Cloud Access Security Broker(CASB)は、クラウドコンピューティングを利用する企業をデータ漏えいやサイバー攻撃から保護する数多くのサービスを提供します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
クラウドアクセスセキュリティブローカー(CASB)は、クラウドでホストされるサービスの保護に役立つセキュリティソリューションの一種です。CASBは、企業のSoftware as a Service(SaaS)アプリケーションならびにInfrastructure as a Service(IaaS)サービスやPlatform as a Service(PaaS)サービスを、サイバー攻撃およびデータ漏えいから保護するのに役立ちます。通常、CASBベンダーはクラウドホスト型ソフトウェアとしてのサービスを提供しますが、一部のCASBはオンプレミスのソフトウェアアプライアンスやハードウェアアプライアンスも提供します。
CASBは様々なセキュリティ技術で構成されており、通常、CASBソリューションはこれらの技術を1つのパッケージにまとめて提供しています。これらの技術には、シャドーITの発見、アクセス制御、データ損失防止(DLP)などがあります。
CASBは、施設の安全を守るために、一人の警備員ではなく、複数のサービス(監視、巡回、本人確認など)を提供する物理的なセキュリティ会社のようなものだと考えてください。同様に、CASBは1つのサービスではなく、様々なサービスを提供することで、クラウドにおけるデータ保護プロセスを簡素化しています。
IT分野のリサーチ/コンサルティング会社であるGartnerは、Cloud Access Security Brokerの4つのピラーを定義しています。
ほとんどのCASBソリューションは、以下の一部または全部のセキュリティ技術を提供します:
この一覧はすべてを網羅しているわけではありません。CASBベンダーは、上記以外にも多くのセキュリティプロダクトを提供できます。こうした技術の一部には、ほかのタイプのセキュリティプロダクトにも含まれています。たとえば、多くのファイアウォールはパケット検査を提供し、多くのエンドポイントセキュリティ製品はマルウェア対策を提供します。ところが、CASBベンダーは、こうした技術をクラウドコンピューティング向けに特別にパッケージ化しています。
充実したCASBサービスを提供するため、多くの大手CASBベンダーは、ほかの既存プロダクトにバンドルするプロダクトや会社を取得・買収しています。また、追加のサービスを提供するために、ほかの分野・業界の企業とも提携するケースもあります。
データ規制のフレームワーク(GDPRなど)によって、組織のプライバシーの維持やデータ漏洩の回避対策への圧力がかけられていることからDLPの重要性は高まっている一方、従来のDLP製品は、現代のデータ環境を保護する上で弱点を抱えています。スタンドアロンのDLPサービスをクラウドサービスの追加レイヤーとして実装するのは困難です。CASBソリューションにDLPをバンドルすることでこれらの課題を解決し、組織のデータ保護とコンプライアンスの維持を可能にします。
クラウドコンピューティングでは、データは遠隔地に保存され、インターネットを介してアクセスされます。そのため、クラウドを利用する企業は、データの保存場所やユーザーのアクセス方法を制限することができます。ユーザーは、企業が管理する内部ネットワークからだけでなく、インターネットに接続された任意のデバイスや任意のネットワークからクラウドのデータやアプリケーションにアクセスすることができます。例えば、ユーザーは個人のデバイスを使用して保護されていないネットワークから企業が管理するSaaSアプリにログインすることができます。これは通常、オンプレミスのコンピュータやサーバ上で実行されるアプリケーションでは(リモートデスクトップを使用しない限り)不可能なことです。
また、クラウドを利用すると、データの機密性や安全性を確保することが難しくなります。これは、個室ではなく公共の場で会話をすると、見知らぬ人に盗み聞きされてしまうのと同じです。
クラウド上のデータを完全に保護するために、企業は通常、セキュリティサービスもクラウドベースのものを利用します。また、あるプラットフォームにはDLP、違うプラットフォームにはID、その他にはマルウェア対策など、それぞれのサービスを異なるベンダーから調達することもあります。しかし、このようなクラウドセキュリティへのアプローチからは、複数の契約を個別に交渉しなければならない、セキュリティポリシーを何度も設定しなければならない、複数のプラットフォームを導入・管理するとIT部門が複雑になる、などの課題が生まれます。
CASBはこれらの課題に対するネットワークセキュリティソリューションの1つです。これらのセキュリティ対策を複数の異なるベンダーからではなく、1つのクラウドセキュリティブローカーから購入することは、次のことに繋がります。
拡張性:CASBは、大量のデータと複数のクラウドプラットフォームやアプリケーションを管理しなければなりません。企業は、CASBベンダーが企業の成長に合わせてスケールアップできるかどうかを確認する必要があります。
軽減機能:すべてのCASBが、セキュリティ上の脅威が特定された時点でそれを阻止する機能を提供しているわけではありません。状況によっては、軽減機能を持たないCASBは、企業にとって限られた用途にしか使えないものかもしれません。
連携性:企業は、CASBが自社のすべてのシステムやインフラと連携できることを確認する必要があります。完全な連携ができなければ、CASBは不正なITや潜在的なセキュリティ脅威を完全には把握できません。
データプライバシー:CASBベンダーはデータの機密性を保っているのか、それとも機密データに触れる外部の当事者の一人に過ぎないのでしょうか?CASBが顧客のデータをクラウドに移行する際には、どの程度の安全性と機密性があるのでしょうか?これらは、厳しいデータプライバシー規制の下で運営されている組織にとって、特に重要な問題です。
一部または全部をクラウドに依存している企業の多くは、CASBベンダーと連携することで恩恵を受けることができます。現在、多くの企業が危惧している、シャドーITの増加に対する抑制に苦労している企業は、特にCASBサービスの恩恵を受けることができます。
セキュアアクセスサービスエッジ(SASE)はクラウドベースのネットワークインフラストラクチャモデルであり、ネットワークサービスとセキュリティサービスを単一のサービスプロバイダーに統合することで、企業に接続されたすべてのデバイスのネットワークアクセスのセキュリティと管理をより簡素化するためのものです。CASBが様々なセキュリティサービスをバンドルするのと同様に、SASEは、SD-WAN(その他のネットワーク機能を含む)とCASB、セキュアウェブゲートウェイ(SWG)、Zero Trustネットワークアクセス(ZTNA)、firewall-as-a-service(FWaaS)などのネットワークセキュリティ機能をバンドルしています。SASEのソリューションは、単一のグローバルネットワークの上に構築されます。
Cloudflare Oneには、CASB、DLP、Zero Trust、SWG、ブラウザー分離機能が単一のプラットフォームとして纏められています。これらのサービスは可能な限りエンドユーザーに近いCloudflareネットワークから配信され、オンプレミス、クラウド、ハイブリッドネットワークの前衛に設置することができます。Cloudflare Oneの詳細については、こちらをご覧ください。