クラウドサービスは手軽に導入し利用できる反面、セキュリティ対策に不安を感じることもあるでしょう。そういった場合、「CASB」を検討してみるのはいかがでしょうか。
本記事では、CASBの概要から主な特徴、導入時の注意点について解説します。安心してクラウドサービスを使うための対策案として、ぜひ参考にしてみてください。
CASBとは?
CASB(キャスビー)とは「Cloud Access Security Broker」を略した用語で、米企業のガートナー社が2012年に提唱した情報セキュリティのコンセプトです。ネットワークを利用する際に使われるセキュリティ対策の一種として知られています。
近年、クラウドサービスを利用する企業が増えるに従って、社員がさまざまな場所から社内ネットワークへアクセスする機会も増えました。CASBは、複数のクラウドサービスの利用者とプロバイダーの間に設置することで、統合的なコントロールポイントの役割を果たしてくれます。アクセス制御やデータ暗号化、マルウェア対策などといったセキュリティ対策を行えるのがポイントです。
なお、CASBと同じく、米のガートナー社が開発したセキュリティ対策用語に「SASE(サシー:Secure Access Service Edge)」があります。SASEはクラウド上のサービスとして、ネットワークとネットワークセキュリティの機能を包括的に統合し、提供する考え方です。つまり、SASEはセキュリティサービス全体の概念を指す一方で、CASBはSASEの一手段として存在していると考えられます。
CASBが登場した背景
CASBが誕生した背景には、どのようなものがあるのでしょうか。大きな要因としては、「SaaSの普及」と「シャドーITの増加」という2点が挙げられます。
SaaSの普及
Microsoft 365やBoxなどのSaaSと呼ばれるクラウドサービスが急速に増え、多くの企業で利用されるようになりました。SaaSは気軽に導入できる一方で、セキュリティのリスクもあり、対策としてアクセス権限や利用可能な機能の範囲を設定することなどが不可欠です。
しかし、そうした作業は利用するサービスが増えれば増えるほど、時間や労力の負担が大きくなるほか、設定ミスにより他者に情報がもれてしまう恐れもあります。さらに、SaaS提供側のセキュリティ機能に不備があれば、情報漏えいやデータ消失といった大きなトラブルを引き起こしかねません。これらのリスクを軽減させるために、セキュリティ対策としてCASBが生まれたと考えられます。
シャドーITの増加
近年、日本では業務効率化や労働力確保のために、政府が主導役となって働き方改革を推進しています。テレワークが浸透しつつあり、PCのみならずスマートフォンやタブレットなどモバイルデバイスから、社内ネットワークへアクセスする機会も増えています。
ここで問題になるのが「シャドーIT」の存在です。これは企業が許可したデバイス以外を使用したり、IT部門の管理外でクラウドサービスを利用したりすることを指します。シャドーITが増えれば、情報漏えいのリスクは大幅に上がってしまうでしょう。こうした問題を回避し、働きやすい環境においても適切にセキュリティ対策を行えるように、CASBが登場しました。
CASBの4つの特徴
CASBには大きく分けて4つの特徴があります。セキュリティ対策において必要不可欠となる4つの特徴について詳しく紹介します。
可視化や分析
CASBでは、自社で利用しているクラウドサービスを検出・可視化し、専用の安全評価基準を基に、数値化したリスク評価をします。クラウドサービスの利用や、アップロード・ダウンロードといった利用者のアクティビティを詳細に可視化できるため、社内のサービス利用者がどのようなSaaSを使っているのかを、IT管理者が監視・分析できるようになります。
コントロール
CASBでは、アクセス権限の逸脱や機密情報の持ち出しといった情報をチェックし、通信のブロックやアラート、暗号化などの制御も行えます。これにより、1つのセキュリティポリシーで複数のクラウドサービスをコントロールできるようになります。業務に関連する機器を企業が管理しきれなくなるといったシャドーITの抑制にも効果的です。
データ管理
CASBでは、自社の機密情報を定義し、データの種類に応じて制限をかけることで、情報漏えい対策が可能です。クラウドサービスに保存済みのデータを検査対象とします。企業の機密情報を定義し、特有のキーワードや多数の識別方法を使用してファイルの暗号化を行うことで高精度なセキュリティ対策が行えます。定義を設けることで、セキュリティポリシーを満たしているかどうかを常に監査できるといったメリットもあります。
脅威防御
セキュリティの脅威を検出・分析し、防御する機能です。クラウドサービスに潜むマルウェアを検知して、不正プログラムや大量のデータダウンロード、共有アカウントの利用、データコピーといった異常を確認します。異常があった場合は、自動でただちに隔離し、修復できるため安心です。これにより、利用者側が認識しないアクションや不正といったリスクを最小限に抑えられます。
CASBを導入する際の注意点
CASBを導入して効果的なセキュリティ対策を実施するためには、どういったポイントに気を付ければよいのでしょうか。ここでは2つの注意点について解説します。
セキュリティポリシーやルールを明確化しておく
CASBの目的は、複数のクラウドサービス利用に際し、企業が設けるセキュリティポリシーやルールを統一的に適用させることです。そのため、企業情報やポリシーなどのルールが明確でない場合は、CASBのメリットを享受しにくくなります。
CASBの導入を検討する際は、クラウドサービスの利用範囲やクラウドサービスに保管してもよい情報の精査といった、セキュリティに関する自社のポリシーやルールが定められているかどうかを確認しましょう。社内のセキュリティポリシーやルールが曖昧な場合や不十分である場合は、CASBを導入する前に今一度見直すことが重要です。
使用しているSaaSに合わせて利用制限を行う
CASBは、SaaSの利用情報を収集し、セキュリティポリシーを統一するとともに利用制限をかけることが主な目的です。そのため、どこが情報の収集元であるか、どのように利用を制限するのかが重要なポイントとなります。
CASBによる利用制限の方法としては、主に利用者とクラウドサービスの間にゲートウェイを用意し、通過するアクセス情報を収集、必要に応じて通信を遮断する方法が挙げられます。社内の利用者全員が1つのクラウドサービスに集中する際は、最も効果的と考えられるでしょう。
一方、APIを提供しているSaaSの場合は、APIを通じて情報の収集または制御を行うのもよいでしょう。各SaaSにある情報を収集・操作できるため、よりセキュリティポリシーに合わせたきめ細かなコントロールができます。ただし、APIを提供していないSaaSでは、適用されないため注意しましょう。このようにCASBのアプローチ方法は、使用しているSaaSやユーザーの利用状況に合わせて使い分けることが大切です。
まとめ
SaaSの浸透やシャドーIT増加の懸念から、昨今CASBに注目が集まっています。導入にあたっては、CASBの特徴をよく理解した上で、セキュリティポリシーを明確化したり、適切に利用を制限したりすることが大切です。
CASBの活用とともに、セキュリティ対策ソリューションとして、HENNGE社の「HENNGE One」もおすすめです。CASB利用時にリスクとなる、意図しないBYODの排除などを200を超えるSaaSに対して実現することが可能であり、導入時の手厚いフォローも特長です。興味を持たれた方は、ぜひホームページをご覧ください。
