CASBとは? 従来のセキュリティとの比較を含めて解説
HC

橋爪兼続
Jul 31, 2023
CASBとは
近年、クラウドサービスの監視のためにCASB(Cloud Access Security Broker)を導入するケースが増えています。そもそもこのCASBとは、どのようなものなのでしょうか?従来のセキュリティ製品との違いなども解説していきます。

CASBとは、Cloud Access Security Brokerの略で、企業などの従業員がクラウドサービスの利用を一括管理するソリューションの総称です。最近はテレワークなどにより、クラウドサービスの利用は急速に拡大しています。しかしながら、会社の目が届かないところでの従業員のクラウドサービスの利用なども発生しています。その中には、セキュリティ対策が甘かったり、会社のセキュリティポリシーに会わないクラウドサービスを利用するケースもあります。このような会社の統制が行えていないITはシャドーIT(Shadow IT)と言われています。シャドーITがあると、外部の攻撃のみならず、部内者の故意や過失による情報漏洩リスクが高まります。
CASBはこのような課題の対策として有効に利用されています。CASBには4つの要件があり、これらはどれも必要不可欠です。
①可視化
CASBを導入すると、デバイスとクラウドサービスとの通信を監視できます。例えば、クラウドストレージへのアップロードやダウンロードなどの操作の監視と分析なども行うことができます。また、クラウドへのアクセス管理も可能となるため、シャドーIT対策としても活用できます。
②コンプライアンス
利用している各種クラウドサービスが企業のコンプライアンスに適合しているかを確認することができます。自社のクラウドサービスの使い方についても企業のポリシーに適合しているかを確認することが可能となります。CASBでは、クラウドサービス毎にセキュリティレベルを設定することができ、適切なリスク管理が行えます。
③データセキュリティ
CASBでは、データの種類毎にアクセス権限を設定することが可能です。アップロードやダウンロード、各種操作情報等様々な観点からセキュリティ対策を行うことができます。 特に複数のクラウドサービスを利用している場合に、通常であればそれぞれ設定する必要があります。しかしながらCASBを導入すると、一元的に管理することができ、それぞれのアクセス制限も行うことが可能となります。
④脅威防御
自社のクラウドにおける不審な行動検知やマルウェア検知を可能とします。インターネット上には様々な脅威があります。CASBを導入することにより、これらの脅威から保護することができ、情報漏洩リスクも押さえることが可能となります。

CASBの変遷
CASBには第一世代〜第三世代まであります。
第一世代では、シャドーIT の可視化を実現するためのものでした。
第二世代では、シャドーITの可視化に加えて利用状況の把握が加わりました。これはAPI連携機能を用いたものです。
そして次世代CASBとして言われている第三世代CASBです。これは、第二世代に加えてリアルタイム制御を加えたものになります。これにより、リアルタイムに制御することが可能となり、セキュリティ面・リスク管理上非常に有益なものとなります。

従来のセキュリティ製品との違い
先ほど、CASBの4つの要素として「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を挙げました。これらの機能は、CASB特有のものでなく、ファイアウォール等でこのようなものを実装している場合もあります。CASBがこれらと異なるのは、SaaS環境のセキュリティに強化されており、よりきめ細やかなセキュリティを簡単に設定できる事です。特にクラウドサービスでは、クラウドサービス毎に特化した定義が必要になります。これを従来のセキュリティで導入することは非常に複雑です。しかし、CASBでは、比較的容易に設定することが可能となっています。
CASBソリューションの選択で検討が必要なのが、どのように利用SaaSの情報を収集するかということです。
CASBの基本的な機能は、SaaSソリューションに関する情報を収集し、ユーザーの利用を制限するということです。どこから情報を収集し、利用制限を行うのかが重要になります。

まとめ
従来からセキュリティは重要と言われていましたが、クラウドサービスの導入により、対応しなければならないセキュリティ領域が変わってきています。従来のセキュリティでも対応できないわけではありませんが、複雑になるため設定のミス等が発生する恐れも高まります。CASBでは、その複雑な設定を簡単に行うことができるようになるのです。
クラウド管理についてもまとめていますのでこちらの記事もご参考ください。

執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
他の記事

