クラウドとセキュリティ
みなさん、クラウド使ってますか?
もはや説明すら不要かと思いますが、『〇〇クラウド』や『○○ Web サービス』など、
インターネット上に用意されたアプリケーションやインフラを提供するサービスの総称となり、近年の働き方改革やリモートワークといった社会的な変化の波を受け、今後もますます利用シーンが拡大されていくことが予想されます。また、機材の老朽化や減価償却を気にせずに利用できることから、TCO節減といった目的で積極的に活用しているケースも広く知られています。
一方、スマホ経由での情報漏洩事故やクラウドにアップしていたデータが第三者に共有されていたなど、残念ながらクラウドに関連したセキュリティ事故が散見されています。そんなクラウドを誰もが安心して利用できるよう、インターネット黎明期から培った数々のセキュリティソリューションがクラウドシーンにも応用され市場にも投入されています。
そこで今回はクラウドセキュリティの1つの鍵となるCASBについてご紹介したいと思います。
CASBとは?
『Cloud Access Security Broker』の略となり、利用者とクラウドの間に介在(Broker)してセキュリティを担保するソリューションです。CASB自体もまたクラウド上のひとつのSaaSとして提供されることが多く、対応するクラウドサービスはメーカそれぞれで異なっていますが、Office365、G Suite、Box、Salesforceといった、おなじみの業務系アプリケーションは比較的どのメーカでも多くサポートされているようです。
いくつか代表的な機能をご紹介しますと、、
① とにかく可視化(シャドーIT)
ネットワークアクセスを検知し組織におけるクラウド利用状況をくまなく調査することができます。
『私的なクラウドストレージにアクセスしていないか?』、『不自然に特定のクラウドに頻繁にアクセスしていないか??』など、
本来の業務にふさわしくないサービス・使い方を特定することで、業務改善や将来的な情報漏洩事故対策といった次の一手を打つ指針を定めることができます。
② ごっそり脅威防御
CASBの大きな特徴として、アクセスするユーザやアクセス先のファイルといった、もう1段深いレベルの情報を拾えるという点があげられます。例えば、ユーザがあるファイルを不正に外部に公開しようとファイルの共有設定を変更しようとしたとしても、これを検知することができ、さらにそのユーザが過去にどのファイルにアクセスしてたかなど、クラウドを利用するにあたって管理すべき内容を、徹底的に洗い出し必要に応じてアクセス制御を行うなどの対策も可能になります。
また、外部からの不正なログインの検知、正規のユーザであっても許可されていない私的な端末からのアクセスであれば制限をかけ、メーカによっては該当ファイルのマルウェアチェックやサンドボックス検査を実施できるなど複合的な脅威対策・DLPソリューションとしての側面も持ちあわせています。
③ うっかりをブロック
クラウドサービスの多くはユーザ自身で柔軟にファイルアクセス権や共有設定を行うことができますが、これらの設定を誤ってしまうと、うっかり第三者に対して公開してしまいかねない事態に陥ってしまします。また、クラウド側の基盤そのものは各種コンプライアンスに適合していても、ユーザの設定ミスによっては著しくコンプライアンス準拠状況が低くなってしまうケースも出てきます。
CASBでは、これらの設定ミスやコンプライアンスポリシーから逸脱した状態を検知し対応策を提示または自動で修復するといった機能を持つものも登場しています。
※AWSやAzure、GCPといったIaaS系を中心とするソリューションもありますが、近年ではそれらはCASBという呼称からCSPM、CWPPと呼ばれつつあります。
まとめ
いかがでしたでしょうか?実情として一般的なクラウドセキュリティへの対策度合いはまだまだといったところでしょう。またCASB自体も成長過程にあるソリューションです。ただ、今現在もさらなる機能強化や連携によってソリューションとしても進化しており、今後は旺盛なクラウド需要のセキュリティ対策の一手として広く普及していくのではないかと予想しています。
まだまだ語り切れない部分も多いのですが、本稿がCASB理解の一助になれば幸いです。
※今後、SWGやIsolation、CSPMといった他のクラウドソリューションもご紹介していきたいと思います。
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
鵜重 翔一