セキュリティで保護されたアプリケーションを作成して実行する
Note
これは、Microsoft Cloud でアプリケーションを構築する記事の 5/6 です。
優れたセキュリティにより、偶発的および意図的な損害からシステムが、その結果として組織が保護されます。 これにより、リソースにアクセスできるのが適切なユーザーのみになるため、不注意による損害が発生する可能性を最小限に抑えることができます。 危険、違反、その他の重要なセキュリティ イベントについての警告も行います。
この記事では、Microsoft Cloud がシステムのセキュリティ保護に役立つしくみについて説明します。
統合 ID とアクセス管理ソリューションに Microsoft Entra ID を使用する
クラウドベースの世界では、従業員と顧客は、さまざまな場所にある多くのデバイスからカスタム アプリケーションにアクセスできます。 適切な制限を使用し、適切なユーザーへのアクセスを許可することは、基本的に ID に依存します。 適切なセキュリティを確保するには、各ユーザーがシステムにアクセスする前に ID を証明し、ジョブを実行するために必要なリソースにのみアクセスする必要があります。
これを行うためのソフトウェアの構築は困難です。 専門家が必要であり、適切な採用には時間がかかるため、独自に構築することは希望されないでしょう。 同様に重要なのは、ID は、ユーザーと開発者の両方にとって、できるだけ簡単に使用できる必要があります。 理想的には、環境全体で ID を一様に管理する方法が必要です。
これは、Microsoft Cloud が、世界最大のクラウド ID サービスである Microsoft Entra ID を提供します。 組織で現在、Azure、Power Platform、Microsoft 365、Dynamics 365 などの Microsoft Cloud のコンポーネントを使用している場合は、既に Microsoft Entra ID を使用しています。 これは Microsoft Cloud 全体で使用され、すべてのコンポーネントに対して 1 つの ID をユーザーに提供します。
Microsoft Cloud 上に構築されたカスタム アプリケーションでも、Microsoft Entra ID を使用する必要があります。 図 9 は、これがサンプル アプリケーションからどのように認識されるかを示しています。
図 9: Microsoft Entra ID と Azure Active Directory B2C は、Microsoft クラウド上に構築されたアプリケーションに共通の ID サービスを提供します。
図に示すように、カスタム アプリケーションでは 2 つの関連する ID サービスを使用できます。
- Microsoft Entra ID。Microsoft クラウド内の ID を提供します。 カスタム アプリケーションにアクセスする従業員は、通常、Entra ID を使用してサインインし、すべての Microsoft Cloud サービスへのアクセスに使用する ID を確立します。
- 外部ユーザーの ID を提供する Microsoft Entra ID B2C。 このサービスで、顧客は自分のアカウントを作成することも、Microsoft、Google、Facebook などの既存のパブリック アカウントを使用することもできます。
ID に Microsoft Entra ID を使用すると、次のような利点があります。
- Microsoft Cloud 全体で同じ ID を使用すると、アプリケーションの開発者とユーザーの両方の作業が簡単になります。 図 9 に示す例では、従業員は、テナントと呼ばれる組織の Microsoft Entra ID 環境にサインインすることから始めることができます。 これを行うと、Power Apps を使用して作成されたアプリケーションの従業員向けコンポーネントにアクセスできます。 このアプリケーションは、同じ ID を使用して Azure API Management、Dynamics 365、Microsoft Graph を呼び出すことができるため、従業員が再度サインインする必要はありません。
- 開発者は、作成するアプリケーションでMicrosoft ID プラットフォームを使用できます。 ライブラリと管理ツールを使用すると、開発者は Microsoft Entra ID などの ID を使用するアプリケーションを簡単に構築できます。 これを行うために、Microsoft ID プラットフォームは OAuth 2.0 や OpenID Connect などの業界標準を実装しています。
- Microsoft Entra ID とMicrosoft ID プラットフォームを使用すると、ID の使用方法を制御できます。 たとえば、1 つの設定を変更することで、Microsoft ID プラットフォームで構築された複数のアプリケーションで多要素認証のサポートを有効にできます。 Microsoft Entra ID は、ID ベースのセキュリティの脅威と攻撃を監視するための Microsoft のセキュリティ ツールとも統合されています。
ID とアクセス管理の権利を取得することは、セキュリティを適切に行うための基本的な部分です。 Microsoft Entra ID を使用して Microsoft Cloud でアプリケーションを構築すると、この目標を達成しやすくなります。
Microsoft Sentinel を使用してアプリケーションのセキュリティを監視および管理する
現在、アプリケーションを構築するすべてのユーザーは、ソフトウェアが攻撃者の対象であると想定する必要があります。 これを考えると、組織はアプリケーションとその実行環境のセキュリティを継続的に監視および管理する必要があります。 Microsoft Cloud には、これを行うためのいくつかのツールが用意されています。
これらの中で最も重要なものの 1 つが、Microsoft Sentinel です。 Microsoft Sentinel は、セキュリティ情報とイベント管理 (SIEM) を提供し、さまざまなセキュリティ関連データをキャプチャして分析できるようにします。 脅威に自動的に対応することで、セキュリティのオーケストレーション、自動化、対応 (SOAR) も提供されます。 Microsoft Sentinel は、組織がセキュリティの問題をより効果的に見つけて修正するのに役立ちます。
Microsoft Sentinel の幅広い範囲は、多数のコネクタを通じて、Microsoft Cloud 以降を含みます。 これらのコネクタを使用すると、Microsoft Sentinel は他の多くのサービスやテクノロジと対話できます。 これらの中で最も重要なものの 1 つには、次のような Microsoft Defender ツールがあります。
- Microsoft Defender for Cloud。これは、組織が Azure アプリケーションのセキュリティを把握し、向上させるのに役立ちます。 Azure Storage などの特定のクラウド サービスの保護もできます。
- Microsoft 365 Defender。次のようなコンポーネントを提供します。
- Microsoft Defender for Office 365。Exchange やその他のOffice 365の側面を保護します。
- Microsoft Defender for Identity。Active Directory を監視して、侵害された ID やその他の脅威を検出します。
- Microsoft Defender for Cloud Apps。組織内のユーザーと、ユーザーが使用するクラウド リソースとの間のクラウド アクセス セキュリティ ブローカーとして機能します。 これにより、Microsoft Cloud と他の場所の両方で使用するアプリと、それらを使用しているユーザーを把握するのに役立ちます。
Microsoft Sentinel では、Office 365 の監査ログ、Azure アクティビティ ログ、Microsoft Cloud 内のその他のセキュリティ関連情報をインポートすることもできます。 また、Microsoft Sentinel は、さまざまなベンダーから提供されている他の多くのソースからセキュリティ関連情報にアクセスすることもできます。 Microsoft Sentinel を情報ソースに接続したら、データを分析してセキュリティ インシデントを理解し、それらに対応できます。
セキュリティは単純な問題ではありません。 このため、Microsoft はこの領域に対処するための Microsoft Sentinel やその他のセキュリティ オファリングを提供しています。 これらのテクノロジすべてが連携して、Microsoft Cloud で実行されているアプリケーションのセキュリティを向上させます。
次のステップ
Microsoft Cloud でアプリケーションを構築するの概要を参照し、エンタープライズ アプリケーション開発リーダーとして成功する方法の詳細を確認します。