はじめに
本記事はゼットスケーラー株式会社としてはAdvent Calender 2024の一つとして投稿しています。以下の免責事項をご理解の上、記事を読んで頂けると幸いです。
免責事項
本記事のコンテンツや情報において、可能な限り正確な情報を掲載するよう努めておりますが、 誤情報が入り込んだり、情報が古くなったりすることもあり、必ずしもその内容の正確性および完全性を保証するものではございません。そのため、本記事をエビデンスとしたゼットスケーラーへの問い合わせなどはご対応致しかねることをご理解頂けると幸いです。掲載内容はあくまで個人の意見であり、ゼットスケーラーの立場、戦略、意見を代表するものではありません。当該情報に基づいて被ったいかなる損害について、一切責任を負うものではございませんのであらかじめご了承ください。
テナント制御とは
近年、多くの企業がMicrosoft 365を採用し、ビジネスプロセスの効率化を図っています。一方で、クラウドサービスの広がりに伴い、アクセス制御やデータ損失リスクへの対策が企業にとって重要な課題となっています。テナント制限は、Microsoft 365などのマルチテナント型クラウドサービスで、特定のテナント(企業や組織)のみへのアクセスを許可するための制御機能です。
テナント制御により、以下のようなリスクを低減できます:
・データ漏洩の防止:正規のユーザーが個人アカウントや外部テナントにデータを移動させるリスクを防ぎます。
・シャドーITの抑制:未承認のテナントやサービスへのアクセスをブロックします。
・規制遵守:GDPRやCCPAなどのデータプライバシー規制に適合する運用が可能になります。
この記事では、Microsoft を例にして、「テナント制限」の設定方法を紹介します。
Step1:Office 365 One Click Configurationの有効化
Microsoftは、エンドユーザーのOffice 365トラフィックをProxy経由せず、透過的にMicrosoftのクラウドに転送することが強く推奨されています。ZscalerはすべてのOffice365アプリケーションを識別し、カスタム設定なしでOffice365トラフィックをバイパスすることが可能です。さらに、このバイパスリストはZscalerによって常に最新の状態に保たれるため、お客様側で管理する労力は必要ありません。
Microsoft推奨のOffice 365 One Click Configurationオプションを有効にするには:
1.Policy > URL & Cloud App Controlをクリック
2.Advanced Policy Settings タブをクリック
3.Enable Microsoft-Recommended One Click Office 365 Configurationを選択
4.Saveをクリックして変更を反映する
Step2:Microsoft Login Services用のSSL検査ルールの作成
SSL検査ポリシーは上から下の順に評価されるため、Microsoft One Clickルールの上にOneDriveおよび SharePoint用のカスタムルールを作成する必要があります。
1.Policy > SSL Inspectionに移動する
2.Microsoft推奨のOffice 365 One Clickルールの順序を確認する
3.以下のマッチ条件でルールを作成する:
a.マイクロソフト推奨のOffice 365 One Clickルールより上
b.適切な説明を含む任意の名前(例:Inspect Microsoft Login Servicesなど)
c.Rule Status: Enabled
d.Cloud Applications: Microsoft Login Services
e.Action: Inspect
f.Block Undecryptable Traffic: Enabled
g.Minimum TLS Version: TLS 1.2.
4.Saveをクリックして変更を反映する
Step3:Microsoft Login ServicesがSSL検査されていることを確認
ユーザートラフィックはいくつかの方法でZIAに転送することができます。このセクションでは、Zscaler Client Connector(ZCC)を使用してインターネットトラフィックをZscalerクラウドに転送することを想定しています。メインとなる検証ステップは他の転送方法であっても変わりませんが、ポリシーを適用する前にトラフィックがZIAに到達していることが最も重要です。Microsoft Login Servicesトラフィックが検査されることを確認します。
1.ユーザーがZIAにログインし、サービスが有効であることを確認する
2.Office 365 のウェブページを開き、サービスにログインする
3.通信の安全性を確保するために使用される証明書の発行者を検証する
a.Firefoxの場合:
i.URLフィールドの近くにあるロックマークをクリック
ii.Connection Secureをクリック
iii.Zscaler Inc.(またはカスタム PKI を使用している場合は信頼できる CA)が検証機関としてリストされていることを確認
b.Chromeの場合:
i.URLフィールド近くのオプションマークをクリック
ii.Connection is secureをクリック
iii.Certificate is validをクリック
iv.Zscaler Inc.(またはカスタムPKIが使用されている場合は信頼できるCA)がIssued By フィールドに表示されていることを確認する
4.アクティビティが適切に記録されたことを確認する
a.Analytics > Web Insightsへ行き、 Logsを選択
b.適切な時間枠を選択し、フィルタを追加: Cloud Application = Microsoft Login Services
c.Apply Filtersをクリック
d.SSL Inspected列がYesになっていることを確認する
Step4:Microsoft Login Services の Cloud App Control Policy に作成
Cloud App Control Policyは、手動または事前に作成されたURLのカテゴリに依存する代わりに、事前に定義されたサポートされるクラウドアプリケーションの特定属性に基づいてポリシーを作成する機能を提供します。Microsoft Login Services用のCloud App Control Policyルールを作成します。
1.Administration > Tenant Profiles に進む
2.以下の一致条件でテナントプロファイルを作成:
a.Tenant Profile Name: 分かりやすい名前 (例: Corporate MSFT Tenant)
b.Tenant Directory ID: Microsoft Entra ID,Entraテナントのプロパティを参照
c.Office 365 Tenants or Tenant IDs: Microsoft テナントに関連付けられたドメイン名
d.Allow Personal Office 365 Domains: No.
3.Saveをクリック
4.Policy > URL & Cloud App Controlに進み、Cloud App Control Policyを選択
5.IT ServicesルールをAdd:
a.Rule Order: Microsoft推奨のOffice 365 One Clickルールの上(例:2番目)
b.Rule Name: 適切な説明を含む任意の名前 (例: Tenant Restriction MSFT)
c.Rule Status: Enabled
d.Cloud Applications: Microsoft Login Services
e.Action: Allow
f.Tenant Profile: ステップ2で作成したプロファイル (例: Corporate MSFT Tenant)
6.Saveをクリックして変更を反映する
Step5: Microsoft Login Servicesのテナント制限が適用されていることを確認
この例では、テナント制限をテストするアプリケーションの例としてMicrosoft OneDriveを使用しています。これは、OneDriveがアプリケーションの個人インスタンスと企業インスタンスの両方の認証にMicrosoft Login Servicesを使用しているためです。Microsoft Login Servicesのテナント制限が実施されていることを確認します。
1.ユーザーがZIAにログインし、サービスが有効であることを確認する
2.個人アカウントが適切にブロックされていることを確認する
a.Office 365 のウェブページを開き、サービスにログインする
b.認証が成功した後、「Your network administrator has blocked access」というエラーメッセージが表示される
3.企業アカウントがまだ利用可能であることを確認する:
a.Office 365 のウェブページを開き、サービスにログインする
b.認証が成功すると、Office 365のホームページが表示される
4.アクティビティが適切に記録されたことを確認する
a.Analytics > Web Insightsへ行き、 Logsを選択
b.適切な時間枠を選択し、フィルタを追加: Cloud Application = Microsoft Login Services
c.Apply Filtersをクリック
d.該当するログイン試行に対して、エントリのPolicy Actionが「Blocked – Tenant Restricted」になっていることを確認
まとめ
テナント制御は、クラウド利用時のデータ損失リスクを低減するための重要な手法です。Zscalerのゼロトラストアーキテクチャを活用することで、柔軟かつ効果的なアクセス制御を実現し、企業のセキュリティ体制を強化できます。また、Zscalerでは他にも多様なデータ保護ソリューションを提供しています。弊社のYouTubeチャンネルでご紹介していますので、ぜひご覧ください。
制御編
運用編