適用対象:
2013 
2016 2019 Subscription Edition SharePoint in Microsoft 365
概要
サイバーセキュリティの状況は、大規模で複雑な攻撃によって証明され、 人間が操作するランサムウェア が増加していることを示すように、根本的に変化しています。 これまで以上に、SharePoint サーバーを含め、オンプレミスのインフラストラクチャをセキュリティで保護し、最新の状態に保つことが重要です。
お客様が環境をセキュリティで保護し、攻撃から関連する脅威に対応できるように、SharePoint Server と Windows マルウェア対策スキャン インターフェイス (AMSI) の統合を導入しています。 AMSIは、アプリケーションやサービスがコンピュータ上に存在するAMSI対応マルウェア対策製品と統合できるようにする汎用性の高い標準です。
AMSI 統合機能は、悪意のある Web 要求が SharePoint エンドポイントに到達するのを防ぐために設計されています。 たとえば、セキュリティの脆弱性の公式修正プログラムがインストールされる前に、SharePoint エンドポイントのセキュリティの脆弱性を悪用する場合などです。
SharePoint Server サブスクリプション エディション (SPSE) バージョン 25H1 以降、AMSI はスキャン機能を拡張して HTTP 要求の本文を含めます。 この要求本文スキャン機能は、要求ペイロードに埋め込まれる可能性がある脅威を検出して軽減するために役立ち、より包括的なセキュリティ ソリューションを提供します。
注:
新しい要求本文スキャン機能は、SharePoint Server サブスクリプション エディションユーザーのみが使用できます。
AMSI と SharePoint Server の統合
AMSI 対応のウイルス対策またはマルウェア対策ソリューションが SharePoint Server と統合されている場合は、サーバーに対して行われた HTTP 要求と HTTPS 要求を調べ、SharePoint Server が危険な要求を処理できないようにすることができます。 サーバーにインストールされている AMSI 対応のウイルス対策プログラムまたはマルウェア対策プログラムは、サーバーが要求の処理を開始するとすぐにスキャンを実行します。
AMSI 統合の目的は、サーバーに既にインストールされている既存のウイルス対策/マルウェア対策防御を置き換えることではありません。これは、SharePoint エンドポイントに対して行われた悪意のある Web 要求からの保護の追加レイヤーを提供することです。 ユーザーがウイルスを含むファイルをアップロードまたはダウンロードできないようにするには、引き続き SharePoint 互換のウイルス対策ソリューションをサーバーに展開する必要があります。
前提条件
AMSI 統合を有効にする前に、各 SharePoint Server で次の前提条件をチェックします。
- Windows Server 2016以上
- SharePoint Server サブスクリプション エディション バージョン 22H2 以降
- SharePoint Server 2019 ビルド 16.0.10396.20000 以降 (KB 5002358: 2023 年 3 月 14 日のSharePoint Server 2019用セキュリティ更新プログラム)
- SharePoint Server 2016 ビルド 16.0.5391.1000 以降 (KB 5002385: SharePoint Server 2016 の 2023 年 4 月 11 日のセキュリティ更新プログラム)
- AV エンジン バージョンが 1.1.18300.4 以降のMicrosoft Defender (または、互換性のある AMSI 対応のサード パーティ製ウイルス対策/マルウェア対策プロバイダー)
SharePoint Server の AMSI をアクティブ化/非アクティブ化する
SharePoint Server 2016/2019 の 2023 年 9 月のセキュリティ更新プログラムと、SharePoint Server サブスクリプション エディションのバージョン 23H2 機能更新プログラム以降、SharePoint Server 内のすべての Web アプリケーションで AMSI と SharePoint Server の統合が既定で有効になります。 この変更は、顧客環境の一般的なセキュリティを強化し、潜在的なセキュリティ侵害を軽減することを目的としています。 ただし、要件に基づいて、お客様は AMSI 統合機能を非アクティブ化するオプションを保持します。
2023 年 9 月のセキュリティ更新プログラムを開始するには、更新プログラムをインストールして SharePoint 製品構成ウィザードを実行するだけで済みます。
注:
お客様が 2023 年 9 月のパブリック更新プログラムのインストールをスキップした場合、この変更は、2023 年 9 月の SharePoint Server 2016/2019 のセキュリティ更新プログラムまたはバージョン 23H2 機能更新プログラムを含む、以降のパブリック更新プログラムのインストール時にアクティブ化SharePoint Server サブスクリプション エディション。
お客様が SharePoint Server ファーム内で AMSI 統合を自動的に有効にしたくない場合は、次の手順を実行できます。
- SharePoint Server 2016/2019 の 2023 年 9 月のセキュリティ更新プログラムまたはバージョン 23H2 機能更新プログラム (SharePoint Server サブスクリプション エディション用) をインストールします。
- SharePoint 製品構成ウィザードを実行します。
- 標準の手順に従って、Web アプリケーションで AMSI 統合機能を無効にします。
これらの手順に従うと、SharePoint は今後のパブリック更新プログラムのインストール中に機能を再度有効にしようとしません。
ユーザー インターフェイスを使用して AMSI を構成する
SharePoint Server 2016/2019 以前のバージョンの SharePoint Server サブスクリプション エディション バージョン 25H1 を使用している場合は、次の手順に従って、各 Web アプリケーションの AMSI 統合を手動で非アクティブ化またはアクティブ化します。
- SharePoint サーバーの全体管理を開き、[アプリケーション管理] を選択します。
- [ Web アプリケーション] で、[ Web アプリケーションの管理] を選択します。
- AMSI 統合を有効にする Web アプリケーションを選択し、ツール バーの [機能の管理 ] を選択します。
- [SharePoint Server マルウェア対策スキャン] 画面で、[非アクティブ化] を選択して AMSI 統合をオフにするか、[アクティブ化] を選択して AMSI 統合をオンにします。
SharePoint Server サブスクリプション エディション バージョン 25H1 機能更新プログラムをインストールした場合は、次の手順に従って AMSI 統合設定をアクティブ化または非アクティブ化し、構成します。
SharePoint サーバーの全体管理を開きます。
[セキュリティ] セクションに移動します。
[ AMSI 構成] を選択します。
[AMSI スキャン構成] ページで、目的の Web アプリケーションを選択します。
次に、適切なオプションを選択して、AMSI スキャン機能を有効または無効にすることができます。
- AMSI スキャンを有効にするには、[ AMSI スキャン機能を有効にする] ボタンを選択します。 これにより、すべての HTTP 要求ヘッダーがスキャンされます。
- スキャンを無効にするには、[ AMSI スキャン機能を完全に無効にする ] ボタンを選択します。
有効にした後、次の使用可能なオプションから、特定の要件に従って要求本文をスキャンするための要求本文スキャン モードを選択します。
- オフ: 本文スキャンを無効にします。 これは、既存のヘッダー スキャン機能には影響しません。
- バランス モード: システム定義済みの機密エンドポイントと、本文スキャンに含まれると指定されているその他のエンドポイントに送信される要求本文をスキャンします。
- フル モード: 明示的に除外されたエンドポイントを除くすべてのエンドポイントに送信される要求本文をスキャンして、公平なセキュリティ保証を維持しながらパフォーマンスを向上させます。
選択したモードに従って、本文スキャンに含める、または除外するエンドポイントを指定し、[ 追加] をクリックします。
エンドポイントに要求 URI パス全体が含まれていることを確認します。 たとえば、
/SitePages/Home.aspxを含めて、http://test.contoso.com/SitePages/Home.aspxやhttp://test.contoso.com/sites/marketing/SitePages/Home.aspxなどの URL をスキャンできるようにします。 URI の構文構造を理解するには、「 Uniform Resource Identifier - Wikipedia」を参照してください。
必要な変更を行った後、[ OK] を 選択して効果的に適用します。
注:
- 各 Web アプリケーションは AMSI 用に個別に構成する必要があり、指定されたエンドポイント の一覧はその Web アプリケーションにのみ適用されます。
- WEB アプリケーションで AMSI が無効になっている場合、アップグレード後も新しいボディ スキャン機能は無効のままです。
- ヘッダー スキャンを有効にしないと、本文スキャンを有効にできません。
- 本文スキャンの既定の構成は、バランス モードです。 SPSE バージョン 25H1 にアップグレードすると、AMSI が有効になっている Web アプリケーションでも、バランス モードでボディ スキャンが有効になります。
PowerShell を使用して AMSI を構成する
または、PowerShell コマンドを使用して、Web アプリケーションの AMSI 統合をアクティブ化または非アクティブ化することもできます。
非アクティブ化するには、次の PowerShell コマンドを実行します。
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
アクティブ化するには、次の PowerShell コマンドを実行します。
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
バージョン 25H1 ビルドSharePoint Server サブスクリプション エディションアップグレードした後、PowerShell を使用して本文スキャン設定を構成することもできます。 本文スキャン モードを設定するには、次のコマンドを実行します。
$webAppUrl = "http://spwfe"
$webApp = Get-SPWebApplication -Identity $webAppUrl
$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full
$webApp.Update() # To save changes
# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes
ターゲット エンドポイントを使用してボディ スキャン モードをバランス モードに設定するには、次のコマンドを実行します。
# Get current list of targeted endpoints
$webApp.AMSITargetedEndpoints
# Add a targeted endpoint
$webApp.AddAMSITargetedEndpoints('/test/page123', 1)
# Get a certain targeted endpoint
$webApp.GetAMSITargetedEndpoint('/test/page123')
# Remove a targeted endpoint
$webApp.RemoveAMSITargetedEndpoints('/test/page123')
# Update the web app object to save changes
$webApp.Update()
除外されたエンドポイントを含む本文スキャン モードをフル モードに設定するには、次のコマンドを実行します。
# Get current list of excluded endpoints
$webApp.AMSIExcludedEndpoints
# Add an excluded endpoint
$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)
# Get a certain excluded endpoint
$webApp.GetAMSIExcludedEndpoint('/test/page123')
# Remove an excluded endpoint
$webApp.RemoveAMSIExcludedEndpoints('test123456')
# Update the web app object to save changes
$webApp.Update()
AMSI と SharePoint Server の統合をテストして確認する
マルウェア対策スキャン インターフェイス (AMSI) 機能をテストして、正しく動作していることを確認できます。 これには、テスト目的Microsoft Defender認識される特別なテスト文字列を使用して SharePoint Server に要求を送信することが含まれます。 このテスト文字列は危険ではありませんが、Microsoft Defenderは悪意のある要求に遭遇したときにどのように動作するかを確認できるように、悪意のあるかのように扱います。
SharePoint Server で AMSI 統合が有効になっていて、Microsoft Defenderをマルウェア検出エンジンとして使用している場合、このテスト文字列が存在すると、要求は SharePoint によって処理されるのではなく、AMSI によってブロックされます。
テスト文字列は EICAR テスト ファイル に似ていますが、URL エンコードの混乱を避けるために若干異なります。
テスト文字列をクエリ文字列または要求の HTTP ヘッダーとして SharePoint Server に追加することで、AMSI 統合をテストできます。
クエリ文字列を使用して AMSI 統合をテストする
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
例: https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h* に要求を送信します。
Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET
HTTP ヘッダーを使用して AMSI 統合をテストする
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
たとえば、次のような要求を送信します。
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defenderは、次の悪用としてこれを検出します。
Exploit:Script/SharePointEicar.A
注:
Microsoft Defender以外のマルウェア検出エンジンを使用している場合は、マルウェア検出エンジンベンダーとチェックして、SharePoint Server の AMSI 機能との統合をテストする最善の方法を決定する必要があります。
その他の参照
プライマリ AMSI ソリューションとしてMicrosoft Defenderを使用した場合のパフォーマンスの影響
既定では、AMSI 対応ソリューションMicrosoft Defenderウイルス対策 (MDAV) は、Windows 10、Windows Server 2016、以降を実行しているエンドポイントとデバイスに自動的に有効になり、インストールされます。 ウイルス対策/マルウェア対策アプリケーションをインストールしていない場合、SharePoint Server AMSI 統合は MDAV と連携します。 別のウイルス対策/マルウェア対策アプリケーションをインストールして有効にすると、MDAV は自動的にオフになります。 他のアプリをアンインストールすると、MDAV は自動的にオンに戻り、SharePoint Server 統合は MDAV と連携します。
SharePoint Server で MDAV を使用する利点は次のとおりです。
- MDAV は、悪意のあるコンテンツに一致する署名をフェッチします。 Microsoft がブロックできる悪用について学習した場合は、新しい MDAV 署名をデプロイして、SharePoint に影響を与える悪用をブロックできます。
- 既存のテクノロジを使用して悪意のあるコンテンツの署名を追加する。
- 署名を追加するために Microsoft のマルウェア調査チームの専門知識を使用する。
- MDAV が他の署名を追加するために既に適用されているベスト プラクティスを使用する。
AMSI スキャンでは CPU リソースが使用されるため、Web アプリケーションにパフォーマンスへの影響が発生する可能性があります。 MDAV でテストした場合、AMSI スキャンによるパフォーマンスへの明確な影響はなく、既存のドキュメントに記載されている SharePoint Server ウイルス対策の除外に対する変更もありません。 各ウイルス対策プロバイダーは、AMSI テクノロジを利用する独自の定義を開発します。 そのため、保護のレベルは、最新の脅威を検出するために特定のソリューションを更新できる速度によって変わりません。
コマンド ラインを使用してバージョンをMicrosoft Defenderする
注:
Microsoft Defenderを使用している場合は、コマンド ラインを使用して、署名を最新バージョンで更新できます。
- 管理者として
Command Promptを起動します。 -
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>に移動します。 -
mpcmdrun.exe -SignatureUpdateを実行します。
これらの手順では、現在のエンジンのバージョン、更新された定義のチェック、レポートを決定します。
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>