目次
CASBとは
CASB(Cloud Access Security Broker:キャスビー)はガートナー(Gartner)社が提唱した考え方と用語で、企業がクラウドサービスを利用する際にユーザの利用状況を可視化したり、利用しているクラウドサービスのリスク評価をしてくれるサービスです。
CASBには大きく分けて「Shadow IT」対策と「Sanctioned IT」対策の2つの機能で構成されています。
本日取り上げるURLフィルタリングとの違いについては、CASBの「Shadow IT」対策との比較にフォーカスして記載します。というのも、URLフィルタリングと近い性質を持っているCASBのセキュリティ機能は、「Shadow IT」対策についてのものだからです。
CASBのもう一方のセキュリティ機能である「Sanctioned IT」対策は、利用を許可しているクラウドサービスのコントロールを基本としているので、URLフィルタリングの機能とは明らかに異なります。
本日は同じような機能と思われやすい「CASBのShadow IT対策」と、「URLフィルタリング」の違いについてまとめます。
↓↓CASBについての基本は下記の記事をあわせて参考にしてください↓↓
CASBのShadow ITとは
CASBの「Shadow IT」対策をおさらいします。
CASBのShadow ITというコンポーネントは、企業とクラウドサービスの中間に立ち、クラウドサービスの利用状況の可視化やクラウドサービスのリスク評価(レーティング)を行うサービスです。
Shadow ITとは、企業として社員(ユーザ)に利用を許可していないクラウドサービスを指します。企業によって制限しているサービスは変わってきますが、たとえばFacebookやTwitterやDropboxの利用を制限している企業が多数存在します。CASBのShadow ITは、FacebookやTwitterやDropboxなどの、会社として利用を許可していないクラウドサービスの利用状況の可視化や、リスク分析をする機能です。
CASBのShadow IT対策の機能により、クラウドサービスの利用状況を可視化し、情報システム部の管理者は簡単にユーザの利用状況を把握することができます。また、CASBのShadow ITによりクラウドサービスの危険性やリスク評価ができるので、社員から新規クラウドサービスの利用申請に対して、そのクラウドサービスが安全なのかを判断することが可能となります。
・クラウドサービス利用状況の可視化
・クラウドサービスのレーティング(安全性評価)
・クラウドサービス利用時の異常行動検知(大量にデータをアップロードしているなど)
URLフィルタリングとは?
URLフィルタリングは、教育上または職務上閲覧することが不適切とされるすべてのWebサイトをフィルタリングし、ユーザが強制的に閲覧できないようにする手段です。
犯罪、自殺、アダルトサイト、薬物などに関するWebサイトを職務中に閲覧する必要がないと企業が判断すればフィルタリングを実施します。
URL単位で制御ができるので、URLフィルタリングはクラウドサービスに限らず全てのWebサイトを対象に閲覧を制限することができます。CASBのShadow IT対策は基本的にクラウドサービスにしか対応していないので、URLフィルタリングに比べ制限できる幅が狭くなります。
URLフィルタリングのフィルタリング方法として、閲覧を許可するURLを登録するホワイトリスト方式と、閲覧を拒否するURLを登録するブラックリスト方式があり、企業により採用する方式が異なります。
一般的に、ユーザのWebサイト閲覧に制約を多く設ける「金融機関」では制限の強いホワイトリスト方式をとり、Webサイトを自由に閲覧可能にするWeb関連企業やベンチャー企業はブラックリスト方式をとることが多いです。
URLフィルタリングとCASB(Shadow IT)の違い
続いて、「Shadow IT」と「URLフィルタリング」の違いを説明します。
よく疑問に持たれる部分ですが、クラウドサービスもWebサイトの1つと考えれば、クラウドサービスのコントロールはURLフィルタリングがあれば十分と考える人がいます。
(実際は、URLフィルタリングとCASBのShadow ITでは、対応するセキュリティ技術が異なり、共存することが可能で補完関係にあります。)
URLフィルタリングは、Webサービス全般に対してURL単位でアクセスを許可or拒否します。Webサイトが危険かどうかは、そのURL単位で監査担当者が判断する必要がありますが、URLフィルタリング自体にWebサイトの危険性を判断する機能はありません。
クラウドサービスの利用可否を判断するためには、「業務上のアクセスとしてふさわしいかどうか」という観点に始まり、「そのWebサイト(URL)に脆弱性やマルウェア感染がないか」などが上げられます。この判断をURLフィルタリングですることはできないので、クラウドサービスの利用可否を判断するためにCASBのShadow ITが有用なツールとなります。
【Shadow ITとURLフィルタリングの違い】
| CASB(Shadow IT) | URLフィルタリング | |
|---|---|---|
| 対象 | 対象となるクラウドサービスのみ | クラウドサービスにかかわらずウェブページ全般 |
| 目的 | クラウドサービス利用のリスク評価・監査・可視化 | URL単位でのアクセス制御 |
| メリット | クラウドサービスに特化したリスク評価 | URL単位でのサイトの可視化 アクセス制御 |
| デメリット | アクセス自体のブロックができない クラウドサービス以外のWebサイト全般は対象外 | クラウドサービス自体のリスク評価はできない |
CASBの「Shadow IT」はクラウドサービスのリスク分析を行う
CASBの「Shadow IT」対策は、リスク分析をする対象をクラウドサービスに特化しています。クラウドサービスの種類は年々増加しており、「McAfee のSkyhigh for Shadow IT」や「NetskopeのCASB for Shadow IT」では2万以上のクラウドサービスのリスク分析を行っています。
クラウドサービスの危険性を判断をする指標が、URLフィルタリングの観点に加え、クラウド特有の指標を加えた観点も含んだものになっています。
具体的には「CISをはじめとするクラウドサービス業界標準のベンチマークに準拠しているか」、「クラウドデータの暗号化が実施されているか」、「ファイル共有機能を有しているか」、「データの保管場所がどこにあるか」、「その他法律に抵触していないか」といったリスク評価を可能とします。
これらの企業がクラウドサービスを利用する上で判断しなければならない情報を、CASBのサービス提供会社が第三者的に評価して提供しています。これがCASBの「Shadow IT」対策です。
↓↓CASBを提供しているベンダーは別の記事で詳しくまとめているのであわせて参照してください↓↓
URLフィルタリングとCASBのShadow ITは共存可能
CASBのShadow ITは、今のところクラウドサービスの利用状況の可視化とリスク評価という2点の機能に重点を置いています。
Shadow ITの構成は前回取り上げましたが、基本的にProxyやFirewallのログをキャプチャして可視化・分析しているので、CASB自体でアクセス許可or拒否をすることはありません。
もしアクセス許可・拒否をしたければ、ProxyやFirewallと連携して実施します。
つまりCASBのShadow IT対策とは、アクセス許可・拒否をする製品ではなく、そもそもクラウドサービスにリスクがないかを判断する製品なのです。このリスクを判断する部分が、URLフィルタリングではカバーできない範囲です。
URLフィルタリングはURL単位でアクセス制御を実施しますが、アクセス先が問題ないかを教えてくれるものではありません。
CASBで客観的にクラウドサービスの危険性を評価し、URLフィルタリングで利用を許可or拒否するといった補完関係にあります。
CASBがあるとうれしい人(部署)
上記したとおり、CASBのShadow IT対策は、既存のURLフィルタリングやクラウドサービス側のセキュリティ機能とは目的が異なるセキュリティ技術です。
もしCASBを顧客に提案する場合、CASBのメリットを明確にしなければ顧客の導入までつなげる事はできません。
CASBは攻撃を「防御」するセキュリティ製品ではなく「予防」するもの
CASBはセキュリティサイクルにおいて、攻撃からの「防御」を得意とする製品ではありません。
そもそも利用している、もしくは利用を検討しているクラウドサービスにリスクがないかを評価することにより、セキュリティ事故を「予防」するためのものです。
「予防」をCASBのShadow ITで行い、「防御」はURLフィルタリングやFirewallで実施するのが正しいセキュリティ対策です。
この部分を履き違えて顧客へ提案しに行っても、CASBのメリットが十分に訴求できないないのです
URLフィルタリングとCASBでは管轄部署も異なる
企業によりますが、一般的にセキュリティ事故を「予防」している部署と、「防御」する部署は別に設けていることが多いです。
URLフィルタリングは文字通り「防御」する製品なので、ITの情報システム部が管理をしています。
ITの情報システム部は、許可・拒否をしたいサイトやURLの申請を受けて、ProxyやFirewallなどの「防御」を得意とするセキュリティ製品で制御を実施します。
そのサイトが危険で有害なのか、もしくは安全なのかは、ITの情報システム部で判断することはあまりありません。基本的には、上がってくる申請に対して対処することに徹しています。
当然ですが、利用を許可・拒否するクラウドサービスは、申請の前段階でリスク評価がされなければなりません。繰り返しとなりますが、このリスク評価に役立つのがCASBのShadow ITです。
CASB(Shadow IT)を管理するチームは、ユーザが利用するサービスのセキュリティ監査をするチームが担当しています。企業の組織体系にもよりますが、最近だとサイバーセキュリティ室や、CSIRTと呼ばれる部署が担当しています。
サイバーセキュリティ室やCSIRTのようなセキュリティを監査する部署は、ユーザから利用申請のあったクラウドサービスに危険性がないかを調査します。
その調査をする際に、CASB for Shadow ITが第三者の評価(レーティング)として役立ちます。
CASBとURLフィルタリングは、セキュリティの中で担当する役割が異なることを説明しましたが、異なるからこそ顧客の組織体系を確認し、提案する部署も検討しなければなりません。
CASBとURLフィルタリングが補完関係にありセキュリティ対策として共存できる点を説明し理解してもらう必要があるのです。
[wpap service=”with” type=”detail” id=”4797388803″ title=”イラスト図解式 この一冊で全部わかるセキュリティの基本”]
CASBの記事まとめました
当サイトでは、CASBとは?の説明から始まり、CASBの構成、CASBサービスを提供する競合ベンダーの比較、CASBのShadow IT対策とURLフィルタリングの違い、なぜCASBがいまいち売れないのか?について、CASBに関連する記事を連載してきました。CASBについて学びたい方向けに、一から理解できるようにCASBのポイントを網羅しています。
CASBについてまとめた記事数が多くなりましたので、記事の一覧をまとめるとともに、CASBを一から学べるように読む順番をこちらの記事でご紹介します。
①「CASB」とは?ガートナーが提唱するクラウド活用時代のセキュリティ対策
CASBとは?の説明から始まり、なぜいまCASBが必要とされているのかをまとめています。
また、CASBは「Shadow IT対策」と「Sanctioned IT対策」の2つのコンポーネントを持っています。Shadow IT対策と、Sanctioned IT対策がそれぞれどのような機能を持っているかを理解することによりCASBの理解度が深まりますので、是非最初に読んでいただきたい記事です。
②CASBの構成を理解する
CASBを導入する際の構成についてまとめています。こちらもCASBのShadow IT対策と、Sanctioned IT対策に分けて構成を説明していますので、それぞれの機能に分けて理解をしていただければと思います。
③今話題のCASB(Cloud Access Security Broker)市場の主要ベンダーは?
CASBはガートナー(Gartner)が提唱した考え方と用語で、同社によると「2020年までに60%の大企業はCASB製品を導入しているだろう」と予測している、クラウドサービス活用時代に注目を集めるセキュリティ製品です。
こちらの記事では、これから市場拡大が期待されるCASBの提供ベンダーのシェアについてまとめました。製品選定する際に活用してください。
④「CASBのShadow IT」と「URLフィルタリング」の違いは何か?補完関係であることを理解する
本記事です。
