CASB(Cloud Access Security Broker)とは、従業員のクラウドサービスの利用を監視し、不正アクセスやデータ流出を阻止するソリューションだ(続きはページの末尾へ)。
CASBは、複数のクラウドサービスを利用する際に状況を可視化し、一貫したポリシーを適用してくれるものだが、具体的にはどのような課題に対して機能が備わっているのだろうか。
ガートナーの定義では、ユーザーがどんなクラウドサービスを活用しているのか把握するための「可視化」、企業が設定したクラウド利用のポリシーや情報の取り扱いに関わるコンテンツポリシー、企業独自に設定されたセキュリティに関する基準などを満たしているかどうかを監査する「コンプライアンス」、セキュリティに関する脅威検知や分析、防御を行う「脅威防御」、そして情報流出を防ぐ「データセキュリティ」の4つがCASBに求められる機能だ。
CASBの「可視化」機能は、企業におけるクラウドサービスの使用状況の明確化に重点を置く。この機能によって、企業は従業員がどのクラウドアプリケーションを使用しているか、どのデータがクラウドに保存されているかを一元的に確認でき、許可されていないアプリケーション(シャドーIT)の使用を発見、管理するのに役立つ。
「コンプライアンス」機能は、企業が設定したポリシーに沿って、クラウドサービスの利用が適切に行われているかを確認するためのものだ。データ保護規制(GDPRやHIPAAなど)への準拠状況を監視し、企業独自のセキュリティ基準がクラウド環境で守られているかを確認する。違反が検出された場合はアラートを発し、対応措置を促す。
「脅威防御」機能は、さまざまなセキュリティ脅威から企業を守るための監視と対応を行う。これには、不正アクセスやマルウェア、アカウント乗っ取りなど、クラウドサービスを標的とした攻撃の検出が含まれる。
「データセキュリティ」機能はクラウド環境内での情報流出を防ぐための措置を提供する。これには、データの暗号化やアクセス制御の強化、機密情報の自動検出と分類などが含まれる。
これら4つの機能によって、 許可していないシャドーITへの対策をはじめ、クラウドサービス利用における規定が順守されているかどうかの監査対応、データ漏えいへの防御策、サイバー攻撃をはじめとしたクラウドの脅威などへの対策が可能になるわけだ。
CASBはクラウドサービスの利用状況を可視化し、脅威防御やコンプライアンス違反のチェック、そして情報漏えいなどを防いでくれる仕組みだが、これまでも似たようなセキュリティ対策を実装してきた経験をお持ちの方もいらっしゃることだろう。
例えば、URLフィルタリングなどでも同様のことができそうな印象をお持ちの方もいるはずだ。実際には、CASBとURLフィルタリングを協調させて活用するケースもあるが、CASBは「クラウドサービスに特化している」ことが大きな特徴だ。
URLフィルタリングはクラウドサービスを含めたWeb全般がターゲットとなり、URL単位でアクセス制御を行う。それゆえ、URLに対するアクセス自体をブロックすることは可能だが、これではクラウド自体の利用を阻害してしまうことにもなりかねない。クラウドサービスに特化したCASBであれば、あくまで利用状況の可視化と統制を図り、情報そのものの中身を精査したうえで可否を判断して制御を行うことが可能になる。
CASB導入時の製品選定の際に考慮すべきポイントを4点に分けて解説する。
CASBを導入する最初のステップとして、現在利用しているクラウドサービスや将来導入を検討しているサービスとの互換性を確認することが重要だ。特定のクラウドプラットフォームやアプリケーションに特化したCASBも存在するため、自社の状況に合った製品選択が求められる。
CASBは主に可視化やコンプライアンス、データセキュリティ、脅威防御などの機能を提供するが、製品によって提供される機能の範囲や詳細は異なる。自社が直面しているセキュリティ課題や必要としている機能を明確にし、それらを満たす製品を選択することが重要だ。
CASBの導入目的は、クラウドサービスのセキュリティ管理の効率化や強化にある。そのため、管理画面の使いやすさやポリシー設定、アラートのカスタマイズ性など、日々の運用管理のしやすさも重要な選定ポイントとなる。既存のセキュリティインフラや運用フローとの統合性も確認しておく必要がある。
クラウド環境は常に変化するため、CASBのベンダーが適切なサポート体制を提供しているかも重要なポイントだ。技術的な問題が発生した際のサポート対応力や定期的な機能更新、セキュリティパッチの提供状況などを確認することが望ましい。
製品名 | ベンダー名 | 特徴 |
---|---|---|
Netskope CASB | Netskope Japan | セキュリティ・サービス・エッジ(SSE)の代表的なベンダーであるNetskopeが提供するCASB。Netskope Intelligent SSEプラットフォームに含まれる |
Zscaler Data Protection | ゼットスケーラー | Zscalerが提供するデータ保護プラットフォーム。CASBに加え、DLPやメールセキュリティなどの機能も包括する |
Symantec Data Loss Prevention(DLP)Cloud | ブロードコム | SymantecのDLP製品。Broadcomが同社を買収した現在はBroadcomが提供する。CASBとDLPを複合した製品になっている |