メールセキュリティを取り巻く環境は刻々と変化し続けていますが、脅威キャンペーンの大半が開始点としてメールに依存しているという点は今も変わりません。攻撃者は多くの場合、成功した場合にデータの流出、金銭の搾取、その他の悪意ある活動に活用できるフィッシングキャンペーンを開始して従業員の資格情報を収集します。この脅威は、企業がメール環境をMicrosoft 365やGoogle Workspaceなどのプロバイダーを使用したクラウドに移行した後も依然として存在し続けています。
Cloudflareは、より優れたインターネットの構築とオンラインの脅威への対処を支援するために、クラウドからオンプレミスまで、あらゆる種類のメールトレイを保護する電子メールセキュリティを「Area 1」製品を通じて提供しています。「Area 1」製品は、組織が受信するすべての電子メールを分析し、当社の脅威モデルを使用してそのメッセージがお客様に危険を及ぼすものであるかどうかを評価します。メッセージが悪意があるものであると判断された場合、Area 1プラットフォームによってメールが受信者の受信トレイへの配信が阻止され、攻撃の成功の可能性が排除されます。
私たちはお客様に、最も簡単な方法でデプロイできる柔軟性とともに当社のソリューションを提供するよう努めています。当社のソリューションを可能な限り完成した状態にするようこの追求を続けた結果、Microsoft Graph APIを介したMicrosoft 365ドメインオンボーディングのオープンベータを発表できることを嬉しく思います。私たちは、APIを介してオンボーディングされたドメインが、より迅速な展開時間と柔軟性を提供することを知っています。このオンボーディング方式は数ある方法の一つであり、お客様は「Area 1」の保護を失うことなく、適切な方法でドメインをデプロイできるようになります。
APIによるMicrosoft 365ドメインのオンボーディング
Cloudflare Area 1は、お客様に多くのデプロイメントオプションをご用意しています。Journaling + BCC(お客様が各メールのコピーをArea 1に送信)、Inline/MXレコード(MXレコードを介して別のホップを追加)、Secure Email Gateway Connectors(Area 1がSEGと直接対話)など、Area 1はお客様が希望されるソリューションのデプロイ方法を柔軟に提供します。その中で、私たちはお客様に対してMXレコードを使用してデプロイすることを常に推奨しています。
さらなるホップを追加してドメインがArea 1を指すようにすることで、サービスはシンクホールによる保護を提供し、悪意のある電子メールが宛先のメールボックスにまで到達しないようにします。ただし、Area 1をファーストホップとして設定(MXレコードの変更)するには、組織内の他のチームからのサインオフが必要となり、追加のサイクルが発生する可能性があることを認識しています。また、組織はこのインライン変更のDNS反映を待機(DNS伝播時間と呼ばれます)させられることにもなります。私たちは、お客様がこれらの必要な調整を行う間、できる限り早急な保護を望んでいることを理解しています。
Microsoft 365のオンボーディングでは、保護を追加するプロセスに必要な設定手順と待機時間が短縮されます。ここでは、Microsoft Graph APIを使用して、ドメインに関連付けられているすべてのメッセージを評価します。これにより、運用チームがArea 1をより柔軟にデプロイできるようになります。
たとえば、業界の性質上M&Aに巻き込まれることが多いArea 1のお客様の場合、Microsoft APIを使用してArea 1を迅速にデプロイできるというメリットがあります。APIによるオンボーディング以前は、ITチームは様々な買収資産の引き渡しに時間を時間を費やしていました。新しいアクセス権の割り当て、所有権の引き渡し、その他のタスクの実行に時間がかかり、メールボックスが保護されないままになっていました。しかし現在では、お客様が新しい事業体を取得する際、APIオンボーディングを使用して、取得したばかりのドメインに対する保護を迅速に追加することができます。これにより、新しいドメインに関連付けられた電子メールアドレスを保護しながら、手持ちの他の業務を完了させることができます。APIオンボーディングプロセスの仕組みは以下のとおりです。
Microsoft 365からの受信メッセージの読み取りが許可されると、電子メールの処理と疑わしい電子メールの検出が開始されます。この新しいオンボーディングプロセスは、大幅に高速化され、数回のクリックで開始することができます。
このプロセスを開始するには、API経由でオンボーディングするドメインを選択します。その後、UI内で設定内の「ドメインとルーティング」に移動します。新しいドメインを追加し、APIスキャンを選択した後、セットアップウィザードに従ってArea 1を認証すると、メッセージの読み取りを開始することができます。
承認後およそ数分で、お客様の組織のArea 1による保護が開始されます。
将来を見据える
このオンボーディングプロセスは、最高クラスの電子メール保護をお客様に提供するための継続的な取り組みの一部です。APIオンボーディングにより、お客様は私たちのソリューションをより柔軟にデプロイすることができます。将来的に、Microsoft 365 APIのオンボーディングにより、他の機能への扉が開かれます。
現在、私たちのチームはArea 1インストール以前の送信メールにさかのぼってスキャンする機能の追加を検討しています。これは、新しいお客様にとって、まだ組織にリスクをもたらす可能性のある古い電子メールを一掃する機会となります。また、どのメールボックスをArea 1のスキャン対象とするかを細かく制御したい組織に対し、より多くの手段を提供することも検討しています。近日中に、お客様はArea 1でスキャン対象とするメールボックスをUI内で指定することができるようになります。
また、現在は各ドメインのデプロイメントタイプを1つに制限しています(例:ドメインはMXレコードまたはAPIを使用してオンボードできます)が、APIとMXレコードの双方を使用したハイブリッドデプロイ機能をお客様に提供することを検討しています。この組み合わせのアプローチは、最大の柔軟性を提供するだけでなく、最大のカバレッジも提供します。
Area 1チームが2023年にお客様に提供しようとしているパイプラインには多くのものがあり、これらの新しい機能をオープンベータで構築していきます。
すべてのお客様がオープンベータに参加できるため、この方法を使用した新しいドメインのオンボーディングに興味がある方は、上記の手順に従って、Microsoft 365ドメインのArea 1保護を取得してください。