CASBとは何か?基本を解説

CASBとは何か?基本を解説

 2019.12.26  株式会社ネットワークバリューコンポネンツ

クラウドサービスは現在も急速な広がりを見せています。特にSaaS(Software as a Service: ソフトウェアをサービスとして提供する分野)は中小企業だけでなく大企業でも利用が活発化しており、もはやクラウドファーストは現代社会において根付いたものと言ってよいでしょう。

しかし、クラウドサービスの利用範囲が広がるにつて、従来、社内のIT管理のみで良かったのに管理範囲が拡大、複雑化すると言う問題も顕著化していますし、管理者が意図してないクラウドサービスの利用が横行するシャドーITのリスクが高まります。企業はそれらのリスクを排除し、セキュリティインシデントの発生を回避する必要があるのです。

そこで有効なのが「CASB(Cloud Access Security Broker:キャスビー)」と呼ばれる製品/サービスです。これは米ガートナーが2012年から提唱しているものであり、クラウドサービス市場が拡大し続ける現代において欠かせない情報セキュリティ対策ソリューションとなっています。本稿ではCASBについて解説していきますので、ぜひ参考にしてください。

CASBとは?

CASB(Cloud Access Security Broker)」は2012年に米ガートナーが最初に提唱したクラウドサービスに対する情報セキュリティのコンセプトです。一般的に「キャスビー」と呼称します。基本的な考え方としては、「ユーザー(企業)と複数のクラウドプロバイダーの間に単一のコントロールポイントを設けて、クラウドサービスの利用状況を可視化/制御することで、一貫性のあるセキュリティポリシーを適用する」ことです。サービス利用においてインターネットを経由する際にCASBを経由させることでセキュリティを担保することができるようになります。

多くの企業でシャドーIT問題(企業のIT管理者が想定していないクラウドサービスなどを、社員が勝手に利用している状況)が顕著化しています。シャドーITが横行すると企業のセキュリティレベルは大幅に低下し、情報漏えいなどが発生しやすくなり企業は多大な損失を受ける可能性があります。こうした状況を回避しつつ、社員の業務効率や利便性を損なわないように、一貫性のあるセキュリティポリシーを適用しながらクラウドサービスを利用できるようにするのがCASBです。

従来のセキュリティ製品との違い

高いセキュリティを確保するための製品/サービスは多種多様に提供されています。「それらの基本的なセキュリティ製品を導入すれば、クラウドサービス利用環境も安心なのでは?」という意見もあるでしょう。しかし、そうではありません。

資料ダウンロード

CASBが提供する機能は基本的に、「クラウドサービスの利用状況の可視化/制御」、「アクセス権限の監視」、「データ持ち出しのチェック/ブロック」、「セキュリティポリシーの準拠監査」、「脅威の検出/分析/防御」といった4つに大別されます。これらの機能は、CASB特有のものではなく、次世代ファイアウォールなどでも同様の機能が提供されているケースがあります。

CASBがそうした従来のセキュリティ製品と決定的に異なる点は、SaaS環境のセキュリティ強化に特化しており、「きめ細やかなデータセキュリティ/制御を簡単に設定できる」ことです。クラウドサービスできめ細かなセキュリティ制御を実施する場合は、サービスごとに特化した定義を実施しなければいけません。そうした制御をSWG(Secure Web Gateway)で実行する場合、送信元のIPアドレスや通信先のURLカテゴリを判定しなければいけません。ところが、SWGでクラウドサービスが持つ特定の機能を、特定の権限を有した利用者に対してどう操作を許可するか、といった設定を行うのは非常に困難となります。CASBでは、そうした設定を簡単に行うことができ、かつダッシュボードで簡単に確認できます。

<CASBが持つ4つの特徴>

  • 可視化/分析
    社内で利用されているすべてのクラウドサービスを検出/可視化し、製品ごとの安全基準にもとづいてリスクを評価。サービスの利用やアップロード/ダウンロードといったアクティビティも可視化することが出来ます。
  • コントロール
    通信のブロック、アラート、暗号化などの制御を一元的に実行し、1つのセキュリティポリシーで複数のクラウドサービスをコントールすることが出来ます。
  • データセキュリティ
    会社が保有している機密情報を定義することにより、キーワードや多数の識別方法で精度の高い情報漏えい対策を実施し、クラウドサービスに保存されているデータを自社の暗号キーで暗号化することが出来ます。。
  • 脅威防御
    クラウドサービスに隠れるマルウェアを検知し、隔離する。また、共有アカウントの利用や、データコピー、大量のデータダウンロードといった異常を検知することが可能です。

Forcepointによるクラウドセキュリティの強化

本稿では、CASBとして非常に評価が高いだけでなく世界中で利用されているForcepointについてご紹介します。

まずその沿革からご紹介しますと、1994 年アメリカで NetPartner 社として誕生し、1999 年 Websense へ社名変更した後、2015年5月にWebsense, Inc. と米防衛大手のRaytheon Company のサイバーセキュリティ部門であるRaytheon Cyber Productsが事業統合し、Raytheon|Websenseに名称変更し、2016年1月にMcAfee社のファイアウォール製品事業を統合し、Forcepointに社名を変更しています。さらに、2017年2月にImperva, Inc. よりCASBソリューションのskyfence事業を買収し、同年8月にUEBA(User and Entity Behavior Analytics)ソリューションのRedOwl Analytics, Inc. を買収しています。

Forcepointは、20年にわたるセキュリティに関する最前線の経験、プロアクティブでコンテキストベースのテクノロジー、データ中心のセキュリティ統合ソリューションにより、世界中の20,000を超える政府機関や企業に対して、より優れた意思決定と人的ポイントでのより効率的なセキュリティを実現して参りました。

その中で、Forcepoint CASBの特徴は、

  • 用途により選べる構成:フル機能(見える化+アクセス制御)のForcepoint CASBにはフォワードプロキシ型、リバースプロキシ型いずれの構成も選べます。見える化機能のみで良い場合にはクラウドとのAPI接続のみで実現できます。
  • Ping, Centrify, Okta, SecureAuth, OneLogin, Microsoft ADFSなどとのSAML連携が可能です。
  • Forcepointポリシーエンジンは、誰が、何を、どのように、どこで、を明確に設定することができます。ポリシーでは、分析エンジンを使用して導き出される「典型的な(動き)」および「異常な(動き)」ということが定義されます。Forcepoint CASBが時間の経過とともに学習し、「典型的な(動き)」と定義します。
  • Forcepoint CASBは、動作(ユーザーが行うこと)と影響(ユーザーがアクセスできること)を分析して、個々のユーザーのリスクスコアを計算します。これらのスコアにより、セキュリティ強化の優先順位が一目で把握できます。
  • ダッシュボードおよびインターフェイスでは、ユーザーのクラウドアクティビティを直感的な操作で分かりやすく表示します。管理者はユーザーの全体的かつ詳細な動作を簡単に調査できます。
  • 標準的なビジネス向けのクラウドアプリケーションだけでなく、IaaSやPaaSの管理者権限ユーザーのアクティビティをコントロールします。
  • Forcepoint CASBは、Forcepoint Web CloudやForcepoint DLPなどとシームレスに統合することができます。

いかがでしょうか?CASBソリューションを検討される際は、ぜひForcepointにご注目ください。また、NVCではForcepointの提供を開始しました。ぜひ、ご興味のある方はご連絡いただければ幸いです。

Forcepoint CASBカタログ

RECENT POST「コラム」の最新記事


CASBとは何か?基本を解説

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧