どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視や制限を実現するには?
Microsoft 製品で、Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視の実現や組織のガバナンス強化を実現していく場合には、EPP、EDR 等のエンドポイントセキュリティ製品についても、Microsoft 製品を構成し、可能であれば、Microsoft Intune で管理頂くのがベストと考えています。
これは、Microsoft 製品は、Microsoft 製品との連携や統合を第一とした様な製品であるため、サードパーティー製品と組み合わせた場合と比較して実現できることが大きく変わってくるためです。
例えば、Microsoft 製品の組み合わせだと、検出されたシャドウ IT の監視から制限迄可能だが、サードパーティー製品だとできない、組織内のネットワークだと監視できるけど、社外だと監視されない等の違いがあります。
❶アプリコネクターの設定
エンタープライズ系のクラウドアプリ(Google Workspace, Salesforce, box, DropboxやSharePoint, OneDrive, Azure Active Directoryなど)については、アプリコネクターの設定を行い、各クラウドアプリでのユーザーおよび管理アクティビティを可視化します。
※管理アクティビティ:ユーザーやグループを作成した、変更した、削除したといった管理者での操作。
※ユーザーアクティビティ:ユーザーでのクラウドアプリへのサインイン、サインアウト。ファイルの作成、変更、削除等のクラウドアプリ上での操作。
❷シャドウ IT の監視(ログコネクターの有効化)
MDE(Microsoft Defender for Endpoint)の MDA(Microsoft Defender for Cloud Apps)連携機能を有効化し、ログコネクターとして動作させ、ユーザーが Windows 上で、アクセスしたクラウドアプリの利用状況を可視化します。
※MDE 機能を利用した macOS のログの収集については、将来的に機能実装の予定はありますが、現時点では、プレビューの提供も無い状況です。
※ネットワーク機器、SWG (Secure Web Gateway)をログコネクターとして、利用することも可能です。
❸アラート監視やガバナンスアクションの調整
❶および❷にて、可視化されたユーザーや管理アクティビティを元にアラートポリシーやガバナンスアクションを調整します。取り急ぎ、❹のシャドウ IT 監視を先行で監視するといった進め方も考えられます。
❹シャドウ IT の制限の実現 ※併せてカテゴリーベースのWebサイトのフィルターも実現
Microsoft Defender for Cloud Apps と Microsoft Defender for Endpoint P2 および Microsoft Defender ウイルス対策の機能を組み合わせ、シャドウ IT への制限を開始します。
①危険なサイトや特定カテゴリーへのアクセスの制限については、Microsoft Defender for Endpoint P2 の Web コンテンツフィルターで制限を行います。
②ユーザーが新たにアクセスしたクラウドアプリについては、アラートポリシーにて管理者に通知を行い "承認された" アプリなのか、"承認されていない" アプリかを判断します。組織の運用ルールによっては、検出時に "承認されていない" アプリとして、自動的に設定することも可能です。
③①または、②でユーザーが利用できないクラウドアプリとして判定されたクラウドアプリについては、Microsoft Defender ウイルス対策のネットワーク保護機能でアクセス制限を行います。
アクセス制限については、Microsoft Edge 以外の Google Chrome 等でも制限を行うことが可能ですが、Web ブラウザーの警告画面や Windows のアクションセンターへの通知等の動作の違いが生じます。