SaaS アプリに推奨される Microsoft Defender for Cloud Apps ポリシー

  • [アーティクル]

Microsoft Defender for Cloud Apps は、Microsoft Entra 条件付きアクセス ポリシーに基づいて構築されており、ダウンロードのブロック、アップロード、コピーと貼り付け、印刷など、SaaS アプリでの詳細なアクションをリアルタイムで監視して制御できます。 この機能により、企業リソースがアンマネージド デバイスやゲスト ユーザーからアクセスされる場合など、本質的にリスクを伴うセッションにセキュリティが追加されます。

また、Defender for Cloud Apps は Microsoft Purview Information Protection とネイティブに統合されており、機密情報の種類と機密ラベルに基づいて機密データを検索し、適切なアクションを実行するための、リアルタイムのコンテンツ検査を提供します。

このガイダンスには、次のシナリオに関する推奨事項が含まれます。

  • SaaS アプリを IT 管理に取り込む
  • 特定の SaaS アプリ向けに保護を調整する
  • データ保護規制に準拠するために Microsoft Purview のデータ損失防止 (DLP) を構成する

SaaS アプリを IT 管理に取り込む

Defender for Cloud Apps を使って SaaS アプリを管理する最初のステップは、これらを検出して、Microsoft Entra テナントに追加することです。 検出についてヘルプが必要な場合は、ネットワークでの SaaS アプリの検出と管理に関する記事をご覧ください。 アプリを検出したら、それらを Microsoft Entra テナントに追加します

次のようにして、これらの管理を始められます。

  1. 最初に、Microsoft Entra ID で、新しい条件付きアクセス ポリシーを作成し、"アプリの条件付きアクセス制御を使用する" ように構成します。これにより、要求が Defender for Cloud Apps にリダイレクトされます。 ポリシーを 1 つ作成して、すべての SaaS アプリをこのポリシーに追加できます。
  2. 次に、Defender for Cloud Apps でセッション ポリシーを作成します。 適用する制御ごとに 1 つのポリシーを作成します。

SaaS アプリに対するアクセス許可は、通常、アプリへのアクセスに関するビジネス ニーズに基づきます。 これらのアクセス許可は非常に動的な場合があります。 Defender for Cloud Apps ポリシーを使うと、開始点、エンタープライズ、または特殊なセキュリティ保護に関連付けられている Microsoft Entra グループにユーザーが割り当てられているかどうかに関係なく、アプリのデータが確実に保護されます。

次の図は、SaaS アプリのコレクション全体でデータを保護するために必要な、Microsoft Entra 条件付きアクセス ポリシーと、Defender for Cloud Apps で作成できる推奨ポリシーを示したものです。 この例の Defender for Cloud Apps で作成されたポリシーは、管理しているすべての SaaS アプリに適用されます。 これらは、デバイスが管理されているかどうか、およびファイルに既に適用されている秘密度ラベルに基づいて、適切な制御を適用するように設計されています。

Defender for Cloud Apps で SaaS アプリを管理するためのポリシーを示す図。

次に示す表は、Microsoft Entra ID で作成する必要がある新しい条件付きアクセス ポリシーの一覧です。

防護等級 ポリシー 詳細
すべての保護レベル Defender for Cloud Apps でアプリの条件付きアクセス制御を使用する これにより、Defender for Cloud Apps と連携するように IdP (Microsoft Entra ID) が構成されます。

次の表は、すべての SaaS アプリを保護するために作成できる、上で示したポリシーの例の一覧です。 ビジネス、セキュリティ、コンプライアンスの目標を評価してから、環境に最適な保護を提供するポリシーを作成してください。

防護等級 ポリシー
開始ポイント アンマネージド デバイスからのトラフィックを監視する

アンマネージド デバイスからのファイルのダウンロードに保護を追加する
Enterprise 機密または極秘のラベルが付いたファイルの、アンマネージド デバイスからのダウンロードをブロックする (これはブラウザー専用アクセスを提供する)
特殊なセキュリティ 極秘のラベルが付いたファイルの、すべてのデバイスからのダウンロードをブロックする (これはブラウザー専用アクセスを提供する)

アプリの条件付きアクセス制御を設定する手順について詳しくは、おすすめアプリに対するアプリの条件付きアクセス制御の展開に関する記事をご覧ください。 この記事では、Microsoft Entra ID で必要な条件付きアクセス ポリシーを作成して SaaS アプリをテストするプロセスが説明されています。

詳細については、「Microsoft Defender for Cloud Apps の条件付きアクセス アプリ制御によるアプリの保護」を参照してください。

特定の SaaS アプリ向けに保護を調整する

環境内の特定の SaaS アプリに追加の監視と制御を適用したい場合があります。 Defender for Cloud Apps を使うと、これを実現できます。 たとえば、Box のようなアプリが環境内でよく使われている場合は、より多くの制御を適用することに意味があります。 または、法務や財務部門で機密ビジネス データに特定の SaaS アプリが使われている場合は、これらのアプリを対象に保護を強化できます。

たとえば、次のような種類の組み込み異常検出ポリシー テンプレートを使って Box 環境を保護できます。

  • 匿名 IP アドレスからのアクティビティ
  • 頻度の低い国/地域からのアクティビティ
  • 不審な IP アドレスからのアクティビティ
  • あり得ない移動
  • 終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要)
  • マルウェア検出
  • 複数回失敗したログイン試行
  • ランサムウェアのアクティビティ
  • 危険な Oauth アプリ
  • 異常なファイル共有アクティビティ

これらは例の一部です。 新しいポリシー テンプレートが定期的に追加されます。 特定のアプリに追加の保護を適用する方法の例については、接続されているアプリの保護に関する記事をご覧ください。

Defender for Cloud Apps が Box 環境の保護に役立つしくみ」では、Box 内のビジネス データや機密データを含むその他のアプリを保護するのに役立つ制御の種類が示されています。

データ保護規制に準拠するためにデータ損失防止 (DLP) を構成する

Defender for Cloud Apps は、コンプライアンス規制の保護を構成するための重要なツールです。 この場合は、規制が適用される特定のデータを検索する特定のポリシーを作成して、適切なアクションを実行するように各ポリシーを構成します。

次の図と表では、一般データ保護規則 (GDPR) に準拠するために構成できるいくつかのポリシーの例が示されています。 これらの例では、ポリシーで特定のデータを検索しています。 各ポリシーは、データの機密度に基づいて適切なアクションを実行するように構成されています。

データ損失防止ページの Defender for Cloud Apps ポリシーを示す図。

防護等級 ポリシーの例
開始ポイント この機密情報の種類 ("クレジット カード番号") を含むファイルが組織の外部で共有されている場合にアラートを生成する

この機密情報の種類 ("クレジット カード番号") を含むファイルのアンマネージド デバイスへのダウンロードをブロックする
Enterprise この機密情報の種類 ("クレジット カード番号") を含むファイルのマネージド デバイスへのダウンロードを保護する

この機密情報の種類 ("クレジット カード番号") を含むファイルのアンマネージド デバイスへのダウンロードをブロックする

これらのラベルのいずれかが付いたファイルが OneDrive for Business または Box にアップロードされたときにアラートを生成する (顧客データ、人事: 給与データ、人事、従業員データ)
特殊なセキュリティ このラベル ("極秘") の付いたファイルがマネージド デバイスにダウンロードされたときにアラートを生成する

このラベル ("極秘") が付いたファイルのアンマネージド デバイスへのダウンロードをブロックする

次のステップ

Defender for Cloud Apps の使用について詳しくは、Microsoft Defender for Cloud Apps のドキュメントをご覧ください。