お問い合わせ
Nri Secure
クラウドアクセス可視化・制御ソリューション(CASB)

Netskope

Netskope

見えなかったクラウドサービスの利用を可視化
クラウドサービスの利用を柔軟に制御

クラウドサービスが普及し、企業においてもoffice365, Salesforce、Boxなどのビジネスツールや、FacebookなどSNSの積極的な利用が進んでいます。しかしその手軽さからIT部門以外のエンドユーザー部門が知らぬ間にサービスを利用していたり、プライベートアカウントを業務で使用するといったケースが増え、結果的に情報流出などのセキュリティ上のリスクを高めていることも事実です。

近年、それらの問題を解決するソリューションCASB(Cloud Access Security Broker:キャスビー)が注目されています。
CASB製品は様々ありますが、昨今のリモートワークの普及などを考慮すると、不特定多数のクラウドサービスやデバイスに対応可能なCASBを選定することが重要です。CASBソリューションの「Netskope」は米国でトップクラスの導入実績があり、選択可能な複数の構成の中でも特にプロキシ型を得意としたソリューションで、不特定多数のデバイスやクラウドサービスに対してきめ細かな制御ができます。

クラウドセキュリティの重要性

1.クラウドサービスの普及

クラウドサービスは近年急速に普及しており、今後さらに普及が加速すると考えられています。総務省調査の「平成30年版 情報通信白書」によると、2017年の時点でクラウドサービスを利用している企業の割合は50%を超えました。利用されているサービスの内容としては「ファイル保管・データ共有」(51.2%)が最も多く、次いで「サーバ利用」(47.6%)、「電子メール」(46.3%)と、企業の重要なデータのやり取りをクラウドサービスを利用して行っていることがわかります。

NRIセキュアが2018年3月に実施した調査においても、82.6%の企業がOffice 365、77.1%の企業がDropbox、57.1%の企業がEvernoteを利用していることが分かりました。2017年3月時点の調査と比較すると、クラウドサービスの企業利用が加速度的に進んでいます。

このようにクラウド利用が急速に進む一方で、セキュリティリスクが表面化してきています。


netskope_01

2.クラウドサービスのリスク

●クラウドサービス自体のリスク

クラウドサービスは、インターネットに接続していればどこからでも利用でき便利である一方、第三者の不正アクセスのリスクが高くなります。クラウドサービス自体のセキュリティは自社では制御ができないため、セキュリティ対策が十分なサービスを選択することが重要です。一見、問題がないと思われるクラウドサービスでも、思わぬ脆弱性が潜んでいる可能性はあります。クラウドサービスは現在、28,000以上もあり、企業のIT担当者が各サービス内容を把握し、業務利用の可否を判断することは非常に難しいのが現状です。

●シャドーITのリスク

クラウドサービスの普及により、企業が把握していない個人利用のクラウドサービス(シャドーIT)が増えています。Netskopeの調査では企業で利用されているクラウドサービスは平均900件あり、企業のIT担当者が把握しているのはそのうちわずか5%、残り95%はシャドーITである、という結果があります。業務用のファイルを個人用のオンラインストレージに置いたり、チャットアプリで業務内容などの会話を行った場合、企業の把握していない思わぬところから重要情報が漏洩するなどのリスクが高まります。

●許可したクラウドでの許可しない操作

企業のIT部門が把握しているクラウドサービスの利用にもリスクはあります。例えば下記のような場合、シャドーITと同様に情報漏洩のリスクが高まるため、何らかの制御が必要です。

 

・任意のクラウドサービス利用は許可・制御しているが、アカウントレベルの制御ができておらずプライベートアカウントでも利用されている。
・アップロード/ダウンロードの制御ができておらず、機密情報が知らない間にクラウドサービス上に置かれている。
・社外や自宅から会社のIDでログインし、私用PCに機密データをダウンロードしている。

CASB(Cloud Access Security Broker:キャスビー)とは

クラウドサービス利用によるこれらのリスクを解決するソリューションとして注目されているのが、CASB(Cloud Access Security Broker)です。CASBは、従業員がクラウドサービスを利用する際のセキュリティを一括管理する役割を果たすソリューションで、主に4つの機能があります。

 

1.可視化
シャドー ITの把握、認可したクラウドサービスの利用状況を把握する機能です。
2.コンプライアンス
企業が策定したセキュリティポリシー(ルール)を準拠、監査する機能です。
3.データセキュリティ
データのアップロード/ダウンロードや公開設定の許可や遮断を行う機能です。
4.脅威防御
マルウェアなどの脅威を検知・隔離・遮断する機能です。


netskope_02

CASB利用のポイント

CASBを利用するにあたり、まず必要になるのが可視化機能です。ここで重要なのは、可視化のみではなく、企業が利用可否を判断できるかどうかです。そのためには、CASBが多数のクラウドサービスを複数のセキュリティ観点で評価し、その情報が常に更新されていることが重要です。

次に必要になるのが、情報漏洩等を防ぐための制御です。BYOD利用や、リモートワークを推進する企業が増えている中、特定のデバイス、特定の場所、特定のクラウドサービスのみではなく、不特定多数のサービスやデバイスに対して「コンプライアンス」「データセキュリティ」「脅威防御」を実現することが重要です。そのためには、クラウドサービスへアクセスする際のトラフィックを制御できるプロキシ型のソリューションが必要です。

また、利用目的や環境に応じて、導入方式を選択できることも重要なポイントです。ログアップロード型、API型、プロキシ型など、企業にあった導入方式を1つもしくは複数選択できることが望ましいのです。

Netskopeとは

Netskopeは米国でトップクラスの導入実績があり、約32,000種類のクラウドサービスを判別・評価しています。導入方式も利用企業に合わせて選択できますが、中でもプロキシ型を得意としており、不特定多数のデバイス、環境、クラウドサービスに対して、きめ細かい制御ができます。例えば、会社アカウントのみを許可し、個人アカウントをブロックするなどのアカウントごとの制御や、個人情報を含むファイルのアップロードはブロックするというような、データごとの細かい制御が可能です。


netskope_03

Netskopeの4つの特徴

Netskopeにも「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を実現する機能が備わっており、シャドーITの可視化や、クラウドサービスに対する細かい制御が可能です。

1.従業員のクラウド利用の状況をすべて可視化し、リスクを評価

従業員が利用しているクラウドサービスの利用状況を可視化し、操作証跡まで管理が可能です。「いつ」「誰が」「どのクラウドサービスに」「何をしたのか」を正確に把握できるため、特定困難だったシャドーITの把握や問題があった場合の早期発見が可能です。


netskope_04

2.許可しないクラウドサービスをリアルタイムに制御

Netskopeが判別・評価する約32,000種類のクラウドサービスのデータベースをもとに、サービスごとのリスク評価を行うことができます。また、評価内容に合わせて細かい制御が可能です。例えば、会社で利用するクラウドサービスのみアクセスを許可し、業務上好ましくないクラウドサービスを遮断したり、会社で契約しているサービスは許可するが、同一サービスを私的なアカウントで利用することは不可とするなど柔軟に制御できます。


netskope_05

3.重要ファイルの自動暗号化やアップロードの抑止

ファイルがアップロードされる途中で内容を検査し、機密情報であると判断した場合は、アップロードを中断させたり、暗号化させることができます。例えば、Salesforceに、特定の形式のファイルや特定の文言を含むファイルのアップロードを禁止することが可能です。


netskope_06

4.異常行動の検出やマルウェア検出

利用ユーザーの通常とは異なる疑わしい動きを検出したり、クラウドサービスへのアップロード及びダウンロードの際に、ファイルにマルウェアが含まれるか検査し、必要に応じてブロックするなど未知の脅威を排除します。


netskope_07

Netskopeの導入方式と利用ケース

Netskopeは、企業の用途やネットワーク環境などに合わせて導入方式を選択することが可能です。大きく3つの方式に分かれており、利用ケースに応じて1つまたは複数の方式を導入します。

1.ログアップロード方式

企業で利用している既存のゲートウェイ機器のログをNetskopeにアップロードし、Netskopeが宛先URLを元にクラウドサービスの利用状況を可視化します。既存のURLフィルタなどと異なり、個別のクラウドサービスが検出でき、各クラウドサービスのリスクスコアの算出やアクセスレポートの生成が可能です。ここで生成されたレポートをもとに、制御方法を検討します。

<利用ケース>
ログの分析が主で、クラウドサービスに対しての直接の制御はできません。まずはスモールスタートで可視化のみを実施したい場合に有効です。


netskope_08

2.API方式

各クラウドサービスが提供するAPIを通じて、情報収集や制御を行います。APIを利用するため、利用可能なクラウドサービスは限定されます。

<利用ケース>
特定のクラウドサービスに特化して制御をしたい場合に有効です。クラウドサービス上に既にあるデータの制御や、管理項目の制御など、特定のクラウドサービスについて細かな制御が可能です。


netskope_09

3.プロキシ方式

企業やデバイスからクラウドサービスへの通信をNetskope経由にし、そこを通過するトラフィックから情報を収集します。また、必要に応じてあらかじめ設定した企業のポリシーに従いアクセス制御を行います。SSL通信も復号し、通信を可視化することができます。

<利用ケース>
Netskopeを経由したすべての通信に対して可視化および制御が可能であるため、不特定多数のクラウドサービスに対して制御を行う場合に有効です。また、クラウドサービス自体は詳細なログを出力しないことが多いですが、その場合でもNetskopeでログを出力するため監査に利用することも可能です。エージェントとの併用で、BYOD利用やリモートからのアクセスにも対応可能です。スマートフォン等の各種モバイル端末の制御もできます。


netskope_10

NetskopeのCSPM機能

1.CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)とは

CSPMとは、IaaS※1及びPaaS※2を対象として、セキュアな設定がなされていることを継続的に評価し、適切な設定への修正を支援するソリューションです。CASBはSaaS※3向けのセキュリティサービスであるのに対して、CSPMは主にIaaS及びPaaS向けのセキュリティサービスと言えます。

※1:IaaS(Infrastructure as a Service)とは、サーバやストレージなどのインフラをクラウドサービスとして提供するものです。

※2:PaaS(Platform as a Service)とは、アプリケーションを構築または稼働させるために必要なミドルウェアなどのプラットフォームをクラウドサービスとして提供するものです。
※3:SaaS(Software as a Service)とは、アプリケーションを端末にインストールなしで、インターネット上にサービスとして提供するものです。

2.NetskopeでCSPMを利用する

NetskopeとクラウドサービスをAPI方式で接続すると、CASBと同じ管理コンソールで、CSPM機能が利用可能になります。これによりAPI接続したIaaS上のリソースを継続的に監査し、コンプライアンスルール違反を特定することができます。

cspm-23

特徴①:マルチクラウド利用環境でも複数の評価基準で横断的に評価可能

従来のクラウドサービス環境については、サービスごとに一個一個の評価基準を決める必要があり、非常に手間がかかります。Netskopeはクラウドサービスを事前に決まっている評価基準及びユーザ独自のルールに基づいて評価し、セキュリティギャップをいち早く発見します。更に発見された問題の対応策を提示し、早期の問題解決を促します。

 

cspm1

 

Netskopeでは下記のように複数の評価基準を用いてリソースのコンプライアンスチェックが可能です。

cspm2

下記のようにIaaSリソースのコンプライアンスルール違反状況を可視化できます。

cspm3

 

特徴②:IaaS純正の機能よりもカスタムルールの作成が簡単

例えば、AWSのAWS Config機能を用いて、インターネットに公開されたEC2インスタンスを検出するルールを作成する場合、Lambda関数を使って110ステップものコードを作成しないといけませんが、Netskopeを使えば設定ウィザードに従って簡単にカスタムルールを作成することができます。

図1

 

 

パンフレット

 

関連セミナー

セキュリティに関するあらゆる問題を解決します

資料ダウンロードはこちら
お問い合わせはこちら