マルウェアや内部不正、人的ミスによる情報漏洩など、デジタル化が進んだ現代だからこその問題が昨今増加しています。こうした状況において「情報を守ること」は、企業にとって重要な業務のひとつです。とはいえ、テレワークやクラウドサービスの利用増加など、効率化が進むほど情報を守ることが難しいと頭を悩ませる担当者も多いでしょう。 そうした状況の中で、昨今注目を浴びているのが「CASB」。アメリカのガートナー社によって提唱されたこの概念は、クラウドサービスの利用が増えた現代にこそ必要な概念と言えます。
本記事では、CASBの基礎と機能、メリットなどについてご紹介します。
 |
目次 |
1. CASB(キャスビー)とは?
CASB(キャスビー)とは、正式名称をCloud Access Security Brokerといい、クラウド利用の際のセキュリティに関する考え方のひとつです。クラウド利用を監視し、適切なセキュリティ対策を行うことを目的としています。具体的には、ユーザーとクラウドサービスの間にポイントを作り、ユーザーのクラウド利用を監視・制御するという考え方です。
総務省の「令和3年情報通信白書」によると、クラウドサービスを利用している企業の割合は68.7%で、年々上昇しています。また政府が主導する「働き方改革」によって、場所にとらわれない働き方を推進する動きも目立っています。
こうした状況で問題となるのが「適切なクラウドサービスの利用」です。場所を選ばない働き方ができるようになったこと、クラウドサービスが身近になったことで、会社が許可していない、もしくはシステム管理者が把握していないクラウドサービスやIT機器(シャドーIT)を従業員が勝手に利用する場合があります。こうしたところから、マルウェアによる被害や情報漏洩につながることも懸念されます。
実際に2021年には、個人利用のサーバーに顧客の情報を保管したために270名分の個人情報が流出した事件が発生しています。実害はありませんでしたが、事件を起こしたことで企業が謝罪文を掲載する結果になりました。こうした事態を防ぐためには、従業員のクラウドサービスの利用状況を把握し、シャドーITを排除する必要があります。
CASBは、仕事の効率を邪魔せずにクラウドの利用状況を可視化できるのが特徴です。これによって、適切なセキュリティ対策を行えるようになります。
SASE・SWGとの違い
CASBと似たものとして「SASE(Secure Access Service Edge)」と「SWG(Secure Web Gateway)」があります。CASBとの違いは「セキュリティをカバーする範囲」です。
SASEは、ネットワークとセキュリティをひとつにまとめるという概念です。一方のSWGは、セキュリティレベルの高いプロキシサーバーで、ユーザーとネットワークの中継地点となり、安全にネットワークに接続する仕組みです。SASEもSWGもネットワーク全体を対象にしています。
これに対してCASBは、クラウドサービスのみの監視・制御に特化している点が大きな違いです。
2. CASBの4つの機能
CASBには、4つの機能があると定義されています。ここでは、CASBの4つの機能についてご紹介します。
可視化
CASBの1つ目の機能は「可視化」です。
可視化とは、従業員の利用しているクラウドサービスやアクセス状況などを把握することを指します。CASBでは、アップロードやダウンロード、外部へのデータ送信の状況なども監視可能。社外から悪意のあるユーザーがアクセスして情報を盗み出そうとすれば、不審な動きとして検知されます。認可していないシャドーITの検知もできるため、シャドーITからの情報漏洩などを防ぐのに効果的です。
また可視化することで、不正アクセスやシャドーITの対策も立てやすくなります。
コンプライアンスの遵守
2つ目の機能は「コンプライアンスの遵守」です。
クラウドサービスが自社の規約や規定に則って利用されているかを監視します。あらかじめルールを設定しておけば、ルール違反をした場合にアラートで警告することが可能です。
コンプライアンスの遵守は、法改正へのスムーズな対応ができるようになるだけでなく、企業の社会的信用をアップさせることにもつながります。コンプライアンスが重視される現代において、重要な機能です。
データセキュリティ
3つ目の機能は「データセキュリティ」です。
情報漏洩やデータ改ざんといった危機を検知し、通報します。
また、よくある情報漏洩パターンに沿った対策を自動で設定することも可能です。例えば、ポリシーに基づいてユーザーをブロックしたり、従業員による個人用デバイスへの企業データの同期やダウンロードをブロックしたりすることができます。
一般財団法人日本情報経済社会推進協会(JIPDEC)の調査によると、2022年度の情報事故として報告されている7,009件のうち、漏洩が5,335件で76.1%。これらが起こった原因は誤交付や誤送信、紛失といった人的ミスが8割となっています。
こういった人的要因をCASBで検知して対策できれば、セキュリティは大きく向上するでしょう。
脅威防御
4つ目の機能は「脅威防御」です。
脅威防御は、マルウェアや不正アクセスなどを検知し、ブロックする機能。外部からの脅威はもちろん、社外秘の情報が大量にダウンロードされているなど、内部の不審な動きも検知します。外部からの攻撃だけでなく、内部の不正にも対応可能です。
独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威 2022」では「ランサムウェアによる被害」が前年に引き続き1位となっています。一方で「内部不正による情報漏えい」も5位にランクインするなど、社内外問わず、意図的な脅威にも十分な対策が必要です。
3. CASB導入によるメリット
では、CASBを導入すると企業にはどのようなメリットがあるのでしょうか。ここからは、CASB導入によるメリットを3つ、ご紹介します。
安全なテレワークの実現
1つ目のメリットは、安全なテレワークを実現できることです。
公益財団法人日本生産性本部の「第12回 働く人の意識調査」によると、新型コロナウイルスの流行が落ち着いたことでテレワークを実施する企業は減っています。しかし、収束後もテレワークを行いたいと考える人の割合は8割を超えており、テレワークの満足度も高いです。特に通勤時間の長さや災害リスクの分散を考え、首都圏ではテレワークが今後も定着する可能性が高いとされています。
こうした状況の中で、企業で必須となるのが「安全なテレワーク」です。
効率的なテレワークのためには、クラウドサービスの利用は欠かせません。しかし、テレワークによって仕事とプライベートの区別がつきにくくなることで、業務用と個人用のアカウント・デバイスを使い分けずに利用することも考えられます。個人用のアカウントやデバイスがシャドーITとなり、そこから不正アクセスをされる可能性もあるでしょう。
CASBを導入すれば、基本的に業務用のアカウントやデバイス以外は利用できなくなります。これによって、テレワークで生まれがちなシャドーITを排除できます。
積極的なクラウド利用
CASBは、積極的なクラウド利用が可能になることもメリットです。
生産性の向上のためには、クラウド利用などのデジタル化は欠かせません。日本全体の生産性向上には特に中小企業のDX推進が重要とされていますが、中小企業での導入はなかなか進んでいません。
その大きな理由は、セキュリティ面の不安です。MM総研が2022年に発表した「中小企業のDX推進における課題分析」によると、クラウドを利用しない理由として「セキュリティに不安がある」という意見が多く挙がっています。特にクラウド利用を検討しているが利用していないという企業は、セキュリティ面での不安から、利用に踏み切れないことが多いようです。
CASBは先述した4つの機能によって、高いセキュリティを維持します。外部・内部両方のセキュリティリスクに対応できるため、安心してクラウドサービスが利用できます。中小企業でのクラウドサービスの利用が進めば、日本全体の生産性も向上するでしょう。
システム管理の負担軽減
CASBの導入は、システム管理が楽になることもメリットのひとつです。
MM総研の調査によると、2021年度のクラウドサービスの市場規模は1兆5249億円。今後も規模は拡大していくと予想されており、日々、新しいクラウドサービスも生まれています。
一方で、クラウドサービスが身近になり、誰でも簡単に利用ができるということは、シャドーITが生まれやすい環境とも言えます。システム管理者が膨大な数のサービスを把握し、シャドーITをすべて検知することは人的な力だけでは困難でしょう。
CASBを導入することにより、シャドーITや危険なクラウドサービスをCASBが検知してくれます。システム管理者は検知された内容が問題ないかを判断し、問題がある場合には対策を立て実行するだけ。管理の負担を大幅に減らせます。
4.CASB導入時に考えるべきこと
CASBは4つの機能によって高いセキュリティレベルを維持し、安心・安全な利用ができるメリットがあります。とはいえ、すぐに導入すれば良いわけではありません。事前準備や同時に考えておくべきことがいくつかあります。
セキュリティポリシーが明確になっているか
CASBの導入時には、セキュリティポリシーが明確になっているかが重要です。
CASBは、セキュリティポリシーに基づいてアクセス権限や保管場所、利用できるクラウドサービスなどを判断します。そのためセキュリティポリシーが明確になっていないと、CASBの機能を最大限に活用できません。
特に利用範囲や情報の重要性、各アカウントの権限、データのバックアップなどは、CASBにおいて重要な判断基準です。こうした部分は、事前にポリシーを明確にしておく必要があります。
目的に合った導入方式を選んでいるか
CASBにはいくつかの導入方式があり、導入方式によってできることや範囲が異なります。そのため、目的に合った導入方式を選ぶことが重要です。
CASBには、主に「API型」「プロキシ型」「ログ分析型」の3つの導入方式があります。
●API型
クラウドサービスが提供するAPIを利用してCASBを導入する方式。監視できるのは、契約しているクラウドサービスのみ。
●プロキシ型
クラウドサービスにアクセスする経路上にCASBを導入する方式。経路上にあるため、ユーザーがアクセスするネットワークがすべて監視対象。そのため未承認のクラウドサービスも検知可能。
●ログ分析型
既存のゲートウェイを利用してCASBを設置する方式。検知できる範囲はゲートウェイ機器のみだが、ログを分析して過去の状況を把握することが可能
シャドーITが発生しにくく、特定のクラウドサービスのみの監視で十分な場合はAPI型、クラウドサービスの利用に慣れている、もしくはテレワークの従業員が多く、契約外の利用が考えられる場合にはプロキシ型、過去の利用に遡って原因追及などを行いたい場合はログ分析型が向いています。
監視したい範囲や機能などを見て、目的に合った導入方式を選択しましょう。
分析・対策ができるか
CASBでできるのは、基本的に「検知」のみであり、検知された原因や詳しい内容までは分かりません。そのため実際にセキュリティ対策を行うには、CASBによって検知された動作を分析し、原因を突き止め、対策まで行えることが重要です。
詳しい分析・調査・対策は素人では難しいため、高いセキュリティを維持するならプロによる分析や対策が行えるようにした方が良いでしょう。
5.まとめ
CASBはテレワークやクラウドサービスの利用が一般的になった現代において、とても重要な概念です。CASBを確実に実行していくことにより、安全で効率的なクラウドサービスの利用が可能になります。ときには専門家の力を借りながら、自社に合わせた導入をしていくのが望ましいでしょう。
CASBによって自社のセキュリティを強化したいとお考えの方は、JBCCにお気軽にご相談ください。
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 460社、セキュリティ 1,100社の実績があります。 |
