Cloud Access Security Broker(CASB)は、クラウドコンピューティングを利用する企業をデータ漏えいやサイバー攻撃から保護する数多くのサービスを提供します。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
Cloud Access Security Broker(CASB)とは、企業のクラウドホスト型サービスの保護を支援する組織/コンセプト/サービスの総称です。CASBは、企業のSoftware-as-a-Service(SaaS)アプリケーションならびにInfrastructure-as-a-Service(IaaS)サービスやPlatform-as-a-Service(PaaS)サービスを、サイバー攻撃およびデータ漏えいから保護するのに役立ちます。通常、CASBはクラウドホスト型ソフトウェアとしてのサービスを提供しますが、一部のCASBはオンプレミスのソフトウェアアプライアンスやハードウェアアプライアンスも提供します。
CASBは様々なセキュリティ技術で構成されており、通常、CASBはこれらの技術を1つのパッケージにまとめて提供しています。これらの技術には、シャドーITの発見、 アクセス制御、データ損失防止(DLP)などがあります。
CASBは、施設の安全を守るために、一人の警備員ではなく、複数のサービス(監視、巡回、本人確認など)を提供する物理的なセキュリティ会社のようなものだと考えてください。同様に、CASBは1つのサービスではなく、様々なサービスを提供することで、クラウドにおけるデータ保護プロセスを簡素化しています。
IT分野のリサーチ/コンサルティング会社であるGartnerは、Cloud Access Security Brokerの4つのピラーを定義しています。
ほとんどのCASBは、以下の一部または全部のセキュリティ技術を提供します:
この一覧はすべてを網羅しているわけではありません。CASBベンダーは、上記以外にも多くのセキュリティプロダクトを提供できます。こうした技術の一部には、ほかのタイプのセキュリティプロダクトにも含まれています。たとえば、多くのファイアウォールはパケット検査を提供し、多くのエンドポイントセキュリティ製品はマルウェア対策を提供します。ところが、CASBベンダーは、こうした技術をクラウドコンピューティング向けに特別にパッケージ化しています。
充実したCASBサービスを提供するため、多くの大手CASBベンダーは、ほかの既存プロダクトにバンドルするプロダクトや会社を取得・買収しています。また、追加のサービスを提供するために、ほかの分野・業界の企業とも提携するケースもあります。
クラウドコンピューティングでは、データは遠隔地に保存され、インターネットを介してアクセスされます。そのため、クラウドを利用する企業は、データの保存場所やユーザーのアクセス方法を制限することができます。ユーザーは、企業が管理する内部ネットワークからだけでなく、インターネットに接続された任意のデバイスや任意のネットワークからクラウドのデータやアプリケーションにアクセスすることができます。例えば、ユーザーは個人のデバイスを使用して保護されていないネットワークから企業が管理するSaaSアプリにログインすることができます。これは通常、オンプレミスのコンピュータやサーバ上で実行されるアプリケーションでは(リモートデスクトップを使用しない限り)不可能なことです。
また、クラウドを利用すると、データの機密性や安全性を確保することが難しくなります。これは、個室ではなく公共の場で会話をすると、見知らぬ人に盗み聞きされてしまうのと同じです。
クラウド上のデータを完全に保護するために、企業は通常、セキュリティサービスもクラウドベースのものを利用します。また、あるプラットフォームにはDLP、違うプラットフォームにはID、その他にはマルウェア対策など、それぞれのサービスを異なるベンダーから調達することもあります。しかし、このようなクラウドセキュリティへのアプローチからは、複数の契約を個別に交渉しなければならない、セキュリティポリシーを何度も設定しなければならない、複数のプラットフォームを導入・管理するとIT部門が複雑になる、などの課題が生まれます。
CASBはこれらの課題を解決する手段の一つです。これらのセキュリティ対策を複数の異なるベンダーからではなく、1つのクラウドセキュリティブローカーから購入することは、次のことに繋がります。
拡張性:CASBは、大量のデータと複数のクラウドプラットフォームやアプリケーションを管理しなければなりません。企業は、CASBベンダーが企業の成長に合わせてスケールアップできるかどうかを確認する必要があります。
軽減機能:すべてのCASBが、セキュリティ上の脅威が特定された時点でそれを阻止する機能を提供しているわけではありません。状況によっては、軽減機能を持たないCASBは、企業にとって限られた用途にしか使えないものかもしれません。
連携性:企業は、CASBが自社のすべてのシステムやインフラと連携できることを確認する必要があります。完全な連携ができなければ、CASBは不正なITや潜在的なセキュリティ脅威を完全には把握できません。
データプライバシー:CASBベンダーはデータの機密性を保っているのか、それとも機密データに触れる外部の当事者の一人に過ぎないのでしょうか?CASBが顧客のデータをクラウドに移行する際には、どの程度の安全性と機密性があるのでしょうか?これらは、厳しいデータプライバシー規制の下で運営されている組織にとって、特に重要な問題です。
一部または全部をクラウドに依存している企業の多くは、CASBベンダーと連携することで恩恵を受けることができます。現在、多くの企業が危惧している、シャドーITの増加に対する抑制に苦労している企業は、特にCASBサービスの恩恵を受けることができます。
セキュアアクセスサービスエッジ(SASE)はクラウドベースのネットワークインフラストラクチャモデルであり、ネットワークサービスとセキュリティサービスを単一のサービスプロバイダーに統合することで、企業に接続されたすべてのデバイスのネットワークアクセスのセキュリティと管理をより簡素化するためのものです。CASBが様々なセキュリティサービスをバンドルするのと同様に、SASEは、SD-WAN(その他のネットワーク機能を含む)とCASB、セキュアウェブゲートウェイ(SWG)、Zero Trustネットワークアクセス(ZTNA)、firewall-as-a-service(FWaaS)などのネットワークセキュリティ機能をバンドルしています。SASEのソリューションは、単一のグローバルネットワークの上に構築されます。
Cloudflare Zero Trustは、企業のデータを保護する複数のCloudflareのセキュリティソリューションを束ねたものです。Cloudflare Accessは、これまでVPNを必要としていた内部管理アプリケーションへのアクセスを制御するために、IDベースのアクセス制御を提供します。Cloudflare Gatewayは、クライアントのデバイスをマルウェアから保護し、悪意のあるWebサイトをブロックし、コンテンツをフィルター処理します。また、Cloudflare Gatewayは、ブラウザー内の悪意のあるJavaScriptから保護するブラウザの分離技術も備えています。
Cloudflare Zero Trustは、クラウドサービスとそれを利用する企業の両方を保護するのに役立ちます。Cloudflare for Teamsの詳細またはほかのアクセス制御技術の概要については、こちらをご覧ください。