Netskope 導入事例|ADKアーツ 様 クラウドサービス利用実態の可視化から
株式会社ADKアーツ コーポレート本部 総務・ITユニット シニアマネジャー大海 晃彦氏、
同ユニット ITチーム 稲垣 篤史氏 (写真右から)
POINT
- クラウドサービス中心の今、セキュリティを担保しつつ、働きやすさを追求するにはCASB製品が必要
- クラウドサービス利用を「禁止」「許可」の2択ではなく、「ファイルのアップロードのみを禁止」といった柔軟なコントロールを実現
ADKアーツの事業概要
株式会社ADKアーツ(以下、同社)は、アサツー・ディー・ケイグループの一員として、CM・映像、グラフィックス、セールス・イベントプロモーション、デジタルクリエイティブ、ダイレクトレスポンス、ポストプロダクションなど、広告コンテンツ全域にわたる企画制作の事業を展開している。最近ではコンテンツ事業にも力を入れており、番組制作・映画製作・舞台なども行っている。
同社ではCASB製品「Netskope」を用いて、会社公認/シャドーIT問わず、同社で利用されているクラウドサービスの利用実態の可視化と、特定のクラウドサービスにおける「ファイルのアップロードのみを禁止」などのコントロールを実現している。その導入背景と活用法・効果について、同社 コーポレート本部 総務・ITユニット シニアマネジャー 大海 晃彦氏と同ユニット ITチームの稲垣氏にお話を伺った。
無償クラウドストレージサービスの利用を全面禁止できない理由
2010年にクラウドサービスの積極利用の方針を決定した同社では、2012年のスマートデバイス全社導入以降、G suite、Salesforce.com、Druva、Amazon Web Services、DocuSign、Zoomなど複数のクラウドサービス利用とモバイルワークを推進している。
2016年にはクラウドストレージサービス「Box」の全社導入を進めた同社。以前Googleのメール監査機能を実行した際に、想定以上に従業員の中でセキュリティレベルの低い無償クラウドストレージサービスが利用されていたこともセキュリティ機能が充実している「Box」の導入を後押しした。しかし、Box導入後も無償クラウドストレージサービスの利用され続けている状態だったという。というのも、同社の事業の特性上、クライアントや広告代理店と容量が大きい動画や画像などの制作データを受け渡しする機会が頻繁にあり、案件によっては、合意の元無償クラウドストレージサービスを利用してデータを送ることもあるからだ。そのため、無償クラウドストレージサービスの利用を全面禁止するとファイルをダウンロードできなくなり、業務に支障を及ぼす。
「セキュリティレベルの低いクラウドサービスの利用を『把握』してしまったので、見つけたからにはきちんと制御しないと意味がありません。セキュリティリスクをゼロにできなくとも、軽減することは可能です。運用レベルでリスクを回避してもよいのですが、インシデントが起こる前にシステム側で制御できる仕組みは必要だと考えました。」と大海氏は当時を振り返る。
そこで、無償クラウドストレージサービスからファイルをダウンロードできても、同社からはアップロードできない仕組みを検討していた同社。そんな中、CASB製品「Netskope」の存在を知ったという。
「ファイルのダウンロードは可能でも、アップロードは禁止」という細かい制御が可能
CASBはCloud Access Security Brokerの略称で、その基本的な考えは、ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行うことで、全体として一貫性のあるポリシーを適用できるようにするというもの。
※Netskope利用シーン
数あるCASB製品の中でもNetskopeは、クラウドサービス利用を「許可」「禁止」の2択ではなく、同社が実現したかったクラウドサービスの特定の操作の制限(アップロードのみ禁止)が対応できることがわかったため、早速、2017年11月に評価を開始した。開発元であるNetskope社と販売代理店であるサイバネットシステム(以下、サイバネット)と実施した勉強会などでNetskopeへの理解を深めながら、実際にトライ&エラーを繰り返した。その結果、理想の運用まで到達できることを確認できたため、1ヵ月後には正式導入を決定した。
Netskope社の日本データセンターの立ち上げを待ったこともあり、2018年5月に各端末へのエージェント配布を実施。Active Directoryに参加しているWindows PCにはIT資産管理ツールを利用してエージェントを配布し、Active Directoryに参加していないMac PCには、Jamf Proで配布した。
Netskopeの導入効果
Netskopeを導入してから、まず「社内のクラウドサービス利用実態の可視化」と「無償クラウドストレージサービスにおけるアップロードの禁止」から取り組んだ同社。その導入効果は次のように述べた。
●会社公認のクラウドサービスとシャドーIT両方の利用実態が把握できるようになった
各端末にインストールしたNetskopeエージェントから各クラウドサービスへのアクセス情報を収集し、その情報をNetskope管理画面に表示することで、会社公認のクラウドサービスとシャドーIT両方の利用実態が「把握」できるようになった。同社ではクラウドサービスの積極利用を推進しているため、シャドーITでの利用は想定よりも少なかったという。それでも、セキュリティレベルが低い一部クラウドサービスの利用を確認できたという。
なお、Netskopeには専門の分析部門を設置して約28,000以上のクラウドサービスをトラッキングし、7カテゴリー41項目で詳細な評価を提供する辞書機能(CCI:Cloud Confidence Index)がある。この情報は日々メンテナンスされており、Netskopeの管理画面からいつでもチェックすることができる。このCCIを通じて、セキュリティレベルの低いクラウドサービスを把握することが可能だ。
※Netskope管理画面で利用しているクラウドサービスの把握が可能(上記はサンプル画像)
●可視化された「リスク」に対して、細かいコントロールが可能になった
無償クラウドストレージサービスにおいて、Netskope上でアップロード禁止のポリシーを作成・実行した同社。90日間で「無償クラウドストレージサービスへのファイルアップロード」を205件ブロックしたという。なお、Netskopeのエージェントはアカウントやデバイス情報、アプリ、ロケーション、アクション、コンテンツやデータに至るまで様々なデータをリアルタイムに取得し、「アップロード」以外にも次のような細やかな制御することが可能だ。
Select ALL |
Create |
Delete |
Download |
Edit |
Login Attempt |
Login Failed |
Login Successful |
Logout |
Post |
Share |
Upload |
View |
View ALL |
|
|
※Netskopeで制御可能なアクション一覧(上記はBoxに対するアクション)
クラウドサービスの追跡調査を一元化
クラウドサービス利用時のアクセスログが取得できるかどうか各クラウドサービスによって異なる。クラウドサービスによっては全くアクセスログが取れないサービスも存在する。Netskopeはクラウドサービスでのアクセスログならびにユーザーのアクションを取得することができるため、監査のための認跡としても活用できる。
「全てのクラウドサービスに対して、同じようにユーザーのアクションが取得できるのは思わぬ導入効果でした。監査が入ると各クラウドサービスのログを取得するための作業量が増えてしまいますが、Netskopeで一元化できるのは助かります。」
DLP機能を使い、個人情報の扱いに対する具体的なアプローチが可能になった
クラウドサービスを積極的に活用してもらいつつ、インシデントが起こる前にシステム側で制御ができるように、現在、NetskopeのDLP(情報漏えい対策)機能を検証している同社。具体的には、同社が定めた個人情報保護ポリシーに従って、個人情報が含まれるファイルがアップロードされたら、管理者へのアラート通知やアップロード自体の禁止などの制御を検証している。
Netskopeの導入・運用にはサイバネットによる導入/伴走支援サービスが必須
CASBは日本国内において成長過程にあるソリューションのため、「構築、運用」にはテクニックが必要だと感じた同社は、サイバネットの導入支援から運用が軌道に乗るまでサポートする伴走支援サービスを利用した。
「サイバネットのサポートレベルは高く、回答も的確でとても満足しています。正直、海外製品を日本の代理店から導入する際、開発元とコミュニケーションがとれていないなと感じることも少なくありませんが、その点、サイバネットは開発元(Netskope社)としっかりコミュニケーションがとれていて、課題の原因追求と対策についてスピード感をもって解決まで導いていただきました。」と大海氏は笑顔で評する。
また、導入/伴走支援サービスのメリットとして、稲垣氏は次のように補足する。
「Netskopeの制御機能には興味がありましたが、DLPポリシーを自分たちだけで作成するには正直難易度が高かったです。制御機能がどこまで利用できるのか、個人情報がどれだけクラウドサービス上に流れているのか、個人情報の把握のために必要な閾値の設定など、サイバネットとは課題のつぶしこみ作業を丁寧に行っていただきました。」
今後の展望
無償クラウドストレージサービスでは、「アップロードのみ禁止」という制御を実施したが、クラウドサービスの利用は積極的に活用してもらいため、あまり禁止という言葉を使いたくないという同社。そのため、制御が必要な場面でも次のように段階的にコントロールしていくことが重要だと考えているようだ。
STEP1:管理者だけにアラート通知でリスクのある内容を「把握」
STEP2:リスクのある操作をした利用者にポップアップメッセージを表示させ、
理由を記入させる STEP3:「アップロード禁止」など特定の操作をコントロール
STEP2:リスクのある操作をした利用者にポップアップメッセージを表示させ、
理由を記入させる STEP3:「アップロード禁止」など特定の操作をコントロール
また、Netskopeでは「Netskope for IaaS」というサービスを提供している。本サービスは、Amazon Web Servicesに代表されるIaaSにAPIで連携することでCIS(Center of Internet Security)ベンチマークに基づいてAWSの設定情報を自動的にチェックし、設定ミス等があったら、管理者に是正手段を提示してくれるというもの。同社でもAWSを活用しているため、本サービスの利用を検討したいという。
これからCASB製品の導入を検討する方へのメッセージ
「まずはクラウドサービスの利用状況を可視化し、その上でリスクがあるクラウドサービスを把握することが必要です。リスクを把握したら、やはり制御は必要になります。しかし、制御が多くなると従業員のストレスが多くなり、クラウドサービスの利用自体を倦厭される可能性もでてきます。クラウドサービスを積極的に、かつ安全に利用するためにも、段階的な制御と従業員との対話が不可欠だと思います。」と大海氏は笑顔で締めくくった。
(取材日:2018年8月)
●株式会社ADKアーツ:https://www.adk-arts.jp/
関連ソリューション
