近年、シャドーITと呼ばれる自社の管理外のプリ・デバイスを利用する企業が増えています。これは企業のセキュリティを脅かす現象であり、特別な対策が欠かせません。そこで、本記事ではシャドーITを可視化するセキュリティ「Microsoft Defender for Cloud Apps」を紹介します。
Microsoft Defender for Cloud Appsとは
Microsoft Defender for Cloud Appsは、Microsoft社が提供するCASB(Cloud Access Security Broker)です。「MDCA」という略称で呼ばれることもあります。以前はMicrosoft Cloud App Security(MCAS)という名称でしたが、最近名称が変更されました。
Microsoft Defender for Cloud Appsは、簡単にいうとユーザーとクラウドアプリケーションの間に立ってログの収集やAPI コネクタ、リバースプロキシなどの機能を働かせ、アクセスの可視化・保護・コンプライアンスなどを実現するセキュリティソリューションです。
現在企業においてクラウド環境の整備が進んでいますが、これを安全に保護するためには従来のファイアウォールによるセキュリティでは不十分です。そこでMicrosoftは、自社やサードパーティー企業が提供するクラウドサービス全体に安全なセキュリティを張り巡らすために、Microsoft Defender for Cloud Appsを開発しました。
Microsoft Defender for Cloud Appsはクラウド社会におけるサイバー攻撃に対して適切に対処するために、送受信されるデータを高度に制御・可視化・分析する機能を実装しています。これによってMicrosoft Defender for Cloud Appsはリアルタイムでアクセスを制御し、組織が安全にクラウドサービスを利用できるようになるのです。
CASBは
最初に「Microsoft Defender for Cloud AppsはCASBである」と説明しましたが、そもそもCASBが何かを知らない方もいるでしょう。「CASB」は「Cloud Access Security Broker」の略で、クラウド環境におけるセキュリティの考え方、あるいはその考えに基づいて作られたセキュリティソフトを指します。
CASBはクラウドシステムにアクセスしようとするユーザーやデータに対してリスク検知や認証などを行い、組織のセキュリティポリシーを実現するためのツールとして機能します。CASBによって、組織はクラウドシステムへのアクセス状況を可視化したり、その利用を制御したりすることが可能になります。また組織のコンプライアンスやガバナンスが高まり、データ盗難やマルウェア感染などの脅威を減らせます。
CASBが必要とされる理由
このような機能を持つCASBが必要とされるのは、なぜでしょうか。CASBを導入する理由は、大きく分けて2つあります。
第一の理由は組織で利用されているSaaS アプリを始めとしたクラウドサービスを理解するためです。CASBは利用しているクラウドサービスを監視し、安全に利用するためのゲートキーパーであり、ネットワークトラフィックが組織のセキュリティポリシーや規制を遵守していることを保証するために機能します。このようにCASBがデータを保護することによって、さまざまなプラットフォームでのクラウドアプリの利用状況を可視化できます。また脅威となるアクセスを特定することで、セキュリティ侵害の脅威を未然に防ぐことも可能です。
第二の理由はシャドーIT を検出し、アプリのガバナンスを高めるためです。シャドーITとは、組織が把握・管理していないアプリケーションやデバイスなどのIT資産のことです。近年はテレワークが急速に普及していますが、在宅勤務者同士で連絡を取るために、従業員が個人用のSNSなどを独断で業務に利用するケースが増えています。会社から支給されたPCの性能が低い・使いにくいといった理由で、個人のPCを無断で業務に使っている人もいるかもしれません。
従業員が独断で業務に利用しているデバイスやアプリには、当然ながら組織のセキュリティポリシーが適用されていません。そのためシャドーITの利用が横行すると、組織のセキュリティが穴だらけになってしまいます。そこで活用されるのがCASBです。CASBはシステムとユーザーの間に立ってアクセス状況を監視し、それを可視化できます。従業員のシャドーITの使用状況を把握できるため、セキュリティガバナンスを高めることができます。
Microsoft Defender for Cloud Appsの機能
ここからは、Microsoft Defender for Cloud Appsの主な機能について解説します。
シャドーIT の使用を検出し、制御する
Microsoft Defender for Cloud Appsは、組織内で使われているIaaSやPaaSなどのクラウドサービスの使用状況を確認できます。確認された状況は2万5,000 以上ものリスクレベルに分類され、それをさらに80 を超えるリスク内容と照らし合わせて評価します。このプロセスにおいてシャドーITの使用も検出できるので、組織は自社のセキュリティポリシーをそれに適用してガバナンスを強化できます。
クラウド全体で機密情報を保護する
Microsoft Defender for Cloud Appsは、システム内の機密情報を把握・分類し、情報を保護します。組織はMicrosoft Defender for Cloud Appsの自動化されたプロセスを活用することで、組織内で活用されているあらゆるクラウドサービスを常に制御できます。
サイバー攻撃の脅威と異常に対する保護
Microsoft Defender for Cloud Appsは、利用しているクラウドアプリを監視し、どこかで異常があった場合は迅速に検知します。これによって悪質なユーザーやアプリケーション、またはランサムウェアなどのマルウェアを利用したサイバー攻撃を特定し、組織の情報資産を保護します。また、リスク評価に従って侵害された箇所を自動修復することもできるので、セキュリティリスクを大幅に抑えられます。
クラウドアプリのコンプライアンスを評価する
Microsoft Defender for Cloud Appsには、ユーザーの利用しているクラウドアプリが法規制や業界標準などのコンプライアンス要件を充足しているかどうかを評価する機能もあります。これによって危険性の高いアプリを特定し、機密性の高いデータへのアクセスを制限してデータ漏えいのリスクを低減できます。
Microsoft Defender for Cloud Appsのアーキテクチャ
ここからは、Microsoft Defender for Cloud Appsのアーキテクチャについて解説します。
Microsoft Defender for Cloud Apps はCloud Discoveryを利用することで、アプリの識別や承認・却下などのアプリ制御を可能にします。また、プロバイダーAPI を使用したアプリコネクターによって、アプリの詳細を可視化・管理することも可能です。さらに条件付きアクセス制御などを活用することで、組織のセキュリティポリシーをシステムの細部まで反映し、継続的な制御を可能にします。
データ保持期間について
Microsoft Defender for Cloud Apps では、コンテンツの検査中にデータ保護が行われます。データ保持期間は以下のとおりです。
- アクティビティ ログ:180 日
- 探索データ:90 日間
- [アラート]:180 日
- ガバナンス ログ:120 日
接続されたクラウドアプリから個人用アカウントが削除された場合、Microsoft Defender for Cloud Appsはそのデータのコピーを2年以内に自動で削除します。
まとめ
Microsoft Defender for Cloud Appsを活用することで、企業は組織内のクラウド状況を可視化し、シャドーITの検知なども行えます。MDCAは、Microsoft 365のサービスでセキュリティ対策が可能です。セキュアなクラウド環境を構築するために、ぜひ活用してください。
