チュートリアル: 組織で使用中の任意のアプリをリアルタイムで保護する

従業員の使用を承認するアプリでは、多くの場合、最も機密性の高い企業データと社外秘情報の一部を格納します。 現代の職場では、ユーザーは多くの危険にさらされた状況でこれらのアプリにアクセスします。 これらのユーザーは、可視性がほとんどない組織内のパートナー、またはアンマネージド デバイスを使用している従業員、あるいはパブリック IP アドレスからアクセスしている従業員である可能性があります。 このような状況におけるリスクの範囲は広範であるため、ゼロトラスト戦略を採用する必要があります。 多くの場合、これらのアプリの侵害やデータ損失を把握するには、これだけでは十分ではありません。そのため、多くの情報保護とサイバー脅威のシナリオにリアルタイムで対処したり防止したりする必要があります。

このチュートリアルでは、アクセス制御とセッション制御を使用して、アプリとそのデータへのアクセスを監視および制御する方法について説明します。 データへのアクセスをアダプティブに管理して脅威を軽減することで、Defender for Cloud Apps で最も重要な資産を保護することができます。 具体的には、次のシナリオについて説明します。

リアルタイムで任意のアプリから組織を保護する方法

このプロセスを使用して、組織でリアルタイムの制御をロールアウトします。

フェーズ 1: ユーザー アクティビティにおける異常を監視する

Microsoft Entra ID アプリは、条件付きアクセス アプリ制御用に自動的に展開され、リアルタイムで監視されて、アクティビティや関連情報をすぐに把握できます。 この情報を使用して異常な動作を識別します。

Defender for Cloud Apps の アクティビティ ログ を使用して、環境内でのアプリの使用状況を監視および特徴付け、リスクを把握します。 検索、フィルター、クエリ を使用してリストされるアクティビティの範囲を絞り込み、危険なアクティビティを迅速に特定します。

フェーズ 2: データが流出したときにデータを保護する

多くの組織にとっての主な懸念事項は、データ流出を防止する方法です。 2 つの最大のリスクとして、アンマネージド デバイス (PIN で保護されていないか、悪意のあるアプリが含まれている可能性がある) と、IT 部門の可視性と制御がほとんどないゲスト ユーザーがあります。

使用するアプリを展開したので、これらの両方のリスクを軽減するポリシーを簡単に構成できます。それには、デバイス管理については Microsoft Intune との、ユーザー グループについては Microsoft Entra ID との、データ保護については Microsoft Purview Information Protection とのネイティブ統合を活用します。

• アンマネージド デバイスのリスクを軽減する: 組織内の ユーザー専用の機密性の高いファイルにラベルを付 けて保護するセッション ポリシーを作成します。
• ゲスト ユーザーのリスクを低減する: ゲスト ユーザーによってダウンロードされるすべてのファイルにカスタム アクセス許可を適用するセッション ポリシーを作成します。 たとえば、ゲスト ユーザーが保護されたファイルにのみアクセスできるようにアクセス許可を設定できます。

フェーズ 3: 保護されていないデータがアプリにアップロードされないようにする

組織は多くの場合、データ流出を防ぐだけでなく、クラウド アプリに侵入したデータの安全性も確保したいと考えます。 一般的なユース ケースは、ユーザーが正しくラベル付けされていないファイルをアップロードしようとしたときです。

上記で構成したアプリでは、次のように、正しくラベル付けされていないファイルがアップロードされないようにセッション ポリシーを構成することができます。

1. 間違ってラベル付けされたファイルのアップロードをブロックするセッション ポリシーを作成します。

2. ラベルを修正して再試行する方法の手順を含むブロック メッセージを表示 するようにポリシーを構成します。

この方法でファイルのアップロードを保護することで、クラウドに保存されたデータに適切なアクセス許可が適用されます。 ファイルが共有または失われた場合、許可されたユーザーのみがアクセスできます。

詳細情報

• 対話型ガイド「Microsoft Defender for Cloud Apps を使用した情報の保護と管理」をご覧ください