セキュリティー強化のポイントは「運用」にあり! 企業のクラウド化で注目されるCASB

  • CASB
  • クラウドセキュリティー
  • セキュリティーアセスメント
  • セキュリティー対策
  • セミナーレポート
  • 情報セキュリティー
  • 2019.07.25

企業ITのクラウド化が進む中で、セキュリティーは大きな課題となっています。そこで注目されているのが、クラウドのセキュリティーガバナンスを実現する「CASB(Cloud Access Security Broker)」です。2019年6月に都内で開催されたセミナー「失敗しないCASB運用の秘訣」において、ユニアデックスの森駿(プロダクト&サービス企画部 NW&SECサービス企画室 セキュリティ課 課長)が講演。適切なCASB運用支援サービスについて語りました。

企業のクラウドシフトでセキュリティーリスクは増大傾向

SymantecSeminar-mori

現在、企業では様々なクラウドサービスが使われるようになっています。ユーザーにとって便利なサービスですが、IT部門が把握していない「シャドーIT」が増加し、企業にとって大きな課題になっています。
「ビジネス向けのクラウドサービスは約3万種類あるといわれます。従業員3000人規模の企業では、平均でおよそ1500種類のクラウドが使われています。その中の多くがシャドーITといわれています。そんな状況ですと、知らないところで情報漏えいが起きているかもしれません」と、森は話します。

こうした課題を解決するために、「可視化」「脅威防御」「コンプライアンス」「データ保護」を実現するサービス「CASB」を導入する企業が増えています。ただし、導入すればシャドーITがなくなるわけではありません。
「CASBによってシャドーITの見える化はできます。しかし、それがゴールではありません 。ゴールはあくまでも、安全な利用環境の構築です。見える化した後の運用プロセスがなければ、ゴールに近づくことはできません」(森)
企業で使われているクラウドは大きく3つのカテゴリーに分類できます。1つめは、企業が契約したクラウド「サンクションドIT」です。例えば、全社的に「Office 365」を使っているようなケースです。2つめは社員が勝手に使用しているシャドーITで、ストレージサービスやメールサービスなどが含まれるでしょう。3つめは社員が利用申請して認められたクラウドです。この3つの中でも問題なのがシャドーITです。

「知る」「決める」「定着させる」のサイクルを回し安全なクラウド環境を実現する

企業としてはできるだけシャドーITを排除し、利用申請を厳格にチェックして可否を判断したいところです。そのためには、何らかの判断基準が必要です。
それを提供するのがCASBです。
「例えば、ユーザーから『お客さまとのやり取りに必要なので、Aというクラウドサービスを利用したい』と申請があったとしましょう。CASBがない場合、多くの企業は可否の判断に1~2カ月かかります。判断も担当者の限られた知識に頼らざるを得ず、ガバナンスを十分に確保できるかは疑問です。CASBを活用することで、企業はクラウドのセキュリティーを見える化し、ガバナンスのための判断基準を構築できます」と森は述べます。
見える化(知る)と判断基準の策定(決める)の次に、定着に向けたプロセスとしての運用があります。「知る」→「決める」→「定着させる」というサイクルを回すことで、安全なクラウド環境を実現できるのです 。

SymantecSeminarProcess

このサイクルをカバーする代表的なCASBサービスの1つが「Symantec Cloud SOC」です。ユニアデックスは、その導入から運用までをサポートしています。
「Symantec Cloud SOCの最大の特徴は、幅広い機能を統合させていること。もちろん、お客さまのIT環境やニーズに応じて、他のソリューションを提案する場合もあります」と森は言います。

(1)「知る」について
Symantec Cloud SOCを導入することで、サービスやユーザーなどの軸でリスクの程度を可視化できます。どのようなシャドーITを誰が、どの程度利用しているのか。例えば、特定のユーザーが許可されていないクラウドのストレージサービスを使い、大量のデータをアップロードしていたら要注意。これは、情報漏えいにつながるかもしれません。

(2)「決める」について
またSymantec Cloud SOCは、3万種以上のクラウドサービスについてのスコアリングを用意しています。総合的なリスク評価だけでなく、多面的な項目についての評価も示されます。「例えば、あるクラウドがGDPR(EU一般データ保護規則)の項目で低評価だったとします。ただ、GDPR対応の必要がない企業もあるでしょう。その場合はGDPR以外の項目を見て、そのクラウドの安全性を評価すればいい。項目ごとのリスク評価は非常に重要です」(森)
そのほかのクラウドサービス利用の基準としては、多要素認証や暗号通信化などがあります。
評価基準を持つことで、クラウドサービス利用を判断できるのです。

求められるユーザーへの配慮とセキュリティー意識の醸成に向けた活動

(3)「定着させる」について
CASB導入後の運用を定着させるための運用プロセスの全体像を示したのが下の図です。

SymantecSeminarUnyo

Symantec の提供する項目別評価に基づいて、企業はクラウドサービスの利用基準を決めます。さらに、同システム上でポリシーを設定し、インフラ設定を変更します。例えば、ポリシーに合致しないクラウドについては、ゲートウェイで止めるといった措置が必要。このような、Symantec Cloud SOCとゲートウェイの連携が重要です。
また、Symantec Cloud SOCからのレポートは、経営陣への報告に欠かせません。経営陣にはガバナンスの現状を伝えるとともに、CASBの必要性についても理解を得る必要があります 。加えて、クラウド利用申請から判断、ユーザーへの可否通知のプロセスも短縮することができます。

「あるお客さまの場合、決定までのプロセスに従来30日かかっていました。Symantec Cloud SOCの導入後は、ほぼ即答できるようになったそうです」と森は強調します。

「知る」→「決める」→「定着させる」というサイクルを回し続けることで、企業はセキュリティーガバナンスを高め、本来のゴールであるクラウドの安全な利用環境づくりを進められます。ただし、運用においてはユーザーへの配慮が欠かせません。

SymantecSeminarMori2「重要なポイントの1つが、社内へのアナウンスです。判断基準をつくっていきなり適用すれば、そのクラウドを使っていたユーザーは困ります。『1カ月後から、〇〇というクラウドが使えなくなります。準備をしてください』という具合に、できるだけ丁寧な通知を心掛ける必要があります。それでも、ユーザー部門から不満が出るのは避けられませんが、セキュリティーガバナンスの考え方や判断基準についてしっかり説明するほかありません」(森)

Symantec Cloud SOCは、Office 365 や「Salesforce」、「Box」など16種類(2019年6月現在)のSaaSとのAPI接続が可能。この分野でも単に安全なサービスの利用を認めるだけでなく、安全に利用できるための運用プロセスが重要です。「Boxの利用は許可するが、一定以上のデータをアップロードすることはできない」といった運用のルールづくりが欠かせません。

こうしたセキュリティー対策を実効的なものにするためには、社内の理解を得る必要があります。スムーズな運用体制を確立するためには、セキュリティー意識の醸成に向けた普段からの地道な活動が求められるといえるでしょう。

おすすめ記事

パスワードレスを考えよう(1)
~常識を疑えば"うんざり"はなくなる

BlogPass1

CASBとは
シャドーITを撲滅!?

casb

CASBとIDaaSで
クラウドセキュリティーは完璧

30mCM-casbIdaas