経営陣がCASBについて知るべきこと
実際のところ、CASBは何を意味するのか。
Wikipedia記事「CASB」の引用: 「クラウド アクセス セキュリティ ブローカー(CASB)は2012年にGartnerが提唱した概念であり、次のように定義されます: 『クラウドベースのリソースにアクセスする際に企業セキュリティ ポリシーを組み合わせて適用するために、クラウド サービス利用者とクラウド サービス プロバイダの間に設置される、オンプレミスまたはクラウドベースのセキュリティ ポリシー適用ポイント。様々な種類のセキュリティ ポリシーを一元的に適用する』」
CASBのはじまり
CASBの概念が出現した当時、企業内外のワークストリームをクラウド サービスへ移行する動きが始まっていました。この変化により、運用経費、コラボレーション、可用性が大きく改善されましたが、アクセスや機能性に悪影響を与えないセキュリティ対策に関する新たな論点も数多く生まれました。主な関心事項の例としては、使用するクラウド サービスの種類(SaaS、PaaS、IaaS)を問わないデータとユーザーの可視化とコントロールが挙げられます。
サイバーセキュリティ分野での重要性
CASBは複数のクラウド サービスを一元的に可視化しコントロールするポイントを提供する製品です。この統合を達成するには、多様な機能を包含する必要があります。具体的には、データ保護、認証、シングル サインオン、認可、資格情報マッピング、デバイス プロファイリング、暗号化、トークン化、ロギング、アラート、マルウェア検出/防御などです。CASBを利用しなければ、データとユーザー アクセスのセキュリティを手作業で管理しなければなりません。しかも、保護対象のデータとアクセスは、セキュリティ モデルが異なる多様なクラウド サービスに散在しています。CASBはリスク評価の領域でも役立つツールです。侵害を受けたアカウントを検出した上で、GDPRやHIPAAなどの規制に準拠した形で機密データが保護されていることを確認できるためです。
CASBというバズワードを取り巻く市場
サイバーセキュリティ分野のバズワードの例に漏れず、CASBソリューションの能力をベンダーが誇張する傾向があります。中には、必要な保護の一部しか提供できない可能性があるにも関わらず、クラウド セキュリティのすべてのニーズを扱えるCASBだと主張するベンダーもいます。警戒すべきもう1つのトレンドが、クラウド サービスを介したユーザー アクセスとデータ フローのセキュリティに必要な唯一の保護としてCASBを位置付けようとするベンダーの存在です。問題となるのは、利用者がベンダーの主張を真に受けてクラウド サービスのリスクを緩和できたと考えるケースです。実際には、CASBを経由せずにクラウド リソースにアクセスするユーザー、内部関係者による攻撃、CASBと未連携のクラウド サービスの利用など、未解決の脅威が多数残っています。
アドバイス: CASBを導入する際に経営陣が考慮すべきこと
CASBの実装を検討する際には、自組織に特有のニーズを評価することが欠かせません。指針となる検討項目を以下に示します。
- 現在使用中のクラウド アプリケーションはどれか、その安全性は現状どの程度か、将来的なクラウドの導入とクラウド ワークフローのセキュリティ対策をどのように計画しているか。
- 全クラウド サービスにセキュリティ ポリシーを一貫して適用するにはどうすればよいか。クラウド サービスのセキュリティ体制を評価する方法はあるか。
- 満たさなければならないコンプライアンス要件は何か。その達成にCASBがどう役立つか。
- 既存のセキュリティ ツールやワークフローとCASBをどのように統合するか。または、より望ましい手法であるCASBと他のセキュリティ ツールの統合は可能か。
- クラウド サービスを横断してユーザー アクティビティと機密データを適切に可視化・コントロールする機能をCASBプロバイダが提供できるか。また、脅威をどのように阻止するか。
まとめると、CASBはクラウドに依存する組織のセキュリティ アーキテクチャを構成する戦略的な要素です。可視化、コントロール、コンプライアンスを包括的な支援する能力が、クラウド環境の総合的なセキュリティ戦略で重要な役割を果たせます。