クラウドセキュリティ(CASB)


CASBとは

最近では企業でもSaaSの活用が広がっており、複数のサービスを併用するケースも増えてきました。例えばメールやグループウェアはOffice 365、CRMやMA(Marketing Automation)はSalesforce、ファイル共有はBox、といった使い分けを行っている企業も、決して珍しくはありません。

このような環境では、SaaSのセキュリティポリシーも徹底していく必要があります。しかしこれは簡単ではありません。アクセス権限や各ユーザーが利用可能な機能などをサービス毎に設定する必要があり、手間がかかるからです。またサービスによっては、十分なセキュリティ機能を装備していないことや、データ漏洩や消失に関する保証がないことも、少なくありません。

SaaSがシャドーITとして使われることが多いのも、大きな問題です。SaaSは簡単に導入できるため、IT部門を介さずエンドユーザー部門が自ら契約することも少なくないのです。しかしこうなってしまうと、IT部門の統制はまったく効かなくなってしまいます。十分なセキュリティリテラシーを持たない従業員がサービス選定を担当した場合には、セキュリティに問題があるサービスを選んでしまう危険性もあります。

さらに、企業で利用しているSaaSと同じものを、個人が使っているケースもあります。例えば会社でBoxやDropboxを使用し、個人でもこれらを使っているという状況は、ごく当たり前のように見受けられます。この場合、たとえ社内からアクセス可能なSaaSを制限したとしても、個人契約したサービスに機密ファイルをアップロードすることで、情報が漏洩するというリスクが発生します。

今後最も重要なセキュリティテクノロジーになるCASB

「SaaS利用が当たり前」の時代には、セキュリティ確保にも新たな手法が必要です。このニーズに対応するために登場したのが「CASB(Cloud Access Security Broker:キャスビー)」です。

CASBは米ガートナーが2012年に初めて提唱したコンセプトであり、その基本的な考え方は「ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行うことで、全体として一貫性のあるポリシーを適用できるようにする」というものです。その重要性は提唱したガートナー自身も高く評価しており、2016年6月に米国メリーランド州で開催した「ガートナー セキュリティ&リスク・マネジメント サミット2016」では、注目すべき情報セキュリティテクノロジーの筆頭に挙げられています。また2016年10月に公開された「Gartner’s Market Guide for Cloud Access Security Brokers」では、2020年までに85%の大企業がCASBを導入するだろうと予測しています。

ガートナーの定義によれば、CASBには大きく4つの機能があります。 社内ユーザーがどのようなSaaSを使っているのかをIT管理者が監視できるようにする「可視化(ディスカバリー)」、アクセス権限の逸脱や機密情報の持ち出しをチェック/ブロックする「データセキュリティ」、セキュリティに関する基準やポリシーを満たしていることを監査する「コンプライアンス」、セキュリティ脅威の検出/分析や防御を行う「脅威防御」です。

このような機能を実現できれば、複数のSaaSを併用した環境でもセキュリティポリシーを徹底しやすくなり、シャドウITの問題も解決できます。その結果、SaaSを介した情報漏えいも防止しやすくなるはずです。すでにCASBソリューションを提供するベンダーも、複数登場しています。それでは実際にCASBソリューションを導入する時には、どのような観点から選択を行うべきなのでしょうか。

CASBソリューション導入選定時にチェックしたいポイント

CASBソリューションの選択でまず注目したいのが、どのような「アーキテクチャ」を採用しているかです。CASBの基本的な機能は、SaaSに関する情報を収集し、その情報にもとづいてユーザーの利用を制限するということです。この時、どこから情報を収集し、どのようにして利用制限を行うのかが重要になります。

利用制限の方法としては、大きく3種類のアプローチが考えられます。

第1は、クラウドサービスとしてゲートウェイを用意し、そこを通過するトラフィックから情報を収集、必要に応じてゲートウェイで通信を遮断するという方法です。社内からの利用のように、ユーザーからの全てのアクセスを特定の場所(この場合はCASBゲートウェイ)に集約できる場合には、最もシンプルで効果的なアプローチになります。

第2はユーザーが使用するデバイスにエージェントをインストールし、ここで情報収集や制御を行うという方法です。モバイルデバイスでは特定のゲートウェイにトラフィックを向けることが難しい場合がありますが、エージェント型であればこの問題を解決できます。

そして第3が、各SaaSのAPIを通じて、情報収集や制御を行うという方法です。APIを提供していないSaaSには適用できませんが、各SaaSに蓄積された情報のスキャンや操作が可能になるため、よりきめ細かいコントロールが実現できます。例えば、CASB導入前に機密情報がSaaSに保存されていた場合でも、それをスキャンして削除する、といった対応が行なえます。

これら3種類のアプローチは、いずれも一長一短があります。そのためユーザーの利用状況や使用するSaaSに合わせて、使い分けや組み合わせが必要になります。

漏れのない管理を容易にするCASBソリューションとは

もう1つ着目すべきなのは、どれだけ幅広いSaaSとデバイスに対応しているのかということです。ユーザーがアクセスしているSaaSに関するリスク情報がなければ、それを遮断すべきか否かの判断が行なえません。リスク情報のないSaaSを一律的に遮断するという方法もあるかもしれませんが、それではユーザーの利便性を必要以上に削いでしまう危険性があります。デバイスに関しても、特定のものにしか対応していなければ、管理の漏れが生じる危険性があります。

これらの観点からお薦めしたいのが、「Netskope」というソリューションです。これを提供するNetskope社は2012年に設立された新興企業ですが、すでに数多くの顧客を獲得しており、最大規模の顧客では100万ユーザー規模で利用されています。また幅広いクラウドベンダーとのパートナーシップも積極的に展開しており、Office 365を提供するマイクロソフト社からは「Gold Cloud Productivity Competency」の認定を受けています。

Netskopeをお薦めする最大の理由は、前述の3種類のアーキテクチャ全てを提供していることです。ユーザーの利用環境に応じてゲートウェイ型とエージェント型を使い分けることができ、APIを提供しているSaaSでは、よりきめ細かい制御が可能です。例えばOffice 365では、SharePointやOneDrive、Yammerといったアプリケーション毎の利用状況を把握でき、誰が誰とどのような情報を共有しているのか、その情報を誰がどこにダウンロードしたのか、といったことまで把握できます。またアプリケーションや情報へのきめ細かいアクセスポリシーを設定し、それを強制させることも可能です。

もう1つの理由は、幅広いSaaSとデバイスに対応していることです。約2万種類のクラウドサービスをカバーしており、これらのリスク評価情報が利用可能なのです。またPCだけではなく多様なモバイルデバイスもサポートしています。そのため「漏れのない管理」を実現しやすいのです。

このようなソリューションを活用すれば、「SaaSの利用が当たり前の時代」のセキュリティも確保しやすくなります。

関連ソリューション

関連セミナー

お気軽にお問い合わせください