CASBとは

～可視化から始めるCASB実装～

セキュリティーブログ

2018年06月12日

クラウドセキュリティー
CASB

「何ですか？それ」

昨年、「今日はCASBの説明に参りました」と切り出すと決まって言われたものです。昨年の後半くらいからは、さすがに「何ですか？」は無くなりましたが、なんとなくモヤモヤとよくわからないという状況は変わらないようです。

それもそのはず、CASBは日々進化していて、元々の定義を超えてさまざまな機能を実装するメーカーが増えているからです。CASBは次世代セキュリティープラットフォームになる可能性があると考えています。

CASBの始まり: CASBは、2012年にGartnerが提唱したのが始まりで、Cloud Access Security Brokerの略です。「可視性」「コンプライアンス」「データ・セキュリティー」「脅威対策」の４つの柱を機能として持つと定義されています。

以下、Gartner　「クラウド・アクセス・セキュリティー・ブローカのマーケット・ガイド」　20 July 2016 より引用。

可視性: CASBは、シャドーITを発見し、承認されたアプリケーションを管理し、さらに、企業のクラウド・サービスの利用状況と、任意のデバイスまたは場所からデータにアクセスするユーザーを整理して表示する。
コンプライアンス: CASBは、データ・レジデンシと規制および標準の遵守を支援し、クラウドの利用状況と特定のクラウド・サービスのリスクを明らかにする。
データ・セキュリティー: CASBは、データ中心のセキュリティー・ポリシーを適用して、データの分類、発見、機密データへのアクセスや特権昇格といったユーザー活動のモニタリングに基づいて、望ましくない活動を予防する。ポリシーは、クラウド・サービスのフィールド・レベルとファイル・レベルで、監査、アラート、ブロック、検疫、削除、暗号化／トークナイゼーションなどの操作を通じて適用される。
脅威対策: CASBは、望ましくないデバイス、ユーザー、アプリケーション・バージョンがクラウド・サービスにアクセスすることを防ぐ。このカテゴリーの他の例としては、ユーザー／エンティティー挙動分析 (UEBA)、脅威インテリジェンスとマルウエア識別の利用がある。

以下は、CASBのサービスイメージです。クラウドサービスとユーザーの間にいて、上記の4つの機能を提供します。そして多くのCASBはそれ自身クラウドサービスでの提供です。

例えば、McAfee Skyhigh Security Cloud™では、次のようにクラウドサービスの利用を可視化します。F/WやWebフィルターでも同じことができると思う方が多いのですが、これほどきめ細かく簡易に報告される様は、一度画面を見たらその画期的な価値に気づいてもらえるでしょう。

クラウドサービスのリスク評価も行います。これは秀逸な機能です。

多くの企業はクラウドサービスの利用を申請ベースの許可制にしています。「あのクラウドサービスが使いたい！」と企業のセキュリティーチームに利用申請するわけですね。それを受けたセキュリティーチームは、そのクラウドサービスのリスクを評価し、使っていいか悪いかを判定するのですが、評価基準や評価方法が無く、そこにはとても負荷がかかっているのです。

CASBが用意するリスク評価機能は、これらの作業負荷を格段に押し下げるとともに、第三者機関のお墨付きをバックにユーザーへの可・不可を統制することができるようになります。