CASBとは?
Cloud Access Security Broker:キャスビー
クラウドサービスの利活用に対する情報セキュリティのコンセプト。ユーザー(企業)と複数のクラウドサービスプロバイダーの間に単一のコントロールポイントを設け、クラウドサービスの利用状況を可視化/制御し、一貫性のあるセキュリティポリシーを適用するサービス。
CASBのメリット
シャドーITの可視化と、クラウドサービスの利用に対して社内ルールに則した利用の制限をシステム的に実現することが可能。社員の業務効率や利便性を損なわずに、あらゆるクラウドサービスの利用に対して一貫したセキュリティの提供が可能。
クラウドサービスの利用は現在も急速な広がりを見せています。特にSaaS(Software as a Service: ソフトウェアをサービスとして提供する分野)は中小企業だけでなく大企業でも活発化しており、もはやクラウドファーストは現代社会において根付いたものと言ってよいでしょう。
こうしたクラウドサービスの利用拡大は、管理者が管理すべきITツールの増加も意味しており、それらの管理方法も複雑化しています。クラウドサービスは社内ネットワーク外に構築されたものであり、そのサービス基盤そのものの管理はサービスを提供する事業者によって行われます。つまり監視ツールやアクセス制御ツールによる既存の業務システムと同じツールによる管理ができないことを意味しています。その結果、管理者の管理下にない本来会社として利用を許可していないクラウドサービスが利用されてしまう「シャドーIT」のリスクが高まっています。企業はそれらのリスクを排除し、セキュリティインシデントの発生を回避する必要があるのです。
そこで有効なのが「CASB(Cloud Access Security Broker:キャスビー)」と呼ばれる製品/サービスです。これは2012年から提唱されているものであり、クラウドサービス市場が拡大し続ける現代において欠かせない情報セキュリティ対策ソリューションとなっています。
本ブログではCASBについて解説していきますので、ぜひ参考にしてください。
CASBとは
CASBは、2012年に米ガートナーが最初に提唱したクラウドサービスの利活用に対する情報セキュリティのコンセプトです。「Cloud Access Security Broker」の略称であり、キャスビーやキャズビーと呼称します。
CASBをクラウドサービスアクセス時のハブとしてインラインで導入することで、クラウドサービスの利用状況の可視化や、制御を実現します。
昨今ではAPI連携でクラウドサービスのベストプラクティスチェックやストレージ内のファイルチェック、ログのチェックから設定管理とセキュリティチェックを行うCSPM(Cloud Security Posture Management)ソリューションも近しいセキュリティ対策製品として出てきています。広範なクラウドサービスの利用制御と可視化のためのCASBと、特に業務に深く利用しているクラウドサービスのセキュリティ強化のためのCSPMといったような違いがあります。
CASBの基本的な考え方
CASBの基本的な考え方としては、「ユーザー(企業)と複数のクラウドプロバイダーの間に単一のコントロールポイントを設けて、クラウドサービスの利用状況の可視化と、一貫性のあるセキュリティポリシーを適用する」ことです。クラウドサービス利用時には必ずCASBを経由させることでセキュリティを担保することができるようになります。
多くの企業でシャドーIT問題(企業のIT管理者が想定していない、もしくは利用を許可していないクラウドサービスを、社員が無断で利用している状況)が顕著化しています。シャドーITが横行すると企業のセキュリティレベルは大幅に低下し、情報漏えいによる多大な損失を受ける可能性が高まります。こうした状況を回避しつつ、社員の業務効率や利便性を損なわないように、組織内で利用されているクラウドサービスの把握と適切な利用の制御、そして一貫性のあるセキュリティポリシーを適用するのがCASBです。
従来のセキュリティ対策製品との違い
高いセキュリティを確保するための製品/サービスは多種多様に提供されています。「それらの基本的なセキュリティ対策製品を導入すれば、クラウドサービス利用環境も安心なのでは?」という意見もあるでしょう。しかし、そうではありません。
CASBが提供する機能は基本的に、「クラウドサービスの利用状況の可視化と分析」、「セキュリティポリシーの準拠監査やクラウドサービス利用の制御(コンプライアンスとコントロール)」、「データ持ち出しのチェック/ブロック(データセキュリティ)」、「脅威の検出/防御」といった4つに大別されます。これらの個々の機能は、CASBソリューション特有のものではなく、次世代ファイアウォールなどの既存のセキュリティ対策ソリューションやネットワーク製品でも同様の機能が提供されているケースもあります。
CASBがそうした従来のセキュリティ製品と決定的に異なる点は、クラウドサービス利用のセキュリティ強化に特化しており、「あらゆるクラウドサービスに対して共通ルールによる一括制御ができる」こと、そしてこの一括のルールに加えてクラウドサービス個別に「きめ細やかなデータセキュリティ/制御を簡単に設定できる」ことです。クラウドサービスできめ細かなセキュリティ制御を実施する場合は、サービスごとに特化した定義を実施しなければいけません。
例えばそうした制御をセキュア Webゲートウェイ(SWG)で実行する場合、送信元のIPアドレスや通信先のURLカテゴリを判定しなければいけません。ところがクラウドサービスが持つ特定の機能を、特定の権限を有した利用者に対してどう操作を許可するか、といった詳細な制御設定を行うことは困難です。CASBでは、そうした設定を簡単に行うことができ、かつダッシュボードで確認できます。
CASBが持つ4つの特徴
可視化と分析
社内で利用されているすべてのクラウドサービスを検出し、その利用状況を可視化することができます。クラウドサービスごとの安全基準にもとづいたリスク評価を実施するものも多いです。
クラウドサービスの利用状況として、利用しているクラウドサービスや、それらに対する利用時間、利用頻度だけではなく、特定の業務ファイルのアップロードやダウンロードのような詳細なアクティビティまで可視化できるものもあります。
コンプライアンスとコントロール
利用するあらゆるクラウドサービス宛の通信に対して、単一のセキュリティポリシーによる一元的な制御を実現します。
利用を禁止されているクラウドサービス宛の通信の遮断や、リスクの高いクラウドサービス利用時のアラート通知、利用状況の把握のために通信の復号化チェックなどをおこなうことができます。
また、クラウドサービスが適切なルールや規則に従って利用されているか管理することも重要です。コントロールの一環として、様々なベンチマークやコンプライアンスに準拠しているか判定できます。コンプライアンス違反があった場合、ログイン制御によるアカウント保護を行う機能を提供するものもあります。
データセキュリティ
会社が保有している機密情報を定義する、もしくは学習させることにより、精度の高い情報漏えい対策を実現できます。
また、接続元のロケーションや、ウイルス対策状況、また接続対象となっているファイルに含まれる情報などの複数の条件からデータの持ち出しの制御をおこなうことも可能です。より細かな制御実現のためにDLP(Data Loss Prevention/情報漏洩対策)機能も同時に提供するものや、他のDLP製品と連携するようなCASBソリューションもあります。
脅威の検出/防御
利用しているクラウドサービスへの通信内に潜むマルウェアを検知し、隔離します。また、共有アカウントの利用や、データコピー、大量のデータダウンロードといった内部不正の可能性がある異常な挙動も検知できるものもあります。
おすすめのCASB製品
Forcepoint ONE Cloud Access Security Broker (CASB)
Forcepointが提供する「Forcepoint ONE」は、オールインワンのクラウドネイティブ セキュリティ プラットフォームです。組織で利用されるあらゆるデバイスに一貫した脅威保護と DLP を適用して、マルウェアの防止と機密データの保護を行います。
Forcepoint ONE
Web、クラウドアプリ、プライベートアプリに対してDLP、脅威防御、アクセス制御を含むポリシーを単一の管理画面(Single Pane of Glass )で管理します。
Forcepoint ONEのCASBは次のような特徴があります。
- Agentless端末の保護:独自のSSO統合により、AgentlessでもCASBを経由し制御
- 専用ライセンスや導入方法が難しいクラウドアプリ側でのIP制限ではなく、SSOによりCASB側でアクセス制御(IP認証・端末認証)を実施。
- 上記アクセス制御によりAgent導入ができない端末にも個別のポリシーを適用。
例:社外端末、モバイル端末、IDを知っている攻撃者端末、私用端末、パートナー端末等。 - アクセス後もリアルタイムで機密データのアップロード、ダウンロードを監視
- API制御:ゲートウェイ型・Inline型では検知できない以下のリスクを軽減
- ルール違反により外部共有されたファイルの共有権限削除
- クラウドストレージ内の感染ファイルを隔離(オプションでCrowdStrikeによる検査も可能)
- 個人フォルダの機密情報のコピーを特定フォルダに保存し、ユーザーへ注意喚起
これらを活用することで、組織のクラウドセキュリティ強化、情報資産保護、ガバナンス強化、ゼロトラスト促進の実現することが可能です。
この記事に関するサービスのご紹介
Forcepoint ONE
Forcepointは、以下のソリューションコンセプトを掲げ、セキュリティをシンプルにすることで、管理者の運用負荷を下げ、ユーザーのビジネスを止めずに、内部不正や外部からのセキュリティ攻撃を阻止します。
詳細はこちらCato SASE Cloud ─Cloud Access Security Broker (CASB)
Cato Networks社が提供する「Cato SASE Cloud」は、クラウドネイティブなSASEソリューションです。世界中の拠点・データセンター・リモート・モバイルのネットワークとセキュリティを一括管理することが可能です。
CASB機能をオプションとして選択でき、統一された管理画面でクラウドサービスの利用状況を可視化し、接続先クラウドサービスへのアクセス制御も提供します。 CASBだけではなく、その他のセキュリティオプションも自由に組み合わせることでコストを抑えながら、確実にクラウドセキュリティの強化とSASEを実現させます。
この記事に関するサービスのご紹介
Cato SASE Cloud
Catoのクラウドネイティブアーキテクチャは、SD-WAN、グローバルプライベートバックボーン、完全なネットワークセキュリティスタック、およびクラウドリソースとモバイルデバイスのシームレスなサポートを統合します。
詳細はこちらまとめ
いかがでしょうか?皆様の組織でも、シャドーIT問題は解決すべき重要な課題の1つとなっているのではないでしょうか。
昨今では、CASB単体のソリューションはもちろん、クラウドゲートウェイソリューションの1機能として提供されるものも増えてきています。弊社取り扱いソリューションとして、Forcepoint社の提供するForcepoint ONE、Cato Networks社の提供するCato SASE Cloudがございます。ぜひ、ご興味のある方はご連絡いただければ幸いです。
現在受付中のセミナー・イベント
サイバー攻撃対策の新常識!攻撃を受けるリスクを減らすための予防対策を解説!
本ウェビナーでは、新しいCTEMの考え方を紹介するとともに、最近注目を集めている3つの領域、公開IT資産の適切な監視や管理を行うためのASM、クラウド資産の適切な監視や管理を行うためのCNAPP/CSPM、そして組織が保持するデータの適切な監視や分類を支援するDSPMについて概要を解説します。