チュートリアル: シャドウ IT の検出と管理

IT 管理者に、従業員が使用していると考えられるクラウド アプリの数をたずねた場合、平均で 30 から 40 と答えます。しかし実際には、組織内の従業員によって使用されている個別のアプリの平均数は 1000 を超えています。 Shadow IT は、使用されているアプリとそのリスク レベルを把握し、特定するのに役立ちます。従業員の 80% は、誰もレビューしていない未承認のアプリを使用しており、セキュリティとコンプライアンスのポリシーに準拠していない可能性があります。 また、従業員は企業ネットワークの外部からリソースやアプリにアクセスできるため、ファイアウォールに関するルールやポリシーだけでは不十分になっています。

このチュートリアルでは、Cloud Discovery を使用して、使用されているアプリを検出し、そのアプリのリスクを見つけ出して、新しい危険なアプリの使用を特定するためのポリシーを構成し、それらのアプリを非承認にして、プロキシやファイアウォールのアプライアンスがネイティブに使用されないようにするための方法を説明します。

ヒント

既定では、Defender for Cloud Apps はカタログに含まれていないアプリを検出できません。

現在カタログに含まれていないアプリの Defender for Cloud Apps データを確認するには、ロードマップをチェックするか、カスタム アプリを作成することをお勧めします。

ネットワーク内のシャドウ IT を検出して管理する方法

このプロセスを使用して、組織内のシャドウ IT の Cloud Discovery をロールアウトします。

shadow IT lifecycle.

フェーズ 1: シャドウ IT の検出と識別

  1. シャドウ IT の検出: ネットワークで実際に起きていることを確認するために組織内で Cloud Discovery を実行して、組織のセキュリティ対策を特定します。 詳細については、「Cloud Discovery のセットアップ」をご覧ください。 これを行うには、次のいずれかの手法を使用します。

    • Microsoft Defender for Endpoint と統合することで、Cloud Discovery をすばやく立ち上げて実行させます。 このネイティブ統合により、ネットワークとの接続の有無を問わず、Windows 10 と Windows 11 のデバイス間でクラウド トラフィックのデータの収集をすぐに開始することができます。

    • ネットワークに接続されているすべてのデバイスをカバーするために、ファイアウォールやその他のプロキシに Defender for Cloud Apps ログ コレクターをデプロイしてエンドポイントからデータを収集し、分析のために Defender for Cloud Apps に送信することが重要です。

    • Defender for Cloud Apps をプロキシと統合します。 Defender for Cloud Apps は、Zscaler を含む一部のサードパーティ プロキシとネイティブに統合されます。

    ポリシーはユーザー グループ、リージョン、ビジネス グループの間で異なるため、ユニットごとに専用のシャドウ IT レポートを作成しなければならないことがあります。 詳細については、「カスタムの継続的レポートの作成」を参照してください。

    Cloud Discovery が、ネットワーク上で実行されるようになったため、生成された継続的レポートと Cloud Discovery ダッシュ ボードを確認し、組織内でどのようなアプリが使用されているかの全体像を把握します。 承認済みのアプリによって対処されなかった職場関連の正当な目的で、未承認のアプリが使用されていることが多いので、カテゴリ別に調べることをお勧めします。

  2. アプリのリスク レベルの特定: Defender for Cloud Apps のカタログを使用して、検出された各アプリに関連するリスクをさらに深く調べます。 Defender for Cloud App のカタログには、90 以上のリスク要因を使用して評価された 31,000 以上のアプリが含まれています。 リスク要因には、アプリに関する一般的な情報 (アプリの本社の所在地、公開者) から、セキュリティ対策やコントロール (保存時の暗号化のサポート、ユーザー アクティビティの監査ログの提供) までが含まれます。 詳しくは、「リスク スコアの操作」をご覧ください。

    • Microsoft Defender ポータル[クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[検出されたアプリ] タブに移動します。組織内で検出されたアプリの一覧を、懸念しているリスク要因でフィルター処理します。 たとえば、高度なフィルターを使用して、リスク スコアが 8 を下回るアプリをすべて検出することができます。

    • アプリをドリルダウンして、そのコンプライアンスを詳しく把握することができます。そのためには、アプリ名を選択した後、[情報] タブを選択して、アプリのセキュリティのリスク要因に関する詳細を表示します。

フェーズ 2: 評価と分析

  1. コンプライアンスの評価: アプリが HIPAA や SOC2 などの組織の標準に準拠していると認定されているかどうかを確認します。

    • Microsoft Defender ポータル[クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[検出されたアプリ] タブに移動します。組織内で検出されたアプリの一覧を、懸念しているコンプライアンス リスク要因でフィルター処理します。 たとえば、推奨クエリを使用して、非準拠のアプリを除外します。

    • アプリをドリルダウンして、そのコンプライアンスを詳しく把握することができます。そのためには、アプリ名を選択した後、[情報] タブを選択して、アプリのコンプライアンスのリスク要因に関する詳細を表示します。

  2. 使用状況の分析: アプリを組織で使用するかどうかが判明したら、アプリの使用方法と使用するユーザーを調査する必要があります。 組織内で制限された方法でのみ使用するのであれば問題ありませんが、今後の使用が増えた場合にアプリをブロックするかどうかを決められるように通知を設定することができます。

    • Microsoft Defender ポータル[クラウド アプリ] で、[Cloud Discovery] を選択します。 次に、[検出されたアプリ] タブに移動し、調査する特定のアプリを選択してドリルダウンします。 [使用] タブでは、アプリを使用しているアクティブ ユーザー数と、生成されているトラフィックの量を知ることができます。 これにより、アプリで何が起きているかを簡単に把握することができます。 その後、アプリを使用している具体的なユーザーを確認する場合は、[アクティブ ユーザーの合計数] を選択してさらにドリルダウンできます。 この重要な手順により、たとえば、特定のアプリのすべてのユーザーがマーケティング部門に所属していると判明した場合、このアプリに業務上のニーズがあり、アプリにリスクがある場合にはブロックする前に代替について話し合う必要があるといった適切な情報が得られます。

    • 検出されたアプリの使用を調査する場合は、さらに深く掘り下げます。 サブドメインとリソースを表示して、クラウド サービス内の特定のアクティビティ、データ アクセス、リソースの使用状況について確認します。 詳細については、「検出されたアプリの詳細情報」と「リソースとカスタム アプリを検出する」を参照してください。

  3. 代替アプリの特定: クラウド アプリ カタログを使用して、検出されたリスクの高いアプリと同様のビジネス機能を実現しつつ組織のポリシーにも準拠する、より安全なアプリを識別します。 これを行うには、高度なフィルターを使用して、異なるセキュリティ コントロールに適合する同じカテゴリ内のアプリを検索します。

フェーズ 3: アプリの管理

  • クラウド アプリの管理: Defender for Cloud Apps は、組織内でのアプリの使用を管理するプロセスに役立ちます。 組織内で使用されているさまざまなパターンやビヘイビアーを特定すると、そのビジネス ステータスや理由付けに従って各アプリを分類するための新しいカスタム アプリ タグを作成することができます。 これらのタグは、危険なクラウド ストレージ アプリとしてタグ付けされているアプリに対する高いトラフィックの特定といった、特定の監視のために使用できます。 アプリ タグは [設定] > [クラウド アプリ] > [Cloud Discovery] > [アプリ タグ] で管理できます。 これらのタグは、後で Cloud Discovery ページでのフィルター処理や、タグを使用したポリシーの作成に使用できます。

  • Microsoft Entra ギャラリーを使用して検出されたアプリを管理する: Defender for Cloud Apps では、Microsoft Entra ID とのネイティブ統合も使用して、検出されたアプリを Microsoft Entra ギャラリーで管理できるようにします。 Microsoft Entra ギャラリーに既に表示されているアプリの場合は、シングル サインオンを適用し、Microsoft Entra ID を使用してアプリを管理することができます。 これを行うには、関連するアプリが表示されている行で、行の末尾にある 3 つの点を選択し、[Microsoft Entra ID を使用してアプリを管理する] を選択します。

    Manage app in Microsoft Entra gallery.

  • 継続的監視:これで、アプリを十分に調査したので、アプリを監視し、必要に応じて制御するためのポリシーを設定することができます。

では、懸念していた何かが起きた場合に自動的にアラートが発生するようなポリシーを作成しましょう。 たとえば、懸念されるアプリからのダウンロードやトラフィックが急増したときに通知されるよう、アプリ検出ポリシーを作成することができます。 これを行うには、[検出されたユーザーでの異常な動作ポリシー]、[クラウド ストレージ アプリのコンプライアンス チェック]、[リスクの高い新しいアプリ ] などを有効にする必要があります。 電子メールで通知するようにポリシーを設定する必要もあります。 詳細については、「ポリシー テンプレート リファレンス」や、Cloud Discovery ポリシーおよびアプリ検出ポリシーの構成に関するページをご覧ください。

アラートのページを確認し、[ポリシーの種類] フィルターを使用してアプリ検出のアラートを確認します。 アプリ検出ポリシーと一致したアプリの場合は、そのアプリを使用する業務上の正当な理由を詳しく知るため、アプリのユーザーに連絡するなどしてさらに調査することをお勧めします。 次に、フェーズ 2 の手順を繰り返して、アプリのリスクを評価します。 それから、今後そのアプリの使用を承認するか、次回にユーザーがアクセスしたときにアプリをブロックするか、アプリケーションの次の手順を決定します。ブロックする場合は、ファイアウォール、プロキシ、安全な Web ゲートウェイを使用してブロックできるように、そのアプリを非承認としてタグ付けする必要があります。 詳細については、Microsoft Defender for Endpoint との統合Zscaler との統合iboss との統合に関するページと、「ブロック スクリプトをエクスポートしてアプリをブロックする」をご覧ください。

フェーズ 4: 高度なシャドウ IT の検出レポート

Defender for Cloud Apps で使用できるレポート オプションに加えて、Cloud Discovery ログを Microsoft Sentinel に統合して、さらなる調査と分析を行うことができます。 データが Microsoft Sentinel 内にあれば、それをダッシュボードで表示したり、Kusto クエリ言語を使用してクエリを実行したり、Microsoft Power BI にクエリをエクスポートしたり、他のソースと統合したり、カスタム アラートを作成したりすることができます。 詳細については、Microsoft Sentinel の統合に関する記事をご覧ください。

フェーズ 5: 承認済みのアプリの制御

  1. API を使用してアプリの制御を有効にするには、継続的な監視のために、API を介してアプリを接続します。

  2. アプリの条件付きアクセス制御を使用してアプリを保護します。

クラウド アプリの特性として、それらは日々更新され、新しいアプリが絶え間なく出現します。 このため、従業員は新しいアプリを常に使用しており、ポリシーの追跡、確認、更新、ユーザーが使用しているアプリの確認、およびその使用状況と動作のパターンの確認を継続的に行うことが重要です。 いつでも Cloud Discovery ダッシュ ボードに移動して、使用されている新しいアプリを確認し、この記事の手順にもう一度従うことで、組織とそのデータが確実に保護されていることを確認できます。

次のステップ

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。

詳細情報