フォーム読み込み中
Zscaler Internet AccessとMicrosoft Defender for Cloud Appsを連携してみた
サイバーセキュリティチーム
ソフトバンクのセキュリティエンジニアチームが、セキュリティに関するトピックや最新のセキュリティ技術について執筆しています。セキュリティエンジニアとしての知識や経験を共有し、皆さんがより安全なデジタル環境を築く手助けができればと思っています。
2024年10月10日掲載
皆さん、こんにちは。Zscaler導入/技術支援チームです。
近年、リモートワークやクラウドサービスの普及に伴い、企業が正式に管理していないソフトウェアやクラウドサービスを従業員が使用する「シャドーIT」が増加しています。これにより、情報漏えいやセキュリティ侵害のリスクが高まる可能性があります。
対策として、CASB(Cloud Access Security Broker)などの可視化・アクセス制御ソリューションを導入し、従業員が使用するクラウドアプリケーションを監視し、不適切な使用を防止することが重要です。
Zscaler Internet AccessにもCASBの機能があり、可視化・制御が可能です。さらに、Microsoftの「Microsoft Defender for Cloud Apps」と連携することで、企業のセキュリティ対策をより強化できます。
本記事では、Zscalerが提供する「Zscaler Internet Access」とMicrosoftが提供する「Microsoft Defender for Cloud Apps」の連携手順の概要と実際の動作確認の結果を紹介します。
Zscaler Internet Accessと Microsoft Defender for Cloud Appsの連携とは
Zscaler Internet Access(ZIA)とMicrosoft Defender for Cloud Apps(MDCA)を連携することでできる事は以下2点となります。
- MDCA上でのクラウドアプリケーション可視化
ZIAのWebアクセスログをMDCAに転送することで、MDCAはWebアクセスログに基づいたクラウドアプリケーションを検出します。この連携により、従業員がどのクラウドアプリケーションを使用しているかを可視化し、シャドーITのリスクを低減します。
- MDCA上で否認にしたアプリケーションのアクセス制御(ブロック)
MDCAで検出したアプリケーションからZIAでブロックすべきアプリケーションを否認指定することで、ZIAにアプリケーションのURL情報を同期させ、MDCAのアプリケーションベースでのURLフィルタリングを実現し、企業のセキュリティを強化することが可能になります。
前提条件
事前に必要な情報は以下の通りです。
| 情報 | 説明 |
|---|---|
| 製品ライセンス | ・Zscaler Internet Access ログストリーミング ・Microsoft Defender for Cloud Apps ※Microsoft 365 E5、Enterprise Mobility+ Security E5など |
管理者アカウント | ・Zscaler Internet Access 管理者 ・Microsoft Defender 管理者 ※MDCAの設定変更が可能がロールが割り当てされていること (Cloud App Security 管理者など) |
| 仮想マシン | ・Zscaler NSSを構築するための仮想マシン ※各プラットフォームのステップ1 NSS展開の前提条件を参照 |
連携手順
手順の流れとしては以下の通りです。
1. Zscaler NSS構築
2. Zscaler NSSフィード設定
3. MDCA ログ受信フォーマット設定、およびAPIトークン生成
4. Zscaler NSS MDCA連携設定
5. MDCA 否認アプリケーション設定
6. Zscaler APIトークン登録
以降では各手順のポイントを説明します。
詳細手順は、公式ヘルプをご覧ください。
1. Zscaler NSS構築
ZIAのログ情報をMDCAへ連携するためにZscaler NSSを構築します。
Zscaler NSSを構築するための手順は公式ページをご参照ください。
※NSSのNSSフィードを追加するステップまで実施してください。
2. Zscaler NSSフィード設定
NSSを構築後、MDCAへ連携するログフォーマットの設定を行います。
Zscalerポータルの左のメニューから[管理] > [Nanolog配信サービス]をクリックします。
[NSSフィード]タブをクリックし、[追加 MCAS NSSフィード]をクリックします。
MDCAへ連携するログフォーマットを設定し、[保存]をクリックします。
- フィード名:任意
- NSSサーバ: 1で作成したNSS指定
- ステータス:有効
※その他項目はデフォルト設定とします。
左のメニューから[有効化] > [有効化]をクリックし、設定を反映します。以上、ZIAからMDCAへ連携するログフォーマットの設定が完了です。
3. MDCA ログ受信フォーマット設定、およびAPIトークン生成
MDCAで、ZIAのログ情報を受信する設定を行います。
Microsoft Defenderポータルの左のメニューから[設定] > [クラウドアプリ]をクリックします。
[クラウド検出] > [ログの自動アップロード]をクリックし、[データソース]タブの[データソースを追加]をクリックします。
以下項目を入力・選択し、[追加]をクリックします。
- 名前:NSS
- ソース:Zscaler ‐ QRadar LEEF
- レシーバーの種類:Syslog - UDP
※ 上記全て固定設定となります。変更すると受信ができなくなります。
次に、ZscalerとAPI連携するためのトークンを生成します。
[システム] > [APIトークン]をクリックし、[トークンの追加]をクリックします。
トークン名は任意の名称を入力し、[生成]をクリックします。
「APIトークンが正常に生成されました」と表示されたことを確認します。
以下2点は以降の手順で使用するため、テキストファイルなど等へ貼り付けし保存しておきましょう。
- APIトークン・・・・コピーアイコンをクリック
- URL
※後からAPIトークンをコピーできないため、必ず保存してください。
以上、MDCA ログ受信フォーマット設定、およびAPIトークン生成が完了です。
4. Zscaler NSSのMDCA連携設定
Zscaler NSSへ、MDCA連携を行うための設定を行います。
Zscaler NSSがMicrosoftテナントを識別するため、APIトークンやURLを入力します。
Zscaler NSSへSSHでログインし、以下のコマンドを実行します。
各項目を入力・Enterキーの押下を繰り返し、「MCAS enabled!」と表示されることを確認します。
sudo nss configure-mcas
(入力例)
Password:NSSログインユーザーのパスワード
token(Authentication token for uploading to MCAS):MDCAで生成したAPIトークン
domain(MCAS domain like mycompany.portal.cloudappsecurity.com)[]:MDCAで発行されたURL
(実行結果例)
MCAS enabled!
以上、Zscaler NSSのMDCA連携設定が完了です。
5. MDCA 否認アプリケーション設定
ZIAとMDCAを連携する上で、MDCAで事前準備が必要です。
MDCA側で否認アプリケーションを1つ以上定義する必要があります。
定義していない場合、ZIAへアプリケーション情報の連携は行われません。
Microsoft Defenderポータルの左のメニューから[クラウドアプリ] > [クラウドアプリカタログ]をクリックします。
任意のアプリケーションを「承認しない」に設定します。
以上、MDCA 否認アプリケーション設定が完了です。
6. Zscaler APIトークン登録
ZIAへAPIトークンを登録し、MDCAとの連携を行います。
Zscalerポータルの左のメニューから[管理] > [パートナー統合]をクリックします。
[Microsoft Cloud App Security]タブをクリックし、Microsoft Cloud App Security(MCAS)認証トークンへMDCAで生成したAPIトークンを入力します。
[テスト]をクリックし、「トークンは有効です。(略)」と表示されることを確認します。
以下の通り、最終同期が行われたこと、アプリケーションURLが連携されたことを確認します。
以上、Zscaler APIトークン登録が完了です。
動作確認
ZIAとMDCA連携の動作確認として、クラウドアプリケーション可視化とMDCA上で否認したアプリケーションのアクセス制御を行います。
①MDCA上でのクラウドアプリケーション可視化
Microsoft Defenderポータルの左メニューから[設定] > [クラウドアプリ] > [クラウド検出] > [ログの自動アップロード]に移動し、[データソース]タブをクリックします。
作成したデータソースのカラムに「アップロードされたログ」がカウントされていることを確認します。
※ZIAの通信量が少ない場合、カウントが上がるまでに1~2時間程度かかることがあります。
Microsoft Defenderポータルから[クラウドアプリ] > [クラウド検出]に移動します。
ZIAのWebアクセスログから検出したアプリケーションの情報が記録され、利用しているアプリケーションを参照することが可能になります。
【ダッシュボード】
【検出されたアプリケーション】
検出されたアプリケーションから従業員が利用しているクラウドアプリケーションの一覧が表示され、シャドーITの存在が確認できます。
②MDCA上で否認にしたアプリケーションのアクセス制御(ブロック)
「Microsoft Defender for Cloud Apps」のクラウドアプリカタログで「承認しない」と設定したアプリケーションは、ZIAの「MS Defender Unsanctioned Apps」のURLカテゴリへ自動連携されます。
連携されたURLを参照する場合は、
Zscalerポータルの左のメニューから[管理] > [リソース] > [アクセスコントロール] >[URLカテゴリ]をクリックします。
「MS Defender Unsanctioned Apps」の編集ボタンをクリックすると、MDCAから連携されたURLを参照することが可能です。
MDCA上で否認にしたアプリケーションのアクセス制御(ブロック)する場合は、ZIAのURLフィルタリングポリシーへブロックさせるポリシーの追加が必要です。
- ルール名:任意
- Criteria:
URLカテゴリ:MS Defender Unsanctioned Apps
※その他項目はデフォルト設定とします。 - アクション:ブロック
それでは、「承認しない」と設定したアプリケーションへアクセスしてみましょう。
ZCCが導入された端末からアプリケーションにアクセスすると、以下の通りZscalerによってブロックされます。
まとめ
今回は、Zscalerが提供する「Zscaler Internet Access」とMicrosoftが提供する「Microsoft Defender for Cloud Apps」の連携手順の概要と実際の動作を紹介しました。
2つの製品を組み合わせることで、ユーザーが利用しているクラウドサービスをシームレスに可視化と、自動ブロック機能によるアクセス制御を実現できました。
機能の活用によって、IT管理者が意図しないクラウドサービス利用による情報漏えい漏洩などのセキュリティリスクの軽減が期待できると考えています。
上記機能含め、Zscalerに関するお問い合わせは、ぜひ是非ソフトバンク窓口また又は担当営業までご相談ください。
最後まで読んでいただきありがとうございました!次回も乞うご期待ください。
関連サービス
複数のオンプレミス製品で実現していたWebセキュリティ対策を、単一の統合プラットフォームで提供し、ゼロトラストセキュリティを実現します。
従来のオンプレミス型リモートアクセスソリューションが持つ全ての機能をクラウドベースで提供し、企業の生産性向上に貢献します。
シャドーITのきめ細やかな可視化と制御、およびサンクションIT(組織が承認したクラウドアプリ)に対する行動分析や脅威検知、機密データの保護が可能となります。
有人セキュリティ監視・分析・対処をご提供し、サイバー攻撃からお客さまの資産を守ります。
関連セミナー・イベント
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
