Office 365 のフィッシング対策ポリシー:設定方法
by
最終更新日: 11 読了時間:11分
主なポイント
- Microsoft 365 には、なりすましやフィッシング攻撃に対する基本的な保護機能を提供する、デフォルトのフィッシング対策ポリシーが含まれています。
- なりすまし防止、メールボックスインテリジェンス、カスタマイズ可能な検出閾値などの高度な機能を利用するには、Microsoft Defender for Office 365 が必要です。
- より強力な保護を実現するため、マイクロソフトではフィッシング対策の閾値を「標準(レベル 1)」から「厳格(レベル 2)」に引き上げることを推奨しています。
- フィッシング対策ポリシーは受信メールのセキュリティを確保しますが、攻撃者がドメインを偽装して外部の受信者を標的にすることを防ぐためには、依然としてDMARCが必要です。
Microsoft 365(Office 365)にはフィッシング対策機能が標準で搭載されていますが、デフォルト設定のみに依存していると、重大なセキュリティ上の脆弱性が残ってしまいます。実のところ、多くの組織ではデフォルトの設定のまま運用されており、ハッカーに悪用される可能性のある重大なセキュリティ上の脆弱性が放置されたままになっています。テナントを効果的に保護するためには、Microsoftのポリシーが具体的に何をカバーしているのか、どこに不備があるのか、そして脅威を排除するために設定をどのように微調整すべきかを正確に理解する必要があります。
Office 365 のフィッシング対策ポリシーとは何ですか?
Office 365 のフィッシング対策ポリシーは、Exchange Online Protection (EOP) および Microsoft Defender における中核的なセキュリティ制御機能であり、受信するフィッシングメールを検出してブロックするように設計されています。すべての Microsoft 365 テナントには基本的なデフォルトのフィッシング対策ポリシーが用意されており、すべての受信者に自動的に適用されます。導入直後から、手動で保護機能を有効にする必要なく、基本的なセキュリティ対策が提供されます。
このデフォルトのポリシーは、以下の重要な機能を含んでいます:
- 送信元ドメインのなりすまし検知:なりすまされた送信元ドメインを検知・分析し、それらが承認されたインフラストラクチャに由来するかどうかを確認する。
- 初回連絡時の安全対策:普段やり取りのない送信者からメッセージを受信した際、エンドユーザーに注意を促す。
- 送信者の認証情報がない場合の表示:システムがメールの送信者情報を確認できない場合、Outlook上で送信者の写真やイニシャルの横に謎の記号(?アイコン)が表示されます。
ただし、高度な検出機能を利用するには、より上位のライセンスプランが必要です。ユーザーなりすまし防止、ドメインなりすまし防止、メールボックスインテリジェンス、フィッシング検知の閾値調整といった機能は、上位プランでのみ利用可能です。
Microsoft 365 セキュリティ ライセンスの概要
混乱を避けるため、またご自身のテナントで利用可能なツールを確認するために、以下のライセンス概要をご確認ください:
| 階層 / 機能セット | 含まれるプラン | 中核となる強み |
|---|---|---|
| Exchange Online Protection (EOP) | すべての Microsoft 365 プラン(Business Basic を含む) | 基本的ななりすまし対策、なりすましに関する情報、初回連絡時の安全対策、認証されていない送信者の見分け方。 |
| Microsoft Defender for Office 365 プラン 1 | Microsoft 365 Business Premium、またはアドオンとして利用可能 | EOPの全機能に加え、ユーザー/ドメインのなりすまし防止機能、メールボックス分析機能、および調整可能な閾値設定機能を備えています。 |
| Microsoft Defender for Office 365 プラン 2 | Microsoft 365 Enterprise E5 / A5 | プラン1の内容に加え、高度な脅威ハンティング、自動調査、および対応ツールが含まれます。 |
フィッシング対策ポリシーは、どのような脅威から保護するのでしょうか?
ご利用のサブスクリプションのレベルに応じて、マイクロソフトのポリシーでは、電子メールを利用した4つの主要な身元詐称の手口をブロックすることに重点を置いています。
1. なりすまし防止(全プラン)
この保護機能は、送信元アドレスに記載されたドメイン名が明らかに偽装されているケースを検知します。マイクロソフトのスプーフィング検知エンジンは、送信メールサーバーのIPアドレスが、その特定のドメインに代わってメールを送信する権限を実際に有しているかどうかを評価します。この技術的な検証に合格しなかった受信メッセージにはフラグが付けられるか、自動的にユーザーの迷惑メールフォルダーに直接移動されます。
2. ユーザーなりすまし防止機能(Defender Plan 1+)
攻撃者は、組織の幹部や著名な公人を装って一般社員を標的にすることが多く、これはビジネスメール詐欺(BEC)キャンペーンにおける主要な手口の一つです。この機能は、特定の個人アカウント(CEO、CFO、または主要なIT管理者など)を保護します。これにより、通常の認証ツールでは検知できない、類似した表示名や、外部メールアドレスのわずかな違いによるなりすましを阻止します。
3. ドメインなりすまし対策(Defender Plan 1+)
特定の個人だけでなく、悪意のある攻撃者はドメイン全体を偽装することもあります。この機能により、「From」ヘッダーフィールドにおいて、特定のドメインがなりすまされるのを防ぐことができます。このツールは、自社のドメイン名だけでなく、主要な外部サプライヤーやビジネスパートナーのドメインを保護する上でも、非常に有用です。
4. メールボックス・インテリジェンス(Defender Plan 1+)
メールボックス・インテリジェンスは、高度な機械学習を活用して、従業員一人ひとりの内部における送信者と受信者のコミュニケーショングラフを構築します。定期的なコミュニケーションパターンを把握することで、人工知能は、既存の連絡先の行動や名前と偶然にも酷似している、未確認の外部送信者からのメッセージを容易に検出し、フラグを立てることができます。
フィッシングメールの検知閾値の調整(Defender Plan 1+)
マイクロソフトは、機械学習アルゴリズムが電子メールをフィッシングの疑いがあるものとして分類する厳格さを制御するため、1~4段階の標準的な評価尺度を採用しています。
- レベル 1(標準):デフォルトの設定です。誤検知率が低く、バランスのとれた検出性能を発揮します。
- レベル 2(高):Microsoft および業界のセキュリティチームが、ほとんどの企業環境に対して推奨する基本設定です。
- レベル3(より強固な対策):高度に専門化されたデジタル攻撃を頻繁に受けている、あるいはリスクの高い標的となる組織に最適です。
- レベル4(最も厳格):検知率を最大化しますが、正当な通信が誤って捕捉されるリスクが極めて高くなります。
Office 365 でフィッシング対策ポリシーを設定する方法
作業を開始する前に、以下のいずれかの役割が割り当てられていることを確認してください:
- Microsoft Defender XDR 統合 RBAC:コア セキュリティ設定 (管理) または コア セキュリティ設定 (閲覧)。
- Exchange Online の権限:「組織管理」または「セキュリティ管理者」(完全な管理権限)、「グローバルリーダー」、「セキュリティリーダー」、または「閲覧専用組織管理」(読み取り専用アクセス)。
- Microsoft Entra の権限:グローバル管理者(最小権限の原則に従って使用)、セキュリティ管理者、グローバル閲覧者、またはセキュリティ閲覧者。
注:新しいポリシーや更新されたポリシーがテナント全体に反映されるまで、最大 30分ほどかかる場合があります。
ステップ1:フィッシング対策ページにアクセスする
- Webブラウザを開き、Microsoft Defender ポータルにアクセスしてください
- 左側のナビゲーションメニューで、「メールとコラボレーション」>「ポリシーとルール」>「脅威ポリシー」の順に選択します。
「ポリシー」セクションで、「フィッシング対策」をクリックします。
- ショートカット:メニューをスキップして、https://security.microsoft.com/antiphishingに直接アクセスできます。
ステップ 2: ポリシー作成ウィザードを起動する
1. 「フィッシング対策」ページで、「+ 作成」を選択し、新しいフィッシング対策ポリシーのウィザードを開きます。
2. 「ポリシー名」ページで、以下を設定します:
- 名前:一意で、内容を表す名前を入力してください。
- 説明:任意の説明を入力してください。
3. 「次へ」を選択します。
ステップ 3: 受信者(ユーザー、グループ、およびドメイン)を特定する
[ユーザー、グループ、およびドメイン] ページで、ポリシーを適用する内部の受信者を指定します:
- ユーザー:メールボックスまたはメールユーザーを指定します。
- グループ:配布グループ、メール対応セキュリティグループ、または Microsoft 365 グループを選択します(動的配布グループおよび動的 Microsoft Entra ID グループはサポートされていません)。
- ドメイン:対象とするドメインを選択してください。これらのドメインをプライマリメールアドレスとして登録しているすべての受信者が対象となります(サブドメインは、明示的に除外されていない限り自動的に対象に含まれます)。
- 以下のユーザー、グループ、およびドメインを除外します:特定の内部受信者がこのポリシーの適用対象外となる場合は、例外を追加してください。
ロジックのヒント:同じ条件内の複数の値は「OR」論理で扱われます。異なる種類の条件は「AND」論理で扱われます(例:特定のユーザーと特定のグループに適用されるポリシーは、そのユーザーがそのグループに所属している場合にのみ適用されます)。
完了したら「次へ」を選択してください。
ステップ4:フィッシングの閾値と保護設定を構成する
「フィッシングの閾値と保護」ページで、脅威の検出範囲を調整します:
フィッシングメールの閾値
スライダーを使って、以下の値のいずれかを選択してください:
- 1 – 標準 (既定値)
- 2 – 攻撃的
- 3 – より攻撃的
- 4 – 最も攻撃的
なりすまし設定
- ユーザーが以下を保護できるようにする: ユーザーなりすましを有効にするには、このチェックボックスにチェックを入れてください。選択してください 送信者の管理 合計で 350 特定の内部または外部ユーザーをメールアドレスで特定する。
- 注: 送信者と受信者が以前にメールでやり取りをしたことがある場合、この保護機能は作動しません。
- 保護対象のドメインを有効にする: チェックボックスをオンにして、 「所有しているドメインを含める」 および/または カスタムドメインを含める ( 「カスタムドメインを管理」を選択して)
- 信頼できる送信者やドメインを追加する: [選択] 「信頼できる送信者およびドメインの管理」 を選択し、例外を指定します(合計1,024件まで)。
メールボックス・インテリジェンス
- メールボックスのインテリジェンス機能を有効にする: 選択したままにする (既定値および推奨)。
- なりすまし防止機能の有効化: 検知された攻撃に対してメールボックスインテリジェンスが対応を行うようにするには、このチェックボックスにチェックを入れてください。
- 注: 送信者と受信者が以前にメールでやり取りをしたことがある場合、この機能は作動しません。
パロディコーナー
- 「スプーフィング検知」を有効にする:受信スプーフィングを監視するには、このチェックボックスをオンにしたままにします(既定設定および推奨)。
完了したら「次へ」を選択してください。
ステップ5:ポリシーアクションを定義する
[アクション] ページで、脅威が検出された際の Microsoft 365 の対応を設定します:
メッセージの操作
- メッセージがユーザーなりすましとして検出された場合: ドロップダウンからアクションを選択してください (デフォルト:何のアクションも適用しない)。オプションには以下が含まれます: 何のアクションも適用しない、リダイレクト、迷惑メールフォルダへ移動、メッセージを隔離、配信してBCC、または配信前に削除。
- メッセージがなりすましドメインとして検出された場合: ドロップダウンからアクションを選択してください (デフォルト:何のアクションも適用しない)。
- メールボックスインテリジェンスがなりすまされたユーザーを検出した場合: ドロップダウンからアクションを選択してください (既定値:アクションを適用しない)。
- メッセージがなりすましと検出された場合、DMARCレコードポリシーを適用する: (デフォルトで選択されています) 配置ルールを調整する:
- DMARCの設定がp=quarantine の場合: 選択 メッセージを隔離する (既定値) または メッセージを迷惑メールフォルダに移動。
- DMARCがp=rejectの場合: 選択 メッセージを拒否する (既定値) または メッセージを隔離。
- スプーフィング情報により、そのメッセージがなりすましであると判定された場合: ドロップダウンからアクションを選択してください (デフォルト:メッセージを受信者の迷惑メールフォルダに移動)。
安全上の注意と表示
チェックボックスをオンまたはオフにして、これらのメールボックスの視覚的インジケーターを表示または非表示にします:
- 初回接触時の安全上の注意を表示する
- ユーザーなりすましの安全に関するヒントを表示する
- ドメインのなりすましに関する安全上のヒントを表示
- ユーザーなりすましに関する安全上の注意:特殊文字について
- なりすまし送信者の認証なし表示 (?) (デフォルトで選択されています)
- 「via」タグを表示 (デフォルトで選択されています)
完了したら「次へ」を選択してください。
ステップ6:確認して送信
- 「レビュー」ページで、カスタム設定を再確認してください。各セクションの「編集」を選択して、変更を加えることができます。
- 内容に問題がなければ、「送信」を選択してください。
- 確認ページで、「完了」を選択してください。
既存ポリシーの変更
新しいポリシーを作成するのではなく、後で設定を変更する必要がある場合は:
- フィッシング対策ダッシュボードのページに移動してください。
- 対象のポリシー(たとえば、「Office 365 AntiPhish Default (Default)」ポリシーなど)の行で、名前の横にあるチェックボックス以外の任意の場所をクリックします。
- 右側に表示されるポップアップパネルで、変更したいセクションの「編集」をクリックします。この画面から、カスタムポリシーの有効化、無効化、削除、優先順位の変更を行うこともできます。
Office 365 のフィッシング対策ポリシーでは、どのようなケースが対象外となりますか?
「DMARCはもう必要ない」という考えは、単なるOffice 365セキュリティに関する誤解に過ぎません。Microsoft Defenderは受信メールの追跡に対して強力な防御機能を提供していますが、これに完全に依存することは危険な死角を生み出します。受信ポリシーでは、その設計上、防御できない重要な通信攻撃経路が存在するからです。
一般向けへの送信元ドメインのなりすまし
Microsoftのフィッシング対策ポリシーは、テナントに受信されるメールのセキュリティを評価するものです。ただし、サイバー犯罪者がMicrosoft 365の外部にメールサーバーを立ち上げ、お客様のドメインを装った何百万通もの悪意のあるメールを外部の標的に送信することを阻止するものではありません。
攻撃者が外部の受信者に対してあなたの名前を悪用するのを防ぐには、Domain-based Message Authentication, Reporting, and Conformance(DMARC)のような送信認証技術を導入する必要があります。
「Microsoft 365 ユーザーに依然として DMARC が必要な理由」に関する当社の完全ガイドをご覧ください。
ブランド評判の外部による悪用
メールによるなりすまし犯が、貴社のドメイン名を完全に偽装して顧客、ビジネスパートナー、または消費者を標的にした場合、テナントのフィッシング対策ポリシーではこれを検知できません。受信側の独立したメールサーバーが、公開されたレコードを確認し、送信側のDMARCルールを適用して、こうした詐欺メールを安全にブロックし、破棄する必要があります。受信側のフィルタだけに依存していると、社外において企業ブランドが完全に無防備な状態になってしまいます。
類似ドメイン名および同形異義語ドメイン名
インバウンド型のフィッシング対策戦略もDMARCも、攻撃者が視覚的に紛らわしい類似ドメイン(例:‘o’の代わりにゼロを使用した「micros0ft.com」の登録など)を購入することを、それ自体では防ぐことはできません。ドメイン自体は技術的に独立した固有の登録資産であるため、これをブロックするには、体系的な予防的なブランド監視、法的措置による削除、および防御的なドメイン登録の実践が必要となります。
パブリックプロバイダーを介した表示名のなりすまし
攻撃者は、GmailやOutlook.comで完全に無料の有効なアカウントを作成し、その表示名を貴社の経営陣の氏名と一致するように変更することができます。マイクロソフトのユーザーなりすまし防止設定では、内部的な一部の変種は検知できますが、外部の有効なメールプロバイダーから送信される広範な表示名のなりすましについては、通常の業務上の通信に支障をきたすことなく、受信メールポリシーだけで安全に対処することは依然として極めて困難です。
ブランドをより確実に保護するために、「なりすまし攻撃とは何か?」の技術的な解説をご確認ください。
フィッシング対策ポリシーとDMARCはどのように連携するのでしょうか?
電子メールの保護を理解するには、受信ポリシーと送信認証がどのように連携しているかを把握する必要があります。これらは互いに補完し合う仕組みであり、競合する選択肢ではありません。
- マイクロソフトのフィッシング対策ポリシー(インバウンド防御):このシステムは、従業員の受信トレイに届く受信メールのトラフィックを検査します。ローカルの行動プロファイルに基づいて、メッセージをファイアウォールを通過させるか、スパムフォルダに直接転送するか、あるいは完全にブロックするかを判断します。
- Office 365 向け DMARC(送信メールおよびブランド保護):ドメインベースのメッセージ認証、レポート、およびコンフォーマンシー(DMARC)は、SPF および DKIMを基盤としてドメインのなりすましを防止する、標準的な電子メール認証プロトコルです。 グローバルに公開されるDNSレコードとして実装されるDMARCは、Exchange Online Protection (EOP) および世界中の外部受信サーバーに対し、お客様のドメインから送信されたと主張する電子メールをどのように処理すべきかを明示的に指示します。電子メールが主要な認証整合性チェックに失敗した場合、DMARCポリシーは明確な強制措置(p=quarantine や p=reject など)を指定し、フィッシング攻撃において組織のブランド評判が悪用されるのを防ぎます。
効果的な対策には、この2つの要素が不可欠です。フィッシング対策ポリシーは社内の従業員を保護し、DMARCは自社のドメインの評判を世界的に守り、顧客基盤を標的とした攻撃から守ります。
さらに、DMARCは収集した情報をMicrosoftテナントに積極的にフィードバックします。フィッシング対策ポリシーで「メッセージがなりすましと検出された場合にDMARCレコードポリシーを適用する」オプションを有効にすると、Microsoftは、従業員宛てに送信される不正ななりすましメールに対して、お客様が公開したグローバルルールを自動的に適用します。
Office 365におけるフィッシング対策のベストプラクティスとは何ですか?
電子メールのセキュリティ体制を最適化し、Microsoftの送信者要件をより適切に遵守するために、以下の設定を実施してください:
- プリセットポリシーの適用:個々の設定を手作業で延々と調整するのではなく、標準または厳格なプリセットのセキュリティベースラインを活用します。マイクロソフトは、刻々と変化する世界的な脅威の動向に対抗するため、これらのベースラインを自動的に更新します。
- VIPの身元を特定する:ユーザーなりすまし対策エンジンに、重要度の高いターゲットを登録してください。BEC(ビジネスメール詐欺)の脅威に対抗するため、すべての経営幹部、財務部門の担当者、および主要なインフラ管理者がリストに確実に網羅されていることを確認してください。
- Harden分類レベル:高度なフィッシング検知のしきい値パラメータの基準をレベル2(アグレッシブ)に変更してください。標的型スピアフィッシング攻撃が頻繁に発生する環境では、システムをレベル3に引き上げてください。
- 受信DMARC遵守チェックの適用:システムが公開済みのDMARCレコードポリシーを遵守するように設定されていることを確認してください。この設定により、認証ルールに違反する受信偽装メールがテナントによって確実にブロックされます。
- 厳格な送信側DMARCポリシーを公開する:ドメインに対して明確なDMARCレコードを作成し、ホストします。ルールを強制レベル(p=quarantine または p=reject)に引き上げるよう努め、外部プロバイダーが、あなたのドメインを装ったなりすましメールをブロックできるようにします。
- DMARCの集計テレメトリデータの監査:受信XML集計レポートを一貫して追跡・分析します。これらのレポートからは、DMARCの失敗事例や、貴社のドメインIDを使用してメールを送信している外部リソースが明らかになり、シャドーITや悪意のある攻撃者の存在を特定することができます。
メール環境全体を保護する
マイクロソフトのフィッシング対策は、受信トレイの保護に役立ちます。DMARCはドメインを保護します。可視性のギャップを解消し、ブランドを包括的に保護するためには、この2つの対策を組み合わせて使用する必要があります。
PowerDMARC を使えば、単一の集中管理プラットフォーム上で、Office 365 のフィッシング対策設定と併せて、DMARC 認証の導入、監視、および適用を簡単に行うことができます。
攻撃者にドメインの評判を悪用させないでください。送信メールの可視性を完全に管理し、なりすましリスクを今すぐ排除しましょう。今すぐPowerDMARCの15日間無料トライアルを始めましょう!
よくあるご質問
Office 365 のフィッシング対策ポリシーとは何ですか?
これは、Exchange Online Protection (EOP) および Microsoft Defender for Office 365 に組み込まれたセキュリティ制御機能であり、ユーザーのメールボックスを標的とした受信側のフィッシング、ドメインなりすまし、およびなりすまし攻撃を特定、フラグ付け、および軽減するのに役立ちます。
Microsoft 365 では、フィッシング対策機能はデフォルトで有効になっていますか?
はい、すべてのテナントには、セットアップ完了後すぐに全ユーザーに適用されるデフォルトのフィッシング対策ポリシーが含まれています。ただし、この基本ポリシーでは、基本的ななりすまし追跡とユーザーへの通知機能のみを提供します。高度な保護機能を利用するには、管理者の手動設定と、より上位のライセンスが必要です。
EOPとMicrosoft Defender for Office 365のフィッシング対策機能の違いは何ですか?
EOPはすべてのサブスクリプションモデルに含まれており、基本的ななりすまし対策や基本的なセキュリティのヒントを提供します。Microsoft Defender for Office 365では、ユーザーおよびドメインのなりすまし防止機能、メールボックスインテリジェンスの行動グラフ、調整可能な検出閾値スライダーなど、高度な検出機能が追加されています。
Office 365 のフィッシング対策ポリシーは、ドメインのなりすましから保護しますか?
これは、社内のスタッフを、外部からのドメインなりすまし攻撃から保護します。ただし、外部の犯罪者が、社外の人物、顧客、またはパートナーにメールを送信する際に、貴社のドメインをなりすますことを防ぐものではありません。
Microsoft Defender for Office 365 でフィッシング対策ポリシーを設定するにはどうすればよいですか?
Microsoft Defender ポータル (security.microsoft.com) にログインし、「メールとコラボレーション」→「ポリシーとルール」→「脅威ポリシー」→「フィッシング対策」の順に移動します。そこで、既定のポリシーを編集したり、カスタム保護ルールを作成したりできます。
Office 365のフィッシング対策機能を有効にしている場合、DMARCは必要ですか?
はい。Microsoftの標準設定では、社内ユーザーを保護するために、受信メールトラフィックのフィルタリングに重点が置かれています。DMARCは送信ドメインの検証機能を提供し、悪意のある攻撃者が貴社のブランド名を悪用して外部組織を騙すことを防ぎます。
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- 人事部門のメールおよび給与計算のセキュリティ:グローバルチームのためのベストプラクティス - 2026年6月22日
- Microsoft Entra でリスクの高い AI エージェントをブロックする方法 - 2026年6月15日
- Office 365 フィッシング対策ポリシー:設定方法 - 2026年6月3日
