メイン コンテンツにスキップ このブラウザーはサポートされなくなりました。 Show Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 Defender for Cloud Apps の基本的なセットアップ
この記事の内容注意
次の手順では、Microsoft Defender for Cloud Apps ポータルをカスタマイズする手順について説明します。 前提条件ポータルにアクセスするには、次の IP アドレスをファイアウォールの許可リストに追加して、Defender for Cloud Apps ポータルにアクセスできるようにする必要があります。
US Government GCC High のお客様の場合は、次の IP アドレスもファイアウォールの許可リストに追加して、Defender for Cloud Apps GCC High ポータルにアクセスできるようにする必要があります。
ポータルを設定する
注意 ExpressRoute を使用している場合、Defender for Cloud Apps は Azure にデプロイされて、ExpressRoute に完全に統合されます。 検出ログのアップロードを含む、Defender for Cloud Apps アプリとのすべての通信、および Defender for Cloud Apps に送信されるトラフィックは、ExpressRoute 経由でルーティングされるため、待機時間、パフォーマンス、およびセキュリティが改善されます。 Microsoft ピアリングの詳細については、「 ExpressRoute 回線とルーティング ドメイン」を参照してください。 次のステップ問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。 メイン コンテンツにスキップ このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 Microsoft Defender for Cloud Apps の概要
この記事の内容注意
Microsoft Defender for Cloud Apps は、ログの収集、API コネクタ、リバース プロキシなど、さまざまな展開モードをサポートするクラウド アクセス セキュリティ ブローカー (CASB) です。 お使いの Microsoft およびサード パーティ製クラウド サービス全体にわたるサイバー攻撃の脅威を特定し、対処するために、豊富な表示機能、データ送受信の制御、高度な分析を備えています。 Microsoft Defender for Cloud Apps は、Microsoft の主要なソリューションとネイティブに統合され、セキュリティの専門家向けに設計されています。 シンプルな展開、一元化された管理、革新的な自動化の機能を備えています。 ライセンスについては、Microsoft 365 ライセンス データシートに関するドキュメントをご覧ください。 CASB とはクラウドに移行することで、従業員と IT チームの柔軟性が向上します。 ただし、組織のセキュリティを確保するための複雑さと課題も新たに生じます。 クラウド アプリとサービスの利点を最大限に活用するために、IT チームはアクセスをサポートしつつ重要なデータを保護するという適切なバランスを見つける必要があります。 ここで、クラウド アクセス セキュリティ ブローカーを使用すれば、ご利用のエンタープライズ セキュリティ ポリシーを適用して、クラウド サービスの組織の使用へのセーフガードを追加することで、バランスに対処できます。 この名前が示すように、CASB は、ユーザーがいる場所や使用しているデバイスに関係なく、貴社のエンタープライズ ユーザーと彼らが使用しているクラウド リソースの間でリアルタイムにブローカー アクセスに対するゲートキーパーとしての役割を果たします。 CASB はこのために、シャドウ IT とアプリの使用状況を検出して可視性を提供し、異常な動作に対するユーザー アクティビティを監視し、リソースへのアクセスを制御し、機密情報を分類してその漏洩を防ぐ機能を提供し、悪意のあるアクターから保護し、クラウド サービスのコンプライアンスを評価します。 CASB は、ユーザー アクティビティや機密データに対する詳細な可視性と制御を提供して、組織によるクラウド サービスの使用におけるセキュリティのギャップに対処します。 CASB の対象範囲は、SaaS、PaaS、および IaaS 全体まで広く及びます。 SaaS の対象範囲として、CASB は、最も人気の高いコンテンツ コラボレーション プラットフォーム (CCP)、CRM システム、人事システム、エンタープライズ リソース プランニング (ERP) ソリューション、サービス デスク、オフィス生産性スイート、およびエンタープライズ ソーシャル ネットワーキング サイトでよく使用されます。 IaaS と PaaS の対象範囲として、いくつかの CASB では、一般的なクラウド サービス プロバイダー (CSP) の API ベースの使用が管理され、これらのクラウドで実行されるアプリケーションの可視性とガバナンスが拡張されます。 CASB が必要な理由SaaS アプリとクラウド サービスの全体的なクラウドの状態をより深く理解するために CASB が必要です。そのため、シャドウ IT の検出とアプリのガバナンスが主なユース ケースです。 また、組織は、IAM、VM などのクラウド プラットフォームとコンピューティング リソース、データとストレージ、ネットワーク リソースなどの管理とセキュリティ保護に対する責任があります。 そのため、ネットワーク サービスのポートフォリオにクラウド アプリを使用するか、その使用を検討している組織にとって、環境の規制とセキュリティ保護という追加の独自の課題に対処するために CASB が必要です。 たとえば、悪意のあるアクターがクラウド アプリを活用して企業ネットワークに侵入し、機密性の高いビジネス データを抜き取る方法は数多くあります。 組織は、悪意のあるアクターが採用するさまざまな方法から、ユーザーと機密データを守る必要があります。 一般に、CASB は、次の主軸を中心に環境を保護する幅広い機能を提供することによって、これを実現します。
Defender for Cloud Apps のフレームワーク
アーキテクチャDefender for Cloud Apps は、次の作業によってクラウドの詳細を把握します。
データ保有期間とコンプライアンスMicrosoft Defender for Cloud Apps のデータ保有期間とコンプライアンスの詳細については、「Microsoft Defender for Cloud Apps のデータ セキュリティとプライバシー」を参照してください。 Cloud DiscoveryCloud Discovery では、トラフィック ログを使用して、組織内で使用しているクラウド アプリを動的に検出、分析します。 組織のクラウド使用のスナップショット レポートを作成するために、ファイアウォールまたはプロキシから分析用のログ ファイルを手動でアップロードすることができます。 継続的なレポートを設定するには、Defender for Cloud Apps ログ コレクターを使用して、ログを定期的に転送します。 Cloud Discovery の詳細については、「Set up Cloud Discovery」(Cloud Discovery のセットアップ) を参照してください。 アプリの承認および却下Defender for Cloud Apps を使用すると、"クラウド アプリ カタログ" を使用して、組織内のアプリを承認または却下することができます。 アナリストの Microsoft チームは、業界標準に基づいてランク付けおよびスコア付けされた 31,000 を超えるクラウド アプリの広範で継続的に成長しているカタログを持っています。 クラウド アプリ カタログを使用して、規制機関認定、業界標準、ベスト プラクティスに基づいて、クラウド アプリのリスクを評価できます。 その後、組織のニーズに合わせて、さまざまなパラメーターのスコアと重みをカスタマイズします。 これらのスコアに基づいて、Defender for Cloud Apps によってアプリの危険性を知ることができます。 スコアリングは、環境に影響を与える可能性がある 80 以上のリスク要因に基づきます。 アプリ コネクタアプリ コネクタでは、クラウド アプリ プロバイダーの API を使用して、Defender for Cloud Apps クラウドを他のクラウド アプリと統合します。 アプリ コネクタは、コントロールと保護を拡張します。 また、これにより、Defender for Cloud Apps 分析のためにクラウド アプリから直接情報にアクセスすることもできます。 アプリを接続して保護を拡張するために、アプリ管理者は Defender for Cloud Apps に対してアプリへのアクセスを承認します。 次に、Defender for Cloud Apps によって、アプリに対してアクティビティ ログに関するクエリが行われ、データ、アカウント、クラウド コンテンツがスキャンされます。 Defender for Cloud Apps では、ポリシーを適用し、脅威を検出して、問題を解決するためのガバナンス アクションを提供することができます。 Defender for Cloud Apps では、クラウド プロバイダーから提供される API を使用します。 各アプリには、独自のフレームワークと API の制限事項があります。 API の使用を最適化するために Defender for Cloud Apps とアプリ プロバイダーとの連携が行われ、最適なパフォーマンスが実現されます。 Defender for Cloud Apps エンジンでは、アプリによって API に適用されるさまざまな制限事項 (調整、API の制限、動的なタイムシフト API の期間など) を考慮して、許容される容量を使用します。 テナント内のすべてのファイルのスキャンなど、一部の処理には大量の API が必要となるため、長時間にわたって実行されます。 ポリシーによっては、数時間または数日間にわたって実行される場合があります。 Conditional Access App Control 保護Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御では、リバース プロキシ アーキテクチャを使用して、クラウド環境内で実行されるアクティビティへのアクセスをリアルタイムで把握して制御するために必要なツールを提供します。 Conditional Access App Control では、次のようにして組織を保護することができます。
ポリシー コントロールポリシーを使用して、クラウドでのユーザーの動作を定義できます。 ポリシーを使用して、危険な動作、違反、またはクラウド環境内の疑わしいデータ ポイントやアクティビティを検出します。 必要に応じて、ポリシーを使用して修復プロセスを統合し、完全なリスクの軽減を実現することができます。 ポリシーの種類は、収集するクラウド環境の情報の種類や、実行する修復アクションの種類に関連付けられています。 次の手順
問題が発生した場合は、こちらを参照してください。 製品の問題について支援やサポートやを受けるには、サポート チケットを作成してください。 |