クラウドサービスは、現在の企業にとって欠かせないITであり便利な反面、セキュリティ対策を徹底しなければ、企業の機密情報の漏えいにつながりかねません。当然クラウドサービスを提供する各ベンダーも、強固なセキュリティ対策を実装し、より安全なサービス提供に努めています。
これらクラウドサービスを横断的に利用している企業にとって、統一的なセキュリティーポリシーに基づいて管理することは、安全なシステム基盤を構築する上で、重要な要素となっています。そこで役立つのが「CASB」です。この記事では、近年Boxと併用することも急増しているTeamsやAzure ADといったMicrosoftのサービスでもあり、CASBのひとつでもある「MCAS(Microsoft Cloud App Securit)」ついて、その特長をご紹介します。
CASBの概要
「CASB」とは「Cloud Access Security Broker」の略で、クラウドサービスにおけるセキュリティ対策の考え方や、その考えをもとに作られたセキュリティ対策ソフトのことを指します。Microsoftに限らず、マカフィーといったセキュリティベンダーやシスコ等のネットワークベンダーからも製品が提供されています。
CASBでは、ユーザーと各クラウドサービスの間にコントロールポイントを設置し、そこで利用状況を可視化したり、利用を制御したりします。どのクラウドサービスにも同様の制限ができるため、一貫したセキュリティ対策を講じることが可能です。具体的には、以下の4つの機能を通してセキュリティ対策を行います。
- 可視化・分析
社内での利用があった全クラウドサービスを可視化し、独自の安全基準に基づき、リスクを数値で評価します。クラウドサービスのアップロード・ダウンロードがあった際にも、可視化を行います。 - コントロール
企業が設定したセキュリティポリシーに基づき、複数のクラウドサービスを一元的に管理します。これにより、各クラウドサービスのセキュリティ基準に依存しない、統一的な管理体制が構築可能です。 - データセキュリティ
データのアップロード・ダウンロードや設定画面の操作など、あらゆるシーンで情報漏えい対策を実施します。たとえば、データ送信時は暗号化を行うほか、データの改ざんを検知することも可能です。また、データの公開範囲を設定することで、データ内容に応じたアクセス制限も設けられます。
CASBが必要とされる理由
近年、クラウドサービスやモバイル端末の利用が一般的になってきたこともあり、企業で使用しているクラウドサービスを、個人的にも使用するユーザーが増えてきています。また、企業では使用していないクラウドサービスを勝手に使用している場合もあり、知らぬ間に企業の機密情報が社外に漏えいするリスクが高まっています。この企業の想定外にあたるクラウド利用を「シャドーIT問題」と呼びます。
無論、これらの問題を抱えながらも、クラウドサービスはやはり企業の業務を円滑化するうえで欠かせません。そこで、企業において必要となるのが、クラウドサービスへのアクセスサポートと、データ保護における最適なバランスを見つけることです。CASBは、クラウドへのアクセスを可視化し、必要に応じて制限できることから、この問題への対処に非常に効果的といえます。
Microsoft Cloud App Security (MCAS)
Boxと併用されることも多いMicrosoft 365やOffice 365などのMicrosoftサービスを利用している企業であれば、クラウドセキュリティとして提供されている「Microsoft Cloud App Security(MCAS)」の利用がおすすめです。これはログの収集やAPI コネクタなどを通して、サイバー攻撃を特定し、その対処や分析を行えるサービスです。具体的には以下の機能を備えています。
- 組織内で使用しているクラウドアプリを自動的に検出・分析
- ユーザーの操作・監査ログを最大180日保持
- 業界標準に基づく危険度のランクが付いたクラウドアプリカタログを使用したアプリの承認および却下
- 機械学習により、異常な使用と不審な操作・アクセスを自動検出
- 「リバースプロキシアーキテクチャ」を使用した非保護のエンドポイントの検出
Microsoft Cloud App SecurityとCASBの関係
Microsoft Cloud App Securityは、先にご説明したCASBのフレームワークに沿って作られた、Microsoftのセキュリティソリューションです。そのため、クラウドサービスの可視化やコントロール、データ保護、脅威からの防御などが行えます。
特に、上記で挙げたクラウドサービスを利用しているなら、Microsoft 365管理センターのセキュリティからすぐに利用を始められるため、まずは利用できるライセンスがあるかどうかを確認してみることをお勧めします。
Microsoft Cloud App Securityの機能
ここまで、企業が抱えがちなシャドーIT問題を解決するために、Microsoft Cloud App Securityが役立つことをご紹介しました。以下ではMicrosoft Cloud App Securityの詳しい機能について、大きく4つに分けてご説明します。
シャドーITの検出
Microsoft Cloud App Securityは組織で利用のあるクラウドサービスを検出し、それらに対し、クラウドアプリカタログを用いてリスクレベルを算出します。カタログに記載のある16,000を超えるクラウドアプリは、80以上のリスク要因に基づいて評価されています。また、クラウドサービスの使用状況についても検出・分析を行います。検出したアプリに関しては、さらなる調査や分析を行うことが可能です。
機密情報の保護
まず、Microsoft社が定義した100種類以上のデータ分類サービスを利用するか、独自で作成して、組織における機密情報の種類やラベルを定義します。その後、リアルタイムでクラウドサービス全体を監視し、定義した情報の公開を検出した場合に通知し、公開しないようブロックできます。通知があった際には、ダッシュボードからさらなる調査を行うことも可能です。
リモートワークのリアルタイム制御
Microsoft Cloud App Securityでは、常にユーザーのアクティビティを監視することで、ユーザーの通常行動を学習します。その通常行動から外れた行動があった場合に、異常行動として検出し、通知を行います。これにより、ランサムウェアなどの悪意あるアプリの特定や、被害を受けたユーザーの特定が可能です。また、アラートに関してフィードバックを行うことで、アラートの改善も行えます。
[SMART_CONTENT]
クラウドセキュリティ体制の管理
Microsoft Cloud App Securityでは、法規制や業界標準などとのセキュリティ構成にギャップがないかどうか調査することが可能です。マルチクラウドレビューが特徴で、全クラウドプラットフォームにおけるセキュリティ構成の推奨事項が提示されるため、すべてのギャップを調査できます。推奨事項の参照にセキュリティを強化することで、情報漏えいやアクセスの制限に役立ちます。
また、社内やプロジェクトで利用している各種クラウドサービスとアプリコネクタを使用することで簡単に接続することができます。
Boxと併用すると、自社のクラウドストレージやコンテンツ基盤として利用しているBoxをMicrosoft Cloud App Securityのスキャン対象にすることで、統一されたセキュリティーポリシーを適用し共有フォルダとして使用されているBox内のファイルもスキャンすることが可能になります。
他にも、Boxの管理画面から見られるのは当然ですが、Microsoft Cloud App Securityの管理画面から他のクラウドと横断的に以下のようなセキュリティやガバナンス関連の情報を得ることができます。
- Box内のファイルを一覧表示、共有状況に応じて抽出することができる
- Boxの監査ログを閲覧することができる
- Boxに対する許可されていないファイルのアップロードやダウンロードをブロックする
Microsoft Cloud App Securityでは、Boxをはじめ代表的なクラウドサービスとの連携を標準でサポートしていますので、すでに社内で利用しているクラウドサービスがサポートしているか確認してみると良いでしょう。
Microsoft Cloud App Securityサポートしているアプリ接続は、こちらで確認できます。
https://docs.microsoft.com/ja-jp/cloud-app-security/enable-instant-visibility-protection-and-governance-actions-for-your-apps
まとめ
クラウドサービスが急速に普及し、企業のDXや働き方改革の必須要素となっている今、企業の機密情報を守るためには、クラウドセキュリティを一括で監視・制限できるCASBの活用は有効な選択肢です。Boxはコンテンツ基盤として、MicrosoftやSalesforce、Zoomやサイボウズといった多くのクラウドサービスとも連携します。これらのクラウドサービスを横断的に管理することもできるようになり、よりセキュリティを強化できるのです。今回はMicrosoft製品を中心にご紹介しましたが、様々なベンダーのCASB製品があります。Boxとの併用も検討してみてはいかがでしょうか。
