Microsoft Cloud App Security：決定的なガイド（2022）

クラウドアプリケーションの保護を改善したいですか？

次に、あなたは正しい場所にいます。

今日は、クラウドアプリの可視性を維持するために使用する正確な手法を紹介します。

1 Microsoft Cloud App Securityとは何ですか？

2 Microsoft Cloud App Securityはどのように機能しますか？

2.1発見

2.2制裁および非制裁

2.3アプリコネクタ

2.4ポリシー設定

3 Microsoft Cloud App Securityは何を提供しますか？

4発見

4.1新しい検出レポートを作成するにはどうすればよいですか？

5データ制御

5.1アプリ検出ポリシーの作成

6ファイルポリシーを作成する

6.1ファイルポリシーを作成する方法は？

7脅威からの保護

7.1アクティビティポリシーの作成

8マルウェアの検出

9アラートの調査と修正

9.1誤検知の削減

9.2OAuthアプリケーション

9.3OAuthアプリの管理

9.3.1禁止または承認してアプリ：

9.3.2アプリを取り消す

9.3.3OAuthポリシー

クラウドプラットフォーム用の10CASB

11リアルタイムの監視と制御

12 Azureポータル– Azure Active Directory

13セッションポリシーの作成

14 MicrosoftCloudAppセキュリティライセンス

Microsoft Cloud App Securityとは何ですか？

• Microsoft Cloud AppSecurityはMicrosoftCASB（Cloud Access Security Broker）であり、MicrosoftCloudSecurityスタックの重要なコンポーネントです。これは、クラウドアプリケーションの可能性を最大限に活用するために移動するときに組織を支援することができる包括的なソリューションですが、アクティビティの可視性を向上させることで制御を維持します。
• また、クラウドアプリケーション（Microsoftおよびサードパーティ）全体の重要なデータの保護を強化するのにも役立ちます。
• シャドーITの発見、リスクの評価、ポリシーの実施、アクティビティの調査、脅威の阻止に役立つツールを使用すると、組織は重要なデータの制御を維持しながら、より安全にクラウドに移行できます。

Microsoft Cloud App Securityはどのように機能しますか？

発見

クラウド検出は、トラフィックログを使用して、使用中のクラウドアプリを検出および分析します。ファイアウォールやプロキシから分析用のログファイルを手動でアップロードするか、自動アップロードを選択できます。

制裁と非制裁

• MS Cloud App Securityを使用すると、Cloudアプリカタログを使用して、組織内のアプリを制裁/ブロックできます。
• クラウドアプリカタログは、規制認定、業界標準、およびベストプラクティスに基づいて、クラウドアプリのリスクを評価します。
• 次に、組織のニーズに合わせてさまざまなパラメータのスコアと重みをカスタマイズできます。
• これらのスコアに基づいて、Microsoft Cloud App Securityは、環境に影響を与える可能性のある50を超えるリスク要因に応じて、アプリのリスクを通知します。

アプリコネクタ

• アプリコネクタは、さまざまなクラウドアプリプロバイダーが提供するAPIを活用して、Microsoft Cloud App Securityクラウドを他のクラウドアプリと統合し、制御と保護を拡張できるようにします。これにより、Microsoft 365 Cloud App Securityは、分析のためにクラウドアプリから直接情報を引き出すことができます。
• アプリを接続して保護を拡張するために、アプリ管理者はMS Cloud App Securityにアプリへのアクセスを許可し、Cloud App Securityはアプリにアクティビティログを照会し、データ、アカウント、およびクラウドコンテンツをスキャンします。
• Microsoft 365 Cloud App Securityは、ポリシーを適用し、脅威を検出し、問題を解決するためのガバナンスアクションを提供できます。

ポリシー設定

• ポリシーを使用すると、ユーザーがクラウドでどのように動作するかを定義できます。これらを使用すると、リスクのある動作、違反または疑わしいデータポイント、およびクラウド環境でのアクティビティを検出し、必要に応じて、修復プロセスを統合して完全なリスク軽減を実現できます。
• クラウド環境について収集するさまざまな種類の情報と、実行する可能性のある修復アクションの種類に関連するポリシーには、複数の種類があります。

Microsoft Cloud App Securityは何を提供しますか？

発見

組織全体で使用されているアプリケーションを検出することは、企業の機密データを確実に保護するための最初のステップにすぎません。ユースケースを理解し、トップユーザーを特定し、各アプリケーションに関連するリスクを判断することはすべて、組織の全体的なリスク姿勢を理解するための重要な要素です。Microsoft Cloud App Securityは、ユーザー、使用パターン、アップロード/ダウンロードトラフィック、およびトランザクションに関する継続的なリスク検出、分析、および強力なレポートを提供するため、異常をすぐに特定できます。

新しい検出レポートを作成するにはどうすればよいですか？

• 「 MicrosoftDefenderforCloudApps」ポータルにアクセスする
• 左側で、[検出]と[クラウド検出]ダッシュボードを選択します。

• 次に、「新しいレポートを作成する」を選択します

次に、必要な詳細を入力し、「作成」を選択します

注：レポート作成分析の処理には最大24時間かかります

データ管理

クラウドアプリ検出ポリシーを作成して、リスクのある、準拠していない、またはトレンドの新しいアプリが検出されたときにアラートを受け取る機能を提供します。組み込みのテンプレートを使用して、リスクの高い大量のアプリのアプリ検出ポリシーを作成することから始めます。構成は必要に応じて調整できます。

• 新しい大量のアプリ–1日の総トラフィックが500MBを超える新しいアプリが発見されたときにアラートを送信します
• リスクの高いアプリ–リスクスコアが6未満で、50人以上のユーザーが使用し、1日あたりの合計使用量が50 MBを超える新しいアプリが発見された場合に、アラートを送信します

ポリシーが作成されると、大量でリスクの高いアプリケーションが検出されたときに通知が届きます。これにより、ネットワーク内のアプリケーションを効率的かつ継続的に監視できます。

アプリ検出ポリシーの作成

• 「クラウドアプリセキュリティポータル」に移動します
• 「制御」をクリックしてから「ポリシー」をクリックします
• 「ポリシー」を作成し、 「アプリ検出ポリシー」を選択します

• 新しい大量のアプリのテンプレートを選択します

• 下にスクロールして[作成]をクリックします

ファイルポリシーの作成

• ファイルポリシーは、情報保護ポリシーに対する脅威を見つけるための優れたツールです。たとえば、ユーザーが機密情報、クレジットカード番号、サードパーティのICAPファイルをクラウドに保存している場所を見つけることができます。
• Cloud App Securityを使用すると、クラウドに保存されているこれらの不要なファイルを検出して脆弱性を残すだけでなく、即座にアクションを実行してそれらのファイルを追跡し、脅威となるファイルをロックダウンできます。
• 管理者検疫を使用すると、クラウド内のファイルを保護して問題を修正できるだけでなく、将来のリークの発生を防ぐことができます。
• ファイルポリシーを使用して、情報共有を検出し、クラウドアプリケーションの機密情報をスキャンします。

次のファイルポリシーを作成して、組織内で情報がどのように使用されているかを確認します。

• クラウドで検出されたPIIを含むファイル（組み込みのDLPエンジン）–認可されたクラウドアプリの組み込みのデータ損失防止（DLP）エンジンによって、個人を特定できる情報（PII）を含むファイルが検出されたときにアラートを出します。
• 許可されていないドメインと共有されているファイル–ファイルが許可されていないドメイン（競合他社など）と共有されている場合に警告します。
• 個人の電子メールアドレスと共有されるファイル–ファイルがユーザーの個人の電子メールアドレスと共有されるとアラートを出します。

プリセットテンプレートを使用して開始し、一致したポリシータブでファイルを確認します。ポリシーを単一のSharePoint/OneDriveサイトにスコープして、アプリケーションやサイトを追加する前に、ポリシーがどのように機能しているかを理解します。

ファイルポリシーを作成する方法は？

• 「MicrosoftCloudApp セキュリティポータル」に移動します
• 「制御」をクリックしてから「ポリシー」をクリックします
• 「ポリシー」を作成し、「ファイルポリシー」を選択します

• クラウドで検出されたPIIを含むファイルのテンプレートを選択します（組み込みのDLPエンジン）
• SharePointとOneDrive＆Folderにスコープを絞ります

• [作成]をクリックします

同じ手順に従い、上記のテンプレートを使用します。

ファイルポリシーの詳細については、このリンクをたどってください。

脅威からの保護

権限：グローバル管理者、セキュリティ管理者、またはユーザーグループ管理者

アクティビティポリシーを作成すると、エンドユーザーまたは特権アカウントの悪意のある使用、またはセッションが侵害された可能性の兆候を検出するのに役立ちます。

アクティビティポリシーの作成

アクティビティポリシーの詳細については、このリンクをたどってください。

• 単一のユーザーによる大量ダウンロード–このポリシーにより、データの漏洩の可能性を可視化できます。既定では、このポリシーはOneDriveクライアントの同期についても警告します
• アプリへの複数の失敗したユーザーログオン試行–ブルートフォース攻撃またはアカウントの侵害の可能性。
• 危険なIPアドレスからログイン–侵害された可能性のあるアカウント。
• 潜在的なランサムウェアアクティビティ–ユーザーがランサムウェアに感染している可能性のあるファイルをクラウドにアップロードしたときにアラートを出します。

マルウェアの検出

• この検出により、Microsoftアプリからのものかサードパーティアプリからのものかを問わず、クラウドストレージ内の悪意のあるファイルが識別されます。
• Microsoft Cloud App Securityは、Microsoftの脅威インテリジェンスを使用して、特定のファイルが既知のマルウェア攻撃に関連付けられており、潜在的に悪意があるかどうかを認識します。
• この組み込みポリシーはデフォルトで無効になっています。
• すべてのファイルがスキャンされるわけではありませんが、ヒューリスティックを使用して、潜在的に危険なファイルを探します。ファイルが検出されると、感染したファイルのリストが表示されます。
• ファイルドロワーのマルウェアファイル名をクリックして、ファイルが感染しているマルウェアの種類に関する情報を提供するマルウェアレポートを開きます。

注：マルウェアの検出はデフォルトで無効になっています。感染した可能性のあるファイルについてアラートを受け取ることができるように、必ず有効にしてください。

アラートの調査と修正

アラートに関連する違反の性質を調査して判断します。それがユーザーにとって深刻で疑わしい違反なのか、異常な行動なのかを理解するようにしてください。アラートの説明とトリガーされたもの、および同様のアクティビティを確認して、さらに調査します。

アラートを却下する場合は、アラートが重要でない理由、またはアラートが誤検知であるかどうかを理解することが重要です。ノイズが多すぎる場合は、アラートをトリガーするポリシーを確認して調整してください。

• 「MicrosoftCloudAppセキュリティポータル」で– 「アラート」に移動します

• 調査するアラートをクリックします。この例では、ブルートフォースと侵害されたIDの兆候である可能性のある、ログインの試行に複数回失敗した1人のユーザーを調査しています。
• アラートの説明を読み、提供された詳細を見て、疑わしいものがないかどうかを確認します。
• このユーザーは管理者であり、12回以上のログインに失敗したことがわかります。攻撃者がこのアカウントを侵害しようとしている可能性があります。

• 調査プロセスの追加情報については、[すべてのユーザーアクティビティを表示]をクリックして、このユーザーによるアクティビティを表示してください。

• キャプチャされた画像を見ると、彼はアカウントが侵害された管理者であることがわかります。彼がTORIPアドレスからのログインに複数回失敗し、大量ダウンロードアラートによってデータを盗み出そうとしたことを確認することで、その結論を出すことができます。
• これで、アラートが真であると推測するのに十分な情報が得られました。利用可能なオプションによってアラートを解決できます。この場合、ユーザーのアカウントが危険にさらされているため、ユーザーを一時停止するのが最善の方法です。

• [解決]をクリックして、アラートをどのように解決したかを記入します

誤検知の削減

異常検出ポリシーは、環境内のユーザーによって実行される異常な動作である場合にトリガーされます。Microsoft Cloud App Securityには、エンティティの行動分析と機械学習を使用してユーザーの「通常の」行動を理解する学習期間があります。感度スライダーを使用して、特定のグループのみの特定のポリシーをスコープすることに加えて、そのポリシーの感度を決定します。

例として、不可能な旅行アラート内の誤検知の数を減らすために、感度スライダーを低く設定することができます。組織内に頻繁に企業旅行をするユーザーがいる場合は、それらのユーザーをユーザーグループに追加し、ポリシーの範囲でそのグループを選択できます。

企業のIPアドレスとVPNの範囲を追加すると、不可能な旅行やまれな国に関連するアラートが少なくなります。

[設定]をクリックしてから[IPアドレス範囲]をクリックします範囲に
名前を付け
ますIPアドレス範囲を入力します
カテゴリを選択し
ますこの範囲から特定のアクティビティにタグを付けるためにタグを追加します

OAuthアプリケーション

これらは、組織内のビジネスユーザーによってインストールされたアプリケーションで、ユーザー情報とデータにアクセスし、Microsoft 365、G Suite、Salesforceなどの他のクラウドアプリでユーザーに代わってサインインする許可を要求します。ユーザーがこれらのアプリをインストールするとき、アプリへのアクセス許可の付与など、プロンプトの詳細を詳しく確認せずに[同意する]をクリックすることがよくあります。

これらのアプリへのアクセスを禁止および取り消すことができます。

多くのユーザーは、OAuthアプリケーションにアクセスしようとすると、Microsoft 365、G-Suite、Salesforceの企業アカウントへのアクセスを許可します。問題が発生するのは、ITが通常、これらのアプリケーションや関連するリスクレベルを把握していないことです。Cloud App Securityを使用すると、ユーザーがインストールしたOAuthアプリケーションと、ユーザーがログインに使用している企業アカウントを検出できます。どのOAuthアプリがどのアカウントで使用されているかを確認したら、ポータルで直接アクセスを許可または禁止できます。

OAuthアプリを管理する

OAuthページには、ユーザーが企業のMicrosoft 365、Salesforce、およびG-Suiteのクレデンシャルを使用してアクセスを許可しているアプリケーションに関する情報が含まれています。

禁止または承認してアプリ：

• 「MicrosoftCloudAppセキュリティポータル」に移動します->「調査」をクリックします-> 「OAuthアプリ」をクリックします
• 「アプリドロワー」をクリックして、各アプリケーションの追加情報と付与された権限を表示します
• 承認または禁止アイコンをクリックすると、アプリを禁止または承認できます

注：アプリを禁止する場合は、ユーザーがインストールして権限を付与したアプリが禁止されていることをユーザーに通知し、カスタム通知メッセージを追加できます。

アプリを取り消す

この機能は、G-SuiteおよびSalesforceに接続されたアプリケーションでのみ使用できます。

• OAuthアプリページで->アプリ行の右端にある3つのドットをクリックします
• アプリを取り消すをクリックします

OAuthポリシー

OAuthポリシーは、特定の基準を満たすOAuthアプリが検出されたときに通知します。

OAuthアプリポリシーを作成する手順については、このリンクをたどってください。

クラウドプラットフォーム用のCASB

権限：グローバル管理者

注：Azure ADグローバルロールは、特権ユーザーにAzureサブスクリプションへのアクセスを自動的に提供しません。

Azureサブスクリプションを追加するには、特権ユーザーにアクセス許可を昇格します。サブスクリプションを追加した後は、昇格を無効にしてください。

クラウドセキュリティの姿勢を改善するには、AzureサブスクリプションをCloudAppSecurityに追加します。Azure Security Centerとの統合により、構成とセキュリティ制御が不足している場合に通知されます。環境内の異常を特定し、Azure Securityポータルにピボットして、これらの推奨事項を適用し、脆弱性を解決することができます。

Azure Security Centerとの統合の詳細については、ここをクリックしてください。

リアルタイムの監視と制御

権限：セキュリティ管理者またはグローバル管理者

• 条件付きアクセスアプリの制御は、リバースプロキシアーキテクチャを利用し、Azure ADの条件付きアクセス（CA）と独自に統合されています。
• Azure ADの条件付きアクセスを使用すると、特定の条件に基づいて組織のアプリにアクセス制御を適用できます。
• 条件は、条件付きアクセスポリシーが適用される「who」（たとえば、ユーザーまたはユーザーのグループ）、「what」（どのクラウドアプリ）、および「where」（場所とネットワーク）を定義します。
• 条件を決定したら、ユーザーをMS Cloud App Securityにルーティングし、アクセスとセッションの制御を適用することで、条件付きアクセスAppControlを使用してデータを保護できます。
• 条件付きアクセスアプリ制御により、ユーザーアプリのアクセスとセッションを、アクセスとセッションのポリシーに基づいてリアルタイムで監視および制御できます。
• アクセスポリシーはPCおよびモバイルデバイスに使用され、セッションポリシーはブラウザセッションに使用されます。

アクセスおよびセッションポリシーは、次の機能を提供します。

• ダウンロード時にブロックする
• ダウンロード時に保護する
• ドキュメントのコピー/印刷を防止する
• 信頼性の低いセッションを監視する
• アクセスをブロックする
• 読み取り専用モードを作成する
• 企業以外のネットワークからのユーザーセッションを制限する
• アップロードをブロックする

Azureポータル– Azure Active Directory

• [保護]の下の[ AzureActiveDirectory ] （AAD）に移動し、[条件付きアクセス]をクリックします

• AAD内にポリシーを作成して、条件付きアプリを有効にします
• テストユーザーグループを割り当て、1つのクラウドアプリ（SharePointまたはSSOが構成されているサードパーティアプリ）を割り当てて、テストを開始します
• [セッション]をクリックし、[条件付きアクセスアプリコントロールを使用する]をクリックします
• 「カスタムポリシーを使用」を選択すると、MicrosoftCloudAppセキュリティポータルを介してセッションがルーティングされます。

• ポリシーを作成したら、構成済みの各アプリから必ずログアウトして、再度ログインしてください。
• CASポータルに再度ログインし、[設定]に移動して、[条件付きアクセスアプリの制御]をクリックします

• 構成されたアプリケーションは、Conditional AccessAppControlアプリとしてポータルに表示されます。

セッションポリシーの作成

テンプレートを使用してセッションポリシーを作成し、開始するすべてのアクティビティを監視します。

プリセットテンプレートを使用して追加のポリシーを作成し、使用可能なさまざまなコントロールをテストします。

• 「クラウドアプリセキュリティポータル」に移動します
• 「制御」をクリックしてから「ポリシー」をクリックします
• 「ポリシー」を作成し、「セッションポリシー」を選択します

• テンプレートを選択して、すべてのアクティビティを監視します

• [作成]をクリックします

Microsoftクラウドアプリセキュリティライセンス

Microsoft Cloud App Securityの商用ライセンスの価格は、プログラム、地域、および契約の種類によって異なります。ダイレクトチャネルには、ERPスタンドアロンの定価があります。料金設定の詳細については、こちらをご覧ください。さらに、Microsoft CloudAppSecurityのConditionalAccessApp Control機能を使用する場合は、この機能を有効にする予定のすべてのユーザーに対して、少なくともAzure Active Directory Premium P1（AAD P1）ライセンスが必要です。

Microsoft Cloud App Securityを含む米国政府のお客様が利用できるライセンスプランについては、以下のライセンス表で説明しています。詳細については、ライセンスと価格の説明をご覧ください。

• Microsoft365 米国政府
• Microsoft365政府
• 米国政府のエンタープライズモビリティ+セキュリティ

最後に、Microsoft 365 Cloud App Securityの情報保護、リアルタイムモニタリング、および脅威保護機能について理解しておく必要があります。

今、私はあなたから聞きたいです：

今日の投稿のどの戦略を最初に試しますか？あるいは、お気に入りのクラウドアプリのセキュリティに関するヒントの1つについては触れなかったかもしれません。

いずれにせよ、今すぐ下にコメントを残して私に知らせてください。

生産性を向上させるためにExchangeOnlineエクスペリエンスを改善したいですか？ここに記載されているヒントとコツを確認してください。