知っていましたか？ Microsoft 365で簡単に実現できるブラウザでの安全なリモートワーク環境 〜応用編〜：Microsoft 365で実現するクラウド時代のセキュリティ（3）

本稿は Microsoft 365 に含まれるセキュリティに関連する機能にスポットを当て紹介するシリーズです。公式ドキュメントからは読み取れない便利な機能を日本マイクロソフトの技術営業チームが紹介します。今回のテーマは、前回ご紹介した読み取り専用モードでExchange OnlineとSharePoint Onlineを外部に公開する方法の続編として、これ以外のSaaSアプリケーションでも同様の制御を実現する方法をご紹介します。

[PR／＠IT]

SaaSアプリケーションでのセッションコントロール

• ［第1回記事］知っていましたか？　Microsoft 365で簡単に実現できるブラウザでの安全なリモートワーク環境
• ［第2回記事］社給端末制限の緩和でコストをかけずに、安全かつ柔軟性のあるリモートワーク環境の提供を！

　前回は、「セッションコントロール」を利用することにより、読み取り専用モードで「Exchange Online」と「SharePoint Online」を外部に公開する機能を紹介しました。この機能を利用することにで、端末を限定することなく、安全に業務ができる環境を従業員に提供することができるようになります。

　ただ、最近はさまざまなSaaS（Software as a Service）の利用が一般的になっており、他のSaaSアプリケーションでも同様の制御を実現したい、というご要望をよくいただきます。今回は「応用編」として、このようなご要望にお応えする「Cloud App Security」を利用したセッションコントロール機能を紹介します。

クライアント端末側の動作

　Cloud App Securityのセッションコントロール機能をSaaSアプリケーションに適用することにより、以下の制御をかけることができるようになります。

■ダウンロードのブロック
　SaaSアプリ上のファイルをダウンロードしようとすると、セッションコントロールによりブロックされます。

■切り取り／コピー／貼り付けのブロック
　SaaSアプリ上のテキストを切り取り／コピー／貼り付けようとすると、セッションコントロールによりブロックされます。これにより、画面のテキスト情報をコピーして持ち出されることを防止できます。

■印刷のブロック
　ブラウザの印刷機能でSaaSアプリの画面を印刷しようとするとブロックされます。これにより、紙媒体経由で情報が持ち出されることを防止できます。

　このような制御をCloud App Securityから提供することにより、個々のSaaSの機能に依存することなく、一律のガバナンスをかけることができるようになり、さまざまなSaaSアプリケーションをあらゆるデバイスで安全に利用することが可能になります。次からは、具体的な設定手順を紹介します。

セッションコントロールの具体的な設定手順

　設定手順は以下の3ステップとなります。設定を間違うと、意図しないアクセス制御が有効になってしまう可能性があるので、慎重に1ステップずつ進めてください。

・ステップ1：条件付きアクセスを設定して、セッションコントロールを有効にする

・ステップ2：Cloud App Securityでセッションコントロールが有効となっていることを確認する

・ステップ3：Cloud App Securityでセッションポリシーを設定する

　また、本手順は以下の事項を前提とします。

• 対象のSaaSアプリケーションがAzure Active Directory（Azure AD）で認証されるように設定されていること
• Cloud App Securityが利用可能になっていること（ライセンスをお持ちでない場合、評価版を利用してください）

［ステップ1］条件付きアクセスを設定して、セッションコントロールを有効にする

　まずは、セッションコントロールを有効にするために「条件付きアクセス」を有効にします。Azureポータルにサインインし、［Azure Active Directory］→［条件付きアクセス］→［新しいポリシー］をクリックして、必要となるポリシーを作成します。

• ［割り当て］→［クラウドアプリ］でセッションコントロールを行いたいアプリを選択します（本稿では「Salesforce」を利用します）。
• ［アクセス制御］→［セッション］で「アプリの条件付きアクセス制御を使う」をチェックし、プルダウンで「カスタムポリシーを使用する」を選択します。

　Exchange Online／SharePoint Onlineの場合と同様に、「割り当て」項目のユーザーとグループで適用対象のユーザーとグループを指定することもできます。また、条件の場所を指定することで、社内／社外ネットワークを定義し、社外ネットワークだけでこの設定を有効化することも可能です。

• 【参考】Azure ADアプリのConditional Access App Controlのデプロイ - Azure AD条件付きアクセスのTESTポリシーを作成する

［ステップ2］Cloud App Securityでセッションコントロールが有効となっていることを確認する

　次に、ステップ1で設定した条件付きアクセスにより、セッションコントロールが有効になっていることを確認します。条件付きアクセスはポリシーの設定後、実際に有効化されるまで少し時間がかかりますので、ステップ1の完了後、数分待ってから実施してください。

　まず、既存のセッションを全てサインアウトし、ブラウザが「InPrivateモード」になっていないことを確認した上で、対象のSaaSアプリにサインインします。

　正常にサインインが完了したら、Cloud App Securityのポータル画面から「調査」→「接続アプリ」→「アプリの条件付きアクセス制御アプリ」と進み、一覧に対象のSaaSアプリが表示されていることを確認します。

• 【参考】Azure AD アプリの Conditional Access App Control のデプロイ - ポリシーのスコープに含まれるユーザーでアプリにサインインする

［ステップ3］Cloud App Securityでセッションポリシーを設定する

　最後に、Cloud App Securityでセッションポリシーを作成します。Cloud App Securityのポータル画面から、「制御」→「ポリシー」→「ポリシーの作成」→「セッションポリシー」と進み、以下2つのポリシーを作成します。

• ポリシー1：ファイルのダウンロードをブロックするポリシー

• ［ポリシーテンプレート］で「リアルタイムのコンテンツ検査に基づいてダウンロードをブロックします」を選択し、「テンプレートを適用」をクリックします。
• ［検査方法］のプルダウンで、「なし」を選択します。

• ポリシー2：画面の切り取り／コピー／貼り付け／印刷をブロックするポリシー

• ［ポリシーテンプレート］で「リアルタイムのコンテンツ検査に基づいて切り取り、コピー、貼り付けをブロックします」を選択し、「テンプレートを適用」をクリックします。
• ［ポリシーにアクティビティ フィルターを追加する］の、［アクティビティの種類］の右側にあるドロップダウンリストで［Print］を追加選択します。
• ［コンテンツ検査］のチェックボックスのチェックを外します。

　ポリシーを作成したら、既存のセッションを全てサインアウトし、会社管理外のデバイスから対象のSaaSアプリにサインインします。すると以下のようなアラートが表示されますので、「Salesforceを続行する」を選択してサインインを続行します。

　サインインしたら、SaaSアプリに以下の制御が効いていることがご確認いただけるかと思います。

• ファイルのダウンロードがブロックされる
• 画面上のテキストを切り取り／コピー／貼り付けしようとするとブロックされる
• ブラウザの印刷機能で画面を印刷しようとするとブロックされる

まとめ

　Cloud App Securityを利用したセッションコントロールを利用することで、SaaSアプリケーションについても、端末を限定することなく、従業員に開放できることがご理解いただけたのではないでしょうか。

　また、上図の通り、Cloud App Securityを利用したセッションコントロールは、SaaSアプリケーションだけでなく、「Azure App Proxy」で公開したオンプレミスのWebアプリケーションにも適用可能です。

　これにより、業務に必要な全てのアプリケーションを、端末を限定することなく、従業員に開放する、ということも可能になります。本稿が従業員の多様な働き方を支援するIT部門の一助になれば幸いです。