情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視や制限するには?

Microsoft 365
Microsoft Defender for Cloud Apps
情報屋ヤマグチのタレコミ
この記事の内容
Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視や制限を実現するには?

どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。

Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視や制限を実現するには?

Microsoft 製品で、Microsoft Defender for Cloud Apps (CASB)を導入し、シャドウ IT 監視の実現や組織のガバナンス強化を実現していく場合には、EPP、EDR 等のエンドポイントセキュリティ製品についても、Microsoft 製品を構成し、可能であれば、Microsoft Intune で管理頂くのがベストと考えています。

これは、Microsoft 製品は、Microsoft 製品との連携や統合を第一とした様な製品であるため、サードパーティー製品と組み合わせた場合と比較して実現できることが大きく変わってくるためです。

例えば、Microsoft 製品の組み合わせだと、検出されたシャドウ IT の監視から制限迄可能だが、サードパーティー製品だとできない、組織内のネットワークだと監視できるけど、社外だと監視されない等の違いがあります。

Microsoft Defender for Cloud Appsには、アプリコネクター、ログコネクター、アクセス制御の機能があります。クラウドアプリ、EDR(Microsoft Defender for Endpoint P2)、EPP(Microsoft Defender ウイルス対策)と連携してこれらの機能を実現します。

❶アプリコネクターの設定
エンタープライズ系のクラウドアプリ(Google Workspace, Salesforce, box, DropboxやSharePoint, OneDrive, Azure Active Directoryなど)については、アプリコネクターの設定を行い、各クラウドアプリでのユーザーおよび管理アクティビティを可視化します。

※管理アクティビティ:ユーザーやグループを作成した、変更した、削除したといった管理者での操作。

※ユーザーアクティビティ:ユーザーでのクラウドアプリへのサインイン、サインアウト。ファイルの作成、変更、削除等のクラウドアプリ上での操作。

❷シャドウ IT の監視(ログコネクターの有効化)
MDE(Microsoft Defender for Endpoint)の MDA(Microsoft Defender for Cloud Apps)連携機能を有効化し、ログコネクターとして動作させ、ユーザーが Windows 上で、アクセスしたクラウドアプリの利用状況を可視化します。

※MDE 機能を利用した macOS のログの収集については、将来的に機能実装の予定はありますが、現時点では、プレビューの提供も無い状況です。

※ネットワーク機器、SWG (Secure Web Gateway)をログコネクターとして、利用することも可能です。

❸アラート監視やガバナンスアクションの調整
❶および❷にて、可視化されたユーザーや管理アクティビティを元にアラートポリシーやガバナンスアクションを調整します。取り急ぎ、❹のシャドウ IT 監視を先行で監視するといった進め方も考えられます。

❹シャドウ IT の制限の実現  ※併せてカテゴリーベースのWebサイトのフィルターも実現
Microsoft Defender for Cloud Apps と Microsoft Defender for Endpoint P2 および Microsoft Defender ウイルス対策の機能を組み合わせ、シャドウ IT への制限を開始します。

①危険なサイトや特定カテゴリーへのアクセスの制限については、Microsoft Defender for Endpoint P2 の Web コンテンツフィルターで制限を行います。

②ユーザーが新たにアクセスしたクラウドアプリについては、アラートポリシーにて管理者に通知を行い "承認された" アプリなのか、"承認されていない" アプリかを判断します。組織の運用ルールによっては、検出時に "承認されていない" アプリとして、自動的に設定することも可能です。

③①または、②でユーザーが利用できないクラウドアプリとして判定されたクラウドアプリについては、Microsoft Defender ウイルス対策のネットワーク保護機能でアクセス制限を行います。
アクセス制限については、Microsoft Edge 以外の Google Chrome 等でも制限を行うことが可能ですが、Web ブラウザーの警告画面や Windows のアクションセンターへの通知等の動作の違いが生じます。

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード

山口 泰志(やまぐち たいし)氏

※ 本投稿は、ソフクリ365倶楽部のTeams投稿した内容を再編したものです。 ソフクリ365倶楽部は こちら

■著者紹介■

山口 泰志(やまぐち たいし) 氏
埼玉県在住 出身: 福岡県だが、育ちは佐賀県

中小Sier、フリーランスエンジニア、大規模Sier等での経験を経て、2016年にソフトクリエイトに入社、AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、自らMicrosoft 365 サービスの企画、立上げ後、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導入を主導。

現在、Microsoft 365を中心としたテクノロジーをソフクリ365倶楽部で発信しながら、グループ全体のMicrosoft テクノロジーにて主導的な役割を担う。

趣味は、登山、ロードバイクを中心にアクティブ。しっかり考えて、やるべきことは、直ぐにやるがmotto。

山口をもっと知りたい!方は こちら