みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。
本日は、2016年4月より一般提供開始&評価環境がリリースされた Cloud App Security (旧 Adallom)についてご紹介します。
<サービスの機能概要>
Cloud App Security は、企業内で利用されているSaaS アプリケーションの使用状況をダッシュボード形式で表示し、セキュリティリスクを検知したユーザーのアクセスを制御することができるサービスです。
クラウドアプリケーションを複数活用している企業様にとって、どの組織で、なんのクラウドアプリケーションが、どのように利用されているのか・そもそも正しく利用されているのか、といった、潜在的に活用されているクラウドアプリケーションを含め利用状況のすべてを把握することは非常に困難です。利用するクラウドアプリケーションが増えれば増えるほど、それらを統合的に管理したいというニーズが出てきますよね。
Cloud App Security は、異なる複数のクラウドアプリケーションを、一元的に管理・利用状況を把握し、さらに万が一の事態に備えてすぐに制御を実施できます。SaaS アプリケーションを企業内で活用しはじめる企業様、そしてすでに複数個のSaaS アプリケーションを活用されていらっしゃり、セキュリティ向上したい 企業様に有効なサービスです。
こちらが、Cloud App Security の管理コンソール、ダッシュボードです。
組織内で利用されているクラウドアプリケーションの使用状況をユーザー、データ、アクティビティ、アクセスという切り口で把握します。
主なコントロールメニューに「Discover」「Investigate」「Control」「Alerts」があります。
それでは、Cloud App Security と各管理メニューについて、
①「Discovery」②「Data control」③「Threat protection」という3軸でご紹介します。
Office 365, Yammer, Dynamics CRM, OneDrive, Box, Twitter, Facebook などなど、様々なクラウドアプリケーションが検出されています。こちらには記載されておりませんが、Salesforce, ServiceNow, Ariva などを利用しているお客様でしたら、それらも検出対象になります。
① Discovery:クラウドアプリケーションの利用に関わる リスクアセスメントと 検出・解析
・シャドーITの検知と対策
エージェントを利用することなく、13,000を超えるクラウドアプリケーションの利用を検知できます。(Cloud App Security では、エージェントをエンドポイントやユーザーのデバイスにインストールする必要がありません。代わりに、ファイヤーウォール、ルーター、Web アプリケーション ゲートウェイ、その他のプロキシー デバイスなど、各種の送信ネットワーク デバイスからインポートされたログ ファイルに基づいて検出が行われます。)
ユーザー・IPアドレスを識別し、最も利用されているアプリケーション/最も利用しているユーザーを認識し、ダッシュボードに表示します。
・リスク評価
60を超えるリスク評価パラメーターを元に、利用中のクラウドアプリケーションが正しい使われ方をしているのか、確認できます。
-> どのアプリケーションが、どの組織・部門で利用されているのかを検出し、さらに利用中の機密データを保護されていること
-> クラウドアプリケーションが利用されている傾向、アップロードされたデータボリューム、よく利用しているユーザー
-> アプリケーションごとに、特定のユーザーやアクティビティをドリルダウンし、リスクアセスメントの結果
・不審な要素を検出
-> ネットワーク上のあらゆるデバイスの、すべてのクラウド アプリを検出
-> クラウドサービス使用上の異常、新たなサービス、不審なユーザーを監視し、検出
-> 既存の SIEMやIAMソリューション、SSO、および分析ソリューションと統合可能
・解析を実施、ダッシュボードに表示
-> トラフィックログを利用することで、組織内でどんなクラウドアプリケーションが検出・解析を行う
-> ファイヤーウォールやプロキシーからログファイルを自動/手動でアップロードして、解析に使うことが可能
サポートされるファイヤーウォール・プロキシーについてはこちらをご参照ください。
What is Microsoft Cloud App Security? How Cloud Discovery works
https://msdn.microsoft.com/en-us/library/mt489024.aspx
② Data control:クラウドアプリケーションで利用されるデータを保護するために、ポリシーを適用
・ポリシーの定義
-> アクセス、アクティビティ、データ共有に関するポリシーを作成
例えば、顧客のクレジットカードナンバー、ファイル重要度をヒエラルキー、リスクを最小限に抑え脅威の回避とポリシーの適用を自動化できます。
-> 認可したクラウドアプリケーションのセキュリティポリシーを詳細に設定することが可能
-> 事前定義されたテンプレートか、既存のデータ漏えいを防止 (DLP) ポリシーを拡張して利用
rest フォーマットのデータも、文書データそのものも、データ紛失を防ぐことができます。
-> クラウドで活用するデータのガバナンスを効かせることが可能
例えば、クラウドストレージやクラウドアプリケーションに保有されたファイルや、添付資料などが対象です。
・ポリシーの強制適用
-> ポリシー違反やユーザーの調査、ファイルやアクティビティのレベルを識別
-> 検疫や、許可のはく奪といったポリシーの強制適用が可能
-> 許可されていない端末からの、トランザクションのブロックやセッションの制御
・API を利用し、サード パーティのクラウド アプリケーションに拡張可能
App Connectors は、3rd Party クラウドアプリケーションから提供されるAPI を利用し、他のアプリと統合したり、コントロールや保護機能を 拡張することができます。
クラウドアプリケーションに接続し、拡張保護をするために、管理者は Cloud App Security がクラウドアプリケーションに接続できるようにし、アプリのアクティビティログを問い合わせし、データやクラウドのコンテンツをスキャンできるように、認証する必要があります。
そうすることで、Cloud App Security は、ポリシーを強制適用させることができたり、脅威を検知できたり、ガバナンスをよりきかせることができるようになります。
③ Threat protection: セキュリティ脅威の防止
こちらが [Alerts] のダッシュボードです。
クラウドアプリケーション環境内の、違反の可能性が高い利用をしているユーザーを行動・習性の解析し表示。攻撃のパターンアクティビティを可視化。すべてのクラウド アプリについて、ユーザー、データ、使用状況、および脅威をより詳細に把握します。リスク検出後、リスクの高いアクティビティ・異常な動作・脅威を自動的に識別。また、機械学習を用いた、高度な異常検出とユーザー行動分析を実施します。
また下記のアクションを実行できます。
・アクションの適用: 検疫、駆除、アクセス許可の削除など
・データ損失の防止: 送信中と保存中の両方のデータに対応
・ブロック: 機密性の高いトランザクションをブロック
・クラウド環境の構成: すぐに使用できるポリシーとカスタム ポリシーを利用
・セッションの制限: 管理されていないデバイスに対応
・統合: 既存の MDM、DLP、暗号化、SIEM、IAM、および SSO ソリューションと統合
Cloud App Security 関連情報は、今後も引き続き、 Update をいたします。
<参考資料>
[MSDN] What is Microsoft Cloud App Security?
https://msdn.microsoft.com/en-us/library/mt489024.aspx
[TechNet] Getting started with Cloud App Security
https://technet.microsoft.com/en-us/library/mt668458.aspx