office 365 E5

ここで注意したいのが、300名超の企業で多く使われているMicrosoft 365 E3にはP1もP2も含まれていないということです。
もしも利用したい場合は、単体で購入するかE5にアップグレードする必要があります。

300名以下の企業でBusiness BasicやBusiness Standardを利用している場合は、単体で購入するかBusiness PremiumもしくはE5にアップグレードする必要があります。

Business Premiumは他にもEDR製品など、企業に求められるセキュリティ対策をコストパフォーマンスよく揃えることができるので、300名以下の企業にはおすすめです。

(2) Microsoft Defender for Office 365を単体で購入する

**2025年2月現在、1ユーザーごとにP1は月額299円、P2は月額749円です。**単体購入は割高になるので、これらが含まれているライセンスを購入することを推奨します。

Microsoft 公式サイトより引用:
https://www.microsoft.com/ja-jp/security/business/siem-and-xdr/microsoft-defender-office-365

 

メイン機能紹介

ここからはMicrosoft Defender for Office 365のメイン機能2つを具体的に解説していきます。

(1) 安全なリンク

Microsoft 365上に存在するリンクが問題ないかどうかをリアルタイムでチェックしてくれる機能です。

具体的なケースだと

・メールで悪意のあるリンクが送られてくる
・Teamsでゲスト招待した人から悪意のあるリンクが送られてくる
・WordやExcelに悪意のあるリンクが含まれている

などありますが、上記全てに対応することが可能です。

また、リンクを受け取った時ではなく、リンクをクリックした時にチェックしてくれるので、例えリンク受け取り後に書き換えられていたとしても対応が可能です。

そして、管理者はDefenderポータルにて、誰がどんなリンクをクリックしたかを確認することもできます。

(2) 安全な添付ファイル

Microsoft 365上で送付される/共有されるファイルが問題ないかどうかをリアルタイムでチェックしてくれる機能です。安全なリンクと考え方は同じです。

特にメールにおいては、受信者にメールが届く前にサンドボックス上で添付ファイルを解析してくれます。解析の結果、問題なければそのままメールは配信され、問題があれば配信されずブロックします。

従来のセキュリティ製品だと、あくまでも既知の攻撃と比較してブロックするものが多く、未知の攻撃に対しては無防備なケースがあります。しかしながらMicrosoft Defender for Office 365であれば、未知の攻撃含めてサンドボックス上でリアルタイムで分析してくれます。サンドボックス上なので、分析が受信者の環境に影響させることもありません。

最後に

今回はMicrosoft Defender for Office 365のメイン機能について解説しました。この製品は導入するだけでも強力なセキュリティ対策となります。しかし、アラートが発生した場合、企業として適切な対応を取る必要があるケースもあります。

(具体例)マルウェアを含むメールが検知され、アラートが発生した際に、管理者が送信元ドメインをブロックする

主にやるべきことは以下の2つです。

・アラートのリアルタイム分析
・対応策の策定および実施

これらを適切に行うには、セキュリティの専門家が専任で対応できる体制が必要です。しかし、こうした体制をすべて内製化するのは、多くの企業にとって大きなハードルとなります。

弊社では、そのような体制がない企業向けにSOCサービス「Colorkrew Security」を提供しています。

24時間365日のログ・アラート監視はもちろんのこと、その後の分析や対応策の策定までサポートいたします。

また、Microsoft Defender for Office 365だけでなく他のMicrosoft Defenderシリーズにも対応しているのはもちろんのこと、以下の製品にも対応しており統合的なセキュリティ運用監視が可能です。

・WAF(AWS WAF, Azure WAF等)
・EDR(Cybereason, CrowdStrike等)
・SaaS(Slack, Dropbox等)
・Firewall(Fortigate,Meraki等)
・PC操作ログ(SKYSEA Client View, LANSCOPE Endpoint Manager等)

もしセキュリティ運用監視にご興味がありましたら、ぜひご連絡ください。私たちのチームが、貴社のセキュリティニーズに合わせたサポートを提供します。

詳細については、お気軽にお問い合わせください。