CASBとは?| クラウドアクセスセキュリティブローカー
Cloud Access Security Broker(CASB)は、クラウドコンピューティングを利用する企業をデータ漏えいやサイバー攻撃から保護する数多くのサービスを提供します。
学習目的
この記事を読み終えると、以下のことができるようになります。
- Cloud Access Security Broker(CASB)を定義する
- CASBの役割を知る
- CASBの4つの柱を理解する
関連コンテンツ
さらに詳しく知りたいとお考えですか?
大人気のインターネット関連インサイトの要約を毎月お届けします。
記事のリンクをコピーする
Cloud Access Security Broker(CASB)とは?
クラウドアクセスセキュリティブローカー(CASB)は、クラウドでホストされるサービスの保護に役立つセキュリティソリューションの一種です。CASBは、企業のSoftware as a Service(SaaS)アプリケーションならびにInfrastructure as a Service(IaaS)サービスやPlatform as a Service(PaaS)サービスを、サイバー攻撃およびデータ漏えいから保護するのに役立ちます。通常、CASBベンダーはクラウドホスト型ソフトウェアとしてのサービスを提供しますが、一部のCASBはオンプレミスのソフトウェアアプライアンスやハードウェアアプライアンスも提供します。
CASBは様々なセキュリティ技術で構成されており、通常、CASBソリューションはこれらの技術を1つのパッケージにまとめて提供しています。これらの技術には、シャドーITの発見、アクセス制御、データ損失防止(DLP)などがあります。
CASBは、施設の安全を守るために、一人の警備員ではなく、複数のサービス(監視、巡回、本人確認など)を提供する物理的なセキュリティ会社のようなものだと考えてください。同様に、CASBは1つのサービスではなく、様々なサービスを提供することで、クラウドにおけるデータ保護プロセスを簡素化しています。
CASBセキュリティの4つの柱とは?
IT分野のリサーチ/コンサルティング会社であるGartnerは、Cloud Access Security Brokerの4つのピラーを定義しています。
- 可視性:CASBソリューションは、正式に文書化されていない、システムやプロセス、特にクラウドサービスは、未知のセキュリティリスクをもたらす可能性がある「シャドーIT」を発見するのに役立ちます。
- データセキュリティ:CASBは、会社の管理下にあるシステムから機密データが漏洩するのを防止し、そのデータの完全性を確保するようにします。この機能は、従業員によって保護対象データがアップロードされる可能性のあるAIツールの普及に特に関連しています。この分野の重要技術には、アクセス制御とデータ損失防止(DLP)などがあります。
- 脅威防御:CASBは、データ漏えいを抑止することに加えて、外部からの脅威や攻撃をブロックします。マルウェア検出、サンドボックス、パケット検査、URLフィルタリング、ブラウザの分離などは、どれもサイバー攻撃を阻止するのに役立ちます。
- コンプライアンス:クラウドは広範囲に広がっていて自社の管理下にないため、SOC 2、HIPAA、またはGDPRのような厳格な規制要件を満たしたうえで企業がクラウドを運用するのが難しいことがあります。特定の業界や地域では、規制要件を遵守しない企業は罰則や罰金の対象になる可能性があります。厳格なセキュリティコントロールを実施することで、CASBはクラウドにデータを保存してビジネスプロセスを実行する企業が規制要件を遵守できるように支援します。
CASBはどのようなセキュリティ機能を提供するのか?
ほとんどのCASBソリューションは、以下の一部または全部のセキュリティ技術を提供します:
- 本人認証:パスワードや物理的なトークンといった複数の本人認証要素をチェックしてユーザーが本人であることを確認します
- アクセス制御:会社の管理下にあるアプリケーション内でユーザーが表示および実行できることを制御します
- シャドーITの検出:適切な承認なしに従業員が使用しているシステムやサービスを特定します
- データ損失防止(DLP):データ漏えいを阻止して、会社所有のプラットフォームからデータが流出するのを防止します
- URLフィルタリング:攻撃者がフィッシングやマルウェア攻撃に使用するWebサイトをブロックします
- パケット検査:ネットワークに出入りするデータに悪意のある行為がないかどうかを検査します
- サンドボックス:隔離された環境でプログラムとコードを実行して、悪意のあるものかどうかを判断します
- ブラウザー分離:ユーザーのブラウザーを、ユーザーのデバイスではなくリモートサーバーで実行することで、ブラウザー内で実行される可能性がある潜在的に悪意のあるコードからデバイスを保護します
- マルウェア検出:悪意のあるソフトウェアを特定します
この一覧はすべてを網羅しているわけではありません。CASBベンダーは、上記以外にも多くのセキュリティプロダクトを提供できます。こうした技術の一部には、ほかのタイプのセキュリティプロダクトにも含まれています。たとえば、多くのファイアウォールはパケット検査を提供し、多くのエンドポイントセキュリティ製品はマルウェア対策を提供します。ところが、CASBベンダーは、こうした技術をクラウドコンピューティング向けに特別にパッケージ化しています。
充実したCASBサービスを提供するため、多くの大手CASBベンダーは、ほかの既存プロダクトにバンドルするプロダクトや会社を取得・買収しています。また、追加のサービスを提供するために、ほかの分野・業界の企業とも提携するケースもあります。
CASBとDLP
データ規制のフレームワーク(GDPRなど)によって、組織のプライバシーの維持やデータ漏洩の回避対策への圧力がかけられていることからDLPの重要性は高まっている一方、従来のDLP製品は、現代のデータ環境を保護する上で弱点を抱えています。スタンドアロンのDLPサービスをクラウドサービスの追加レイヤーとして実装するのは困難です。CASBソリューションにDLPをバンドルすることでこれらの課題を解決し、組織のデータ保護とコンプライアンスの維持を可能にします。
CASBのメリットとは?
クラウドコンピューティングでは、データは遠隔地に保存され、インターネットを介してアクセスされます。そのため、クラウドを利用する企業は、データの保存場所やユーザーのアクセス方法を制限することができます。ユーザーは、企業が管理する内部ネットワークからだけでなく、インターネットに接続された任意のデバイスや任意のネットワークからクラウドのデータやアプリケーションにアクセスすることができます。例えば、ユーザーは個人のデバイスを使用して保護されていないネットワークから企業が管理するSaaSアプリにログインすることができます。これは通常、オンプレミスのコンピュータやサーバ上で実行されるアプリケーションでは(リモートデスクトップを使用しない限り)不可能なことです。
また、クラウドを利用すると、データの機密性や安全性を確保することが難しくなります。これは、個室ではなく公共の場で会話をすると、見知らぬ人に盗み聞きされてしまうのと同じです。
クラウド上のデータを完全に保護するために、企業は通常、セキュリティサービスもクラウドベースのものを利用します。また、あるプラットフォームにはDLP、違うプラットフォームにはID、その他にはマルウェア対策など、それぞれのサービスを異なるベンダーから調達することもあります。しかし、このようなクラウドセキュリティへのアプローチからは、複数の契約を個別に交渉しなければならない、セキュリティポリシーを何度も設定しなければならない、複数のプラットフォームを導入・管理するとIT部門が複雑になる、などの課題が生まれます。
CASBはこれらの課題を解決する手段の一つです。これらのセキュリティ対策を複数の異なるベンダーからではなく、1つのクラウドセキュリティブローカーから購入することは、次のことに繋がります。
- 関連するすべてのテクノロジーが連携して機能する。
- クラウドセキュリティツールの管理の簡素化;ITチームは、複数のCASBベンダーではなく、1つのCASBベンダーと連絡を取り合うだけで済みます。また、多くのCASBベンダーは、顧客が1つのダッシュボードからすべてのクラウドセキュリティ対策サービスを管理できるようにしています。
CASBを利用する上での課題は何か?
拡張性:CASBは、大量のデータと複数のクラウドプラットフォームやアプリケーションを管理しなければなりません。企業は、CASBベンダーが企業の成長に合わせてスケールアップできるかどうかを確認する必要があります。
軽減機能:すべてのCASBが、セキュリティ上の脅威が特定された時点でそれを阻止する機能を提供しているわけではありません。状況によっては、軽減機能を持たないCASBは、企業にとって限られた用途にしか使えないものかもしれません。
連携性:企業は、CASBが自社のすべてのシステムやインフラと連携できることを確認する必要があります。完全な連携ができなければ、CASBは不正なITや潜在的なセキュリティ脅威を完全には把握できません。
データプライバシー:CASBベンダーはデータの機密性を保っているのか、それとも機密データに触れる外部の当事者の一人に過ぎないのでしょうか?CASBが顧客のデータをクラウドに移行する際には、どの程度の安全性と機密性があるのでしょうか?これらは、厳しいデータプライバシー規制の下で運営されている組織にとって、特に重要な問題です。
CASBを必要としているのは誰か?
一部または全部をクラウドに依存している企業の多くは、CASBベンダーと連携することで恩恵を受けることができます。現在、多くの企業が危惧している、シャドーITの増加に対する抑制に苦労している企業は、特にCASBサービスの恩恵を受けることができます。
CASBはSASEとどのように連携するか?
セキュアアクセスサービスエッジ(SASE)はクラウドベースのネットワークインフラストラクチャモデルであり、ネットワークサービスとセキュリティサービスを単一のサービスプロバイダーに統合することで、企業に接続されたすべてのデバイスのネットワークアクセスのセキュリティと管理をより簡素化するためのものです。CASBが様々なセキュリティサービスをバンドルするのと同様に、SASEは、SD-WAN(その他のネットワーク機能を含む)とCASB、セキュアウェブゲートウェイ(SWG)、Zero Trustネットワークアクセス(ZTNA)、firewall-as-a-service(FWaaS)などのネットワークセキュリティ機能をバンドルしています。SASEのソリューションは、単一のグローバルネットワークの上に構築されます。
CloudflareはCASBサービスを提供しているか?
Cloudflare Oneには、CASB、DLP、Zero Trust、SWG、ブラウザー分離機能が単一のプラットフォームとして纏められています。これらのサービスは可能な限りエンドユーザーに近いCloudflareネットワークから配信され、オンプレミス、クラウド、ハイブリッドネットワークの前衛に設置することができます。Cloudflare Oneの詳細については、こちらをご覧ください。