ゼロトラストブログ vol. 19

クラウドアプリをMicrosoft Defender for Cloud Appsで制御してみた

2024 11/20

過去のゼロトラストブログ記事「サイバー攻撃をMicrosoft 365 E5 Securityで防御してみた」にて、Microsoft 365 E5 Securityプランで含まれている5つのサービス (注1) をご紹介いたしました。CASB (注2) としてクラウドアプリの監視制御を可能とする Microsoft Defender for Cloud Appsにご関心のある企業さまもいらっしゃると思います。本ブログではMicrosoft Defender for Cloud Appsに着目し、どのように動作するのかゼロトラスト推進部の坂本が検証を通して紹介いたします。

注1) Microsoft Defender for Office 365、Microsoft Defender for Endpoint、Microsoft Entra ID P2、Microsoft Defender for Cloud Apps、Microsoft Defender for Identity
注2) CASBとはCloud Access Security Brokerの略称であり、クラウドアプリとユーザーの間でセキュリティポリシーを適用しクラウドアプリの利用管理/可視化を行うセキュリティの概念

Microsoft Defender for Cloud Appsとは
検証内容
検証結果
最後に

目次	Microsoft Defender for Cloud Appsとは Microsoft Defender for Cloud Appsの概要組織で利用できるクラウドアプリの制御/アクセスの可視化サイバー攻撃や異常な動作の検出/保護検証内容前提 CASE 1：利用禁止アプリのブロック制御 CASE 2：クラウドストレージからのファイルダウンロード防止まとめ：検証前検証結果 CASE 1：組織として利用可能/禁止アプリのブロック制御 CASE 2：クラウドストレージからのファイルダウンロード防止まとめ：検証後最後に

Microsoft Defender for Cloud Appsとは

1. Microsoft Defender for Cloud Appsの概要

今回検証するMicrosoft Defender for Cloud Apps (以下、MDCA) は、Microsoft社が提供するCASBとなります。昨今企業においてクラウド利用が進められていますが、MDCAを用いることでクラウド環境を安全に利用することが可能です。具体的には、組織で利用できるクラウドアプリの制御/アクセスの可視化、サイバー攻撃や異常な動作の検出/保護する機能がMDCAには備わっております。以下それぞれの機能についての解説となります。

2. 組織で利用できるクラウドアプリの制御/アクセスの可視化

MDCAの管理ポータル上の「クラウドアプリカタログ」(注3) からブロック対象のクラウドアプリに非承認タグを付与し、Microsoft Defender for Endpoint (以下、MDE) (注4) とMDCAを連携することで非承認アプリへのウェブアクセスをブロックすることが可能となります。

また、アプリコネクタと呼ばれる設定を行うことで、MDCAがクラウドアプリのAPIを使用することが可能となり、それにより各ユーザーのアプリアクセス情報をMDCAから確認することができます。

3. サイバー攻撃や異常な動作の検出/保護

MDCAで定義されているさまざまなポリシーを活用することにより組織の情報資産を保護することが可能となります。
以下がポリシーの一例となります。

なお、必要なライセンスとしては、Microsoft 365 E5 Security (注7) もしくはEnterprise Mobility + Security E5が必要となります。
それでは、次の項で検証内容をご説明します。

注3) 31,000以上のクラウドアプリを掲載し、10段階でのリスク評価を確認することが可能なアプリの一覧
注4) エンドポイントのセキュリティ対策を実現するMicrosoft製品
注5) Microsoft Intune：端末管理および制御を行うためのMicrosoft社のMDM製品。
注6) Microsoft Entra IDの条件付きアクセス機能との併用となります。Microsoft Entra IDは、Microsoft社が提供するIDaaS製品となります。
また条件付きアクセスとは、ユーザーやデバイスおよびアクセス先アプリを条件として、不要なアクセスをブロック/制限する機能です。
注7) ゼロトラストブログ vol. 08 サイバー攻撃をMicrosoft 365 E5 Securityで防御してみた

※ 2024年11月現在

検証内容

1. 前提

今回は、「利用禁止アプリのブロック制御」および「クラウドストレージからのファイルダウンロード防止」の2ケースを検証します。「特定のアプリを利用させたくない」、「決められたクラウドストレージ外へのデータ持ち出しを禁止したい」といったご要望をお持ちのお客さまが多くいらっしゃいますので、上記2ケースを検証ケースとして選定いたしました。本検証を通し、簡単にMDCAで設定できるイメージをお持ちいただければ幸いです。

各ケースの詳細/事前準備事項は以下となります。

2. CASE 1：利用禁止アプリのブロック制御

組織として利用を禁止したいアプリはクラウドアプリカタログ上で非承認とします。非承認アプリとしてDropboxを選定し、本アプリへのウェブアクセスがブロックされることを確認します。

<検証の事前準備事項>
ウェブアクセスをブロックさせるため、最初にMDEとMDCAを連携しておきます。

次にDropboxを非承認とする設定をクラウドアプリカタログから行います。

※ 画像はイメージです

3. CASE 2：クラウドストレージからのファイルダウンロード防止

クラウドストレージとしてSharePointを利用する前提でファイルダウンロードが禁止されることの動作確認を行います。
「Microsoft Defender for Cloud Appsとは」で紹介したセッションポリシーと条件付きアクセスを利用することにより実現します。

<検証の事前準備事項>
Microsoft Defenderポータル画面上でセッションポリシーを作成します。

次にMicrosoft Entra 管理センターから条件付きアクセスの設定を行います。

ターゲットリソースを選択。今回はShare pointだが検証であることから、便宜的にすべてのクラウドアプリを選択。セッション欄「アプリの条件付きアクセス制御を使う」を選択することで、MDCAのセッションポリシーを条件付きアクセスに適用。

※ 画像はイメージです

これで2ケースとも事前準備は完了です。

4. まとめ：検証前

	CASE 1	CASE 2
検証内容	Dropboxへのウェブアクセス禁止	SharePoint上ファイルのダウンロードブロック
事前準備	1. MDEとMDCAの連携 2. 非承認アプリの設定	1. セッションポリシーの作成 2. 条件付きアクセスの設定

次の項で検証結果の確認を行います。

検証結果

1. CASE 1：組織として利用可能/禁止アプリのブロック制御

ローカル端末からDropboxへの接続を試してみます。
すると、以下キャプチャのようにウェブアクセスがブロックされました。

※ 画像はイメージです

2. CASE 2：クラウドストレージからのファイルダウンロード防止

SharePoint上のファイルのダウンロードを試してみます。
すると、キャプチャのとおりメッセージが表示されダウンロードがブロックされました。

※ 画像はイメージです

2ケースとも、期待した通りの動作結果となりました。

3. まとめ：検証後

	CASE 1	CASE 2
検証内容	Dropboxへのウェブアクセス禁止	SharePoint上ファイルのダウンロードブロック
事前準備	1. MDEとMDCAの連携 2. 非承認アプリの設定	1. セッションポリシーの作成 2. 条件付きアクセスの設定
結果	想定通り (Dropboxへのアクセス禁止)	想定通り (ファイルダウンロードのブロック)

最後に

本記事では、検証を通してMDCAについて紹介しました。簡単な設定でクラウドアプリの利用禁止およびクラウド上のファイルの保護 (ダウンロード禁止) を実施できることが分かったかと思います。Entra IDやMDEと連携した機能も存在するため、これらの製品を利用しており、かつクラウドアプリの利用を推進しているお客さまには検討価値のある製品ではないでしょうか。