Cloud Service
Microsoft Defender for Cloud Apps
SaaS の利用実態を可視化し制御する。Microsoft Defender for Cloud Apps は CASB として、シャドー IT の発見からアクセス制御・脅威検知・SaaS 態勢管理までを一体提供。AWS には直接の単一相当サービスはない。
- 1.組織が使う SaaS(シャドー IT 含む)を可視化し、リスク評価して統制する CASB が中核。
- 2.条件付きアクセスアプリ制御でセッションを仲介し、ダウンロードやコピーをリアルタイムに制御する。
- 3.API コネクタで主要 SaaS と連携し、異常な振る舞いや情報漏えいを検知して Defender XDR で相関する。
解決する課題
- 社員が IT 部門の把握外で使う シャドー IT(無許可の SaaS)を発見し、リスクを評価したい
- 承認済み SaaS について、機密データのアップロード・ダウンロード・共有をリアルタイムに制御したい
- SaaS 上の異常な振る舞い(不可能な移動、大量ダウンロード、ランサムウェア的な操作)を検知したい
- 連携した OAuth アプリや過剰な権限を持つアプリの情報漏えいリスクを棚卸ししたい
- SaaS テナント自体の設定不備(多要素認証の未強制、公開共有など)を継続的に是正したい
- クラウドアプリの検知を ID・端末・メールの検知と相関させ、攻撃の全貌を掴みたい
主要概念と用語
Microsoft Defender for Cloud Apps は、クラウドサービスへのアクセスを仲介・可視化・制御する CASB(Cloud Access Security Broker) です。
- CASB(Cloud Access Security Broker): 利用者とクラウドサービスの間に立ち、可視化・コンプライアンス・データ保護・脅威防御を担うセキュリティ仲介層
- クラウド検出(Cloud Discovery): ファイアウォールやプロキシのトラフィックログを取り込み、組織で使われている SaaS と利用量を洗い出す機能
- シャドー IT: IT 部門の承認や把握なしに利用されている SaaS。Cloud Discovery で可視化する主対象
- Cloud App Catalog: 数万規模のクラウドアプリを、規制準拠やセキュリティ観点でスコア化したリスク評価カタログ
- アプリコネクタ(App Connector): 主要 SaaS の API に接続し、テナント内のアクティビティ・ファイル・設定を取得して制御する連携方式
- 条件付きアクセスアプリ制御(Conditional Access App Control): Entra ID の条件付きアクセスと連携し、セッションをリバースプロキシで仲介してリアルタイム制御を行う機能
- セッションポリシー / アクセスポリシー: ダウンロードのブロックやアクセス自体の制限など、仲介セッションに適用する制御ルール
- アクティビティポリシー / ファイルポリシー: 不審な操作や機密ファイルの公開共有などを検知・是正するポリシー
- 異常検出ポリシー(Anomaly Detection): 機械学習で利用者の通常挙動を学習し、逸脱(不可能な移動など)を自動検知する組み込みポリシー
- OAuth アプリのガバナンス(App Governance): SaaS に連携された OAuth アプリの権限・振る舞いを可視化し、過剰権限や悪性アプリを抑止する機能
- SaaS セキュリティ態勢管理(SSPM): 接続した SaaS テナントの設定を評価し、推奨事項として是正提案する態勢管理
仕様・制限・クォータ
- Cloud Discovery はログベースで、対応するファイアウォール・プロキシのログを手動アップロードまたは Log Collector / API で継続取り込みする
- アプリコネクタは API ベースで、対応する主要 SaaS のみが対象。連携できるアプリの範囲は提供状況により変わるため公式の対応一覧を確認する
- 条件付きアクセスアプリ制御は Entra ID の条件付きアクセスが前提で、対象セッションを Defender for Cloud Apps のリバースプロキシ経由にルーティングして制御する
- ライセンスは複数形態があり、単体ライセンスのほか上位の Microsoft 365 / Enterprise Mobility + Security のスイートに含まれる。App Governance など一部機能は追加要件を伴う場合がある
- 検知やポリシー評価は準リアルタイム〜定期で、API ベースの検知は SaaS 側の API 仕様に依存して反映に時間差が出ることがある
- ログの保持期間やポリシー数にはサービス側の上限があり、長期保管は Sentinel など外部基盤への連携を検討する
Cloud Discovery(シャドー IT 可視化)はネットワークログ起点で、利用の有無は見えてもファイル単位の制御まではできません。承認済み SaaS の中身(ファイル・設定・アクティビティ)を制御するには、対応 SaaS への API アプリコネクタ接続が必要です。両者は役割が異なるため、目的に応じて使い分けてください。
内部の仕組み
Microsoft Defender for Cloud Apps は、ログベースの検出、API ベースの連携、プロキシベースのリアルタイム制御という複数の経路を組み合わせて動作します。
クラウド検出(Cloud Discovery)は、ファイアウォールやプロキシのトラフィックログを取り込み、宛先から利用 SaaS を識別して Cloud App Catalog のリスク評価と突き合わせ、シャドー IT を可視化します。アプリコネクタは対応 SaaS の API に接続し、テナント内のアクティビティ・共有ファイル・設定情報を取得して、ポリシー評価や是正を行います。検知ロジックやアプリのリスクスコアはマネージドで提供され、利用者がエンジンを保守する必要はありません。
条件付きアクセスアプリ制御は、Entra ID の条件付きアクセスでセッションを Defender for Cloud Apps のリバースプロキシへ誘導し、セッションの最中にダウンロードやコピー、印刷などをリアルタイムにブロックします。これにより、ダウンロード自体は許可しつつ機密ファイルへの透かし付与や保存制限といったきめ細かい制御が可能になります。
- 異常検出は利用者ごとの通常挙動を学習し、不可能な移動・通常と異なる場所からのアクセス・大量ダウンロードなどをアラート化する
- 検知したアクティビティやアラートは Microsoft Defender XDR の統合ポータルへ集約され、ID・端末・メールの検知と相関できる
- アラートやアクティビティログは Microsoft Sentinel(SIEM/SOAR) へ連携し、相関分析や自動対応につなげられる
Defender for Cloud Apps は Microsoft Defender XDR を構成するワークロードの1つです。SaaS 上の検知を、ID(Defender for Identity)・端末(Defender for Endpoint)・メール(Defender for Office 365)の検知と統合ポータルで相関させると、SaaS 単体では見えない攻撃の全体像を捉えられます。
設計パターン / ベストプラクティス
- まず Cloud Discovery でシャドー IT を可視化し、利用 SaaS をリスク順に棚卸ししてから統制方針を決める
- 承認済みの主要 SaaS にはアプリコネクタを接続し、ファイル・設定・アクティビティを API で継続監視する
- 機密データの流出制御には条件付きアクセスアプリ制御を使い、ダウンロードやコピーをセッション単位でリアルタイム制御する
- 異常検出ポリシーは既定で有効化し、不可能な移動や大量ダウンロードなどの典型的な脅威を漏れなく拾う
- OAuth アプリのガバナンスで連携アプリを定期レビューし、過剰権限や未使用アプリを抑止する
- SSPM で SaaS テナントの設定不備を是正し、多要素認証の未強制や過剰な公開共有を継続的に減らす
- ポリシーはまず監査(アラートのみ)で影響を測り、業務への副作用を確認してからブロックへ移行する
運用・監視
- アラートキューを SOC の起点にし、重大度・状態・担当でトリアージする
- アプリコネクタの接続状態と Log Collector の健全性を監視し、データ取り込みの断絶を早期に発見する
- Cloud App Catalog のリスクスコアを定期レビューし、新たに発見された高リスク SaaS の利用可否を判断する
- 条件付きアクセスアプリ制御のセッションログを確認し、誤ブロックの調整とポリシーの最適化を回す
- 高深刻度アラートは即時通知するよう、メール通知や自動化ワークフローを構成する
- 対応操作(ユーザー停止・アプリ禁止など)の実行履歴を監査し、追跡可能性を確保する
- アクティビティログを継続的に Sentinel へエクスポートし、長期保管と組織横断の相関に乗せる
コスト
ユーザー単位のサブスクリプションライセンスが基本で、単体ライセンスのほか上位の Microsoft 365 / Enterprise Mobility + Security スイートに含まれる形態があります。App Governance など一部機能は追加要件を伴うことがあります。具体的な単価や含有範囲は変動するため、公式の料金・ライセンス情報を参照してください。
| 項目 | 課金の考え方 | 向いている用途 |
|---|---|---|
| 単体ライセンス | ユーザー単位の定額 | CASB機能を個別に導入したい組織 |
| スイート同梱 | 上位スイートに含む | Microsoft 365 / EMS をすでに利用 |
| App Governance | 追加要件を伴う場合あり | OAuthアプリの高度なガバナンス |
| XDR 連携 | 各ワークロードのライセンス | ID・端末・メールと相関したい |
すでに Microsoft 365 / EMS の上位スイートを利用しているなら、Defender for Cloud Apps が含まれていないかをまず確認すると、単体ライセンスの重複購入を避けられます。まず無償寄りの Cloud Discovery で全体像を掴み、制御が必要な SaaS から段階的にコネクタとポリシーを広げると費用対効果を管理しやすくなります。
セキュリティ
- 最小権限: 管理操作は RBAC(ロールとスコープ)で限定し、閲覧者・調査担当・対応実行者を分離する
- 多層防御の一部として位置づける: SaaS 層の可視化・制御を、ID 管理(Entra ID 条件付きアクセス)や端末制御と組み合わせる
- データ保護と連携: Microsoft Purview の情報保護ラベルと連携し、機密ファイルの分類に基づいて制御を効かせる
- マネージド検知ロジックを活用し、Microsoft の脅威インテリジェンスで継続更新される検知に乗る
- 対応操作の証跡を保全し、インシデント調査に必要なアクティビティログと実行履歴を確保する
Cloud Discovery でシャドー IT を可視化したまま、誰もリスク評価も統制もしない状態は危険です。アプリコネクタを接続してもポリシーをすべて監査モードのまま放置したり、異常検出アラートを誰も見ていなかったりすると、検知できても封じ込めが遅れます。可視化と是正の運用プロセスをセットで設計してください。
関連サービス・比較
Defender for Cloud Apps は SaaS 利用の可視化・制御に特化した CASB です。最も近い比較対象として、クラウドリソース側の態勢と脅威を見る Defender for Cloud との役割分担を整理します。
| 観点 | Defender for Cloud Apps | Defender for Cloud |
|---|---|---|
| 主な保護対象 | SaaS アプリの利用とデータ | クラウドリソースとワークロード |
| 中核機能 | CASB(可視化・制御・脅威検知) | 態勢管理(CSPM)と脅威検知(CWPP) |
| 検知の起点 | SaaS のアクティビティとログ | リソース構成とワークロードのシグナル |
| リアルタイム制御 | 条件付きアクセスアプリ制御 | 推奨事項の是正・アラート対応 |
| 横断連携 | Defender XDR / Sentinel | Sentinel / Defender for Endpoint |
SaaS の利用とデータを守るのが Defender for Cloud Apps、自社で構築したクラウドリソースの態勢と脅威を見るのが Defender for Cloud です。両者は補完関係にあり、SaaS 上の検知は Defender XDR で ID・端末・メールと相関させ、最終的な相関・自動対応は Sentinel に集約するのが定石です。
ハンズオン / CLI例
Defender for Cloud Apps の設定(アプリコネクタ接続、Cloud Discovery、ポリシー作成)は主に専用ポータルや Entra ID の条件付きアクセスで行い、専用の az CLI コマンドはありません。ここでは関連する前提として、条件付きアクセスや診断ログの基盤づくりに使う Azure CLI 例を示します。
# テナント内の条件付きアクセスポリシー一覧を確認(アプリ制御の前提)
# サインインして Microsoft Graph 経由で参照
az rest --method get \
--url "https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies" \
--query "value[].{name:displayName, state:state}" -o table
# アラート連携の保管先にする Log Analytics ワークスペースを作成
az monitor log-analytics workspace create \
--resource-group rg-security \
--workspace-name law-security
# 既存ワークスペースの ID を確認(Sentinel 連携やエクスポート先として利用)
az monitor log-analytics workspace show \
--resource-group rg-security \
--workspace-name law-security \
--query customerId -o tsv
Azure Service
Microsoft Defender for Cloud Appsを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: Azure / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
条件付きアクセスアプリ制御でセッションを仲介し、ダウンロードやコピーをリアルタイムに制御する。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Azure
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「組織が使う SaaS(シャドー IT 含む)を可視化し、リスク評価して統制する CASB が中核。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。