「クラウドに送信されるファイルの安全性」を、どう確保すればよいのか:「Azure Information Protection」と「Cloud App Security」の連携で
マイクロソフトが、「クラウドへ送信されたデータであっても、データ保護と永続的な管理を行う」を実現するソリューション「Azure Information Protection」と「Cloud App Security」の機能を解説した。
米マイクロソフトは2016年11月7日(米国時間)、「Cloud App Security」と「Azure Information Protection」の連携性についての解説を公式ブログで公開。連携の最大のメリットは、クラウドへ送信されるデータのセキュリティ確保だと強調した。以下、内容を抄訳する。
企業の「デジタルトランスフォーメーション」が進むにつれ、データがこれまで以上に「多くの場所に移動する」ようになっている。ユーザーの生産性だけでなく、データアクセスやコラボレーションの機能や手段も増えている。
企業や管理者は、「クラウドへ送信されるデータは、可視性と管理性が欠如してしまう」ことへの対策に苦慮している。クラウドアプリケーションは、クラウドに対応していない従来の情報保護ソリューションとは連携しにくいことがあるからだ。不許可とすればユーザーの利便性や、クラウドおよびビジネスの可能性を大きく阻害してしまう。だからといって放置/放任すれば、セキュリティリスクになる。また、クラウド上に送られた機密データについて、本当に外部へ送信/共有されていないかを監視/管理するという新たな行程も生じてしまう。
Azure Information Protectionは、「企業のデータがどこにあっても保護できる」よう、「モバイルファースト/クラウドファースト」の時代に適した情報保護ソリューションとしての機能に重点を置いて開発されている。
もう1つのCloud App Securityは、クラウドアプリケーションにおけるアクティビティーとデータの検出/監視/コントロール/保護を行う包括的なソリューションである。
Cloud App SecurityとAzure Information Protectionが連携して動作することで、Azure Information Protectionが自動設定していく分類ラベルを利用して、ファイルの隔離/分類とファイル共有レベルに応じた共有の解除などを制御する「ガバナンスアクション」を自動的に実行できるようになる。
また、Azure Information ProtectionはCloud App Securityとの連携により、データのライフサイクル全体を通じてデータ管理を継続できる。具体的には、データの作成から、オンプレミス/クラウドへの保存、社内外での共有、ファイルの分散の監視、そして想定外の対応時まで、「データがどこにあるか」を管理できる。
両ツールの連携による主な機能には「データ共有の可視化」「共有管理ポリシー」「変則的な行動に関するアラート」がある。
データ共有の可視化
データが作成されると、Azure Information Protectionを使って、自動的、または手動で、重要度レベルに基づいて分類され、ラベル付けされる。この分類プロセスでデータに付加されるラベルは、データのライフサイクル全体を通じて永続的に機能する。
Cloud App Securityでは、Azure Information Protectionが定義したこれらのラベルに基づいて、ファイルの重要度を把握し、管理者が行うユーザー行動の監視と管理を支援する。ユーザーは、上記を深く意識することなく、ファイルのクラウドアップロードや社内外のメンバーとの共有を行える。
管理者は、Dropbox、Box、SharePoint Onlineなどのクラウドサービスで共有されている全ての機密ファイルを検索し、追跡できる。ファイルの流れを把握/管理するためのログ作成や、意図しない行動があったときのアラート機能、そして、管理者によるファイル共有の解除といった措置を講じることができる。
共有管理ポリシー
管理者はCloud App Securityのコンソールから、企業におけるファイルの重要レベルに応じて、ファイル共有ポリシーをファイル単位で設定できる。もし機密と定義されたファイルが共有された場合には、以下のアクションを自動的に実行できる。
- ファイルを隔離する
- ファイル共有を制限する
- ファイルを共有したユーザーに警告を送信する
意図しない行動に関するアラート
機密と定義されたファイルが、ポリシーで定められた範囲外の方法で共有/送信されたら、管理者に即通知が届くようにアラートを設定できる。
例えば、「機密ファイルを外部と共有する」「承認されていない場所で機密ファイルをダウンロードした」などがあれば範囲外と見なされ、アラートが出る。こうしたことを把握することで、万が一時のプロアクティブな調査にも大いに役立てられる。
このように、Cloud App SecurityとAzure Information Protectionの連携により、クラウドに移動したデータであっても流れを可視化して管理下に置き、データのライフサイクル全体を通じてデータ管理を継続できる。もちろんこれらはユーザーの生産性とコラボレーションを阻害しないよう実現できる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Azure AD関連の新サービスが続々登場、ライセンスの大幅変更も
「Azure Active Directory(Azure AD)に関連するいくつかのサービスが新たに正式提供されました。また、サービスの利用に必要なライセンスも大幅に変更されました。
マイクロソフト、クラウドアプリのセキュリティを強化する「Cloud App Security」を提供開始
マイクロソフトは、クラウドアプリケーションの包括的なセキュリティサービス「Cloud App Security」の一般提供を開始した。
Azure Security Centerが機能強化、他のクラウド利用を制御するCASBも提供へ
米マイクロソフトはMicrosoft Azureで、Azure Security Centerを大幅に機能強化、さらにユーザーによる各種SaaS利用をコントロールできるセキュリティサービスを2016年4月に提供開始する。