Web コンテンツフィルタリング

[アーティクル]
08/15/2024

適用対象:

ヒント

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Web コンテンツのフィルター処理とは

Web コンテンツフィルター処理は、Microsoft Defender for Endpoint と Microsoft Defender for Business の Web 保護機能の一部です。 Web コンテンツフィルターを使用すると、組織はコンテンツカテゴリに基づいて Web サイトへのアクセスを追跡および規制できます。これらの Web サイトの多く (悪意がなくても) は、コンプライアンス規制、帯域幅の使用、またはその他の懸念のために問題になる可能性があります。

特定のカテゴリをブロックするように、デバイスグループ全体でポリシーを構成します。カテゴリをブロックすると、指定したデバイスグループ内のユーザーがカテゴリに関連付けられている URL にアクセスできなくなります。ブロックされていないカテゴリの場合、URL は自動的に監査されます。ユーザーは中断することなく URL にアクセスでき、アクセス統計情報を収集して、よりカスタムポリシーの決定を作成できます。表示しているページ上の要素がブロックされたリソースを呼び出している場合、ユーザーにはブロック通知が表示されます。

注:

デバイスグループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

Web コンテンツフィルタリングは、Windows Defender SmartScreen (Microsoft Edge) とネットワーク保護 (Chrome、Firefox、Brave、Opera) によって実行されるブロックを使用して、主要な Web ブラウザーで使用できます。ブラウザーのサポートの詳細については、「前提条件」セクションを参照してください。

注:

Web コンテンツのフィルター処理では、分離されたブラウザーセッション (Microsoft Defender Application Guard など) にポリシーは適用されません。この機能は、プロセス名を使用して特定のブラウザーにも制限されます。つまり、プロセス名がマスクされているため、ローカルプロキシアプリケーション (Fiddler など) が存在する場合、Web コンテンツのフィルター処理は機能しません。

Web コンテンツフィルター処理の利点

ユーザーがオンプレミスを閲覧しているかどうかにかかわらず、ブロックされたカテゴリの Web サイトにアクセスできなくなります。
セキュリティチームは、実際のブロックと Web 使用状況を可視化して、同じ中央の場所にある Web レポートにアクセスできます。
Defender for Endpoint を使用している場合、セキュリティチームは、 Microsoft Defender for Endpoint ロールベースのアクセス制御設定で定義されているデバイスグループを使用して、ユーザーのグループにポリシーを簡単に展開できます。
Defender for Business を使用している場合は、すべてのユーザーに適用される 1 つの Web コンテンツフィルタリングポリシーを定義できます。

前提条件

この機能を試す前に、次の表に記載されている要件を満たしていることを確認してください。

要件	説明
サブスクリプション	サブスクリプションには、次のいずれかのプランが含まれている必要があります。 - Windows 10/11 Enterprise E5 - Microsoft 365 E5 - Microsoft 365 A5 - Microsoft 365 E5 セキュリティ - Microsoft 365 E3 - Microsoft Defender for Endpoint プラン 1 またはプラン 2 - Microsoft Defender for Business - Microsoft 365 Business Premium
ポータルアクセス	Microsoft Defender ポータルにアクセスできる必要があります。
オペレーティングシステム	組織のデバイスは、最新のウイルス対策/マルウェア対策更新プログラムを使用して、次のいずれかのオペレーティングシステムを実行している必要があります。 - Windows 11 - Windows 10 Anniversary Update (バージョン 1607) 以降 - macOS の可用性については、「macOS のネットワーク保護」を参照してください。 - Linux の可用性については、「Linux 用ネットワーク保護」を参照してください。
ブラウザー	組織のデバイスは、次のいずれかのブラウザーを実行している必要があります。 - Microsoft Edge - Google Chrome - Mozilla FireFox -勇ましい -オペラ - Internet Explorer
関連する保護	組織のデバイスで Windows Defender SmartScreen とネットワーク保護を有効にする必要があります。

データの処理

データは、 Microsoft Defender for Endpoint のデータ処理設定の一部として選択されたリージョンに格納されます。データは、そのリージョンのデータセンターから離れません。また、お客様のデータは、Microsoft のデータプロバイダーを含む第三者と共有されることはありません。

複数のアクティブなポリシーの優先順位

複数の異なる Web コンテンツフィルターポリシーを同じデバイスに適用すると、カテゴリごとにより制限の厳しいポリシーが適用されます。次のような状況で問題が発生します。

ポリシー 1: カテゴリ 1 と 2 をブロックし、残りの部分を監査する
ポリシー 2: カテゴリ 3 と 4 をブロックし、残りの部分を監査する

その結果、次の図に示すように、カテゴリ 1 から 4 はすべてブロックされます。

監査モードに対する Web コンテンツフィルタリングポリシーブロックモードの優先順位を示します

Web コンテンツのフィルター処理を有効にする

Microsoft Defender ポータルに移動し、サインインします。
ナビゲーションウィンドウで、設定>Endpoints>General>Advanced Features を選択します。
Web コンテンツのフィルター処理が表示されるまで下にスクロールします。
トグルを [オン] に切り替え、[ 設定の保存] を選択します。

Web コンテンツフィルターポリシーを構成する

Web コンテンツフィルタリングポリシーでは、どのサイトカテゴリがどのデバイスグループでブロックされているかを指定します。ポリシーを管理するには、[設定>Endpoints>Web コンテンツフィルター処理 ([ルール] の下) に移動します。

ポリシーを展開して、次のいずれかの親または子カテゴリをブロックできます。

親カテゴリ	子カテゴリ
アダルトコンテンツ	- カルト: メンバーが社会的に受け入れられるものとは異なる信念システムへの情熱を示すグループや運動に関連するサイト。 - ギャンブル: オンラインギャンブルと、ギャンブルのスキルと実践を促進するサイト。 - ヌード: 完全な正面と半ヌードの画像またはビデオを提供し、通常は芸術的な形で提供し、そのような資料のダウンロードまたは販売を許可する可能性のあるサイト。 - ポルノ/性的に露骨な:画像ベースまたはテキスト形式で性的に露骨なコンテンツを含むサイト。性的指向の素材の任意の形式もここに記載されています。 - 性教育:人間の生殖と避妊に関する教育を提供するサイト、性病からの感染防止に関するアドバイスを提供するサイト、性的健康に関するアドバイスを提供するサイトなど、有益かつ非代読的な方法で性とセクシュアリティを議論するサイト。 - 味のない: 学校の子供が閲覧するのに適さないコンテンツに向いているサイト、または雇用主がスタッフがアクセスすることに不快であるとは限りませんが、必ずしも暴力的またはポルノ的ではありません。 - 暴力: 人または動物に対する暴力に関連するコンテンツを表示または宣伝するサイト。
高帯域幅	- サイトのダウンロード: ユーザーがコンピュータープログラムなどのメディアコンテンツまたはプログラムをダウンロードできるようにする主な機能を持つサイト。 - 画像共有: 主に写真の検索または共有に使用されるサイト(ソーシャルな側面を持つサイトを含む)。 - ピアツーピア: ピアツーピア (P2P) ソフトウェアをホストするサイト、または P2P ソフトウェアを使用してファイルの共有を容易にするサイト。 - ストリーミングメディア & ダウンロード: ストリーミングメディアの配布を主な機能とするサイト、またはユーザーがストリーミングメディアを検索、視聴、またはリッスンできるサイト。
法的責任	- 児童虐待の画像: 児童虐待の画像やポルノを含むサイト。 - 犯罪行為: 違法行為に関する指導、助言、または促進を行うサイト。 - ハッキング: コンピュータソフトウェアまたはハードウェアの違法または疑わしい使用のためのリソースを提供するサイト。これには、ひびが入った著作権で保護された資料を配布するサイトが含まれます。 - ヘイト & 不寛容: 人種、宗教、性別、年齢、国籍、身体障害、経済状況、性的指向、またはその他のライフスタイルの選択によって識別される可能性のある集団の任意のセクションに関する積極的、劣化、または虐待的な意見を促進するサイト。 - 違法薬物: 違法/規制物質の販売、薬物乱用の促進、関連するパラフェルナリアの販売を行うサイト。 - 不正なソフトウェア: マルウェア、スパイウェア、ボットネット、フィッシング詐欺、または著作権侵害 & 著作権侵害の使用を含む、または促進するサイト。 - 学校の不正行為: 盗作や学校の不正行為に関連するサイト。 - 自傷行為: ユーザーに対する虐待や脅威を与えるメッセージを含むサイバーいじめサイトを含む、自傷行為を助長するサイト。 - 武器: 武器、ナイフ、弾薬を含むがこれに限定されない、武器の使用を主張するサイト。
レジャー	- チャット: 主に Web ベースのチャットルームであるサイト。 - ゲーム: オンラインサービスのホスティングを通じてゲームを宣伝するサイトやゲームに関連する情報を含む、ビデオゲームまたはコンピューターゲームに関連するサイト。 - インスタントメッセージング: インスタントメッセージングソフトウェアまたはクライアントベースのインスタントメッセージングをダウンロードするために使用できるサイト。 - プロフェッショナルネットワーク: プロフェッショナルネットワークサービスを提供するサイト。 - ソーシャルネットワーキング: ソーシャルネットワーキングサービスを提供するサイト。 - Web ベースのメール: Web ベースのメールサービスを提供するサイト。
未分類	- 新しく登録されたドメイン: 過去 30 日間に新しく登録され、まだ別のカテゴリに移動されていないサイト。 - パークされたドメイン: コンテンツがないサイト、または後で使用するために駐車されているサイト。

注:

未分類には、新しく登録されたドメインとパークされたドメインのみが含まれており、これらのカテゴリ以外のすべてのサイトは含まれません。

ポリシーを作成する

新しいポリシーを追加するには、次の手順に従います。

Microsoft Defender ポータルで、設定>Endpoints>Web コンテンツフィルター>+ ポリシーの追加を選択します。
名前を指定します。
ブロックするカテゴリを選択します。展開アイコンを使用して、各親カテゴリを完全に展開し、特定の Web コンテンツカテゴリを選択します。
ポリシースコープを指定します。デバイスグループを選択して、ポリシーを適用する場所を指定します。選択したデバイスグループ内のデバイスのみが、選択したカテゴリ内の Web サイトにアクセスできなくなります。

重要

Microsoft 365 Business Premium または Defender for Business を使用している場合は、既定ですべてのユーザーに Web コンテンツフィルターポリシーが適用されます。スコープは適用されません。
概要を確認し、ポリシーを保存します。

注:

ポリシーが作成されてからデバイスに適用されてから最大 2 時間の待機時間が発生する可能性があります。
デバイスグループでカテゴリを選択せずにポリシーを展開できます。このアクションは、ブロックポリシーを作成する前にユーザーの動作を理解するのに役立つ監査専用ポリシーを作成します。
ポリシーを削除するか、同時にデバイスグループを変更する場合は、ポリシーの展開に遅延が発生する可能性があります。
"未分類" カテゴリをブロックすると、予期しない望ましくない結果が発生する可能性があります。

エンドユーザーのエクスペリエンス

サードパーティがサポートするブラウザーのブロッキングエクスペリエンスは、ネットワーク保護によって提供されます。これにより、ブロックされた接続をユーザーに通知するシステムレベルのメッセージが提供されます。より使いやすいブラウザー内エクスペリエンスを実現するために、Microsoft Edge の使用を検討してください。

次のエクスペリエンスは、Microsoft Edge バージョン 124 以降のすべての Web コンテンツフィルターブロックに対して表示されます。

特定の Web サイトを許可する

Web コンテンツフィルター処理でブロックされたカテゴリをオーバーライドして、カスタムインジケーターポリシーを作成して 1 つのサイトを許可することができます。カスタムインジケーターポリシーは、問題のデバイスグループに適用されるときに、Web コンテンツフィルターポリシーに置き換えられます。

カスタムインジケーターを定義するには、次の手順に従います。

Microsoft Defender ポータルで、[設定>Endpoints>Indicators>URL/ドメイン>[アイテムの追加] に移動します。
サイトのドメインを入力します。
ポリシーアクションを [許可] に設定します。

紛争カテゴリ

正しく分類されていないドメインが発生した場合は、Microsoft Defender ポータルから直接カテゴリに異議を唱えることができます。

ドメインのカテゴリに異議を唱える場合は、[ レポート>Web 保護>Web コンテンツフィルタリングカテゴリの詳細>Domains] に移動します。 Web コンテンツフィルターレポートの [ドメイン] タブで、各ドメインの横にある省略記号を見つけます。省略記号の上にマウスポインターを合わせ、[ 紛争カテゴリ] を選択します。

優先度を選択し、再分類の推奨カテゴリなどの詳細を追加できるパネルが開きます。フォームを完了したら、[送信] を選択 します。チームは 1 営業日以内に要求を確認します。すぐにブロックを解除するために、カスタム許可インジケーターを作成します。

Web コンテンツフィルタリングカードと詳細

[ レポート>Web 保護 ] を選択して、Web コンテンツのフィルター処理と Web 脅威保護に関する情報を含むカードを表示します。次のカードは、Web コンテンツのフィルター処理に関する概要情報を提供します。

カテゴリ別の Web アクティビティ

このカードは、アクセス試行回数が最大の増減を持つ親 Web コンテンツカテゴリを一覧表示します。過去 30 日間、3 か月、または 6 か月間の組織内の Web アクティビティパターンの大幅な変化を把握します。詳細を表示するには、カテゴリ名を選択します。

この機能を使用した最初の 30 日間に、組織にこの情報を表示するのに十分なデータがない可能性があります。

Web コンテンツフィルターの概要カード

このカードには、さまざまな親 Web コンテンツカテゴリにわたるブロックされたアクセス試行の分散が表示されます。色付きのバーの 1 つを選択すると、特定の親 Web カテゴリに関する詳細情報が表示されます。

Web アクティビティの概要カード

このカードには、すべての URL 内の Web コンテンツに対する要求の合計数が表示されます。

カードの詳細を表示する

カードのグラフからテーブル行または色付きバーを選択すると、各カードの レポートの詳細 にアクセスできます。各カードのレポートの詳細ページには、Web コンテンツカテゴリ、Web サイトドメイン、デバイスグループに関する広範な統計データが含まれています。

Web カテゴリ: 組織内でアクセス試行を行った Web コンテンツカテゴリを一覧表示します。特定のカテゴリを選択して、概要ポップアップを開きます。
ドメイン: 組織内でアクセスまたはブロックされている Web ドメインを一覧表示します。特定のドメインを選択すると、そのドメインに関する詳細情報が表示されます。
デバイスグループ: 組織内で Web アクティビティが生成されたすべてのデバイスグループを一覧表示します

ページの左上にある時間範囲フィルターを使用して、期間を選択します。また、情報をフィルター処理したり、列をカスタマイズしたりすることもできます。行を選択すると、選択した項目に関する詳細情報が表示されたポップアップウィンドウが開きます。

既知の問題と制限事項

ネットワーク保護では現在、SSL 検査がサポートされていないため、通常はブロックされる Web コンテンツフィルターによって許可されるサイトが存在する可能性があります。 TLS ハンドシェイクが行われた後に暗号化されたトラフィックが可視化されておらず、特定のリダイレクトを解析できないため、サイトは許可されます。これには、一部の Web ベースのメールログインページからメールボックスページへのリダイレクトが含まれます。受け入れられた回避策として、ログインページのカスタムブロックインジケーターを作成して、ユーザーがサイトにアクセスできないようにすることができます。これにより、同じ Web サイトに関連付けられている他のサービスへのアクセスがブロックされる可能性があることに注意してください。