既存のメール環境そのままで Cloudflare Area 1 を導入する 〜 Microsoft 365 ジャーナル機能編

既存のメール環境そのままで Cloudflare Area 1 を導入する 〜 Microsoft 365 ジャーナル機能編

Clock Icon2023.04.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ゼロトラストの実装を検討する中で、メールは攻撃者が従業員に自由にアクセスできる数少ない手段の一つとなるため、重要なセキュリティ要素となります。
また参考情報として、メールは攻撃の侵入経路として最も多い41%という調査報告も出ていることから優先的に守る必要があると言えます。(IBM X-Forceの脅威インテリジェンス・インデックス2022

メールセキュリティ

メールセキュリティの一つにSEG(セキュアメールゲートウェイ)という技術があります。
ゼロトラストソリューションである Cloudflare Zero Trust の Area 1 を実装していきたいと思います。

Area 1 の実装方式

SEGを導入するには、主に2パターンの導入方法があります。
一つはDNSのMXレコードをSEGに向けてメールを中継させることにより、メールをフィルタリングし、危険なメールがユーザーのメールボックスに到着する前にブロックしたり、メール内のリンクURLを誤ってクリックしてしまわないように無害化(https://www.example.comhttps[:]//www[.]example[.]comのように書き換える)してくれます。
Area 1 ではこちらの実装方式をインライン実装としています。

もう一つは Google Workspaces や Microsoft 365 のメールプラットフォームのAPIと連携させる方法です。今まで通りのメールのルーティング経路はそのままにして、BCCやジャーナリングなどの機能によりメールをSEGに転送し、メールのコンテンツに悪意があると判断された場合に、APIを利用して該当のメールを後追いで迷惑メールのフォルダに移動したり、メールを削除したりすることができます。元々の構成は変えませんので手軽で簡単な実装方法と言えます。
こちらの実装方式はAPI実装としています。

今回は、API実装を Microsoft 365 のジャーナリング機能(メールの転送)を使って行っていきたいと思います。

本設定は、基本的にこちらの手順に沿って行っています。

やってみる

Microsoft 365 で受信したメールを Area 1 にジャーナル機能で転送します。既存のメール配送ルートとして送信時に他製品のSEGを経由するような構成となっている場合は、そのSEGを通らないよう Area 1 への配送についてはバイパスするように設定する必要があります。その場合はこちらの手順でバイパスを行ってください。
私の検証環境では、特に他のSEGは利用していないので、このステップは飛ばします。

次にジャーナルルールを設定します。Microsoft Purview コンプライアンス ポータルにアクセスします。
Data lifecycle management > Exchange (legacy) の Settings に進みます。

ジャーナリングが配送できなかった時のレポートを受け取るためのメールアドレスを設定します。管理者のメールアドレスなどを設定しておきます。
※このメールアドレスが受信したメールに対してはジャーナリングされない仕組みになっています。通常のメール送受信するためのメールアドレスは設定しないように注意しましょう。MSドキュメント参考

再度 Exchange (legacy) で Journal rules、New rule に進みます。

以下で入力していきます。
Send journal reports to: [ジャーナルの送り先(Area 1のジャーナリング用アドレス)]
Journal rule name: Journal Messages to CloudflareArea 1
Journal messages sent or received from: Everyone
Type of message to journal: External messages only

[ジャーナルの送り先(Area 1のジャーナリング用アドレス)]Area 1のダッシュボードのJounalingで確認できます。

確認

設定したドメインのメールアドレスにメールを送信してみます。

Area 1 のダッシュボードのホームで LIVE MODE をオンにして、メール受信後しばらくすると(実際やってみると数秒くらいで)、EMAIL PROCESSESのところがカウントアップしました。

また、Area 1 のメール検索をクリックして、検索ダッシュボードを開くと、受信したメール(ジャーナリングされたメール)を確認することができます。

DETECTIONS ONLYのチェックを外して、FIELDED SEARCHをクリック

まとめ

いかがでしたでしょうか。既存のメール配信の構成を変更することなく、Area 1 を連携することができました。さらにメールサービス側のAPIと連携させて、ポリシーに引っかかった悪意のあるメールを迷惑フォルダに移動したり、メールを削除することが、自動または手動でできるので次回試してみたいと思います。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.