「クラウドサービスを複数利用することになったけど、セキュリティ管理が煩雑になってしまった」「マルチクラウド環境はどのようにセキュリティ強化を実現できるだろう」
当記事をお読みの方は上記の考えをお持ちではないでしょうか。
クラウドサービスは手軽に導入し利用できる反面、セキュリティ対策に不安を感じることもあるでしょう。そういった場合は「CASB」を検討してみるのはいかがでしょうか。
本記事では、CASBの概要から主な特徴、導入時の注意点について解説します。安心してクラウドサービスを使うための対策案として、ぜひ参考にしてください。
CASBとは?
CASB(キャスビー)とは「Cloud Access Security Broker」を略した用語で、米企業のガートナー社が2012年に提唱した情報セキュリティのコンセプトに基づいたソリューションです。ネットワークを利用する際に使われるセキュリティ対策の一種として知られています。
以下では、CASBの概要と他のセキュリティサービスとの違いを解説します。
CASBの概要
当項では、CASBの重要性を解説します。
近年、クラウドサービスを利用する企業が増えるに従って、社員がさまざまな場所から社内ネットワークへアクセスする機会も多くなりました。CASBは、複数のクラウドサービスの利用者とプロバイダーの間に設置することで、統合的なコントロールポイントの役割を果たしてくれます。アクセス制御やデータ暗号化、マルウェア対策などといったセキュリティ対策を行えるのがポイントです。
なお、CASBと同じく、米のガートナー社が開発したセキュリティ対策用語に「SASE(サシー:Secure Access Service Edge)」があります。SASEはクラウド上のサービスとして、ネットワークとネットワークセキュリティの機能を包括的に統合し、提供する考え方です。つまり、SASEはセキュリティサービス全体の概念を指す一方で、CASBはSASEの一手段として存在していると考えられます。
CASBと他のセキュリティ対策サービスの違い
CASBと他のセキュリティサービスとの大きな違いとして、クラウドサービスに特化している点が挙げられます。
企業は複数のクラウドサービスを利用することが当たり前になっています。従来のセキュリティサービスであれば、個々のサービスに対してセキュリティの設定をする必要がありました。よって管理が煩雑になりやすく、管理者の負担が大きくなってしまいます。
しかし、CASBを利用することで、複数のクラウドサービスのアクセスポイントに対して、まとめて制御が可能です。きめ細かい設定は個々のサービスに設定できますが、共通する設定をまとめることで、セキュリティ管理の負担が大きく軽減されます。
このように、複数のクラウドサービスを利用する際の管理に長けていることが、CASBと他のセキュリティサービスとの違いです。
CASBが登場した背景
CASBが誕生した背景には、どのようなものがあるのでしょうか。大きな要因としては、「SaaSの普及」と「シャドーITの増加」という2点が挙げられます。
SaaSの普及
Microsoft 365やBoxなどのSaaSと呼ばれるクラウドサービスが急速に増え、多くの企業で利用されるようになりました。SaaSは気軽に導入できる一方で、セキュリティのリスクもあり、対策としてアクセス権限や利用できる機能の範囲を設定することなどが不可欠です。
しかし、そうした作業は利用するサービスが増えれば増えるほど、時間や労力の負担が大きくなるほか、設定ミスにより他者に情報が漏れてしまう恐れもあります。さらに、SaaS提供側のセキュリティ機能に不備があれば、情報漏えいやデータ消失といった大きなトラブルを引き起こしかねません。これらのリスクを軽減させるために、セキュリティ対策としてCASBが生まれたと考えられます。
シャドーITの増加
近年、日本では業務効率化や労働力確保のために、政府が主導となって働き方改革を推進しています。テレワークが浸透しつつあり、パソコンのみならずスマートフォンやタブレットなどのモバイルデバイスから、社内ネットワークへアクセスする機会も多くなりました。
ここで問題になるのが「シャドーIT」の存在です。これは企業が許可したデバイス以外を使用したり、IT部門の管理外でクラウドサービスを利用したりすることを指します。シャドーITが増えれば、情報漏えいのリスクは大幅に上がってしまうでしょう。こうした問題を回避し、働きやすい環境においても適切にセキュリティ対策を行えるように、CASBが登場しました。
CASBの4つの特徴
CASBには大きく分けて4つの特徴があります。セキュリティ対策において必要不可欠となる4つの特徴について詳しく紹介します。
クラウドサービス利用状況の可視化
CASBでは、自社で利用しているクラウドサービスを検出・可視化し、専用の安全評価基準を基に、数値化したリスク評価をします。クラウドサービスの利用や、アップロード・ダウンロードといった利用者のアクティビティを詳細に可視化できるため、社内のサービス利用者がどのようなSaaSを使っているのかを、IT管理者が監視・分析できるようになります。
データセキュリティ
CASBでは、アクセス権限の逸脱や機密情報の持ち出しといった情報をチェックし、通信のブロックやアラート、暗号化などの制御が行えます。これにより、1つのセキュリティポリシーで複数のクラウドサービスをコントロールできるようになります。業務に関連する機器を企業が管理しきれなくなるといったシャドーITの抑制にも効果的です。
コンプライアンス
CASBでは、自社の機密情報を定義し、データの種類に応じて制限をかけることで、情報漏えい対策が可能です。クラウドサービスに保存済みのデータを検査対象とします。企業の機密情報を定義し、特有のキーワードや多数の識別方法を使用してファイルの暗号化を行うことで高精度なセキュリティ対策が行えます。定義を設けることで、セキュリティポリシーを満たしているかどうかを常に監査できるといったメリットもあります。
脅威防御
セキュリティの脅威を検出・分析し、防御する機能です。クラウドサービスに潜むマルウェアを検知して、不正プログラムや大量のデータダウンロード、共有アカウントの利用、データコピーといった異常を確認します。異常があった場合は、自動でただちに隔離し、修復できるため安心です。これにより、利用者側が認識しないアクションや不正といったリスクを最小限に抑えられます。
CASBを導入するメリット
CASBの特徴を理解したところで、導入するメリットも把握しておきましょう。具体的には以下のメリットがあります。
- セキュリティを高められる
- 業務効率化につながる
- 分析結果を可視化できる
- リモートワークを推進できる
セキュリティを高められる
CASBを利用することでセキュリティを高められます。言わずもがな、CASBはクラウドサービスに特化したセキュリティサービスです。
CASBを利用すると、以下のような形でセキュリティ強化につながります。
- 複数のクラウドサービスのアクセスポイントを一元管理できる
- 通信の暗号化ができる
- ユーザーの怪しい動きを検出できる
- 脅威があった場合にはアラートで知らせてくれる
セキュリティ対策をする際には、管理の徹底や迅速な対応といった基本が大切です。CASBを利用することで、複数のクラウドサービスを利用する場合でも基本に即した対策が可能となります。
業務効率化につながる
CASBを利用することで業務効率化につながるメリットがあります。CASBは複数のクラウドサービスを利用する企業を想定したサービスのためです。
複数のクラウドサービスを利用する場合は、アクセスポイントや権限管理、自社のセキュリティポリシーへ準拠した設定かどうかなど、管理が煩雑になりやすいです。しかし、管理が煩雑になったとしても複数のクラウドサービスをしたいケースは多いでしょう。
CASBを利用すれば、複数のクラウドサービスにおける管理を一元管理できます。CASBによって煩雑だったセキュリティ部隊の管理業務を簡略化できるため、業務効率化が可能です。
分析結果を可視化できる
CASBを利用することで、接続している各クラウドサービスの利用状況やセキュリティ状況を可視化できるメリットがあります。
基本的に、各クラウドサービスの利用状況やセキュリティ状況を確認するには、それぞれのサービスでログファイルやモニタリングサービスを確認する必要があります。利用しているサービスの数が多いほど、確認に要するコストが大きいです。理由は、クラウドサービスごとに表示方法や確認操作方法が異なることが影響しています。
CASBを利用すれば、各サービスの状況を可視化できます。操作や確認方法も統一されるため、この点でも業務効率化につながるでしょう。またCASBによる状況の可視化によってアラートが届く前に気づけるため、迅速な対応が期待できます。
リモートワークを推進できる
CASBの利用によって、リモートワーク推進につながります。
クラウドサービスとリモートワークは非常に相性がよいといえます。クラウドサービスの場合、アクセスさえできれば場所を問わずに利用できるからです。しかし、複数のクラウドサービスを利用する場合には、各サービスのアクセスポイントに対して制御が必要となり、管理が煩雑になります。
CASBを利用することで、アクセスポイントを集約できます。制御に必要なコストが大幅に簡略化されるため、セキュリティ強化につながるだけでなく、リモートワークによるアクセス制御のコスト増大を防ぐことも可能です。このメリットがあれば、企業が安心してリモートワークを推進できます。
CASBを導入するデメリット・課題点
CASBのメリットを解説してきましたが、以下のようなデメリットや課題もあります。
- 導入コストがかかる
- CASBだけではセキュリティ対策が完結しない
- 利用状況は把握できるが原因は特定できない
CASBは有料のサービスです。導入や利用には相応のコストが必要となります。
CASBは複数のクラウドサービス利用に特化したセキュリティ対策サービスですが、万能ではありません。CASBはあくまで、内部利用の脅威検出や管理に適しているサービスです。外部からの攻撃など、別のセキュリティ対策には必要なサービスを利用しましょう。
CASBはクラウドサービス利用状況の可視化を得意としています。しかし、なぜその事象が発生しているのかまでは特定できません。「従業員Aさんが〇〇をしている」ことが分かっても、原因や解決策の究明には別の対応が必要となります。
それぞれメリット・デメリットを把握、理解した上でCASBの導入を検討してください。
CASBの導入方法
CASBの導入方法には以下の3つがあります。
- API型
- インライン型
- ログ分析型
それぞれの概要やメリットを把握しておきましょう。
API型|既存のクラウドサービスに連携する
API型は、現在利用しているクラウドサービスのAPIを利用して連携する方法です。
多くのクラウドサービスにはアクセスをはじめ、データ取得、設定変更のAPIが用意されています。このAPIを利用して、CASBがクラウドサービスからデータの収集や設定の変更を実現するタイプです。
APIと連携させる必要があるため、初期設定に手間がかかります。しかし、現在サービスを利用中のユーザーに、連携による影響を及ぼしにくいことがメリットです。
APIを利用できるサービスであればAPI型のCASBと連携が可能です。まずは利用しているクラウドサービスのAPI提供有無を確認しましょう。
インライン型(プロキシ型)|端末とクラウドサービスの通信経路内に設置する
インライン型は、端末とクラウドサービスの通信経路上にCASBを設置するタイプです。通信経路上にCASBを設置するため、通信の制御や監視をして詳細な情報まで把握できるメリットがあります。
先述したAPI型の場合、APIで取得できる情報しか取得や可視化をできません。しかし、インライン型であれば、APIに関係なく通信の内容からセキュリティの脅威を判別します。
インライン型CASBは通信経路上に設置する必要があるため、ネットワーク構成の見直しが必要になるというデメリットがあります。しかし、詳細な情報を取得できることがメリットです。
ログ分析型|ゲートウェイ端末を介して監視する
ログ分析型は、ゲートウェイ端末を設置し、各クラウドサービスとの通信を監視するタイプのCASBです。ゲートウェイ端末がユーザーのアクセスや利用状況を監視することで、情報の取得や制御をします。
ログ分析型は、インライン型のようにネットワーク構成の見直しをしなくても設置できるメリットがあります。ただし、インライン型ほど詳細な情報を取得できないというデメリットも頭に入れておきましょう。
CASBを導入する際の注意点
CASBを導入して効果的なセキュリティ対策を実施するためには、どういったポイントに気を付ければよいのでしょうか。ここでは2つの注意点について解説します。
導入の目的を明確化しておく
CASBを導入する前に、導入する目的を明確化しておきましょう。
CASBに限った話ではありませんが、新しいツールやシステムを導入する際には目的をはっきりとさせておくべきです。達成したい目的に対する手段として、CASBを導入しましょう。CASBの場合は「多くのクラウドサービスのセキュリティ対策をしたいから」といった目的があるはずです。もしCASBの導入自体を目的としてしまうと、十分に効果を発揮できない可能性があります。
また目的をクリアにしておくことで、選定すべきCASBが明確化されます。CASBには多くの種類があり、それぞれが特徴を持ちます。自社に合ったCASBを選べるよう、目的を明らかにしておきましょう。
セキュリティポリシーやルールを明確化しておく
CASB製品を導入する目的は、企業が設けるセキュリティポリシーやルールを、クラウドサービス利用に際しても統一的に適用させることです。そのため、企業情報やポリシーなどのルールが明確でない場合は、CASBのメリットを享受しにくくなります。
CASBの導入を検討する際は、クラウドサービスの利用範囲やクラウドサービスに保管してもよい情報の精査といった、セキュリティに関する自社のポリシーやルールが定められているかどうかを確認しましょう。社内のセキュリティポリシーやルールが曖昧な場合や不十分である場合は、CASBを導入する前に今一度見直すことが重要です。
使用しているSaaSに合わせて利用制限を行う
CASBは、SaaSの利用情報を収集し、セキュリティポリシーを統一するとともに利用制限をかけることが主な目的です。そのため、どこが情報の収集元であるか、どのように利用を制限するのかが重要なポイントとなります。
CASBによる利用制限の方法としては、主に利用者とクラウドサービスの間にゲートウェイを用意し、通過するアクセス情報を収集、必要に応じて通信を遮断する方法が挙げられます。社内の利用者全員が1つのクラウドサービスに集中する際は、最も効果的と考えられるでしょう。
一方、APIを提供しているSaaSの場合は、APIを通じて情報の収集または制御を行うのもよいでしょう。各SaaSにある情報を収集・操作できるため、よりセキュリティポリシーに合わせたきめ細かなコントロールができます。ただし、APIを提供していないSaaSでは、適用されないため注意しましょう。このようにCASBのアプローチ方法は、使用しているSaaSやユーザーの利用状況に合わせて使い分けることが大切です。
CASB製品を選ぶ際のポイント
CASBには多くの種類があります。自社に合うCASBを選ぶためのポイントは以下の通りです。
- 機能
- 導入方法
- 予算
いうまでもなく、導入したいCASBには自社で可視化や制御をしたいと考えている内容を実施できる機能が必要です。機能の対応範囲を確認しておきましょう。この時、連携したいサービスに対応しているかどうかも確認しておく必要があります。
導入方法も比較ポイントです。CASBの導入方法で解説したように、CASBには3つの導入タイプがあります。自社のセキュリティ要件やサービスのAPI提供有無に合うタイプを選んでください。
各CASBの導入、利用する際の費用が自社の予算に合っているのかどうかも、十分に確認しておきましょう。
まとめ
SaaSの浸透やシャドーIT増加の懸念から、昨今CASBに注目が集まっています。導入にあたっては、CASBの特徴をよく理解した上で、セキュリティポリシーを明確化したり、適切に利用を制限したりすることが大切です。
またCASBの導入の際には機能や予算だけでなく、各サービスの導入方法にも着目した上で比較しましょう。特に、既存サービスに影響を及ぼす導入方法の場合には、後から後悔することがないように十分な検討を行ってください。
CASBの活用とともに、セキュリティ対策ソリューションとして、HENNGE社の「HENNGE One」もおすすめです。230以上のSaaSに対して、CASB利用時にリスクとなる意図しないBYODの排除などを実現でき、導入時の手厚いフォローも特長です。興味を持たれた方は、ぜひホームページをご覧ください。
