Cloud Access Security Broker:キャスビー
クラウドサービスの利用に対する情報セキュリティのコンセプト。ユーザー(組織)と複数のクラウドサービスプロバイダーの間に単一のコントロールポイントを設け、クラウドサービスの利用状況を可視化/制御し、一貫性のあるセキュリティポリシーを適用するサービス。
CASBのメリット
シャドーITの可視化と、クラウドサービスの利用に対して社内ルールに則した利用の制限をシステム的に実現することが可能。社員の業務効率や利便性を損なわずに、あらゆるクラウドサービスの利用に対して一貫したセキュリティの提供が可能。
クラウドサービスの利用は現在も急速な広がりを見せています。特にSaaS(Software as a Service: ソフトウェアをサービスとして提供する分野)の利用は中小企業だけでなく大企業でも活発化しており、クラウドファーストの考え方は現代社会に根付いたものと言えます。
こうしたクラウドサービスの利用拡大は、組織が管理すべきITツールの増加も意味しており、管理方法も複雑化しています。クラウドサービスはインターネット上に構築されたものであり、サービス基盤そのものの管理は、サービスを提供する事業者によって行われます。つまり監視ツールやアクセス制御ツールによる既存の業務システムと同じような管理ができないことを意味しています。
その結果、本来組織として利用を許可していないクラウドサービスが利用されてしまう「シャドーIT」のリスクが高まっています。組織はこうしたリスクを排除し、セキュリティインシデントの発生を回避する必要があります。
そこで有効なのが「CASB(Cloud Access Security Broker:キャスビー)」です。2012年に提唱され、クラウドサービス市場が拡大し続ける現代において、欠かせない情報セキュリティ対策ソリューションとなっています。
本ブログではCASBについて解説します。
CASBとは
CASBは、2012年に提唱されたクラウドサービス利用に対する情報セキュリティのコンセプトです。キャスビーやキャズビーと呼称します。
CASBを導入することで、組織のクラウドサービスの利用状況の可視化や、利用に対する制御を実現することができます。
CASBの基本的な考え方
CASBの基本的な考え方としては、「ユーザー(組織)と複数のクラウドサービスプロバイダーの間に単一のコントロールポイント(ハブ)を設けて、クラウドサービスの利用状況の可視化と、一貫性のあるセキュリティポリシーを適用する」ことです。つまり、クラウドサービス利用時にCASBによるチェックを必須とすることでセキュリティを担保します。
多くの組織でシャドーIT問題(組織のIT管理者が想定していない、もしくは利用を許可していないクラウドサービスを、無断で利用されている状況)が顕著化しています。シャドーITを放置するとセキュリティレベルは大幅に低下し、情報漏えいによる多大な損失を受ける可能性が高まります。このような状況を回避しつつ、業務効率や利便性を損なわないようクラウドサービスの利用状況を可視化し、一貫性のあるセキュリティポリシーによる制御を実現するのがCASBです。
従来のセキュリティ対策との違い
CASBが提供する機能は基本的に、4つに大別されます。
- 「クラウドサービスの利用状況の可視化と分析」
- 「セキュリティポリシーの準拠監査やクラウドサービス利用の制御(コンプライアンスとコントロール)」
- 「データ持ち出しのチェック/ブロック(データセキュリティ)」
- 「脅威の検出/防御」
これらの機能はCASB特有のものではありません。次世代ファイアウォールなど既存のセキュリティ製品やネットワーク製品でも同様の機能が提供されるケースもあります。
CASBが従来のセキュリティ製品と決定的に異なる点は、クラウドサービス利用のセキュリティ強化に特化しており「あらゆるクラウドサービス利用に対して共通ルールによる一括制御ができる」こと、そしてこの一括のルールに加えてクラウドサービス個別に「きめ細やかなデータセキュリティ/制御を簡単に設定できる」ことです。個別のセキュリティ制御のためには、個々のサービスに特化した設定が必要です。例えば通信の制御をセキュアWebゲートウェイ(SWG)で実行する場合、送信元のIPアドレスや通信先のURLカテゴリを判定しなければいけません。
既存製品や、クラウドサービス側の機能を活用し、クラウドサービスが持つ特定の機能を、特定の権限を有した利用者に対してどの操作を許可するか、といった詳細な制御設定を行うことは困難です。CASBでは、このようなきめ細かな設定を簡単に行うことが可能になります。
CASBが持つ4つの特徴
可視化と分析
組織で利用されているすべてのクラウドサービスを検出し、その利用状況を可視化することができます。クラウドサービスごとの安全基準にもとづいたリスク評価を実施する製品が多くあります。
クラウドサービスの利用状況として、利用しているクラウドサービスや、それらに対する利用時間、利用頻度だけではなく、特定の業務ファイルのアップロードやダウンロードのような詳細なアクティビティまで可視化できるものもあります。
コンプライアンスとコントロール
あらゆるクラウドサービスの利用に対して、単一のセキュリティポリシーによる一元的な制御を実現します。
利用が禁止されているクラウドサービス宛の通信の遮断や、リスクの高いクラウドサービス利用時のアラート通知、利用状況の把握のために通信の復号化チェックなどをおこなうことができます。
また、クラウドサービスが適切なルールや規則に従って利用されているか管理することも重要です。コントロールの一環として、様々なベンチマークやコンプライアンスに準拠しているか判定できます。コンプライアンス違反があった場合、ログイン制御によるアカウント保護を行う機能を提供出来るものもあります。
データセキュリティ
組織が保有している機密情報を定義する、もしくは学習させることにより、精度の高い情報漏えい対策を実現できます。
接続元のロケーションや、ウイルス対策状況、接続対象となっているファイルに含まれる情報などの複数の条件からデータの持ち出し制御をおこなうことも可能です。
より細かな制御実現のためにDLP(Data Loss Prevention/情報漏洩対策)機能を組み合わせて提供するものや、他のDLP製品と連携出来るCASBソリューションもあります。
脅威の検出/防御
利用しているクラウドサービスへの通信に潜むマルウェアを検知し、隔離します。また、共有アカウントの利用や、データコピー、大量のデータダウンロードといった内部不正の可能性がある異常な挙動も検知できるものもあります。
代表的なCASBの導入方式
CASBの導入方式は複数あり、セキュリティ要件やクラウド利用環境に応じた方式を選ぶことができます。ここでは、代表的な4つの方式を解説します。
| API連携方式 | インライン(エージェント)方式 | インライン(エージェントレス)方式 | ログ分析 | |
|
特徴 |
クラウドサービス上の存在するデータや操作などを直接モニタリングできる | エージェント経由で通信を集約し、場所を問わずに利用することができる | ネットワーク経路上で通信を分析することでリアルタイムの監視と制御を実現 | ネットワークに影響を与えずに導入でき、通信の可視化を実現できる |
| 適用場所 | クラウドサービス | クライアント | ネットワーク | ネットワーク/システム |
| メリット | データやクラウドサービス上での操作や振る舞いを見ることが可能。APIで連携するため既存構成のまま導入が容易にできる | リアルタイムに制御が可能。デバイスごとにデバイスごとに細かな制御ができる。IT資産管理機能と同時に提供される場合もある | リアルタイムに制御が可能。エージェントを導入できない機器やシャドーITも同時に検出できる場合もある | 既存構成を変えずに導入することができる。エージェントが導入できない端末を含めて通信の可視化を行うことができる |
| デメリット | 対応しているクラウドサービスのみ利用できる。クラウドサービスによって取得可能な情報粒度が異なる場合がある | 専用のソフトウェアを配布する必要があり、バージョン管理や端末ごとの対応など運用負荷が上昇する | 暗号化通信の場合、一度通信を復号化して検査を行う必要があるため、機器が高額になりやすい | 実施できるのは可視化だけで、リアルタイムの制御はできず、事後の情報しか取得できない。 |
1.API連携方式
API連携方式は、各クラウドサービスが提供するAPIを利用し、クラウド環境のデータやアクティビティを監視・制御する方式です。
特徴:
- クラウドサービスのデータや操作を直接モニタリング可能
- 非常に細かな制御が可能で、クラウドサービス上のデータや権限管理に強みがある
- ユーザー側でネットワーク構成を変更する必要がないため、導入が比較的容易
適用例:
- SaaS(Software as a Service)アプリケーションの利用状況を監視したい
- データ漏洩防止(DLP)や権限管理、クラウドサービス上での挙動を基にした不正アクセス等の検出をしたい
2.インライン(エージェント)方式
インライン(エージェント)方式は、ユーザーのデバイスに専用のソフトウェアをインストールし、ソフトウェアからゲートウェイ機器などに通信を集約し、クラウドサービスへのアクセスを制御する方式です。
特徴:
- クライアント毎の細かいポリシーを適用可能
- 導入にはデバイスへのエージェント配布が必要になる
- ネットワークや場所に依存せずに導入ができる
適用例:
- リモートワーカーや出張など様々な場所で働く人が多い
- デバイスごとの細かなアクセス制御を実現したい
3.インライン(エージェントレス)方式
インライン(エージェントレス)方式は端末からクラウドサービスへの通信経路上でCASBを経由させることにより、リアルタイムの監視・制御を実現する方式です。UTMやSWG、Proxyなど様々な方法で実現することが可能です。
特徴:
- エージェントなしでトラフィックをリアルタイムに監視・制御が可能
- ユーザーがクラウドサービスにアクセスする際、ポリシーに基づいた動的な制御が可能
- ネットワーク構成やクライアントデバイスの設定変更が必要な場合がある
適用例:
- 不適切なファイル共有や外部からのアクセスをリアルタイムに制限したい
- 社内で承認していないクラウドサービスの利用状況の監視と制御を行いたい
4.ログ分析方式
ログ分析方式は、企業内に設置されたFWやUTMなどのゲートウェイ機器にCASBを設置し、アクセス先を監視する方式です。
特徴:
- ネットワークに影響を与えないため、シビアな環境に導入できる
- エージェントの導入や設定が施せない端末を含めて可視化できる
- ゲートウェイ機器と連携して、該当URLのアクセス制限を行う
適用例:
- クラウドサービスの利用状況の可視化
- シャドーITの利用分析
これらの特徴を踏まえて最適な方式を選択する必要があります。必ずしも単体で実現する必要はないため、複数の方式を組み合わせて、総合的にCASBを実現する場合もあります。
CASB製品の選定ポイント
組織を取り巻く情報セキュリティの重要性が高まる今日では、多様なCASB製品が提供されています。CASB製品を選定する際には、自社のクラウド利用状況やセキュリティ要件に基づき、以下のポイントを重視することが重要です。
1. 対応クラウドサービス
CASB製品が対応しているクラウドサービスの範囲を確認して、組織が利用しているクラウドサービスに対応しているかを確認することが重要です。
- 主要なSaaSアプリケーション(例:Microsoft 365、Google Workspace、Salesforceなど)に対応しているか
2. 導入および運用のしやすさ
製品の導入や運用を無理なく対応可能であるかも重要です。
- 既存のネットワーク構成に与える影響
- API連携やプロキシ型、エージェント型などの導入方式の選択肢
- 管理画面の操作性やレポート機能の充実度
3. スケーラビリティとコスト
将来的な拡張性や運用コストも重要な検討材料です。
- ライセンス体系(ユーザー単位、トラフィック量単位など)が最適であるか
- 拡張に伴う追加費用が明確か
4. 規制対応と監査機能
業界規制やコンプライアンス要件への対応が求められる場合、それに適合した機能が提供されているかを確認します。
- GDPR、HIPAA、PCI DSSなどの規制への対応状況
- 監査ログの出力やレポート機能の精度
5. ベンダーや販売店のサポート体制
製品導入後のサポートやトラブルシューティングが適切に行えるかも重要です。
- 導入時の技術支援やトレーニングの有無
- レポートや月次定例などによる運用状況などの報告の有無
- トラブル発生時の対応スピードやサポートチャネル(電話、メール、チャットなど)
課題を明確化し、これらのポイントを比較検討することで、最適なCASB製品を選定することが可能です。
NVCがおすすめするCASB製品
Forcepoint ONE Cloud Access Security Broker (CASB)
Forcepointが提供する「Forcepoint ONE」は、オールインワンのクラウドネイティブ セキュリティ プラットフォームです。組織で利用されるあらゆるデバイスに一貫した脅威保護と DLP を適用して、マルウェアの防止と機密データの保護を行います。
Forcepoint ONE
Web、クラウドアプリ、プライベートアプリに対してDLP、脅威防御、アクセス制御を含むポリシーを単一の管理画面(Single Pane of Glass )で管理します。
Forcepoint ONEのCASBは次のような特徴があります。
- Agentless端末の保護:独自のSSO統合により、AgentlessでもCASBを経由し制御
- 専用ライセンスや導入方法が難しいクラウドアプリ側でのIP制限ではなく、SSOによりCASB側でアクセス制御(IP認証・端末認証)を実施。
- 上記アクセス制御によりAgent導入ができない端末にも個別のポリシーを適用。
例:社外端末、モバイル端末、IDを知っている攻撃者端末、私用端末、パートナー端末等。 - アクセス後もリアルタイムで機密データのアップロード、ダウンロードを監視
- API制御:ゲートウェイ型・Inline型では検知できない以下のリスクを軽減
- ルール違反により外部共有されたファイルの共有権限削除
- クラウドストレージ内の感染ファイルを隔離(オプションでCrowdStrikeによる検査も可能)
- 個人フォルダの機密情報のコピーを特定フォルダに保存し、ユーザーへ注意喚起
これらを活用することで、組織のクラウドセキュリティ強化、情報資産保護、ガバナンス強化、ゼロトラスト促進を実現することが可能です。
この記事に関するサービスのご紹介
Forcepoint ONE
Forcepointは、以下のソリューションコンセプトを掲げ、セキュリティをシンプルにすることで、管理者の運用負荷を下げ、ユーザーのビジネスを止めずに、内部不正や外部からのセキュリティ攻撃を阻止します。
詳細はこちらCato SASE Cloud ─Cloud Access Security Broker (CASB)
Cato Networks社が提供する「Cato SASE Cloud」は、クラウドネイティブなSASEソリューションです。世界中の拠点・データセンター・リモート・モバイルのネットワークとセキュリティを一括管理することが可能です。
CASB機能をオプションとして選択でき、統一された管理画面でクラウドサービスの利用状況を可視化し、接続先クラウドサービスへのアクセス制御も提供します。 CASBだけではなく、その他のセキュリティオプションも自由に組み合わせることでコストを抑えながら、確実にクラウドセキュリティの強化とSASEを実現させます。
この記事に関するサービスのご紹介
Cato SASE Cloud
Catoのクラウドネイティブアーキテクチャは、SD-WAN、グローバルプライベートバックボーン、完全なネットワークセキュリティスタック、およびクラウドリソースとモバイルデバイスのシームレスなサポートを統合します。
詳細はこちらまとめ
皆様の組織でも、シャドーIT問題は解決すべき重要な課題の1つとなっているのではないでしょうか。
昨今では、CASB単体のソリューションはもちろん、クラウドゲートウェイソリューションの1機能として提供されるものも増えてきています。弊社取り扱いソリューションとして、Forcepoint社の提供するForcepoint ONE、Cato Networks社の提供するCato SASE Cloudがございます。ぜひ、ご興味のある方はご連絡いただければ幸いです。
Cloud Access Security Brokers (CASB)とは?
~なぜ必要なのか、何ができるのか徹底解説~
クラウドサービスのセキュリティ強化ツールの一つであり、クラウドサービスの利用状況の把握と管理を行うCloud Access Security Brokers (CASB)をご紹介します。
- クラウドサービスの利用状況の現状
- クラウドサービス利用のリスクとその対策
- loud Access Security Brokers (CASB) とは
- CASBのメリットと課題
