CASBとは?| Cloud Access Security Brokers

Cloud Access Security Broker(CASB)は、クラウドコンピューティングを利用する企業をデータ漏えいやサイバー攻撃から保護する数多くのサービスを提供します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Cloud Access Security Broker(CASB)を定義する
  • CASBの役割を知る
  • CASBの4つの柱を理解する

記事のリンクをコピーする

Cloud Access Security Broker(CASB)とは?

Cloud Access Security Broker(CASB)とは、企業のクラウドホスト型サービスの保護を支援する組織/コンセプト/サービスの総称です。CASBは、企業のSoftware-as-a-Service(SaaS)アプリケーションならびにInfrastructure-as-a-Service(IaaS)サービスやPlatform-as-a-Service(PaaS)サービスを、サイバー攻撃およびデータ漏えいから保護するのに役立ちます。通常、CASBはクラウドホスト型ソフトウェアとしてのサービスを提供しますが、一部のCASBはオンプレミスのソフトウェアアプライアンスやハードウェアアプライアンスも提供します。

CASBは様々なセキュリティ技術で構成されており、通常、CASBはこれらの技術を1つのパッケージにまとめて提供しています。これらの技術には、シャドーITの発見、 アクセス制御データ損失防止(DLP)などがあります。

CASBは、施設の安全を守るために、一人の警備員ではなく、複数のサービス(監視、巡回、本人確認など)を提供する物理的なセキュリティ会社のようなものだと考えてください。同様に、CASBは1つのサービスではなく、様々なサービスを提供することで、クラウドにおけるデータ保護プロセスを簡素化しています。

CASBはどの分野においてセキュリティを提供するか?

IT分野のリサーチ/コンサルティング会社であるGartnerは、Cloud Access Security Brokerの4つのピラーを定義しています。

  1. 可視性:CASBは「シャドーIT」を発見するのに役立ちます。正式に文書化されていない、システムやプロセス、特にクラウドサービスは、未知のセキュリティリスクをもたらす可能性があります。
  2. データセキュリティ: CASBは、会社の管理下にあるシステムから機密データが漏えいするのを防止し、そのデータの完全性を確保するようにします。この分野の関連技術には、アクセス制御データ損失防止(DLP)などがあります。
  3. 脅威防御:CASBは、データ漏えいを抑止することに加えて、外部からの脅威や攻撃をブロックします。マルウェア検出、サンドボックス、パケット検査、URLフィルタリングブラウザの分離などは、どれもサイバー攻撃を阻止するのに役立ちます。
  4. コンプライアンス:クラウドは広範囲に広がっていて自社の管理下にないため、SOC 2、HIPAA、またはGDPRのような厳格な規制要件を満たしたうえで企業がクラウドを運用するのが難しいことがあります。特定の業界や地域では、規制要件を遵守しない企業は罰則や罰金の対象になる可能性があります。厳格なセキュリティコントロールを実施することで、CASBはクラウドにデータを保存してビジネスプロセスを実行する企業が規制要件を遵守できるように支援します。

CASBはどのようなセキュリティ機能を提供するのか?

ほとんどのCASBは、以下の一部または全部のセキュリティ技術を提供します:

  • 本人認証:パスワードや物理的なトークンといった複数の本人認証要素をチェックしてユーザーが本人であることを確認します
  • アクセス制御:会社の管理下にあるアプリケーション内でユーザーが表示および実行できることを制御します
  • シャドーITの検出:適切な承認なしに従業員が使用しているシステムやサービスを特定します
  • データ損失防止(DLP):データ漏えいを阻止して、会社所有のプラットフォームからデータが流出するのを防止します
  • URLフィルタリング:攻撃者がフィッシングマルウェア攻撃に使用するWebサイトをブロックします
  • パケット検査:ネットワークに出入りするデータに悪意のある行為がないかどうかを検査します
  • サンドボックス:隔離された環境でプログラムとコードを実行して、悪意のあるものかどうかを判断します
  • ブラウザー分離:ユーザーのブラウザーを、ユーザーのデバイスではなくリモートサーバーで実行することで、ブラウザー内で実行される可能性がある潜在的に悪意のあるコードからデバイスを保護します
  • マルウェア検出:悪意のあるソフトウェアを特定します

この一覧はすべてを網羅しているわけではありません。CASBベンダーは、上記以外にも多くのセキュリティプロダクトを提供できます。こうした技術の一部には、ほかのタイプのセキュリティプロダクトにも含まれています。たとえば、多くのファイアウォールはパケット検査を提供し、多くのエンドポイントセキュリティ製品はマルウェア対策を提供します。ところが、CASBベンダーは、こうした技術をクラウドコンピューティング向けに特別にパッケージ化しています。

充実したCASBサービスを提供するため、多くの大手CASBベンダーは、ほかの既存プロダクトにバンドルするプロダクトや会社を取得・買収しています。また、追加のサービスを提供するために、ほかの分野・業界の企業とも提携するケースもあります。

企業がCASBを使う理由は?

クラウドコンピューティングでは、データは遠隔地に保存され、インターネットを介してアクセスされます。そのため、クラウドを利用する企業は、データの保存場所やユーザーのアクセス方法を制限することができます。ユーザーは、企業が管理する内部ネットワークからだけでなく、インターネットに接続された任意のデバイスや任意のネットワークからクラウドのデータやアプリケーションにアクセスすることができます。例えば、ユーザーは個人のデバイスを使用して保護されていないネットワークから企業が管理するSaaSアプリにログインすることができます。これは通常、オンプレミスのコンピュータやサーバ上で実行されるアプリケーションでは(リモートデスクトップを使用しない限り)不可能なことです。

また、クラウドを利用すると、データの機密性や安全性を確保することが難しくなります。これは、個室ではなく公共の場で会話をすると、見知らぬ人に盗み聞きされてしまうのと同じです。

クラウド上のデータを完全に保護するために、企業は通常、セキュリティサービスもクラウドベースのものを利用します。また、あるプラットフォームにはDLP、違うプラットフォームにはID、その他にはマルウェア対策など、それぞれのサービスを異なるベンダーから調達することもあります。しかし、このようなクラウドセキュリティへのアプローチからは、複数の契約を個別に交渉しなければならない、セキュリティポリシーを何度も設定しなければならない、複数のプラットフォームを導入・管理するとIT部門が複雑になる、などの課題が生まれます。

CASBはこれらの課題を解決する手段の一つです。これらのセキュリティ対策を複数の異なるベンダーからではなく、1つのクラウドセキュリティブローカーから購入することは、次のことに繋がります。

  1. 関連するすべてのテクノロジーが連携して機能する。
  2. クラウドセキュリティツールの管理の簡素化;ITチームは、複数のCASBベンダーではなく、1つのCASBベンダーと連絡を取り合うだけで済みます。また、多くのCASBベンダーは、顧客が1つのダッシュボードからすべてのクラウドセキュリティ対策サービスを管理できるようにしています。

CASBを利用する上での課題は何か?

拡張性:CASBは、大量のデータと複数のクラウドプラットフォームやアプリケーションを管理しなければなりません。企業は、CASBベンダーが企業の成長に合わせてスケールアップできるかどうかを確認する必要があります。

軽減機能:すべてのCASBが、セキュリティ上の脅威が特定された時点でそれを阻止する機能を提供しているわけではありません。状況によっては、軽減機能を持たないCASBは、企業にとって限られた用途にしか使えないものかもしれません。

連携性:企業は、CASBが自社のすべてのシステムやインフラと連携できることを確認する必要があります。完全な連携ができなければ、CASBは不正なITや潜在的なセキュリティ脅威を完全には把握できません。

データプライバシー:CASBベンダーはデータの機密性を保っているのか、それとも機密データに触れる外部の当事者の一人に過ぎないのでしょうか?CASBが顧客のデータをクラウドに移行する際には、どの程度の安全性と機密性があるのでしょうか?これらは、厳しいデータプライバシー規制の下で運営されている組織にとって、特に重要な問題です。

CASBを必要としているのは誰か?

一部または全部をクラウドに依存している企業の多くは、CASBベンダーと連携することで恩恵を受けることができます。現在、多くの企業が危惧している、シャドーITの増加に対する抑制に苦労している企業は、特にCASBサービスの恩恵を受けることができます。

CASBはSASEとどのように連携するか?

セキュアアクセスサービスエッジ(SASE)はクラウドベースのネットワークインフラストラクチャモデルであり、ネットワークサービスとセキュリティサービスを単一のサービスプロバイダーに統合することで、企業に接続されたすべてのデバイスのネットワークアクセスのセキュリティと管理をより簡素化するためのものです。CASBが様々なセキュリティサービスをバンドルするのと同様に、SASEは、SD-WAN(その他のネットワーク機能を含む)とCASB、セキュアウェブゲートウェイ(SWG)Zero Trustネットワークアクセス(ZTNA)firewall-as-a-service(FWaaS)などのネットワークセキュリティ機能をバンドルしています。SASEのソリューションは、単一のグローバルネットワークの上に構築されます。

CloudflareはCASBサービスを提供しているか?

Cloudflare Zero Trustは、企業のデータを保護する複数のCloudflareのセキュリティソリューションを束ねたものです。Cloudflare Accessは、これまでVPNを必要としていた内部管理アプリケーションへのアクセスを制御するために、IDベースのアクセス制御を提供します。Cloudflare Gatewayは、クライアントのデバイスをマルウェアから保護し、悪意のあるWebサイトをブロックし、コンテンツをフィルター処理します。また、Cloudflare Gatewayは、ブラウザー内の悪意のあるJavaScriptから保護するブラウザの分離技術も備えています。

Cloudflare Zero Trustは、クラウドサービスとそれを利用する企業の両方を保護するのに役立ちます。Cloudflare for Teamsの詳細またはほかのアクセス制御技術の概要については、こちらをご覧ください。