Microsoft Defender for Cloud Apps の概要

注意

  • Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。 今後数週間以内に、こちらと関連ページのスクリーンショットと手順を更新します。 変更の詳細については、こちらの発表を参照してください。 最近の Microsoft セキュリティ サービスの名称変更に関する詳細については、Microsoft Ignite のセキュリティに関するブログを参照してください。

  • Microsoft Defender for Cloud Apps は Microsoft 365 Defender に統合されました。 セキュリティ管理者は、そのセキュリティ タスクを Microsoft 365 Defender ポータルで一元的に行うことができます。 これによってワークフローが単純化され、他の Microsoft 365 Defender サービスの機能も追加されます。 Microsoft 365 Defender は、Microsoft の ID、データ、デバイス、アプリ、インフラストラクチャ全体のセキュリティを監視、管理するための拠点となります。 変更の詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。

注意

Office 365 Cloud App Security については、「Office 365 Cloud App Security の概要」を参照してください。

Microsoft Defender for Cloud Apps は、ログの収集、API コネクタ、リバース プロキシなど、さまざまな展開モードをサポートするクラウド アクセス セキュリティ ブローカー (CASB) です。 お使いの Microsoft およびサード パーティ製クラウド サービス全体にわたるサイバー攻撃の脅威を特定し、対処するために、豊富な表示機能、データ送受信の制御、高度な分析を備えています。

Microsoft Defender for Cloud Apps は、Microsoft の主要なソリューションとネイティブに統合され、セキュリティの専門家向けに設計されています。 シンプルな展開、一元化された管理、革新的な自動化の機能を備えています。

ライセンスについては、Microsoft 365 ライセンス データシートに関するドキュメントをご覧ください。

CASB とは

クラウドに移行することで、従業員と IT チームの柔軟性が向上します。 ただし、組織のセキュリティを確保するための複雑さと課題も新たに生じます。 クラウド アプリとサービスの利点を最大限に活用するために、IT チームはアクセスをサポートしつつ重要なデータを保護するという適切なバランスを見つける必要があります。

ここで、クラウド アクセス セキュリティ ブローカーを使用すれば、ご利用のエンタープライズ セキュリティ ポリシーを適用して、クラウド サービスの組織の使用へのセーフガードを追加することで、バランスに対処できます。 この名前が示すように、CASB は、ユーザーがいる場所や使用しているデバイスに関係なく、貴社のエンタープライズ ユーザーと彼らが使用しているクラウド リソースの間でリアルタイムにブローカー アクセスに対するゲートキーパーとしての役割を果たします。

CASB はこのために、シャドウ IT とアプリの使用状況を検出して可視性を提供し、異常な動作に対するユーザー アクティビティを監視し、リソースへのアクセスを制御し、機密情報を分類してその漏洩を防ぐ機能を提供し、悪意のあるアクターから保護し、クラウド サービスのコンプライアンスを評価します。

CASB は、ユーザー アクティビティや機密データに対する詳細な可視性と制御を提供して、組織によるクラウド サービスの使用におけるセキュリティのギャップに対処します。 CASB の対象範囲は、SaaS、PaaS、および IaaS 全体まで広く及びます。 SaaS の対象範囲として、CASB は、最も人気の高いコンテンツ コラボレーション プラットフォーム (CCP)、CRM システム、人事システム、エンタープライズ リソース プランニング (ERP) ソリューション、サービス デスク、オフィス生産性スイート、およびエンタープライズ ソーシャル ネットワーキング サイトでよく使用されます。 IaaS と PaaS の対象範囲として、いくつかの CASB では、一般的なクラウド サービス プロバイダー (CSP) の API ベースの使用が管理され、これらのクラウドで実行されるアプリケーションの可視性とガバナンスが拡張されます。

CASB が必要な理由

SaaS アプリとクラウド サービスの全体的なクラウドの状態をより深く理解するために CASB が必要です。そのため、シャドウ IT の検出とアプリのガバナンスが主なユース ケースです。 また、組織は、IAM、VM などのクラウド プラットフォームとコンピューティング リソース、データとストレージ、ネットワーク リソースなどの管理とセキュリティ保護に対する責任があります。 そのため、ネットワーク サービスのポートフォリオにクラウド アプリを使用するか、その使用を検討している組織にとって、環境の規制とセキュリティ保護という追加の独自の課題に対処するために CASB が必要です。 たとえば、悪意のあるアクターがクラウド アプリを活用して企業ネットワークに侵入し、機密性の高いビジネス データを抜き取る方法は数多くあります。

組織は、悪意のあるアクターが採用するさまざまな方法から、ユーザーと機密データを守る必要があります。 一般に、CASB は、次の主軸を中心に環境を保護する幅広い機能を提供することによって、これを実現します。

  • 可視性: すべてのクラウド サービスを検出、それぞれにリスクのランク付けを割り当て、ログインできるすべてのユーザーとサードパーティ アプリを識別
  • データ セキュリティ: 機密性の高い情報を識別して管理 (DLP)、コンテンツの秘密度ラベルに応答
  • 脅威保護: アダプティブ アクセス制御 (AAC) を提供、ユーザー/エンティティ行動分析 (UEBA) を提供、マルウェアを軽減
  • コンプライアンス: クラウド ガバナンスを示すレポートとダッシュボードを提供、データ所在地および規制コンプライアンス要件への準拠の取り組みを支援

Defender for Cloud Apps のフレームワーク

  • シャドウ IT の使用を検出し、制御する:組織で使われているクラウド アプリ、IaaS、および PaaS サービスを特定します。 使用パターンを調査し、80 を超えるリスクに対して 31,000 を超える SaaS アプリのリスク レベルとビジネスの準備状況を評価します。 それらの管理を開始して、セキュリティとコンプライアンスを確保しましょう。

  • クラウド全体で機密情報を保護する:保存されている機密情報の公開範囲を把握し、分類し、保護します。 付属のポリシーと自動化されたプロセスを活用して、お使いのすべてのクラウド アプリをリアルタイムで制御できます。

  • サイバー攻撃の脅威と異常に対する保護:クラウド アプリ全体で異常な動作を検出し、ランサムウェア、侵害されたユーザー、または悪質なアプリケーションを特定します。危険度の高い使用を分析して自動的に修復し、組織へのリスクを制限します。

  • クラウド アプリのコンプライアンスを評価する:お客様のクラウド アプリが、法規制や業界標準など、関連するコンプライアンス要件を満たしているかどうか評価します。 非準拠アプリへのデータ漏洩を防ぎ、規制対象となるデータへのアクセスを制限します。

アーキテクチャ

Defender for Cloud Apps は、次の作業によってクラウドの詳細を把握します。

  • Cloud Discovery を使用して、組織が使用しているクラウド環境とクラウド アプリをマップおよび識別します。
  • クラウド内のアプリを承認および却下する。
  • デプロイが容易で、プロバイダー API を活用するアプリ コネクタを使用して、接続しているアプリの詳細を把握し、管理します。
  • アプリの条件付きアクセス制御の保護を使用して、クラウド アプリ内でのアクセスとアクティビティをリアルタイムで把握し、制御する。
  • ポリシーを設定して、その後の微調整を行うことで、継続的に制御できるようにします。

Defender for Cloud Apps のアーキテクチャの図。

データ保有期間とコンプライアンス

Microsoft Defender for Cloud Apps のデータ保有期間とコンプライアンスの詳細については、「Microsoft Defender for Cloud Apps のデータ セキュリティとプライバシー」を参照してください。

Cloud Discovery

Cloud Discovery では、トラフィック ログを使用して、組織内で使用しているクラウド アプリを動的に検出、分析します。 組織のクラウド使用のスナップショット レポートを作成するために、ファイアウォールまたはプロキシから分析用のログ ファイルを手動でアップロードすることができます。 継続的なレポートを設定するには、Defender for Cloud Apps ログ コレクターを使用して、ログを定期的に転送します。

Cloud Discovery の詳細については、「Set up Cloud Discovery」(Cloud Discovery のセットアップ) を参照してください。

アプリの承認および却下

Defender for Cloud Apps を使用すると、"クラウド アプリ カタログ" を使用して、組織内のアプリを承認または却下することができます。 アナリストの Microsoft チームは、業界標準に基づいてランク付けおよびスコア付けされた 31,000 を超えるクラウド アプリの広範で継続的に成長しているカタログを持っています。 クラウド アプリ カタログを使用して、規制機関認定、業界標準、ベスト プラクティスに基づいて、クラウド アプリのリスクを評価できます。 その後、組織のニーズに合わせて、さまざまなパラメーターのスコアと重みをカスタマイズします。 これらのスコアに基づいて、Defender for Cloud Apps によってアプリの危険性を知ることができます。 スコアリングは、環境に影響を与える可能性がある 80 以上のリスク要因に基づきます。

アプリ コネクタ

アプリ コネクタでは、クラウド アプリ プロバイダーの API を使用して、Defender for Cloud Apps クラウドを他のクラウド アプリと統合します。 アプリ コネクタは、コントロールと保護を拡張します。 また、これにより、Defender for Cloud Apps 分析のためにクラウド アプリから直接情報にアクセスすることもできます。

アプリを接続して保護を拡張するために、アプリ管理者は Defender for Cloud Apps に対してアプリへのアクセスを承認します。 次に、Defender for Cloud Apps によって、アプリに対してアクティビティ ログに関するクエリが行われ、データ、アカウント、クラウド コンテンツがスキャンされます。 Defender for Cloud Apps では、ポリシーを適用し、脅威を検出して、問題を解決するためのガバナンス アクションを提供することができます。

Defender for Cloud Apps では、クラウド プロバイダーから提供される API を使用します。 各アプリには、独自のフレームワークと API の制限事項があります。 API の使用を最適化するために Defender for Cloud Apps とアプリ プロバイダーとの連携が行われ、最適なパフォーマンスが実現されます。 Defender for Cloud Apps エンジンでは、アプリによって API に適用されるさまざまな制限事項 (調整、API の制限、動的なタイムシフト API の期間など) を考慮して、許容される容量を使用します。 テナント内のすべてのファイルのスキャンなど、一部の処理には大量の API が必要となるため、長時間にわたって実行されます。 ポリシーによっては、数時間または数日間にわたって実行される場合があります。

Conditional Access App Control 保護

Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御では、リバース プロキシ アーキテクチャを使用して、クラウド環境内で実行されるアクティビティへのアクセスをリアルタイムで把握して制御するために必要なツールを提供します。 Conditional Access App Control では、次のようにして組織を保護することができます。

  • データのダウンロードをブロックして、事前にデータ リークを防ぐ
  • 暗号化によって保護されるように、クラウドでのデータの格納とクラウドからのデータのダウンロードを強制するルールを設定する
  • 非管理対象デバイスでの実行内容を監視できるように、保護されていないエンドポイントを把握する
  • 会社以外のネットワークまたは危険な IP アドレスからのアクセスを制御する

ポリシー コントロール

ポリシーを使用して、クラウドでのユーザーの動作を定義できます。 ポリシーを使用して、危険な動作、違反、またはクラウド環境内の疑わしいデータ ポイントやアクティビティを検出します。 必要に応じて、ポリシーを使用して修復プロセスを統合し、完全なリスクの軽減を実現することができます。 ポリシーの種類は、収集するクラウド環境の情報の種類や、実行する修復アクションの種類に関連付けられています。

次の手順

問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。