CASBとは、 Cloud Access Security Brokerの略で、クラウドセキュリティの一環として、組織がクラウドサービスを安全に利用できるようにするセキュリティソリューションです。組織内ネットワークからクラウドサービスへのアクセス時の通過点として使用することで、主に4つの機能を提供します。この記事では、CASBが提供する主な機能や導入時のメリット、導入方法などについて解説いたします。
目次
CASBが提供する4つの機能について解説します。
可視性の向上 (Visibility):クラウドアプリケーションの使用状況を監視し、許可されていない操作を特定します。具体的には、許可されていないアップロードやダウンロード、及びシャドーIT(許可されていない機器)でのアクセス、許可されていないクラウドサービスの使用などが検知できます。
データセキュリティ (Data Security):クラウドサービスとやりとりされるデータの取り扱いルールが設定できます。データの不正な持ち出しを防ぐためのユーザー権限のチェック、アップロード時にデータがしっかりと暗号化されているかのチェックなどを行うこともできます。これらのチェックをより厳格に行うために、DLP(Data Loss Prevention:データ損失防止)機能を持たせたCASBもあります。
脅威防止 (Threat Protection):クラウドサービスへの通信及びその内容をチェックすることで、不審な通信を検知できます。マルウェアの検出はもちろんのこと、行動分析にもとづき異常なアクティビティ(内部の人間による不正行為など)が検知できます。
コンプライアンス管理 (Compliance Management):クラウドサービスの利用の仕方が、自社のコンプライアンスやセキュリティポリシーに適しているかのチェックができます。
CASBの導入方法にはいくつかの型があります。
インライン型:企業内ネットワークからクラウドサービスへの通信経路上に設置するタイプで、CASBはプロキシサーバーのように動作します。これにより、クラウドサービスへの全ての通信及びその内容をチェックできます。アクセスの制御もCASBで行えます。CASBが設置できるよう、事前にネットワーク構成を変更しておく必要があります。
このタイプのCASBはさらに、「企業内ネットワークに、フォワードプロキシのように設置する」、「クラウドサービス側に、リバースプロキシのように設置する」の2種に分けられます。
API型:自社が契約しているクラウドサービスに、CASB機能を提供するAPIを組み合わせるタイプです。このタイプのCASBは、APIを組み合わせたクラウドサービスの利用状況のみをチェックするものなので、自社が許可していないクラウドサービスへの利用状況は監視できない点に留意しておく必要があります。
ログ分析型:企業が設置しているゲートウェイ機器やファイアウォールが出力する通信ログを分析することで、クラウドサービスの利用状況をチェックするタイプです。主に、会社が許可していないクラウドサービスへのアクセスを検知します。アクセスの制御自体は、ゲートウェイ機器側で行います。
CASBの導入によるメリットをいくつか紹介します。
利用状況の管理:自社のネットワークから各クラウドサービスへの利用状況を、CASB上で可視化して管理することができます。これにより、セキュリティ担当者は不正な利用を迅速に発見、対処することが可能となります。
シャドーITの防止:企業が許可していない機器(シャドーIT)は、企業が定めているセキュリティポリシーに準拠していないことが多く、スマホのような個人所有の端末であれば情報流出の懸念が生じます。CASBを用いれば、これらのシャドーITによるクラウドサービスへのアクセスを検知し、シャドーIT利用者を特定することもできるようになります。なお、企業が許可している機器のことは「サンクションIT」と呼びます。
セキュリティポリシーとコンプライアンスの徹底:クラウドサービスとのデータのやりとり方法、クラウドサービスと通信を行える機器、クラウドサービス上のデータの扱い方、各ユーザーアカウントの権限などのルールをCASBに設定しておくことで、ルールにそぐわないクラウドサービスの使い方を自動で排除できるようにもなります。これにより、企業が定めているセキュリティポリシーの徹底が効率的に行えるようになります。
外出先でのPC利用やテレワークにも対応:外出先やテレワーク時のPCにおいても、クラウドサービスにアクセスする際には一旦社内のプロキシサーバーを経由させるように設定しておくことで、CASBの機能を使うことができるようになります。
ゼロトラストにも対応:ゼロトラストとは、内部ネットワーク、外部ネットワークを問わず、全てのユーザーや端末、通信ネットワークを監視し、適切な認証と認可を行うというセキュリティの考え方です。CASBを用いれば、企業内ネットワークからだけでなく、企業の外部のネットワークからのクラウドサービスへのアクセスまでも集約できるため、ゼロトラストの考え方にマッチしています。
セキュリティポリシーを設定しておく:どのクラウドサービスに、誰が通信を行い、どのようなデータをやり取りするのかを事前に設定しておく必要があります。ここで設定したセキュリティポリシーにもとづいて、CASBがアクセス制御などを行います。
CASBの導入方法を吟味する:CASBの導入方法である「インライン型」、「API型」、「ログ分析型」にはそれぞれに特徴があるので、自社のセキュリティポリシーやネットワーク構成に応じて、適切な導入形式を選択する必要があります。
異常検知後の対応:CASBの機能は主に、通信の監視と異常の検知に主眼を置いています。そのため、異常を検知した後の対応については事前に設定しておく必要があります。
クラウドサービス以外への対応も必要:CASBが監視するのは、あくまでもクラウドサービスとの通信だけです。当然、クラウドサービス以外の外部への通信や、企業内ネットワークの通信などについては別の監視手段を用意しておく必要があります。
CASB、SASE、SWG、 ZTNAは、いずれもゼロトラストを構築するのに用いられるソリューションですが、ここではこれらの違いについて記載します。
SASE(Secure Access Service Edge):SASEとは、従来では別々に管理していたネットワークとセキュリティを一体化し、クラウド上で展開するという考え方、またはそれを提供するサービスです。ネットワーク構成とセキュリティをクラウド上で展開するため、リモートワークや外出時の作業だけでなく、遠方の事業所などとも一つのSASEでまとめることができるようになります。SASEはCASBよりも新しい考え方で、CASBの機能はSASEを構成する要素の一つとなっています。
SWG(Secure Web Gateway):SWGとは、端的に言えば従来のプロキシサーバーにセキュリティ機能を付与したようなソリューションです。URLフィルタリング、アンチウィルス、サンドボックスによるアプリケーションの安全確認、DLP(Data Loss Prevention:データ損失防止)機能などを持ちます。CASBがクラウドサービスとの通信に特化しているのに対し、SWGはインターネットとのやりとり全般に対応しています。
ZTNA(Zero Trust Network Access):ZTNAとは、ゼロトラストの基本である「何も信用しない」を維持しつつ、全てのアクセス制御を行う、というものです。ユーザーのいる場所が組織内、組織外などにかかわらず、ユーザーごとに適切な認証と認可を与えます。ZTNAは認証と認可に重点を置いたものであり、CASBとは役割が異なります。
新型コロナ対策や働き方改革を契機に、場所にとらわれない働き方が推奨されることが多くなりました。必然的にセキュリティ対策も企業内に留まらず、より広範囲に適応できるようなものが求められるようになってきています。CASBのようなゼロトラストを実現するセキュリティソリューションの重要性は、今後さらに高まっていくことでしょう。