<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

クラウドセキュリティの代表格、CASBのメリットと課題とは?

CASB_1.jpg

社内で利用しているクラウドサービス、いくつあるかわかりますか?

クラウドサービスの利用状況を正しく把握できず、頭を抱えているシステム担当者も多くいらっしゃるのではないでしょうか。


米国のセキュリティ企業が実施した調査によると、自社で使用しているクラウドサービスは30~40種類とシステム部門責任者が認識していたのに対し、実態は1社平均で900種類を超えていたことがわかりました。

日本企業においても、クラウドシフトは加速しています。

働き方改革の後押しもあり、日本のワークススタイルにも変化が訪れています。オフィスや自宅、移動中など、どこにいても均質の機能が利用できるクラウド型のアプリケーションは非常に便利な存在で、この先もクラウドシフトが止まることはないでしょう。



また、クラウドサービスの多様化も進んでいます。

例えばメールやグループウェア、ストレージ、顧客管理、文書作成、翻訳、日本語変換など多くの企業が常用する機能ですが、なかにはクラウドであることを知らずに使っているケースもあるのではないでしょうか。

総務省「通信利用動向調査」によると、クラウドサービスを一部でも利用している企業は全体の半数以上である56.9%で、前年度から10%以上利用状況が増えた結果となりました。また、クラウドサービスを利用する企業のうち効果を実感している企業の割合は85.2%にも上り、多くの企業で効果を実感していることもわかります。

しかし、クラウドはメリットばかりではありません。課題として主に2点挙げられます。





1.セキュリティ(情報漏洩)

冒頭で触れた「900種類以上」という数値の大半は、情報システム部門が許可をしていないサービスです。こういったシャドーITの横行によって、知らず知らずのうちに危険なサービスを利用し、結果としてマルウェア感染の被害や情報漏洩の被害にあう恐れがあります。

また、クラウドサービスによって、ディザスタリカバリーの範囲・内容は異なります。利用しているサービスのデータ保護の態勢に不備があった場合、大切なデータが消失してしまう恐れもあります。




2.コンプライアンス

業務で取得した個人情報を安易にクラウドに保存すると、個人情報保護法などの法令に違反するケースもあります。

情報システム部門は、企業が遵守すべきコンプライアンス要件を満たしているかどうかを、各サービスごとに見極めたうえで利用を許可しなければなりません。


今回は、様々なクラウドサービスの利用が進む中、企業が対処すべき情報セキュリティ対策の1つとして注目を集めている「CASB」とはどんな機能・どんなメリットがあるのかをご紹介いたします。



CASBとは? どんなメリットがあるの?

CASB(Cloud Access Security Broker)とは、セキュリティリスクに対処していくため「企業と複数のクラウドサービスとの間にコントロールポイントを置いて、一貫したセキュリティポリシーで運用するシステム」を実現するソフトウェアのことを指します。

2012年、米国の調査会社 ガートナーが提唱した考え方では、4つの基本機能で構成されています。本コラムではより具体性を出すため、マイクロソフト社のMicrosoft Cloud App Securityのサービスの機能と合わせてご紹介します。



1.サービスの可視化

1点目として、社員が利用している多くのクラウドサービスを特定し利用状況を可視化できます。

最大の特徴は、クラウドサービスの脅威情報が一目でわかることです。

これにより、あらゆるクラウドサービスの安全性を検証する手間の削減され、危険なクラウドサービスへのデータアクセスを制限しリスクを回避することが可能です。




2.コンプライアンス(法令遵守)

2点目としては、コンプライアンスが挙げられます。

利用したいクラウドサービスが、法規制や業界標準など関連するコンプライアンス要件を満たしているかどうかが一目でわかります。

各クラウドサービスの対応状況は、マイクロソフト社が独自に調査・評価した結果が反映されています。これによって、システム担当者が独自で各クラウドサービスのコンプライアンス対応状況を調査する手間を軽減させます。




3.データセキュリティ(データ保護)

クラウド全体で機密情報を保護する機能も持ち合わせております。

具体的には、クラウドにアップロードされたファイルに機密情報や個人情報が含まれているか監視をしポリシー違反を検出、ファイルの検疫やアカウントの停止などを自動的に実行します。

例えば、社外秘が含まれたファイルがクラウドサービスにアップロードされた際に、検疫フォルダに強制的に移動させ、管理者およびユーザーにポリシー違反を通知することが可能です。



4.脅威への対策

クラウドサービスで異常な動作を検出し、ランサムウェアや悪質なクラウドサービスを特定したり、危険度の高い使用を分析して自動的に修復し、組織へのリスクを制限します。

例えば、退職予定者が短時間に機密情報を大量にダウンロードしているといった怪しい行動を検出すると、管理者に通知が届きます。また、ダウンロードされたファイルやユーザー・アプリケーションを特定し、アカウントの停止などを対処も可能です。





CASBのメリットとは

CASBを導入する目的の多くは、シャドーIT対策です。

機能の1つ目である「サービスの可視化」によって、クラウドサービスの利用状況を正しく把握できるようになり、望ましくないサービスの利用を制限することができます。また残りの3機能により、セキュリティインシデントにつながるような兆候を検知したり、情報漏洩につながる動きを制御するといったメリットもあります。こうしたメリットを持ったCASBは、クラウドシフトを検討している企業にとって早期に導入すべきサービスと言えるでしょう。

1点注意したいのが、シャドーITによって引き起こされる情報漏洩対策を対処するという意味でCASBは有効であり、情報漏洩対策という広範なセキュリティ対策としての最善策がCASBというわけではありません。

情報漏洩対策という観点において、CASBの限界や考慮点について次の章で説明をいたします。



CASBの限界と考慮点

CASBが4つの機能で企業が利用するクラウドサービスのセキュリティ保護を行うことができることをご紹介しましたが、CASBを導入すれば万時解決というわけではありません。

1.何が起きているかはわからない

CASBでは、クラウドの異常な使用状況を把握することが可能です。

例えば、SMTPサーバーからクラウドストレージへの通信や、同じ端末から複数回ログインを失敗しているというような、通常であれば行われない異常行動を検知することが可能です。

しかし、実際にどんな事象が発生していたかはCASBの範囲外となります。よって、何か不審な動きを見つけた場合は別の手法で捜査をする必要があります。





2.クラウドにおけるセキュリティポリシーが明確でなければ意味がない

機密情報.png クラウドサービスや外部委託に関する会社のセキュリティポリシーやルールが明確化していなければ、CASBのメリットを最大限に発揮することは困難です。例えば、下記のような項目が明確化しているかを今一度ご確認ください。

<セキュリティポリシーの一例>
  • クラウドサービス利用範囲の明確化(どういったデータがどのクラウドサービスに保管しても良いのか)
  • クラウドサービスで扱っても問題ない情報・データの重要度(社外に保管しても問題ないデータ)
  • クラウドサービスごとのアカウント権限(適切なアクセス権限を付与するルール)
  • データのバックアップ(クラウドサービス停止等に備えたデータの確保)

CASBに限らずDLPといった情報漏洩対策製品においても、企業の情報ポリシーが明らかでないと十分な効果を発揮できません。

社内のセキュリティポリシーやルールが曖昧な場合は、まずはデータの棚卸やポリシー・ルールの見直しから行うことをお勧めします。





3.オンプレミスの環境におけるデータの取り扱いも考慮

オンプレミスのファイルサーバーなど完全にクラウドシフトができていない企業は、オンプレミス環境も含めた社員が利用するあらゆるシステム環境を考慮する必要があります。

例えば、情報漏洩対策を目的としてCASBを導入したとして、クラウドサービス上の情報漏えいは防げたとしても、悪意を持った退職予定者がUSBに機密情報を入れてしまっては意味がありません。

データの流れがどのようになっているかを整理し、クラウド環境・オンプレミス環境どこを対処すべきなのかを見極め、製品・サービスの選定を行うようにしましょう。





まとめ

今回は、CASBのメリットと導入における課題について、Microsoft Cloud App Securityと交えてご紹介いたしました。

クラウドセキュリティの導入を検討なされている方は、製品・サービス選定の前に「企業におけるインフラの在り方」と「情報ポリシーの在り方」を見直すことから始めてはいかがでしょうか。上記を踏まえたうえで企業にとって適切な製品・サービスの活用をご検討ください。



クラウドサービスの利用実態を把握できていない企業におすすめ!

「Shadow IT 可視化サービス on Cloud App Security」とは、本コラムでご紹介しましたMicrosoft Cloud App Securityを活用し、お客様環境におけるシャドーITの実態を可視化します。

\ こんなお客様におすすめ /
  • シャドーITから起因するマルウェア感染や情報漏洩などセキュリティリスクを防ぎたいとお考えの方
  • 社内に導入すべきSaaS製品・サービスにお悩みの方はぜひご検討ください。
  • 社内におけるクラウドサービスの利用実態を可視化できていない


CASB・Microsoft Cloud App Securityに関するお問い合わせ

お問い合わせ


関連サービス
デジタルガーディアン|情報漏洩対策ソリューション

デジタルガーディアン|情報漏洩対策ソリューション

デジタルガーディアンは、リスクや脅威を可視化し、機密データの外部への漏洩を確実にブロックします。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »