データ流出は、内部または外部のアクターが機密性の高い企業リソースの未承認のデータ転送を完了する攻撃です。 機密性の高い企業リソースの流出は、多くの場合、適切な認証と承認の制御がないために実現されます。 Microsoft は、複数のリスク シナリオに対処するための一連の軽減コントロールを採用することで、悪意のあるアクセスや、目的の組織の範囲外の場所へのデータ流出から保護することを目指しています。 これにより、Microsoft は顧客の多層防御体制をサポートし、データ流出の脅威を軽減します。
この記事では、Microsoft が顧客に代わってデータ流出保護を行う包括的なアプローチについて詳しく説明します。 これは、Microsoft の軽減コントロールスイートが悪意のある動作を検出して防止し、テナント間のアクセスを管理し、再生攻撃から保護する方法を示しています。
Microsoft Defender for Cloud Apps
顧客データのセキュリティを侵害するアクションを検出して防止する必要があります。 たとえば、従業員は、機密企業データを格納したり、流出のために膨大な数の機密ファイルをダウンロードしたりするために、承認されていないクラウド アプリケーションを使用している可能性があります。 これらのアクションは、Microsoft Defender for Cloud Appsによって防止できます。
Microsoft Defender for Cloud Appsはクラウド アクセス セキュリティ ブローカー (CASB) です。 CASB は、ユーザーが配置されている場所や使用しているデバイスに関係なく、エンタープライズ ユーザーと使用するクラウド リソース間のアクセスをリアルタイムで制御します。 Microsoft Defender for Cloud Appsは、シャドウ IT とアプリの使用に対する可視性の検出と提供、異常な動作に対するユーザー アクティビティの監視、リソースへのアクセスの制御、機密情報の漏洩を分類して防止する機能の提供、クラウド サービスのコンプライアンスの評価を行うことで、すべての Microsoft およびサード パーティクラウド サービスの悪意のあるアクティビティを防止します。 Microsoft Defender for Cloud Appsでは、ログ収集、API コネクタ、リバース プロキシなど、さまざまなデプロイ モードがサポートされています。 この CASB オファリングを使用すると、組織は、指定されたクラウド アプリケーションの使用を承認およびブロックしたり、条件付きアクセス アプリ制御を使用して悪意のあるファイルのダウンロードをブロックしたりできます。
Microsoft Defender for Cloud Apps条件付きアクセス アプリ制御 (CAAC) は、リバース プロキシ アーキテクチャを使用して、クラウド環境内で実行されるアクセスとアクティビティのリアルタイムの可視性と制御に必要なツールを提供します。 CAAC を使用すると、次のことができます。
ダウンロードをブロックしてデータ リークを回避する
クラウドに格納されているデータを暗号化で保護するルールを設定します。
保護されていないエンドポイントを強調表示して、組織が管理されていないデバイスで何が行われているかを監視できるようにします
企業以外のネットワークまたは危険な IP アドレスからのアクセスを制御する。
セッションで機密性の高いアクションが発生した場合は、条件付きアクセス ポリシーを再評価します。 たとえば、多要素認証を必要とする機密性の高いファイルのダウンロードを許可します。
継続的アクセス評価
継続的アクセス評価 (CAE) によって、データ流出に先行する危険なユーザー動作を検出および防止することもできます。 CAE は、ユーザー、セッション、デバイスからの信号に基づいてほぼリアルタイムでアクセス ポリシーを適用し、リスクが存在する場合にセッションを取り消すことができます。 例:
ユーザーが終了し、企業リソースへのアクセスを直ちに取り消す必要がある場合。
ユーザーが企業の境界内で認証を行う場合は、コーヒー ショップまで通りを歩いて行くだけで、リスクの高いネットワークに接続しながら、機密データを含むクラウド リソースに認証されます。
ユーザー アカウントが削除または無効になっている場合。
ユーザーのパスワードが変更またはリセットされたとき。
管理者がユーザーのすべての更新トークンを明示的に取り消す場合。
Microsoft Entra ID 保護によって高いユーザー リスクが検出された場合 (デバイスのコンプライアンス違反、不可能な移動など)
CAE は、一般的なデータ流出リスクであるトークンのエクスポートを防ぐためにも使用できます。 トークン (アクセス トークンなど) は、セッションの開始時に承認されたユーザーに提供されます。 開発者ツールを使用して、これらのトークンを内部ネットワークの外部から外部ユーザーにエクスポートし、そのトークンを Microsoft 365 サービスに提供し、Microsoft Entra IDを回避し、そのリソースと内のデータにアクセスできます。 CAE は、企業リソースへのアクセスを信頼された IP アドレスと常時オン VPN に制限することで、トークンのエクスポートを防止します。 トークンエクスポートシナリオでは、CAE は未承認の場所からのアクセス要求を検出し、リソースへのアクセスを取り消し、データ流出を防ぎます。
未承認のテナント アクセスのリスクを軽減する
Microsoft は、ビジネスの重要な部分には、他の企業とのコラボレーションとコミュニケーションが含まれることを理解しています。 コラボレーションとゲスト アクセスは、独自の固有のリスクを伴います。 従業員は、自宅の ID を使用して別のテナントのゲストになるか、別のテナントのゲストを自分のテナントに招待するように招待できます。 従業員は、別のテナントのエンタープライズ アカウントを使用して、ネットワーク内からそのテナントにアクセスし、流出チャネルを作成しようとする場合もあります。 悪意のあるユーザーや過失のあるユーザーは、機密性の高い企業データ (Outlook、個人用 OneDrive など) を保存するために、個人の Microsoft リソースを使用する場合もあります。 これが、Microsoft がテナント制限 v2 (TRv2) を採用する理由です。 TRv2 は、外部テナントへの従業員アクセスの制御を許可する、クラウド ポリシー ベースの承認コントロール プレーンです。 TRv2 を使用すると、組織で管理されているデバイスまたは企業ネットワーク内のデバイス上のユーザーは、承認されていない外部テナントへのアクセスをブロックできます。 クロステナント アクセス ポリシー (XTAP) を使用すると、他のorganizationのテナント (送信) 内での共同作業方法と、他の組織が独自のorganization (受信) 内でどのように共同作業するかを制御できます。 XTAP を使用すると、ユーザーは明示的に承認されたテナントでのみゲストになることができます。
TRv2 は、トークンのインポートを防ぐためにも使用できます。 トークンのインポートは、ユーザーが企業ネットワークの外部から承認されていない外部テナントにログインしたときに行われ、そのトークンは企業ネットワーク内のアソシエイトに送信されます。 その後、企業ネットワーク内のユーザーは、アクセス トークンを使用して、データ流出のために承認されていないテナントにログインしようとします。 TRv2 は、許可されていない外部テナントに内部ユーザーがアクセスできないようにすることで、トークンのインポートを防止します。 このシナリオでは、TRv2 のため、ユーザーはトークンを使用して外部テナントに対して認証を行うことができません。