クラウド セキュリティで注目されている CASB とは? ~ IT 担当者に必要な知識をオールインワンで解説~
2023 年 1 月 20 日
近年、クラウド サービスのセキュリティ コンセプトの 1 つである CASB というキーワードが注目を集めています。CASB とは、2012 年に米ガートナー社が提唱した Cloud Access Security Broker の略語であり、企業におけるクラウド サービスを管理するしくみです。
当記事では、CASB が注目されている背景や、概念としくみ、提供する機能、導入するための手順、そして具体的な製品について一気通貫で解説します。
- CASB が注目されている背景
1-1. シャドー IT の状況
1-2. シャドー IT のリスク - CASB の概念としくみ
2-1. Proxy 型
2-2. API 型
2-3. ログ分析型 - CASB が提供する機能
3-1. クラウド利用の可視化
3-2. データ セキュリティ
3-3. 脅威防御
3-4. コンプライアンス - CASB を導入するための手順
4-1. 運用形態の決定
4-2. 要件の定義
4-3. PoC による評価 - クラウド セキュリティ対策に有効な Microsoft のソリューションとは
- 最後に
1. CASB が注目されている背景
テレワークの普及に伴い、企業におけるクラウド サービスの利用が拡大しました。しかし、IT 部門の許可を得ずに従業員や IT 部門以外が自らクラウド サービスを導入するケースも少なくありません。このようなクラウド サービスは、IT 部門の管理が行き届いていないことから、シャドー IT と呼ばれています。近年、シャドー IT がハッキングされて不正に使用される被害が多発しており、サイバー セキュリティのリスクが高まっています。
1-1. シャドー IT の状況
独立行政法人情報処理推進機構の「情報セキュリティ白書 2022」によると、勤務先で許可が得られていないクラウド サービスを業務で利用することについて「許可がないものは利用しない」とする回答が 47.7%、「許可がなくても問題ない」が 11.7%、「勤務先が用意していないためやむを得ない」が 12.2% とあります。 この結果から、23.9% もの従業員が何らかのクラウド サービスを独自の判断で利用していることがわかります。
1-2. シャドー IT のリスク
従業員の個人的なクラウド サービスの利用、及び IT 部門以外のクラウド サービスの導入によるシャドー IT は、セキュリティ設定の不備につながります。悪意のあるハッカーからサイバー攻撃を受け、リソースを不正に使用されて莫大な料金を請求されたり、企業の機密情報が漏えいし消失したりするリスクが高まります。このようなセキュリティ事故を回避するには、必要に応じたツールを導入し、企業のセキュリティ対策を見直さなければなりません。そこで役立つのが、シャドー IT の管理および制御を実現する CASB です。
2. CASB の概念としくみ
CASB とは、Cloud Access Security Broker の略語で、米ガートナー社が提唱したクラウド サービスへのアクセスを仲介する概念です。従来のプロキシ サーバーのように、クラウド サービスへのアクセスをワン ポイントに集約して監視および制御するものや、クラウド サービスから状態を収集して評価、分析するものなどがあります。CASB のしくみには Proxy 型、API 型、ログ分析型の 3 つがあります。
2-1. Proxy 型
すべてのクラウド サービスへのアクセスをネットワーク経路で仲介します。他社が契約しているクラウド サービスにも適用可能です。通信データを監視および制御するために、暗号化された通信を復号する機能も必要となります。
2-2. API 型
クラウド サービスにて提供された API を用いて、ネットワーク経由で情報を収集します。クラウド サービスの API を利用するため、適用範囲は自社が契約しているクラウド サービスのみです。なお、製品により対応しているクラウド サービスは異なります。
2-3. ログ分析型
既存のネットワーク機器 (Proxy、FW など) のログをネットワーク経由で参照します。クラウド サービスの利用状況は、ログの接続先 URL などから評価、分析します。
中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載
おすすめのガイドブック
Microsoft Defender for Business カタログ
Microsoft Defender for Business カタログ
3. CASB が提供する機能
米ガートナー社の定義によると、CASB は 4 つの機能を提供しています。クラウド利用の可視化、データ セキュリティ、脅威防御、及びコンプライアンスです。CASB を実装する製品が登場した当初は、クラウド利用の可視化によるシャドー IT の把握が中心でした。その後、データ セキュリティ、脅威防御、コンプライアンスと機能が充実化しました。
3-1. クラウド利用の可視化
クラウド サービスとの通信やネットワーク機器などの情報を評価かつ分析し、従業員がどの端末からどのようなクラウド サービスを利用しているかを把握します。Proxy 型の場合は、利用を許可する/許可しないといった制御をリアルタイムで行うことが可能です。
3-2. データ セキュリティ
従業員がクラウド サービスとやり取りしているデータを監視することで、セキュリティ ポリシーに違反するデータを検査する機能です。具体的には、データが暗号化されているか、許可されていないクラウド サービスにデータをアップロードしていないかなどをチェックします。
3-3. 脅威防御
悪意のあるハッカーは、クラウド サービスにあらゆるサイバー攻撃を仕掛けてきます。脅威防御では、クラウド サービスの不審な挙動やファイルなどを監視して、不正アクセスを検知することが可能です。また、マルウェアについては検知、隔離、遮断します。
3-4. コンプライアンス
従業員のクラウド サービス利用において、適切に企業内のルールや規則に従っているかを監視する機能です。各種機能の設定内容や動作ログなどをチェックすることで、セキュリティ ポリシーに準拠しているかを判定します。
4. CASB を導入するための手順
CASB の概念としくみ、提供する機能を前提に、CASB を導入する手順について説明します。大きな流れとしては、運用形態を決定したうえで、CASB への要件を定義して製品を選定し、PoC (試験導入) にて自社の環境で評価および検証していきます。
4-1. 運用形態の決定
CASB の運用においては、セキュリティ ポリシーの調整や、従業員からの問い合わせ対応などが発生します。求められる技術スキルや業務負荷を考慮し、適切な運用ができるように準備しなければなりません。要件の定義や PoC による評価では、CASB の運用を自社で行うか、アウトソースするかを事前に決めて検討することが重要です。
4-2. 要件の定義
要件によっては、しくみ (Proxy 型、API 型、ログ分析型など) の制約から実現できない場合があります。たとえば、API 型ではセキュリティ ポリシーで許可していないクラウド サービスの利用をリアルタイムで遮断することができません。また、製品によって実装している機能は異なるため、優先度を決めて選定することが必要です。
4-3. PoC による評価
製品を試用できる場合には、必ず PoC (試験導入) を実施します。自社の既存システムとの連携や、従業員への影響などを評価しましょう。なお、CASB の機能は通常の利用では確認が難しいため、必ずセキュリティ ポリシーを設定したうえで、許可されていない操作を行うなどして、有効性や動作を確認する必要があります。
5. クラウド セキュリティ対策に有効な Microsoft のソリューションとは
Microsoft Defender for Cloud Apps は、マルチクラウド環境においてアプリやデータを管理する製品です。CASB で提供される機能をバランスよく実装しています。Microsoft Defender for Cloud Apps の具体的な機能としてはアクセスの制御、コンプライアンス、構成の制御、Cloud Discovery、DLP ポリシー、特権アカウント、共有の制御、脅威の検出などがあります。Microsoft Defender for Cloud Apps は Microsoft Defender for Business Premium にて利用可能です。詳細は Microsoft 公式サイトより最新情報をご確認ください。クラウド サービスのセキュリティ対策を行った後は、従業員のパソコンなどエンドポイントの対策も忘れてはいけません。エンドポイントの対策には MDB (Microsoft Defender for Business) の利用をご検討ください。
6. 最後に
当記事では、企業の IT 担当者が CASB を導入するうえで必要となる基本的な知識を、オールインワンで解説しました。クラウド サービスへのサイバー攻撃が増加する中、CASB はクラウド サービスを利用する企業にとって不可欠なソリューションといえます。確実なサイバー セキュリティ対策を実施するために、ぜひ CASB の導入を検討してください。
リモートワーク・ハイブリッドワークに適した環境設置のために
リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。
これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。
- Microsoft 365・Excel: Microsoft 365 から、Excel の使い方など生産性を向上させるコラム
- Teams・Web 会議: Microsoft Teams を始め、Web 会議をワンランクアップさせるコラム
- リモートワーク・テレワーク: リモートワークやテレワークなど、新しい働き方のお役立ちコラム
中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載
Microsoft Defender for Business カタログ
Windows を知り尽くしたセキュリティ ツール
マイクロソフト製品ご購入検討の問い合わせ先
Web フォームで購入相談
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。