最終更新日:2024-05-07
クラウドサービスの利用拡大に伴い、シャドーITや情報漏洩のリスク対策など社内セキュリティの強化を検討している方へ。CASB(Cloud Access Security Broker)の概念やCASB製品でできること、比較のポイントとともに、おすすめの製品を詳しく解説します。
「CASB(キャスビー/Cloud Access Security Broker)」とは、2012年に米国の調査会社であるガートナー社が提唱した、クラウドの脆弱性対策に必要となるコンセプトのこと。
CASBを用いたソリューションを利用すれば、ユーザーと複数のクラウドの間に単一のコントロールポイントを設けることでセキュアな環境を簡単に構築することができます。たとえば、クラウドサービスの利用状況を一括管理したり、送受信するデータの暗号化したりすることで、シャドーITも検出・制御。クラウド利用で懸念される不正アクセスや情報漏洩を防止できます。
SWGもCASBと類似したソリューションとして挙げられますが、大きな違いはCASBがクラウドに特化したセキュリティ対策ツールであるのに対して、SWGがWebトラフィック全体のセキュリティ向上を目的している点です。
たとえば、CASBはクラウド環境におけるデータの漏洩やコンプライアンス違反に関するリスク回避を目的にしていますが、SWGはWeb上のフィッシングやマルウェアへの備えを主な目的としています。いずれもWebへのアクセスの間にプロキシを中継して導入する形式ですが、クラウドサービスに関してはCASBの方がより細かい制御が可能です。
近年のSaaSの利用の拡大、テレワークの推進に伴い、クラウドのセキュリティ対策は必須となりつつありますが、今回は、クラウドの潜在的リスクを洗い出し、一貫したセキュリティポリシーを適用することのできるCASB製品を紹介していきます。
CASB製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
CASBでは、以下のようなことが可能です。
自社で利用しているSaaSやIaaSなどを検出・可視化・分析。ユーザーごとの利用率やクラウドサービスへのログイン状況、データのアップロードもしくはダウンロードの状況まで管理できます。中には独自の基準に基づくリスク評価をしてくれる製品や、どのサービスにどのアカウントが存在するのかがわかるツールもあります。
環境さえ整っていればどこからでもアクセスできるのがインターネット、特にクラウドの便利な点ですが、その一方、セキュリティ面でのリスクが懸念されます。CASB製品はエンドポイントとクラウドサービスの間の通信を制御することで、不正アクセスを遮断したり、不要なサービスアクセスを制限したりできます。
また、企業で認めていないクラウドサービスの利用制御も可能。認めているクラウドサービスに対しても、クレジットカード番号やマイナンバーを含むファイルを勝手にアップロードできないように抑止できるものも。
データ持ち出しのチェック・ブロックなどによって情報漏洩を防止するDLP(Data Loss Prevention)として機能するCASB製品もあります。この場合、文書の中身を確認し、必要に応じてアラートを出したり、制御したりしてくれます。また、データ侵害や漏洩を引き起こす恐れがあるクラウドリソースの設定ミスや、クラウド内の機密データのパターンまで特定してコントロール。クラウドアプリを適切に構成することで、コンプライアンス違反も阻止できます。
クラウドサービスに潜むマルウェアやランサムウェアといった、悪意のあるプログラムやソフトウェアを検知・隔離します。また、共有アカウントの利用、データのコピー、大量データのダウンロードといった異常を発見します。
なお、上記の4つの機能はCASBソリューションに特有のものではありません。たとえば次世代ファイアウォールといった既存のセキュリティ対策ソリューションやネットワーク製品でも同様の機能が提供されているなど、CASB製品と組み合わせて展開できる場合もあります。
CASB製品を比較するポイントを3点解説します。
上記で説明したように、CASBの主な機能は「利用状況の可視化」「アクセス制御」「データの保護(DLP)」「マルウェアへの脅威対策」。これらすべての機能を備えているかどうか検討します。
4つの機能を網羅しているのが「Netskope CASB」や「Zscaler CASB」などのサービス。ユーザーの利便性を損なうことなく機能し、自社のセキュリティを強化してくれます。
一方、4つのうちのいくつかの機能を搭載した製品もあります。たとえば「Cygiene(サイジーン)」はCASBのうち、「利用状況の可視化」「アクセス制御」「データの保護」に対応しています。
リアルタイムでのユーザーのアクセス状況や、ファイルのやりとり状況などを把握するためには、個々のクラウドサービスに対応している必要があります。
たとえば、「Netskope CASB」であれば、Boxをはじめ、Google Workspace、Microsoft 365、Dropbox、Microsoft Teams、Egnyteといった主要サービスに対応。それぞれのサービスに最適化された形でセキュリティとコンプライアンスを確保できるようになります。
「Skyhigh」もMicrosoft 365、Slack、Salesforce、Google Driveなどのアプリケーションを管理可能。アクセス制御、DLP、暗号化機能でデータを保護します。
CASBの導入方式は大まかに分けて以下の3つ。それぞれの特徴を踏まえ、自組織に適した形態を選択する必要があります。
自社で契約しているクラウドサービスが提供するAPIを利用するもの。APIに対応しているクラウドサービスに限定されますが、仔細なアクセス権設定のほか、データの可視化、ユーザー操作ログの保存、ファイル情報の解析など多くの機能を実行できます。
クラウドサービスへの通信経路上にCASBを設置し、規定のポリシーに従ってアクセス制御を行うもの。自社・他社どちらの契約のクラウドサービスでも対応が可能です。中から外への通信経路に設置する「フォワードプロキシ」と、その逆の「リバースプロキシ」の二種類のタイプがあります。
UTMやファイアウォールといった既存のゲートウェイのログを分析し、クラウドサービスの利用状況を可視化するもの。遮断すべき通信が見つかった場合、制御の対象はあくまでゲートウェイ機器になりますが、ゲートウェイ機器との連携によりコントロールできることもあります。
なお、製品によっては複数の方式を採用しているものも。たとえば「Zscaler CASB」は転送中データに対してはプロキシ経由で、クラウド上の保存データに対しては、API経由で保護することで、ポリシーを1つ設定するだけですべてのチャネルに一貫したセキュリティを提供でき、管理者負担の軽減にも有効です。
ここからは、おすすめのCASB製品をご紹介します。料金については、対象となるサービスや要件によって大幅に異なるため、各社へ問い合わせが必要です。
(出所:Netskope CASB公式Webサイト)
CASBに求められる4つの機能を網羅。各アプリケーションを可視化・分析してリスクスコアを与え、全体的なリスクのレベルを特定。また、環境内のシャドーITを表面化させ、セキュリティ体制上の盲点を排除する。機密データの漏洩防止以外に、データ漏洩防止機能を利用したデータの簡素化、迅速化、正確なスキャン、分類も可能。クラウドサービスの使用状況を深く識別し、ユーザー、アプリ、インスタンス、リスク、アクティビティ、データ、デバイスの種類などに基づき、対象のセキュリティポリシーをきめ細かく定義できる。
また、マルウェアなどに、感染したユーザーから脅威が組織内へ広がることを阻止するのにも効果的。マルウェアがメールで配信されたり、クラウドサービスからダウンロードされたりするのをブロックできる。
(出所:Cygiene公式Webサイト)
CSIRT、コーポレートIT、SOCチームが横断的に利用する機能を統合して搭載。CASBに加えて、時系列データのほかユーザー情報なども取り込むSIEMやUEBAなどのサイバーセキュリティツールとしても機能する。ユーザー情報とログからユーザーのふるまいを迅速に分析することが可能。
国内外の様々なクラウドサービスと1クリックで連携。パブリックAPI、外部Webhookやセキュリティソリューションとの連携を備え、オペレーションを自動化してセキュリティチームの作業を効率化する。クラウド型VPNの統合によって、インターネットアクセスの制御だけでなく、すべての端末・通信を監視し、保護することで、ゼロトラストセキュリティを実現する。データ容量を無制限で利用可能なため膨大な情報を安全に保管しながら、必要に応じて遡って検索ができるのが心強い。
(出所:Forcepoint CASB公式Webサイト)
あらゆるクラウドアプリケーションに対して、一貫したセキュリティを適用可能なCASB。たとえば、シャドーITの可視化、業界のベストプラクティスや各国規制要件に対する設定、アクセス制御など。また、リスクの総合評価によって、セキュリティ管理負荷を抑制しながらセキュリティ違反をブロックし、組織のデータを保護・監査することもできる。
休止や所有者不明のアカウントや外部ユーザーを早期に特定することで、運用コストと脅威も最小限に抑制可能。そのほか、機密データや規制データをカタログ化・識別するデータ分類、リスク軽減タスクのワークフロー化、リアルタイムアクティビティ監視、自動異常検知などが可能。API接続、プロキシのインライン構成のどちらにも対応。
(出所:Zscaler CASB公式Webサイト)
SaaSやIaaSのコンプライアンス維持を実現する統合CASB。API統合を活用してSaaSアプリ、クラウドプラットフォーム、およびそれらのコンテンツをスキャンし、エンタープライズセキュリティーを自動的に強化。データや脅威からセキュリティを保護し、統合した可視化と詳細なレポートを提供する。高水準の使いやすさや強力なインテリジェンス、監査を行える体制を構築する。Microsoft 365やSalesforceなどのSaaSのほか、AWS S3などのIaaSにも対応している。
また、1日あたり2000億件のトランザクションと1億5,000万件の脅威にに耐えうるサンドボックスを搭載。未知の脆弱性を悪用するゼロデイマルウェアに対しても自動的に対応可能。
(出所:CloudSOC CASB公式Webサイト)
シャドーITの監査、侵入 ・脅威のリアルタイム検出、情報漏洩やコンプライアンス違反からの保護、インシデントの事後分析に使用できるアカウント活動履歴の調査などにより、クラウドアプリセキュリティのライフサイクル全体をカバーするソリューション。API の統合とインラインのトラフィック分析によって、Microsoft 365のほか、Google Workspace 、Box、Dropbox、Salesforce、AWS、Azure などのSaaS および IaaS プラットフォームの使用を監視および制御。
また、DLPとの統合により、インターネット上に保存および共有されている企業の機密情報に関しても、偶発的な漏洩、データ損失、悪意のある侵害から保護。未承認のアプリケーションの使用やマルウェアなどのリスクを継続的に監視することで、セキュリティインシデント対策を実現できる。
(出所:Skyhigh CASB公式Webサイト)
国際的に高い評価を受けるCASBソリューション。侵害されたコンテンツを修復し、クラウドサービス内の保存中の機密データを検出・可視化する。リアルタイムコントロール、機械学習を活用したインサイダー脅威の検出、すべてのユーザーと管理者の活動の包括的な監査証跡をキャプチャするクラウドアクティビティモニタリングなどの機能を搭載している。
カスタマイズ可能な261ポイントのリスク評価に基づいて、正確なクラウドサービスのレジストリを提供。
詳細なコンテンツ共有やアクセス制御など、ユーザーアクティビティの発生時にリアルタイム制御を適用してデータを保護できる点も強み。
(出所:Microsoft Defender for Cloud Apps公式Webサイト)
多機能の可視化、データ移動に対する制御、高度な分析を特長とする CASBソリューション。アプリの検出・管理、アプリとリソースへのアクセス統制、アプリのコンプライアンス評価などが可能。
機密情報の使用状態を問わず理解・分類・保護するための、すぐに使えるポリシーと自動化プロセスを用意。アプリからアクセスされるデータをリアルタイムで制御できる。またリアルタイムの制御を使用して、組織のアクセスポイントの脅威対策も可能。XDR 機能を組み込んだ「Microsoft 365 Defender」、SIEMソリューション「Microsoft Sentinel」と組み合わせることで、効率と有効性を高めながら、組織のデジタル資産を更に安全に保護できる。その他のソリューションとの統合も可能。
(出所:Oracle CASB公式Webサイト)
「Oracle Database」「Oracle Cloud」などで知られるOracle社が手がけるCASBソリューション。リアルタイムの脅威インテリジェンス・フィードと機械学習技術を活用して、セキュリティのベースラインを確立し、行動パターンを学習し、クラウド・スタックに対する脅威を特定する。
予測分析を使用したリスク評価、手動構成エラーの防止、クラウドのリスクの特定・レポート提供、シャドーITの特定と防御などが可能。特定の際は合理化されたインシデント・ワークフローを使用するため、ITスタッフの負担を軽減できる。
(出所:Proofpoint CASB公式Webサイト)
クラウドの使用状況をグローバル、アプリ、ユーザーレベルで細かく確認できるセキュリティソリューション。リスクのあるSaaSファイル、SaaSファイルのオーナーシップ、アクティビティ、共有状況を即座に識別できる。また、ドリルダウン可能なダッシュボードで、不審なログイン、アクティビティ、DLPアラートをチェック可能。
ユーザーごとのリスクインジケーターとメール、SaaSなど豊富なクロスチャネルの脅威インテリジェンスを組み合わせたリアルタイムの脅威防御・制御、独自のDLPポリシーに基づくデータセキュリティ、サードパーティアプリの制御とシャドーITの検出などが可能。Microsoft365やGoogle Workspaceにおけるアカウントの乗っ取りからも保護。情報や機密データの漏えいを回避できる。
本記事で、不正アクセスや情報漏洩を防止し、安全なクラウド利用を促進するCASB製品について、製品の概要やCASBでできること(機能)、比較のポイントを解説しました。
CASB製品を選ぶ際は下記のポイントで検討していくとスムーズです。
(1)機能の対応範囲
(2)クラウドサービスの詳細な可視化への対応範囲
(3)CASBの導入方式への対応
まずはCASBおよびCASBまずはCASBに求められている機能が備わっているかを確認し、その上でクラウドアプリの対応範囲や導入方法を吟味していくのがおすすめです。
近年のSaaSの利用増大、テレワークの推進によって、クラウドのセキュリティ強化は喫緊の課題となっています。近年認知度が高まっているゼロトラストセキュリティの方向性に則り、CASB製品を活用してセキュリティ環境を最適化していきましょう。
CASB製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
スカイゲートテクノロジズ株式会社
CSIRT、コーポレートIT、SOCチームが横断的に利用する機能を統合した、セキュリティツール。クラウドの監視と制御により、クラウド活用と従業員セキュリティの両...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
