EN

メールマガジン登録
資料ダウンロード
お問い合わせ

NRIセキュア ブログ

CASBとは?クラウドリスクへ対応する主要機能と導入パターン

目次

    Double exposure of businessman shows modern technology as concept

     急速にビジネスのデジタル化が進む中で、クラウドサービスの活用は業務効率の向上やサービス改善への有効な手段と捉えられています。各種認証を取得して信頼できるサービスプロバイダが増えてきたことや、ビジネス上の大きなメリットを踏まえ、クラウドサービス利用に踏み切る企業も増えてきたのではないでしょうか。

     

     しかしながら、クラウドサービスの利用においては特有のリスクが存在します。

     そこで本記事では、企業がクラウドサービスを安全に利用するための1つの解決策として、CASBを導入する際のポイントを解説します。

    クラウドサービス利用のリスク

     クラウドサービスを利用する際は、クラウドサービスを媒体とした情報漏えいリスクについて、利用者側で責任を持たなければいけません。ここで言う情報漏えいリスクとは、外部の攻撃者によるものだけではなく、内部者の故意あるいは過失による情報漏えいも含まれます。

     

     これは、サイバー攻撃対策だけではなく、コーポレートガバナンスの観点での対策も必要になることを意味しています。

     

    クラウドセキュリティの勘所|責任範囲の「ポテンヒット」を防げ

     

     今までマルウェア対策などのサイバー攻撃への対策に注力してきた企業であっても、社員のインターネット利用については特に制限を設けていない、あるいはURLフィルタカテゴリによる大雑把な制御にとどまっている例は多々見られます。

     

     クラウドサービスの普及は、企業だけではなく個人向けにも急速に進んでいます。企業向けと同じ機能を個人向けにも提供しているサービスや、個人向けであっても仕事に利用できるサービスも多数あります。

     

     また、ビジネス上で、他社の契約下にあるファイル共有サービスなどの利用を要請されることもあります。このようなサービスは、企業(管理部門)の許可なく各社員が利用してしまうことが多く、企業として実態を把握しきれていないケースも多いでしょう。

     

     このような企業内から無許可で利用される外部ITサービスのことを「Shadow(影の)IT」と呼びます。また、その対義語として、企業が自社で契約した、あるいは利用を許可したサービスをあえて「Sanctioned(認可された)IT」と呼ぶことがあります(表1)。

     

    表1. Shadow ITとSanctioned IT

      Shadow IT Sanctioned IT
    定義 管理部門の許可なく利用される外部ITサービス

    管理部門が利用を許可した外部ITサービス

    必要な対応 サービスの利用実態を可視化し、利用認可/禁止の判断を行う

    想定どおりに利用されるよう管理する

    課題 そもそも利用実態をどのように把握するか

    管理機能が扱いづらい場合や、機能的に不十分な場合がある

    他社契約のクラウドサービスの場合、管理機能が使えない

     

     Shadow ITについては「シャドーIT対策で知っておくべき3つのこと」というブログでもご紹介していますので、詳しくはそちらをご覧ください。

     

     これらの課題を解決でき、クラウドサービスの利用を効果的にコントロールするためのツールとして”CASB(Cloud Access Security Broker)”という製品が注目を浴びています。

     

     CASBとはクラウドサービスの利用を可視化・制御するためのツールで、大手クラウドベンダとの連携や独自に収集して得られた情報をベースとしたセキュリティ機能を提供しています。

     

     CASBの要件として「可視化」、「データセキュリティ」、「脅威防御」、「コンプライアンス」の4つの機能が提唱されています。

     

    可視化 Shadow ITの把握、認可したクラウドサービスの利用状況の把握
    データセキュリティ データのアップロード/ダウンロード、公開設定の許可や遮断、管理画面の不正操作の禁止
    脅威防御 マルウェアなど脅威の検知・隔離・遮断
    コンプライアンス セキュリティポリシーへの準拠・監査

     

     Shadow ITについては「可視化」機能によって実態の把握と利用是非の判断を行い、検討の結果許可したものや自社で契約しているもの(Sanctioned IT)については、4つの機能を組み合わせて適切に管理することが可能になります。

     

     これらの機能を実装するためには、クラウドサービスの動作を詳細に把握することが必要となります。各CASBベンダは、社内にクラウドサービスの調査を行う大規模な専用チームを持ち、あるいは主要クラウドベンダと緊密な連携を行うことで、クラウドサービスをセキュアに利用するための機能を実装し、日々の情報アップデートを行っています。

     

     数多のクラウドサービス全てに対して、同等の機能を自力で対応していくのは困難なので、CASBを利用する最大のメリットはこの点にあるとも言えます。

      

     CASBはこのような機能を提供する製品・サービスの総称であり、技術的な実装方法は製品によって異なります。実装については、以下の3つの形態に大別でき、各CASBベンダはこの3つのうちいくつかのパターンを提供しており、全体として4つの機能のすべてを網羅しています。

     

    ①API型

    ②Proxy型

    ③ログ分析型

     

    次章では、この3つの形態を解説します。

     

    double exposure of businessman hand working with blank net work diagram as digital cloud concept

    ①API型

     クラウドサービスによって提供されるAPIを用いてアクセスし、クラウドサービス上のデータの内容や状態に不適切なものがないかを調査します。APIを利用する前提ですので、対象は自社によって契約しているクラウドサービスに限られます。また、製品ごとに対応しているクラウドサービスには違いがありますが、広く普及しているものに限定されてしまう傾向があります。

     

    CSTAR_CASB_API1

    図1. API型CASBのイメージ(NRIセキュアが作成)

     

      

    ②Proxy型

     従来のURLフィルタサーバなどのプロキシ型セキュリティ製品と同様に、通信経路上でクラウドサービスへのアクセスを検査して予め規定したポリシーに従ってアクセス制御を行います。
     基本的に、自社契約でも他社契約でもクラウドサービスのオーナーによらず対応可能です。また、通信内容の検査の際には、SSL Inspection機能(SSL通信を復号する機能)が必要となることが多いので、併せて実装されていることが多いです。

     

    CSTAR_CASB_Proxy1

    図2. Proxy型CASBのイメージ(NRIセキュアが作成)

    ③ログ分析型

     既存のゲートウェイ機器(プロキシサーバやUTM・次世代ファイアウォールなど)のログを分析し、宛先URLを元にクラウドサービスの利用状況を可視化します。遮断すべき通信が見つかった場合は、ゲートウェイ機器との連携によって通信を遮断するよう設定できるものもありますが、通信遮断をするのはあくまで既存のゲートウェイ機器ですので、従来のURLフィルタと同レベルの制御(宛先ごとの許可/拒否)に限られます。

     これについては、既存のURLフィルタやアプリケーション解析でも同じような機能を得られますが、カテゴリではなく個別のクラウドサービスが検出できることや、各クラウドサービスについて、利用における安全性などを評価したレポートを参照できることが違いと言えます。

     

    CSTAR_CASB_Log-analysis1

     

    図3. ログ分析型CASBのイメージ(NRIセキュアが作成) 


    Close up of businesswoman holding gears in hand

    安全なクラウドサービスの利用はCASBが有効!

     Shadow ITの把握には定期的なクラウド利用状況の解析・レポートのための「可視化」機能が、Sanctioned ITによる情報漏えい防止の観点ではファイル共有サービスにおけるファイルアップロードや共有設定の抑止といった「データセキュリティ」機能に注目すべきです。

     

     これらの機能を有効に活用することで、自社社員のクラウド利用の安全性を高めることが期待できます。すでに存在するセキュリティリスクの緩和以外にも、セキュリティ上の懸念があるためにクラウドの利用が推進・許可できない、というような状況において、CASBを組み合わせることによってリスクを低減することも考えられます。

     

     また、CASBは発展途上の分野であるため製品ごとの機能差が大きいので、実際に導入する際はPoC(Proof of Concept, 試験導入)を行うなどその製品で自分のやりたいことが本当に実現可能かどうかを判断することが重要です。

     

     今後はセキュアなクラウド利用が企業にとって大きな課題となってくることが考えられます。

     NRIセキュアではCASBに関するソリューションも提供していますので、ご興味があれば是非ご相談ください。

     ⇒CASBに関するソリューション紹介はこちら

     

    Secure SketCHへの新規登録(無料)はこちらから!

    secure_sketch_sign_up