クラウドセキュリティ：デバイス制御が必要な理由

組織のセキュリティ対策
2020.4.16

在宅勤務が続く中、BYOD（Bring Your Own Device）－従業員は自分のデバイスを使用し、ビジネスパートナーからのコラボレーションクラウドアプリへの共有アクセスを利用することが可能な状況にあります。企業がクラウドサービスへのアクセスを許可する場合、デバイス制御を含める必要があります。

多くのクラウドサービスには、アクセスと機能を制限する管理オプションがあります。残念ながら、これらの機能の多くは、サービスの他の側面と比較して複雑であるか重要ではないと思われているため、未使用のままであることが多いようです。また無視されることが多いのは、デバイスごとにポリシーを設定することです。

クラウドサービスは多くの場合、異なるユーザー間のコラボレーションを可能にします。その強みは、提供する幅広いデバイスサポートです。ほとんどのオペレーティングシステムでは、特定のアプリまたはブラウザーを介してクラウドサービスへアクセスできると想定されています。ユーザーは従業員またはビジネスパートナーである可能性があり、最新のセキュリティアップデートを備えた管理対象デバイス、非管理対象デバイス、信頼済みデバイスまたは非信頼デバイス、またはデバイスセキュリティのない古いシステムを使用している可能性があるなど、さまざまです。そのため、デバイス情報に基づいてポリシーを確認および設定する必要性が高まっています。

以下に、私たちが制御すべき潜在的に起こり得る、リスクシナリオをいくつか示します。

BYODまたは管理対象外のデバイスを使用し、機密情報を安全でないデバイスにダウンロードし、その後紛失または感染してデータを盗み出す従業員
従業員が家族の友人のデバイスを借りてログインし、そのデバイスで情報をダウンロードまたは編集してドキュメントをアップロードし、マルウェアをアップロードする可能性
自分のデバイスを使用しているビジネスパートナーが、デバイスが保護されていなかったために誤ってマルウェアをアップロードする可能性

これらおよびその他の危険なシナリオに対処するためのポリシーには、次のものがあります。

従業員の管理対象外のデバイスからのアクセスの場合、コンテンツを表示のみ可能にしファイルダウンロードを制限
不明なデバイスからのアップロードを禁止
組織外にいるときにデータをダウンロードするすべてのデバイスにDLPポリシーを実装

クラウド管理者は、これらの各シナリオを検討し、適切なポリシーを決定して、クラウドサービスでそれらを定義する必要があります。すべてのクラウドサービスが各条件をサポートしているわけではありませんが、多くの可能な条件があります。ブール論理を使用することにより、さまざまな基準のセットを比較して、各条件を考慮することが可能です。

管理対象/管理対象外のデバイス
使用中のオペレーティングシステム
アクティビティ（アップロード、投稿、ダウンロード）
エージェント（McAfee MCP、Zscaler、その他）
MobileIronやAirWatchなどのEMMシステムで管理
地理位置情報のIPアドレス
認証システムで定義されたユーザー/グループ（LDAPなど）
リクエスト分類子（クラウドサービスへのより深いドリルダウンを可能にする）
ユーザードメイン

サポートされる可能性のある条件に基づくアクションには、次のものがあります。

アクセスを許可/アクセスを拒否
デバイスの証明書を確認
ユーザーを再認証するためのステップアップ認証
そのデバイスからの後続のすべてのトラフィックをプロキシを介し他の制御を有効にする
トラフィックをリダイレクト
特定のDLPポリシーを実装

すべてのクラウドサービスが各条件に基づいたポリシーを提供しているわけではありません。サポートされているものは、特定のクラウドサービスを購入する前に確認することが重要です。各サービスには、これらのサービスを定義する管理機能がありますが、多くの場合、MVISION CloudなどのCASBソリューションを使用し設定を行い、すべてのクラウドサービスにプッシュする方がはるかに簡単です。

さらに掘り下げて、クラウドサービスの一部を参照し、管理対象外のデバイスからはOneDriveにアクセス可能でもSharePointは不可にしたり、企業ネットワーク上にないデバイスがO365管理ポータルにアクセスできないようにブロックしたりするなど、管理者がより詳細なポリシーを定義できるようにすることも可能です。