業務におけるクラウドの活用が進んでいます。しかしシャドーITなどへのセキュリティ対策もセットで行わなければ、情報漏洩などのリスクはなくせません。このような課題への解決策として、CASBが注目を集めています。
CASBとは具体的にはどのような技術なのでしょうか。この記事ではCASBの特徴や選び方、導入事例をまじえて詳しく解説します。
CASBとは
CASB(Cloud Access Security Broker)とは、米ガートナーが2012年に提唱した言葉であり、社員とクラウドサービスとの通信を監視し、外部サービス利用の可視化や制御を実施することで、同様のポリシーを全体に適用できるようにする仕組みのことです。「キャスビー」と呼ばれることが一般的です。
基本的には、企業が活用している複数のクラウドと企業との間に単一のコントロールポイントを設けて、クラウドサービスの利用状況を可視化し制御することで、一貫性のセキュリティポリシーを適用する機能のことを表しています。
従来、クラウドの利用にはシャドーITなどの課題が付き物でした。シャドーITとは、社員が私物のコンピュータやデバイスを業務で利用することを指した言葉です。これは企業のセキュリティレベルを著しく低下させる要因として、多くのセキュリティ管理者の頭を悩ませてきました。
しかしCASBを導入することで、クラウドの利便性を損なうことなく、一定のセキュリティを担保できます。さらに、データを電子媒体に書き込ませないなど、ローカルでのセキュリティポリシー適用と組み合わせれば、さらに高い効果を発揮するでしょう。
CASBの特徴
CASBにはこれから紹介する4つの特徴を持ちます。クラウドサービスを安全に利用するためには、この4つの特徴がセキュリティ対策上、どれも必要不可欠です。
可視化
CASBを導入すると、社員が使用するデバイスとクラウドサービスとの通信を監視できます。例えば、クラウドストレージへのファイルのアップロードとダウンロードなどのユーザーの操作の監視と分析も可能です。
またユーザーごとにクラウドへのアクセス権限の管理も可能となるため、シャドーITの防止策としても活用できます。
コンプライアンス
社員が利用しているクラウドサービスを、企業のコンプライアンスに適合しているかチェックできます。クラウドの使い方についても、企業のポリシーに応じた対応も可能です。CASBでは、クラウドサービスごとのセキュリティレベルをチェックして、業務におけるリスクを表せます。
このように可視化されたリスクは、コンプライアンス策定のための情報として活用可能です。
データセキュリティ
CASBでは、データの種類によって共有権限やアクセス権限を設定できます。データのアップロードやダウンロード、アクセス権限の設定や、管理画面の操作情報など、さまざまな観点でセキュリティ設定が可能です。
特に複数のクラウドサービスを並行して活用する際、それぞれのクラウドの設定を個別に行うのは、非常に手間がかかります。しかしCASBを導入すると、データの公開範囲などの設定を一元的に管理でき、例えばデータの暗号化状況やデータの種類によるアクセス制限も行えるのです。
脅威防御
クラウドにおける、電子デバイスの不審な行動検知やマルウェア検知などを実施します。インターネット上にはさまざまな脅威がありますが、それはクラウドでも同様です。
しかしCASBによる脅威防御によって、これらの脅威からコンピュータやデバイスを保護でき、さらに内部からの情報漏洩リスクも抑えられるのです。
CASBの選び方
CASBとして、さまざまな製品が販売されていますが、自社に導入する際にはどのように選択すれば良いのでしょうか。
CASBで解決したい課題の明確化
まずCASBで解決したい課題を明確にさせましょう。それには自社が、クラウドやモバイルをどのように利用しているのか把握し、必要なセキュリティ対策を洗い出すことから始めるべきです。
クラウドを安全に活用すると言っても、CASBは全ての状況に対応できるわけではありません。また、クラウドでやり取りされている全ての情報を保護する必要もないでしょう。保護すべき情報の見極めと、セキュリティ対策の順位づけが重要です。
解決したい課題を明確にして対応することを意識すれば、CASBを選ぶときの指針となるはずです。
すでに所有している自社製品での対応を考える
CASBの特徴で紹介した、4つの機能はCASBを導入しなくても実現できるものもあります。基本的なセキュリティ機能であれば、クラウドの標準機能でまかなえることもあります。
それでもCASBを導入する理由があるのでしょうか。
CASBが優れている点は、クラウドやユーザー単位での制御を設定できるところです。つまり、そこまでの要件が求められていない場合は、CASBを導入せずとも、既存の仕組みでも対応可能なこともあります。
CASBのシステム要件をチェック
自社のシステムの環境によってはCASBとして機能を提供できない場合もあることに注意が必要です。
CASBには「Proxy型」と「API型」の2つの型に分類できます。
Proxy型のCASBは、自社の環境とクラウドの間にCASBが設置されて、クラウドへの全ての通信はCASBを経由します。一方、API型のCASBは、通信とセキュリティ制御を切り離し、クラウドが提供しているAPIを使って、データの通信や制御を行います。
注意点として、自社で仮想専用回線サービスを使っている場合、Proxy型のCASBは利用できません。自社とクラウドのあいだにCASBを経由させることができないからです。このような環境ではAPI型のCASBのみが利用できます。
費用対効果を考慮する
従業員数の多い大規模企業にとっては、安易にCASBを導入してしまうと、コストが膨れ上がることになる。一般的にCASBはユーザー単位の課金となるからです。大規模企業においてCASBを導入する際には、費用対効果を考慮しなければなりません。
CASBの導入事例
CASBの導入事例を3つご紹介します。
株式会社モリサワの事例
株式会社モリサワは、2015年に全社的にOffice 365を導入し、それをきっかけにクラウドファーストの採用が広まりました。クラウドの導入は各部門の判断に委ねられていましたが、セキュリティリスクの懸念もあり、クラウド利用のルールの整備が急務な状況でした。
しかし人による管理が困難であると判断した同社は、CASBの導入によりクラウドのセキュリティ問題を解決することを決めました。
同社は海外にも取引先があり、それほど有名ではない海外のクラウドも利用していました。そのためCASB製品であるNetskopeの辞書機能を活用しました。これは28,000以上のクラウドをトラッキングし、詳細に評価できる仕組みです。これにより多くのクラウドの安全性を瞬時に評価できるようになりました。
またクラウドでやり取りされる通信をリアルタイムで監視できるため、個人情報を含むファイルのダウンロードなども強制的にブロックできます。さらに完全に規制するのではなく、クラウドの利用時にポップアップ画面を表示させることで、ユーザーの注意喚起も可能です。
株式会社ネクスウェイの事例
極力オンプレミスを持たないというIT戦略を持つ同社は、業務において積極的にクラウドを活用していました。課題となったのが、クラウドの利便性とセキュリティの両立です。そこで同社はCASB製品のNetskopeの導入を決めました。
同社では、これまでのクラウドの利用実績を検討した結果、業務システムの全社基準のクラウドは情報システム部門のルールに基づいて運用し、それ以外のクラウドにはアップロードのみを禁止し、その他は現場の判断で使えるようにしました。
Netskopeの導入により、クラウドへのアクセス履歴やファイルのアップロード・ダウンロードをユーザー別に把握できるようになりました。このような情報を活かして、今後もさらに最適な運用ルール作りを進めていく予定です。
京阪ホールディングス株式会社・株式会社ビオスタイルの事例
株式会社ビオスタイルでは、自社運営のECサイトを持ち、個人情報の適切な管理が大きな課題となっていました。
SaaS型のクラウドを活用したシステムでは、顧客の個人情報もクラウドに保存されてしまいます。そのため、SaaSに対応した個人情報を保護するための仕組みづくりとして、同社は、CASB製品のBitglassの導入を決断しました。
今回の導入にあたり、同社が意識したことは以下の3点です。
- 顧客の個人情報を扱える人を限定すること
- 万が一、データの取り扱いを間違えた場合でも情報の漏洩を防止すること
- セキュリティインシデントが発生したときも後追いできるようにすること
Bitglassの導入は、作業開始からわずか2か月で完了しました。同社では、Bitglassを、さらにほかの業務への導入も検討しています。
まとめ
この記事ではCASBの特徴や導入事例などをご紹介しました。
今後もますますの活用が見込まれているクラウドにおいて、情報を保護するためのセキュリティ対策は欠かせません。とはいえ、強固なだけのセキュリティはユーザーの利便性を損ない生産性の低下の要因ともなります。
利便性とセキュリティ対策を両立させて、賢くクラウドを使うために、CASBの導入は一つの選択肢となるでしょう。
