本文へスキップ
質問に戻る

Cloud Access Security Broker (CASB)とは?

クラウドアクセスセキュリティブローカー、またはCASBCASBとは、クラウドホスト型のソフトウェア、またはオンプレミス型のソフトウェアやハードウェアで、ユーザーとクラウドサービスプロバイダーの間の仲介役として機能します。CASBは、SaaS(Software-as-a-Service)、PaaS(Platform-as-a-Service)、IaaS(Infrastructure-as-a-Service)環境において、セキュリティ上のギャップに対処することが可能です。CASBは、可視化だけでなく、セキュリティ・ポリシーを既存のオンプレミス・インフラからクラウドに拡張し、クラウド固有のコンテキストに応じた新しいポリシーを作成することもできます。 CASBは、企業のセキュリティに欠かせない存在となり、企業は機密性の高い企業データを保護しながら、クラウドを安全に利用できるようになりました。 CASBはポリシー実施センターとして機能し、複数の種類のセキュリティポリシー実施を統合し、管理されていないスマートフォン、IoTデバイス、個人のノートパソコンなど、アクセスしようとするデバイスの種類に関係なく、企業がクラウドで使用するすべてのものに適用します。 ワークフォースモビリティの向上、BYODの増加、従業員の無許可のクラウド利用(シャドーIT)の存在により、Microsoft 365などのクラウドアプリケーションの利用を監視・管理する能力は、企業のセキュリティ目標に不可欠となっています。CASBは、クラウドサービスを全面的に禁止し、従業員の生産性に影響を与える可能性があるのではなく、データ保護とポリシーの実施にきめ細かいアプローチを取ることができ、時間の節約、生産性の向上、コスト効果の高いクラウドサービスを安全に利用することが可能になる。

進化するCASB

クラウドコンピューティングとBYODポリシーの台頭以前は、企業のセキュリティは10年以上前から同じ「壁に囲まれた庭」モデルで存在していました。しかし、サービスがクラウドで生まれ、クラウドに移行するようになり、従業員がIT部門の事前の知識や承認の有無にかかわらず、これらのクラウドサービスを利用するようになると、企業は複数のクラウドに一貫したセキュリティポリシーを適用し、ユーザーと企業データの両方を保護する方法を模索し始めました。

CASBの開発により、企業のセキュリティ担当者は、クラウド、特に認可されていないSaaS(Software-as-a-Service)利用、つまりシャドーITを可視化することができるようになりました。CASBが提供する洞察は、多くのIT管理者にとって衝撃的なものでした。彼らはすぐに、企業におけるクラウド利用が想像以上に深く、浸透していることを発見しました。

シャドーITの脅威を回避することは主要なユースケースでしたが、CASBを広く普及させたのはそれだけではありません。この時期、多くの企業がデータストレージ機能をオンプレミスのデータセンターからクラウドに移行していました。そのため、データの移動(アクセス権や共有権の制限など)とデータの中身(暗号化など)の両方を保護するCASBがより不可欠となった。

このような変化が起こる一方で、脅威の状況も変化しています。今日、マルウェアはより広く浸透し、フィッシングはより巧妙に、より的を得ています。また、小さなミス、例えばAWSのS3バケットを一般公開することで、何百万ドルもかかるセキュリティホールが発生する可能性があります。

CASBのセキュリティ対策は、これらの課題を解決するための機能を備えているため、CASBの利用は企業のセキュリティにとって不可欠な要素であると考えられています。

CASBが提供するもの

CASBのセキュリティ機能の多くは、エンタープライズ/ウェブアプリケーションファイアウォールやセキュアウェブゲートウェイなどの他のセキュリティコントロールが提供するものと比較してユニークであり、以下のようなものがあります:

  • クラウドガバナンスとリスクアセスメント
  • データ損失防止
  • コラボレーションや共有など、クラウドサービスのネイティブ機能のコントロール
  • 脅威の防止、多くの場合、ユーザーとエンティティの行動分析(UEBA)
  • コンフィギュレーション監査
  • マルウェアの検出
  • データ暗号化、鍵管理
  • SSOとIAMの統合
  • コンテキストに応じたアクセスコントロール

CASBの4つの柱

シャドーITへの回答として始まったCASBは、4つの柱で表現される機能を持つまでに成長しました:

  1. 視認性
    大企業では、何人もの従業員がさまざまなクラウド環境で多くのアプリケーションにアクセスしている可能性があります。クラウドの利用がIT部門から見えない場合、企業データはもはや企業のガバナンス、リスク、コンプライアンスポリシーに縛られることはないでしょう。ユーザー、機密データ、知的財産を保護するために、CASBソリューションは、デバイスや位置情報などのユーザー情報を含む、クラウドアプリケーションの使用状況を包括的に可視化します。クラウドディスカバリー分析により、使用中の各クラウドサービスのリスク評価が行われ、企業のセキュリティ担当者は、アクセスを許可し続けるか、アプリをブロックするかを決定することができます。また、この情報は、個人のデバイス、位置情報、職務内容に応じてアプリやデータへのアクセスレベルを変化させるなど、よりきめ細かい制御の形成に役立てることができます。
  2. コンプライアンス
    企業は、システムやデータストレージのすべてをクラウドにアウトソースすることができますが、企業データのプライバシーと安全性を管理する規制を遵守する責任を負います。クラウドアクセスセキュリティブローカーは、HIPAAなどの様々なコンプライアンス規制や、ISO 27001、PCI DSSなどの規制要件に対応し、クラウドにおけるコンプライアンスの維持を支援します。CASBソリューションは、コンプライアンスの観点から最もリスクの高い領域を特定し、それを解決するためにセキュリティチームが何を重視すべきかという方向性を示すことができます。
  3. データセキュリティ
    クラウドの導入により、遠隔地での効果的なコラボレーションを阻む多くの障壁が取り除かれました。しかし、データのシームレスな移動は、機密情報の保護に関心のある企業にとって有益であると同時に、多大なコストをもたらす可能性があります。オンプレミスのDLPソリューションはデータを保護するために設計されていますが、その能力はクラウドサービスには及ばないことが多く、クラウドのコンテキストを欠いています。CASBと高度なDLPを組み合わせることで、IT部門は機密性の高いコンテンツがいつクラウドへ、またはクラウドから、クラウド内、クラウド間で移動するかを確認できるようになります。データ損失防止、コラボレーション制御、アクセス制御、情報権限管理、暗号化、トークン化などのセキュリティ機能を導入することで、企業のデータ漏えいを最小限に抑えることができる。
  4. 脅威からの保護
    過失であれ悪意であれ、従業員や盗まれた認証情報を持つ第三者は、クラウドサービスから機密データを漏えいさせたり盗んだりすることがあります。CASBは、ユーザーの異常な行動を特定するために、通常の使用パターンを包括的に表示し、比較の基準として使用することができます。機械学習ベースのUEBA技術により、CASBは、誰かがデータを盗んだり、不正にアクセスしようとしたりすると、すぐに脅威を検知して修正することができます。クラウドサービスから来る脅威から保護するために、CASBは適応型アクセス制御、静的および動的マルウェア解析、優先順位付けされた解析、脅威インテリジェンスなどの機能を使用して、マルウェアをブロックすることができます。

なぜCASBが必要なのか?

これまでオンプレミスで提供されていたサービスがクラウドに移行し続ける中、これらの環境における可視性と制御を維持することは、コンプライアンス要件を満たし、攻撃から企業を守り、企業にさらなるハイリスクをもたらすことなく従業員が安全にクラウドサービスを利用するために不可欠です。

しかし、CASBの利用は、企業におけるクラウド利用の安全性を確保したい企業にとって極めて重要ですが、デバイスからクラウドまでの防御を確保するために企業が用いるべき全体的なセキュリティ戦略の一部に過ぎません。包括的なセキュリティ対策として、企業はCASBの機能を拡張し、インターネット利用を保護するためのセキュアWebゲートウェイ(SWG)や、知的財産の保護やネットワーク上の機密企業データを保護するためのデバイスデータ損失防止ソリューション(DLP)の導入も検討すべきです。

CASBはどのように機能するのか?

クラウドアクセスセキュリティブローカーの仕事は、企業のセキュリティ要件を満たすために、クラウド上のデータと脅威の可視化と制御を提供することです。これは、3つのステップを経て行われます:

  1. ディスカバリーを行います:CASBソリューションでは、自動検出機能を使って、すべてのサードクラウドサービスとその利用者のリストを作成します。
  2. 分類を行います:クラウド利用の全容が明らかになると、CASBは、アプリケーションの種類、アプリケーション内のデータの種類、共有方法などを判断し、それぞれに関連するリスクレベルを決定する。
  3. 是正を行います:各アプリケーションの相対的なリスクを把握した後、CASBはこの情報をもとに、組織のデータおよびユーザーアクセスのセキュリティ要件を満たすためのポリシーを設定し、違反が発生した場合に自動的に対処することができます。

また、CASBは、マルウェア対策やデータの暗号化など、さらなる保護機能を備えています。

CASBを導入するにはどうすればよいですか?

CASB技術の大きなセールスポイントは「シンプルさ」です。使いやすさと並んで、CASBの大きなメリットは、その導入のしやすさです。それでも、いくつか考慮すべき点があります:

展開場所
CASBは、オンプレミスまたはクラウドで導入することができます。現在はSaaS型が主流で、CASB導入の大半はSaaS型である。

デプロイメントモデル
CASBの導入モデルには、3つの種類があります:API-Control、Reverse Proxy、Forward Proxyです。

  • APIコントロール:クラウド上のデータや脅威を可視化し、迅速な導入と包括的なカバレッジを提供します。
  • リバースプロキシ:一般的にネットワークセキュリティの対象外となっている機器に最適です。
  • フォワードプロキシ:通常、VPNクライアントやエンドポイントプロテクションと連携して動作する。

プロキシの導入は、インライン制御をリアルタイムで実施し、データレジデンシー要件に準拠するためによく使用されます。

ガートナーでは、あらゆるクラウドアクセスシナリオをカバーするために、さまざまなアーキテクチャオプションを提供するCASB製品を検討することを提案しています。マルチモードCASBが提供する柔軟性により、企業はニーズの進化に合わせてクラウドセキュリティを拡張することができます。

CASBを選ぶ際の3つの注意点

  1. 最適なソリューションか?CASBを選択する前に、企業は個々のCASBのユースケースを特定し、その目標に最も適したソリューションを探す必要があります。適合性を確認するために、企業は詳細なPOCを実施するか、サイバーセキュリティアナリストの調査をまとめるか、または同様の規模や同様のニーズを持つ他の企業との詳細なリファレンスコールを実施する必要があります。
  2. ニーズに合わせて成長・変化するのか?企業のクラウド利用が拡大するにつれ、脅威の状況もそれに伴って大きくなっていきます。適切なCASBベンダーと提携することで、クラウドコンプライアンスとクラウドセキュリティポリシーを最新の状態に保つことができ、一般的に新しい機能へのアクセスも早くなります。
  3. IaaSは保護されているか?SaaSの保護が重要であることは明らかですが、包括的な企業セキュリティのためには、IaaS環境も保護する必要があります。この機能を必要とする企業にとって、CASBはIaaSのアクティビティと設定を保護するだけでなく、脅威保護、アクティビティ監視、DLPコントロールを通じて顧客を保護する必要があります。