便利な一方、セキュリティーリスクを伴うクラウドサービス

多くの企業で、クラウドサービス（SaaS）が導入され、社内の情報を社外のシステムで管理する例が増えています。メールやオフィスツール、ファイル共有、顧客情報管理（CRM）といったソフトウェア はクラウド化が進んでいます。

総務省の「令和元年通信利用動向調査」では、企業がクラウドサービスを利用する割合がはじめて6割を超え、そのうち8割以上が導入の「効果があった」と回答しています。

テレワークを含めて、働き方の多様化が進む中、どこにいてもオンラインで情報共有がしやすいクラウドサービスの利用は今後も増えていくでしょう。

 

企業がクラウドサービスを利用する上で、セキュリティーポリシーの遵守は欠かせません。しかし、個人向けと企業向けの双方が提供されているクラウドサービスでは、従業員が個人向けアカウントに社内の情報を保存してしまった結果、意図せずに機密情報を社外の人へ開示してしまうといったリスクがあります。

また、情報システム部門の許可を得ずにユーザー部門が勝手にクラウドサービスを契約してしまい、後からセキュリティーポリシーに準拠していないことが発覚するケースも起こり得ます。

クラウドサービス利用時のセキュリティーを担保するCASB

この状況に対し、クラウドサービスを管理する製品・サービスとしてCASB（キャスビー。Cloud Access Security Broker）が誕生しました。

CASBは2012年に米調査会社ガートナーが提唱した考え方で、会社が許可しないクラウドサービス（シャドーIT）へのアクセス対策に加え、会社が許可したクラウドサービス（サンクションIT）についても不適切な利用にならないための対策を含みます。

会社と複数のクラウドサービスとの間に単一のコントロールポイントを設け、クラウドサービスの利用状況を可視化／制御することで、統一したセキュリティーポリシーを適用させる仕組みです。

つまり、クラウドサービス利用時にCASBを経由させることにより、セキュリティーを担保できるようになります。

 

CASBの機能と実装方法

CASBを導入することで、クラウドサービスの便利さを損なわず、企業のセキュリティーポリシーを遵守した運用が可能です。

CASBの４つの機能

CASBにはセキュリティーを担保する４つの機能があります。

可視化

クラウドサービスでのアップロードやダウンロードといった操作を記録します。どの部署の誰が何を利用しているのかを把握し、情報漏えい のリスクを軽減するのが目的です。会社が許可していないクラウドサービスについても、データのやり取りを把握するのに有効です。

コンプライアンス

利用するクラウドサービスが安全性の高い認証機能や暗号化といったセキュリティーポリシーを遵守しているかどうか監査を行います。

データセキュリティー

キーワード等で機密性の高い情報を識別し、該当するデータをクラウドサービスに保存する際には、アラートを表示したり、アクセス制限や共有制限をかけたりします。DRM（デジタル著作権管理）や電子透かしの機能も含まれます。

脅威防御

クラウドサービスから侵入する可能性があるマルウェアやランサムウェアを検知し、他のセキュリティー対策と連携して、サイバー攻撃から企業のシステムを守り

 

CASBの実装方法

CASBではいくつかの実装方法があります。それぞれにメリット、デメリットがあるので、それらを考慮して導入を検討するとよいでしょう.

１：プロキシ型

認可済みのクラウドサービスへのアクセス、あるいは全てのインターネット通信を特定のゲートウェイに集約し、通過するトラフィックを監視する方法です。通信内容まで管理する必要がある場合はこの方法がよいでしょう。デメリットとして、ゲートウェイが動かなくなってしまうと、すべてのクラウドサービスが利用できなくなる可能性が挙げられます。

２：ログ分析型

通信経路にあるファイアーウォールやプロキシのアクセスログを分析します。他の方式に比べ、導入は容易です。デメリットとして、通信内容を検査できないこと、単体ではアクセス制御が行えないことが挙げられます。アクセス制御については、URL単位でアクセス制御を実施するURLフィルタリング製品で補完するとよいでしょう。

３：API型

クラウドサービスが提供するAPIを使い、詳細なアクセス制限やデータ保護を実施する方法です。APIを提供しているクラウドサービスに利用が限られますが、管理作業を効率的に行えます。

クラウドサービスのセキュリティーを高める方法として提案されたCASBに対し、以前からオンプレミス環境で似た機能を提供していた仕組みとしてSWG（Secure Web Gateway）が知られています。SWGは、望ましくないサイトへの訪問を制御するためにURLごとにセキュリティーポリシーを適用したり、アンチウイルスの機能を提供したりするシステムです。CASBとSWGを組み合わせて利用すれば、セキュリティー管理のさらなる強化が期待されます。

 

CASBの運用監視を含めたサービスに注目が集まる

CASBはクラウドサービスの利用を監視し、セキュリティーポリシーの徹底を図り、セキュリティーリスクの低減をします。

CASBの導入企業が増加しつつある一方、ネットワークや端末側での設定が必要であるため、セキュリティー要員不足などの原因からCASBを十分に運用できないケースもあります。

 

CASBの導入から運用監視までをサービスとして提供する企業が増加しつつあります。しかし、CASBは発展途上の分野であり、サービスも各種あります。

目的にあった機能が提供されているか、新しいクラウドサービスへ迅速に対応されるか、CASB提供企業のセキュリティー対策が十分かなどの点が選定のポイントになるでしょう。