情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
ワークショップ

Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視や制限するには?

Microsoft 365
Microsoft Defender for Cloud Apps
情報屋ヤマグチのタレコミ
この記事の内容
Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視や制限を実現するには?

どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。

Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視や制限を実現するには?

Microsoft 製品で、Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視の実現や組織のガバナンス強化を実現していく場合には、EPP、EDR 等のエンドポイントセキュリティ製品についても、Microsoft 製品を構成し、可能であれば、Microsoft Intune で管理頂くのがベストと考えています。

これは、Microsoft 製品は、Microsoft 製品との連携や統合を第一とした様な製品であるため、サードパーティー製品と組み合わせた場合と比較して実現できることが大きく変わってくるためです。

例えば、Microsoft 製品の組み合わせだと、検出されたシャドウ IT の監視から制限迄可能だが、サードパーティー製品だとできない、組織内のネットワークだと監視できるけど、社外だと監視されない等の違いがあります。

Microsoft Defender for Cloud Appsには、アプリコネクター、ログコネクター、アクセス制御の機能があります。クラウドアプリ、EDR(Microsoft Defender for Endpoint P2)、EPP(Microsoft Defender ウイルス対策)と連携してこれらの機能を実現します。

❶アプリコネクターの設定
エンタープライズ系のクラウドアプリ(Google Workspace, Salesforce, box, DropboxやSharePoint, OneDrive, Azure Active Directoryなど)については、アプリコネクターの設定を行い、各クラウドアプリでのユーザーおよび管理アクティビティを可視化します。

※管理アクティビティ:ユーザーやグループを作成した、変更した、削除したといった管理者での操作。

※ユーザーアクティビティ:ユーザーでのクラウドアプリへのサインイン、サインアウト。ファイルの作成、変更、削除等のクラウドアプリ上での操作。

❷シャドウ IT の監視(ログコネクターの有効化)
MDE(Microsoft Defender for Endpoint)の MDA(Microsoft Defender for Cloud Apps)連携機能を有効化し、ログコネクターとして動作させ、ユーザーが Windows 上で、アクセスしたクラウドアプリの利用状況を可視化します。

※MDE 機能を利用した macOS のログの収集については、将来的に機能実装の予定はありますが、現時点では、プレビューの提供も無い状況です。

※ネットワーク機器、SWG (Secure Web Gateway)をログコネクターとして、利用することも可能です。

❸アラート監視やガバナンスアクションの調整
❶および❷にて、可視化されたユーザーや管理アクティビティを元にアラートポリシーやガバナンスアクションを調整します。取り急ぎ、❹のシャドウ IT 監視を先行で監視するといった進め方も考えられます。

❹シャドウ IT の制限の実現  ※併せてカテゴリーベースのWebサイトのフィルターも実現
Microsoft Defender for Cloud Apps と Microsoft Defender for Endpoint P2 および Microsoft Defender ウイルス対策の機能を組み合わせ、シャドウ IT への制限を開始します。

①危険なサイトや特定カテゴリーへのアクセスの制限については、Microsoft Defender for Endpoint P2 の Web コンテンツフィルターで制限を行います。

②ユーザーが新たにアクセスしたクラウドアプリについては、アラートポリシーにて管理者に通知を行い "承認された" アプリなのか、"承認されていない" アプリかを判断します。組織の運用ルールによっては、検出時に "承認されていない" アプリとして、自動的に設定することも可能です。

③①または、②でユーザーが利用できないクラウドアプリとして判定されたクラウドアプリについては、Microsoft Defender ウイルス対策のネットワーク保護機能でアクセス制限を行います。
アクセス制限については、Microsoft Edge 以外の Google Chrome 等でも制限を行うことが可能ですが、Web ブラウザーの警告画面や Windows のアクションセンターへの通知等の動作の違いが生じます。

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード
山口 泰志

山口 泰志(やまぐち たいし)

  • 出身:福岡生まれ、佐賀育ち
  • Motto:しっかり考えて、やるべきことは、直ぐにやる!

Microsoft Top Partner Engineer Award 2023年、2024年受賞
弊社グループ全体における Microsoft 365 の技術主導者。
中堅・中小企業様向けには、日々、
Microsoft 365を中心とした技術情報を ソフクリ365倶楽部 で発信。

情報屋ヤマグチをもっと知る!
経歴
~2016年
中⼩SIer、フリーランスエンジニア、⼤規模SIer等での経験を経て、2016年にソフトクリエイトに⼊社しました。
ソフトクリエイト⼊社後
AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、⾃分の発案でMicrosoft 365サービスの企画、⽴上げを⾏った後に、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導⼊を主導しました。
現在
Microsoft 365の技術を中⼼に最新のテクノロジーや使い⽅を内外に発信したり、勉強会・トレーニング講師、新サービス⽴案、⽴上げとかの仕事をしています。
人気記事
趣味
散歩、登⼭、ロードバイク、旅⾏とかで、
外に出かけて、⾝体を動かすものが多いです
最近行って良かった所

この数年は、海外にも行くようになり、各国の文化や風土の違いを感じる経験ができるようになりました。

Seattle
Microsoft本社、ウォーターフロント、ワシントン大学、カロリー増々な食事
台湾
故宮博物院、台北101、九分のジブリ風な街並み、猫村として有名な猴硐(ホウトン)、気球や十分瀑布で有名な十分、各地域の夜市を中心としたグルメ
心掛けていること
現在の世の中では、エンジニアが何かを作れたり、運⽤できたりでは⾜りず、⾊々な視点で、考え、語り、発信できる様になる必要があると考えています。この様な活動のモデルとして、働き⽅と、テクノロジーの両⾯で、お客様、組織をリードできる様な⼈になれるように⽇々チャレンジすることを⼼掛けています。
最後に一言
テレワーク、社内のインフラ運⽤、セキュリティの維持対応、DX、AI等々、組織の情報システム部に求められる役割は、⽇々増⼤しています。この様な、時代の進歩の早い世の中で、皆様と⼀緒に⾼めあったり、課題を解決できるような関係を作っていきたいと考えていますので、どうぞよろしく!
生成AIが解る!!seminar開催中!