ファイルがアップロードされる途中で内容を検査し、機密情報であると判断した場合は、アップロードを中断させたり、暗号化させることができます。例えば、Salesforceに、特定の形式のファイルや特定の文言を含むファイルのアップロードを禁止することが可能です。
見えなかったクラウドサービスの利用を
可視化クラウドサービスの利用を柔軟に制御
クラウドサービスは近年急速に普及しており、今後さらに普及が加速すると考えられています。総務省調査の「平成30年版 情報通信白書」によると、2017年の時点でクラウドサービスを利用している企業の割合は50%を超えました。利用されているサービスの内容としては「ファイル保管・データ共有」(51.2%)が最も多く、次いで「サーバ利用」(47.6%)、「電子メール」(46.3%)と、企業の重要なデータのやり取りをクラウドサービスを利用して行っていることがわかります。
NRIセキュアが2018年3月に実施した調査においても、82.6%の企業がOffice 365、77.1%の企業がDropbox、57.1%の企業がEvernoteを利用していることが分かりました。2017年3月時点の調査と比較すると、クラウドサービスの企業利用が加速度的に進んでいます。
このようにクラウド利用が急速に進む一方で、セキュリティリスクが表面化してきています。
クラウドサービスは、インターネットに接続していればどこからでも利用でき便利である一方、第三者の不正アクセスのリスクが高くなります。クラウドサービス自体のセキュリティは自社では制御ができないため、セキュリティ対策が十分なサービスを選択することが重要です。一見、問題がないと思われるクラウドサービスでも、思わぬ脆弱性が潜んでいる可能性はあります。クラウドサービスは現在、28,000以上もあり、企業のIT担当者が各サービス内容を把握し、業務利用の可否を判断することは非常に難しいのが現状です。
クラウドサービスの普及により、企業が把握していない個人利用のクラウドサービス(シャドーIT)が増えています。Netskopeの調査では企業で利用されているクラウドサービスは平均900件あり、企業のIT担当者が把握しているのはそのうちわずか5%、残り95%はシャドーITである、という結果があります。業務用のファイルを個人用のオンラインストレージに置いたり、チャットアプリで業務内容などの会話を行った場合、企業の把握していない思わぬところから重要情報が漏洩するなどのリスクが高まります。
企業のIT部門が把握しているクラウドサービスの利用にもリスクはあります。例えば下記のような場合、シャドーITと同様に情報漏洩のリスクが高まるため、何らかの制御が必要です。
・任意のクラウドサービス利用は許可・制御しているが、アカウントレベルの制御ができておらずプライベートアカウントでも利用されている。
クラウドサービス利用によるこれらのリスクを解決するソリューションとして注目されているのが、CASB(Cloud Access Security Broker)です。CASBは、従業員がクラウドサービスを利用する際のセキュリティを一括管理する役割を果たすソリューションで、主に4つの機能があります。
1.可視化
シャドー ITの把握、認可したクラウドサービスの利用状況を把握する機能です。
2.コンプライアンス
企業が策定したセキュリティポリシー(ルール)を準拠、監査する機能です。
3.データセキュリティ
データのアップロード/ダウンロードや公開設定の許可や遮断を行う機能です。
4.脅威防御
マルウェアなどの脅威を検知・隔離・遮断する機能です。
CASBを利用するにあたり、まず必要になるのが可視化機能です。ここで重要なのは、可視化のみではなく、企業が利用可否を判断できるかどうかです。そのためには、CASBが多数のクラウドサービスを複数のセキュリティ観点で評価し、その情報が常に更新されていることが重要です。
次に必要になるのが、情報漏洩等を防ぐための制御です。BYOD利用や、リモートワークを推進する企業が増えている中、特定のデバイス、特定の場所、特定のクラウドサービスのみではなく、不特定多数のサービスやデバイスに対して「コンプライアンス」「データセキュリティ」「脅威防御」を実現することが重要です。そのためには、クラウドサービスへアクセスする際のトラフィックを制御できるプロキシ型のソリューションが必要です。
また、利用目的や環境に応じて、導入方式を選択できることも重要なポイントです。ログアップロード型、API型、プロキシ型など、企業にあった導入方式を1つもしくは複数選択できることが望ましいのです。
Netskopeは米国でトップクラスの導入実績があり、約28,000種類のクラウドサービスを判別・評価しています。導入方式も利用企業に合わせて選択できますが、中でもプロキシ型を得意としており、不特定多数のデバイス、環境、クラウドサービスに対して、きめ細かい制御ができます。例えば、会社アカウントのみを許可し、個人アカウントをブロックするなどのアカウントごとの制御や、個人情報を含むファイルのアップロードはブロックするというような、データごとの細かい制御が可能です。
Netskopeにも「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を実現する機能が備わっており、シャドーITの可視化や、クラウドサービスに対する細かい制御が可能です。
従業員が利用しているクラウドサービスの利用状況を可視化し、操作証跡まで管理が可能です。「いつ」「誰が」「どのクラウドサービスに」「何をしたのか」を正確に把握できるため、特定困難だったシャドーITの把握や問題があった場合の早期発見が可能です。
Netskopeが判別・評価する約28,000種類のクラウドサービスのデータベースをもとに、サービスごとのリスク評価を行うことができます。また、評価内容に合わせて細かい制御が可能です。例えば、会社で利用するクラウドサービスのみアクセスを許可し、業務上好ましくないクラウドサービスを遮断したり、会社で契約しているサービスは許可するが、同一サービスを私的なアカウントで利用することは不可とするなど柔軟に制御できます。
ファイルがアップロードされる途中で内容を検査し、機密情報であると判断した場合は、アップロードを中断させたり、暗号化させることができます。例えば、Salesforceに、特定の形式のファイルや特定の文言を含むファイルのアップロードを禁止することが可能です。
利用ユーザーの通常とは異なる疑わしい動きを検出したり、クラウドサービスへのアップロード及びダウンロードの際に、ファイルにマルウェアが含まれるか検査し、必要に応じてブロックするなど未知の脅威を排除します。
Netskopeは、企業の用途やネットワーク環境などに合わせて導入方式を選択することが可能です。大きく3つの方式に分かれており、利用ケースに応じて1つまたは複数の方式を導入します。
企業で利用している既存のゲートウェイ機器のログをNetskopeにアップロードし、Netskopeが宛先URLを元にクラウドサービスの利用状況を可視化します。既存のURLフィルタなどと異なり、個別のクラウドサービスが検出でき、各クラウドサービスのリスクスコアの算出やアクセスレポートの生成が可能です。ここで生成されたレポートをもとに、制御方法を検討します。
<利用ケース>
ログの分析が主で、クラウドサービスに対しての直接の制御はできません。まずはスモールスタートで可視化のみを実施したい場合に有効です。
各クラウドサービスが提供するAPIを通じて、情報収集や制御を行います。APIを利用するため、利用可能なクラウドサービスは限定されます。
<利用ケース>
特定のクラウドサービスに特化して制御をしたい場合に有効です。クラウドサービス上に既にあるデータの制御や、管理項目の制御など、特定のクラウドサービスについて細かな制御が可能です。
企業やデバイスからクラウドサービスへの通信をNetskope経由にし、そこを通過するトラフィックから情報を収集します。また、必要に応じてあらかじめ設定した企業のポリシーに従いアクセス制御を行います。SSL通信も復号し、通信を可視化することができます。
<利用ケース>
Netskopeを経由したすべての通信に対して可視化および制御が可能であるため、不特定多数のクラウドサービスに対して制御を行う場合に有効です。また、クラウドサービス自体は詳細なログを出力しないことが多いですが、その場合でもNetskopeでログを出力するため監査に利用することも可能です。エージェントとの併用で、BYOD利用やリモートからのアクセスにも対応可能です。スマートフォン等の各種モバイル端末の制御もできます。
