クラウドコンピューティングとBYODポリシーの台頭以前は、企業のセキュリティは10年以上前から同じ「壁に囲まれた庭」モデルで存在していました。しかし、サービスがクラウドで生まれ、クラウドに移行するようになり、従業員がIT部門の事前の知識や承認の有無にかかわらず、これらのクラウドサービスを利用するようになると、企業は複数のクラウドに一貫したセキュリティポリシーを適用し、ユーザーと企業データの両方を保護する方法を模索し始めました。
CASBの開発により、企業のセキュリティ担当者は、クラウド、特に認可されていないSaaS(Software-as-a-Service)利用、つまりシャドーITを可視化することができるようになりました。CASBが提供する洞察は、多くのIT管理者にとって衝撃的なものでした。彼らはすぐに、企業におけるクラウド利用が想像以上に深く、浸透していることを発見しました。
シャドーITの脅威を回避することは主要なユースケースでしたが、CASBを広く普及させたのはそれだけではありません。この時期、多くの企業がデータストレージ機能をオンプレミスのデータセンターからクラウドに移行していました。そのため、データの移動(アクセス権や共有権の制限など)とデータの中身(暗号化など)の両方を保護するCASBがより不可欠となった。
このような変化が起こる一方で、脅威の状況も変化しています。今日、マルウェアはより広く浸透し、フィッシングはより巧妙に、より的を得ています。また、小さなミス、例えばAWSのS3バケットを一般公開することで、何百万ドルもかかるセキュリティホールが発生する可能性があります。
CASBのセキュリティ対策は、これらの課題を解決するための機能を備えているため、CASBの利用は企業のセキュリティにとって不可欠な要素であると考えられています。
CASBのセキュリティ機能の多くは、エンタープライズ/ウェブアプリケーションファイアウォールやセキュアウェブゲートウェイなどの他のセキュリティコントロールが提供するものと比較してユニークであり、以下のようなものがあります:
シャドーITへの回答として始まったCASBは、4つの柱で表現される機能を持つまでに成長しました:
これまでオンプレミスで提供されていたサービスがクラウドに移行し続ける中、これらの環境における可視性と制御を維持することは、コンプライアンス要件を満たし、攻撃から企業を守り、企業にさらなるハイリスクをもたらすことなく従業員が安全にクラウドサービスを利用するために不可欠です。
しかし、CASBの利用は、企業におけるクラウド利用の安全性を確保したい企業にとって極めて重要ですが、デバイスからクラウドまでの防御を確保するために企業が用いるべき全体的なセキュリティ戦略の一部に過ぎません。包括的なセキュリティ対策として、企業はCASBの機能を拡張し、インターネット利用を保護するためのセキュアWebゲートウェイ(SWG)や、知的財産の保護やネットワーク上の機密企業データを保護するためのデバイスデータ損失防止ソリューション(DLP)の導入も検討すべきです。
クラウドアクセスセキュリティブローカーの仕事は、企業のセキュリティ要件を満たすために、クラウド上のデータと脅威の可視化と制御を提供することです。これは、3つのステップを経て行われます:
また、CASBは、マルウェア対策やデータの暗号化など、さらなる保護機能を備えています。
CASB技術の大きなセールスポイントは「シンプルさ」です。使いやすさと並んで、CASBの大きなメリットは、その導入のしやすさです。それでも、いくつか考慮すべき点があります:
展開場所
CASBは、オンプレミスまたはクラウドで導入することができます。現在はSaaS型が主流で、CASB導入の大半はSaaS型である。
デプロイメントモデル
CASBの導入モデルには、3つの種類があります:API-Control、Reverse Proxy、Forward Proxyです。
プロキシの導入は、インライン制御をリアルタイムで実施し、データレジデンシー要件に準拠するためによく使用されます。
ガートナーでは、あらゆるクラウドアクセスシナリオをカバーするために、さまざまなアーキテクチャオプションを提供するCASB製品を検討することを提案しています。マルチモードCASBが提供する柔軟性により、企業はニーズの進化に合わせてクラウドセキュリティを拡張することができます。