/ クラウド アクセス セキュリティ ブローカー(CASB)とは
クラウド アクセス セキュリティ ブローカー(CASB)とは
クラウド アクセス セキュリティ ブローカー(CASB)は、クラウド アプリケーションの利用者とクラウド サービスの間に配置され、データ保護および脅威対策サービスの施行ポイントとして機能します。CASBは、機密データの漏洩を自動的に防止すると同時にマルウェアなどの脅威を阻止します。また、シャドーITの検出と制御、危険な共有のブロック、認証やアラートなどのセキュリティ ポリシーの施行、コンプライアンスの確保などを効果的に行えるよう組織をサポートします。
今の時代にCASBが求められる理由
クラウドの普及に伴い、CASBが備えるサイバーセキュリティ、アクセス制御、データ保護などのさまざまな機能は、企業のセキュリティにとって重要な存在となりつつあります。CASBを利用することで、クラウド プラットフォームやアプリ内の転送中データまたは保存データを制御できます。CASBが求められる理由には、以下の点が挙げられます。
- クラウド プラットフォームやクラウド アプリ(Microsoft 365、Salesforceなど)の普及により、データ センターのファイアウォールをはじめとする従来のネットワーク セキュリティ ツールの効果が著しく低下している。
- IT部門がかつてのような制御を行えない(ほとんどのユーザーが自分で新たなクラウド アプリを入手して使用できるようになり、きめ細かいユーザー アクセス制御を手動で行える規模ではなくなっている)。
- CASBはポリシーを適用して、シャドーITの制御、クラウド情報漏洩防止(DLP)、SaaSセキュリティ ポスチャー管理(SSPM)、高度な脅威対策を提供できる。
企業におけるCASBの役割
CASBは、クラウド環境とその周辺において、アクティビティーの番人のような役割を果たし、アクティビティーの可視化、セキュリティ ポリシーの適用、脅威の検出、データ保護といった機能を提供します。これによって、企業は制御を維持しコンプライアンスを確保しながら、安心してクラウドを導入できるようになります。以下のセクションで、CASBの具体的なメリットについて詳しく見ていきましょう。
CASBのメリット
効果的なCASBソリューションは、包括的なクラウド セキュリティ戦略の一部となり、主に以下のようなメリットをもたらします。
シャドーITとリスクの可視化
リモート ワークやBYODの普及に伴い、組織のクラウド環境にアクセスするユーザー、デバイス、SaaSアプリケーションに関する明確な可視性が必要になっています。これは、不正アクセスのリスクが急速に高まっているためです。CASBは、クラウド アプリの使用状況の把握、クラウド関連支出のレポート作成、リスク評価を通じた適切なアクセス ポリシーの作成および維持に役立ちます。
クラウドの利用管理
金融サービス、医療、公共部門など、規制の厳しい業界では特に、クラウドを使用するにあたってさまざまなコンプライアンス要件への準拠が必要となる場合があります。CASBを利用することで、組織が属する業界で特に重要なリスク要因を特定して厳格なデータ保護ポリシーを設定できるため、組織全体でコンプライアンスを達成、維持できます。
データ セキュリティとDLP
世界中のデータ量は2年ごとに倍増しており、データにまつわるリスクも増大しています。CASBとクラウドDLPを組み合わせることで、潜在的なリスクの把握と修復が可能になります。クラウド環境で送受信される機密性の高いコンテンツを可視化することで、インシデントの特定、ポリシーの適用、データの保護を、最も確度の高い形で行えます。
脅威対策
現在のITエコシステムで最も脆弱なのは、通常、クラウド リソースです。効果的なCASBを利用すれば、行動分析と脅威インテリジェンスによって不審なアクティビティーをすばやく特定して対処できるため、クラウド アプリケーションとデータを安全に保ち、組織の全体的なクラウド セキュリティ態勢を強化することができます。
CASBの導入方法
ごく大まかに言えば、CASBの導入で重要となるのは、ニーズの評価に基づいて適切な製品を選定し、組織のシステムに最適な形で設定を行い、継続的なモニタリングと監査を行うことです。具体的には5つの段階に分けて考えることができます。
- 組織の環境の評価と計画の策定。使用されているクラウド サービスとアプリ、付随するリスク、セキュリティ ポリシーとコンプライアンス上のニーズを把握します。
- ニーズに即した適切なCASBソリューションの選定。適切な製品を見つけることが重要です。また、それと同様に、適切なベンダーを見つけることが重要です。信頼できるパートナーを選びましょう。
- CASBとクラウド サービスおよびユーザー ディレクトリーとの統合。SSOを使用して安全なユーザー アクセスとシームレスな認証を実現します。
- アクセス、データ共有、DLP、セキュリティ ポリシーの構成。業界によっては、暗号化に関するポリシーに特別な注意を払う必要がある場合があります。
- リアルタイムのモニタリングおよび脅威検出の有効化。組織のニーズの変化に応じてポリシーを定期的に確認および更新することも必要です。
CASBの仕組み
CASBの中にはオンプレミスのハードウェアやソフトウェアの形態をとるものもありますが、拡張性、コスト、運用管理性を考慮した場合、クラウド サービスとして提供されるソリューションが最も適しています。形態に関係なく、CASBはプロキシ(フォワード プロキシまたはリバース プロキシ)、API、または両方(マルチモードCASB)を使用するように設定できます。
プロキシ
CASBはデータの経路で動作する必要があるため、クラウド プロキシ アーキテクチャーを基盤としたものが理想的です。CASBでよく使用されるフォワード プロキシは、クライアント側からユーザーのプライバシーやセキュリティを保護します。
フォワード プロキシは、クラウド サービスに対するリクエストを宛先に向かう途中で遮断します。そして、CASBはポリシーに基づいて、資格情報マッピングとシングル サインオン(SSO)、デバイス態勢の検証、ログの記録、アラートの生成、マルウェアの検出、暗号化、トークン化を実施します。
API
インライン プロキシは転送中データを遮断しますが、クラウド上の保存データに対しては、アウトオブバンド型セキュリティが必要です。CASBベンダーは、クラウド サービス プロバイダーのアプリケーション プログラミング インターフェイス(API)との統合を通じてこれを提供します。
マルチモードCASBとは
プロキシ モードでは、CASBは情報漏洩やマルウェアをリアルタイムで阻止するインライン ポリシーを施行します。また、APIと統合してSaaSアプリのコンテンツをスキャンできるため、機密データのパターンやランサムウェアなどの脅威を検出し、対処することが可能です。最近では、API統合がSaaSセキュリティ ポスチャー管理(SSPM)に活用されるようになり、CASBでアプリケーションの設定ミスが修復できるようになりました。
プロキシベースとAPIベースの両モードを提供するCASBは「マルチモードCASB」と呼ばれ、SaaSだけでなく、Microsoft AzureやAWS S3などのIaaSの保護も可能です。また、CASBを個別の単一機能の製品としてではなく、SSEプラットフォームの一部として導入することで、一貫したセキュリティやパフォーマンスの向上、一元的な管理を実現できます。
Gartnerが考えるCASB
Gartnerが初めて「CASB」を定義した2012年当時、CASB技術は主にシャドーITの制御に使用されていました。
やがてCASBの利点や機能はセキュアWebゲートウェイ(SWG)と重なる部分が多くなり始め、2019年、Gartnerはセキュア アクセス サービスエッジ(SASE)という新たなフレームワークを定義しました。SASEは、「デジタル企業の動的でセキュアなアクセス ニーズをサポートするために、包括的なネットワーク セキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)を備えた総合的なWAN機能」を提供する、クラウド配信サービスのフレームワークとされています。
2021年、Gartnerはさらに掘り下げ、SASEのセキュリティ機能のみを指すセキュリティ サービス エッジ(SSE)を打ち出しました。これは、複雑で統一されていないセキュリティ スタックを合理化するための取り組みが世界規模で進んでいることを反映しており、企業の30%が2024年までにSWG、CASB、ZTNA、Firewall as a Service (FWaaS)機能を同一のベンダーで採用するとGartnerは予測しています。
CASBとSASE
CASBとSASEは互いに補完し合う存在です。CASBがクラウドを通じたデータのやり取りやデータ フローを保護する一方、SASEはクラウド セキュリティ、ネットワーク、アクセス制御をより広範に統合します。定義上、SASEにはCASBが含まれ、ポリシーの適用とデータの保護は、組織のネットワーク アーキテクチャーの一部に組み込まれます。
Zscalerは、2023年Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™でリーダーの1社と評価されました。
CASBの主なユース ケース
1. シャドーITの検出と制御
ユーザーが会社のファイルやデータを許可されていないクラウド アプリに保存したり、共有したりすると、データのセキュリティが脅かされます。このような問題に対処するためには、組織内におけるクラウドの使用状況を理解したうえで保護する必要があります。
Zscaler CASBはシャドーITを自動的に検出し、ユーザーが訪問したリスクの高いアプリを可視化します。そして、簡単に構成できる自動化されたポリシーが個々のアプリやアプリのカテゴリーに対してさまざまなアクション(許可、ブロック、アップロードの防止、使用の制限など)を実行します。
2. 企業以外のSaaSテナントのセキュリティの確保
ユーザーは、Googleドライブなどのアプリの承認済みインスタンスと未承認インスタンスのいずれをも使用する可能性があります。承認済みのインスタンスへの接続を完全に許可すれば不適切な共有に、未承認のインスタンスへの接続を完全にブロックすれば生産性の低下につながりかねません。
Zscaler CASBは認可されたSaaSテナントと認可されていないインスタンスを区別し、それぞれに適切なポリシーを適用します。事前にSaaSテナントの制御を設定することで、修復が自動的かつリアルタイムで実施できます。
3. リスクの高いファイル共有の制御
クラウド アプリは、部門や会社を超えた共有とコラボレーションを可能にしますが、セキュリティ部門は承認済みのアプリを使って誰が何を共有しているかを把握し、危険な人物にデータが渡るリスクを回避する必要があります。
CASBが効果的であるためには、コラボレーション管理機能が不可欠です。Zscaler CASBは、SaaSテナント内のファイルを迅速かつ繰り返しクロールして機密データを特定します。ファイルの共有相手のユーザーを確認し、リスクの高い共有が行われている場合は必要に応じて自動的に対応を行います。
4. SaaSの設定ミスの修正
クラウド アプリケーションの導入、管理を行う際、アプリが適切かつ安全に機能するように正確に設定することが重要です。設定を誤ると、セキュリティ衛生が損なわれ、機密データが容易に漏洩する可能性があります。
Zscaler SSPMはAPIを介してSaaSテナントと統合され、コンプライアンス上のリスクにつながる設定ミスを検出します。これは、CSPMおよびCIEMと並ぶ、Zscaler Workload Postureのコンポーネントの1つです。
5. データ漏洩の防止
データ侵害や漏洩を引き起こす恐れがあるクラウド リソースの設定ミスに加えて、クラウド内の機密データのパターンも特定して制御する必要があります。膨大な量のこの種のデータはHIPAA、PCI DSS、GDPRなどの多くのフレームワークの下で規制されています。
Zscalerのクラウド ネイティブ セキュリティ プラットフォームであるZero Trust Exchangeは、クラウドDLPおよびCASBの機能を備えた統合データ保護ソリューションを提供します。あらゆる場所の機密データを特定および保護するための高度なデータ分類技術を活用しながら、クラウド アプリの適切な構成を担保し、情報漏洩やコンプライアンス違反を防止します。
6. 攻撃の阻止
感染したファイルが組織のセキュリティを通過して承認済みのクラウド アプリに侵入すると、接続しているアプリケーションやユーザーのデバイスに即座に拡散してしまう可能性があります。そのため、アップロード時と保存時の両方において、リアルタイムで脅威から防御できる方法が必要になります。
Zscaler CASBは、次のような高度な脅威対策(ATP)機能によってマルウェアの進行を阻止します。
- 悪意のあるファイルがクラウドにアップロードされるのを防止するリアルタイム プロキシ
- 保存されているファイルを特定して脅威に対処する帯域外スキャン
- ゼロデイ マルウェアも特定するクラウド サンドボックス
- 管理されていないエンドポイントからのアクセスを保護するエージェント不要のクラウド ブラウザー分離
Zscaler CASB
Zscalerは、総合的なZscaler Zero Trust Exchange™プラットフォームの一部として、SWGやZTNAなどと併せてサービスとしてのマルチモードCASBなどを提供し、単一機能製品の排除、ITの複雑さの軽減、シングル パスのトラフィックの検査をサポートします。自動化されたポリシーを1つ構成するだけですべてのクラウド データ チャネルに一貫したセキュリティが提供されるため、管理者の負担が軽減されます。
クラウドの転送中データに対するインライン セキュリティ
高性能のフォワード プロキシとSSLインスペクションにより、以下のような重要なリアルタイムの保護を提供します。
- ネットワーク デバイス ログを必要とすることなく、シャドーITの検出機能とクラウド アプリの制御が未承認のアプリを特定して保護
- 承認済みのアプリだけでなく未承認のアプリへの機密データのアップロードをDLPが防止
- 高度な脅威対策が機械学習を活用したクラウド サンドボックスを駆使し、既知および未知のマルウェアをリアルタイムで阻止
- クラウド ブラウザー分離がBYOD用のピクセルとしてセッションをストリーミングし、リバース プロキシなしでデータ漏洩を防止
保存データのアウトオブバンド セキュリティ
SaaSアプリやクラウド プラットフォーム、そしてこれらに含まれるコンテンツをAPIベースでスキャンし、以下を通じて自動的にセキュリティを強化します。