お役立ち資料
Introduction
近年、クラウドサービスを利用する企業が増えています。しかし、従業員のクラウド利用に対するセキュリティ対策は、行われているでしょうか?
クラウドサービスのセキュリティ対策として役立つのが、CASBです。CASBとは、従業員のクラウドサービスの利用状況を監視し、セキュリティ対策を行うためのソリューションです。企業が認知していないクラウドサービスを従業員が利用し、企業の機密情報が漏洩するといった事態を防ぎます。
この記事では、CASBとはどのようなソリューションなのか、具体的な機能や導入する際のメリット・注意点、製品選びのポイントについて解説します。
目次
CASBとは?
CASB(キャスビー)とは、クラウドサービスのセキュリティ対策に役立つソリューションのひとつです。クラウドサービスの利用は急速に広まっており、そのセキュリティ対策の重要性も増しています。
ここでは、CASBとはどのようなものなのかを解説します。
クラウドサービスのセキュリティ対策を行うソリューション
CASBとは、企業が従業員などのクラウドサービスの利用状況を監視し、セキュリティ対策を行うためのソリューションです。
クラウドサービスの利用状況の可視化以外にも、監視、制御、不正アクセスや情報流出の阻止、送受信データの暗号化などができます。
仕組みとしては、ユーザーとクラウドプロバイダーの間にコントロールポイントを設置し、そこから各クラウドサービスの監視や制御を行うのが一般的です。ユーザーがクラウドサービスを利用する際には、必ずCASBを経由する仕組みになっています。使用するすべてのクラウドサービスに対して、ひとつのルールで制御できるだけでなく、個別のクラウドサービスに対してルールをカスタマイズすることも可能です。
CASBが必要とされている背景
クラウドサービスの利用が急速に広がるなか、企業が管理していないサービスを社員が無断で利用するなどのケースも増えています。
企業が認識していないIT機器などを社員が利用する問題は、「シャドーIT問題」とも呼ばれています。シャドーITの利用が増えて、セキュリティレベルが大幅に低下することは、企業にとって大きな問題です。
シャドーITによるセキュリティリスクとしては、企業が認識していないクラウドサービスを社員が使うことで、情報漏洩が発生するなどが考えられます。企業が認めていない、セキュリティレベルが低い無料のクラウドサービスを利用すると、機密情報が流出する可能性が高いです。
このようなセキュリティリスクを回避しながら、社員がクラウドサービスを利用する際の利便性を損なわないための対策が求められています。そこで導入されはじめたのが、CASBです。これにより、企業はクラウドサービスの利用状況を把握して適切に制御でき、企業が定めるセキュリティポリシーを適用できます。
SWGとの違い
SWG(セキュアWebゲートウェイ)によって通信制御を行うことで、CASBの機能を実現できないかという考え方もあるでしょう。たしかに、SWGを経由することにより、インターネット上の脅威からユーザーを保護できます。
しかし、SWGによって、CASBと同様の機能を実現するのはむずかしいでしょう。
SWGでクラウドサービスからのアクセスを制御する場合、送信元のIPアドレスやURLをもとに判別を行います。そのため、通信制御ならできるかもしれませんが、クラウドサービスの機能ごとの制御、ユーザーの管理権限による制御の振りわけなどを行うことは困難です。
一方、CASBを活用すれば、そのような細かい設定ができる機能も利用できます。
CASBの代表的な4機能
CASBの代表的な機能は、以下の4つです。ここでは、これらの機能についてご説明します。
①可視化
社内で社員がいつ、誰が、どこから、どのクラウドサービスを利用しているのかが記録されます。さらに、どのようなファイルをやりとりしているのかなど、詳細な状況まで可視化できるCASBサービスも存在します。この機能により、社内でのクラウドサービスの利用状況を可視化することが可能です。
クラウドサービスの利用状況を可視化することで、有効なセキュリティ対策につながります。
②コンプライアンス
社内で定められた、セキュリティポリシーに違反するクラウドサービスの使い方を検知した場合、ポリシーに従って制御できます。たとえば、利用を認めていないクラウドサービスへの通信の遮断、リスクがあるサービス利用時のアラート通知などが可能です。
企業が定めたルールに従って、クラウドサービスが利用されているかを管理できるので、コンプライアンス違反が起こるのを防げるでしょう。
③データセキュリティ
企業が定めたセキュリティポリシーに違反する、データのもち出しなどの動作を検知して制御できます。企業の機密情報の情報を定義する、または学習させることが可能なので、情報漏洩対策として精度が高いといえます。
このようなデータセキュリティの機能を活用すれば、クラウドサービスから、企業の機密情報や個人情報などの流出を防ぐことが可能です。
④脅威検知
クラウドサービスにアクセスする際にマルウェアが潜んでいた場合、これを検知して対処する機能もあります。マルウェアを検知したらすみやかに隔離し、マルウェア感染の被害を食い止めます。
さらに、共有アカウント利用、大量のデータダウンロードやデータのコピーなど、不審な行動を検知して制御することも可能です。これにより、従業員によるデータの社外もち出しなどの内部犯行を防ぎます。
CASBを導入するメリット
CASBを導入すると、企業にとってどのようなメリットがあるのかをご紹介します。
セキュリティレベルが向上する
上記でご説明したとおり、企業が認めていないクラウドサービスを従業員が利用する、シャドーIT問題に対応できます。
セキュリティレベルが低いクラウドサービスの利用や、リスクのある使い方などをすることで、企業に大きなセキュリティリスクが生じます。クラウドサービスから機密情報が漏洩してしまうと、企業にとって大きな損害が発生するでしょう。
CASBを活用すれば、誰が、いつ、どのようなクラウドサービスを使ったのか、どのような使い方をしたのかを把握できます。また、不正なアクセスや使い方を検知したら、通信の遮断など直接制御することも可能です。
その結果、企業のクラウドサービス利用に関するセキュリティレベルが、大幅に向上するでしょう。
利用状況を確認・分析できる
CASBを活用することで、従業員によるクラウドサービスの利用状況を確認し、それらの情報を詳しく分析できます。これにより、コンプライアンス違反や不正行為を発見しやすくなり、企業を内部犯行から守ることが可能です。
働き方の多様化に対応しやすくなる
クラウドサービスをセキュアに利用できる環境になれば、リモートワークなどの多様な働き方にも対応できます。リモートワークに、クラウドサービスは欠かせない存在です。CASBの活用によって、働き方の多様化を実現しやすくなるでしょう。
CASBを導入する際の注意点
CASBを導入する際の注意点について、ご説明します。導入時の製品選びや環境整備などを行う際に、参考にしてみてください。
リアルタイムで監視できるとは限らない
CASB製品によっては、リアルタイムに監視や制御ができない場合もあるため、注意が必要です。製品によって機能が異なり、場合によっては求めるセキュリティレベルを担保できない可能性もあります。そのため、自社のセキュリティポリシーにあった製品を選ぶことが重要です。
ほかのソリューションと組み合わせたセキュリティ対策が必須
CASBは、クラウドサービス利用の可視化や、制御が可能なセキュリティソリューションです。しかし、なぜセキュリティの脅威が発生したか、原因の究明には対応していない場合もあります。
セキュリティレベルをより向上させるためには、必要な機能を備えたほかのソリューションも組み合わせる必要があります。たとえば、サイバー攻撃の検知、分析、対応を行えるソリューションとして、SIEM、XDRなどです。
自社に必要なセキュリティ対策を検討し、用途にあった機能をもつソリューションを組み合わせることをおすすめします。
CASB製品を選ぶ際の注目ポイント
CASB製品には、さまざまなものがあります。自社にあった製品を選ぶために、確認すべきポイントについてご説明します。
導入要件
CASBを導入するにあたり、何を求めているのか、何を優先したいのかという導入要件を明確にします。CASB製品は数多く存在し、さまざまな機能や価格帯のものがあるため、要件を決めておけば製品を絞り込みやすくなるでしょう。
すべての要件を満たすことはむずかしいので、優先順位を決めておくことをおすすめします。
自社運用かアウトソーシングか
自社で運用するか、他社に運用を依頼するアウトソーシングを選ぶかも重要です。
自社運用の場合、クラウドサービスの利用状況を自社で監視して対処を行う必要があります。自社に十分なスキルをもつ社員がいるなら、自社で対応可能です。
自社に対応できる社員がいない、レベルの高いセキュリティ対策をしたいという場合は、専門会社にアウトソーシングをするのがよいでしょう。ある程度のコストはかかりますが、得られる効果は高いです。
関連サービスについて
実装方法
CASBを導入する際には、以下の3種類の実装方法から選ぶことになるでしょう。ここでは、これらの代表的な実装方法について、簡単にご説明します。
API型
クラウドサービス側が提供しているAPIで、情報を収集する方法です。契約中のクラウドサービスの情報のみを把握でき、従業員の利用状況やアクセス状況などを確認できます。
ただし、契約していないクラウドサービスについては対象外なので、注意しましょう。
プロキシ型
通信経路にCASBを設置して、監視や制御を行う方法です。この方法は、さらにエージェントを置くかどうかで、以下の2種類にわかれます。それぞれの構成と制御できることは異なるため、目的にあった方法を選ぶ必要があります。
・フォワードプロキシ
端末側にエージェントを設置して、通信をすべて転送する。会社が利用を許可していないクラウドサービスへのアクセスを検知可能。
・リバースプロキシ
エージェントを置かない。端末側からクラウドサービスに直接アクセスし、SAML連携で転送する。会社が利用を許可していない端末から、会社が契約しているクラウドサービスにアクセスすることを制御できる。
ログ分析型
アクセスログを分析することで、クラウドサービスの利用状況を可視化する方法です。会社が許可していない、または信頼度の低いクラウドサービスへのアクセス状況を把握できます。
ゲートウェイと連携することで、不正アクセスを遮断できる製品もあるので、必要に応じて導入を検討してみてください。
サポート体制
自社でCASBを導入する場合は、不具合や更新状況の確認、問い合わせ対応などのサポート体制が十分かを確認する必要があります。利用中にツールに不具合が発生した場合など、問い合わせがスムーズに行えないのは問題です。具体的に、どのようなサポート体制になっているかを確認しましょう。
専門会社にアウトソーシングをする場合は、どの範囲まで対応してもらえるのか、報告頻度はどれくらいかなどを確認する必要があります。求めるサポート範囲と価格を比較し、自社にあったサポート体制の会社を選んでください。
導入にかかる工数・期間
CASBを導入する際に、どれくらいの工数や期間がかかるかも確認しましょう。導入時の社内への影響範囲も、確認する必要があります。一気に全社に導入できない場合は、段階導入も検討した方がよいでしょう。
自社の業務やシステムを止める必要があるのかなど、導入時の影響を洗い出しておくことをおすすめします。
まとめ
CASBとは、従業員のクラウドサービスの利用状況を監視し、セキュリティ対策を行うためのソリューションです。企業が認知していないクラウドサービスを従業員が利用することにより、企業の機密情報の漏洩などが発生することを防ぎます。
SHIFTでは、CASBの導入をはじめとした、セキュリティソリューションの導入を承っております。お客様の環境にあったセキュリティ製品の導入や運用などを専門家が対応いたしますので、お気軽にご相談ください。
>>セキュリティソリューション導入支援のページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
-
- セキュリティ
暗号化とは?仕組みやアルゴリズムの種類、メリット・デメリットを解説
2024.03.25
詳しく見る
-
- セキュリティ
Basic認証とは?仕組みやメリット・デメリット、設定方法について解説
2024.03.25
詳しく見る
