チュートリアル: 組織で使用中の任意のアプリをリアルタイムで保護する

  • [アーティクル]

従業員の使用を承認するアプリでは、多くの場合、最も機密性の高い企業データと社外秘情報の一部を格納します。 現代の職場では、ユーザーは多くの危険にさらされた状況でこれらのアプリにアクセスします。 これらのユーザーは、可視性がほとんどない組織内のパートナー、またはアンマネージド デバイスを使用している従業員、あるいはパブリック IP アドレスからアクセスしている従業員である可能性があります。 このような状況におけるリスクの範囲は広範であるため、ゼロトラスト戦略を採用する必要があります。 多くの場合、これらのアプリの侵害やデータ損失を把握するには、これだけでは十分ではありません。そのため、多くの情報保護とサイバー脅威のシナリオにリアルタイムで対処したり防止したりする必要があります。

このチュートリアルでは、アクセス制御とセッション制御を使用して、アプリとそのデータへのアクセスを監視および制御する方法について説明します。 データへのアクセスをアダプティブに管理して脅威を軽減することで、Defender for Cloud Apps で最も重要な資産を保護することができます。 具体的には、次のシナリオについて説明します。

リアルタイムで任意のアプリから組織を保護する方法

このプロセスを使用して、組織でリアルタイムの制御をロールアウトします。

フェーズ 1: ユーザー アクティビティにおける異常を監視する

  1. アプリをデプロイする: 最初に、組織が使用する重要なアプリをデプロイします。 Microsoft Entra 条件付きアクセスとのネイティブ統合により、デプロイは簡単になります。 次の手順に従って、アプリをデプロイできます。

    アプリがデプロイされると、リアルタイムで監視され、アクティビティと関連情報に関する即時の分析情報を得ることができます。 この情報を使用して、異常な動作を特定できます。

  2. 監視および調査: Defender for Cloud Apps では、アクティビティ ログを使用して、環境内のアプリの使用状況の監視と特徴付けを行い、そのリスクを把握します。 検索、フィルター、クエリを使用して、一覧表示されるアクティビティの範囲を絞り込むことで、危険性の高いアクティビティをすばやく特定できます。

フェーズ 2: データが流出したときにデータを保護する

多くの組織にとっての主な懸念事項は、データ流出を防止する方法です。 2 つの最大のリスクとして、アンマネージド デバイス (PIN で保護されていないか、悪意のあるアプリが含まれている可能性がある) と、IT 部門の可視性と制御がほとんどないゲスト ユーザーがあります。

使用するアプリを展開したので、これらの両方のリスクを軽減するポリシーを簡単に構成できます。それには、デバイス管理については Microsoft Intune との、ユーザー グループについては Microsoft Entra ID との、データ保護については Microsoft Purview Information Protection とのネイティブ統合を活用します。

フェーズ 3: 保護されていないデータがアプリにアップロードされないようにする

組織は多くの場合、データ流出を防ぐだけでなく、クラウド アプリに侵入したデータの安全性も確保したいと考えます。 一般的なユース ケースは、ユーザーが正しくラベル付けされていないファイルをアップロードしようとしたときです。

上記で構成したアプリでは、次のように、正しくラベル付けされていないファイルがアップロードされないようにセッション ポリシーを構成することができます。

  1. 間違ってラベル付けされたファイルのアップロードをブロックするセッション ポリシーを作成します。

  2. ラベルを修正して再試行する方法の手順を含むブロック メッセージを表示 するようにポリシーを構成します。

この方法でファイルのアップロードを保護することで、クラウドに保存されたデータに適切なアクセス許可が適用されます。 ファイルが共有または失われた場合、許可されたユーザーのみがアクセスできます。

詳細情報