CASB(Cloud Access Security Broker)とは?仕組みやメリット、次世代FWとの違いまで徹底解説|サイバーセキュリティ.com

CASB(Cloud Access Security Broker)とは?仕組みやメリット、次世代FWとの違いまで徹底解説



現在では、クラウドサービスが発達しており、企業だけでなく個人でも利用されている方は多いのではないでしょうか。クラウドサービスはインターネットに繋がってさえいれば、さまざまなアプリケーションなどを利用できるため非常に便利です。しかし、既存のセキュリティシステムでは、「シャドーIT」などの問題に対応することができず、新たなセキュリティ対策が必要となります。

そこで注目されているセキュリティソリューション・考え方が「CASB」です。今回は、CASBの概要や仕組み、メリットとあわせて、必要とされる背景や次世代ファイアウォールとの違いについて解説します。

CASB(Cloud Access Security Broker)とは

CASBは、2012年にアメリカの調査会社であるガートナー社によって提唱された考え方です。その考え方をもとに、クラウドサービスを利用する上でのセキュリティ対策を行うためのソリューションが開発されています。

CASBはユーザーとクラウドサービスの間に配置することで、クラウドリソースのアクセスに関するセキュリティポリシーを一元管理・適用します。認証やアクセス制御、データ暗号化、マルウェア対策など、クラウドサービスを利用する上で必要となるセキュリティ対策を一元管理することが可能です。

クラウドサービスはインターネットに繋がってさえいれば利用できるため、現代ではさまざまなアクセスが存在します。すべての経路を把握・管理することは従来のセキュリティシステムでは難しい部分がありましたが、CASBはそのような問題を解決することができるのです。

CASBの仕組み

CASBの機能としては、大きく次の4つに分けられます。これらの機能により、CASBでクラウドサービスを利用する上でのセキュリティ対策が可能となるのです。

可視化・分析

自社で利用するクラウドサービスを検出・可視化することで、ユーザーごとの行動まで可視化し、分析することができます。たとえば、Dropboxなどのクラウドストレージへのアップロードやダウンロードなど、ユーザー行動を可視化可能です。

この機能により、ユーザーごとの細かいアクセス権限の管理が可能となります。クラウドサービスごとに許可・不許可という設定も可能となるため、シャドーITの防止に繋がります。

コンプライアンス

企業ごとに独自のルールを設定することもあるでしょう。CASBでは、企業ポリシーに応じた対処を行うための機能があります。たとえば、Dropboxなどにアップロードしたファイルを誰でも閲覧できる状態にしていた場合にアラートを送信する、といったことが可能です。

また、CASBではクラウドサービスごとのセキュリティ能力をチェックし、サービスの危険度を表示します。コンプライアンスとして、利用するクラウドサービスの危険度を基準にすることも可能となります。

データセキュリティ

データのアップロードやダウンロード、公開範囲の設定や管理画面の不正操作など、データ操作に対するセキュリティ設定が可能です。たとえば、データ送信時に暗号化を行ったり、データの改ざんなどを検知したりします。

クラウドサービスを利用する上で、最も気をつけたいことは公開範囲の設定といえます。なぜなら、インターネット上にデータをアップロードする以上、設定ミスによって誰でも閲覧できる状態になってしまう可能性があるからです。

CASBでは一元的に公開範囲の設定ができ、暗号化やデータ内容に基づいたアクセス制限などが行えます。

脅威防御

クラウドサービスに潜む脅威を防御する機能です。たとえば、リスキーなクラウドサービスへのアクセスを制限したり、マルウェアの検知や怪しいWebサイトへのアクセスを制限したりできます。

インターネット上には、さまざまな脅威が存在しています。なかにはクラウドサービス側では判断ができず、防ぎきれない脅威もあるでしょう。そのため、自己防衛のためにも脅威防御の機能が必要となるのです。

CASBのメリット

CASBを導入すると、大きく次の2つのメリットが得られます。クラウドサービスを利用する上では欠かせないメリットであるため、一つずつ見ていきましょう。

システム管理者の負担軽減

メリットの1つ目は、システム管理者の負担軽減ができることです。クラウドサービスは多種多様であり、日々アップデートや新たなサービスが登場しています。それぞれのサービスに応じたセキュリティポリシーを設定し、運用していく必要がありますが、システム管理者の負担が非常に大きくなってしまいます。

CASBではクラウドサービスを調査し、セキュリティ能力を判別して危険度をデータベース化しているものです。そのため、クラウドサービスごとの適切なセキュリティポリシーの策定や、新規サービスに対する対策などが行いやすく、システム管理者の負担軽減につながるのです。

シャドーITを防止

シャドーITとは、IT管理部門とは異なる部門(ユーザー部門など)によって、独自にクラウドサービスなどのITサービスを導入することで、管理が行き届かなくなってしまうことを表します。ユーザーが利用するクラウドサービスなどが管理できなくなると、企業で抱える潜在リスクが増えてしまいます。そのため、一元的に管理し、セキュリティ対策を行わなければなりません。

CASBを用いることで、可視化・分析の機能によってシャドーITを防ぐことができます。ユーザーが利用するクラウドサービスを検知することが可能であるため、社内で許可していないサービスを利用している場合は、通信を遮断するなどして潜在リスクを軽減することが可能です。

CASBが必要とされる背景

クラウドサービスを利用することが一般的となった現代では、CASBの導入は必要不可欠といえるでしょう。クラウドサービスは企業だけでなく、個人でも利用可能なものであるため、データの流れをしっかりと把握するためにも、CASBが必要となってきます。

従来は、社内の保護すべきデータ通信は、オンプレミスのサーバーとの通信が一般的でした。しかし、コストや拡張性などの観点から、オンプレミスからクラウドサービスへと移行する流れが主流となっています。従来のセキュリティシステムでは対応しきれない部分も出てきているため、新たなセキュリティシステムとして、CASBが必要とされているのです。

また、クラウドサービスの導入は非常に簡単であり、ユーザー部門でも簡単に導入できます。そのため、シャドーITによる潜在リスクを防ぐためにも、CASBによってIT部門による一元管理が必要です。

CASBと次世代ファイアウォールの違い

CASBについて解説してきましたが、「次世代ファイアウォールでも同様のことができるのでは?」と考えられている方もいるかもしれません。CASBと次世代ファイアウォールの違いとしては、「クラウドサービス単位・ユーザー単位できめ細かいデータセキュリティを簡単に設定できる」という点にあります。

次世代ファイアウォールでも、可視化やデータセキュリティなどの機能を有していますが、クラウドサービス単位、ユーザー単位で細かく設定することは困難です。その点、CASBではクラウドサービス単位・ユーザー単位で細かく設定できるため、より柔軟なセキュリティポリシーが策定できます。

さらにCASBはクラウドサービスにより特化しているため、サービスごとの煩雑な設定が不要であるという違いもあります。

まとめ

CASBはクラウドサービスとユーザーとの間に配置することで、クラウドサービスを利用する上で必要となるセキュリティ対策が行える考え方・ソリューションです。CASBは大きく次の4つの機能からなります。

  • 可視化、分析
  • コンプライアンス
  • データセキュリティ
  • 脅威防御

クラウドサービスを利用することが一般的となった現代においては、CASBを導入することでシステム管理者の負担軽減や、シャドーITが防止できるというメリットが得られます。

また、次世代ファイアウォールでもCASBと同様の機能を有しているものもありますが、クラウドサービスに特化したCASBでは、より細かく柔軟なセキュリティポリシーを簡単に設定できるという違いがあります。クラウドサービスの利用が一般的になった現代こそ、CASBは企業のセキュリティ対策として必要不可欠な存在だといえるでしょう。


SNSでもご購読できます。