シャドーITとは組織が把握していない、従業員が利用しているクラウドサービスのことを指します。

クラウドサービスの中にはセキュリティが不十分なものも存在しており、そういったサービスを従業員が組織の許可なく利用することによって、マルウェア感染や不正アクセスにつながることもあります。特に昨今ではテレワーク化で従業員のデバイス利用状況を把握しにくいということもあり、シャドーITを可視化することの重要性が高まっています。

マイクロソフトでは、Microsoft Defender for Cloud Apps の Cloud Discovery という機能でシャドーITを可視化することができます。今回はその機能や設定方法についてご紹介します。

Cloud Discovery とは

Cloud Discovery とは、トラフィックログを使用して組織内で利用しているクラウドサービスを検出する機能です。マイクロソフトでは25000以上のクラウドサービスをスコアリングしており、10段階評価で該当のサービスの安全性を確認することができます。このうち危険だと判断したサービスについては「承認されていない」とマークし、利用をブロックするような設定も可能です。

利用にあたっては、Microsoft Defender for Cloud Apps ライセンスまたは、本ライセンスを包含する Microsoft 365 E5 ライセンスなどのセットプランが必要になります。

Cloud Discovery を利用したシャドーITの可視化方法

シャドーITの検出には Microsoft Defender for Cloud Apps 管理センターからレポートを生成する必要があります。レポートの生成にはいくつか方法がありますが、ここでは以下の2種類の方法をご紹介します。

  • スナップショットレポート

ファイアウォールやプロキシのログを取得し、ログを手動でアップロードして可視化をおこないます。

  • 継続的レポート

Microsoft Defender for Endpoint と統合などをおこない、ネットワークから転出されるすべてのログを分析します。手動でのログアップロードが不要のため、設定後は継続的に可視化した情報の確認をすることができます。

それぞれの設定方法についてご紹介します。

スナップショットレポート

[設定手順]

1.Microsoft Defender for Cloud Apps (portal.cloudappsecurity.com) にアクセスします。

2.画面右上の [設定] をクリックし、左側メニューの [スナップショットレポート] > [+スナップショットレポートの作成] をクリックします。

3.スナップショットレポートの作成画面になるため [次へ] をクリックします。

4.[レポート名]、[説明] を入力し、アップロード元の [ソース] を選択してから [次へ] をクリックします。

※サンプルのログをダウンロードすることもできるため、ここでは Squidプロキシのサンプルログを使用します。

5.[参照] から取得したログを選択し、[ログのアップロード] をクリックします。

6.[検出] > [Cloud Discovery ダッシュボード] にアクセスし、画面右上の選択欄より生成したスナップショットレポートをクリックすると結果が表示されます。

※レポートが生成されるまで時間がかかる場合があります。生成されるとメールでの通知がおこなわれます。

レポートの生成後は左メニューの [検出されたアプリ] から実際に検出されたアプリを確認することができます。

また、アプリをクリックすることで、セキュリティ、コンプライアンス、法的情報などの観点から該当のアプリの安全性を10段階評価で確認することが可能です。

継続的レポート

継続的レポートの生成にはいくつか方法がありますが、ここでは Microsoft Defender for Endpoint と統合し、ネットワーク上の Windows デバイス全体でシャドー IT を検出する方法をご紹介します。

なお、統合にあたっては満たすべき前提条件と Microsoft Defender for Endpoint へのデバイスのオンボードをする必要があります。

[前提条件]

ライセンスや Windows のバージョン、Defender ウィルス対策の有効化など、いくつか満たすべき条件があります。

詳細は以下公開情報の [前提条件] をご確認ください。

公開情報:Microsoft Defender for Endpoint を Defender for Cloud Apps と統合する | Microsoft Docs

[デバイスのオンボード]

Intune のデバイス構成プロファイルを利用する方法があります。

手順については以下公開情報の [デバイス構成プロファイルを作成して Windows デバイスをオンボードする] をご確認ください。

Microsoft Intune で Microsoft Defender for Endpoint を構成する | Microsoft Docs

[設定手順]

1.Microsoft 365 Defender (security.microsoft.com) にアクセスします。

2. [設定] > [エンドポイント] をクリックします。

3.[高度な機能] をクリックし、[Microsoft Defender for Cloud Apps] を [オン] にします。

4.ページ下部の [ユーザー設定の保存] をクリックします。

※設定の反映には最大で2時間かかる場合があります。

5.Microsoft Defender for Cloud Apps (portal.cloudappsecurity.com) にアクセスします。

6. [検出] > [Cloud Discovery ダッシュボード] にアクセスし、画面右上の選択欄より[Win 10 Endpoint Users] をクリックすると結果が表示されます。

[承認されていないクラウドサービスへのアクセスをブロックする方法]

1.画面右上の [設定] をクリックし、左側メニュー [Microsoft Defender for Endpoint] をクリックします。

2.[アプリアクセスの強制] の左側チェックボックスにチェックを入れ、ページ下部の [保存] をクリックします。

※チェックを入れることで、[承認されていない] としてマークされたサービスへのアクセスがすべてブロックされます。

3.[検出されたアプリ] からアクセスをブロックしたいサービスを見つけ、アクション項目のブロックマークをクリックします。

4.該当のサービスにアクセスするとブロックされていることが確認できます。