Azure - Cloud App DiscoveryでPCがアクセスしたクラウドサービスを検出する その1
前から気になっていたCloud App Discoveryと言う機能をインストールしてみました。
目次
Cloud App Discoveryをインストールしたきっかけは?
昨今、FacebookなどのSNSや、Googleドライブなどのクラウドストレージが広く使われるようになりました。
これらは、非常に便利なツール達ではありますが、反面、誤ってお客様情報を書き込んでしまったなど、情報漏洩の温床と鳴っていることも確かです。
セキュリティをコントロール不可能な状態にしたくない判断から、SNSなどへ一切アクセス禁止としている企業も少なくないと思います。
企業内で勝手に使用されているクラウドアプリケーションはシャドークラウドとも言われますが、これらを効率よく検出/制御する方法はないかと考えていたときに、偶然資料を見かけたからです。
Cloud App Discoveryって何なの?
PCからアクセスしたクラウドアプリケーション(OneDriveやGoogle Docsなど)を検出し、利用状況をAzureADで集計します。
利用状況が可視化されることで、企業内で使われているクラウドアプリケーションの全容を把握することができ、適切な対応が取れるようになります。
また、Azureのクラウドアプリケーション管理で管理することも可能であり、IT部門の管理下で、限定されたユーザーにのみアクセスさせるなどの対応も可能となってきます。
もちろん、Azureの管理下に置くことで、クラウド側のアカウント自動生成やシングルサインオンも可能となり、管理性/生産性の向上が見込めます。
どういう情報が集まるの?
下図のような、クラウドアプリケーション毎の通信データ量やWebリクエスト数など、比較的細かく情報が収集できるようです。 また、Olarkなど自分は使ったことがないクラウドアプリケーションのログもあり、ユーザーも意識しないレベルの利用実態も収集できるようです。
どうやって情報収集しているの?
Cloud App Discoveryは、下記のQA*1にあるとおり、http/httpsベースの通信を解析して、クラウドアプリケーションを検出しているようです。そのため、アクセスしたページで発生したアクセスも検出しているものと思われます。
What data is the Cloud App Discovery agent capturing?
The agents capture URLs, headers and metadata for HTTP/HTTPS accesses originating from the machine.
This allows the agent to capture requests to all cloud applications accessed over HTTP or HTTPS.
The agent also captures the username of the user on the machine.
次回は、Cloud App Discoveryで集めた情報を細かく見てみたいと思います。
では、今日はここまでとします。
