あるセキュリティチームが、Microsoft 365 環境で従業員が許可されていない SaaS アプリ（シャドー IT）を業務利用していないか監視し、リスクの高いアプリのアクセスをブロックしたいと考えています。この要件に最も適した Microsoft 製品はどれか。

正解: C

Microsoft Defender for Cloud Apps は CASB（Cloud Access Security Broker）として機能し、組織内で利用されているクラウドアプリを可視化（Cloud Discovery）し、シャドー IT を特定してリスク評価を行い、ポリシーによってアクセスをブロックできます。Dの Defender for Endpoint はデバイスの脅威検出・対応が主目的であり、クラウドアプリの可視化・制御機能を主軸として持ちません。Bの Defender for Identity はオンプレミス AD 攻撃検出が専門です。Aの Entra ID Protection はユーザーの認証リスク（不審なサインイン等）を検出するものであり、SaaS アプリ利用状況の監視・ブロックはできません。