クラウドサービスの利用状況を監視するソリューションがCASBだ。近年はシャドーIT対策に限らず、複雑化したIT環境を効率的に運用できるよう支援する高度なソリューションも提供されるようになった。この記事では、CASBの概要に触れた上で、クラウド時代におけるネットワークセキュリティの動向について解説する。
CASBが求められる背景
CASB(キャスビー)は「Cloud Access Security Broker」の略称であり、ガートナー社が2012年に提唱している。近年、多くの企業・組織で利用されるようになった、クラウドサービスの利用状況を管理・監視するソリューションとしてCASBは用いられている。CASBに注目が集まるようになった背景として、以下の点が挙げられる。
1)シャドーITの蔓延(クラウドサービスの無断利用)
シャドーITとは、企業・組織で許可されていない端末やWebサービスを業務利用する状況を指す。近年、チャットアプリ、オンラインストレージ、タスク管理ツールに代表されるような利便性の高いWebサービスが増えつつある。しかし、セキュリティなどの観点からIT部門が利用を許可していないケースも少なくない。
このような状況において、従業員がやむなく企業・組織へ報告せずに、個人アカウントで登録したクラウドサービスを使うケースが増加傾向にある。十分なセキュリティ対策を講じないままクラウドサービスを利用することで、アクセス権限設定の不備、あるいはアカウントへの不正アクセスによってインシデントが起こり得るリスクがある。こうしたシャドーITとして使われているWebサービスの利用状況を監視するためにCASBが利用されるのだ。
2)リモートワークの普及
コロナ禍を背景に自宅を含めた遠隔からの業務を許可する企業・組織が増えてきた。今後もリモートワークを続ける企業は多いことが見込まれる。そのため、インターネット経由で企業・組織内の機密情報へアクセス、あるいは個人所有の端末で業務を遂行する状況が継続される可能性も否定できない。こうした状況の変化を見据えて、企業・組織内の情報を安全に通信するために、内部システムへのログイン時にVPN接続を必須とするケースもある。
3)アクセス管理の複雑化
先述のとおり、さまざまな用途に応じたクラウドサービスが開発され、業務で採用する場面も増えてきた。そうした背景から、各種データが企業・組織の内外を問わずに保存・管理されるようになっている。加えて、従業員の業務遂行においても、社内にいるかどうかを問わずクラウドサービスの利用が前提となりつつある。こうした状況下では、従業員ごとにデータの閲覧・編集やサービスの利用に対するアクセス権限を厳格に設定・管理することが容易ではない。仮にアクセス権限の設定・管理に不備があると、情報漏えいや業務効率の低下へつながる恐れがある。
4)境界防御からゼロトラストへの流れ
従来のセキュリティソリューションは外部の脅威から社内ネットワークを保護する境界防御を前提としたものが主流だった。しかし、クラウドサービスの利用やリモートワークの普及でIT環境が複雑化したことから、境界防御では期待するセキュリティを堅持するのが難しくなってきている。
そこでゼロトラストと呼ばれる概念に注目が集まっている。ゼロトラストを前提としたセキュリティ対策では、あらゆる通信を信頼せず、社内外を問わず通信を常時監視した上で、アクセスを管理・制御する。ゼロトラスト時代のセキュリティ対策として、今後はCASBの活用が期待されている。
CASBの主な機能
近年、蔓延するシャドーITへの対策としてCASBは導入されてきた経緯がある。CASBの導入によって、企業・組織の内外にいる従業員がクラウドサービスへのアクセスを可視化できるためだ。また、CASBは不審な通信の遮断、クラウド経由での機密情報の漏えいを防御するといったセキュリティ機能も提供している。多数のクラウドサービス、端末を管理対象にする場合でも管理作業を効率化できるのだ。以下に、CASBの主要な機能を解説する。
1)可視化
複雑化するIT環境では、社内のサーバー、社外のオンラインストレージそれぞれに業務データが格納され、分散した様相を呈している。CASBではネットワーク上のデータ、ネットワークへの接続端末を把握する。こうした機能により、企業・組織によって承認されていないクラウドサービスや端末の利用を検出する。また、ネットワークの使用状況をチェックし、インシデントにつながる不審な行動を速やかに察知することも可能だ。
2)脅威防御
CASBでは、企業・組織で設定したアクセスポリシーに反する不審なアクセスを検知し、管理者に通知する機能が提供されている。例えば、マルウェアに感染するリスクの高いWebサイトへのアクセスを禁止できる。また、ネットワーク内にアップロードされた悪意のあるファイルやマルウェアの検出・隔離・遮断なども可能だ。
3)コンプライアンス
クラウドサービスが社内ポリシーに準拠しているかどうかを検証する。具体的には、強固な認証機能が有効にされているか、一定以上の大量データがダウンロードされていないか、といったポリシーをサービスごとに設定できる。CASBによって、近年高まるコンプライアンス重視の流れに対応した監視・監査を実現する。
4)データ保護
クラウド、自社内を問わず保存される機密情報・個人情報に対して、さまざまなユーザー属性をもとに、アクセス制御や暗号化などを施す。複数のクラウドサービスに対しても一元的な管理が可能となり、情報漏えいや改ざんの検知も行える。
IT環境全体の統制へと進化したSASE
ガートナー社が2012年にCASBを提唱して以降、シャドーITやクラウドサービス利用の可視化が注目されるようになった。しかし、IT環境の複雑さが増している昨今、より高度なソリューションが求められるようになっている。
IT環境の複雑化に起因する課題として、ネットワークセキュリティ関連のソリューションが増え、管理・運用にまつわるコストが増大してきた点が挙げられる。また、データセンターに通信を集約して管理するケースが見受けられるが、大量のトラフィックに耐えられず、結果としてネットワーク遅延が発生するという課題もある。そして、IT環境の未整備が従業員の不満を招き、個人契約のクラウドサービス利用を含めたシャドーITを引き起こす場合もあるのだ。
これらの課題を背景に、クラウドサービスを含めたIT環境全体を保護・最適化するソリューションとして提唱されたのがSASE(サッシー)だ。SASEは「Secure Access Service Edge」の略であり、2019年にガートナー社が提唱した考え方がもとになっている。複数のネットワーク機能とセキュリティ機能を統合し、包括的なサービスを提供する製品だ。
SASEのソリューションには、管理や運用の手間を軽減するために複数のツールがパッケージ化されている。先述のCASBはSASEを構成する1つのツールとみなせるだろう。CASBのほかに、SASEを構成する機能を以下に解説する。
1)SWG(Secure Web Gateway)
SWGはWebサイトへのアクセスに関する防御を講じる機能だ。不審なWebサイトへのアクセスを遮断する、URLフィルタリングなどの機能を有するのが特長だ。悪意あるWebサイトからダウンロードされるマルウェアの検知・遮断を行い、不審なファイルはサンドボックス内でその挙動を検証する。
2)SD-WAN(Software Defined-Wide Area Network)
大規模な企業・組織では拠点間を接続するWANを設置している場合がある。WANの通信に関する設定をソフトウェアによって一元管理し、管理作業を効率化できる。例えば、セキュリティと利便性を両立できるように、社内の機密情報は閉域網、社外クラウドサービスへのアクセスはインターネット回線へと通信を振り分けるといった設定が想定される。
3)FWaaS(Firewall as a Service)
従来の境界防御型のファイアウォールではなく、ゼロトラストの考え方を踏まえ、クラウド上で仮想的にファイアウォールを提供する機能。社内外からのアクセスを問わず、クラウドサービスへの通信を保護できるのが特長だ。
シャドーIT対策のみならず、近年の複雑化したIT環境への対応を目指し、ネットワークセキュリティソリューションも進化を遂げている。CASBやSWG、SD-WAN、FWaaSといった有用なツールを包括的に提供するSASEは、IT管理部門における運用負荷の軽減を実現しながら、多様なセキュリティ課題に対応できる可能性を秘めている。
IT環境を検討する上では、今後の自社の業務環境、そして従業員の働き方を前提に、どういった端末やソフトウェア、サービスを利用していくのかを十分に考慮すると良いだろう。自社の将来を見据えながら、最適なセキュリティソリューションを選択して、適切なセキュリティ対策を講じてほしい。
