情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

Microsoft Defender for Cloud Apps とは?

Microsoft 365
Microsoft Defender for Cloud Apps
情報屋ヤマグチのタレコミ
この記事の内容
Microsoft Defender for Cloud Apps とは?

どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。

日々、クラウドサービスが山の筍が如く、にょきにょきと生まれている訳ですが、この世界的に、SaaS 利用が加速する世の中においては、このシャドウ IT に対するセキュリティ確保も組織として重要となっています。

この組織的な課題に対応するための製品カテゴリーとして、「CASB(Cloud Access Security Broker」となり、このカテゴリーをガートナーが提唱して、10年が過ぎた様な状況です。

CASB製品の多くでは、以下の4つの機能を提供していまして、ユーザーでのクラウドサービスの利用にあたる状況の可視化や監査、保護という視点で、製品が開発、強化されている様な状況となります。

❶可視化(Rediscover)
社内ユーザーがどのような SaaS を使っているのかを IT 管理者が監視できるようにする。

❷データ保護(Data Loss Prevention)
アクセス権限の逸脱や機密情報の持ち出しをチェック/ブロックする。

❸監査(Compliance)
セキュリティに関する基準やポリシーを満たしていることを監査する。

❹脅威防御(Threat Protection)
セキュリティ脅威の検出/分析や防御を行う。

Microsoft Defender for Cloud Apps とは?

このCASBカテゴリーに該当する Microsoft 製品が Microsoft Defender for Cloud Apps となります。

Microsoft Defender for Cloud Apps は、クラウドアクセスセキュリティブローカー(CASB)を一段と強化し、多機能の可視性、データの完全な制御、およびクラウドアプリを安全に保つために必要な最も高度な分析を提供します。

最も高度な分析を提供

1.ユーザーの利用パターンを調査し、25,000を超える SaaS アプリのリスクレベルを評価。

2.クラウド内のどこにいても機密情報を理解、分類、保護。

3.自動化されたプロセスを活用して、すべてのクラウドアプリにリアルタイムの制御。

4.サイバー脅威、異常な動作、侵害されたユーザー、不正なアプリから保護。

5.アプリが関連する規制コンプライアンス要件と業界標準を満たしていることを確認。

6.非準拠のアプリへのデータ漏洩を防ぎ、機密性の高い企業データへのアクセスを制限。

アクセスを制限

❶クラウドアプリ(エンタープライズ)のアクティビティの監視

・アクティビティ(管理・ユーザー)

アクティビティ

・ファイルアクティビティ

ファイルアクティビティ

❷シャドウ IT の監視

・組織的に許可していないクラウドアプリの非承認操作

非承認操作

・ユーザーからの対象クラウドアプリへのアクセス時のアクセスブロック

アクセスブロック

❸ガバナンス強化

・利用しているクラウドアプリのセキュリティスコアの確認

セキュリティスコア

・ユーザーの特定操作へのアラート送信

アラート送信

・ユーザーが問題行為を行った場合の自動対処

自動対処

❹条件付きアクセスとセッションポリシーを利用した特定操作の制限

・条件付きアクセスのポリシーで、"アプリの条件付きアクセス制御を使う"を有効化

条件付きアクセス

・クラウドアプリへの監視開始

クラウドアプリへの監視

・個人 PC の Web ブラウザーでのダウンロード操作のブロック

ダウンロード操作のブロック

・個人 PC の Web ブラウザーでのコピー&カット操作のブロック

コピー&カット操作のブロック

・個人 PC の Web ブラウザーでの印刷行為のブロック

印刷行為のブロック

Microsoft Defender for Cloud Apps は、単体で CASB として求められる機能を実現することは無く、以下の様な各サービスと連携させることで、CASB としての機能を実現させることになります。

1.Microsoft Defender for Cloud Apps + Office 365, Google Workspace,Box 等のエンタープライズなクラウドアプリ
→ エンタープライズなクラウドアプリの監査やガバナンスの強化

2.Microsoft Defender for Cloud Apps + Microsoft Defender for Endpoint P2
→ シャドウ IT の監視や制限

3.ゲートウェイセキュリティ製品(Zscaler, IBOS, FortiGate, i-FILTER 等)
→ シャドウ IT の監視や制限

<関連するライセンスや契約>

  • Microsoft Defender for Cloud Apps 単体または、含むライセンス Microsoft 365 E5, EMS E5 等
  • Office 365 の SharePoint Online や OneDrive for Business を利用できるサービス。
    例) Microsoft 365 BS / BP, Office 365 E3 / E5, Microsoft 365 F3 / E3 / E5
  • クラウドアプリのアクティビティを可視化する場合には、連携するクラウドアプリ側のエンタープライズ契約
※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード

山口 泰志(やまぐち たいし)氏

※ 本投稿は、ソフクリ365倶楽部のTeams投稿した内容を再編したものです。 ソフクリ365倶楽部は こちら

■著者紹介■

山口 泰志(やまぐち たいし) 氏
埼玉県在住 出身: 福岡県だが、育ちは佐賀県

中小Sier、フリーランスエンジニア、大規模Sier等での経験を経て、2016年にソフトクリエイトに入社、AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、自らMicrosoft 365 サービスの企画、立上げ後、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導入を主導。

現在、Microsoft 365を中心としたテクノロジーをソフクリ365倶楽部で発信しながら、グループ全体のMicrosoft テクノロジーにて主導的な役割を担う。

趣味は、登山、ロードバイクを中心にアクティブ。しっかり考えて、やるべきことは、直ぐにやるがmotto。

山口をもっと知りたい!方は こちら