クラウド時代に必須となるセキュリティ、 CASB(Cloud Access Security Broker)

クラウド時代に必須となるセキュリティ、 CASB(Cloud Access Security Broker)


クラウドクラウドコンピューティング)」とは、クラウドサービスプラットフォームからインターネットを経由し、様々なITリソースをオンデマンドで利用することができるサービスの総称です。このリソースにはコンピューティング、データベース、ストレージ、アプリケーションなどが含まれます。以前から働き方改革により、こうしたSaaS(Software as a Service:サービスとしてのソフトウェア)を始めとするクラウドの活用を進める企業が当たり前になってきています。最近では「クラウドファースト」という言葉も聞かれるようになり、「働き方改革」実現のためのリモートワークでもクラウドが期待されています。しかし、管理下にないクラウドやデバイスセキュリティポリシーなしに利用すると、セキュリティリスクが高まります。そこで今回はクラウドに特化した情報セキュリティコンセプト「CASB(Cloud Access Security Broker:キャスビー)」について解説していきたいと思います。

 

CASB(Cloud Access Security Broker)とは


「CASB(Cloud Access Security Broker、キャスビー)」は2012年に米ガートナーが最初に提唱した、クラウドサービスに対する情報セキュリティコンセプトです。CASBのコンセプトは、「ユーザ(企業)と複数のクラウドプロバイダーの間に単一のコントロールポイントを設けて、クラウドサービスの利用状況を可視化/制御し、一貫性のあるセキュリティポリシーを適用する」ことです。サービスの利用において、インターネットを経由する際CASBを経由させセキュリティを担保します。

CASBが生まれた背景にはクラウドサービスの発達があります。例えばメールサービスはGoogleが提供するGmailグループウェアはOffice 365、CRMやMA(Marketing Automation)はSalesforce、ファイル共有はDrop Boxといったように、目的に応じて多くの企業がアプリケーションを使い分けしています。またモバイルデバイスの多様化で、テレワークやリモートオフィスの活用が広がったこともCASBの背景です。現在はコロナの影響もありテレワークの導入が急速に進められていますが、クラウド型アプリ方式によるテレワークだと、オフィスかテレワーク環境かどうかを問いません。インターネットで接続されている環境からクラウドサーバ上で提供されるアプリケーションにアクセスし、作業を行います。

 

シャドーIT問題


テクノロジーの発達は柔軟な働き方や、生産性の向上を生み出しました。しかし、同時に企業ファイアウォールの「外側」のセキュリティとガバナンスが管理できない、といった問題も生じさせました。いわゆる「シャドーIT」問題がそれにあたいます。「シャドーIT」とは、会社の管理下におけないIT技術を指します。 個人で所有管理しているスマホタブレットなどの情報端末をはじめ、USBメモリなどの記録媒体、ソフトウェア、クラウドサービスなどが主な例です。シャドーITが横行すると企業のセキュリティレベルは低下し、情報漏えいやウィルス感染などセキュリティ上のトラブルに発展しやすくなるので問題視されています。そうしたシャドーIT問題についても、一貫したセキュリティポリシーを適用しながらクラウドサービスを利用できるようにするのがCASBです。

 

CASBの機能


CASBの機能は、ガートナーの定義によると大きく以下の4つに分けられます。

 

可視化・分析


CASBはシャドーITを発見し、承認されたアプリケーションを管理し、さらに、企業のクラウドサービスの利用状況と、任意のデバイスまたは場所からデータにアクセスするユーザを整理して表示します。ユーザレベルまで可視化するこの機能により、ユーザごとの細かいアクセス権限の管理が可能となります。

 

コンプライアンス


CASBはデータ・レジデンシーと規制および標準の遵守を支援し、クラウドの利用状況と特定のクラウドサービスのリスクを明らかにします。また、CASBのコンプライアンス機能は業界の規則や社内ポリシーなどで規定した機密情報に対する漏えい防止に役立ちます。従業員が機密情報を含んだファイルをサンクションITへアップロードしたり共有すると、CASBがそれを検知し、管理者がアップロードのブロックやファイルの隔離/削除、共有の停止といったアクションを取れるようにします。

 

データセキュリティ


CASBはデータ中心のセキュリティー・ポリシーを適用して、データの分類、発見、機密データへのアクセスや特権昇格といったユーザ活動のモニタリングに基き望ましくない活動を予防します。ポリシーは、クラウドサービスのフィールド・レベルとファイル・レベルで、監査、アラート、ブロック、検疫、削除、暗号化トークナイゼーションなどの操作を通じて適用されます。詳細に解析された通信のコンテキスト情報(ロケーションやアクティビティ)に基づき、通信のブロック、アラート通知、暗号化などの制御を実行します。またCASBでは一元的に公開範囲を設定でき、暗号化やデータ内容に基づいたアクセス制限などが行えます。これによって不注意や事故によって意図しない公開範囲が生じる事が防げます。

 

脅威防御


CASBにはサイバー脅威に対する防御機能が搭載されています。主なものには、マルウェアの検知機能や不審な行動を検出する機能があります。例えば、リスクの高いクラウドサービスにユーザがアクセスすることを禁じたり、マルウエアに感染する恐れのある不正サイトへのアクセスをブロックしたりできます。また、脅威インテリジェンスと連携するものもあり、最新の脅威データをもとに不審なファイルやWebサイトへのアクセスを遮断できます。もちろん、他のセキュリティ機器との混在も可能なので、WAF(Web Application Firewall)やUTM(Unified Threat Management・統合脅威管理)と組み合わせることで多層防御を実現できます。

 

CASBを利用するメリット


企業が多種多様なクラウドサービスを導入し始めている昨今、サービスごとにセキュリティ対策を施そうとするとシステム管理者の負担が増大します。クラウドサービスによるセキュリティの一元管理ならば、効率的に少ない負担で運用が可能です。またCASBを利用するメリットには次のようなものがあげられます。

 

  • 従業員や部署単位でのクラウドサービス利用を可視化し、把握できる
  • 自社のコンプライアンスに合致したクラウドサービスを利用できる
  • 複数のデータ保護対策を、クラウドサービスに上げる際に適用できる
  • マルウェア対策や、内部不正を検知して迅速に対処できる
  • セキュリティ対策における多層防御を強化できる

 

さいごに


職場の外で仕事を行う場合、社内で仕事を行う場合よりも情報漏えいの可能性が高まるなど、一定程度のリスクが存在します。例えばファイル共有サービスに顧客の個人情報を勝手にアップロードして、公開設定の誤りから情報が漏えいするケースや、複数のサービスへのログインパスワードに共通の簡単なパスワードを設定して、すべてのサービスのアカウントが乗っ取られてしまうケースがあります。他にも暗号化されていない機密情報をクラウドサービスにアップロードし、情報漏えいした例も多く報告されています。

企業や組織にとって、情報セキュリティに対するリスクマネジメントは重要な経営課題のひとつです。特に、個人情報や顧客情報などの重要情報を取り扱う場合には、これを保護することが企業や組織にとっての社会的責務でもあります。クラウドサービスの利用やテレワークを実施する場合には、十分な情報セキュリティ対策を取った上で実施していく必要があります。

CASBのようにセキュリティー管理をクラウド上のプラットフォームで行うというアプローチならば、シャドーIT問題も含め、潜んでいる脅威に対して有効に対策を行っていくことも可能です。CASBは、クラウドサービスを利用して働き方改革やテレワークを進める企業にとって、有効なセキュリティ対策の一つと言えるでしょう。