こちらのソリューションに関するお問い合わせはこちらから
MENU

 

 

CASB(Cloud Access Security Broker)とは

クラウドシフトの現状と今すべき対策とは

働き方改革等時代の変化により接続元端末が社内PCのみではなく社外からのPCやモバイル端末に増え、クラウドサービスの利用により守るべきデータが社内から社外(境界線)へ移行しています。

CASBは企業が利用するクラウドアプリケーションに対して可視化、データプロテクション、ガバナンスを実現するソリューションです。

クラウドサービスからの情報漏洩を考える上でのポイント

クラウドサービスからの情報漏洩を考える上でのポイント

  • シャドーIT(Shadow IT)とは企業が許可せず従業員が勝手に利用しているクラウドアプリケーション
  • IT管理者が認識していない

クラウドサービス利用時の想定リスク

ShadowIT:シャドーIT
  • 利用認可していないクラウドアプリケーションの利用によるデータの漏えいや消失(暗号強度の低いアプリや、第三者がアクセス可能なアプリなど)(内部不正/過失)
  • クラウドアプリケーション利用に関する対外的な説明責任(規格準拠)

Web Filterの限界とCASBが必要な理由

  • カテゴリベースでのアクセス制御には限界があります。
  • 例えば、Web Filterで「ファイルストレージ」というカテゴリをアクセス許可すると企業のポリシーに関係無く全てのファイルストレージが使用出来てしまいます。
  • 反対にWeb Filterにおける「ファイルストレージ」カテゴリをブロックした場合でも、Web Filterでファイルストレージと判断されなかったサイトにはアクセスできてしまっている(抜け漏れが発生している可能性があります)

シャドーIT経由での情報漏洩例

  • 企業が利用許可していないクラウドサービスを従業員が勝手に利用し、機密情報をクラウドサービスにアップロード
  • クラウドサービス事業者側がデータを暗号化せずに保存しており、クラウドサービス経由での情報漏洩

CASB(シャドーIT)導入構成例

  • Proxy、Firewallで取得しているアクセスログをCASBに連携することでシャドーITの可視化が可能になります

シャドーITに対するCASBのアプローチ

可視化
従業員のクラウドアプリケーション利用状況可視化
評価
クラウドアプリケーションの評価(リスクスコア、データを暗号化しているか、コンプライアンスに準拠しているか)
レポーティング
上記情報をレポートとしてアウトプット

シャドーIT運用フロー

  • 安全にクラウドサービスを活用するためにはシャドーITを可視化するのみではなくCASBを活用して以下フローを実現する必要がある

シャドーITの選定時のポイント

  • クラウドアプリケーション情報の多さ
    1. 評価可能なクラウドサービスがいくつあるか
    2. 評価されているデータはどの程度の頻度で更新しているか
    3. 登録依頼した際の反映スピード
  • 既存Gateway製品との親和性
    1. ProxyやFWからログを転送する際どのような構成になるか
    2. 可視化後の制御・監視がスムーズに行えるか
    3. 現行Gateway製品との二重投資になっていないか
  • エージェントレス
    1. 端末にエージェントの導入が必要か

サンクションITとは

  • サンクションIT=企業で契約して利用しているクラウドサービス、認可クラウドサービス(Office365、box、Slack等)

クラウドサービス利用時の想定リスク

Sanctioned IT:サンクションIT
  • クラウドアプリケーション内でのデータの過剰共有による権限外へのデータ漏えい
  • クラウドアプリケーションのアカウントへの不正アクセスによる、 アカウント乗っ取り、データ破壊、流出等
  • 内部ユーザーの不正
  • 共有ファイルによるマルウェアの配送
  • クラウドアプリケーション上に保管されているデータを把握できていない(監査)

責任共有モデル

  • サービスにより責任範囲が異なる
  • クラウドサービス上のデータ保護やアカウント管理はユーザ側に責任がある

サンクションIT導入構成例

  • 対象クラウドサービスとCASBでAPI連携を行います

CASBが解決するサンクションITの課題

サンクションITに対するCASBのアプローチ

可視化
対象のクラウドアプリケーションにどのようなデータが上げられているかの把握、監視(共有先/共有データ)
振る舞い検知
退職前の従業員が怪しい動きをしていないかクラウドサービスのアカウントが乗っ取られていないか
データ保護
機密情報と特定したデータがクラウドサービスに上がった場合に検知、必要に応じて制御

サンクションITの選定ポイント

  • APIコールの速さ、頻度
    1. APIはリアルタイムではありません。SaaS・CASBメーカによりAPIコールの速さは異なります
  • アクティビティログの分かりやすさ
  • アノマリイベントの検知
    1. 機械学習によりユーザの振る舞いを検知できる機能があります
  • オプション機能有無
    1. 対象クラウドサービス内のサンドボックス
    2. 対象クラウドサービス内のURLフィルタ機能