シャドーITの防止に役立つ「CASB」を活用したクラウドセキュリティ対策とは

シャドーITの防止に役立つ「CASB」を活用したクラウドセキュリティ対策とは

働き方改革によって自由な働き方が広がる中、クラウドサービスを活用する企業が増えています。インターネット経由でさまざまな業務を行えるクラウドサービスは、働く場所や時間にとらわれない働き方をするうえで有効なツールといえます。しかし同時に、会社が許可していない個人の端末や外部サービスを勝手に利用するシャドーITなどのセキュリティリスクに対してきちんと対策をする必要があります。今回はクラウドセキュリティ対策として注目されるCASB(キャスビー)に着目し、その役割や導入メリットなどを解説します。

1.CASBとは

CASBとは、米調査会社のガートナー社が2012年に提唱した概念で、「Cloud Access Security Broker(クラウド・アクセス・セキュリティ・ブローカー)」の頭文字を取ったものです。ガートナー社によると、CASBとは自社のデータをサードパーティのクラウドサービスで取り扱うにあたり、運用上生じるセキュリティなどの課題に対処するためのソリューションです。CASBはデバイスとSaaS(Software as a Service)の間に設置し、利用状況の可視化や利用制御を行うことでセキュリティリスクを低減します。主に次の4つの特長を柱としてセキュリティリスクをコントロールします。
ここでは、CASBの基本的な機能について紹介します。

クラウドサービス利用状況の可視化

「いつ」「どの端末で」「どのクラウドサービスを使って」「どの従業員が」「どのようなデータ操作を行ったか」を把握する監査的な役割を果たします。これにより企業は、シャドーITを防止することに加え、従業員が信頼度の低いクラウドサービスを利用していないかも把握することができるようになります。

コンプライアンスの準拠

従業員が利用するクラウドサービスが、企業の定めたセキュリティポリシーに合致しているかどうかを判断するためのものです。データの暗号化やアクセス制御によりデータが厳格に保護されているかなどを把握することができます。この機能により、従業員個人もしくは部署単位の安易な判断でトライアルを申し込み、そのまま放置されてしまうといったようなクラウドサービス利用を未然に防ぐことが可能になります。

企業内の重要データの保護

クラウドサービスに保管されるファイルを暗号化し、企業の保有する機密情報を守ります。従業員が利用するクラウドサービスに不正アクセスがあった場合でも、データが暗号化されていれば第三者に重要な情報が漏洩するリスクを低減することができます。また、データの種類に応じて、機密情報へのアクセス・共有制限などの設定を行うこともできるようになります。

不審な振る舞いの検知

マルウェアの検知や、ログインやアクセス回数、ダウンロードのデータ量などの監視により内部不正や外部からの不正アクセスといった不審な振る舞いを検知します。そして、CASBの導入において注目すべきなのは、これらを一元的かつきめ細やかに管理・設定できるということです。さまざまな種類のクラウドサービスを導入すると、セキュリティ対策を実施するシステム管理者の負担も大きくなるため、クラウドサービスを導入する際には、管理者の業務負担や人為的ミスの発生などを想定して対策も検討する必要があります。システム管理者自身がテクノロジーの進化を追いかけてセキュリティ対策を講じていたら、業務過多に陥るのは確実です。CASBはセキュリティレベルの向上を実現するだけでなく、システム管理者が業務過多に陥るのも防ぎます。

CASBの特長

CASBには、従来のセキュリティ対策よりも一歩進んだ次のような特長があります。

クラウド環境に特化
従来のセキュリティ対策は社内環境に焦点を当てていましたが、CASBはクラウド環境特有のセキュリティリスクに対処します。会社が把握していないシャドーITを含め、さまざまなクラウドサービスの利用状況の監視・可視化やリアルタイムにデータ保護などができるという特長があります。

シャドーITについて:
CASBとは?シャドーITとは? | 次世代CASB Forcepoint ONE(旧名称:Bitglass) | 日立ソリューションズ

細やかなアクセス制御が可能
CASBではクラウドサービスに対し、ユーザーやアプリケーション、デバイス、場所など、さまざまな条件で細かなアクセス制御を行うことができます。ユーザーがテレワークなどで社外からクラウドサービスを利用する際にも、会社のセキュリティポリシーに即してリアルタイムで監視し、不必要に機密データをアップロードしたり、会社が許可していないセキュリティ対策が適切に施されていないクラウドサービスを利用したりすることを防止します。

CASBの種類

CASBは、製品によって技術的な実装方法が異なります。ここでは、CASBの代表的な方式である「API型」「プロキシ型」「ログ分析型」の特徴を解説します。

API型
API型は、クラウドサービスが提供しているAPIを利用して情報収集を行いCASB側で見える化を行う方式です。自社が契約しているクラウドサービスを対象に、従業員のクラウドサービスの利用状況やどの従業員がアクセスしているのかなどを把握できます。自社が契約しているクラウドサービス以外は、監視対象外となるため、注意が必要です。

プロキシ型
プロキシ型は、CASBを通信経路に設置してアクセス制御を行う方式で、2種類あります。「フォワードプロキシ」はPCにエージェントを導入し、Webの通信をすべて強制的に転送します。「リバースプロキシ」はエージェントレスで、PCから直接クラウドサービスにアクセスし、SAML(Security Assertion Markup Language)連携により転送を行います。会社が利用を許可していないクラウドサービスへ従業員がアクセスしていないかは、フォワードプロキシで検知が可能です。一方でリバースプロキシは、自社で契約し、許可しているクラウドサービスから社内ネットワークへのアクセスを検査するため、会社未許可の端末から会社契約クラウドへのアクセス制御を実現するのに適しています。

ログ分析型
ログ分析型は、ファイアウォールやプロキシサーバーのログを分析して、クラウドサービスの利用状況を可視化する方式です。分析結果から、会社未許可や信頼度の低いクラウドサービスへのアクセスを検出しますが、製品によってはゲートウェイ機器と連携して不正アクセスを遮断できるタイプも存在します。

CASBが求められている背景

この章では、働き方改革の促進とゼロトラストセキュリティの重要性を踏まえて、CASBの導入が求められている理由を解説します。

働き方改革の促進
すでにCASBの導入を検討し始めている、注目しているという企業のシステム管理者の方も多いかもしれません。その理由の一つとして、働き方改革の推進があるのではないでしょうか。場所や時間にとらわれない柔軟な働き方を採用する企業が増え、それを実現するための手段としてクラウドサービスを活用する動きが拡大していますが、同時に新たなセキュリティリスクが表面化してきています。例えば、暗号化されていない機密情報をクラウドサービスにアップロードし、情報漏洩した例が確認されています。また、従業員がセキュリティ対策の不十分な個人端末を使って会社の管理下にあるクラウドサービスを利用し、その結果、マルウェアに感染した例なども報告されています。
CASBは、クラウドサービスを利用して働き方改革を進める企業にとっては有効なセキュリティ対策の一つと言えるでしょう。

ゼロトラストセキュリティの重要性
新型コロナウイルス感染拡大でテレワークの導入が拡大したことにより、自宅からクラウドサービスを利用するケースも増加しました。社内・社外というセキュリティの境界がなくなったことで注目されているのが「ゼロトラストセキュリティ」です。ゼロトラストセキュリティとは、社内・社外という境界ではなく、ユーザーやデバイス、ネットワーク、アプリケーションの情報をもとに、情報資産にアクセスするものはすべて安全性を検証し、アクセスを許可するという考え方です。クラウドサービスの利用拡大やテレワーク推進により、従業員がクラウド上の業務データへアクセスする場所やデバイスが多様化したことで、ゼロトラストセキュリティの重要性が高まっています。CASBはゼロトラストセキュリティを実現するセキュリティ対策の一つであり、クラウドサービスの安全な利用を支援するソリューションです。

※関連リンク:ゼロトラストセキュリティソリューション

慢性的なセキュリティ人材不足
近年、多くの企業がDXを推進しており、技術革新のスピードが加速しています。それに伴い、従来の環境以外にサイバー攻撃の対象領域が広がり、セキュリティ担当者は日々のセキュリティリスクへの対応がますます増え、人材不足が慢性化していることが課題となっています。クラウドサービスに関しては事業者が一定のセキュリティを提供してはいるものの、データ保護の責任は利用する企業側にあります。そのため、企業側もセキュリティ対策を講じる必要がありますが、セキュリティの専門知識を持つ人材が不足していることから、CASBの需要が高まっています。

2.クラウドサービスのセキュリティリスク

総務省の「クラウドサービス利用上の注意点(*)」によると、セキュリティ上のリスクは以下のとおりです。

クラウドサービスの障害などでデータが消失する

災害やクラウドサービスのサーバー故障などにより、企業内のデータが消失するリスクがあります。そのため、クラウドサービスのみに企業の重要データを保管することは非常に危険です。

サイバー攻撃を受けて外部に情報が漏洩する

万が一クラウド事業者がサイバー攻撃を受けると、預けているデータが外部に漏洩するおそれがあります。また、基本的にクラウドサービスはインターネットを経由して利用するため、情報漏洩のリスクは避けられません。セキュリティ事故が起こると、金銭的な損失や取引先からの信頼低下など、企業の存続に関わるさまざまな被害につながるため注意が必要です。

アカウントを悪用される

マルウェア感染によりクラウドサービスのID・パスワードが流出すると、第三者に不正利用されるおそれがあります。特に、同じIDやパスワードを複数のクラウドサービスで利用している場合、不正アクセスの踏み台となり易く、取引先や関連会社にさらなる被害を引き起こすリスクが高まります。

3. CASBを導入するメリット

CASBを導入するメリットは主に以下の3点です。

自社のコンプライアンスに沿ったセキュリティ運用の実現

CASBでは、利用しているクラウドサービスが自社のセキュリティレベルに適しているかを評価する機能を提供しています。これにより、自社のセキュリティレベルに満たないクラウドサービスの利用を制限でき、コンプライアンスに沿ったセキュリティ運用が可能になります。セキュリティ基準の一貫性を保てるため、セキュリティポリシーの遵守に大いに役立ちます。

シャドーITの防止

シャドーITは会社のセキュリティ基準が守られていないケースが多く、情報漏洩や不正アクセスなどのセキュリティリスクが潜んでいる可能性があります。
CASBでは、シャドーITを含め、従業員のだれが・いつ・どのようなクラウドサービスにアクセスしたかを把握することが可能です。これにより、情報漏洩や不正アクセスなどのセキュリティリスクを早期に発見し、適切な対策を講じられます。
また、ユーザーが利用しているアプリケーションの状況を把握することで、不必要なアプリケーションを特定して削除できます。CASBの導入により、アプリケーションやサービスの利用状況を把握し、無駄なコスト削減の効果も期待できます。

セキュリティ担当者の負担軽減

CASBでは、各クラウドサービスの安全性や危険度を把握できるため、脅威を可視化し、検知をスムーズに行えるようになります。脅威の可視性が高まることで、インシデント対応が容易になり、セキュリティ担当者の負荷や人為的ミスを軽減する効果が期待できます。

さまざまなクラウドサービスとの連携

次世代CASBと呼ばれる最近のCASBソリューションは、さまざまなクラウドサービスと機能の連携が可能です。
例えば、組織のアクセス制御ポリシーをクラウドアプリケーションと連携させ、ユーザーの認証と認可を管理することができます。シングルサインオン(SSO)や多要素認証(MFA)などの機能を活用して、セキュアなアクセスを実現します。
また、Webプロキシと連携することで、ポリシーに沿ったWebフィルタリングやマルウェア対策などを行うことができます。トラフィックの急増にも対応できる伸縮性・柔軟性も兼ね揃えています。

4.CASBのユースケース

ここでは具体的なCASBのユースケースについて紹介します。

テレワークなど柔軟な働き方への対応

テレワークの導入の際にCASBを活用することで、クラウドサービスの利用制御やログの取得、セキュリティポリシーの適用などを一元管理することができます。適切な設定をもとに、企業のセキュリティリスクを最小限に抑え、従業員の利便性を維持しながらスムーズなテレワーク移行を支援することができます。

オンプレミスの業務システムのクラウド移行

利便性の向上やコスト削減を目的に、オンプレミスの業務システムをクラウドへ移行するケースが増えています。しかしその場合、従来のオンプレミス環境に特化したセキュリティ対策ではシャドーITなどカバーしきれない可能性があります。CASBは、クラウド移行の際に直面しがちなアクセス制御や、データ保護、シャドーITの問題など、クラウド環境に特化したセキュリティ対策を効果的に行えるように支援します。

マルチクラウド環境におけるセキュリティポリシーの統一

最近では多種多様なクラウドサービスが登場しており、複数のクラウドサービスを利用するマルチクラウド環境になっている企業が増えています。マルチクラウド環境の課題としては、それぞれのクラウドサービスごとにセキュリティレベルやサービスレベルが一定ではなく、企業としてポリシーの徹底が難しいことにありますが、セキュリティ担当者が各クラウドサービスを把握し、自社のポリシーに合わせた設定を行うにも限界があります。CASBの活用により、セキュリティの提供レベルや機能に差があるクラウドサービスに対し、一定のポリシーのもとで適切な設定を徹底することができます。今まで管理しきれず、やむを得なく使用を禁止していたクラウドサービスも管理できるようになれば、従業員が勝手に個人アカウントでの契約を業務に利用する「野良アカウント」の対策にもつながるでしょう。

5.CASBを利用する際の留意点

CASBを有効に利用するためには、導入前に以下のポイントを押えておくことが推奨されます。

セキュリティポリシーを明確にする

CASBの機能を最大限に活用するためには、セキュリティポリシーを細かく規定することが大切です。特に、以下の項目において、具体的なルールとガイドラインを設定します。

  • クラウドサービスの利用範囲
  • クラウドサービスで扱うデータの範囲
  • クラウドサービスのアカウント権限
  • データのバックアップ方法

これらのセキュリティポリシーを明確にし、内部不正や情報漏洩などのリスクを軽減すれば、組織全体のセキュリティレベルの向上につながります。また、データのバックアップ方法も規定しておくと、データ消失のリスクにも効果的に対応できるでしょう。セキュリティポリシーの策定後は従業員に対して教育やトレーニングを行い、ポリシーを徹底することも大切です。

情報漏洩の原因を追及するためにほかのツールとの併用を検討する

CASBはクラウドサービスの使用状況を可視化できますが、原因の究明には対応していないため、別のツールを利用する必要があります。サイバー攻撃の検知や分析、インシデント対応を実現するツールとしては、SIEM(Security Information and Event Management)やSOAR(Security Orchestration and Automation Response)、XDR(Extended Detection and Response)が適しています。CASBとこれらのツールを組み合わせることで、クラウドサービスの可視化と情報漏洩発生時の原因追跡・解析が網羅的に行えるようになり、迅速な対応が可能になるでしょう。

6.リアルタイムでクラウドサービスを制御、導入もスムーズな次世代CAS

従来のCASBは、クラウドサービスの可視化や利用状況の把握を行うことはできましたが、リアルタイムでの制御は課題となっていました。次世代CASBは、各クラウドサービスを制御する条件や内容を柔軟に設定し、リアルタイムで制御できることが強みの1つになっています。

次世代CASB「Forcepoint」とは

Forcepoint社の次世代CASBは、デバイス種別、場所、アクセス方法などの条件でポリシーに違反する利用を検知し、アクセスを許可/禁止など定義済みのアクションを実行することで、適切な対処が可能です。また、エージェントレスで運用可能なため、従業員が利用するデバイスへのアプリケーションやモジュール追加が不要です。そのため、ユーザーにも管理者にも負担が少なく、導入もスムーズです。200拠点で2万人のユーザーを抱える企業への導入が、2週間で完了した事例もあります。

7.まとめ

企業を取り巻く環境の変化やテクノロジーの進展によって、必要なセキュリティ対策も移り変わっていきます。しかも、それは急速なものです。働き方改革、クラウドサービスの利用拡大による、CASBの需要増大や進化もその代表的な例といえるでしょう。適切なソリューション選択、セキュリティ確保はシステム管理者のみで担いきれるものではありません。自社が置かれている状況を評価し、今必要な情報・ソリューションを提供してくれる専門家の存在が不可欠です。日立ソリューションズでは、セキュリティ状況の把握から導入までを一貫してサポート。お客さまの細かなセキュリティの要望にも対応しています。

この記事に関連するおすすめ製品

次世代CASB Forcepoint ONE(旧名称:Bitglass)

サンクションIT・シャドーITの可視化やクラウドサービス利用状況の把握、リアルタイムでの制御を実現

Netskope

クラウドサービス・Webサイトへのアクセスの可視化、制御をリアルタイムで実現。セキュアな利用を支援

おすすめコラム

「ゼロトラストモデル」とは ―クラウド時代の次世代セキュリティモデル―

クラウドシフトやテレワークの普及によって、従来の「境界防御モデル」ではセキュリティ維持が困難になっています。そこで注目される「ゼロトラストモデル」。なぜゼロトラストモデルが求められているのか、ゼロトラストモデルを実現するために何をすればいいのか、詳しくご紹介しています。

関連コラム

トータルセキュリティソリューション コンテンツ一覧