CASBとは?| Cloud Access Security Brokers

Cloud Access Security Broker(CASB)は、クラウドコンピューティングを利用する企業をデータ漏えいやサイバー攻撃から保護する数多くのサービスを提供します。

Share facebook icon linkedin icon twitter icon email icon

CASB

学習目的

この記事を読み終えると、以下のことができます。

  • Cloud Access Security Broker(CASB)を定義する
  • CASBの役割を知る
  • CASBの4つの柱を理解する

Cloud Access Security Broker(CASB)とは?

casb

Cloud Access Security Broker(CASB)とは、企業のクラウドホスト型サービスの保護を支援する組織/コンセプト/サービスの総称です。CASBは、企業のSoftware-as-a-Service(SaaS)アプリケーションならびにInfrastructure-as-a-Service(IaaS)サービスやPlatform-as-a-Service(PaaS)サービスを、サイバー攻撃およびデータ漏えいから保護するのに役立ちます。通常、CASBはクラウドホスト型ソフトウェアとしてのサービスを提供しますが、一部のCASBはオンプレミスのソフトウェアアプライアンスやハードウェアアプライアンスも提供します。

さまざまなセキュリティ技術がCASBに分類されます。通常、CASBはそうした技術を1つのバンドルパッケージにて提供します。CASBをセキュリティ会社だと考えるとわかりやすいです。施設の安全を確保するために、1人の警備員ではなく、さまざまなサービス(監視、見回り、本人確認など)を提供する組織なのです。

CASBが必要な理由

クラウドコンピューティングでは、クラウドにデータを保存してインターネットを介してアクセスします。そのため、クラウドを利用する企業は、データの保管場所やユーザーのアクセス方法について限定的にしかコントロールできません。ユーザーは、社内ネットワークだけでなく、あらゆるネットワークから、インターネットに接続されたデバイス上のデータやアプリケーションにアクセスできます。また、クラウドを利用することで、データを秘密で安全なものにしておくことが難しくなります。個室ではなく公共の場で交わされる会話の内容を第三者に盗み聞きされないようにするのが難しいのと同じことです。

CASBによって提供されるクラウド固有のセキュリティ対策は、そうしたリスクを軽減して、社内のデータやプロセスを保護することができます。複数のCASBベンダーからではなく、1つのCASBベンダーからセキュリティ対策サービスを購入することには、いくつかの大きなメリットがあります:

  1. 関係するすべての技術が連携するようにします。
  2. クラウドセキュリティツールの管理を大幅に簡略化します;ITチームは、複数のCASBベンダーではなく、1つのCASBベンダーと連絡を取り合うだけで済みます。また、多くのCASBベンダーは、顧客が1つのダッシュボードからすべてのクラウドセキュリティ対策サービスを管理できるようにしています。

CASBはどの分野においてセキュリティを提供するか?

casb features

IT分野のリサーチ/コンサルティング会社であるGartnerは、Cloud Access Security Brokerの4つのピラーを定義しています。

  1. 可視性:CASBは「シャドーIT」を発見するのに役立ちます。正式に文書化されていない、システムやプロセス、特にクラウドサービスは、未知のセキュリティリスクをもたらす可能性があります。
  2. データセキュリティ: CASBは、会社の管理下にあるシステムから機密データが漏えいするのを防止し、そのデータの完全性を確保するようにします。この分野の関連技術には、アクセス制御データ損失防止(DLP)などがあります。
  3. 脅威防御:CASBは、データ漏えいを抑止することに加えて、外部からの脅威や攻撃をブロックします。マルウェア検出、サンドボックス、パケット検査、URLフィルタリング、ブラウザー分離などは、どれもサイバー攻撃を阻止するのに役立ちます。
  4. コンプライアンス:クラウドは広範囲に広がっていて自社の管理下にないため、SOC 2、HIPAA、またはGDPRのような厳格な規制要件を満たしたうえで企業がクラウドを運用するのが難しいことがあります。特定の業界や地域では、規制要件を遵守しない企業は罰則や罰金の対象になる可能性があります。厳格なセキュリティコントロールを実施することで、CASBはクラウドにデータを保存してビジネスプロセスを実行する企業が規制要件を遵守できるように支援します。

CASBはどのようなセキュリティ機能を提供するのか?

ほとんどのCASBは、以下の一部または全部のセキュリティ技術を提供します:

  • 本人認証:パスワードや物理的なトークンといった複数の本人認証要素をチェックしてユーザーが本人であることを確認します
  • アクセス制御:会社の管理下にあるアプリケーション内でユーザーが表示および実行できることを制御します
  • シャドーITの検出:適切な承認なしに従業員が使用しているシステムやサービスを特定します
  • データ損失防止(DLP):データ漏えいを阻止して、会社所有のプラットフォームからデータが流出するのを防止します
  • URLフィルタリング:攻撃者がフィッシングやマルウェア攻撃に使用するWebサイトをブロックします
  • パケット検査:ネットワークに出入りするデータに悪意のある行為がないかどうかを検査します
  • サンドボックス:隔離された環境でプログラムとコードを実行して、悪意のあるものかどうかを判断します
  • ブラウザー分離:ユーザーのブラウザーを、ユーザーのデバイスではなくリモートサーバーで実行することで、ブラウザー内で実行される可能性がある潜在的に悪意のあるコードからデバイスを保護します
  • マルウェア検出:悪意のあるソフトウェアを特定します

この一覧はすべてを網羅しているわけではありません。CASBベンダーは、上記以外にも多くのセキュリティプロダクトを提供できます。こうした技術の一部には、ほかのタイプのセキュリティプロダクトにも含まれています。たとえば、多くのファイアウォールはパケット検査を提供し、多くのエンドポイントセキュリティ製品はマルウェア対策を提供します。ところが、CASBベンダーは、こうした技術をクラウドコンピューティング向けに特別にパッケージ化しています。

充実したCASBサービスを提供するため、多くの大手CASBベンダーは、ほかの既存プロダクトにバンドルするプロダクトや会社を取得・買収しています。また、追加のサービスを提供するために、ほかの分野・業界の企業とも提携するケースもあります。

CloudflareはCASBサービスを提供しているか?

Cloudflare for Teamsは、企業のデータを保護する複数のCloudflareプロダクトをバンドルしたものです。Cloudflare Accessは、これまでVPNを必要としていた内部管理アプリケーションへのアクセスを制御するのにアイデンティに基づくアクセス制御を提供します。Cloudflare Gatewayは、クライアントのデバイスをマルウェアから保護し、悪意のあるWebサイトをブロックし、コンテンツをフィルター処理します。また、Cloudflare Gatewayは、悪意のあるブラウザー内のJavaScriptから保護するブラウザー分離技術を備えています。

Cloudflare for Teamsは、クラウドサービスとそれを利用する企業の両方を保護するのに役立ちます。Cloudflare for Teamsの詳細またはほかのアクセス制御技術の概要については、こちらをご覧ください。