開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2018/05/10

CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント

クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。

画像
クラウド時代のセキュリティを考えるうえで「CASB」は有効な選択肢の一つだ
(©taa22 - Fotolia)

CASBとは何か?

関連記事
 CASB(Cloud Access Security Broker:キャスビー)とは、ガートナーが2012年に提唱した言葉で、企業が利用するクラウド・アプリケーションについて可視化、データ・プロテクション、ガバナンスを実現するサービス/製品を指す。

 具体的には、複数のクラウドサービスの利用ユーザーとクラウド・プロバイダーの間にCASBを配置し、単一のコントロールポイントを設けて、認証/シングルサインオン、アクセス制御、データ暗号化、ログ取得、マルウェア対策といった、クラウド・リソースへのアクセスに関するセキュリティ・ポリシーを適用する。

 CASBが誕生した背景には、複数のクラウドサービスの存在と、モバイルデバイスの多様化が挙げられる。複数のSaaS(Software as a Service)を、PCやスマートフォン、タブレットなどから利用している人は多いだろう。また、「働き方改革」を積極的に取り組む企業が増加し、テレワークやリモートオフィスの活用など、オフィス外から直接クラウドサービスするケースも増加している。

 モバイルデバイスの利用や柔軟な働き方は、生産性向上に大きく寄与する。しかし、同時に企業ファイアウォールの「外側」のセキュリティとガバナンスが管理できないといった問題を生んでしまった。その結果、従来型の“境界セキュリティ”では対応できず、企業のIT部門が管理できない、いわゆる「シャドーIT」が増加するという事態が発生している。

 こうした状況を回避し、従業員の業務効率と利便性を損なわず、かつ、一貫したセキュリティ・ポリシーを遵守しながらクラウドを利用できるようにするのが、CASBなのである。

CASBと既存セキュリティ対策製品の違いは

 では、これまでのセキュリティ対策ソリューションとCASBは何が異なるのかを見ていこう。

 CASBで提供する機能は、「クラウド利用の可視化/制御」、アクセス権限を監視してデータの持ち出しをチェック/ブロックする「データセキュリティ」、セキュリティ・ポリシーの準拠を監査する「コンプライアンス」、さらに脅威を検出/分析し、防御を行う「脅威防御」の4つに大別される。

画像
CASBは4つの機能を持つ
(出典:ガートナー)

 とはいえ、これら4つの機能は、CASB特有のものではない。「次世代ファイアウォール(Next-Generation Firewall)」や「セキュアWebゲートウェイ(Secure Web Gateway/以下、SWG)」(プロキシ)などにおいても、基礎的なレベルでは同様の機能を提供している。

 CASBが次世代ファイアウォールやSWGと異なるのは、各クラウド・アプリケーション/ユーザーなどの単位で「きめ細かいデータセキュリティ/制御を簡単に設定できる」という点だ。

 たとえば、マイクロソフトのSaaSである「Office 365」できめ細かいセキュリティ制御をする場合、同サービスに特化した定義をしなければならない。こうした制御をSWG(プロキシ)で実行する場合には、送信元のIPアドレスや通信先のURLカテゴリで判定する必要がある。

 しかし、SWGで「Office365の特定機能を、特定の権限を有した人物に対して、どの操作までを許可するか」といった設定をするのは困難だ。CASBではそうした設定やダッシュボードでの確認が簡単に実行できる。

CASBを実現する4つの仕組み

 次にCASBの仕組みを見ていこう。ガートナーではCASBの実装形態(モード)を、以下の4つに大別している

  1. API(Application Programming Interface)モード
  2. フォワードプロキシ・モード
  3. リバースプロキシ・モード
  4. エグジスティングプロキシ・モード

 下の図を見てほしい。クラウドサービスを未許可と許可済みに分け、エンドポイントのデバイスを管理対象にあるものと管理対象外のものとに分けた。そのうち、どれを対象にどう制御するかによって、導入するCASBの形態は異なるのだ。

画像
CASB実装の4つの方法。製品ごとに異なるので自社環境にどれが最適かを判断する必要がある
(出典:ガートナーの解説をもとに編集部作成)

 1つ目のAPIモードは、SaaS(クラウド)が提供するAPIを所定の権限で利用して、アクセス/データの流れを可視化する。そして、APIを介して詳細なレベルのアクセス権限設定やデータ保存の制御を実行する。これを得意としているベンダーがSkyhighである。

 2つ目のフォワードプロキシ・モードは、オンプレミスとクラウドの双方の提供形態がある。基本的にトラフィックをフォワードしてクラウドとやり取りする仕組みだ。これを得意としているのがNetskopeである。同社の場合、フォワードプロキシと端末側にエージェントをインストールし、両者を連携させながら制御している。

 フォワードプロキシ・モードで通信する場合、端末側のエージェントが必ずプロキシを通過するので、未承認クラウドとのやり取りも可視化できるというわけだ。もちろん、認証クラウドでは詳細な制御が実行できる。

 3つ目のリバースプロキシ・モードは承認済みクラウドに近い位置に配置する。そのため、承認済みクラウドとのやり取りは可視化できるが、未承認クラウドとのやり取りは可視化の対象にならない。その反面、端末にエージェントをインストールする必要はなく、接続する端末やアカウント、承認済みクラウドでの詳細設定が可能だ。

 導入のイメージとしては、BYOD(Bring your own device/個人端末の業務利用)を積極的に進めている企業はリバースプロキシ・モードを、逆に会社支給のデバイスのみ利用を許可している企業はフォワードプロキシ・モードの製品を採用することがよいだろう。

 ちなみに、4つ目のエグジスティングプロキシ・モードは、一般的なプロキシを指す。ここで取得したログをCASBベンダーが分析し、利用者はその分析結果をダッシュボードで確認できる。つまり、すでに導入しているセキュリティソリューションのログデータをCASBが分析するというイメージだ。

 CASBの仕組みでもう1つ押さえておきたいのは「暗号化」である。クラウド上で扱うデータのうち、機密情報だけを暗号化して保存したいケースがあるだろう。その場合、クラウドにデータを送る前に暗号化するか、あるいは送った後で暗号化するかの選択肢がある。

 もしクラウドに送る前の暗号化であれば、暗号化がクラウド(SaaS)の機能にどのような影響を及ぼすかを考える必要がある。また、CASBの鍵の管理についても、オンプレミスの鍵の管理と統合できるかを検討しなければならない。

CASB市場の動向:今後は拡大するも…?

 次にCASBの市場動向を見ていこう。ガートナーは2017年11月30日、CASB市場のマジック・クアドラントを公開した。同レポートでは2020年までに大企業の60%がCASBを採用すると予測している。

 同レポート作成時点(2017年後期)でCASBを導入している大規模企業が10%未満であることを考えると、CASB市場は将来的に成長すると言ってよい。

 2017年3月に公開した調査報告書では、CASBの市場規模について、2015年には1億5000万ドル(約164億円)だったものが、2020年には7億1300万ドル(約780億円)規模に成長すると予測している。

 しかし、CASBは現在、ハイプ・サイクルの「幻滅期」にある。なぜなら、CASBという言葉が登場した2012年当初は、CASBを提供するベンダーは限定的な専業ベンダーであり、ユーザーの期待値が高かった。しかし、現在では多くのベンダーがCASB市場に参入し、機能の拡充が進むと同時に差別化が難しくなっている。

画像
ハイプ・サイクルでは「CASB」は幻滅期に突入している
(出典:ガートナー、2017年7月)

 なお、ガートナーではマジック・クアドラントのリーダーにSkyhigh Networks、シマンテック、ネットスコープの3社を挙げている。

 注目したいのは、独立系ベンダーが多いものの、積極的に買収が行われている点だ。マカフィーはスカイハイを、シマンテックはBlue Coat Systemsを買収した。ちなみにBlue Coatは2015年にCASBベンダーであるElastica(エラスティカ)とPerspecsys(パースペクシス)の2社を買収しており、同社のゲートウェイセキュリティソリューションの機能強化を図っている。

CASBの主要ベンダー(順不同)

●シスコ
●オラクル
●シマンテック
●ネットスコープ
●CypherCloud
●Skyhigh Networks
●Bitglass
●マイクロソフト
●Saviynt
●CensorNet
●パロアルトネットワークス
(ビジネス+IT編集部調べ)


CASB導入で検討すべきポイント

 ではCASBを導入する際には、何を検討すべきなのか。

 一番の“核”となるのが「クラウド/モバイル利用状況とセキュリティ対策の棚卸し」だ。具体的には「現在どのようなクラウド/モバイル端末が利用されているのか」「それに対してどのようなセキュリティ対策を導入しているのか」を可視化することである。

 この「棚卸し」で留意すべきは、「守るべき情報の見極め」と「リスク回避の優先順位をつける」ことだ。自社の情報とデバイスがどのような脅威にさらされているかを把握してリスクを可視化/整理すれば、「どの部分が足りないのか」「コストや利便性の観点からどこまでリスク容認できるか」が明確になる。そのうえで優先順位の高いものから対策を講じるのが、効率的かつ効果的な方法だろう。

 セキュリティ予算が潤沢にある(恵まれた)企業はそうそうない。限られた予算内で効果的なセキュリティ対策を講じるためには、自社が抱えるセキュリティリスクと解決すべき課題を特定し、ガイドラインの作成と要件定義をしたうえで、必要な製品を選ぶことが重要である。

 ただし、その際に気をつけたいのが、既存のセキュリティソリューションとの共存だ。CASB市場と一部重複する分野としては、モバイルデバイスを管理するEMM(Enterprise Mobility Management)や、ID管理をクラウドで行うIDaaS(Identity as a Service)がある。

 そしてやっかいなことに、両者はCASBと一部の機能が重複している場合がある。すでにこれらを利用している企業であれば、まず何が不足しているのかを棚卸しし、どのような機能が足りていてないかを判断したい。

 極論を言えば、CASBの導入を検討して要件定義を固めた結果、クラウドサービスのセキュリティはクラウド(もしくはSaaS)側の標準機能だけ対応できる可能性もある。CASBはユーザー単位の課金となるので、従業員数の多い大規模企業はROI(投資対効果)を考慮する必要がある。

 複数のクラウドを利用しているのであれば、CASBの導入検討を機に、クラウドサービスの利用状況と、セキュリティ・ポリシーを見直してみよう。ポリシー策定時には利用していなかったクラウドサービスが追加されたり、コラボレーションツールを利用していたりといったケースは多い。「どんなデバイスを」「誰が利用して」「どのクラウドサービスにアクセスをしているのか」が明確になれば、守るべきモノが明確になるからだ。

 多層防御はセキュリティ対策の基本である。現在、多機能な次世代ファイアウォールやSWGを導入している企業であれば、まずはその範囲でできることもある。それで不足する場合には「CASBの導入を検討項目に入れる」というのが現実的ではないだろうか。

 単に「クラウドサービスの利用が不安だから」との理由で、場当たり的にCASBを導入しても根本的な解決にはつながらない点には注意してもらいたい。

<今回、お話を聞いたアナリスト>
photo
ガートナー ジャパン
リサーチ&アドバイザリ部門 ITインフラストラクチャ&セキュリティ セキュリティ担当
リサーチ ディレクター
礒田 優一 氏

ガートナー ジャパンにおいて、情報セキュリティ領域を中心とした調査/分析を担当。入社以前は、大手企業、独立系のシステム・インテグレーターで重要プロジェクトを担当。その後、監査法人系のメンバーファームにて、上場企業を中心に延べ数十社の情報システムおよびセキュリティ監査・アドバイザリ業務に従事。その間、情報セキュリティ研修講師、IT統制、情報セキュリティ管理に関する書籍の執筆を担当。

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!