新型コロナウイルスの影響もあり日本でもテレワークやリモートワーク実施率が急激に増加しました。リモートワークはかねてより働き方改革によって推奨されてきたワークスタイルですが、今まで消極的だった企業も半ば強制的に在宅勤務を強いられている状況によって、その有効性を実感したという企業も多いかと思います。
その一方で、従来とは違う環境に置かざるおえない業務、作業環境は、十分なセキュリティ対策無しではセキュリティリスクも同時に増加するという見方もでてきています。
ここでご紹介するのは、テレワークを支えるクラウド時代に注目を集めているセキュリティ対策「CASB(Cloud Access Security Broker/クラウド通信保護防止策)」です。それではCASBについてご紹介していきます。
CASBとは?
一口にクラウドサービスと言っても様々なタイプがあります。最近になって利用率が増加しているのがSaaS(Software as a Service/サービスとしてのソフトウェア)タイプのクラウドサービスです。SaaSとはソフトウェアをインターネット経由で提供するもので、Microsoft Office 365やBox、Zoom、Slackなど、インターネット上で利用できるソフトウェアは全てSaaSと言えます。
それらのSaaSは、クラウドとしては先行して利用が進んでいるIaaS(Infrastructure as a Service/サービスとしてのインフラストラクチャ)やPaaS(Platform as a Service/サービスとしてのプラットフォーム)とは、セキュリティの考え方が決定的に違います。
IaaSは仮想サーバーとしてシステムに必要なリソースを提供します。また、PaaSはソフトウェアの実行環境や開発環境を提供します。このため、ユーザーの責任範囲でセキュリティ対策を実施する必要があるため、ファイアウォールやIPS/IDS、基本的なウイルス対策ソフトなどを自由にIaaSやPaaS上に導入できるのが特徴です。しっかりと計画を立案すれば、企業ごとに定めたセキュリティポリシーに準拠しやすく、各企業の自社セキュリティガイドラインに準じた運用が可能になります。
一方、SaaSが提供するサービス基盤(インフラ)のセキュリティはサービス提供事業者の責任範囲内にあります。つまり、SaaSはソフトウェアをインターネット経由で提供するクラウドサービスなので、物理的なメンテナンスからセキュリティ対策に至るまで、全てをサービス提供事業者が実施しています。このため、SaaSのインフラのセキュリティは事業者に依存することになります。
名前の知れた多くのSaaSはデータ暗号化通信をはじめとするセキュリティ対策を実施しており、第三者機関による安全性評価をも取得している場合がほとんどでしょう。
確かにBoxやMicrosoft Office 365と言った知名度の高いSaaSは十分なセキュリティ対策を実施している場合がほとんどで、それらは一ユーザー企業が施すセキュリティ対策では到底及ばないほどの対策が施されています。では、それに対してCASB(キャスビー)は、どのようなセキュリティを強化させるのでしょうか。
このCASBは、SaaSが急速に普及し始めた2012年に米ガートナーが提唱しました。CASBを噛み砕いて説明すれば、「企業が利用しているクラウドサービスを一元的に管理し、セキュリティリスクを回避するための対策」です。
従来のセキュリティとCASBの違い
シャドーITとは、企業の情報システム担当者・情報セキュリティ担当者が許可や想定していないクラウドサービスやアプリケーションが、社内のユーザーによって許可なく使用されている状況です。これが横行すると企業のセキュリティレベルが著しく低下し、情報漏洩やデータの破壊活動などによって多大な損害を被る可能性があります。
会社として、Boxを使いなさい、Microsoft Teamsを使いなさいと言っても、会社で認められていないSaaSを、業務上、取引先とのやりとりで利用しなければならない、といったような理由から使う社員が出てくる可能性は大いにあります。
こうした状況を回避しながら社員の業務効率と利便性を損なわないために、一貫性の高いセキュリティポリシーを適用しながらクラウドサービスを利用できるようにするのがCASBの役割です。もちろん、シャドーITを許すためのツールでは無いことは言うまでもありません。
つまり、SaaSソフトウェアベンダーが持っている従来のセキュリティ機能に加えて企業のインターネットの安全利用を制御するためにCASBがあるという補完関係にあるのです。
では、従来のセキュリティと一体何が違うのでしょうか?
CASBが一般的になる以前も、強力なセキュリティ対策を実施するための製品やサービスは多く提供されていました。しかし、それらのセキュリティ対策を実施してもクラウドサービス利用環境におけるセキュリティ対策が十分かと言えば、そうではないのです。CASBは、一般的に「クラウドサービスの利用状況を可視化及び制御する機能」「アクセス権限を監視する機能」「データの持ち出しをチェック及びブロックする機能」「セキュリティポリシーの準拠及び監査の機能」「驚異の検出と分析、防御する機能」が搭載されています。
CASBが従来のセキュリティ製品やサービスと決定的に異なるポイントは「クラウド環境全体のきめ細かい制御が設定できる」という点にあります。その制御をSWG(Secure Web Gateway/セキュア・ゲート・ウェイ)で実施する場合、送信元のIPアドレスや通信先のURLカテゴリなどを判定しなければいけません。一方、SWGでクラウドサービスが持つ特定の機能を、特定の権限を有した利用者に対して同操作を許可するのかなどの設定は煩雑になり難しいものです。要するにCASBはそうした設定をごく簡単に行うことができ、尚且つダッシュボードにて設定状況全体を簡単に確認・変更できるのです。
[SMART_CONTENT]
CASBの特徴
可視化と分析
CASBを使用すると、社内で利用されている全てのクラウドサービス(特にSaaS)を検出/可視化することができます。リスクを評価し、サービスの利用やアップロードとダウンロードといったアクティビティも可視化できます。
コントロール
通信のブロック、アラート、暗号化などの制御を一元的に実行し、1つのセキュリティポリシーで複数のクラウドサービス利用をコントロールすることができます。
データセキュリティ
社内で保有している個人情報や機密情報などを定義することで、情報漏洩対策を実施できます。クラウドコンテンツ管理と連携してコンテンツ管理側にその定義を反映し、コンテンツセキュリティを強化することもできます。さらに、クラウドサービスに保存されているデータを自社の暗号キーで暗号化することもできます。
脅威を防御
クラウドサービスに隠れているマルウェアを素早く検知して、発見すると速やかに隔離します。さらに、共有アカウントの利用やデータのコピー、大量のデータダウンロードといった異常も検知し、セキュリティ的な脅威を判断します。
クラウド活用に合わせたセキュリティ=CASBのご検討を
企業におけるSaaSの利用率は今後も増加していくものと考えられています。また、SaaSはリモートワーク含め、これからの新しい生活様式に欠かせない存在となっています。しかし、利便性が高い反面、無秩序なSaa利用が横行するとセキュリティリスクも増加していきます。ここでご紹介したCASBのように、新しくクラウドサービス時代に特化したセキュリティ対策を実施することも重要になります。
