「CASB」とは?ガートナーが提唱するクラウド活用時代のセキュリティ対策

エンジニアの技術情報
目次

CASBとは何か?

CASB(Cloud Access Security Broker:キャスビー)とはガートナー(Gartner)が提唱した考え方と用語で、同社によると「2020年までに60%の大企業はCASB製品を導入しているだろう」と予測している、クラウドサービス活用時代に注目を集めるセキュリティ製品です。ちなみにCASBは「キャスビー」が正しい呼び方です。

ガートナーはCASBを構成する役割として、「可視化」、「コンプライアンス」、「データセキュリティ」、「脅威防御」という4つの柱を提唱しました。

今日は「CASBとは何か?」、「CASBがなぜ必要なのか?」について考えていきたいと思います。

ガートナー提唱 「CASB」4つの柱
CASBの役割説明
可視化Shadow ITの利用状況とクラウドサービス向けデータフローの可視化
コンプライアンスCISをはじめとする業界標準のベンチマークや社内コンプライアンスの準拠
データセキュリティ情報漏洩対策や不正アクセスからの保護
脅威防御内部脅威や特権ユーザによる不正業務の検知や防御

 

↓クリックで拡大

CASBのイメージ(Infosec)

 

なぜCASBが必要なのか?

日本ではつい最近まで多くの企業でクラウドサービスの利用を禁止、もしくはかなり制限をした上での利用に留めていました。

クラウドサービスの数は年々爆発的に増えており(今や世界中で2万以上といわれています)、企業にとって無視できない有用なクラウドサービスも数多く登場しました。

現在多くの企業で導入しているクラウドサービスとして、O365、Salesforce、AWS、Azureなどが挙げられます。

逆にFacebookやTwitterやDropboxもクラウドサービスの一つに分類されますがが、ユーザが利用できないように制限している企業も多いです。(業務上不要と判断されるクラウドサービスはアクセス制御されることが多い)

 

 

↓クリックで拡大

さまざまなクラウドサービス

 

具体的には社員に利用してほしくないクラウドサービスは、インターネットファイアウォールProxyサーバのURLフィルタリングなどで利用できないように制限しています。

そのような会社として「使っていいクラウドサービス」と、「使ってはダメなクラウドサービス」はどのように選別しているのでしょうか?CASBが必要となった背景と合わせてみていきたいと思います。

 

避けられない企業のクラウドサービス利用拡大

どのような背景でCASBが必要となっているかはクラウドサービスの利用状況をみれば一目瞭然です。下記は総務省の動向調査ですが、企業でのクラウドサービスの利用状況は年々右肩上がりに増えています。

↓クリックで拡大


総務省:通信利用動向調査(平成29年度)

 

クラウドサービスの利用目的をみても、実業務でかなり積極的に利用されています。

つい最近までBOXやDropBoxのようなファイル保管・データ共有のクラウドサービスを企業で利用することはセキュリティ管理上ありえない話でしたが、近年は企業ごとにポリシーを定めて積極的に利用する方向に転換しています。

 

↓クリックで拡大


総務省:通信利用動向調査(平成29年度)

 

このように日本国内のクラウドサービス利用は着実に増加しており、クラウドサービス利用が労働生産性向上に寄与しています。

総務省の動向調査によるとクラウドサービスを利用している企業は、利用していない企業に比べ労働生産性が3割も高いそうです。

 

↓クリックで拡大


総務省:通信利用動向調査(平成29年度)

 

深刻なセキュリティ事故に繋がるクラウドサービスの設定ミス

先に取り上げたとおり、いまやクラウドサービスを積極的に利用することが業務効率に寄与することは周知の事実となりましたが、同時にセキュリティ対策もこれまで以上に気をつける必要がでてきました。

最近はAWSを利用する企業が増えていますが、S3バケットの設定ミスでグローバルに機密情報が漏洩してしまった事故が頻発しています。2017年にはアメリカ軍の極秘状態まで情報漏洩してしまう事故がおきました。

関連情報

米陸軍の極秘情報がAWSで公開状態だったことが発覚

 

情報漏洩事故はアメリカ軍だけに留まらずさまざまな企業で頻発しています。企業がクラウドサービス利用を拡大していく上でデータ漏洩の防止は必須なのです。

関連情報

ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた

 

CASBの要素は「Shadow IT対策」と「Sanctioned IT対策」の2つ

ITの技術ページなどでCASBが紹介される際、CASBはユーザのクラウドサービス利用状況を可視化する機能が特にピックアップされる傾向にあります。ただ、このクラウドサービスの利用状況の可視化は、CASBの中の「Shadow IT対策」機能の一つでしかありません。

ガートナーのCASBを構成する4つの柱の表でも説明した通り、CASBには「可視化」の他に、「コンプライアンス」、「データセキュリティ」、「脅威防御」という機能も含まれています。

まずCASBには「Shadow IT対策」と「Sanctioned IT対策」というコンポーネントがあり、これを完全に分けて理解する必要があります。

 

Shadow IT(許可していないクラウドサービス)とは

 

Shadow ITの主な機能

・クラウドサービス利用状況の可視化
・クラウドサービスのレーティング(安全性評価)
・クラウドサービス利用時の異常行動検知(大量にデータをアップロードしているなど)

CASBのShadow ITとは、企業としてユーザに利用を許可していないクラウドサービスを指します。企業によって制限しているサービスは変わってきますが、たとえばFacebookやTwitterやDropboxの利用を制限している企業も多いです。

CASBのShadow IT対策というコンポーネントは、企業とクラウドサービス提供会社の中間に立ち、「クラウドサービスの利用状況の可視化」、「クラウドサービスの評価(レーティング)」、「異常行動検知」を行うサービスです。

企業では、自社社員がどのようなクラウドサービスを使っているか把握したり、そのクラウドサービスが安全なものかを判断できなければなりません。

Shadow ITでクラウドサービスの利用状況を可視化し、情報システム部の管理者は簡単に現状を把握することができます。また、社員から新規クラウドサービスの利用申請に対して、そのクラウドサービスが安全なのかレーティングすることができます。

netskope_CASB

 

Sanctioned IT(許可しているクラウドサービス)とは

 

Sanctioned ITの主な機能(例AWSの場合)

・コンフィグレーション監査
・特権アクセス管理
・異常検知

 

CASBのSanctioned ITとは、企業として社員に利用を許可しているクラウドサービスを指します。

企業によって許可しているクラウドサービスは変わってきますが、たとえばO365やSalesforceやAWSやAzureの利用を許可している企業があります。

CASBのSanctioned IT対策というコンポーネントでは、社内で許可されたクラウドサービスが実際に安全に利用できているかを管理することができます。

Sanctioned ITはクラウドサービスのAPIを利用するので、利用できるサービスが各社の製品で変わってきます。たとえばMcAfee社が昨年買収して自社製品としたSkyhighでは下記サービスの利用が可能です。

 

McAfee_SanctionedIT

 

まとめ

今回はCASBの機能についてご説明しました。CASBと一言でいっても、Shadow IT対策とSanctioned IT対策があり、それぞれ別の機能として理解する必要があります。

CASB提供会社にもよりますが、Shadow IT対策とSanctioned IT対策でそれぞれ別のサブスクリプションとして提供しており、導入する場合は、具体的にCASBで何をしたいかを明確にする必要があります。

Shadow IT対策とSanctioned IT対策の概要を理解していただいたところで、次回はCASBの構成についてみていきます。

CASB導入時の構成もShadow ITとSanctioned ITで異なりますが、本日の記事でCASBの機能を理解していただければ構成の違いもすぐに理解できるのでご安心ください。

 

[wpap service=”with” type=”detail” id=”4774175218″ title=”Palo Alto Networks 構築実践ガイド 次世代ファイアウォールの機能を徹底活用”]

 

CASBの記事まとめました

当サイトでは、CASBとは?の説明から始まり、CASBの構成、CASBサービスを提供する競合ベンダーの比較、CASBのShadow IT対策とURLフィルタリングの違い、なぜCASBがいまいち売れないのか?について、CASBに関連する記事を連載してきました。CASBについて学びたい方向けに、一から理解できるようにCASBのポイントを網羅しています。

CASBについてまとめた記事数が多くなりましたので、記事の一覧をまとめるとともに、CASBを一から学べるように読む順番をこちらの記事でご紹介します。

 

①「CASB」とは?ガートナーが提唱するクラウド活用時代のセキュリティ対策

本記事です。

 

②CASBの構成を理解する

CASBを導入する際の構成についてまとめています。こちらもCASBのShadow IT対策と、Sanctioned IT対策に分けて構成を説明していますので、それぞれの機能に分けて理解をしていただければと思います。

②:CASBの構成を理解する | フィンテックなう

CASBの構成を理解する

 

③今話題のCASB(Cloud Access Security Broker)市場の主要ベンダーは?

CASBはガートナー(Gartner)が提唱した考え方と用語で、同社によると「2020年までに60%の大企業はCASB製品を導入しているだろう」と予測している、クラウドサービス活用時代に注目を集めるセキュリティ製品です。

こちらの記事では、これから市場拡大が期待されるCASBの提供ベンダーのシェアについてまとめました。製品選定する際に活用してください。

③:今話題のCASB(Cloud Access Security Broker)市場の主要ベンダーは?

今話題のCASB(Cloud Access Security Broker)市場の主要ベンダーは?

 

④「CASBのShadow IT」と「URLフィルタリング」の違いは何か?補完関係であることを理解する

CASBとURLフィルタリングは機能が重複していると思われがちです。実はまだまだ市場でCASBの導入が進んでいない現状がありますが、それはCASBの機能が性格に理解できていないことが要因として挙げられます。

CASBとURLフィルタリングは、セキュリティ機能の中で担う役割が違います。こちらの記事を読んでいただければ、CASBとURLフィルタリングは補完関係(両方導入することにより相乗効果を生む)関係であることがわかります。

④:「CASBのShadow IT」と「URLフィルタリング」の違いは何か?補完関係であることを理解する

「CASBのShadow IT」と「URLフィルタリング」の違いは何か?補完関係であることを理解する

フォローして最新情報をチェック!

エンジニアの技術情報の最新記事4件