どうも、株式会社ソフトクリエイト で情報屋やってます。山口です。
普段は企業様向けに Microsoft 365 活用のご支援をおこなっています。
「うちの会社、みんな好き勝手にクラウドサービス使ってるけど…本当に大丈夫なんだっけ?」
情シス・情報セキュリティ担当の方なら、一度はこんな不安を感じたことがあると思います(^^;
「Teams、SharePoint、OneDrive といった Microsoft 365」 はもちろん、「Box/Dropbox などのオンラインストレージ」「Slack/Zoom/Google Workspace などのコラボレーションツール」「Trello/Notion/Asana などのプロジェクト管理」等の気づいたら、”え、こんなの使ってたの?"というクラウドアプリが、現場でどんどん増えていきます。
こうした「情シスが把握していないクラウドアプリ」は、いわゆるシャドーITとなり、設定不備や外部共有などによる情報漏えいリスクを一気に高めてしまいます(^^
そこで登場するのが、今回の主役 Microsoft Defender for Cloud Apps(以下、MDA)です。
MDA は、クラウド アクセス セキュリティ ブローカー(CASB)として、"クラウドアプリの利用状況を「可視化」"し、"リスクのある挙動を「警告」"し、"必要に応じてアクセスや操作を「保護(制御)」"することで、クラウド時代のセキュリティを支える「番人」の役割を果たします(^^
Microsoft Defender for Cloud Apps 徹底解説 〜CASBで実現する「可視化→警告→保護」のクラウドセキュリティ〜
■ CASB(キャスビー)とは?
先ず、シャドーITを実現する際のキーワードが、CASB(Cloud Access Security Broker)です。
CASBは、企業とクラウドサービスの間に立つ「賢い交通整理役」として、「誰が」「どのデバイスから」「どのクラウドサービスで」「どのような操作をしているか」等を把握し、ポリシーに沿って利用をコントロールする存在です。(^^
■ MDA の4つの柱
Microsoft Defender for Cloud Apps は、単なるログ収集ツールではなく、
- CASBの基本機能
- SaaS Security Posture Management(SSPM:SaaSの設定・構成リスク管理)
- 高度な脅威保護(異常検知)
- アプリ間保護(アプリ連携のリスク管理)
を組み合わせて、クラウドアプリのセキュリティを包括的に支援するのですが、次の「4つの柱」で理解すると分かりやすいです(^^
1.可視化:クラウドアプリの利用状況、ユーザー行動、データの流れを把握
2.警告:異常な挙動の検知と通知
3.保護:自動対処でリスクの抑止危険なアプリや挙動そのものを「させない」ように事前に制御
4.統合性 : Defender XDR/Entra ID/Intune/Purview などと連携し、ゼロトラストを実装
■ STEP 1:可視化
なぜ可視化が重要なのか?セキュリティ対策の第一歩は「現状把握」です。
「どんなクラウドアプリが使われているか」「誰が / どの部署が使っているか」「どれだけのトラフィックやデータが流れているか」「リスクの高いアプリが紛れ込んでいないか」これが分からない状態では、ポリシーもルールも立てようがありません。
特に大きいのがシャドーITの問題です。業務効率化のために従業員が個人で契約したクラウドストレージやメッセージングツールは、情シスから見れば「完全に死角」になってしまいます(^^;
◆ Cloud Discovery(アプリ検出)
MDA の代表機能のひとつが「Cloud Discovery(アプリ検出)」で、「ネットワーク機器等のファイアウォール / プロキシ のログをアップロード」または「Defender for Endpoint からエンドポイントのトラフィックログを自動収集」することで、組織内で利用されている多数のクラウドアプリを自動検出します。
□把握できる主な情報:
- 利用アプリ一覧
- 各アプリのリスクスコア(安全性評価)
- 利用ユーザー / 部署 / トラフィック量
- どの国・リージョンにあるサービスか など
この結果をもとに、「リスクの高いアプリの利用を禁止」「同じ用途のアプリを”許可”と”禁止”に整理」「ガイドラインや社内規程の見直し」といったシャドーIT対策の第一歩を踏み出せます。
◇ アプリコネクター(API連携)とファイル監視
Cloud Discovery は「どんなアプリが使われているか」を知るための機能ですが、そのアプリの内部で「どんな操作が行われているか」を把握するには、アプリとの API連携(アプリコネクター)が有効です。アプリコネクター(API連携)とファイル監視については、クラウドアプリの一部しか利用できませんが、アプリコネクターで接続すると、「誰が」「いつ」「どのファイルに対して」「どのような操作(アップロード / ダウンロード / 共有 / 削除 など」を行ったのか?といったアクティビティログとして追跡できます。
「あのファイル、誰が外部共有したの?」という問いに対しても、すぐに答えを出せるようになります。(^^
□接続できる代表的なアプリ:
- Microsoft 365(Exchange Online/SharePoint/OneDrive/Teams など)
- Box/Dropbox
- Google Workspace
- Salesforce/ServiceNow
※ 対象アプリについては、管理画面上から、リクエストするようなことも可能です。
■ STEP 2:警告
可視化ができたら、次は「おかしな挙動を検知して教えてくれる」を実現します。
◆ 監視ポリシーの種類
MDA では、さまざまな観点からポリシーを定義し、リスクのある挙動に対してアラートを発生させることができます。
代表的なものは次の3つで、可視化した情報を把握する意味でも、アラートやユーザーへの通知を検討します。
1.アクティビティポリシー:ユーザーの行動パターンを監視し、異常なアクティビティを検知
例:「短時間での大量ダウンロード」「通常と異なる国/IPアドレスからのアクセス」「深夜帯や休日の不審なアクセス」「多数のログイン失敗」など
2.OAuthアプリポリシー:外部アプリケーションとの連携(OAuth)を監視
例:「過剰な権限を要求するサードパーティアプリ」「利用実績の少ない/評判の悪いアプリへのアクセス許可」「異常なタイミングで大量の同意が行われる」など
3.ファイルポリシー:ファイルの属性や中身(Purview 連携)に基づいて監視
例:「機密ラベル付きファイルの外部共有」「クレジットカード番号を含むファイルの持ち出し」「特定拡張子(例:.pst, .bak など)のアップロード」
・アラート通知:監視ポリシーで違反を検出すると、MDA は管理者にアラートを送信します。
メールで通知された内容は、Microsoft Defender 管理センター上で、一元的に確認できます。
◆ 監視ポリシーに警告用のガバナンスアクションを追加
監視ポリシー違反に対して、ユーザーに対して警告メッセージを通知するような設定ができます。
これにより、「いきなり禁止」ではなく、「ユーザーに気づいてもらう」といった教育的な効果も期待できます。
■ STEP 3:保護へ
可視化と警告が実現できたら、次に目指したいのは、危険な操作を「検知して警告」だけでなく「危ない操作をさせない(保護)」に寄せていくことです(^^
◆ 監視ポリシーに保護のガバナンスアクションを追加
アラートを出すだけでは、夜間や休日は対応できませんし、極端な話、無視されることがありえます(^^;
MDA は、ポリシー違反を検知したタイミングで、あらかじめ定義した「ガバナンスアクション」を自動実行することができます。
「外部共有リンクの自動削除」「問題のあるファイルの検疫(隔離フォルダへ移動)」「ユーザーセッションの強制終了」「アカウントの一時停止 」などのシステム管理者が行うべき対処の一部を自動化することで、セキュリティや情報漏洩リスクの拡大を抑えつつ、運用負荷を下げることができます。
◆ デバイスグループごとのクラウドアプリ利用制御(MDE P2)
Microsoft Defender for Endpoint P2 と連携すると、デバイスグループ単位でクラウドアプリへのアクセスを制御することができます。この制御により、特定のクラウドアプリへのアクセスを、エンドポイント側のデバイスグループ単位で許可や制限といった制御が可能です。
・「経営層端末」グループ:特定の生成AIアプリを許可
・「営業端末」グループ:正式採用しているクラウドストレージのみ許可
・「開発端末」グループ:GitHub や Azure DevOps を許可
※他のデバイスグループは利用禁止
なお、この「デバイスグループ単位のアプリ制御」が使えるのは MDE P2 のみであり、Defender for Business では Cloud Discovery 用ログ送信などの可視化はできても、このデバイスグループ制御は提供されません(^^;
◆ アプリコネクター(API連携)とファイル監視×Purview DLPとの連携(内容レベルの可視化)
アプリコネクター(API連携)したクラウドアプリのファイルの「操作」可視化だけでなく、「中身」の評価や制限したい場合は、Microsoft Purview Data Loss Prevention(Purview DLP)との連携が必要です。
「クレジットカード番号」「マイナンバー」「個人情報 / 顧客ID」「社内で定義した機密ラベル」など、コンテンツレベルのルールを組み合わせることで、「機密情報を含むファイルが、どこで、誰によって、どのように扱われているか」まで見える化や保護できるようになります。
※ Purview DLP との連携については、アプリコネクター(API連携)可能な、クラウドアプリに限定されます。
□連携可能な代表的なアプリ:
- Microsoft 365(Exchange Online/SharePoint/OneDrive/Teams など)
- Box/Dropbox
- Google Workspace
- Salesforce/ServiceNow
◆ 条件付きアクセス連携によるセッション制御
Microsoft Entra P1 の契約があれば、MDA と Microsoft Entra 条件付きアクセスとの連携が可能です。
これは、「条件付きアクセスでブラウザベースのアクセス」×「セッションコントロール」の制御を行うことで、Intune に登録されていないデバイス上での「ダウンロード制御」「アップロード制御」「コピー&ペースト制限」「印刷制御」という動作を実現することが可能で、「個人PCからはWebブラウザーからのクラウドアプリ(SSO連携必須)の閲覧はOKだが、ダウンロードは禁止、印刷とコピペも禁止」といった、制御が可能です。
※ デスクトップアプリについては、条件付きアクセスのポリシーで禁止として制御します。
■ ライセンス
MDA を利用する場合には、以下のライセンスの契約が必要になってきます。
中小中堅規模の組織であれば、Microsoft 365 Business Premium に Microsoft Defender for Cloud Apps 単体を追加して、先ずは、可視化から考えてみるとよいのではないでしょうか。
- Microsoft Defender for Cloud Apps 単体
- Microsoft 365 E5
- Microsoft 365 E5 Security
- Defender Suite for Business Premium
- Defender & Purview Suite for Business Premium
- • Enterprise Mobility + Security E5
■ まとめ
Microsoft Defender for Cloud Apps は、「シャドーITを含めたクラウドアプリ利用を"可視化"」し「リスクのある挙動を"警告"」し「必要に応じてアクセスや操作を"保護"する」ことで、クラウド時代のセキュリティを支える重要な役割を持ちます(^^
最初から「全部ブロック」では現場が回らなくなるので、
1.まずは可視化と警告に集中
2.次に、リスクの高い操作に限定して自動制御を導入
3.最終的に、業務フローとポリシーをすり合わせながら制限を強めていく
といった段階導入が現実的です。
また、 Microsoft 365 を中心に業務を行っている組織にとっては、「Entra ID(ID管理)」「Intune(デバイス管理)」「Defender for Endpoint/Defender for Business(エンドポイント保護)」「Purview(コンプライアンス・データ保護)」と組み合わせることで、ゼロトラストセキュリティの実装を段階的に進めていくための次の一歩と言えます。
