COMWARE PLUS プラス・サムシングを大切なお客さまへ

メールマガジンのご登録
マルチクラウド時代に適したセキュリティー対策「CASB」とは?
マルチクラウド時代に適したセキュリティー対策「CASB」とは?
ポスト
        
        

この記事のPDFをダウンロードする

セキュリティーの専門家がクラウド利用を勧めるケースがあります。セキュリティー対策に十分な人材や予算をかけられない場合、自社でサーバーを運用するよりも、SaaSなどのクラウドサービスを利用した方が安全な場合があるためです。一方昨今では、一つの企業がいくつものクラウドサービスを導入・活用したり、部署ごとに異なるクラウドサービスを活用しています。しかし、異なるクラウドサービスのセキュリティーレベルを一定に保ち、管理することは困難であるとの指摘も挙がっています。そこで注目されているのが、複数のクラウドサービスの安全な運用を可能にするソリューション「CASB(Cloud Access Security Broker)」です。

クラウドサービスの混在によって高まるセキュリティーリスクへの対処は?

総務省が公表している「情報通信白書(平成28年度)」によると、クラウドサービスを利用している企業の割合は年々増えています。2015年末の時点で何らかのクラウドサービスを利用している企業は4割を超えて44.6%に達し、金融業界や大企業でもクラウドサービスの導入が進んでいるという傾向が読み取れます。

中でも注目すべきは、より広範囲な用途でクラウドサービスが浸透してきた点でしょう。主な利用サービスの上位には、電子メールやファイル共有・保管のサービスが挙げられるものの、サーバー利用が42.9%、社内情報共有・ポータルが36.8%に達しているように、これまでイントラネット上に構築していたシステムのクラウド化も進んでいます。

一方クラウド利用が広がるにつれて浮上したのが、セキュリティーへの懸念です。代表的な例は、機密ファイルや個人情報の入ったファイル、業務に関係ないファイルがクラウド上に保管されてしまう問題でしょう。

手軽さから利用が拡大しているストレージサービスなどのパブリッククラウドは、自由度が高く便利な故に、公開範囲や共有範囲の設定を誤るなど、ちょっとした操作ミスで公開してはいけないファイルが共有されてしまうこともあります。さらにマルウェアに感染したファイルをクラウドにアップロードしてしまい、社内、社外で共有などすれば、感染被害を広げてしまうことにつながります。

クラウドの活用においては、「シャドーIT」対策も必要です。シャドーITとは、情報システム部の関与しない形で勝手にIT機器やクラウドサービスが業務に利用されることで、ガバナンスやセキュリティーの面から問題視されています。

適切に管理されていない個人所有の端末で、会社のクラウドやパブリッククラウドサービスに業務利用で接続すれば、会社の情報などが個人端末に保存され、情報漏えいなどのリスクが高まります。しかし、BYOD(Bring Your Own Device:個人所有のデバイスを業務に利用すること)が注目されていたように、近年のワークスタイルの多様化を考えると一概に禁止しにくい面もあり、セキュリティーをどのように担保するかは大きな課題でした。

151_img01.jpg

さらにパソコン、スマートフォン、タブレットというように利用端末の台数や種類が増えれば、社員が使うクラウドサービスやアプリの管理が行き届かなくなりがちです。またいろいろな種類の端末からクラウドサービスを利用する状況になれば、クラウドサービスやアプリの管理の負担もそれだけ重くのしかかるでしょう。アプリ管理やデバイス管理のソリューションはありますが、ソフトウェア資産を把握できていないと、脆弱(ぜいじゃく)性の管理、インシデント発生時の対処、原因究明が困難になります。

なにより問題なのは、クラウドサービスやアプリごとに「セキュリティーレベル」や「サービスレベル」が一定ではないため、企業として統一したセキュリティーポリシーの徹底が難しい状況が生まれることです。

企業におけるクラウド利用において、ガバナンスと利便性の両立は最大の課題といえます。特に異なるセキュリティーポリシーのサービスが併用された場合、セキュリティーの強度はもっとも脆弱なポイントのレベルに押し下げられてしまいます。つまり、せっかくセキュリティー対策に投資をしても、安易なクラウド利用によって台無しにされてしまうかもしれないのです。

複数のクラウドサービスに統一したセキュリティーポリシーを適用できる「CASB」とは

クラウド利用に伴う課題において、主にマルチクラウドのセキュリティーポリシー対策、シャドーIT問題として注目されているのが「CASB(Cloud Access Security Broker)」です。複数のクラウドサービスに対して、一定のセキュリティーポリシーを適用できるソリューションで、ガートナーが2012年にその概念を提唱したことで、海外では広く知られるようになりました。

具体的には、企業が導入、活用している複数のクラウドサービスに対して、「認証/シングルサインオン」や「アクセス制御」、「データ暗号化」、「ログ取得」、「マルウェア対策」「DLP(Data Loss Prevention:情報漏えい対策)」など、自社が必要と考えるセキュリティーポリシーを一律に適用するサービス、ソリューションのことです。

図1:マルチクラウドの推進に寄与できるCASB

151_zu01.gif

CASBを利用することで複数のクラウドサービスに対してセキュリティーポリシーを一律で適用できる
(図の右側はゲートウェイ型のCASBの一例)

CASBの提供形態は、クラウドサービスとユーザーの端末の間に入るゲートウェイサーバー(プロキシ型)、パブリッククラウドをAPI経由で管理するAPIサーバー(API型)、パソコンなどの端末にインストールするエージェント(エージェント型)などがあります。

CASBの考え方自体は新しいものではありませんが、ビジネスでのクラウド利用が一般化するにつれ、CASBへのニーズも高まり、2016年ごろから国内市場向けにCASBソリューションが投入されるニュースを目にするようになりました。2016年にはガートナーが「情報セキュリティ・テクノロジ トップ10」を発表していますが、そのなかでCASBは重要技術の筆頭に挙げられました。

グローバルにおけるCASB市場は急成長しており、欧米を中心にCASBへ参入するベンダーも増加しています。主だったセキュリティーベンダー、アプライアンスベンダーもCASBソリューションを用意しています。

従来は、会社でクラウドサービスを利用する際、セキュリティーポリシーに準拠した利用を実現するために新たなセキュリティー機能を追加したり、ポリシーに合わないサービスを排除したりするなど、システム側での対応を必要としていました。しかし、CASBを導入して、統一したセキュリティーポリシーを担保する方が現実的な対策ではないかという認識も徐々に広がっています。

特にシャドーITの問題は、ポリシーで禁止したとしても、強制することが難しいのが現状です。ポリシー違反をするユーザーがたとえ一部の例外であっても、そのわずかな見落としが重大なセキュリティーインシデントを引き起こすケースもあります。「わが社ではクラウド利用そのものを禁止しているから……」では、組織を守れない現実を認識すべきでしょう。

次ページ CASBの中核をなす四つの機能

ポスト

事例紹介

スマートフォン用リンク

エバンジェリストが語るICTの未来

スマートフォン用リンク

ページトップへ

トップへ