クラウドアクセスセキュリティブローカー(CASB)は、クラウドベースのアプリケーションとデータを保護するために不可欠なツールです。本ガイドでは、クラウドサービスに対する可視性、制御、セキュリティを提供するCASBの役割について詳しく解説します。
ユーザーおよびエンティティの行動分析、データ損失防止、脅威防御など、CASBの主要機能について学びましょう。CASBが、クラウド中心の環境においてセキュリティポリシーの実施、脅威の検知と対応、コンプライアンスの確保にどのように役立つかを発見してください。
クラウドアクセスセキュリティブローカー(CASB)の4つの柱を分解する
以下の4つの柱が、CASBソリューションの基盤となる構成要素を定義しています。これらの柱が一体となって、CASB が適切に機能し、ビジネスに効果的で柔軟なセキュリティソリューションを提供することを保証します。
可視性
管理対象デバイスと非管理対象デバイスの両方で、組織のセキュリティチームにとって重要な懸念事項のひとつは可視性です。CASBは、組織が今日発展するクラウドサービスを活用しつつ、それらのサービス内でのデータや活動へのアクセスを管理することを可能にします。例えば、クラウドブローカレッジは認可された製品スイートへのアクセスを提供しますが、管理対象デバイス上のユーザーに限定します。これにより、企業は製品を安全に利用でき、管理対象外のデバイスが同じ製品で作成・管理されたデータにアクセスするリスクを回避できます。p>CASBソリューションを導入することで、組織は自社のクラウド支出の実態を正確に把握できます。CASBを活用すれば、全ユーザーが利用するクラウドサービスを包括的に把握できます。これにより、ライセンス費用や重複の明確な定義・分析が可能となり、セキュリティ対策であると同時に貴重な財務情報となります。
コンプライアンス
規制コンプライアンスは、現代のビジネス環境において最重要課題となっています。一部の企業はシステムやデータストレージをクラウドにアウトソーシングする選択をしていますが、企業データのプライバシーと安全性に関するコンプライアンス規制や管理については依然として責任を負っています。企業データとユーザーデータの安全性を確保するために設計されたコンプライアンスは、特にクラウド内のデータに関してはなおさらです。
CASBは、セキュリティリーダーのコンプライアンス対応を支援し、PCI-DSS、GDPR、HIPAAなど、自社の業界・地域・顧客層に適用される適切なフレームワーク管理を確実に遵守する道筋を示します。CASBを活用することで、セキュリティリーダーはコンプライアンス上の最高リスク領域を特定し、より適切な方向性を示せるため、セキュリティチームは労力とリソースを集中させることが可能になります。
データセキュリティ
近年、あらゆる規模・業界の組織がクラウドインフラへの移行を進めています。リモートワークの支援、迅速な業務拡大、コラボレーション強化といった利点を活用するためです。この傾向が続く中、クラウドのセキュリティ確保方法が最優先課題となり、企業クラウド環境をデータセンターと同等のレベルで保護する必要性が生じています。
CASBは、現代のテクノロジー環境における企業のクラウドセキュリティの重要な要素です。アクセス管理とデータ漏洩防止(DLP)を実装しているため、セキュリティチームはクラウドを積極的に保護し、疑わしい脅威に迅速に対応できます。CASBソリューションは、組織の技術的なセキュリティ要件と日常的な業務要件・慣行の両方をサポートできるゲートキーパー兼仲介役として機能すると考えてください。
脅威対策
拡張性と柔軟性で人気のクラウド環境には、機密性の高い業務上重要なデータがますます蓄積されています。クラウドサービスやデータへの不正アクセスを検知・防止することは、現代のセキュリティチームが担う主要な任務です。
セキュリティチームはマルウェア、ランサムウェア、その他のクラウドベースの脅威の兆候を継続的に監視する一方で、自社の従業員が感染ファイルを持ち込んだり、設定ミスを持ち込まないことも確認する必要があります。CASB は、組織が侵害の最初の兆候を確実に識別し、潜在的な問題に対してリアルタイムの対応を維持できるようにすることで、こうした問題から組織を防御することができます。これは、組織のクラウドインフラにおける典型的な使用パターンを集約・監視することで実現されます。CASBは攻撃の初期兆候となり得る異常な行動を特定し、悪意のある活動を認識するよう訓練可能です。
クラウドアクセスセキュリティブローカー(CASB)の仕組みとは?
CASBソリューションは、クラウドへの出入りの全トラフィックを検査し、組織の企業ポリシーに違反するトラフィックや、保護対象のクラウドインフラに潜在的なセキュリティリスクをもたらすトラフィックをブロックします。CASBは、データ保護、脅威防止、アクセス制御、可視化を組み合わせて実装します。
これは主に以下の3つのステップで実現されます:
- ディスカバリー —CASBソリューションは自動検出機能により、あらゆるサードパーティサービスおよびアプリケーションのリストを収集します。また、これらのサービスやアプリの利用者も収集し、クラウド利用の規模を把握します。
- 分類 –次に、各サービスやアプリケーション内のデータの種類、管理方法、共有方法に基づいて、関連するリスクレベルを判定します。
- 是正措置 – リスクを特定した後、ソリューションは組織が事前に定めたセキュリティ要件を満たすための事業固有のポリシーを設定します。CASBは、これらのポリシーのいずれかが違反された際に通知および警告を行うよう設定可能です。
本ソリューションは、クラウドへの入出トラフィックを監視するために必要な可視性とアクセス制御を確立するため、API経由で統合するか、組織のインフラを通過する他の企業向けクラウドソリューションからのトラフィックに設定できます。
CNAPPマーケットガイド企業がクラウドアクセスセキュリティブローカー(CASB)を活用する方法
現代の労働力におけるクラウド導入率の増加に伴い、CASBは現在、エンタープライズセキュリティの重要な要素と見なされており、セキュリティリーダーがすべてのクラウドアプリケーションおよびプラットフォームにおいて、転送中または保存中の企業データを管理することを支援しています。
現代の組織が長期的なセキュリティ戦略においてクラウドアクセスセキュリティブローカーの導入を進める主なビジネス上の理由トップ3は以下の通りです:
クラウド利用の制御
CASBは組織全体を包括的に可視化できることで知られていますが、セキュリティチームがサービスの種類、ID、活動、データ、アプリケーションごとにきめ細かな制御を行い、組織のクラウド利用をより詳細なレベルで管理する上でも役立ちます。これは、柔軟性に欠け拡張性のない従来の「画一的な」アプローチからの脱却を意味します。&
クラウドブローカレッジを通じたクラウドポリシーは、特定のリスクやサービスカテゴリに基づいて定義でき、組織は各ポリシーに対応するアクションを設定可能です。ブロック、アラートの作成、バイパス、暗号化、隔離などのアクションは、CASB がセキュリティチームに各ポリシーに関連付けることを許可する、カスタマイズされたアクションの例です。
データセキュリティとデータ損失防止 (DLP)
時間の経過とともに、ますます多くのデータが作成、取得、消費されるようになっています。最新の レポートによれば、世界のデータ量は2020年に64.2ゼタバイトに達し、2025年までに過去最高の180ゼタバイトに達すると予測されています。オンライン上のデータ量が上昇し続ける中、CASBは現代の組織がビジネス上重要なデータの取り扱いに伴うあらゆるリスクを特定し、是正するのに役立ちます。
CASBは組織内のDLP(データ漏洩防止)施策を支える重要な役割を担います。組織が利用する各クラウドサービスにおける機密データの保護・漏洩防止を実現するだけでなく、CASBソリューションは、ユーザーがオンプレミス環境かリモート環境か、モバイル端末を使用しているかブラウザ経由でアクセスしているかを問わず、認可済み・非認可のクラウドサービス双方におけるデータを保護します。CASBは暗号化、トークン化、アップロード防止といったDLP戦略の主要要素をすべてサポートします。
脅威防止とリスク管理
クラウド技術の普及と現代企業での利用拡大に伴い、クラウドベースの脅威やクラウド環境への攻撃も増加しています。CASBソリューションは、クラウドアプリケーションやサービス全体で異常な動作を検知することで、組織がマルウェアやランサムウェアに対抗する手助けができます。CASBは、侵害されたユーザー、不正なアプリ、高リスクな設定を特定する上でセキュリティチームを支援する重要な役割を果たします。
CASBはクラウドインフラへの脅威を自動的に検知・軽減するよう設計されているため、セキュリティチームは組織のクラウド攻撃対象領域におけるリスクを大幅に低減し、攻撃成功の可能性を制限できます。
シャドーIT管理
これはリモートワークとBYOD(Bring-Your-Own-Device)(BYOD)とセキュリティチームは、保護対象システム全体の可視性を確保するため、これまで以上に懸命に取り組んでいます。組織が利用するすべてのクラウドアプリケーションとサービスへの可視性を提供するCASBは、セキュリティチームが認可済みおよび非認可のすべてのインスタンスを管理するのを支援します。これには、組織のクラウドアプリ使用レベルの把握、クラウドへの支出額の報告、適切な長期的なアクセスポリシーを維持するための継続的なリスク評価が含まれます。
チームはCASBソリューションを訓練し、全てのクラウド活動を網羅した包括的なレポートを構築することも可能です。これにより経営陣は、セキュリティ対策、防御戦略、支援技術ソリューションや製品への投資について、情報に基づいた意思決定を行えます。
クラウドアクセスセキュリティブローカー(CASB)導入のヒント
CASBの導入には、ビジネス要件を明確に把握し、組織固有のシステムに最適に適合するブローカー環境を構築することが不可欠です。セキュリティ責任者は以下のステップに注力することで、円滑な導入を実現できます:
- デジタル環境を明確に評価し、計画を策定する。 既存のクラウドサービスやアプリケーション、クラウドベースのリスク要因、自社ビジネスや業界特有のセキュリティ・コンプライアンス要件の範囲を把握する。
- ビジネスに適合する適切なCASBソリューションを選択する。適切な適合性を確保するため、企業は詳細な概念実証(PoC)を実施するか、サイバーセキュリティアナリストからの調査結果を収集できます。
- CASBの展開場所を決定します。 CASBはオンプレミスまたはクラウドに展開できます。プロキシベースCASBは、ユーザーとSaaS(サービスとしてのソフトウェア)アプリケーションの間に配置されます。以下の3つの導入モデルから選択可能です:
- API制御 ― クラウド内のデータと脅威の可視化に最適です。迅速な導入をサポートし、包括的なセキュリティカバレッジを提供します。
- リバースプロキシ ― ネットワークセキュリティの境界外に配置されるデバイスに最適です。このモードでは、プロキシがユーザーに近く、ユーザーのデバイスやネットワークがトラフィックをプロキシにルーティングします。
- フォワードプロキシ –VPNクライアントやエンドポイント保護との連携に最適です。このモードでは、プロキシはクラウドサービスプロバイダー(CSP)に近い位置に配置され、クラウドサービスがトラフィックをプロキシにルーティングします。
- CASBを企業のクラウドサービス、ユーザーディレクトリ、セキュリティポリシーと統合します。 共有ポリシー、暗号化、ユーザーアクセスに関する業界固有の制御や要件を参照してください。シングルサインオン(SSO)および認証手段によりユーザーアクセスを保護できます。
- リアルタイム監視と脅威検知を有効化します。 ビジネスニーズは時間とともに変化するため、クラウドポリシーを定期的に見直し、変更を反映させるためにCASBと緊密に連携することが重要です。
結論
クラウド導入が拡大し続ける中、従来のネットワークセキュリティツールは効果を大幅に失い、シャドーIT対策に必要なカバー範囲を提供できなくなっています。クラウドセキュリティアクセスブローカー(CASB)は、セキュリティチームに企業データに対する細粒度かつスケーラブルな制御権を回復させると同時に、データ損失やクラウドベースの脅威がもたらすリスクを防止します。
CASBは組織の全クラウド環境における入出力を監視する守護者として、可視性、セキュリティポリシーの適用、データ保護、脅威検知を提供します。これにより企業は、厳格な規制コンプライアンス管理への準拠と制御を確保しつつ、新たな革新的なクラウド技術を自信を持って導入できます。
CASB よくある質問
CASBは、ユーザーとクラウドサービス間のセキュリティゲートキーパーです。オンプレミスまたはクラウド上に配置され、SaaS、PaaS、IaaSプラットフォームとの間のトラフィックを検査します。CASBはアクセス制御、データ保護、脅威防止のポリシーを適用します。クラウド利用状況を可視化し、制御を適用し、アラートを生成するため、クラウドアプリケーションでのユーザーの行動を把握し、損害が発生する前に危険な行為を阻止できます。
クラウドアプリが普及する中、IT部門はデータの所在やアクセス者を把握できなくなるケースが増えています。CASBは、許可されていないツールを発見し、すべてのサービスでアクセスルールを適用するのに役立ちます。機密ファイルのアップロードをブロックしたり、多要素認証を要求したり、異常なログインを検知したりできます。これにより、シャドーITを抑制し、データ漏洩を減らし、クラウドリスクを管理していることを証明できます。
CASBは4つの主要領域をカバーします:アクセス制御(MFAの強制や危険なデバイスのブロックなど)、データセキュリティ(DLP、暗号化、トークン化)、脅威防御(マルウェアスキャンと異常検知)、コンプライアンス(監査ログとポリシーレポート)。
これらの機能をクラウドアプリケーションに連携させることで、不正な共有を阻止し、感染ファイルを検知し、監査担当者にクラウド利用が規制ルールを満たしていることを証明できます。
CASBはAPI接続、プロキシ経由のトラフィックリダイレクト、または両者のハイブリッドで動作します。APIモードでは各クラウドプロバイダーと直接通信し、アクティビティをマッピングして保存済みデータにポリシーを適用します。プロキシモードではユーザートラフィックをリアルタイムで傍受し、アクションが発生する前にブロックできます。ハイブリッド展開では両方を組み合わせるため、ユーザーを遅延させることなく深い洞察と即時的な適用を実現します。
CASBの4つの柱は以下の通りです:
- 可視性:すべてのクラウドサービスとユーザー活動を可視化します。
- コンプライアンス:HIPAAやGDPRなどの基準を満たすポリシーを適用し、監査ログを記録します。
- 脅威対策:マルウェアをスキャンし、異常な動作を検知し、感染したファイルを隔離します。
- データセキュリティ:転送中および保存中の機密データにDLPルール、暗号化、またはトークン化を適用します。
APIベース、プロキシベース、ハイブリッドから選択可能です。APIベースはクラウドサービスに直接接続し、保存データの監視と制御を行います。プロキシベースはデータパス上に配置され、ライブトラフィックに対してルールを適用します。
ハイブリッドは両方を組み合わせ、詳細なレポートにはAPIを、リアルタイムブロックにはプロキシを使用します。パフォーマンス要件とカバレッジ要件に合ったモデルを選択してください。
組織はCASBを活用し、機密データのファイル共有を阻止し、クラウドストレージへの暗号化を強制し、リスクの高いアプリにMFAを要求します。また、不審なログインを検知して侵害されたアカウントを発見し、アップロード時に既知のマルウェアをブロックします。
CASBはさらに、すべてのクラウドサービス利用状況を可視化するため、チームは非承認ツールを廃止し、機密情報を扱うアプリが承認済みのみであることを保証できます。
CASBは全てのニッチなアプリをカバーできず、非対応サービスがすり抜ける可能性があります。プロキシモードは遅延を生じたりネットワーク変更を必要とする場合があります。APIモードは保存データのみを管理し、ライブセッションは対象外です。ハイブリッド構成ではより多くの統合作業が求められます。誤検知を避けるためのポリシー調整には時間がかかり、ユーザーは制御が厳しすぎると感じると回避を試みる可能性があります。