リソース

ブログへ戻る

クラウドセキュリティ

管理されていないデバイスからクラウドアプリを利用する際の4つのプロテクトトップ

2023年6月14日

スハース・コダガリ（プロダクトマネジメントリード）著

コビド後のリモートワークの世界では、企業のセキュリティチームは、多くのセキュリティ・ベクトルにおける保護を拡大することを求めています。その中でも特に注目されているのがデバイスで、企業のデータリソースにアクセスするデバイスの種類に応じた制御を適用する機能です。企業データにアクセスするデバイスのうち、圧倒的なシェアを占めるのは管理対象デバイスで、その多くは組織が提供し管理するコンピュータや携帯電話を使用する従業員です。マネージドデバイスは、組織のポリシーや基準を遵守し、集中管理、セキュリティコントロール、ソフトウェアアップデートを可能にすることで、より高いレベルのコントロールとセキュリティを確保することができます。しかし、最近の10年間で、管理されていないデバイスからのトラフィックのシェアは確実に増加しており、セキュリティ上の懸念が高まっています。

最近の調査によると、BYOD（Bring Your Own Device：個人所有デバイスの持ち込み）は依然として一般的であり、かなりの数の企業が職場での個人所有（または管理されていない）デバイスの使用を認めています。管理されていないデバイスには、従業員が個人的に所有するデバイスのほか、サードパーティのサプライヤー、ベンダー、パートナー、その他の外部組織から提供されたデバイスも含まれます。これらの非管理デバイスは、組織の直接管理外で動作するため、ネットワークやデータに潜在的なセキュリティの脆弱性やリスクをもたらす可能性があります。セキュリティ上の懸念があるにもかかわらず、企業が非管理デバイスを許可しているのは、非管理デバイスがビジネス価値を高めるからである。休暇中など、管理対象デバイスにアクセスできない場合でも、従業員の生産性を維持することができる。また、多くの組織の運営に欠かせないパートナー、サプライヤー、請負業者とのコラボレーションも容易になる。

企業のセキュリティチームは、管理されていないデバイスが企業のクラウドアプリケーションにアクセスする現象が今後も続くという事実を理解しつつあります。そのため、企業のセキュリティチームは、OneDrive、Salesforce、Google Workspace、Slack、ServiceNowなど、承認されたSaaSアプリケーション内のデータ保護に最大の関心を持っています。例えば、契約社員が管理されていないデバイスからOneDrive上の会社文書にアクセスする場合、社内のロードマップや計画文書をダウンロードされないようにしたいです。また、営業チームの社員が他社に転職する場合、Salesforceから営業報告書データや顧客連絡先をダウンロードしないようにしたい。このような懸念に対処するため、セキュリティチームはSecurity Services Edge（SSE）ソリューションを使用して、これらの制御を定義し、実施します。管理されていないデバイスからのトラフィックに対してお客様が適用する最も重要な制御は、以下のとおりです。

許可されたSaaSアプリケーションにアクセスする管理されていないデバイスの可視化とデータ保護：
従業員やサードパーティユーザが、管理されていないデバイスを使用して企業のアプリにアクセスする場合、セキュリティチームは、実行されたアクティビティを可視化し、そのアクセスに対して組織の制御が適用されたことを記録しておく必要があります。例えば、ノートパソコンにアクセスできない従業員が、SharePoint上のプレゼンテーションを更新するために個人所有のiPadを使用することになったからといって、異常な使用の検出が妨げられることがあってはならない。Skyhigh Security SSEソリューションを利用する顧客は、デバイスにとらわれないAPI統合によって、管理されていないデバイスから企業アプリに入るすべてのアクティビティを包括的に可視化できる。そのため、data loss prevention (DLP)、フォレンジック分析（アクティビティの可視化を通じて）、脅威の検出、誤設定の特定、サードパーティの接続アプリの制御を含む包括的な制御を適用することができます。SSE市場で最も広範なAPI統合リストを提供することにより、Skyhigh Security 、顧客はこれらのセキュリティ制御を認可された幅広いSaaS（Software-as-a-Service）アプリケーションに適用することができます。

許可されたSaaSアプリから管理されていないデバイスへの企業データの流出をブロックする：
セキュリティ・チームが、管理されていないデバイスが会社公認のクラウド・アプリにアクセスする際の最大の懸念は、デバイスにデータをダウンロードされてしまうことだ。これを防ぐため、管理されていないデバイスからアクセスした場合、いかなるファイルもダウンロードできないようなコントロールを適用したい。つまり、ユーザーはファイルの閲覧や編集はできるが、ダウンロードはできない。しかし、データの流出は必ずしもダウンロードで起こるとは限らない。ユーザーはコピー・ペーストや印刷など、他の手段でデータを引き出すことができる。Skyhigh Security 、この問題を解決するユニークなソリューションがあります。その Cloud Access Security Broker(CASB)とRemote Browser Isolation (RBI)の技術を組み合わせることで、Skyhigh Security 、管理されていないデバイスからのトラフィックをRBIセッションにリダイレクトし、アップロード、ダウンロード、コピー、印刷など、機密データを流出させる可能性のあるアクションをブロックするきめ細かな制御を実施することができます。

プライベートアプリからの機密データの流出を防ぐ：
企業は、これらのアプリへのアクセスを必要なユーザにのみ許可するゼロ・トラスト・アクセス・コントロールを実施しようとしているため、自家製アプリやプライベート・アプリは、ますます企業のセキュリティ・コントロールの焦点になりつつあります。多くの場合、企業は、調達、給与計算、または開発ベースのアプリが含まれるため、サードパーティのユーザーもこれらのアプリにアクセスする必要があります。Skyhigh Security 、SkyhighPrivate Access、アクセス制御やDLPを含むセキュアな制御を適用しています。管理対象外のデバイスについては、エンドユーザーがウェブブラウザーだけで認証し、プライベートアプリケーションへのセキュアな接続を確立できるクライアントレスアクセスオプションを使用できます。また、セキュリティチームは、SaaSアプリケーションと同様に、RBIセッションを通じて非管理対象デバイスからのトラフィックをリダイレクトするオプションも利用できる。クライアントレス（Private Access ）オプションでは、追加のソフトウェアをインストールして管理するプロセスが不要になり、重要なリソースへのアクセスが効率化される。これは、非管理対象デバイスのユーザーにプライベート・アプリケーションへのアクセスと制御を提供するのに非常に役立ちます。

企業のSaaSアプリへのマルウェアのアップロードを防止する：
管理されていないデバイスは通常、必要なセキュリティ管理が行われておらず、ユーザーはソーシャルメディアや規制外のアプリからデータをダウンロードしている。これらのデバイスが企業の認可されたSaaSアプリにファイルをアップロードするために使用されると、マルウェア感染がクラウドインスタンスに広がり、同期されたデバイスに広がる可能性がある。管理されていないデバイスからのトラフィックをRBIセッションにプッシュすることで、Skyhigh Security 、このデータに対して包括的なマルウェアチェックを行い、潜在的に有害なファイルをフィルタリングすることができる。

管理されていないデバイスからのアクセスを許可するビジネス上の必要性は明らかですが、管理されていないデバイスによるセキュリティ上の脅威は現実のものとなっています。最近の調査によると、従業員の大半が個人のモバイル・デバイスで危険な行為を行っており、71%が機密性の高い業務パスワードを携帯電話に保存し、66%が個人用メッセージング・アプリを業務に使用している。そのため、企業は必要なコントロールを適用することで、この脅威のベクトルに対して安全性を確保しなければならない。そのために、Skyhigh Security のような先進的なSSEソリューションに頼ることで、セキュリティやコンプライアンス要件を損なうことなく、従業員やパートナーが企業のクラウドアプリにアクセスできるようにしている。