安心・安全にSaaSを利用するためのソリューションとして登場し、現在最も注目を集めているセキュリティ対策の1つが「CASB(キャスビー)」です。SaaSのセキュリティリスクをCASBでどのように解消できるのか、また、CASBだけでは防げないセキュリティの抜け道の存在とその対処法についても具体的に解説していきます。
企業のクラウド利用において昨今導入が進んでいるのが、アプリケーションそのものをサービスとして提供する「SaaS」の導入です。Office 365、あるいはG SuiteといったSaaSを全社的に導入する企業が増えているほか、クラウド上にファイルを保存できる「Box」に代表されるオンラインストレージサービスの利用も広まっています。これらのSaaSは使い勝手のよさが特徴と言えますが、IaaSやPaaSとはセキュリティの考え方が異なっている点に注意が必要です。
仮想サーバを提供するIaaS、あるいはソフトウェアの実行環境を提供するPaaSでは、ユーザー企業の責任範囲の中でセキュリティ対策を行うことが可能となっています。具体的には、ファイアウォールなどによる境界防御やウイルス対策ソフトの導入などです。このため、自社で定めた要件に応じてセキュリティ対策を実施することができます。
一方SaaSでは、セキュリティはサービス提供側の責任範囲内にあるため、IaaSやPaaSのようにユーザー企業側で対策を講じることはできません。つまり、原則SaaSサービス提供者任せとなってしまうのです。もちろんサービス提供者の責任において、データの暗号化をはじめとするセキュリティ対策が講じられていることが大半でしょう。しかしSaaSでの情報漏えい事件が発生しているのも事実であり、完全に信頼できるわけではありません。
そこで注目され始めているのがクラウドサービス(特にSaaS)へのアクセスに際して、情報漏えい防止などの仕組みを提供してくれる、「CASB(Cloud Access Security Broker:キャスビー)」と呼ばれるソリューションです。
クラウドサービスの責任共有モデル
一般的に、CASBは「可視化」「脅威防御」「コンプライアンス」「データセキュリティ」の4つの仕組みを備えているものと定義されています。具体的に提供されている代表的な機能としては、社内からクラウドサービスへのアクセス状況を把握(可視化)、不正アクセスやデータ流出/破壊の阻止(脅威防御)、機密データの流出の防止(コンプライアンス)、データの暗号化(データセキュリティ)などが挙げられます。
CASBの概要
これらの機能を利用することにより、社内の従業員や部門が勝手にSaaSを利用するシャドーITの検出と制御、SaaSを起点とした情報漏えいや持ち出しの防止、EU一般データ保護規則(GDPR:General Data Protection Regulation)や改正個人情報保護法への対応などが実現します。こうして安全に利用できるようになれば、業務効率の向上、あるいは働き方改革の実現のためにSaaSをより積極的に活用することが可能になるでしょう。
CASBには、ログ解析型、API型、プロキシー型、エージェント型の4つの方式があるとされています。提供機能や提供方式の詳細はベンダーにより異なりますので、ニーズや利用環境により、最適な方法を検討することが必要です。
CASBに近いセキュリティ対策としては「Secure Web Gateway(以下、SWG)」も知られていますが、両者は目的が大きく異なります。SWGが対象とする脅威は、外部からの侵入やマルウェアなどから社内システムと社内データを守ることですが、CASBはうっかり不正なSaaSを使ってしまったことで起きる情報漏えい事故や、社内の不正による情報流出を防ぐことを得意としています。すでにSWGを導入していたとしても、それだけではSaaS固有のリスクには対応できないことについては、認識しておくべきでしょう。
Secure Web Gatewayとの違い
では、CASBはどのように利用できるのでしょうか。具体的なユースケースを通じて見ていきます。
まずシャドーITの把握と制御です。CASBを利用すれば、いつ、誰が、どのクラウドにアクセスしたのかを可視化できるほか、リスクが大きいと判断したクラウドサービス(個人向けのオンラインストレージサービスなど)の利用を禁止するといったことが可能になります。
シャドーITの把握と制御
さらに、企業で契約しているSaaSを従業員個人のアカウントや他社の企業アカウントで利用することを制限することもできます。たとえば企業でBoxを利用している場合、そこにアクセスしているアカウントが企業アカウントなのか、それとも個人アカウントなのかを判別するのは困難です。しかしCASBを利用すれば、アカウントのドメイン名で利用可否を制御することが可能であり、自社ドメインのみを許可し、それ以外のアカウントでのアクセスを禁止するといった設定が行えます。
個人アカウント、社外アカウントの利用制御
単にSaaSの利用を許可/拒否できるだけでなく、許可したサービスであっても利用内容を細かくコントロールできることは、CASBの利点の1つです。先に述べたユースケースのように使用できるアカウント種別を制御するほか、機密性の高いデータのアップロードやダウンロードを制限したり、外部との情報共有など特定の機能の利用を禁止したりといったユースケースも考えられます。情報漏えいにつながりやすいSNSへの書き込みをコントロールすることもできます。
特定機能の利用制御の例
続いてのユースケースは、万が一のインシデントでも影響を最小化するための備えとして、SaaS利用の証跡を記録したりデータを暗号化するシナリオです。これにより、従業員による内部犯行、あるいは流出したアカウントを使った外部犯行によって情報が流出した際、どのような操作が行われたのかを迅速かつ正確に把握できるようになります。SaaSに保存するデータの暗号化機能を利用すれば、SaaSに直接サイバー攻撃が行われたといった場合の情報漏えいを防ぐ効果が期待できます。
万が一のインシデントでも、影響を最小化するための備え
コンプライアンスのためのユースケースとして注目したいのは、EUで施行されたGDPRや国内の改正個人情報保護法への対応として有効な点です。前述したように、データに対するアクセスの証跡が記録できるほか、ポリシーに違反した危険な操作を迅速に検知してアラートを上げ、内部犯行などを未然に防ぐといった使い方もできます。また、GDPR対応のポリシー定義テンプレートを持っているCASBも登場しています。
改正個人情報保護法への対応
このように安全にSaaSを利用する上で有益な機能を多数備えているCASBですが、単体ではガバナンス上の抜け道ができてしまう場合もあるため、利用に際してはその抜け道を埋める工夫が必要です。具体的には、社内端末以外からのSaaS利用のシナリオを意識し、MDMやIAMなどの追加的手段を組み合わせた対策が推奨されます。
たとえば社内の端末からのSaaS利用に際してCASB利用を義務付け、エージェントをインストールしたような場合でも、BYOD端末や個人端末からそのSaaSが勝手に利用されてしまうようでは対策としては不十分です。
CASBのカバー範囲
そこで有効なのがMDM(Mobile Device Management)およびIAM(Identity and Access Management)の組み合わせです。MDMを使えばBYODパソコンやBYODスマートフォンのような準管理端末を適切にコントロールすることが可能となり、MDMによってCASBエージェントを強制的にインストールし、適切な制御の下でSaaSを利用させることが可能になります。また、個人のプライベートなパソコンなど、MDMによって管理することができない端末からもSaaSを利用させつつデータ漏えいを防ぐためには、SaaS、IAM、そしてCASBが連携するよう事前設定することで、管理している特定の機体以外からのSaaSアクセスをIAMにリダイレクトし、IAMのアクセス管理ポリシーで強制的にCASBを経由させることが有効となります。
「CASB+MDM+IAM」のカバー範囲
CASBを導入する際には、パートナー選びも大切です。セキュリティに精通しているのはもちろん、自社のセキュリティポリシーに合った適切なソリューションの選定と導入支援、そして運用のサポートまで一元的に対応できるパートナーを選びたいところです。前述したように、CASBだけでは対応できないリスクに対して適切な解決策を提示できるかどうかも見極めるべきです。たとえばNTTコミュニケーションズはCASBベンダーの認定資格者による構築・運用体制により、「提案・構築時点のきめ細かいアセスメント」、「SaaS利用における適切なリスク対処をサポートする充実した運用メニュー」などのサービスを提供しています。
いずれにしても、今後企業内でSaaSの利用が広がることは間違いないでしょう。これによって利便性向上や業務効率化等さまざまなメリットが生まれる反面、既存のセキュリティ対策では対処できないSaaS特有のリスクも増大することになります。そのリスクに対処することを考える際、CASBは間違いなく有効なソリューションとなります。セキュリティ対策のさらなる強化を考えるのであれば、積極的に導入を検討すべきではないでしょうか。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
