情シスのかたち

powered by gin

CASBとは?従来品との違いや仕組み、メリット・機能を広く解説!

product

CASBという新しいセキュリティソリューションをご存知ですか?昨今のクラウドの普及に比例して非常に注目を集めているセキュリティ対策の一つです。本記事で基礎から分かりやすく解説していますので、是非ご覧ください。

CASBとは?

キャスビーと呼ぶCASB(Cloud Access Security Broker)は、2012年にアメリカのガードナー社が提唱したセキュリティソリューションです。CASBはユーザーとクラウドサービスの間に位置し、クラウドサービスの利用状況の可視化や制御、不審な動きをするマルウェアの検知機能を備えており、セキュリティ被害を未然に防ぎます。

クラウドサービスは、使用する場所や利用するデバイスを問わないといった点に特徴がある反面、情報流出へのセキュリティ対策が非常に難しい課題となっています。特にオフィス外でのデバイス機器の利用時に安全性を保ちつつ、Webサイトやアプリケーションを利用する際の利便性をいかに両立させるかといった部分が課題でした。

脆弱性のあるアプリケーションや信頼性の低いWebサイトを利用したことでの情報流出、安全性が確立されていない無料のWi-Fiスポットでデバイス機器を利用することで、第3者からのハッキングといったリスクがあるからです。CASBには、マルウェアや脅威が自社システムへ侵入する前と侵入後の機能を共に備えている点が、ポイントになります。

日本国内でもCASBを導入する企業が急増しており、2018年には国内のCASB市場で売上金額が約12億円を記録しました。現在、大企業だけでなく中小企業でもクラウドサービスを利用する企業が増えてきたこともあり、今後数年間でさらにCASBの導入の加速化が予想されています。

クラウドサービスの情報漏洩対策におけるポイント

第3者への情報流出をいかに防ぐかがポイントになります。自社で用意したサーバーにデータ保存をしていたオンプレミスと異なり、クラウドサービスを利用する場合は、クラウドサービスを提供している企業のサーバーに自社データを預けます。

インターネットを経由してデータを利用するため、ネットワークに脆弱性がある場合は、オンプレミスでの運用時より第3者に情報流出する可能性が高くなります。そのため、CASBを提供しているベンダー選びが重要です。多くの企業で実績を挙げている点や導入で得られる効果、製品のスペックなどが評価するポイントになります。

現在CASBの市場をリードしているベンダーは、McAfeeSymantec、Netskopeの3社が3大ベンダーとして認知されています。CASBを導入する場合は、まずこの3社の製品から選定を始めると良いでしょう。

もう1点はセキュリティ対策の考え方の変化が必要です。働き方の多様化によって、社外からアクセスする機会が多くなりました。従来はいかに「ウイルスやマルウェアの侵入を防ぐか」といった考えが主流でしたが、それでは現在の多様化するサイバー攻撃に対応できません。

ファイルレス・マルウェアランサムウェアといった、予兆が無くウイルスソフトにかかりにくいサイバー攻撃が脅威となっているからです。また、スマートフォンタブレット、IoT機器の登場など人々が利用できるデバイス機器も増加しており、全ての端末でセキュリティ対策を万全にするには、多大なコストや労力が必要になります。

全てのマルウェア不正アクセスを検知して、侵入を防ぐことは困難です。そのため、マルウェアや脅威の侵入を全て防ぐといった対策ではなく、いかに素早く検知し対応するかといった考えに、セキュリティ対策が変わりつつあります。つまり、「マルウェアや脅威に侵入をされる」前提でのセキュリティ対策です。

その点、デバイス機器やユーザー利用状況の可視化や脅威検知など、システムの侵入前と侵入後でも高度に対応できる機能を持つ、CASBの必要性が高まっています。

CASBと従来のセキュリティ製品の違い

Web Filterの限界

Web Filter(ウェブフィルター)は、信頼性の低いWebサイトや業務上関係ないWebサイトへのアクセスを制限し、アクセスをブロックする機能です。信頼性の低いWebサイトへアクセスすることで発生する情報漏洩のリスクを防ぎます。Web Filterには3種類の方式があり、特徴を下記にまとめました。

デメリットとしては、セキュリティ性を強化しようとすると利便性が失われる点です。ホワイトリスト方式やカテゴリフィルタリング方式は、閲覧を許可したWebサイト以外は閲覧できないため、情報流出のリスクは大幅に減少します。しかし、社員にとっては、業務上必要な関連事項の情報を調査することができません。

結果、業務の生産性や利便性が落ちます。さらに、IT部門の管理者にとっては、カテゴリー分類やWebサイトの閲覧許可の見極めが必要であるため、非常に手間がかかります。

方式内容デメリット
ブラックリスト方式
  • ブロックするWebサイトをリスト化して、一切のアクセスをブロック
  • 管理者の負担が大きい
  • 全てのサイトをカバーすることは不可能
 
ホワイトリスト方式
  • 閲覧許可を出したWebサイト以外は、アクセスできない
  • 汎用性が落ちる
  • 業務上必要な情報を取得できない
  • 手間がかかる
カテゴリフィルタリング方式
  • Webサイトの種類によって、アクセスを制限 例えば、「ギャンブル」「暴力」「アダルト」などカテゴリーごとに分類して、業務用不要なWebサイトはアクセスをブロック
  • データベース精度が低いと、有害なWebサイトへのアクセスを遮断できない
 

 

シャドーIT経由での情報漏洩

内部からの情報流出に高い関連性があります。シャドーITは、企業や組織で許可されていないアプリケーションやクラウドサービスを自分の私物であるスマートフォンやPCを使って、業務で利用することです。

よくあるケースとしたら、LINEやGmailの利用が挙げられます。例えば、カフェやファミリーレストランで作業を行っていた場合、第3者にメッセージやデータを見られるリスクや盗難や紛失にあった場合での情報流出の可能性が十分に考えられます。

そして、最近では取引先や経営者になりすましたビジネスメール詐欺やフィッシング詐欺といった、メールでのサイバー攻撃も増えてきました。顧客情報や企業の機密情報が流出すると、莫大な経済損失と多大な社会的信用を失います。セキュリティ意識の甘さによる個人の行動一つで、企業の経営は一気に厳しい状態になります。許可されていない端末の私的使用やクラウドサービスの利用は避けましょう。

CASBを実現する4つの仕組み

APIモード

APIは(Application Programming Interface)の略語で、特定の機能を持つソフトウェアやアプリケーションの共有と連携を図ることです。例えば、グーグルマップのAPIを利用して飲食店のWebサイトに地図を載せたり、FacebookTwitterなどのSNSAPIを利用することで、自身の運営するWebサイトの記事との連携ができます。

APIモードは、アプリケーションやWebサイトへのアクセス制限やデータ保存に関しての制限を加えることで、セキュリティ性を確保します。つまり、安全性が確認できれば過度なアクセス制限やデータの保存の禁止などをしないため、ユーザーにとっては利便性を失うことなく操作が可能です。

フォワードプロキシ

個々のPCの代理で、内部システムから外部のWebサイトにアクセスをする際に経由します。例えば、企業や高校、大学といった高いセキュリティ性が求められるような場所で利用されます。外部からの通信を遮断できるため、不正アクセスサイバー攻撃などから個々のPCを守ることが可能です。

フォワードプロキシのメリット

  • 個々のPCを外部のアクセスから保護
  • フィルタリング機能を使うことで、特定のWebサイトへのアクセスをブロック
  • キャッシュ機能による通信の高速化

リバースプロキシ

クラウド側のWebサーバーの前に位置し、外部からのアクセスを代理で受けます。Webサーバーへのアクセスを防ぐことができ、アクセス内容を検査・制御することが可能です。 ファイアウォール機能も備えているため、不審なアクセスやマルウェアを検知した場合は攻撃を遮断できます。現在、利用数が急増しているアプリケーションやWebサイトへのシングルサインオンでも対応しており、サーバー側で認証する必要がないといったメリットも得られます。

リバースプロキシのメリット

  • セキュリティ性を確保
  • Webサーバーの負担軽減
  • キャッシュによる通信の高速化

エグジスティングプロキシ

既存のプロキシからログを取得します。 取得したログをCASBベンダーが解析を行い、ユーザーが解析結果を見て改善点や現状を把握します。 必要性があれば、ベンダーと改善案を決めてください。

CASBのメリット・機能

利用状況の可視化

社内で利用されている全てのクラウドサービス(SaaS/IaaS/Webアプリ)の利用状況を可視化できるため、内部不正による情報漏洩や不正アクセスマルウェアの侵入を防ぎます。 「どのユーザーが」「いつ」「どのデバイスで」「どのアプリケーションやWebサイトを閲覧して」「どのようなアクションを起こしたか」といった、ユーザーの一連の行動を監視可能です。

例えば、業務上不必要なアプリのダウンロードや信頼性の低いWebサイトを閲覧していないかといった、近年急増しているシャドーITのリスクとなる原因を未然に防ぎます。 社員側は常に行動を監視され、不審な行動をするとすぐに管理者に通知されます。企業としては、セキュリティへの高い意識付けや情報管理の徹底といった部分を意識させることができるでしょう。

IaaS

IaaS(Infrastructure as a Service)は、サーバーやストレージ、CPUなどのネットインフラをクラウド上で利用できるサービスです。「必要なときに必要な分を使える」IaaSは、ネットインフラをオンプレミスで運用する状況と比べ、コスト面や運用が遥かに楽になります。追加したい機能や削減したい機能のカスタマイズも自由に行えるため、ユーザーにとって柔軟性が高いサービスです。

反面、全て自らが選択するためOSやハードウェア、ネットワーク関係の知識が豊富な人材がいないと、適切な商品を選べません。また、オンプレミスでの運営よりもデータ流出の可能性が高まるため、万全のセキュリティ性を確保する必要が求められます。

SaaS

SaaS(Software as a Service)は、クラウド上で提供されるソフトウェアサービスになります。利用頻度が高いソフトウェアとしては、Gmailヤフーメールといったメールソフト、企業の売上やマーケティングなどで活用するシステムであるSalesforceが挙げられます。インターネット経由でソフトウェアを利用できるため、ユーザーはすぐに利用できる点がメリットです。反面、カスタマイズ性が低く、自由度の高いシステムを希望する方には向いていません。

脅威防御

マルウェアランサムウェアの検知と隔離、不審な動きをするアクセスを検知することで、内外部でのサイバー攻撃や情報流出を未然に防ぎます。信頼性の低いWebサイトへのアクセス制限やアプリケーションへのログインも禁止することができ、情報漏洩やサイバー攻撃から身を守ることが可能です。

コンプライアンス

クラウドサービスの信頼性や安全度をチェックする機能です。自社が定めているコンプライアンスやルールに反している場合は、サービスの使用を禁止することで、自社システムをマルウェアや脅威から守ります。

他にも認証機能やDDoS攻撃への耐性、適切で厳格なデータ保護がされているかといったことも確認できます。社員個人や部署間による単独判断によるクラウドサービスの利用を防ぐことが可能です。

データ保護

データ保護の機能の一部を表にまとめました。企業にとって非常に価値のある機密情報や顧客データ、技術情報などを守るための重要な機能です。特に専門性やオリジナリティの強い機密情報や技術データは、流出して悪用されると多大な経済的損失になります。

データ保護の機能が充実しているCASB製品を選ぶようにしましょう。

機能効果
内容
  • データやファイルの暗号化
  • データ改ざんの検知
  • 機密情報やファイルへのアクセス制限や共有制限
  • 公開範囲の設定
 
  • 情報流出対策
  • 内部不正の防止