現代の企業活動においてクラウドサービスは無くてはならないものになっており、複数のクラウドサービスを利用する企業も多くなりました。

それにより、情シス担当者が管理しなければならないITツールも多岐にわたり、複雑化しています。

本記事では、クラウドサービス、特にSaaSのセキュリティ対策に有効な「CASB」について解説したいと思います。企業のクラウドサービス利用におけるセキュリティ対策はどのようにおこなえばよいのか、ぜひ参考にしてください。

CASBとは?

CASB(Cloud Access Security Broker)とは、2012年にアメリカのガートナー社が提唱したクラウドサービスに対するセキュリティ対策の考え方で、一般的には「キャスビー」と呼ばれています。
クラウドサービスとその利用者の間にCASBを配置することで、クラウドサービスの利用状況の可視化や制御を一元で管理することができます。

CASB利用イメージ図
※クラウドサービスへオフィスや自宅、外出先のどこからアクセスしてもCASBを経由するので、
VPNを通じて社内ネットワークを介してからクラウドへアクセスする必要がない

複数のクラウドサービスに対して、ユーザ毎の細かいアクセス制御や認証、マルウェアの検知、ログの取得・分析を行ってくれるため、クラウドサービスのリスク対策には必須のセキュリティと言えるでしょう。

CASBの必要性とは?

働き方やサイバー攻撃の多様化により、従来の「境界型セキュリティ」では対応しきれない部分が出てきたことが大きな理由ではないでしょうか。
総務省 令和4年版 情報通信白書「クラウドサービスの利用状況」によると、2021年の時点でクラウドサービスを利用してる企業は70.4%となり、今後利用予定がある企業も含めると80%を越えます。
働く場所が多様化し、それに伴いクラウドでのサービス利用も急激に伸びたため、境界型セキュリティでは対応できないリスクが生じました。
境界型セキュリティでは外部ネットワーク(WAN)と 内部ネットワーク(LAN)の間に、セキュリティの防御壁(ファイアーウォールなど)を設置します。
社外からのアクセスはVPNなどを経由することで、セキュリティの高い通信をできるようにするのが一般的でした。

境界型ネットワークイメージ図

しかし、以前に比べて社外で仕事をする人が増えたこと、利用するクラウドサービスも多種多様に増えていることから、従来のVPNで全てのアクセスを受けることが難しくなってきました。
この膨大に増えたデータ流量を受け止められるVPNを構築するには費用が掛かりますし、ユーザがレスポンスに不満を感じるようになり、業務効率の悪化にもつながります。
特定のクラウドサービスについてはVPNを経由せずに直接のアクセスとなっている企業も数多いかと思いますが、その際のセキュリティ対策はいかがでしょうか?

ユーザは利便性を求めますので、情シス担当者が認識していないクラウドサービスを利用してしまう、いわゆる「シャドーIT」も増えているかもしれません。それが企業にとってどれほどセキュリティリスクが高まることなのかは明白です。
そのため、情シス担当者が従業員のクラウドサービス利用状況を管理できることが、現代のセキュリティでは最重要だと言っても過言ではありません。

また、多くの企業で導入されているSaaS型のクラウドサービスは、シャドーITとして使われることも多いです。
シャドーITとは、従業員や各部門がそれぞれの判断で端末やソフトウェアなどを導入し、業務に使用することです。会社に管理・把握されていない機器やサービスが業務に使用されることで、セキュリティが不十分なため情報漏えいしてしまったり、被害拡大への迅速な対処ができなかったりします。

CASBの主な機能について

クラウドCASBの主な機能には大きく4つあります。

  1. 可視化
  2. データセキュリティ
  3. コンプライアンス
  4. 脅威防御

可視化

社員が利用しているすべてのクラウドサービスを検出します。
利用状況やログを可視化し、各クラウドサービスの安全基準に基づく分析をすることができます。
会社で許可していないクラウドサービスの利用検知も可能であり、シャドーIT対策にも有効です。

データセキュリティ

アクティビティやロケーションなどの情報を詳細に解析し、通常とは異なるアクセスを検知した場合は、ブロックやアラートなどの制御が実行されます。
また自社で管理しているクラウドサービスへのアクセスは、ユーザ単位でどの権限でどの操作まで許可するかというきめ細かい所まで制御・監視することが可能です。

コンプライアンス

情報漏洩や改ざんは外部からのサイバー攻撃によるものだけではなく、従業員による故意または過失に起因するものもあります。
事前に会社が保有している機密情報を定義することで、キーワードや様々な識別方法で、アクセス権限の逸脱や機密情報の持ち出し、改ざん等の内部不正を検知、ブロックしてくれます。ファイルデータを暗号化することも可能です。

脅威防御

各クラウドサービスに潜むセキュリティ脅威、たとえばマルウェアランサムウェアなどの

検出や防御を行います。

CASBのメリットとは

CASBには様々なメリットがありますが、ここでは主な5つについて解説したいと思います。

セキュリティを高めることができる

クラウドサービスは、基本的にベンダが保守管理・運営をしているため、自社でセキュリティ対策をおこなうことが難しいです。
CASBを導入すれば、従業員とクラウドサービスのアクセス状況の監視や制御が可能になるため、セキュリティを高めることにつながります。

高い業務効率を維持できる

テレワークの普及により企業のクラウドサービス利用は比例して増えました。社員がどこでどんなデバイスからアクセスしても変わらず業務を遂行する為に必須なツールとして浸透していますが、社員が利用するネットワーク、デバイス、クラウドサービスの全てに情シスの目が行き届かないのは必然です。

セキュリティを担保しながら安心してクラウドサービスを利用してもらえる環境を作ることは、自社の生産性を維持する上で重要なポイントになります。

コンプライアンス体制整備にも

クラウドサービスのログや利用状況を可視化・分析することができるため、セキュリティリスクの検知はもちろんこと、内部の不正発見にも役立つ場合があります。
CASBで検知できる機密・重要情報には以下のようなものがあります。

  • クレジットカード情報
  • マイナンバー
  • 特定の拡張子を持つファイル

分析し可視化することができる

CASBを使用することで、使用しているクラウドサービスだけでなく、アクセス状況やファイルのダウンロードやアップロードといったログ、利用している端末などの情報を分析・可視化することができます。
複数のクラウドサービスを導入することが当たり前になりつつある昨今、利用しているクラウドサービスを一元管理し、分析することができるのは大きなメリットでしょう。

管理部、情シス部のリソース圧迫を防ぐ

従業員が利用しているクラウドサービスを一個一個のデバイスをチェックして洗い出す…なんて非現実的ですし、漏れが出る可能性もあります。
CASBを利用すれば、自社契約のあるなしに問わず、様々なクラウドサービス利用を検知し、利用情報を一元管理してくれるので、管理部や情シス部のリソース圧迫を防ぐことができます。

CASBの導入方法について

CASBの導入方法は大きく3つあり、それぞれ対応できる範囲などに違いがあります。

API型

各クラウドサービスが提供しているAPI(Application Programming Interface)を利用して連携し、CASBにてユーザ操作ログやファイル情報の解析を行います。
APIを利用するため、自社が契約しているクラウドサービスのみが対象になります。
また、APIに対応しているクラウドサービスでないと、この導入方式は使えないというデメリットもあります。

プロキシ型

クラウドサービスへのアクセス経路上にCASBを設置することで、あらかじめ決められたポリシーに則りアクセスを制御します。
フォワードプロキシタイプとリバースプロシキタイプの2種類あります。
フォワードプロキシタイプは、ある中から外へ通信をする経路に設置し、Webブラウザの代理で外部にアクセスすることでセキュリティを担保するものです。
リバースプロキシタイプは、クラウドサービス側に設置するもので、外部から内部へのアクセス時に経由するのが特徴です。
フォワードプロキシタイプであれば、自社契約のクラウドサービス以外でも対応することができ、未承認クラウドサービスの利用も検知可能なのがポイントです。

ログ分析型

既存のゲートウェイ(UTMやファイアウォールなど)にCASBを設置し、ログの分析や利用状況の可視化をおこないます。遮断するべきアクセスが検出された場合でもこのタイプのCASB単体で通信を遮断することはできませんが、ゲートウェイ機器との連携によってその通信を制御することが出来るものもあります。

※既存プロキシからログを取得するため、エグジスティングプロキシタイプとも呼ばれます。

導入するときのポイントとは

実際にCASBを導入する際には、どのようなポイントを事前に確認しておいたらいいのでしょうか。

どの導入方法を選ぶか

前述の通り、CASBの導入方法にはAPI型、プロキシ型、ログ分析型の3つがあります。
どこまで細かい制御が必要かや従業員の利用しているデバイス、クラウドサービス、アクセス環境に応じて最適なものを選ぶ必要があります。
また、CASBの導入方法によっては、既存の利用(アクセス)方法に変更が入る場合もあります。導入方法は従業員の利便性が著しく低下することがないように選定しましょう。

対応可能なSaaSとデバイスは?

対応可能なSaaSが少ない場合、検知したクラウドサービスがセキュリティ的にNGなのかどうかを判断する材料がないといったことも起こります。
もちろん、セキュリティ上、判断に困るものは一律遮断することが一番安心ですが、従業員の利便性を損なう可能性もあります。
デバイスに関しても特定のデバイスのみしか対応していない場合、一部のデバイスが管理から漏れるため、できれば従業員が利用している(利用する可能性がある)デバイスはすべて対応しているものが望ましいですね。

どのように運用するのか?異変への対策まで行うのか?

CASBの基本は、あくまでも異変の検知が目的になります。
リアルタイムで異変に対策することはできないため、異変への対応するには別のセキュリティツールが必要になる場合もあります。
また、CASBはクラウドサービスの手前に設置するものであり、クラウドサービス側のセキュリティ管理は行えない(ベンダでのセキュリティ対策に依存する)ため、リスクがゼロにはならない点は注意しておきましょう。
CASB、自社のリソース、その他セキュリティそれぞれでどのように対応するかを切り分けて、運用方法を検討しましょう。

よりセキュリティを高めるために併用したいSWGとは

CASBは、あくまでもクラウドサービスのセキュリティ対策であり、一般的なWebサイトへのアクセスなどは対象外になります。
SWG(Secure Web Gateway)というプロキシサービス※を利用すると一般的なWebサイトへのアクセスに対してもセキュリティ対策をすることができるため、インターネット上のアクセスをセキュアにしたい場合は、ぜひ併用をご検討ください。

※URLフィルタリング(特定のURLへのアクセスを制御すること)やアンチウイルスなど複数のセキュリティ機能が搭載されたクラウド型のプロキシサービス

まとめ

働き方の多様化に伴い、企業が利用するクラウドサービスは複数であることがスタンダードになりました。便利な反面、対策しなければならないセキュリティリスクも多方面に存在するため、情シス担当だけで管理していくには限界があります。
CASBのようなクラウドサービスのセキュリティを一括管理できるようなソリューションは、セキュリティリスクの軽減だけでなく、貴重な情シス人材の有効活用にもつながるので、ぜひ多くの企業で導入検討いただきたいサービスの一つです。

この記事に関連するお役立ち資料はこちら

コロナによりクラウド利用が急増 これからのネットワーク構成に欠かせない「ゼロトラストネットワーク」

テレワークが定着したことでネットワークの境界線は曖昧になりつつあります。そのような背景で、従来ファイアウォールで分けていた「社内」「社外」という境界にフォーカスしたセキュリティ対策では対応できなくなってきています。そこで生まれた「ゼロトラスト」という考え方について解説します。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら