アクセスとセッション制御のための Microsoft Cloud App Security の構成

アクセスとセッション制御のための Microsoft Cloud App Security の構成

2024 年 11 月 14 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Defender for Cloud Apps (MDCA) (旧称 Microsoft Cloud App Security (MCAS)) を構成および使用して、クラウド アプリケーションにアクセスとセッションの制御を実装する方法をガイドすることを目的としています。 MDCA はクラウド アクセス セキュリティ ブローカー (CASB) ソリューションであり、可視性、データ トラフィックの制御、およびクラウド環境におけるサイバー脅威を特定して対処するための高度な分析を提供し、ゼロ トラスト戦略の重要なコンポーネントです [1]。

はじめに

SaaS (Software as a Service) アプリケーションの採用の増加は、生産性と柔軟性の点で多くのメリットをもたらしましたが、セキュリティに関する新たな課題も生じています。組織は、これらのアプリケーションへのアクセスが安全であること、機密データが漏洩していないこと、悪意のあるアクティビティが検出されて軽減されていることを確認する必要があります。 Microsoft Defender for Cloud Apps は、ユーザーとクラウド アプリの間の制御ポイントとして機能し、組織が管理対象外のアプリや非準拠デバイスであっても、アクセスとセッションをリアルタイムで監視および制御できるようにします [2]。

この実践的なガイドでは、前提条件、MDCA と Azure AD 条件付きアクセスの統合、セッションとアクセス ポリシーの構成、アクティビティの監視、クラウド アプリケーションの堅牢なセキュリティ体制を確保するためのベスト プラクティスについて説明します。読者が MDCA によるアクセスとセッションの制御を実装および検証し、自律的で専門的かつ信頼性の高い方法でクラウド内のデータとアプリケーションのセキュリティを強化できるように、段階的な手順と実践的な例が提供されます。

Microsoft Cloud App Security がアクセスおよびセッション制御にとって重要なのはなぜですか?

  • 可視性と制御: クラウド アプリケーションの使用状況を詳細に可視化し、ユーザーのアクションをリアルタイムで詳細に制御できるようにします。
  • データ保護: データ漏洩、クラウド アプリケーションへの機密ファイルの不正なダウンロードおよびアップロードを防止します。
  • 脅威の検出: アカウントの侵害や内部関係者の脅威を示す可能性のある動作の異常や不審なアクティビティを特定します。
  • コンプライアンス: 組織がプライバシーとセキュリティの規制を遵守し、データが企業ポリシーに従って確実に扱われるように支援します。
  • Azure AD 条件付きアクセスとの統合: Azure AD 条件付きアクセスの機能を拡張し、リアルタイム アクセスとセッション ポリシーを有効にします。
  • 非管理対象アプリケーションのサポート: 組織によって直接管理されていないクラウド アプリケーションにも制御と保護を拡張できます。

前提条件

Microsoft Cloud App Security を使用してアクセスとセッションの制御を実装するには、次のアイテムが必要です。

  1. ライセンス: Microsoft 365 E5、Enterprise Mobility + Security E5、または Microsoft Defender for Cloud Apps のスタンドアロン ライセンス [3]。
  2. 管理アクセス: Microsoft Defender XDR ポータル (https://security.microsoft.com) および Azure ポータル (https://portal.azure.com) での「グローバル管理者」または「セキュリティ管理者」のロールを持つアカウント。
  3. Azure AD 条件付きアクセス: Azure AD 条件付きアクセス ポリシーが構成され、セッションとアクセス制御を強制するために MDCA と統合されて使用されます [4]。
  4. クラウド アプリケーション: 保護するクラウド アプリケーション (SaaS)。 MDCA はあらゆるアプリケーションで動作しますが、Azure AD 条件付きアクセスとの統合にはリバース プロキシ アプリケーションのデプロイが必要です。

ステップバイステップ: アクセスとセッション制御のためのクラウド アプリ用 Microsoft Defender の構成

クラウド アプリケーションへのアクセスとセッションを制御するように MDCA を構成しましょう。

1. Cloud App Security 統合の有効化

まず、MDCA が有効になっていて環境に統合されていることを確認します。

  1. ブラウザーを開き、Microsoft Defender XDR ポータル (https://security.microsoft.com) に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 左側のナビゲーション ペインで、Conf を選択します。設定 > エンドポイント
  4. 下にスクロールして、高度な機能を選択します。
  5. Microsoft Defender for Cloud Apps 機能が「オン」になっていることを確認します。

2. セッション制御のための Azure AD 条件付きアクセス ポリシーの構成

MDCA がセッション制御を適用できるようにするには、トラフィックを MDCA 条件付きアクセス プロキシ経由でルーティングする必要があります。これを行うには、Azure AD 条件付きアクセス ポリシーを構成します。

  1. ブラウザーを開き、Azure portal: https://portal.azure.com に移動します。
  2. 上部の検索フィールドに「Azure Active Directory」と入力し、結果からそれを選択します。
  3. 左側のナビゲーション ウィンドウで、セキュリティ > 条件付きアクセス を選択します。
  4. 「+新しいポリシー」をクリックします。
  5. 名前: ポリシーに意味のある名前を付けます (例: 「MDCA Session Control for SharePoint Online」)。

  6. ユーザーまたはワークロードの識別:

    • [含める] で、対象とする [すべてのユーザー] または特定のグループを選択します。
    • 「除外」の下で、このポリシーから除外する必要があるユーザーまたはグループ (サービス アカウント、緊急管理者など) を追加します。

  7. クラウド アプリケーションまたはアクション:

    • 「含める」で「アプリケーションの選択」を選択し、保護するクラウド アプリケーションを検索します (例: 「SharePoint Online」)。

  8. 条件: 必要に応じて条件を設定します (例: 特定の IP からのアクセスを要求する「場所」、デバイスの互換性を要求する「デバイス」)。

  9. セッション制御:

    • 「条件付きアプリケーション アクセス制御を使用する」を選択します。
    • ドロップダウン メニューから [カスタム ポリシーを使用] を選択します。

  10. ポリシーを有効にする: 「オン」に設定します。

  11. [作成] をクリックします。

    • 説明: このポリシーは、MDCA プロキシ経由でトラフィックを SharePoint Online にリダイレクトし、MDCA がセッション ポリシーをリアルタイムで適用できるようにします。

3. Microsoft Cloud App Security でのセッション ポリシーの構成

トラフィックがルーティングされるようになったので、MDCA でセッション ポリシーを作成して、ユーザーが実行できる内容を制御できます。

  1. Microsoft Defender XDR ポータル (https://security.microsoft.com) に戻ります。
  2. 左側のナビゲーション ペインで、クラウド アプリ > ポリシー > ポリシー管理 を選択します。

  3. 「条件付きアクセス」タブで、「+ ポリシーの作成」 > 「セッション ポリシー」をクリックします。

  4. ポリシー名: 名前を付けます (例: 「SharePoint Online ダウンロードをブロック」)。

  5. 説明: ポリシーの目的を明確に説明します。
  6. 重大度の種類: 重大度を定義します (例:「高」)。
  7. カテゴリ: カテゴリを選択します (例: 「データ損失防止」)。

  8. アクティビティフィルター:

    • アクティビティ: 「ダウンロード」を選択します。
    • アプリケーション: 「SharePoint Online」を選択します。
    • デバイス: 「デバイスタグ」を選択し、「非管理対象」を選択します (管理対象外のデバイスでのダウンロードをブロックします)。
    • ユーザー: このポリシーを適用するユーザーまたはグループを指定します。

  9. アクション: ※「ブロック」を選択してください。

    • オプションで、「テスト」を選択してブロックせずにアクティビティを監視するか、「プロキシによる制御」を選択してダウンロードを許可しますが、検査またはラベル付けを行うことができます。

  10. 必要に応じて アラートガバナンス を構成します。

  11. [作成] をクリックします。

    • 説明: このポリシーは、Azure AD 条件付きアクセス ポリシーによる MDCA プロキシ リダイレクトのおかげで、管理対象外のデバイスからアクセスするユーザーの SharePoint Online ダウンロードをブロックします。

4. Microsoft Cloud App Security でのアクセス ポリシーの構成

MDCA のアクセス ポリシーは、場所、デバイス、IP などのさまざまな基準に基づいてクラウド アプリケーションへのアクセスを制御します。

  1. Microsoft Defender XDR ポータルで、クラウド アプリ > ポリシー > ポリシー管理を選択します。

  2. 「条件付きアクセス」タブで、「+ ポリシーの作成」 > 「アクセス ポリシー」をクリックします。

  3. ポリシー名: 名前を付けます (例: 「危険な国からのアクセスをブロック」)。

  4. 説明: 明確な説明を入力します。
  5. 重大度の種類: 重大度を設定します。
  6. カテゴリ: カテゴリを選択します (例: 「アクセス制御」)。

  7. アクティビティフィルター:

    • アクティビティ: 「アクセス」を選択します。
    • アプリケーション: アプリケーションを選択しますクラウド アプリケーション (例: 「すべてのクラウド アプリケーション」)。
    • 場所: 「IP アドレス タグ」を選択し、「リスク国」を選択するか、ブロックしたい特定の国に対して新しい IP タグを作成します。

  8. アクション: ※「ブロック」を選択してください。

  9. 必要に応じて アラートガバナンス を構成します。

  10. [作成] をクリックします。

    • 説明: このポリシーは、リスクがあると考えられる国から接続しようとするユーザーのすべてのクラウド アプリケーションへのアクセスをブロックします。

5. アクティビティとアラートの監視

MDCA は、ユーザーのアクティビティとアラートを監視および調査するための強力なツールを提供します。

  1. Microsoft Defender XDR ポータルで、クラウド アプリ > アクティビティ ログを選択します。

    • ここでは、MDCA によって検出されたすべてのアクティビティを表示し、ユーザー、アプリケーション、アクティビティの種類などでフィルタリングできます。

  2. 左側のナビゲーション ウィンドウで、インシデントとアラート > アラート を選択します。

    • ここには、設定したポリシーによって生成されたすべてのアラートと、異常検出アラートが表示されます。

検証とテスト

構成されたポリシーを検証して、期待どおりに機能することを確認することが重要です。

1. セッション ポリシーのテスト (ダウンロードのブロック)

  1. 「管理対象」または「サポート対象」としてマークされていないデバイス (例: Intune のないパーソナル コンピューターまたはモバイル デバイス) を使用します。
  2. Microsoft 365 アカウントにサインインし、SharePoint Online にアクセスしてみます。

  3. SharePoint Online からファイルをダウンロードしてみます。

    • 予想される結果: ダウンロードはブロックされ、組織のポリシーによりアクションがブロックされたことを示すカスタム MDCA メッセージが表示されます。

  4. MDCA ポータルの「アクティビティ ログ」と「アラート」をチェックして、セッション ポリシーがトリガーされ、アラートが生成されたことを確認します。

2. アクセス ポリシーのテスト (危険な国からのアクセスをブロックする)

  1. VPN またはプロキシを使用して、「リスク国」として設定した国からの接続をシミュレートします。

  2. クラウド アプリケーション (Outlook Web Access、SharePoint Online など) にアクセスしてみます。

    • 予想される結果: アクセスはブロックされ、組織のポリシーによりアクセスが拒否されたことを示すカスタム MDCA メッセージが表示されるはずです。

  3. MDCA ポータルの「アクティビティ ログ」と「アラート」をチェックして、アクセス ポリシーがトリガーされ、アラートが生成されたことを確認します。

セキュリティのヒントとベスト プラクティス

  • 監視から開始: 新しいポリシーを実装する場合は、「ブロック」または「プロキシによる制御」アクションを適用する前に、「監視」または「テスト」アクションから始めて影響を理解します。
  • ユーザー教育: セキュリティ ポリシーと特定のアクションがブロックされる理由についてユーザーに明確に伝えます。これはフラストレーションを軽減し、コンプライアンスを強化するのに役立ちます。
  • ポリシーの粒度: さまざまなユーザー グループ、アプリケーション、リスク シナリオに合わせて、粒度の高いセッションとアクセス ポリシーを作成します。生産性に影響を与える可能性のある広範すぎるポリシーは避けてください。
  • 他のソリューションとの統合: 他の Microsoft ソリューション (Defender for Endpoint、Azure AD Identity Protection、Microsoft Sentinel) との MDCA 統合を利用して、より包括的なセキュリティ ビューを実現します。
  • 定期的なレビュー: MDCA ポリシーを定期的に確認して調整し、変化する脅威、ビジネス要件、新しいクラウド アプリケーションの導入に適応します。
  • プロキシ設定: MDCA 条件付きアクセス プロキシの仕組みと、ユーザー エクスペリエンスとアプリケーションの互換性への影響を理解します。
  • デバイス管理: MDCA と Microsoft Intune を組み合わせて、デバイスのコンプライアンスを管理し、管理対象外のデバイスに対してより厳格なポリシーを適用します。

一般的なトラブルシューティング

  • セッション/アクセス ポリシーが適用されていない: MDCA 経由でトラフィックをルーティングするように Azure AD 条件付きアクセス ポリシーが正しく構成されていることを確認します (「条件付きアプリケーション アクセス制御を使用する」)。クラウド アプリケーションがポリシーに含まれていることを確認してください。
  • ユーザーが誤ってブロックされている: MDCA セッションとアクセス ポリシーのアクティビティ フィルターと条件を確認してください。 Azure AD 条件付きアクセス ポリシーで必要な除外を確認してください。アクティビティログを確認するどのポリシーがトリガーされているかを理解する必要があります。
  • パフォーマンスの低下または互換性の問題: MDCA プロキシ ルーティングにより、少量の遅延が発生する可能性があります。ネットワーク接続とプロキシ設定を確認してください。一部のアプリケーションにはプロキシの互換性の問題がある可能性があります。既知の問題については、Microsoft のドキュメントを参照してください。
  • 誤検知アラート: ポリシーの条件と感度を調整して、無関係なアラートを減らします。ブロック モードでポリシーを適用する前に、「監視」モードまたは「テスト」モードを使用してポリシーを調整します。
  • アプリケーションが MDCA に表示されない: クラウド アプリケーションがアクティブに使用されていること、および MDCA がアプリケーションを検出するように構成されていることを確認してください。リバース プロキシ アプリケーションの場合は、Azure AD 条件付きアクセスの構成を確認してください。

結論

Microsoft Defender for Cloud Apps は、クラウド中心の世界でデータとユーザーを保護しようとしている組織にとって不可欠なツールです。 MDCA を使用すると、アクセスとセッションの制御を実装することで、セキュリティ チームがリアルタイムで詳細なポリシーを適用できるようになり、SaaS アプリケーションでのデータ漏洩、不正アクセス、悪意のあるアクティビティのリスクを軽減できます。 Azure AD 条件付きアクセスとの統合により強力な相乗効果が生まれ、ゼロ トラスト セキュリティがアプリケーション層に拡張されます。この実践的なガイドにより、セキュリティ専門家は、クラウド アプリ向け Microsoft セキュリティを構成、検証、管理するための十分な知識を身につけ、組織にとってより安全で準拠したクラウド環境を確保できるようになります。

参考文献:

[1] Microsoft Learn。 Microsoft Defender for Cloud Apps とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Learn。 Microsoft Defender for Cloud Apps 条件付きアクセス アプリ制御。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/proxy-intro-aad [3] Microsoft Learn。 Microsoft Defender for Cloud Apps ライセンス。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/licensing [4] Microsoft Learn。 条件付きアクセス アプリケーション コントロールの条件付きアクセス ポリシーを構成します。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/conditional-access-app-control-how-to-overview [5] Microsoft Learn。 Microsoft Defender for Cloud Apps セッション ポリシーを作成します。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/session-policy-aad [6] Microsoft Learn。 Microsoft Defender for Cloud Apps アクセス ポリシーを作成します。入手可能場所: https://learn.microsoft.com/pt-br/defender-cloud-apps/access-policy-aad