Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Appsは、深い可視性、強力なデータ制御、強化された脅威保護をクラウド アプリに提供する包括的なクロス SaaS ソリューションです。 このサービスを使用すると、使用中のクラウド アプリを検出することで、シャドウ IT を可視化できます。 アプリをサービスに承認すると、アプリ内のデータを制御および保護できます。
Office 365 Cloud App Security
Office 365 Cloud App Securityは、Office 365の可視性と制御を強化するMicrosoft Defender for Cloud Appsのサブセットです。
Office 365 Cloud App Securityには、ユーザー アクティビティ ログに基づく脅威検出、Office 365オファリングと同様の機能を持つアプリのシャドウ IT の検出、Office 365へのアプリのアクセス許可の制御、アクセスとセッション制御の適用が含まれます。 Office 365 Cloud App Securityは、Microsoft Defender for Cloud Appsのすべての機能にアクセスできますが、Office 365 アプリ コネクタのみをサポートします。
Defender for Cloud Apps — 単なるセキュリティ ツールではありません。
Microsoft Defender for Cloud Apps(別名Microsoft Cloud Apps Security)は非常に強力なツールです。しかし、多くの管理者は、これを「Microsoft Security」製品の1つに過ぎないと考えています。Microsoft 365 E5ライセンスを取得したプロジェクトでDefender for Cloud Appsを使用した結果、スタンドアロン製品として購入しても、手頃な価格で便利かつ強力なツールであることを実感しました。Defender for Cloud Appsは、主要なMicrosoft 365アプリ(Exchange Online、SharePoint Online、OneDrive、Teamsなど)だけでなく、一部のサードパーティ製アプリも監視および制限を適用し、情報漏洩を防ぐための制限を設けつつ、ブラウザーからのアプリアクセスを許可します。
クラウドアプリ向けDefenderの主な機能
Defender for Cloud Apps には、次の 3 つの主要機能が含まれています。
- 検出 - さまざまなソースからキャプチャされたネットワーク アクセス ログを分析し、クラウド アプリケーションの使用状況に関するレポートを生成します。
- 監視 – コネクタを介して監査/アクティビティログを収集し、サポートされているクラウドアプリで誰が、いつ、何が起こったかに関する洞察を提供します。この機能を使用するには、ログをDefender for Cloud Appsに接続するためのコネクタが必要です。
- 適用 – 定義されたポリシーに基づいてブロックまたは制限を適用し、企業データへの不正アクセスを防止します。この機能を使用するには、セッション監視を有効にし、指定されたクラウドアプリのCASB(クラウドアクセスセキュリティブローカー)としてDefender for Cloud Appsを使用する必要があります。
Defender for Cloud AppsはMicrosoft 365製品と連携して動作します。ただし、サードパーティ製アプリと連携してDefender for Cloud Appsを使用する場合、若干の複雑な点があります。特に監視と適用機能について、その点についてご説明いたします。
サードパーティのSaaSアプリのサポート
Defender for Cloud Apps で SaaS アプリを監視するには、コネクタが必要です。Microsoft は幅広いコネクタを提供しています。まず、使用するアプリを選択し、アプリへの接続に必要な資格情報を入力します。この記事では、Salesforce を例として使用します(図 1)。
各アプリには独自の要件があります。Salesforceの場合は、次の要件を満たす必要があります。
- Defender for Cloud Apps で監視する Salesforce インスタンスの表示名を指定します。設定画面にリダイレクトされます。
- Salesforceの設定を行い、必要なライセンスがあることを確認してください。Salesforceへの接続に必要な手順については、オンラインでご確認ください。
アプリに接続すると、Defender for Cloud Apps は次のような情報を自動的に収集します。
- ユーザー
- グループ
- ファイル
- アクティビティ/監査ログ
Salesforce や Slack などの一部のアプリには、コネクタが特定の価格プランでのみ利用可能な一部の機能にアクセスする必要があるため、特定のライセンス要件があります。
アプリの設定が完了すると、Defender for Cloud Apps は自動的にユーザーアクティビティ情報の収集を開始し、アクティビティログにアクティビティが表示されます。この時点で、不満を抱えた従業員が会社のデータをすべて削除しようとしたり、外部のエージェントが会社のファイルを盗もうとしたりするなど、潜在的なセキュリティリスクを検出するためのポリシーを設定できます。アラートにより、このような攻撃から迅速に防御することができます。
図2は、1分間に50個を超える固有のファイルをダウンロードするユーザーを検出するセキュリティポリシーを示しています(これはMicrosoft提供のテンプレートに基づいています)。Defenderが違反を検出すると、Azure ADはユーザーに再度サインインを強制し、管理者が追加のアクションが必要かどうかを判断できるようにアラートを生成します。
Defender が危険なアクティビティを検出し、フラグを付けた場合、いくつかの修復手順が利用可能です。上記の例では、ポリシーによってダウンロードするファイルの数が多すぎることが検出された場合、ユーザーは再度サインインする必要があります。違反が深刻な場合、または何らかの理由で必要と思われる場合は、ユーザーを永久に停止するようにポリシーを設定できます。
ファイル監視を有効にする
ファイル監視はデフォルト設定ではありません。Defender for Cloud Appsでファイル監視を有効にすることをお勧めします(図3)。ファイル監視によって得られるデータインサイトは非常に貴重であり、ライセンス料金に含まれているためです。
ファイル監視を有効にすると、ファイルを検索し、誰がいつアクセスしたかを確認できます。これにより、管理者はSaaSアプリの調査と監視を容易に行うことができます。図4は、ファイル監視を有効にした後にMicrosoft 365とSalesforceから収集されたデータの例を示しています。共同作業者、所有者、機密ラベルなどの収集された情報を確認できます。
セッションの監視と強制
Defender for Cloud Apps のもう一つの重要な機能は、クラウドアプリセキュリティブラウザ(CASB)です。技術的には、CASB はあらゆる SaaS アプリで動作し、使用前にコネクタを設定する必要はありません。CASB は基本的に、SaaS アプリの手前に位置する大規模なリバースプロキシサーバーです。ユーザーと SaaS アプリ間のすべての送受信トラフィックを制御および監視するのに役立ちます。
SaaS アプリで CASB を有効にするには、 Defender for Cloud Apps またはAzure ADを使用して SaaS アプリのシングル サインオン (SSO)を構成する必要があります。既に多くのユーザーが SSO に Azure AD を使用している可能性があるため、Azure AD を使用することをお勧めします。Azure AD で SSO を設定するには、セッション監視をトリガーする条件付きアクセス ポリシーを構成する必要があります。Azure AD は、ユーザーを認証した後、セッションを SaaS アプリではなく Defender for Cloud Apps に渡します。条件付きアクセスを使用するには、Azure AD Premium P1 が必要です。ただし、そのライセンスをお持ちでなく、MCAS ライセンスのみを購入した場合は、MCAS を使用してセッション監視を有効にすることを選択できます。
条件付きアクセスポリシーを構成するときは、[カスタム ポリシー] (図 5) を選択することをお勧めします。こうすることで、ここで監視対象を選択する必要がなくなり、Defender for Cloud Apps がアクセスを監視するタイミングを管理できるようになります。[カスタム] を使用する代わりに、[ダウンロードをブロック] や [監視のみ] などの定義済みポリシーを使用することもできますが、後で問題が発生した場合に一部のアプリが CASB 機能を使用することを阻止できなくなります。たとえば、CASB 機能により、モバイル ユーザー向けの SaaS アプリの一部が動作しなくなります。このバグが発生した場合、Microsoft が修正プログラムを提供するまで、特定の条件下で CASB 機能がモバイル デバイスに適用されないようにする必要があります。これは、Defender for Cloud Apps のセッション ポリシーを使用する場合に限り実行でき、条件付きアクセス ポリシーでは実行できません。
条件付きアクセスポリシーを有効にすると、SaaS アプリが Defender for Cloud Apps に表示されます(図 6)。「利用可能なコントロール」列を使用して、アプリごとにセッション制御を有効にするかどうかを制御します。条件付きアクセスを使用しない場合は、アプリを手動で追加し、Defender for Cloud Apps で SSO を構成する必要があります。これは複雑な作業になる可能性があるため、条件付きアクセスポリシーの実装をお勧めします。
SaaS アプリレベルで SSO を有効にし、Defender for Cloud Apps でセッション制御を設定すると、ユーザーが SaaS アプリにサインインする際に、変更された接続画面が表示されるようになります (図 7)。この場合、Salesforce のすべてのクライアントブラウザトラフィックが Defender for Cloud Apps によって監視されています。監視が機能していることはどのようにしてわかるのでしょうか? 簡単です!トラフィックが Defender を通過するため、すべての URL が *.mcas.ms に変更されます。
Defenderがアプリを監視していることを確認したら、ポリシーを有効にしてアクセス制御を監視および適用できます。Defender for Cloud Appsには、組織がポリシーを作成するのに役立つテンプレートがいくつか用意されています。脅威やマルウェアからの保護、または情報漏洩対策から始めるのが良いでしょう。図8は、ファイルアクセス状況を監視するファイルポリシーの作成方法を示しています。
問題
すべてが完璧でシンプルに見えますよね?残念ながら、そうではありません。コネクタベースの監視機能を設定するだけで、Microsoftがすべてのコネクタをテストしているため、問題はほとんど発生しないでしょう。しかし、コネクタを設定しようとすると、依然としていくつかの小さな問題に遭遇します。多くの場合、これらの問題はSaaSアプリのライセンス(ワークスペースに監査APIがないためSlackを設定できない、SalesforceコネクタがAPI呼び出し経由で特定のデータを収集できないなど)に関連しています。
最も難しい機能設定はセッション監視(CASB)です。URLを監視して書き込み、ユーザーに返されるHTMLを変更するため、監視が機能しなくなる状況に遭遇したことがあります。具体的には以下のようなケースです。
- Salesforce Webアプリの機能
- モバイルアプリにサインインできない
これらは、Defender for Cloud Apps の設定時に発生する問題のほんの一部です。ここで重要なのは、セッションポリシーを使用して制限を適用する場合は、特にサードパーティ製アプリでは必ずしも機能しない可能性があるため、徹底的なテストを行う必要があるということです。場合によっては、Microsoft にサポートケースを開いて「バックエンド設定」の確認と変更を依頼し、問題を解決する必要がある場合があります。
そうは言っても、Defender for Cloud Apps は、非常に手頃なコストで最も人気のある SaaS アプリ全体のセキュリティ ポリシーを監視および適用するのに役立つ強力なツールです。