クラウド アクセス セキュリティ ブローカー(CASB)とは

クラウドの普及に伴い、CASBが備えるサイバーセキュリティ、アクセス制御、データ保護などのさまざまな機能は、組織のセキュリティにとって重要な存在となりつつあります。CASBを利用することで、クラウド プラットフォームやアプリ内の転送中データまたは保存データを制御できます。CASBが求められる理由には、以下の点が挙げられます。

• クラウド プラットフォームやクラウド アプリ(Microsoft 365、Salesforceなど)の普及により、データ センターのファイアウォールをはじめとする従来のネットワーク セキュリティ ツールの効果が著しく低下している。
• IT部門がかつてのような制御を行えない(ほとんどのユーザーが自分で新たなクラウド アプリを入手して使用できるようになり、きめ細かいユーザー アクセス制御を手動で行える規模ではなくなっている)。
• ポリシーを適用して、シャドーITの制御、情報漏洩防止(DLP)、データ セキュリティ ポスチャー管理(DSPM)、高度な脅威対策を提供できます。

企業におけるCASBの役割

CASBは、アクティビティーの可視化、セキュリティ ポリシーの施行、脅威の検出、データ保護を提供します。これによって、組織は制御を維持しコンプライアンスを確保しながら、安心してクラウドを導入できるようになります。以下のセクションで、具体的なメリットについて詳しく見ていきましょう。

効果的なCASBソリューションは、包括的なクラウド セキュリティ戦略の一部となり、主に以下のようなメリットをもたらします。

シャドーITとリスクの可視化

リモート ワークやBYODの普及に伴い、組織のクラウド環境にアクセスするユーザー、デバイス、SaaSアプリケーションに関する明確な可視性が必要になっています。これは、不正アクセスのリスクが急速に高まっているためです。CASBは、クラウド アプリの使用状況の把握、クラウド関連支出のレポート作成、リスク評価を通じた適切なアクセス ポリシーの作成および維持に役立ちます。

クラウドの利用管理

金融サービス、医療、公共部門など、規制の厳しい業界では特に、クラウドを使用するにあたってさまざまなコンプライアンス要件への準拠が必要となる場合があります。CASBを利用することで、組織が属する業界で特に重要なリスク要因を特定して厳格なデータ保護ポリシーを設定できるため、組織全体でコンプライアンスを達成、維持できます。

データ セキュリティとDLP

世界中のデータ量は2年ごとに倍増しており、データにまつわるリスクも増大しています。CASBとクラウドDLPを組み合わせることで、潜在的なリスクの把握と修復が可能になります。クラウド環境で送受信される機密性の高いコンテンツを可視化することで、インシデントの特定、ポリシーの適用、データの保護を、最も確度の高い形で行えます。

脅威対策

現在のITエコシステムで最も脆弱なのは、通常、クラウド リソースです。行動分析と脅威インテリジェンスによって不審なアクティビティーをすばやく特定して対処できるため、クラウド アプリケーションとデータを安全に保ち、組織の全体的なクラウド セキュリティ態勢を強化することができます。

ごく大まかに言えば、CASBの導入で重要となるのは、ニーズの評価に基づいて適切な製品を選定し、組織のシステムに最適な形で設定を行い、継続的なモニタリングと監査を行うことです。具体的には5つの段階に分けて考えることができます。

1. 組織の環境の評価と計画の策定。使用されているクラウド サービスとアプリ、付随するリスク、セキュリティ ポリシーとコンプライアンス上のニーズを把握します。
2. ニーズに即した適切なCASBソリューションの選定。適切な製品を見つけることが重要です。また、それと同様に、適切なベンダーを見つけることが重要です。信頼できるパートナーを選びましょう。
3. CASBとクラウド サービスおよびユーザー ディレクトリーとの統合。SSOを使用して安全なユーザー アクセスとシームレスな認証を実現します。
4. アクセス、データ共有、DLP、セキュリティ ポリシーの構成。業界によっては、暗号化に関するポリシーに特別な注意を払う必要がある場合があります。
5. リアルタイムのモニタリングおよび脅威検出の有効化。組織のニーズの変化に応じてポリシーを定期的に確認および更新することも必要です。

CASBの中にはオンプレミスのハードウェアやソフトウェアの形態をとるものもありますが、拡張性、コスト、運用管理性を考慮した場合、クラウド サービスとして提供されるソリューションが最も適しています。展開モデルに関係なく、CASBはプロキシ(フォワード プロキシまたはリバース プロキシ)、API、または両方(マルチモードCASB)を使用するように設定できます。

プロキシ

CASBはデータの経路で動作する必要があるため、クラウド プロキシ アーキテクチャーを基盤としたものが理想的です。CASBでよく使用されるフォワード プロキシは、クライアント側からユーザーのプライバシーやセキュリティを保護します。

フォワード プロキシは、クラウド サービスに対するリクエストを宛先に向かう途中で遮断します。そして、CASBはポリシーに基づいて、資格情報マッピングとシングル サインオン(SSO)、デバイス態勢の検証、ログの記録、アラートの生成、マルウェアの検出、暗号化、トークン化を実施します。

API

インライン プロキシは転送中データを遮断しますが、クラウド上の保存データに対しては、アウトオブバンド型セキュリティが必要です。CASBベンダーは、クラウド サービス プロバイダーのAPIとの統合を通じてこれを提供します。

マルチモードCASBとは

プロキシ モードでは、CASBは情報漏洩やマルウェアをリアルタイムで阻止するインライン ポリシーを施行します。また、APIと統合してSaaSアプリのコンテンツをスキャンできるため、機密データのパターンやランサムウェアなどの脅威を検出し、対処することが可能です。最近では、API統合がDSPMに活用されるようになり、CASBでアプリケーションの設定ミスが修復できるようになりました。

プロキシベースとAPIベースの両モードを提供するCASBは「マルチモードCASB」と呼ばれ、SaaSだけでなく、Microsoft AzureやAWS S3などのIaaSの保護も可能です。また、CASBを個別の単一機能の製品としてではなく、SSEプラットフォームの一部として導入することで、一貫したセキュリティやパフォーマンスの向上、一元的な管理を実現できます。

Gartnerが初めて「CASB」を定義した2012年当時、CASB技術は主にシャドーITの制御に使用されていました。

その機能がセキュアWebゲートウェイ(SWG)と重なる点が増え始めたことで、Gartnerは2019年、セキュア アクセス サービス エッジ(SASE)という新たなフレームワークを定義しました。SASEは、「デジタル企業の動的でセキュアなアクセス ニーズをサポートするために、包括的なネットワーク セキュリティ機能(SWG、CASB、FWaaS、ZTNA)を備えた総合的なWAN機能」を提供するクラウド型サービスのフレームワークとされています。

Gartnerは2021年、SASEのセキュリティ領域をセキュリティ サービス エッジ(SSE)と定義しました。これは、複雑で断片化したセキュリティ スタックを合理化するための世界的な取り組みの増加を反映しています。

CASBとSASE

CASBとSASEは互いに補完し合う存在です。CASBがクラウドを通じたデータのやり取りやデータ フローを保護する一方、SASEはクラウド セキュリティ、ネットワーク、アクセス制御をより広範に統合します。定義上、SASEにはCASBが含まれ、ポリシーの施行とデータの保護は、組織のネットワーク アーキテクチャーの一部に組み込まれます。

1. シャドーITの検出と制御

ユーザが未承認のクラウドアプリで企業のファイルやデータを保存したり共有したりすることで、データのセキュリティが脅かされます。このような事態に対処するには、組織内におけるクラウドの使用状況を理解した上で保護する必要があります。

Zscaler CASBは自動的にシャドーITを検出し、ユーザが訪問したリスクの高いアプリを明らかにします。その後、自動化された、簡単に設定可能なポリシーが個々のアプリやアプリカテゴリに対してさまざまなアクション（許可、ブロック、アップロードの阻止、使用の制限など）を実行します。

2. 企業以外のSaaSテナントのセキュリティの確保

ユーザーは、Googleドライブなどのアプリの承認済みインスタンスと未承認インスタンスのいずれをも使用する可能性があります。承認済みのインスタンスへの接続を完全に許可すれば不適切な共有に、未承認のインスタンスへの接続を完全にブロックすれば生産性の低下につながりかねません。

Zscaler CASBは認可されたSaaSテナントと認可されていないインスタンスを区別し、それぞれに適切なポリシーを適用します。事前にSaaSテナントの制御を設定することで、修復が自動的かつリアルタイムで実施できます。

3. リスクの高いファイル共有の制御

クラウドアプリにより、かつてない水準の共有とコラボレーションが実現します。その一方で、危険な団体にデータを取得されるリスクを冒さないよう、承認済みのアプリを使って誰が何を共有しているかをセキュリティ部門が知る必要が生じています。

CASBが効果的であるためには、コラボレーション管理機能が不可欠です。Zscaler CASBは、SaaSテナント内のファイルを迅速かつ繰り返しクロールして機密データを特定します。ファイルの共有相手のユーザーを確認し、リスクの高い共有が行われている場合は必要に応じて自動的に対応を行います。

4. SaaSの設定ミスの修正

クラウドアプリケーションの導入、管理を行う際、アプリが適切かつ安全に機能するようにするためには、設定を正確に行うことが重要です。設定ミスが発生すると、セキュリティ衛生が損なわれて機密データが容易に漏洩してしまう恐れがあります。

Zscaler DSPMはAPIを介してSaaSテナントと統合し、規制上のリスクにつながる設定ミスを検出するためにスキャンを実行します。

5. データ漏洩の防止

データ侵害や漏洩を引き起こす恐れがあるクラウドリソースの設定ミスに加えて、クラウド内の機密のデータパターンも特定して制御する必要があります。膨大な量のこの種のデータはHIPAA、PCI DSS、GDPR、および他の多くのフレームワークの下で規制されています。

Zscalerのクラウド ネイティブ セキュリティ プラットフォームは、クラウドDLPおよびCASBの機能を備えた統合データ保護ソリューションを提供します。あらゆる場所の機密データを特定および保護するための高度なデータ分類技術を活用しながら、クラウド アプリの適切な構成を担保し、情報漏洩やコンプライアンス違反を防止します。

6. 攻撃の阻止

感染したファイルが組織のセキュリティを通過して承認済みのクラウドアプリに侵入すると、接続されたアプリケーションや他のユーザデバイス上に即座に拡散してしまう可能性があります。そのため、アップロード時と保存時の両方において、リアルタイムで脅威から防御できる方法が必要になります。

Zscaler CASBは、以下のような高度な脅威対策機能によってマルウェアの進行を阻止します。

• 悪意のあるファイルがクラウドにアップロードされるのを防止するリアルタイム プロキシ
• 保存されているファイルを特定して脅威に対処する帯域外スキャン
• ゼロデイ マルウェアも特定するクラウド サンドボックス
• 管理されていないエンドポイントからのアクセスを保護するエージェント不要のクラウド ブラウザー分離

Zscalerは、総合的なZscaler Zero Trust Exchange™プラットフォームの一部として、SWGやZTNAなどと併せてサービスとしてのマルチモードCASBなどを提供し、単一機能製品の排除、ITの複雑さの軽減、シングル パスのトラフィックの検査をサポートします。自動化されたポリシーを1つ構成するだけですべてのクラウド データ チャネルに一貫したセキュリティが提供されるため、管理者の負担が軽減されます。

クラウドの転送中データに対するインライン セキュリティ

高性能のフォワード プロキシとSSLインスペクションにより、以下のような重要なリアルタイムの保護を提供します。

• ネットワーク デバイス ログを必要とすることなく、シャドーITの検出機能とクラウド アプリの制御が未承認のアプリを特定して保護
• 承認済みのアプリだけでなく未承認のアプリへの機密データのアップロードをDLPが防止
• 高度な脅威対策が機械学習を活用したクラウド サンドボックスを駆使し、既知および未知のマルウェアをリアルタイムで阻止
• ブラウザー分離がBYOD用のピクセルとしてセッションをストリーミングし、リバース プロキシなしでデータ漏洩を防止

保存データのアウトオブバンド セキュリティ

SaaSアプリやクラウド プラットフォーム、そしてこれらに含まれるコンテンツをAPIベースでスキャンし、以下を通じて自動的にセキュリティを強化します。

• 事前に定義されたカスタマイズ可能なDLP辞書により、SaaSおよびパブリック クラウド内の機密データを特定します。
• コラボレーション管理機能がアプリをクロールしてリスクの高いファイル共有を特定し、ポリシーに基づいて無効化
• クラウド サンドボックスが保存データをスキャンし、ゼロデイ マルウェアやランサムウェアを特定して対処
• DSPMが、SaaS、PaaS、パブリック クラウド、オンプレミス、LLMにおけるリスクの高いデータ資産を自動的に検出および分類