SaaS ガバナンスのための Microsoft Cloud App Security (MCAS) の構成

SaaS ガバナンスのための Microsoft Cloud App Security (MCAS) の構成

2024/07/01

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが、SaaS (サービスとしてのソフトウェア) アプリケーションのガバナンスのために Microsoft Defender for Cloud Apps (MDCA) の一部となった Microsoft Cloud App Security (MCAS) を構成および使用する方法をガイドすることを目的としています。 MDCA は、クラウド アプリケーションの可視性、データ制御、脅威保護を提供する包括的なクラウド アクセス セキュリティ ブローカー (CASB) ソリューションであり、拡大し続けるクラウド環境におけるセキュリティとコンプライアンスの確保に役立ちます [1]。

はじめに

SaaS アプリケーションの大量導入は、生産性に関する数多くの利点をもたらしましたが、同時にセキュリティに関する新たな課題ももたらしました。組織は多くの場合、クラウド アプリケーション間で保存および共有されるデータの可視性と制御を失い、いわゆる「シャドー IT」を生み出します。さらに、リアルタイムの脅威から保護し、これらのアプリケーションのコンプライアンスを確保することは複雑です。 Microsoft Defender for Cloud Apps は、企業がクラウド アプリの使用を検出して制御し、機密データを保護し、脅威を示す可能性のある異常な動作を検出できるようにすることで、これらの課題に対処します [2]。

この実践的なガイドでは、シャドウ IT の検出とアプリケーションの接続から、アクセス、セッション、アクティビティ、および異常検出ポリシーの作成に至るまで、MDCA のセットアップについて説明します。読者が堅牢な SaaS ガバナンス戦略を実装し、クラウド アプリケーションでデータとユーザーを保護し、組織のセキュリティ体制を強化できるように、段階的な手順、構成例、検証方法が提供されます。

Microsoft Cloud App Security が重要なのはなぜですか?

  • シャドウ IT ディスカバリ: 組織内で使用されているすべてのクラウド アプリケーションを特定し、そのリスクを評価して、それらを制御できるようにします。
  • データ保護: 機密データの漏洩を防止し、クラウド アプリケーションでの DLP (データ損失防止) ポリシーへの準拠を保証します。
  • アクセスとセッションの制御: きめ細かいアクセス制御を実施し、接続されたアプリケーションのリアルタイムのセッション アクティビティを監視できます。
  • 脅威検出: 動作分析と機械学習を使用して、クラウド アプリケーション内の異常なアクティビティとサイバー脅威を検出します。
  • アプリケーション ガバナンス: アプリケーションのアクセス許可、ユーザー アクティビティ、SaaS アプリケーションのセキュリティ設定の管理を支援します。
  • Microsoft 365 Defender との統合: MDCA シグナルを他の Defender ソリューションと関連付けて、インシデントを統一的に表示します。

前提条件

Microsoft Cloud App Security を実装するには、次のものが必要です。

  1. ライセンス: Microsoft Defender for Cloud Apps を含むライセンス (例: Microsoft 365 E5、Microsoft 365 E5 Security、Enterprise Mobility + Security E5、または MDCA スタンドアロン ライセンス) [3]。
  2. 管理アクセス: Microsoft 365 Defender ポータル (https://security.microsoft.com) の「グローバル管理者」、「セキュリティ管理者」、または「Cloud App Security 管理者」のロールを持つアカウント。
  3. ログ ソース (シャドウ IT 用): シャドウ IT 検出用のファイアウォールとプロキシのログ。より深く統合するには、特定の SaaS アプリケーション (Office 365、Salesforce、Box など) 用の API コネクタを使用します。
  4. Microsoft Defender for Endpoint (オプションですが推奨): 管理対象デバイス上のより詳細なシャドウ IT 検出とアプリケーション制御用。

ステップバイステップ: クラウド アプリ用の Microsoft セキュリティの構成

SaaS ガバナンスのための MDCA の設定を見てみましょう。

1. Microsoft 365 Defender ポータルへのアクセス

  1. ブラウザを開いて「https://security.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 左側のナビゲーション ペインで、クラウド アプリを選択します。

2. アプリケーション検出 (シャドー IT)

アプリケーションの検出は、組織内の SaaS の使用状況を可視化するための最初のステップです。

  1. MDCA の左側のナビゲーション ペインで、検出 > ログ スナップショット または ログ コレクター を選択します。

  2. ログ スナップショット: 迅速な評価用、ファイアウォールまたはプロキシのトラフィック ログを手動で読み込むことができます。

    • [ログ スナップショットの作成] をクリックし、指示に従ってログ ファイルをアップロードします。

  3. ログ コレクター: 継続的かつ自動検出を行うには、環境内にログ コレクターを構成します。

    • [ログ コレクターの追加] をクリックし、指示に従ってコレクター (通常はログを MDCA に転送する仮想マシンまたはコンテナー) を構成します。

  4. Defender for Endpoint Integration: Defender for Endpoint を使用している場合、シャドウ IT 検出が自動的に有効になり、クラウド アプリの使用状況データがエンドポイントから直接提供されます。

  5. データ収集後、[検出] > [検出されたアプリケーション] に移動して、クラウド アプリケーションのリスト、そのリスク レベル、および使用統計を表示します。

3. アプリケーションの接続 (API コネクタ)

ガバナンスと保護を強化するには、API を介して SaaS アプリケーションを直接接続します。

  1. MDCA の左側のナビゲーション ペインで、設定 > アプリケーション コネクタを選択します。
  2. [+ アプリケーションの接続] をクリックします。
  3. 接続するアプリケーションを選択します (例: 「Office 365」、「Salesforce」、「Box」)。
  4. 各アプリケーションの特定の指示に従って、必要な権限を付与します。これには通常、アプリケーション管理者としてログインし、MDCA を承認する必要があります。

4. アクセス ポリシーとセッション ポリシーの作成

アクセス ポリシーとセッション ポリシーを使用すると、ユーザーのアクセスとアクティビティをリアルタイムで制御できます。

  1. MDCA の左側のナビゲーション ペインで、コントロール > ポリシーを選択します。
  2. [ポリシーの作成] > [アクセス ポリシー] または [セッション ポリシー] をクリックします。

例: 機密データのダウンロードをブロックするセッション ポリシー

このポリシーにより、ユーザーが管理対象外のデバイスから SaaS アプリケーションにアクセスするときに、機密ファイルをダウンロードできないようにすることができます。

  1. ポリシー タイプ: 「セッション ポリシー」。
  2. 名前: 「管理外デバイスへの機密データのダウンロードをブロック」。
  3. 重大度:「高」。
  4. カテゴリ: 「データ損失防止」。
  5. アクティビティ フィルター: 条件を構成します。
    • アプリケーション: ターゲットの SaaS アプリケーション (例: 「SharePoint Online」) を選択します。
    • ユーザー: 対象となるユーザーまたはグループを選択します。
    • デバイス: 「デバイス ブランド」 = 「サポートされていない」 または 「ハイブリッド Azure AD に参加していません」 を選択します。
    • アクティビティ タイプ: 「ダウンロード」。
    • コンテンツ検査: 機密データ (「クレジット カード番号」、「CPF」など) を検出するように設定します。
  6. アクション: 「ブロック」(ダウンロード用) と「監視」を選択します。
  7. [作成] をクリックします。

5. アクティビティポリシーの作成

アクティビティ ポリシーを使用すると、接続されたアプリでの特定のユーザー アクションを検出して制御できます。

  1. MDCA の左側のナビゲーション ペインで、コントロール > ポリシーを選択します。
  2. [ポリシーの作成] > [アクティビティ ポリシー] をクリックします。
  3. 名前: 「OneDrive 上のファイルの大量削除アラート」。
  4. 重大度:「中」。
  5. カテゴリ: 「脅威の検出」。
  6. アクティビティ フィルター: 条件を構成します。
    • アプリケーション: 「OneDrive for Business」。
    • アクティビティ タイプ: ファイルの削除
    • アクティビティ数: 10 より大きい (5 分間)。
  7. アクション: 「アラートを生成」および管理者に「電子メールアラートを送信」を選択します。
  8. [作成] をクリックします。

6. 異常検出ポリシーの作成

異常検出ポリシーは、機械学習を使用して、攻撃を示す可能性のある異常な動作を特定します。

  1. MDCA の左側のナビゲーション ペインで、コントロール > ポリシーを選択します。
  2. [ポリシーの作成] > [異常検出ポリシー] をクリックします。
  3. MDCA は、事前に定義されたいくつかの異常ポリシー (例: 「異常なファイルのダウンロード アクティビティ」、「不審な IP アドレスからのログオン アクティビティ」、「めったにアクセスされない国/地域からのログオン アクティビティ」) を提供します。
  4. これらのポリシーの設定を有効にして調整できます。

検証とテスト

ポリシーが期待どおりに機能することを確認するには、MDCA の実装を検証することが重要です。

1. セッションとアクセス ポリシーのテスト

  1. シナリオをシミュレーションします: 管理対象外のデバイスまたはローカル デバイスから SaaS アプリケーション (SharePoint Online など) にアクセスしてみます。私は信頼できません。
  2. ポリシーによって制限されているアクション (機密ファイルのダウンロードなど) を実行してみます。
  3. セッション ポリシーがアクションをブロックし、ユーザーに通知を表示することを確認します。

2. アクティビティのアラートと異常の確認

  1. アクティビティをシミュレートします: テスト環境で、アラートを生成するように構成したアクティビティを実行します (例: OneDrive 内の複数のファイルをすぐに削除します)。
  2. 数分間待ちます。
  3. Microsoft 365 Defender ポータルで、インシデントとアラート > アラート に移動します。
  4. 「Service」 = 「Microsoft Defender for Cloud Apps」 でフィルターし、アラートが生成されたかどうかを確認します。

3. アクティビティ ログの確認

MDCA アクティビティ ログには、接続されたアプリケーションで検出されたすべてのアクションが記録されます。

  1. MDCA の左側のナビゲーション ペインで、ログ > アクティビティ ログを選択します。
  2. ユーザー、アプリケーション、またはアクティビティ タイプでフィルタリングして、予期されるアクションが記録され、ポリシーが適用されていることを確認します。

セキュリティのヒントとベスト プラクティス

  • 可視性から始める: 厳格な制御を実装する前に、シャドー IT の検出を優先して組織のクラウド アプリケーションの状況を理解します。
  • 段階的な実装: ブロック アクションを適用する前に、「監視」モードまたは「監査のみ」モードでポリシーから開始して影響を理解し、調整します。
  • 完全な統合: MDCA を Microsoft Defender for Endpoint と統合して、シャドウ IT の検出とエンドポイントの保護を強化します。
  • 包括的なポリシー: アクセス、セッション、アクティビティ、異常検出をカバーするポリシーを作成して、多層保護を実現します。
  • データ分類: Microsoft Information Protection (MIP) を使用して機密データを分類およびラベル付けし、これらのラベルを MDCA DLP ポリシーで使用します。
  • ユーザー教育: MDCA ポリシーと、承認された安全なアプリケーションを企業データに使用することの重要性についてユーザーに伝えます。
  • 継続的なレビュー: アプリケーションの使用状況、脅威の状況、コンプライアンス要件の変化に適応するために、MDCA ポリシーを定期的にレビューおよび調整します。

一般的なトラブルシューティング

  • アプリが検出に表示されない: ファイアウォール/プロキシ ログが正しく読み込まれていること、または Defender for Endpoint との統合がアクティブであることを確認します。関連するトラフィックがキャプチャされていることを確認してください。
  • アプリケーション コネクタが失敗します: SaaS アプリケーションの MDCA に付与されている権限を確認してください。 MDCA の接続ログでエラー メッセージを確認してください。コネクタの再認証が必要になる場合があります。
  • ポリシーが適用されていません: ポリシーが有効になっていること、およびユーザーとアプリケーションがポリシーの範囲内にあることを確認します。アクティビティ フィルターをチェックして、条件が満たされていることを確認します。セッション ポリシーの場合、トラフィックが MDCA 条件付きアクセス コントロール プロキシ経由でルーティングされていることを確認します。
  • 誤検知: 異常検出ポリシーの感度を調整するか、正当なアクティビティの除外を追加します。アクティビティ ポリシーの場合は、フィルターをより具体的に調整します。
  • パフォーマンスの問題: 条件付きアクセス制御プロキシを使用すると、少量の遅延が発生する可能性があります。パフォーマンスを監視し、必要に応じてポリシーを最適化します。

結論

Microsoft Defender for Cloud Apps (MDCA) は、SaaS アプリケーション環境でデータとユーザーを保護しようとしている組織にとって不可欠なツールです。 MDCA は、シャドウ IT の可視化、きめ細かいアクセスとセッションの制御、高度な脅威検出を提供することで、企業がセキュリティ体制を効果的にクラウドに拡張できるようにします。 MDCA ポリシーを慎重に実装し、SaaS ガバナンスのベスト プラクティスと他の Microsoft 365 Defender ソリューションとの統合と組み合わせることで、組織のサイバー回復力が大幅に強化されます。この実践的なガイドを使用すると、セキュリティ専門家は MDCA を構成および管理して、クラウド アプリケーションの安全性、準拠性、制御性を確保できるようになります。

参考文献:

[1] Microsoft Learn。 Microsoft Defender for Cloud Apps とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-appsender-cloud-apps/what-is-defender-for-cloud-apps) [2] Microsoft Learn。 シャドーITの発見。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/shadow-it-discovery [3] Microsoft Learn。 Microsoft Defender for Cloud Apps のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps#licensing-requirements