セキュリティで保護されたアプリケーションを作成して実行する
注意
これは、Microsoft Cloud でアプリケーションを構築する記事の 5/6 です。
優れたセキュリティにより、偶発的および意図的な損害からシステムが、その結果として組織が保護されます。 これにより、リソースにアクセスできるのが適切なユーザーのみになるため、不注意による損害が発生する可能性を最小限に抑えることができます。 危険、違反、その他の重要なセキュリティ イベントについての警告も行います。
この記事では、Microsoft Cloud がシステムのセキュリティ保護に役立つしくみについて説明します。
統合 ID とアクセス管理ソリューションにMicrosoft Entra IDを使用する
クラウドベースの世界では、従業員と顧客は、さまざまな場所にある多くのデバイスからカスタム アプリケーションにアクセスできます。 適切な制限を使用し、適切なユーザーへのアクセスを許可することは、基本的に ID に依存します。 適切なセキュリティを確保するには、各ユーザーがシステムにアクセスする前に ID を証明し、ジョブを実行するために必要なリソースにのみアクセスする必要があります。
これを行うためのソフトウェアの構築は困難です。 専門家が必要であり、適切な採用には時間がかかるため、独自に構築することは希望されないでしょう。 同様に重要なのは、ID は、ユーザーと開発者の両方にとって、できるだけ簡単に使用できる必要があります。 理想的には、環境全体で ID を一様に管理する方法が必要です。
これは、Microsoft Cloud が世界最大のクラウド ID サービスであるMicrosoft Entra IDを提供するものです。 organizationが現在、Azure、Power Platform、Microsoft 365、Dynamics 365などの Microsoft Cloud のコンポーネントを使用している場合は、既にMicrosoft Entra IDを使用しています。 これは Microsoft Cloud 全体で使用され、すべてのコンポーネントに対して 1 つの ID をユーザーに提供します。
Microsoft Cloud 上に構築されたカスタム アプリケーションでも、Microsoft Entra IDを使用する必要があります。 図 9 は、これがサンプル アプリケーションからどのように認識されるかを示しています。
図 9: Microsoft Entra IDと Azure Active Directory B2C は、Microsoft クラウド上に構築されたアプリケーションに共通の ID サービスを提供します。
図に示すように、カスタム アプリケーションでは 2 つの関連する ID サービスを使用できます。
- Microsoft Entra ID。Microsoft Cloud 内の ID を提供します。 カスタム アプリケーションにアクセスする従業員は、通常、Entra ID を使用してサインインし、すべての Microsoft Cloud サービスへのアクセスに使用する ID を確立します。
- Microsoft Entra ID B2C。外部ユーザーの ID を提供します。 このサービスで、顧客は自分のアカウントを作成することも、Microsoft、Google、Facebook などの既存のパブリック アカウントを使用することもできます。
id にMicrosoft Entra IDを使用すると、いくつかの利点があります。
- Microsoft Cloud 全体で同じ ID を使用すると、アプリケーションの開発者とユーザーの両方の作業が簡単になります。 図 9 に示す例では、従業員は、テナントと呼ばれるorganizationのMicrosoft Entra ID環境にサインインすることから始めることができます。 これを行うと、Power Apps を使用して作成されたアプリケーションの従業員向けコンポーネントにアクセスできます。 このアプリケーションは、同じ ID を使用して Azure API Management、Dynamics 365、Microsoft Graph を呼び出すことができるため、従業員が再度サインインする必要はありません。
- 開発者は、作成するアプリケーションでMicrosoft ID プラットフォームを使用できます。 ライブラリと管理ツールを使用すると、開発者は、Microsoft Entra IDなどの ID を使用するアプリケーションを簡単に構築できます。 これを行うために、Microsoft ID プラットフォームは OAuth 2.0 や OpenID Connect などの業界標準を実装しています。
- Microsoft Entra IDとMicrosoft ID プラットフォームを使用すると、ID の使用方法を制御できます。 たとえば、1 つの設定を変更することで、Microsoft ID プラットフォームで構築された複数のアプリケーションで多要素認証のサポートを有効にできます。 Microsoft Entra IDは、ID ベースのセキュリティの脅威と攻撃を監視するための Microsoft のセキュリティ ツールとも統合されています。
ID とアクセス管理の権利を取得することは、セキュリティを適切に行うための基本的な部分です。 Microsoft Entra IDを使用して Microsoft Cloud でアプリケーションを構築すると、この目標を簡単に実現できます。
Microsoft Sentinel を使用してアプリケーションのセキュリティを監視および管理する
現在、アプリケーションを構築するすべてのユーザーは、ソフトウェアが攻撃者の対象であると想定する必要があります。 これを考えると、組織はアプリケーションとその実行環境のセキュリティを継続的に監視および管理する必要があります。 Microsoft Cloud には、これを行うためのいくつかのツールが用意されています。
これらの中で最も重要なものの 1 つが、Microsoft Sentinel です。 Sentinel には、セキュリティ情報とイベント管理 (SIEM) が用意されていて、さまざまなセキュリティ関連データをキャプチャして分析できます。 脅威に自動的に対応することで、セキュリティのオーケストレーション、自動化、対応 (SOAR) も提供されます。 Sentinel は、組織がセキュリティの問題をより効果的に見つけて修正するのに役立ちます。
Sentinel は、大規模な一連のコネクタ経由で Microsoft Cloud を超えた幅広い範囲を対象にします。 これらのコネクタにより、Sentinel は他の多くのサービスやテクノロジと対話できます。 これらの中で最も重要なものの 1 つには、次のような Microsoft Defender ツールがあります。
- Microsoft Defender for Cloud。これは、組織が Azure アプリケーションのセキュリティを把握し、向上させるのに役立ちます。 Azure Storage などの特定のクラウド サービスの保護もできます。
- Microsoft 365 Defender。次のようなコンポーネントが提供されます。
- Microsoft Defender for Office 365。Exchange やその他のOffice 365の側面を保護します。
- Microsoft Defender for Identity。Active Directory を監視して、侵害された ID やその他の脅威を検出します。
- Microsoft Defender for Cloud Apps。組織内のユーザーと、ユーザーが使用するクラウド リソースとの間のクラウド アクセス セキュリティ ブローカーとして機能します。 これにより、Microsoft Cloud と他の場所の両方で使用するアプリと、それらを使用しているユーザーを把握するのに役立ちます。
Microsoft Sentinel では、Office 365 の監査ログ、Azure アクティビティ ログ、Microsoft Cloud 内のその他のセキュリティ関連情報をインポートすることもできます。 Sentinel は、さまざまな一連のベンダーによって提供される他の多くのソースのセキュリティ関連情報にアクセスすることもできます。 Sentinel を情報ソースに接続すると、データを分析してセキュリティ インシデントを把握し、それらに対応できます。
セキュリティは単純な問題ではありません。 このため、Microsoft はこの領域に対処するための Microsoft Sentinel やその他のセキュリティ オファリングを提供しています。 これらのテクノロジすべてが連携して、Microsoft Cloud で実行されているアプリケーションのセキュリティを向上させます。
次の手順
Microsoft Cloud でアプリケーションを構築するの概要を参照し、エンタープライズ アプリケーション開発リーダーとして成功する方法の詳細を確認します。