ゼロ トラストによるアプリケーションのセキュリティ保護

  • [アーティクル]

背景

クラウド アプリとサービスの利点を最大限に活用するために、組織はアプリケーションおよび API 経由でアクセスされる重要なデータを保護するためのコントロールを維持しながら、アクセスを提供するための適切なバランスを見つける必要があります。

ゼロ トラスト モデルを使用すると、組織ではアプリとその中に含まれるデータを以下のようにして保護できます。

  • シャドウ IT を検出するためのコントロールとテクノロジを適用する。
  • アプリ内の適切なアクセス許可を確認する。
  • リアルタイム分析に基づいてアクセスを制限する。
  • 異常な動作を監視する。
  • ユーザーの操作を制御する。
  • 安全な構成オプションを検証する。

アプリケーションのゼロ トラスト展開の目的

ゼロ トラストの導入を開始する前のほとんどの組織では、オンプレミスのアプリは物理ネットワークまたは VPN 経由でアクセスされ、一部の重要なクラウド アプリにユーザーからアクセスできるようになっています。

アプリケーションの管理と監視にゼロ トラスト アプローチを実装する場合は、最初にこちらの初期の展開の目的に焦点を当てることをお勧めします。

1 つのチェックマークが付いたリスト アイコン。

I.API を介して接続することで、アプリケーション内のアクティビティとデータを可視化する。

II.シャドウ IT の使用を検出し、制御する。

III.ポリシーを実装して、機密性の高い情報やアクティビティを自動的に保護する。

これらが完了したら、次の追加の展開目的に焦点を合わせます。

2 つのチェックマークが付いたリスト アイコン。

IV.すべてのアプリに対する適応性の高いアクセスおよびセッション制御を展開する。

V.サイバー脅威や不正アプリからの保護を強化する。

VI.クラウド環境のセキュリティ態勢を評価する

アプリケーションのゼロ トラスト展開ガイド

このガイドでは、ゼロ トラスト セキュリティ フレームワークの原則に従ってアプリケーションと API のセキュリティを保護するために必要な手順について説明します。 このアプローチは、こちらの 3 つのゼロ トラスト原則に沿っています。

  1. 明示的に確認する ユーザー ID、位置情報、デバイスの正常性、サービスまたはワークロード、データ分類、異常など、入手可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。

  2. 最低特権アクセスを使用します。 データと生産性の両方を保護するために、JIT/JEA (Just-In-Time and Just-Enough-Access)、リスクベースのアダプティブ ポリシー、データ保護を使用してユーザー アクセスを制限します。

  3. 侵害があるものと考える 侵害の影響が及ぶ範囲を最小限に抑えて横方向の移動を防ぐために、ネットワーク、ユーザー、デバイス、アプリケーションの認識によってアクセスをセグメント化します。 すべてのセッションがエンドツーエンドで暗号化されていることを確認します。 分析を使用して可視化し、脅威検出を推進し、防御を強化します。




1 つのチェックマークが付いたチェックリスト アイコン。

初期のデプロイの目的

I. API を介して接続することで、アプリケーション内のアクティビティとデータを可視化する

組織内のユーザー アクティビティの大部分は、クラウド アプリケーションと関連リソースから始まります。 ほとんどの主要なクラウド アプリには、テナント情報を使用し、対応するガバナンス アクションを受信するための API が用意されています。 これらの統合を使用して監視し、環境内で脅威や異常が発生したときにアラートを生成します。

次のステップを実行します。

  1. サービスと連携して可視性、ガバナンス アクション、および使用状況を最適化する Microsoft Defender for Cloud Apps を採用します。

  2. Defender for Cloud Apps API 統合を使用してどのアプリを接続できるかを確認し、必要なアプリに接続します。 得られた高い可視性を使用して、クラウド環境内のアプリのアクティビティ、ファイル、アカウントを調査します。

ヒント

ゼロ トラストによるエンドツーエンドの ID 管理の導入について知る

II. シャドウ IT の使用を検出し、制御する

平均すると、組織内では 1,000 種類のアプリが使用されています。 従業員の 80% が、誰も審査しておらず、セキュリティとコンプライアンスのポリシーに準拠していない未承認のアプリを使用しています。 また、従業員は企業ネットワークの外部からリソースやアプリにアクセスできるため、ファイアウォールでルールやポリシーを設定するだけではもはや不十分です。

アプリの使用パターンの特定、アプリのリスク レベルとビジネスへの対応性の評価、非準拠アプリへのデータ漏洩の防止、規制対象データへのアクセスの制限に焦点を当てます。

ヒント

データに対するエンドツーエンドのゼロ トラスト戦略を実装する方法について学習します

次のステップを実行します。

  1. 16,000 を超えるクラウド アプリの Microsoft Defender for Cloud Apps カタログに対してトラフィック ログを分析する Cloud Discovery を設定します。 アプリは 90 を超えるリスク要因に基づいて順序付けされ、スコアが付けられます。

  2. 次の 3 つのオプションのいずれかに従って、シャドウ IT を検出して特定し、どのアプリが使用されているかを確認します。

    1. Microsoft Defender for Endpoint と統合すると、ユーザーのネットワークに接続されている、および接続されていない Windows 10 デバイス間のクラウド トラフィックに関するデータの収集をすぐに開始できます。

    2. ファイアウォールやその他のプロキシに Defender for Cloud Apps のログ コレクターをデプロイしてエンドポイントからデータを収集し、分析のために Defender for Cloud Apps に送信します。

    3. Defender for Cloud Apps をプロキシと統合します。

  3. 特定のアプリのリスク レベルを特定します。

    1. Defender for Cloud Apps ポータルの [検出] で、[検出されたアプリ] をクリックします。 組織で検出されたアプリの一覧を、懸念しているリスク要因ごとにフィルター処理します。

    2. アプリをドリルダウンして、そのコンプライアンスを詳しく把握します。そのためには、アプリ名をクリックした後、[情報] タブをクリックして、アプリのセキュリティのリスク要因に関する詳細を表示します。

  4. コンプライアンスを評価して使用状況を分析します

    1. Defender for Cloud Apps ポータルの [検出] で、[検出されたアプリ] をクリックします。 組織内で検出されたアプリの一覧を、懸念しているコンプライアンス リスク要因ごとにフィルター処理します。 たとえば、推奨されるクエリを使用して、非準拠のアプリを除外します。

    2. アプリをドリルダウンして、そのコンプライアンスを詳しく把握します。そのためには、アプリ名をクリックした後、[情報] タブをクリックして、アプリのコンプライアンスのリスク要因に関する詳細を表示します。

    3. Defender for Cloud Apps ポータルの [検出] で、[検出されたアプリ] をクリックしてから、調査する特定のアプリをクリックしてドリルダウンします。 [使用] タブでは、アプリを使用しているアクティブ ユーザー数と、生成されているトラフィックの量を知ることができます。 アプリを使用しているユーザーを確認する場合は、[アクティブ ユーザーの合計数] をクリックしてさらにドリルダウンできます。

    4. 検出されたアプリを詳しく調べます。 サブドメインとリソースを表示して、クラウド サービス内の特定のアクティビティ、データ アクセス、リソースの使用状況について確認します。

  5. アプリを管理します

    1. ビジネスの状況または理由に基づいて各アプリを分類するために、新しいカスタム アプリ タグを作成します。 これらのタグは、特定の監視目的で使用できます。

    2. アプリ タグは Cloud Discovery 設定の [アプリ タグ] で管理できます。 これらのタグは、後で Cloud Discovery ページでのフィルター処理や、タグを使用したポリシーの作成に使用できます。

    3. Microsoft Entra ギャラリーを使用して、検出されたアプリを管理します。 Microsoft Entra ギャラリーに既に表示されているアプリの場合は、シングル サインオンを適用し、Microsoft Entra ID でアプリを管理します。 これを行うには、関連するアプリが表示されている行で、行の末尾にある 3 つの点を選択し、[Microsoft Entra ID でアプリを管理する] を選択します。

ヒント

ネットワークに対するエンド ツー エンドのゼロ トラスト戦略を実装する方法について学習します

III. ポリシーを実装して、機密情報とアクティビティを自動的に保護する

Defender for Cloud Apps を使用すると、クラウドでユーザーにどのように行動してもらいたいかを定義できます。 これを行うには、ポリシーを作成します。 アクセス、アクティビティ、異常検出、アプリ検出、ファイル ポリシー、Cloud Discovery 異常検出、およびセッション ポリシーといったさまざまな種類があります。

ポリシーによって、クラウド環境内の危険な動作、違反、疑わしいデータ ポイントとアクティビティを検出できます。 これによって、傾向の監視、セキュリティ脅威の確認、カスタマイズされたレポートとアラートの生成を行うことができます。

次のステップを実行します。

  1. 多くのアクティビティとファイルに対して既にテスト済みのすぐに使用できるポリシーを使用します。 権限の取り消し、ユーザーの停止、ファイルの検疫、秘密度ラベルの適用などのガバナンス アクションを適用します。

  2. Microsoft Defender for Cloud Apps によって提案される新しいポリシーを作成します。

  3. シャドウ IT アプリを監視し、制御を提供するポリシーを構成します。

    1. 懸念されるアプリからのダウンロードやトラフィックが急増したときに通知されるよう、アプリ検出ポリシーを作成します。 [Anomalous behavior in discovered users policy]\(検出されたユーザーの異常な動作ポリシー\)、[Cloud storage app compliance check]\(クラウド ストレージ アプリのコンプライアンス チェック\)[New risky app]\(新しい危険なアプリ\) を有効にします。

    2. ポリシーを更新し続け、Cloud Discovery ダッシュボードを使用して、ユーザーが使用している (新しい) アプリと、その使用および動作パターンを確認します。

  4. このオプションを使用して、承認されるものを制御し、望ましくないアプリをブロックします。

    1. 継続的な監視のために API 経由でアプリを接続します。

  5. アプリの条件付きアクセス制御Microsoft Defender for Cloud Appsを使用してアプリを保護します。




2 つのチェックマークが付いたチェックリスト アイコン。

その他のデプロイの目的

IV. すべてのアプリに対する適応性の高いアクセスおよびセッション制御を展開する

最初の 3 つの目的を達成した後は、継続的な検証によってすべてのアプリが最小限の特権アクセスを使用するようにするなど、追加の目的に焦点を合わせることができます。 セッション リスクの変化に応じてアクセスを動的に調整して制限することで、従業員がデータと組織を危険にさらす前に、侵害と漏洩をリアルタイムで阻止できます。

次の手順を実行します。

  • ユーザー、場所、デバイス、アプリに基づいて、すべての Web アプリへのアクセスをリアルタイムで監視および制御できます。 たとえば、アンマネージド デバイスを使用する場合に、秘密度ラベルの付いた機密性の高いコンテンツのダウンロードを保護するポリシーを作成できます。 または、アップロード時にファイルをスキャンして潜在的なマルウェアを検出し、機密性の高いクラウド環境に入ることをブロックすることもできます。

ヒント

エンドポイントに対するエンド ツー エンドのゼロ トラスト戦略を実装する方法について学習します

V. サイバー脅威や不正アプリからの保護を強化する

悪意のあるアクターは、防御を突破し、機密性の高いビジネス クリティカルな情報にアクセスするために、クラウドを対象とする専用かつ個別の攻撃ツール、手法、および手順 (TTP) を開発しています。 これらは不正な OAuth の同意付与、クラウド ランサムウェア、クラウド ID の資格情報の侵害などの戦術を使用します。

組織は Defender for Cloud Appsで利用可能なツールを使用して、このような脅威に対応できます。たとえば、ユーザー/エンティティ行動分析 (UEBA)、異常検出、マルウェア保護、OAuth アプリ保護、インシデント調査、修復などがあります。 Defender for Cloud Apps では、あり得ない移動、疑わしい受信トレイ ルール、ランサムウェアなどの多くのセキュリティの異常を既定で対象にします。

さまざまな検出は、セキュリティ運用チームを念頭に置いて開発されており、脅威インテリジェンスに基づく調査と修復を利用しながら、侵害の真のインジケーターのアラートに焦点を合わせることを目的としています。

次のステップを実行します。

VI. クラウド環境のセキュリティ体制を評価する

組織は、SaaS アプリケーションに加えて、IaaS および PaaS サービスに多大な投資をしています。 Defender for Cloud Apps により、組織ではパブリック クラウド プラットフォーム全体のセキュリティ構成とコンプライアンスの状態を可視化すると、これらのサービスのセキュリティ体制と機能を評価し、強化できます。 これにより、プラットフォームの構成状態全体のリスクに基づく調査が可能になります。

次のステップを実行します。

  1. Defender for Cloud Apps を使用して、クラウド環境全体のリソース、サブスクリプション、推奨事項、および対応する重大度を監視します。

  2. Microsoft AzureAWSGCP などのクラウド プラットフォームを、組織の構成ポリシーおよび規制コンプライアンスに準拠させ、CIS ベンチマークまたはセキュリティ構成に関するベンダーのベスト プラクティスに従って、セキュリティ侵害のリスクを軽減します。

  3. Defender for Cloud Apps を使用すると、セキュリティの構成ダッシュボードを使用して修復アクションを実行し、リスクを最小限に抑えることができます。

ヒント

インフラストラクチャに対するエンド ツー エンドのゼロ トラスト戦略を実装する方法について学習します

このガイドで説明されている製品

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Cloud Discovery

Microsoft Endpoint Manager (Microsoft Intune および Configuration Manager を含む)

モバイル アプリケーション管理

まとめ

クラウドのリソースまたはアプリケーションが存在する場所に関係なく、ゼロ トラスト原則は、クラウド環境とデータを確実に保護するのに役立ちます。 これらのプロセスの詳細について、あるいは実装に関する質問については、お客様サポート担当者にお問い合わせください。



ゼロ トラスト展開ガイド シリーズ

概要のアイコン

ID のアイコン

エンドポイントのアイコン

アプリケーションのアイコン

データのアイコン

インフラストラクチャのアイコン

ネットワークのアイコン

可視性、自動化、オーケストレーションのアイコン