HC
橋爪兼続
2023/07/31
近年、クラウドサービスの監視のためにCASB(Cloud Access Security Broker)を導入するケースが増えています。そもそもこのCASBとは、どのようなものなのでしょうか?従来のセキュリティ製品との違いなども解説していきます。
CASBとは
CASBとは、Cloud Access Security Brokerの略で、企業などの従業員がクラウドサービスの利用を一括管理するソリューションの総称です。最近はテレワークなどにより、クラウドサービスの利用は急速に拡大しています。しかしながら、会社の目が届かないところでの従業員のクラウドサービスの利用なども発生しています。その中には、セキュリティ対策が甘かったり、会社のセキュリティポリシーに会わないクラウドサービスを利用するケースもあります。このような会社の統制が行えていないITはシャドーIT(Shadow IT)と言われています。シャドーITがあると、外部の攻撃のみならず、部内者の故意や過失による情報漏洩リスクが高まります。
CASBはこのような課題の対策として有効に利用されています。CASBには4つの要件があり、これらはどれも必要不可欠です。
①可視化
CASBを導入すると、デバイスとクラウドサービスとの通信を監視できます。例えば、クラウドストレージへのアップロードやダウンロードなどの操作の監視と分析なども行うことができます。また、クラウドへのアクセス管理も可能となるため、シャドーIT対策としても活用できます。
②コンプライアンス
利用している各種クラウドサービスが企業のコンプライアンスに適合しているかを確認することができます。自社のクラウドサービスの使い方についても企業のポリシーに適合しているかを確認することが可能となります。CASBでは、クラウドサービス毎にセキュリティレベルを設定することができ、適切なリスク管理が行えます。
③データセキュリティ
CASBでは、データの種類毎にアクセス権限を設定することが可能です。アップロードやダウンロード、各種操作情報等様々な観点からセキュリティ対策を行うことができます。 特に複数のクラウドサービスを利用している場合に、通常であればそれぞれ設定する必要があります。しかしながらCASBを導入すると、一元的に管理することができ、それぞれのアクセス制限も行うことが可能となります。
④脅威防御
自社のクラウドにおける不審な行動検知やマルウェア検知を可能とします。インターネット上には様々な脅威があります。CASBを導入することにより、これらの脅威から保護することができ、情報漏洩リスクも押さえることが可能となります。
CASBの変遷
CASBには第一世代〜第三世代まであります。
第一世代では、シャドーIT の可視化を実現するためのものでした。
第二世代では、シャドーITの可視化に加えて利用状況の把握が加わりました。これはAPI連携機能を用いたものです。
そして次世代CASBとして言われている第三世代CASBです。これは、第二世代に加えてリアルタイム制御を加えたものになります。これにより、リアルタイムに制御することが可能となり、セキュリティ面・リスク管理上非常に有益なものとなります。
従来のセキュリティ製品との違い
先ほど、CASBの4つの要素として「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を挙げました。これらの機能は、CASB特有のものでなく、ファイアウォール等でこのようなものを実装している場合もあります。CASBがこれらと異なるのは、SaaS環境のセキュリティに強化されており、よりきめ細やかなセキュリティを簡単に設定できる事です。特にクラウドサービスでは、クラウドサービス毎に特化した定義が必要になります。これを従来のセキュリティで導入することは非常に複雑です。しかし、CASBでは、比較的容易に設定することが可能となっています。
CASBソリューションの選択で検討が必要なのが、どのように利用SaaSの情報を収集するかということです。
CASBの基本的な機能は、SaaSソリューションに関する情報を収集し、ユーザーの利用を制限するということです。どこから情報を収集し、利用制限を行うのかが重要になります。
まとめ
従来からセキュリティは重要と言われていましたが、クラウドサービスの導入により、対応しなければならないセキュリティ領域が変わってきています。従来のセキュリティでも対応できないわけではありませんが、複雑になるため設定のミス等が発生する恐れも高まります。CASBでは、その複雑な設定を簡単に行うことができるようになるのです。
クラウド管理についてもまとめていますのでこちらの記事もご参考ください。
CASBとは
近年、クラウドサービスの監視のためにCASB(Cloud Access Security Broker;クラウド アクセス セキュリティ ブローカー)を導入するケースが増えています。そもそもこのCASBとは、どのようなものなのでしょうか?従来のセキュリティ製品との違いなども解説していきます。
CASBとは、Cloud Access Security Brokerの略で、企業などの従業員がクラウドサービスの利用を一括管理するソリューションの総称です。最近はテレワークなどにより、クラウドサービスの利用は急速に拡大しています。しかしながら、会社の目が届かないところでの従業員のクラウドサービスの利用なども発生しています。その中には、セキュリティ対策が甘かったり、会社のセキュリティポリシーに会わないクラウドサービスを利用するケースもあります。このような会社の統制が行えていないITはシャドーIT(Shadow IT)と言われています。シャドーITがあると、外部の攻撃のみならず、部内者の故意や過失による情報漏洩リスクが高まります。
CASBはこのような課題の対策として有効に利用されています。CASBには4つの要件があり、これらはどれも必要不可欠です。
①可視化
CASBを導入すると、デバイスとクラウドサービスとの通信を監視できます。例えば、クラウドストレージへのアップロードやダウンロードなどの操作の監視と分析なども行うことができます。また、クラウドへのアクセス管理も可能となるため、シャドーIT対策としても活用できます。
②コンプライアンス
利用している各種クラウドサービスが企業のコンプライアンスに適合しているかを確認することができます。自社のクラウドサービスの使い方についても企業のポリシーに適合しているかを確認することが可能となります。CASBでは、クラウドサービス毎にセキュリティレベルを設定することができ、適切なリスク管理が行えます。
③データセキュリティ
CASBでは、データの種類毎にアクセス権限を設定することが可能です。アップロードやダウンロード、各種操作情報等様々な観点からセキュリティ対策を行うことができます。 特に複数のクラウドサービスを利用している場合に、通常であればそれぞれ設定する必要があります。しかしながらCASBを導入すると、一元的に管理することができ、それぞれのアクセス制限も行うことが可能となります。
④脅威防御
自社のクラウドにおける不審な行動検知やマルウェアの検知を可能とします。インターネット上には様々な脅威があります。CASBを導入することにより、これらの脅威から保護することができ、情報漏洩リスクも押さえることが可能となります。
CASBの変遷
CASBには第一世代〜第三世代まであります。
第一世代では、シャドーIT の可視化を実現するためのものでした。
第二世代では、シャドーITの可視化に加えて利用状況の把握が加わりました。これはAPI連携機能を用いたものです。
そして次世代CASBとして言われている第三世代CASBです。これは、第二世代に加えてリアルタイム制御を加えたものになります。これにより、リアルタイムに制御することが可能となり、セキュリティ面・リスク管理上非常に有益なものとなります。
従来のセキュリティ製品との違い
先ほど、CASBの4つの要素として「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を挙げました。これらの機能は、CASB特有のものでなく、ファイアウォール等でこのようなものを実装している場合もあります。CASBがこれらと異なるのは、SaaS環境のセキュリティに強化されており、よりきめ細やかなセキュリティを簡単に設定できる事です。特にクラウドサービスでは、クラウドサービス毎に特化した定義が必要になります。これを従来のセキュリティで導入することは非常に複雑です。しかし、CASBでは、比較的容易に設定することが可能となっています。
CASBソリューションの選択で検討が必要なのが、どのように利用SaaSの情報を収集するかということです。
CASBの基本的な機能は、SaaSソリューションに関する情報を収集し、ユーザーの利用を制限するということです。どこから情報を収集し、利用制限を行うのかが重要になります。
まとめ
従来からセキュリティは重要と言われていましたが、クラウドサービスの導入により、対応しなければならないセキュリティ領域が変わってきています。従来のセキュリティでも対応できないわけではありませんが、複雑になるため設定のミス等が発生する恐れも高まります。CASBでは、その複雑な設定を簡単に行うことができるようになるのです。
クラウド管理についてもまとめていますのでこちらの記事もご参考ください。
よくある質問
CASBとは何ですか?
CASB(キャスビー/Cloud Access Security Broker;クラウド アクセス セキュリティ ブローカー)は、組織がクラウドサービスを安全に活用するためのセキュリティツールやプラットフォームです。これは、クラウドサービスへのアクセスとデータの共有をモニタリング、制御、保護する役割を担っています。具体的には、CASBは以下のような機能を提供します。
・セキュリティの可視性とモニタリング: クラウドサービスの利用状況やセキュリティイベントをモニタリングし、企業のセキュリティの可視性を高めます。
・アクセス制御とポリシー適用: ユーザーのクラウドサービスへのアクセスを制御し、ポリシーを適用してセキュリティを確保します。たとえば、特定のデータへのアクセス制限を設定できます。
・データ保護と暗号化: データの共有や保存時に暗号化を行い、データ漏洩を防止します。
・リスク評価とコンプライアンス遵守: クラウドサービスのセキュリティリスクを評価し、規制やコンプライアンスに準拠するための支援を提供します。
・インシデント対応と調査: インシデント発生時に迅速な対応を可能にし、調査を行うためのツールを提供します。
CASBは、従来のセキュリティモデルがクラウドサービスに適用されない場合に、クラウドセキュリティの強化やリスクの軽減に役立ちます。クラウドサービスプロバイダーの利用状況やクラウドサービス、クラウドアプリケーション、それらに伴う機密情報への脅威に対するセキュリティサービスを提供します。利用者がクラウドサービスを利用する際にセキュリティインシデントを防ぐ役割を果たします。CASBは、クラウドアプリケーションの利用状況や機密情報へのアクセスを監視し、セキュリティポリシーに基づいて制御を行うことで、セキュリティの強化とリスクの軽減を目指します。
デバイスのセキュリティと管理を強化し、クラウド環境でのデータ保護を実現するための重要なツールです。デバイスは、組織内外で利用されるさまざまなコンピュータやモバイルデバイス、スマートフォン、タブレットなどを指します。
CASBとは、従業員が利用するクラウドサービスを管理し、データのセキュリティを保護するための技術です。従業員がクラウドサービスを使用する際に発生するシャドーIT(影のIT)の問題を解決することがその主な機能です。CASBはクラウドアプリの利用状況を可視化し、制御することでセキュリティ対策を行います。従業員のクラウドサービス利用状況を把握し、データの安全な利用を実現するため、企業がクラウド環境をより安全に管理できる仕組みです。
CasbとSWGの違いは何ですか?
SWG(Secure Web Gateway)とCASB(Cloud Access Security Broker)の違いは、SWGがWebトラフィック全体を対象とするのに対し、CASBはクラウドサービスの利用時に特化している点にあります。SWTでは、クラウドサービスの監視も可能ですが、CASBの方がより詳細な設定が可能です。
CASBにはどんな機能がありますか?
CASBが提供する主な機能は、大きく分けて、「クラウドサービスの利用状況の可視化と分析」、「セキュリティポリシーの準拠監査やクラウドサービス利用の制御(コンプライアンスとコントロール)」、「データ持ち出しのチェックやブロック(データセキュリティ)」、「脅威の検出や不審な行動検知・マルウェア検知」の4つに大別されます。
CASBは、クラウド環境でのマルウェア対策として、以下のような役割を果たします。
マルウェアの検出とブロック: CASBはクラウドサービス内でのアクティビティを監視し、悪意のあるアクセスやファイルのアップロードなどを検出し、ブロックします。
マルウェア対策ポリシーの適用: CASBはセキュリティポリシーを設定し、マルウェアの脅威に対する対策を実施します。これにはファイルのスキャン、悪意のあるURLへのアクセスの制限、アクセスコントロールなどが含まれます。
マルウェア対策の強化: CASBはクラウドサービス内のデータや通信を暗号化し、マルウェアからの侵入を難しくします。
要するに、CASBはクラウド環境においてマルウェアからの保護とセキュリティポリシーの施行を支援するツールであり、組織がクラウドリソースを安全に利用できるようにします。
CspmとCasbの違いは何ですか?
CSPMとCASB(Cloud Access Security Broker)では、チェックする範囲が異なります。CSPMはクラウドサービスの設定をチェックするのに対し、CASBはクラウドへのアクセスと情報の管理をチェックし、必要に応じてアクセスを制御したりブロックしたりします。
Casbの料金はいくらですか?
CASBの価格は、多くの場合、SASEとバンドルされたりコンポーネントとして提供されたりします。 SASEは一般的に個別の見積もり制であり、概算としては1ユーザーあたりの年間サブスクリプション契約が約1万5000~2万5000円程度です。
CASBの仕組みは?
CASBは、ユーザーがクラウドサービスにアクセスする際の経路にコントロールポイントを設けることでセキュリティ対策を実現する仕組みです。 具体的には、社内ネットワークから外部へのアクセス時にCASBを経由することで、利用状況の記録、データの暗号化、コンプライアンス違反の利用制限などの機能を実現します。
CASBは暗号化できますか?
CASBは、データが静止時(ストレージデバイス上)と移動時(ネットワーク上を移動中)の両方で暗号化し、盗聴や中間者攻撃(MitM攻撃)を防ぐ役割を果たします。
Casbの要件は?
CASBの要件には、「可視化」、「データセキュリティ」、「脅威防御」、「コンプライアンス」という4つの機能が推奨されています。
CASBの導入方法にはどのようなものがありますか?
CASB(Cloud Access Security Broker)の導入方法は、主に次の3つのカテゴリに分けられます。
API連携による導入:クラウドサービスが提供するAPIと連携して、セキュリティ機能を導入します。この方法では、CASBはAPIを介してクラウドサービスと通信し、セキュリティポリシーの適用やログの取得、セキュリティイベントの監視を行います。企業が利用するクラウドサービスがAPIをサポートしている必要があります。
プロキシ方式による導入:通信経路上にCASBを配置し、トラフィックをリダイレクトして制御します。CASBはトラフィックを解析し、セキュリティポリシーに基づいて制御や監視を行います。この方法では、特定の通信経路を経由するため、全てのクラウドサービスにおいて利用できます。
端末エージェントによる導入:端末にエージェントをインストールして、クラウドサービスとの通信を制御します。エージェントはデバイス上で動作し、クラウドサービスとのやり取りを監視し、セキュリティポリシーに基づいて制御します。この方法では、特定のデバイスにエージェントを導入する必要があります。
CASBとはどういう意味ですか?
CASB(Cloud Access Security Broker)とは、企業や組織が従業員によるクラウドサービスの利用を可視化し、制御するためのソリューションを指します。
CASBとSASEの違いは何ですか?
CASBとSASEの主な違いは、CASBが主にクラウドサービスに関連するセキュリティポリシーの管理に特化しているのに対し、SASEはセキュリティとネットワークを統合し、セキュリティを担保したうえでアクセスを実現することを目的としています。
Casbとクラウドプロキシの違いは何ですか?
クラウドプロキシはクラウドサービスを含むインターネット通信全体を監視および制御しますが、CASBと比較するとクラウドサービスの可視化および制御において制約があることが一般的です。 クラウドプロキシはカバー範囲が広い一方で、CASBはクラウドに特化した機能が強調されていると言えます。
CASBのメリット・デメリットは?
CASBのメリットとデメリットは以下の通りです。
メリット
セキュリティ強化: CASBはクラウド環境での企業のセキュリティを向上させ、データ漏洩や不正アクセスから組織を保護します。
可視化: CASBはクラウドサービスへのアクセスを可視化し、組織内でのアクティビティを監視できるため、セキュリティのトランスペアレンシーが向上します。
アクセス制御: CASBはアクセス制御を実施し、認証や認可に基づいてユーザーのクラウドアクセスを制御します。
データ保護: データの暗号化やデータ損失防止(DLP)などの機能を提供し、データの保護を強化します。
コンプライアンス遵守: CASBは規制やコンプライアンス要件を満たすためのレポートやポリシーを提供し、法的要件を遵守するのに役立ちます。
デメリット
コスト: CASBの導入と運用にはコストがかかる場合があり、中小企業にとっては負担になることがあります。
複雑性: セキュリティ強化のためにCASBを導入することは、新たな複雑性を導入する可能性があります。設定や管理が難しいこともあります。
適応に時間がかかる: CASBの導入と適応には時間がかかることがあり、組織の変化への適応に時間がかかる可能性があります。
ユーザーエクスペリエンスへの影響: 適切なポリシーや制御が実施されない場合、ユーザーエクスペリエンスに悪影響を及ぼす可能性があります。
CASBはセキュリティ向上とクラウド環境の保護に役立ちますが、慎重な計画と運用が必要です。
CASBとプロキシの違いは何ですか?
CASBとプロキシの違いは以下の通りです:
機能とスコープ
CASB(Cloud Access Security Broker): CASBは主にクラウドサービスへのアクセスを監視し、クラウドセキュリティポリシーの適用、データの暗号化、脅威の検知などを提供します。クラウド環境でのセキュリティ向上に焦点を当てています。
プロキシ: プロキシは通信の中継役を果たし、企業内のネットワークから外部のリソースにアクセスする際のセキュリティを提供します。一般的に、ウェブプロキシ、フォワードプロキシ、リバースプロキシなどがあり、ネットワーク全体のセキュリティに関与します。
対象とアプローチ:
CASB: CASBは主にクラウドサービスに焦点を当て、クラウド内でのユーザーアクティビティに対処します。クラウドアプリケーションへのアクセスとデータのセキュリティを向上させます。
プロキシ: プロキシは通信経路全体に関与し、ネットワーク全体の通信を監視し制御します。ウェブフィルタリング、アクセス制御、セキュリティ対策を提供し、インターネットアクセス全体に影響を及ぼします。
設定と管理
CASB: CASBはクラウドサービスに対するポリシーを設定および管理し、クラウドアプリケーション内での活動を追跡します。クラウドベースのソリューションであり、クラウドサービスに特化しています。
プロキシ: プロキシはネットワークインフラストラクチャ内で設定および管理され、ネットワークトラフィック全体に適用されます。通常、ファイアウォールやプロキシサーバーを介して実装されます。
CASBとプロキシは、セキュリティ戦略の異なる側面に焦点を当てており、用途に応じて選択されます。 CASBはクラウドセキュリティに特化しており、プロキシはネットワークセキュリティを強化するのに役立ちます。
CASBの必要性とは?
CASB(Cloud Access Security Broker)の必要性は以下の通りです。
クラウドセキュリティ強化:
企業はますますクラウドサービスの利用をしており、従業員がクラウドベースのアプリケーションにアクセスすることが一般的です。CASBは、これらのクラウドアプリケーションのセキュリティを強化し、データ漏えいや不正アクセスから企業を保護します。
アクセスの可視化:
CASBはクラウドサービスへのアクセスを可視化し、誰が何を行っているかを監視します。これにより、企業はアクセス活動を把握し、ポリシー違反や不正アクセスを素早く検出できます。
データの保護:
CASBはデータの保護に焦点を当て、データの暗号化、アクセスコントロール、データ損失防止(DLP)などの機能を提供します。クラウド内のデータ漏えいを防ぎ、機密情報を保護します。
コンプライアンス要件の遵守:
企業は様々な規制やコンプライアンス要件に従う必要があります。CASBはこれらの要件を満たすために必要な監査トレイルやレポートを提供し、コンプライアンス要件を遵守します。
新たなセキュリティリスクへの対応:
クラウド環境では、伝統的なネットワークセキュリティツールだけでは不足する場合があります。CASBはクラウドに特有のセキュリティリスクに対処し、新たな脅威に対応します。
CASBは企業にとって、クラウドセキュリティの強化、アクセスの可視化、データ保護、コンプライアンス遵守、新たなセキュリティリスクへの対応など、さまざまなメリットをもたらします。企業がクラウドを安全かつ効果的に活用するために不可欠なツールと言えます。
アプリケーションプロキシとは何ですか?
アプリケーションプロキシとは、ユーザーがリモートクライアントからオンプレミスのWebアプリケーションにアクセスできるようにするためのMicrosoft Entra IDの機能です。アプリケーションプロキシは、リモートからの安全なアプリケーションアクセスを可能にし、ユーザーがオンプレミスのWebアプリケーションにセキュアに接続できるようにします。
CASBの管理者とは?
CASBは、クラウド環境でのセキュリティを管理する管理者にとって強力なツールです。管理者は組織内でCASBを導入し、以下のように役立てます。
クラウドアプリケーションの可視化: CASBは組織が利用しているクラウドアプリケーションを可視化します。管理者はどのアプリケーションが使用されているかを把握し、セキュリティポリシーを設定できます。
セキュリティポリシーの設定: 管理者はCASBを使用して、クラウドアプリケーションへのアクセスに関するセキュリティポリシーを設定します。例えば、データの転送を監視し、データの暗号化を要求するポリシーを設定できます。
ユーザーアクティビティの監視: CASBはユーザーアクティビティをリアルタイムで監視します。管理者は誰が何をしているかを追跡し、不正なアクティビティを検出できます。
リスクの評価: CASBはセキュリティリスクを評価し、管理者に警告を提供します。例えば、ユーザーがセキュリティ違反を試みた場合、管理者に通知が送られます。
インシデント対応: セキュリティインシデントが発生した場合、管理者はCASBを使用して迅速に対応できます。データ漏洩や不正アクセスに対する対策を実施します。
総括すると、CASBはクラウドセキュリティを管理するためのツールで、管理者は組織のデータとユーザーを守るためにCASBを活用します。セキュリティポリシーの設定、アクティビティの監視、リスク管理、およびセキュリティインシデントへの対応において、管理者はCASBを中心にセキュリティを強化します。
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。