急速に拡大する、クラウドのセキュリティー

  • CASB
  • IDaaS
  • クラウドセキュリティー
  • セミナーレポート
  • メディア掲載
  • 金融ICTカンファレンス2017
  • 金融業界
  • 2018.07.26

※この記事はNexTalkに掲載された、【潜入レポート】第2回金融ICTカンファレンス2017これから一気に拡大すると見込まれるクラウドのセキュリティー「CASB」と「IDaaS」に注目!(2018年1月10日号)を、本サイト用に編集したものです。

2017年12月6日、『第2回金融ICTカンファレンス2017』がJPタワーホール&カンファレンス(東京)にて開催されました。ユニアデックスは、「クラウド時代の新しいITセキュリティーガバナンスの確立~金融業界も注目するCASB&IDaaSとは~」と題し、エクセレントサービス創生本部 ソリューションビジネス開発統括部 セキュリティー部の森 駿が講演しました。

ユニアデックス セキュリティー分野のソリューションマネジャー 森 駿

ユニアデックス セキュリティー分野のソリューションマネジャー 森 駿

個人も企業もクラウドサービスの利用が浸透している、クラウド時代。企業ではメール、経理システム、オンラインストレージなど、さまざまな機能をもった外部クラウドサービスを活用するケースが多くなっています。

「かつては、社内でサーバーを立ててシステムを作り込むのが一般的でしたが、外部のクラウドサービスを導入する方がメリットは多いのです。たとえば、社内でシステムを作るより早い、低コスト、いつでもやめられる、社内でメンテナンスを行う必要がない、などです。また、働き方改革が言われ始め、いつでもどこでも働ける体制を整えることを考えると、社外からいちいち社内システムにアクセスするのは面倒です。外部のクラウドサービスにアクセスする方が早いのです」

ビジネスの効率化、スピードアップを考えるとクラウドサービスの活用は避けられないということですが、一方で課題もあります。

「これまでは、ファイアーウォールでセキュリティー境界を作れば、その内側は安全だったわけですが、クラウドサービスの利用では、業務がセキュリティー境界の外側に広がってしまうわけです。となると、企業側では、企業が認めたシステムだけを安全に使わせたいですよね。ですから、社員がクラウドサービスを使いたいという場合は、申請させます。ところが、上司からすると、どのクラウドサービスなら安全か、認めてよいのか、その基準がわからないわけです。

結局、『便利だから』、『会社に締め付けられるから』、という理由で、企業が認めていないクラウドサービスが勝手に使われてしまいます。結果として、企業が認めたクラウドサービスではない、いわゆるシャドーITと呼ばれるものが増えてしまいます。現在、ワールドワイドで認知されているクラウドサービスは約3万種類あると言われていますが、 企業は社内でどれぐらいのクラウドサービスが使われているのか、実態を把握できていないのが実情なのです。

ある調査によると、従業員数3,000人以上の日本企業では平均で1,000以上のクラウドサービスが利用されていて、そのうち情報漏えいリスクが高いクラウドサービスの利用数の平均は、50種類を超えているという驚くべき結果が出ています」

気づかないうちに、社内でリスクが高いクラウドサービスが使われている可能性があると指摘し、それをCASBとIDaaSが解決できると続けます。

「CASBおよびIDaaSとは、金融業界を含むあらゆる業界で注目されている新しいセキュリティーカテゴリーです。CASBは、Cloud Access Security Brokerの略で、2012年にガートナーが定義し、日本には2015年に入ってきたばかりです。CASB機能の4つの柱は、可視化、脅威防御、コンプライアンス、データセキュリテイー。ガートナーは、2020年には大企業の85%がCASBを採用すると予測しています」(*1)

企業でどんなクラウドサービスが使われていて、それが危険なのかどうか評価もしてくれるCASB。暗号化機能などもあり、ユーザーと各種クラウドサービスの間に立って、危険から守ります。

「クラウドサービスにまつわるもう一つの課題が、認証です。複数のサービスを使っていると、それぞれIDとパスワードの設定が必要になります。そこで1つのIDで複数のサービスにアクセスできるようにしたのが、シングルサインオンというものです。それをクラウドで行うのが、IDaaSです。IDaaSは、Identity as a Serviceの略で、複数の企業が提供するクラウドサービスのID管理・認証を一元化します。IDaaSなら、シングルサインオン、ID情報配布、多要素認証、オンプレミス連携がすべて可能です」

IDやパスワードが増えると覚えきれず、付箋にメモしてパソコンに貼り付けて・・・などという本末転倒な話もしばしば耳にします。社員が退職する際など、万一、パスワードが漏えいしてしまった際でも、IDaaSで一か所だけをストップすればすべてを押さえられ、安全性が高く手間もかかりません。クラウドサービスを安全かつ便利に活用するためには、CASBとIDaaSが有効ということがわかります。
これらを提供しているベンダーは数多くありますが、ユニアデックスではいち早く主要なベンダーと契約を締結している、と続けます。

「Skyhigh、Netskope、Symantec/Blue Coat、Cisco CloudLock、Microsoft、Oracle、 PaloaltoなどさまざまなベンダーがCASBを提供しています。ユニアデックスでは、トップベンダーであるSkyhigh、Netskopeとも今年度新たに契約を結んでいます。

IDaaSのベンダーは、Okta OneLogin Centrifyなどがあります。当社は、日本企業としていち早くIDaaSを提供すべく、Oktaとの契約に向けても交渉を進めています」

また、CASBとIDaaSの導入には、ただ単にサービスを導入するだけでは不十分であり、企業がITガバナンスとセキュリティーガバナンスを確立する必要があります。「導入したが、活用が出来ていない」ということを防ぐために、ユニアデックスでは、お客様各社の業務に合わせたITガバナンスとセキュリティーガバナンスの構築に関するコンサルなど、CASBとIDaaSに関連する総合的なサポートも提供している、と講演を結びました。

(※1) Gartner社ではCASBsを以下の様に定義しています。
CASBs(Cloud access security brokers)とはオンプレミスまたはクラウドベースのPEP(policy enforcement points)で、クラウド利用者とクラウドサービスプロバイダー間に配置し、クラウド利用時の企業のセキュリティーポリシーのガバナンスを実現。認証、シングルサイオン、アクセス制御、デバイス管理、暗号化、トークン化、ログ取得、アラート機能、マルウエア対策など様々なタイプのセキュリティーポリシーを統合的に適用します。
出典:IT Glossary, "Cloud Access Security Brokers(CASBs)" 

関連資料ダウンロード

※この資料は2018年2月20日に開催されたBITS in 中部での講演資料です。記載している内容などは当時のものとなります。(※本資料はダウンロードリンクをメールにて送信いたします。)