Microsoft ITショーケース: Microsoft Cloud App Security を使用したマイク ロソフトにおける脅威検出の強化

  • Article

microsoft-using-microsoft-cloud-app-security

このポストは「Enhancing threat detection at Microsoft using Microsoft Cloud App Security 」の翻訳です。

マイクロソフトの「クラウド ファースト、モバイル ファースト」環境において、クラウド アプリの使用が増大しています。 企業データの保護を支援するため、Microsoft IT は、Microsoft Cloud App Security を用いて、マイクロソ フトのネットワークで使用されているクラウド アプリケーションの検出と特定を行い、すべてのアプリのセキュリティ リス クを評価しています。マイクロソフトは、Cloud App Security ポータルで疑わしい行動パターンや異常なアクティビ ティを監視し、脅威を検出しています。Cloud App Security は、マイクロソフトのネットワークの保護機能を提供 し、マイクロソフト環境の可視性を向上させます。

これまで以上に多くの従業員が業務目的でクラウド アプリにアクセスし、それらを使用しています。さまざまなアプリがクラ ウドに移行する中で、Microsoft IT は、企業データの利便性とセキュリティの両方を確保することが求められています。 マイクロソフトは、Microsoft Cloud App Security を展開し、マイクロソフト環境内で使用されているクラウド アプリ を検出できるようにしています。また、Cloud App Security は拡張された脅威検出機能と保護機能を備えており、こ れによってマイクロソフトはきめ細かい制御やカスタム ポリシーを設定して自社のクラウド環境を構築することが可能にな っています。Cloud App Security は、マイクロソフトによって既に収集されている大量の脅威インテリジェンスやセキュリ ティ調査データを活用することでこれを実現しており、マイクロソフトのインテリジェント セキュリティ グラフがもたらす洞察から情報を得ています。

ビジネスの課題: 従来のセキュリティ ソリューションはクラウド アプリのデータを保護できるよう設計されていなかった

Cloud App Security が展開される前まで、マイクロソフトは、行動分析を利用してクラウド アプリの潜在的脅威を特定することができていませんでした。また、企業ネットワーク内で使用されているすべてのクラウド アプリの検出や、アプリのリスク プロファイルの作成、正常/異常なユーザーと管理者のアクティビティ、デバイスとユーザー エージェント、アクティビティの種類の監視を簡単に行う手段が存在していませんでした。従来のセキュリティ ソリューションは、クラウド アプリのデータを保護できるよう設計されていませんでした。そして、

従来のネットワーク セキュリティ ソリューション (ファイアウォールなど) は、各アプリケーションに固有のトランザクションに対する可視性を備えていません。また、データの使用と保管がどのように行われているかなど、オフプレミスのトラフィックに対する可視性も備えていません。

マイクロソフトは、現在使用されているさまざまなクラウド アプリを積極的に検出する機能、および Microsoft Office 365 や承認されている他のクラウド アプリに脅威検出機能とデータ制御機能を提供するアラート ポリシーを作成する機能を必要としていました。これらの情報は、マイクロソフトが正常/異常なサインインのアクティビティやプロセスについて理解し、企業を保護するのに役立つためです。また、マイクロソフトは、自社の既存の監視システムやインフラストラクチャに簡単に統合できるエンタープライズ ソリューションを必要としていました。

 

■ Microsoft Cloud App Security の展開

Cloud App Security は、一般提供されているサブスクリプション サービスです。Cloud App Security はスケーラブルかつエージェントレス (クライアントのインストールが不要) であり、エンド ユーザーに影響を及ぼすことなくバックグラウンドで実行されます。また、マイクロソフトの最新のセキュリティ情報およびイベント管理ソリューション、ID およびアクセス管理ソリューション、シングル サインオン ソリューション、分析ソリューションと統合します。

マイクロソフトは、マイクロソフトのインフラストラクチャ内の複数のファイアウォールの適用を含むパイロット プログラムにおいて第 1 段階の Cloud App Security を展開しました。マイクロソフトの目標には以下の内容が含まれていました。

  • クラウド アプリの使用や関連するリスクについてより深く理解する。
  • 明確な組織の承認を得ずに構築および/または使用が行われているマイクロソフト環境内のクラウド システムおよびソリューション (シャドウ IT) を検出する。
  • 異常なアクティビティのパターン (サインイン試行の失敗における疑わしいパターンや、特権を持たないユーザーによって試行されている特権を要するアクティビティなど) の監視に役立つユース ケースを明らかにする。

この段階において、マイクロソフトは、Cloud App Security のいくつかの重要な機能の展開に重点的に取り組みました。

  • 検出: Cloud App Security は、あらゆるデバイスからネットワーク上のすべてのクラウド アプリを特定します。また、リスクのスコア付け機能や、継続的なリスクの評価および分析機能を備えています。そして、クラウドの使用やシャドウ IT に対する可視性やコンテキストを提供するためにファイアウォールやプロキシから情報が収集されます。
  • データ制御: マイクロソフトは、脅威検出機能、データ損失防止 (DLP) 機能、およびデータ制御機能を Office 365 や承認されている他のクラウド アプリに提供するきめ細かいポリシーを作成できます。
  • 脅威: Cloud App Security は、マイクロソフトの脅威インテリジェンスや調査によって強化されるクラウド アプリ向けの脅威検出機能を備えています。

Cloud App Security を早期に採用したマイクロソフトは、製品グループと緊密に連携を取りながらエンタープライズ機能を評価し、マイクロソフトのユーザーおよびエンティティの行動分析 (UEBA) のさまざまなシナリオで定義されている一般的なセキュリティ問題に対応するのに Cloud App Security がどのように役立ったかに関するフィードバックを提供しました。マイクロソフトが監視したユーザーの行動には以下のようなものがありました。

  • あり得ない行程を示している 2 つの国または地域からのサインイン
  • 大規模なデータのダウンロード
  • ブルート フォース攻撃を示している可能性がある複数回のサインイン試行の失敗

検出

組織全体でどのアプリが使用中であるかを検出することは、企業の機密データを確実に保護するための最初のステップになります。Cloud Discovery は、(手動または自動で) アップロードされたトラフィック ログを用いて、使用中のクラウド アプリの検出と分析を行います。Cloud App Security のサブスクライブ後、マイクロソフトは極めてシンプルな展開および構成プロセスを用いて、マイクロソフト環境で検出インフラストラクチャを構築しました。マイクロソフトは、Cloud Discovery を通じて、自社のクラウド環境内のアプリ、アクティビティ、ユーザー、データ、およびファイル、ならびにクラウドに接続されているサードパーティのアプリに対する可視性を実現しました。

Cloud Discovery を展開するため、マイクロソフトは、まずパイロット中に使用するファイアウォールを選択する必要がありました。マイクロソフトは、マイクロソフト環境内から、大量のトラフィックをサポートする 8 台のファイアウォール サーバーを選択しました。対象に含めるファイアウォールを決定した後、マイクロソフトは、オンプレミスのデバイスから、承認されているアプリ、承認されていないアプリに至るまで、各ファイアウォールを通過するネットワーク トラフィックのトランザクション ログの収集を開始しました。トランザクションはトラフィック ログ コレクターで収集された後、Cloud App Security のログ コレクターに送られました。Cloud App Security のログ コレクターは、Microsoft Azure の仮想マシンで実行され、Cloud App Security ポータルへのログのアップロードを自動化します。

graph
図 1: Microsoft IT および Microsoft Cloud App Security の検出インフラストラクチャのコンポーネント

Cloud Discovery は、アプリ カタログ内の 13,000 ものクラウド アプリを検出し、それぞれにリスク スコアを付与します。Microsoft Cloud App Security のエンジニアリング調査チームは、検出された各サービスを 60 を超えるパラメータに照らして評価し、その評価に基づいてリスク スコアを決定しました。これには、サービス プロバイダー、セキュリティ メカニズム、コンプライアンス証明書の評価が含まれます。これらの詳細情報は、検出された各クラウド アプリケーションの信用性や信頼性の決定や評価を行い、ニーズに合わせてさまざまなパラメータのスコアや重みをカスタマイズするのに役立ちます。

検出ダッシュボード

Cloud Discovery ダッシュボードは、組織におけるクラウド アプリの使用状況に関する洞察を提供します。このダッシュボードを使用することで、使用中のアプリの種類、未処理のアラート、および組織のアプリのリスク レベルをひとめで確認できます。このダッシュボードは、データのフィルタリングやドリルダウンのオプションを備えているため、最も関心のある項目に基づいて特定のビューを作成できます。

 

cloud-discovery

図 2: Cloud App Security ポータルの Cloud Discovery ダッシュボードで検出されたアプリ

アプリの承認

Cloud App Security は、リスク スコアと使用状況の組み合わせに基づいて、各サービスの総合的なリスク評価を実施するのに必要となる情報やツールを提供します。Cloud App Security を使用することで、クラウド アプリケーション カタログを用いて、組織のアプリの承認および/またはブロックを行うことができます。承認されたアプリは API コネクタが有効にされ、マイクロソフトのインテリジェント セキュリティ グラフと統合された Cloud App Security のビッグ データ ストアや機械学習機能にそれらのアプリケーション データが送られます。現在の展開段階においては、Office 365、Microsoft SharePoint Online、Microsoft OneDrive for Business、Microsoft Exchange Online、および Azure Active Directory が承認されています。

アプリ コネクタ

アプリ コネクタは、さまざまなクラウド アプリ プロバイダーによって提供される API を用いて、Cloud App Security が他のクラウド アプリと統合し、制御機能や保護機能を拡張できるようにします。これにより、Cloud App Security は分析する情報をクラウド アプリから直接取得できます。

アプリを接続し、保護機能を拡張するには、アプリ管理者が Cloud App Security によるアプリへのアクセスを許可します。その後、Cloud App Security は、アプリのアクティビティ ログを継続的に照会して、データ、アカウント、クラウド コンテンツをスキャンします。Cloud App Security はその後、ポリシーを適用して脅威を検出し、問題を解決するためのガバナンス アクションを提供します。

データ制御

Cloud App Security ポータルには [Control] タブが含まれています。このタブは、Office 365 や承認されている他のクラウド アプリに脅威検出機能やデータ制御機能を提供するアラート ポリシーを作成する目的で使用できます。マイクロソフトは、さまざまなポリシーを使用して、マイクロソフトが従業員に求めるクラウドにおける行動を定義しています。これらのポリシーは、危険な行動、違反、または疑わしいデータ ポイントやアクティビティの検出を可能にします。既定のポリシーを使用することも、テンプレートを用いて独自のポリシーを作成することもできます。

展開の第 1 段階において、マイクロソフトは、より効果的なリスクの検出に役立つカスタムのアラート ポリシーを作成しました。マイクロソフトは実稼働環境でこれらのポリシーに関するアクションをまだ開始していませんが、複数の修復プロセスを統合し、データ共有やきめ細かい使用に関するポリシーを導入するのを心待ちにしています。

今は、承認されているアプリの DLP 制御機能の実装の計画段階にあります。DLP やデータ共有の制御機能により、マイクロソフトは Cloud App Security を使用して、クラウド ドライブに保管されているファイル、添付ファイルとして保管されているファイル、クラウド アプリケーションのフィールド内に保管されているファイルなど、クラウド内のさまざまなデータを管理できるようになります。

-

■ Cloud App Security ポータルを使用した脅威検出

Cloud App Security は、高度な機械学習ヒューリスティックを使用して、各ユーザーが各クラウド アプリケーションと対話する方法を学習し、行動分析によって各トランザクションのリスクを評価します。機械学習ヒューリスティックを使用するメリットは、Cloud App Security を多く使用するほど、リスクの特定や評価をより効果的に行えるようになることです。Cloud App Security ポータルは、クラウド全体の正常性を可視化し、データの侵害を示している可能性があるクラウドの使用における異常を素早く特定する手助けをするさまざまなビューやツールを備えています。

Cloud App Security のダッシュボード

Cloud App Security の General dashboard は、未処理のアラート、アクティビティの違反、コンテンツの違反、ユーザー アクティビティの発生地点を表したアクティビティ マップ、およびマイクロソフト環境内の接続されているアプリの使用傾向の概要を示します。

cloud-app-security-dushbord

図 3: Cloud App Security ポータルのメイン ダッシュボード

このダッシュボードは、継続的なリスクの検出と分析の結果を示し、ユーザー、使用パターン、およびトランザクションに関する強力なレポートを提供することで、異常の迅速な特定を支援します。マイクロソフトは、このダッシュボードを定期的にチェックして、トリガーされている新規アラートを確認し、提供される情報を用いて、それらに対処する方法を決定しています。

 

cloud-app-security-alert

図 4: Cloud App Security の異常検出アラートの詳細ページ

調査

Cloud App Security を Office 365 に接続した後、マイクロソフトは、[Investigate] タブのアクティビティ ログを使用し、Office 365 環境に関する情報収集と調査を開始しました。ツールは、Office 365 に関するセキュリティ インシデントの調査に欠かせないより優れた可視性と高度な検索クエリ機能を提供します。Cloud App Security ポータルで提供される新たな洞察やツールにより、マイクロソフトのクラウド環境についてより深く理解し、アラートや問題が存在する場合に詳細な調査を実施することが従来よりも容易になっています。

調査を手助けするために、API コネクタが構成されている個々の承認済みアプリごとに以下のダッシュボードが提供されています。

  • 概要を示すアプリケーション ダッシュボード: このダッシュボードは、場所ごとのアプリケーションの使用状況の概要、ユーザー数ごとの使用状況グラフを示します。
  • 洞察を示すアプリケーション ダッシュボード: このダッシュボードは、ファイルの種類やファイル共有レベルごとに分類された、アプリに保管されているデータの分析結果を示します。
  • ユーザー ダッシュボード: このダッシュボードは、クラウドのユーザー プロファイルの完全な概要を示します。これには、グループ、場所、直近のアクティビティ、関連するアラート、および使用されているブラウザが含まれます。

調査ツールの使用

Cloud App Security ポータルの [Investigate] タブには、いくつかの分析ツールが含まれています。

  • アクティビティ ログ: このログは、どのようなユーザーやデバイスがどこからアプリにアクセスしているか確認する目的で使用します。アプリでこのログをフィルタし、IP 範囲、失敗したログイン、および管理アクティビティを確認できます。
  • アカウント: これは、特定のサービスで長時間アクティブになっていないアカウントが存在していないかどうか確認する目的で使用します。マイクロソフトは適用をまだ実施していませんが、これを実施することで、サービスのライセンスやアクセス許可を無効にしたり、特定のユーザーを確認したり、特定のユーザーに多要素認証を実施させたりできるようになります。

[Investigate] タブに表示されているアプリケーションを選択すると、アプリ ダッシュボードが開きます。このダッシュボードは、非常に詳細なアプリ情報まで掘り下げることでさらなる洞察を得ることができる補足的なツールを備えています。

cloud-app-security-portal

図 5: Cloud App Security ポータルの [Investigate] タブに表示されているアプリを選択することでアクセスできるアクティビティ ログ

レポート

マイクロソフトは、クラウドで実際に何が起きているか確認する目的で使用できるさまざまな組み込みのレポートを備えています。組み込みのレポートは調査用のビューを集約しており、アラート ポリシーの調整に役立ちます。例えば、IP アドレス レポートを使用することで、調査を実施している複数の Office 365 アカウントによって複数の異なる場所で使用されている IP アドレスを検出できます。これらのレポートは、レポートのニーズに基づいてカスタマイズすることもできます。

メリット

Cloud App Security はシングル ポイント ソリューションではなく、マイクロソフトの包括的かつ俊敏なセキュリティ プラットフォームの重要な要素であり、他のマイクロソフト セキュリティ ソリューションがもたらす洞察によって強化されます。Cloud App Security は、マイクロソフトのセキュリティ チームや監視チームが監視を強化し、業務の簡素化に必要となるアクティビティについて理解するのに役立っています。

Cloud App Security の検出機能は、マイクロソフトが使用中のクラウド アプリを特定し、それらの使用やメリットをリスク プロファイルと比較するのに役立っています。また、異常なトラフィック パターンや、実稼働環境のトラフィック フローにおけるファイアウォールのルールの効果を確認するのにも役立っています。

直感的なダッシュボードを備えた Cloud App Security ポータルは、Office 365 クラウド アプリ、マイクロソフトのユーザーによるそれらのアプリの使用状況、およびそれらが直面している脅威に対する可視性を向上させるのに役立っています。

*本ポストのPDF 版は、こちらよりダウンロードいただけます。

詳細情報

Microsoft IT