有害な添付ファイルを検出するルールを設定する

Gmail のセキュリティ サンドボックス

この機能に対応しているエディション: Frontline Plus、Business Standard、Business Plus、Enterprise Standard、Enterprise Plus。エディションを比較する

ウイルス対策のアプリケーションやツールを使っても、悪意のあるソフトウェアやファイルを含むメールの添付ファイルを防げないことがあります。Gmail では、セキュリティ サンドボックスと呼ばれる仮想環境で添付ファイルをスキャンすることにより、こうした添付ファイルを特定できるようになっています。セキュリティ サンドボックスでは、メッセージに直接添付されたファイルと、アーカイブの添付ファイル内のファイル(zip ファイルや rar ファイルなど)をスキャンします。セキュリティ サンドボックスが対応している添付ファイルの種類には、Microsoft の実行可能ファイル(.exe)、Microsoft Office ファイル、PDF ファイルなどがあります。

注: セキュリティ サンドボックスでのスキャンにより、メールの配信が最大 3 分遅れることがあります。それより短い時間でスキャンが完了する場合もあります。

セキュリティ サンドボックスでは、スキャンする添付ファイルを指定するルールを作成することができます。たとえば、指定した単語を含む添付ファイル、特定の送信者から受信した添付ファイル、指定したドメインの外部または内部から送信された添付ファイルをスキャンするよう設定できます。

不審な添付ファイルを含むメールは迷惑メールに分類される

セキュリティ サンドボックスで不審な添付ファイルや悪意のある添付ファイルを含むメールが検出されると、そのメールは自動的に受信者の迷惑メールフォルダに振り分けられます。Google は、他のサービスにおけるセキュリティ改善のために、添付ファイルに関する情報を保存します。

また、セキュリティ サンドボックスによって検出された有害なソフトウェアを含む添付ファイルを検疫することもできます。その場合は、迷惑メールのメタデータ属性でコンテンツ コンプライアンス ルールを作成してください。

セキュリティ サンドボックスのデフォルト設定は [オフ] です。

セキュリティ サンドボックスの設定オプション

すべての添付ファイルをスキャンする

管理者は、すべてのメールの添付ファイルをセキュリティ サンドボックスでスキャンするよう、Gmail を設定できます。この設定はデフォルトでオフになっています。

  1. Google 管理コンソールで、メニュー アイコン 次に [アプリ] 次に[Google Workspace] 次に[Gmail] 次に[迷惑メール、フィッシング、不正なソフトウェア] に移動します。

    アクセスするには Gmail の「設定」管理者権限が必要です。

  2. 設定を行う組織部門を選択します。すべてのユーザーを対象にする場合は、最上位の部門を選択します。それ以外の場合は、いずれかの子組織部門を選択します。
  3. [迷惑メール、フィッシング、不正なソフトウェア] の [セキュリティ サンドボックス] までスクロールします。セキュリティ サンドボックスのルールはこの項目の下部にあります。
  4. すべての添付ファイルをスキャンするには、[不正なソフトウェア、ランサムウェア、ゼロデイの脅威から、組織部門のすべてのユーザーを保護するために、サンドボックス環境での添付ファイルの仮想実行を有効にする] チェックボックスをオンにします。

    : このチェックボックスをオンにすると、設定したサンドボックス ルールに関係なく、すべての添付ファイルがセキュリティ サンドボックスでスキャンされます。

  5. ページの下部にある [保存] をクリックします。

変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

作成したルールに基づいて添付ファイルをスキャンする(すべてのルール オプション)

スキャンするメールを指定するルールを追加します。

  1. Google 管理コンソールで、メニュー アイコン 次に [アプリ] 次に[Google Workspace] 次に[Gmail] 次に[迷惑メール、フィッシング、不正なソフトウェア] に移動します。

    アクセスするには Gmail の「設定」管理者権限が必要です。

  2. 設定を行う組織部門を選択します。すべてのユーザーを対象にする場合は、最上位の部門を選択します。それ以外の場合は、いずれかの子組織部門を選択します。

  3. [迷惑メール、フィッシング、不正なソフトウェア] で、[セキュリティ サンドボックス] の [不正なソフトウェア、ランサムウェア、ゼロデイの脅威から、組織部門のすべてのユーザーを保護するために、サンドボックス環境での添付ファイルの仮想実行を有効にする] チェックボックスをオフにします。このチェックボックスをオフにすると、添付ファイルはサンドボックス ルールに一致した場合にのみサンドボックスでスキャンされます。

  4. [迷惑メール、フィッシング、不正なソフトウェア] の下部にある [セキュリティ サンドボックスのルール] にカーソルを合わせて、[設定] をクリックします。

  5. [設定を追加] ボックスの [セキュリティ サンドボックスのルール] に、ルールの名前を入力します。この名前が設定ページに表示されます。

  6. [影響を受けるメール] で、メールの種類の横にあるチェックボックスをオンにします。

    • 受信: 外部ドメインから組織に送信されたメール。

    • 内部 - 受信: 組織のドメインとサブドメイン内で送受信されたメール。

      内部のドメインと見なされるのは、確認済みの Workspace ドメイン、または確認済みの Workspace ドメインのサブドメインや親ドメインです。

  7. [各メッセージで検索するコンテンツを表す表現を追加] で、以下の操作を行います。

    1. 一部の表現に一致させるか、すべての表現に一致させるかを選択します。たとえば、[次の一部がメールに一致する場合] を選択すると、条件が 1 つでも一致すればセキュリティ サンドボックスで添付ファイルのスキャンがトリガーされます。

    2. [表現] ボックスの [追加] をクリックします。

    3. 指定する表現の項目をリストから選択して、[保存] をクリックします。

      • シンプルなコンテンツ マッチ - 指定したコンテンツを照合します。シンプルなコンテンツ マッチは、Gmail の検索機能と同じように機能します。たとえば、「注文書」で検索すると、「注文」や「書」という言葉を含む文字列が返されます。詳しくは、Gmail で使用できる検索演算子をご覧ください。

      • 高度なコンテンツ マッチ - メッセージ内のテキストの [場所] と [一致タイプ] を選択し、照合するコンテンツを入力します。シンプルなコンテンツ マッチとは異なり、完全に一致する文字列を入力する必要があります。メール内の場所と一致タイプの説明については、後述の高度なコンテンツ マッチの項目の表をご覧ください。

      • メタデータの一致 - 照合する属性と [一致タイプ] を選択し、必要に応じて照合する値を入力します。メタデータの属性と一致タイプの説明については、後述のメタデータの属性と一致タイプの表をご覧ください。

      • 定義済みコンテンツの一致 - いずれかの定義済みコンテンツ検出項目を選択します。クレジット カード番号、政府発行の個人識別番号などがあります。必要に応じて、検出項目が指定の個数見つかった場合に、定義した操作が行われるよう設定できます。また、メール内の検出項目が信頼度のしきい値を満たした場合にスキャンをトリガーすることもできます。注: この機能は、一部のエディションではご利用いただけません。詳しくは、データ損失防止(DLP)ルールを使用してメール トラフィックをスキャンするをご覧ください。

      高度なコンテンツ マッチの項目

      • 場所 - 対象のコンテンツが含まれるメール項目。

        ロケーション タイプ 説明
        ヘッダー + 本文 メールの添付ファイル(デコードされた MIME 部分)を含む、添付ファイル(MIME 部分がデコードされています)。
        完全なヘッダー すべてのヘッダー フィールド。(メール本文や添付ファイルは除く)。
        本文 メール メッセージのメインのテキスト部分。添付ファイル(MIME 部分はエンコード済み)が含まれます。
        件名 メールのヘッダーにあるメールの件名。
        送信者のヘッダー

        [From] ヘッダーで報告された送信者のメールアドレスこれは、エンベロープ送信者として報告される送信者とは異なる場合があります。

        送信者のヘッダーは、山かっこで囲まれたメールアドレスです(アカウント所有者名は含まれません)。

        たとえば、次のような場合を考えてみましょう。

        From: Jane Doe <jdoe@example.com>

        送信者のヘッダーは jdoe@example.com です。

        : @gmail.com と @googlemail.com の「@」より前の部分は、正規表現に変換されます。たとえば、jane.doe@gmail.com は janedoe@gmail.com に変換されます。
        受信者のヘッダー

        メールのヘッダー、To、Cc、Bcc で報告された受信者([任意のエンベロープ受信者] で報告された受信者とは異なる可能性があります)。

        照合の対象となる受信者は一度に 1 人のみです。受信者が 2 人以上存在する場合、高度なコンテンツのルールでは 1 つの文字列ですべての受信者を照合することはできません。複数のユーザーに送信されるメッセージのルールを設定するには、完全なヘッダーを使用します。

        受信者のヘッダーは、山かっこで囲まれたメールアドレスです(アカウント所有者名は含まれません)。

        たとえば、次のような場合を考えてみましょう。

        To: Jane Doe <jdoe@example.com>
        Cc: John Doe <johndoe@example.com>
        Bcc: John Smith <jsmith@example.com>

        受信者のヘッダーは jdoe@example.com、johndoe@example.com、jsmith@example.com です。
        エンベロープ送信者 SMTP 通信のリクエスト中に報告された元の送信者([送信者のヘッダー] で報告された送信者とは異なる可能性があります)。多くの場合、[Return-path] ヘッダーに含まれるアドレスと一致します。
        任意のエンベロープ受信者

        SMTP 通信のリクエスト中に報告された受信者([受信者のヘッダー] で報告された受信者とは異なる可能性があります)。グループ展開で追加された個人も含まれる場合があります。

        照合の対象となる受信者は一度に 1 人のみです。受信者が 2 人以上存在する場合、高度なコンテンツのルールでは 1 つの文字列ですべての受信者を照合することはできません。
        メッセージのソース RAW メッセージのすべての添付ファイルと他の MIME 部分を含む、完全なヘッダーと本文。MIME 部分はデコードされません。
      • 一致タイプ - 一致を判別するために使用するパラメータ。
        マッチタイプ 説明

        次で始まる

        選択した場所で、指定した文字または文字列で始まるコンテンツを見つけます。
        最後が一致

        選択した場所で、指定した文字または文字列で終わるコンテンツを見つけます。

        テキストを含む

        選択した場所で、指定した文字列を含むコンテンツを見つけます。

        テキストを含まない

        選択した場所で、指定した文字列を含まないコンテンツを見つけます。

        等しい

        選択した場所で、指定した文字列と完全に一致するコンテンツを見つけます。

        空である

        選択した場所で、空のコンテンツを見つけます。

        正規表現に一致する

        選択した場所で、指定した正規表現に一致するコンテンツを見つけます。

        正規表現に一致しない

        選択した場所で、指定した正規表現に一致しないコンテンツを見つけます。

        いずれかの単語に一致する

        選択した場所で、指定した単語リスト内のいずれかの単語に一致するコンテンツを見つけます。

        すべての単語が一致

        選択した場所で、指定した単語リスト内のすべての単語に一致するコンテンツを見つけます。

      • コンテンツ - 照合するテキスト。

      メタデータの属性と一致タイプ

      属性 マッチタイプ 説明

      メッセージの認証
      • メールが認証されている
      • メールが認証されていない

      認証されている(または認証されていない)メールをコンプライアンスの表現に含めるには、この項目を選択します。このオプションは DMARC 標準に準拠しています。SPF または DKIM のチェックに合格した場合、メールは認証されています。いずれのチェックにも合格しない場合、メールは未認証とみなされます。詳しくは、SPF、DKIM、DMARC に関する記事をご覧ください。

      ソース IP

      • 次の範囲内にある

      • ソース IP が次の範囲内にない

      指定した IP 範囲内(または範囲外)のメッセージをコンプライアンスの表現に含めるには、この項目を選択します。

      セキュアなトランスポート(TLS)

      • 接続が TLS で暗号化されている

      • 接続が TLS で暗号化されていない

      TLS で暗号化されている(または暗号化されていない)受信メールをコンプライアンスの表現に含めるには、この項目を選択します。
      メッセージのサイズ
      • 次のサイズより大きい(MB)
      • メッセージが次のサイズより小さい(MB)

      コンプライアンスの表現に指定したサイズより大きい(小さい)メッセージを含めるには、この項目を選択します。メッセージのサイズを MB 単位で入力します。

      照合対象はメール全体の未加工サイズであり、メール本文と添付ファイルを合わせたサイズより最大 33% 大きくなる場合があります。これは通常のエンコーディングのオーバーヘッドによるものです。

      S/MIME 暗号化

      • メールが S/MIME で暗号化されている

      • メールが S/MIME で暗号化されていない

      S/MIME で暗号化されている(または暗号化されていない)メッセージを含めるには、この項目を選択します。

      この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus。エディションを比較する

      S/MIME 署名

      • メールが S/MIME で署名されている

        • メールが S/MIME で署名されていない

      S/MIME で署名されている(または署名されていない)メールを含めるには、この項目を選択します。

      この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus。エディションを比較する
      Gmail 情報保護モード
      • メッセージが Gmail 情報保護モードである
      • メールが Gmail 情報保護モードでない
      		 Gmail 情報保護モードのメッセージである(または情報保護モードのメッセージではない)メールを含めるには、この項目を選択します。
  8. 表現が一致した場合に行う処理として、[セキュリティ サンドボックスを実行] が表示されていることを確認します。条件が一致すると、セキュリティ サンドボックスで添付ファイルをスキャンする処理が必ず実行されます([セキュリティ サンドボックスを実行])。
  9. 設定が完了したら、[設定を追加] または [保存] をクリックし、Gmail の [詳細設定] ページの下部にある [保存] をクリックします。または、以下の追加設定を行います。

特定のアドレスリストから受信した添付ファイルをスキャンする

スキャン対象の基準となるアドレスリストを指定できます。アドレスリストには、メールアドレスとドメインを指定できます。

ルールをアドレスリストに適用するかどうかの判断には、受信したメールの送信者送信済みメールの受信者が使用されます送信者については認証要件も確認されます。複数のリストが指定されている場合、ルールが適用されるには、アドレスが少なくとも 1 つのリストと一致する必要があります。

  1. メールが特定のルールに一致した場合にのみ添付ファイルをスキャンするの手順に沿って、[設定を追加] または [設定を編集] ボックスを開きます。
  2. [オプションを表示] をクリックします。

  3. [オプション] セクションで、[アドレスリストを使用して、この設定を適用するアプリケーションを除外、制御する] チェックボックスをオンにします。

  4. 次のいずれかを選択します。

    • 特定のアドレスまたはドメインにはこの設定を適用しない - ルールで指定されている他の条件に関係なく、アドレスリストが一致した場合はルールをスキップします。

    • 特定のアドレスまたはドメインにのみ、この設定を適用する - アドレスリストの一致がルール適用の条件になります。一致表現、アカウントの種類、エンベロープ フィルタなど、他の条件がルールで指定されている場合は、それらの条件にも一致しないとルールは適用されません。

  5. [リストはまだ使用されていません] の下にある [既存のリストを使用するか、新しいリストを作成してください] をクリックします。

  6. [使用できるリスト] ボックスで、次のいずれかの操作を行います。

    • 既存のリストの名前にカーソルを合わせて [使用する] をクリックします。

    • [新しいリストを作成] 欄に新しいリストの名前を入力し、[作成] をクリックします。

  7. 次のように、メールアドレスまたはドメインをリストに追加します。
    1. リスト名にカーソルを合わせ、[編集] をクリックします。
    2. [追加] をクリックします。
    3. 完全なメールアドレスまたはドメイン名(例: solarmora.comsolarmora.com)を入力します。複数のアドレスを入力する場合は、各アドレスをカンマまたはスペースで区切ります。
    4. 送信者に認証が設定されていなくても承認済みであればルールを適用しない場合は、[送信者の認証を要求する(推奨)] チェックボックスをオフにします。なりすましに利用される可能性があるため、この設定の使用には注意が必要です。
    5. [保存] をクリックします。

  8. 設定が完了したら、ボックスの下部にある [設定を追加] をクリックし、Gmail の [詳細設定] ページの下部にある [保存] をクリックします。または、影響を受けるアカウントの種類をご覧ください。

特定の種類のアカウントから受信した添付ファイルをスキャンする

特定の種類のアカウントから受信したメールをスキャン対象に指定できます。デフォルトでは、アカウントの種類は [ユーザー] が指定されていますが、複数の種類を指定することもできます。送信設定の場合は、選択したアカウントの種類が送信者の種類と一致する必要があります。

  1. メールが特定のルールに一致した場合にのみ添付ファイルをスキャンするの手順に沿って、[設定を追加] または [設定を編集] ボックスを開きます。
  2. [オプションを表示] をクリックします。
  3. [オプション] セクションで、[影響を受けるアカウントの種類] の設定を選択します。
    • ユーザー
    • 認識できない、キャッチオール
  4. 変更が完了したら、[設定を追加] または [保存] をクリックし、Gmail の [詳細設定] ページの下部にある [保存] をクリックします。または、エンベロープ フィルタを指定するをご覧ください。

特定の送信者、受信者、グループの添付ファイルをスキャンする

スキャン対象の基準となるメールのエンベロープ情報を指定できます。メールのエンベロープ情報とは、送信者と受信者のメールアドレスなどです。

  1. メールが特定のルールに一致した場合にのみ添付ファイルをスキャンするの手順に沿って、[設定を追加] または [設定を編集] ボックスを開きます。
  2. [オプションを表示] をクリックします。
  3. [オプション] セクションで、[エンベロープ フィルタ] の設定を選択します。[特定のエンベロープ送信者にのみ適用する]、[特定のエンベロープ受信者にのみ適用する]、またはその両方のチェックボックスをオンにします。
  4. 次のいずれかを選択します。

    • 1 個のメールアドレス - メールアドレスを入力して、1 人のユーザーを指定します。@ とドメイン名を含めた完全なメールアドレスを指定する必要があります。大文字と小文字は区別されません。

    • パターン一致 - ドメイン内の一連の送信者または受信者を指定する正規表現を入力します。(構文が正しいことを確かめるには、[表現をテスト] をクリックします)。たとえば、特定の 3 人のユーザーにのみ設定が適用されるようにするには、次の正規表現の構文を使用してユーザーのリストを入力します。 
      ^(?i)(user1@solarmora\.com|user2@solarmora\.com|user3@solarmora\.com)$
       この正規表現に含まれる記号の意味は次のとおりです。
      • ^ は新しい行の先頭を表します。
      • (?i) は、大文字と小文字が区別されないことを表します。
      • $ は行の末尾を表します。

      詳しくは、正規表現を使用する際のガイドラインをご覧ください。

    • グループ メンバー - リストから 1 つ以上のグループを選択します。エンベロープ送信者の場合は送信メールにのみ適用され、エンベロープ受信者の場合は受信メールにのみ適用されます。グループを作成していない場合は、先にグループを作成する必要があります。

  5. ボックスの下部にある [設定を追加] または [保存] をクリックし、Gmail の [詳細設定] ページの下部にある [保存] をクリックします。

    指定したルールに従って添付ファイルがスキャンされます。

変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

レポートおよび他のメールスキャンとの互換性

悪意のある添付ファイルに関するレポートを取得する

[迷惑メールフィルタ - 不正なソフトウェアのレポート] には、悪意があると判断された添付ファイルの数が表示されます。また、悪意があると判断されたメッセージも表示されます。スキャンされた添付ファイルの数は表示されません。このレポートは、Google Workspace セキュリティ ダッシュボードで確認できます。

セキュリティ サンドボックスとその他のスキャン

セキュリティ サンドボックスのスキャンは、他のコンプライアンス スキャンや配信前スキャンとは独立して実行されます。たとえば、コンテンツのコンプライアンス スキャンではクレジット カード番号などの個人情報が検索される場合があります。また、添付ファイルのコンプライアンス スキャンによって、特定の種類やサイズの添付ファイルがブロックされることもあります。Gmail では、コンプライアンス スキャンと配信前スキャンがセキュリティ サンドボックスのスキャンとは別に実行されます。

コンプライアンス ルールや配信前スキャンでブロックされたメールの添付ファイルは、セキュリティ サンドボックスではスキャンされません。

詳しくは、以下をご覧ください。

ルールテストを迅速に行うための推奨事項


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。