CASBとは何か？ クラウドサービス利用の基礎知識（5/5 ページ）

[酒井洋和，てんとまる社]

　CASBを利用する際には、その目的に応じて複数のシステム構成を選択することになる。具体的には、シャドーIT、サンクションITのどちらが対象なのか、社外での対応も社内同様に行いたいのか、可視化を中心にするのか、具体的な対策にリアルタイム性を求めるか否かといった視点で構成を考えていく必要がある。なお、以下に紹介する構成は排他の関係ではないため、目的によって組み合わせることが可能だ。

可視化を中心とした構成

　まずは可視化を中心にCASBを検討する場合、既存環境に影響を与えない形で情報が収集できるよう、ファイアウォールやプロキシのログをCASBに提供する構成になる。この場合、対象となるのは社内での環境のみで、社外でクラウドサービスを利用する場合はファイアウォールやプロキシを経由しないため、可視化の対象外となる。

　またシャドーITであってもサンクションITであっても、社内の通信を全て可視化することが可能だ。第一ステップのPoCとしては手軽に負担なく導入できる構成だが、ログをアップロードする仕組みは別途用意する必要がある。なお、既にクラウドプロキシを導入している企業であれば、そのログを取得してCASBで活用すれば、社外での利用であっても可視化できるようになる。

図6 可視化を中心とした構成（出典：ネットワンシステムズ）

事後対策が可能な構成

　許可されたクラウドサービスとCASBベンダーがAPIにて連携することで、サンクションIT内に関するデータの保護やポリシー制御などが可能になる構成だ。既存の環境はそのままで導入でき、社外で利用した場合にも対象になるが、APIにて利用方法やデータそのものの監査が可能なサンクションITだけに限られる。またCASBによってどのサンクションITに対応しているのかは異なってくる。APIでの制御になるため、当然ながらデータをアップロードする前に制御することはできず、APIを通じて一度クラウドサービス上に展開したファイルを監査することになり、あくまで事後対策としての構成だ。

図7 事後対策が可能な構成（出典：ネットワンシステムズ）

リアルタイムな制御を可能にする構成

　リアルタイムな制御を行う場合は、クラウドサービスとユーザーとの間に入ってSSL通信を復号して情報を監査する必要があるため、基本的にはリバースプロキシやフォワードプロキシなどの構成で通信をキャッチし、中身を解析しながらリアルタイムに制御を行っていくことになる。Webサーバの代わりを行うリバースプロキシ構成の場合は、サンクションITが対象となり、社外ではリバースプロキシ経由でアクセスさせることで対応できる。またクライアントの代わりとなるフォワードプロキシ構成の場合はシャドーITも対象となるが、社外での利用は対象とならない。

　CASBベンダーによっては、エージェントを導入して全ての通信をプロキシに向けていくことが可能なソリューションもあり、エージェント構成であれば社外も含めてリアルタイムな制御を行うことが可能になる。

図8 リアルタイムな制御を可能にする構成（出典：東京エレクトロンデバイス、ネットワンシステムズ）

　なおプロキシについては、CASBベンダーが提供するプロキシをVM環境に展開するパターンや、DNSのレコードを書き換えて自動的にプロキシを経由させるパターンなど、幾つかのやり方が存在する。