どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
日々、クラウドサービスが山の筍が如く、にょきにょきと生まれている訳ですが、この世界的に、SaaS 利用が加速する世の中においては、このシャドウ IT に対するセキュリティ確保も組織として重要となっています。
この組織的な課題に対応するための製品カテゴリーとして、「CASB(Cloud Access Security Broker」となり、このカテゴリーをガートナーが提唱して、10年が過ぎた様な状況です。
CASB製品の多くでは、以下の4つの機能を提供していまして、ユーザーでのクラウドサービスの利用にあたる状況の可視化や監査、保護という視点で、製品が開発、強化されている様な状況となります。
❶可視化(Rediscover)
社内ユーザーがどのような SaaS を使っているのかを IT 管理者が監視できるようにする。
❷データ保護(Data Loss Prevention)
アクセス権限の逸脱や機密情報の持ち出しをチェック/ブロックする。
❸監査(Compliance)
セキュリティに関する基準やポリシーを満たしていることを監査する。
❹脅威防御(Threat Protection)
セキュリティ脅威の検出/分析や防御を行う。
Microsoft Defender for Cloud Apps とは?
このCASBカテゴリーに該当する Microsoft 製品が Microsoft Defender for Cloud Apps となります。
Microsoft Defender for Cloud Apps は、クラウドアクセスセキュリティブローカー(CASB)を一段と強化し、多機能の可視性、データの完全な制御、およびクラウドアプリを安全に保つために必要な最も高度な分析を提供します。
1.ユーザーの利用パターンを調査し、25,000を超える SaaS アプリのリスクレベルを評価。
2.クラウド内のどこにいても機密情報を理解、分類、保護。
3.自動化されたプロセスを活用して、すべてのクラウドアプリにリアルタイムの制御。
4.サイバー脅威、異常な動作、侵害されたユーザー、不正なアプリから保護。
5.アプリが関連する規制コンプライアンス要件と業界標準を満たしていることを確認。
6.非準拠のアプリへのデータ漏洩を防ぎ、機密性の高い企業データへのアクセスを制限。
❶クラウドアプリ(エンタープライズ)のアクティビティの監視
・アクティビティ(管理・ユーザー)
・ファイルアクティビティ
❷シャドウ IT の監視
・組織的に許可していないクラウドアプリの非承認操作
・ユーザーからの対象クラウドアプリへのアクセス時のアクセスブロック
❸ガバナンス強化
・利用しているクラウドアプリのセキュリティスコアの確認
・ユーザーの特定操作へのアラート送信
・ユーザーが問題行為を行った場合の自動対処
❹条件付きアクセスとセッションポリシーを利用した特定操作の制限
・条件付きアクセスのポリシーで、"アプリの条件付きアクセス制御を使う"を有効化
・クラウドアプリへの監視開始
・個人 PC の Web ブラウザーでのダウンロード操作のブロック
・個人 PC の Web ブラウザーでのコピー&カット操作のブロック
・個人 PC の Web ブラウザーでの印刷行為のブロック
Microsoft Defender for Cloud Apps は、単体で CASB として求められる機能を実現することは無く、以下の様な各サービスと連携させることで、CASB としての機能を実現させることになります。
1.Microsoft Defender for Cloud Apps + Office 365, Google Workspace,Box 等のエンタープライズなクラウドアプリ
→ エンタープライズなクラウドアプリの監査やガバナンスの強化
2.Microsoft Defender for Cloud Apps + Microsoft Defender for Endpoint P2
→ シャドウ IT の監視や制限
3.ゲートウェイセキュリティ製品(Zscaler, IBOS, FortiGate, i-FILTER 等)
→ シャドウ IT の監視や制限
<関連するライセンスや契約>
- Microsoft Defender for Cloud Apps 単体または、含むライセンス Microsoft 365 E5, EMS E5 等
- Office 365 の SharePoint Online や OneDrive for Business を利用できるサービス。
例) Microsoft 365 BS / BP, Office 365 E3 / E5, Microsoft 365 F3 / E3 / E5 - クラウドアプリのアクティビティを可視化する場合には、連携するクラウドアプリ側のエンタープライズ契約