CASBとは?4つの仕組みやメリット、利用する際の注意点を紹介

2022/05/19

main.jpg

企業のクラウドサービスの利用が増えてきた昨今では、ITシステムのセキュリティ対策に変化が求められています。そのなかで、企業のクラウドサービス利用に関するセキュリティ対策・ガバナンス強化として用いられるのが、CASB(キャスビー)です。
今回は、CASBの概要や既存セキュリティ対策製品との違い、仕組み、利用するメリット、利用の際の注意点を解説します。

■CASBとは?

まずはCASBがどのようなものなのか見ていきましょう。併せて、CASBが誕生した背景を解説します。

◇CASBとはどのような製品なのか

CASB(クラウド・アクセス・セキュリティ・ブローカー、通称キャスビー)は、企業が利用するクラウドサービスに対するアクセスの可視化、データの保護、コンプライアンス要件の実現を可能とするサービスや製品を指す言葉です。企業とクラウドサービスの間に立ち、さまざまなポリシーの適用ポイントとして利用されています。
もともとは、2012年にアメリカのガートナー社が提唱した、クラウドサービスに関する情報セキュリティの概念でした。しかし、近年では、クラウドサービスのセキュリティ対策ソリューションとして用いられることが多くなっています。
CASBの基本的な考え方は、「クラウドサービスを利用する企業と複数のプロバイダーとの間にコントロールポイントを設定し、クラウドサービスの利用状況を可視化して制御する」というものです。これにより、一貫性のあるセキュリティポリシーが設定でき、セキュリティ対策・ガバナンス強化へとつながります。

◇CASBが誕生した背景

CASBが誕生した背景には、クラウドサービスの発達とモバイルデバイスの多様化があります。
近年では、企業がクラウドサービスを複数組み合わせて利用するケースが一般的になりました。また、働き方改革に取り組む企業が増加し、テレワークやリモートオフィスの活用などで、オフィス外から直接クラウドサービスを利用するケースも増えています。
それにより、複数のSaaS(Software as a Service) をパソコンやスマートフォン、タブレットから利用する人も増えてきました。働き方に柔軟性が生まれ、生産性の向上が期待できるものの、これまでの境界線型セキュリティでは十分なセキュリティ対策ができなくなってしまったのです。
従来、企業ネットワーク(社内)とインターネット(社外)は、ファイアウォールによって分けられており、社内は安全なものとしてセキュリティ対策が行なわれていました。しかし、クラウドサービス(SaaS)の発達やモバイルデバイスの多様化によって、ネットワークの境界線が曖昧になり、ガバナンス管理が困難になる問題が発生し始めたのです。
CASBはこのような状況を回避し、従業員の業務効率化と利便性を損なわずに、一貫したセキュリティポリシーを遵守しながらクラウドサービスを利用するために誕生しました。

■CASBと既存のセキュリティ対策製品の違いとは

sub1.jpg

CASBと既存セキュリティ対策製品の大きな違いは、クラウド環境に対する細かな制御の設定可否にあります。
先ほども簡単に触れましたが、従来は境界線型のセキュリティ対策を行なっていました。CASBが登場する以前から利用されていたSWG(Secure Web Gateway)で細かい制御を行なうには、通信先のURLカテゴリや送信元のIPアドレスなどを判別して制御しなければなりません。
この場合の設定項目は煩雑になり、管理も大変です。また、SWGでは特定の権限を持つ利用者に対し、特定の操作に対する許可設定を行なうことは難しいものです。
しかし、CASBでは、クラウドサービスの使用状況の可視化と制御が可能です。アクセス権限を監視する機能もあるため、既存のセキュリティ対策製品では難しかった細かい設定が容易に実施できます。さらに、ダッシュボードで設定内容の確認や変更も手軽に行なえます。

■CASBの4つの仕組みについて

CASBを実現するための仕組みは、大きく次の4つに分けられています。

◇APIモード

クラウドサービスが用意しているAPI(Application Programming Interface)の利用によって、アクセスやデータの流れの可視化を行なうモードです。APIとは、異なるサービスやアプリケーション間でやり取りを行なうための窓口を指します。
CASBのAPIモードでは、Webサイト・アプリケーションへのアクセス設定やデータ保存を制御し、セキュリティを確保しています。

◇フォワードプロキシモード

フォワードプロキシモードは、外部のクラウドサービスへ接続する際に必ず経由するプロキシサーバーとして機能するモードです。ユーザーからの接続要求を受け、ユーザーの代わりに外部へアクセスします。
フォワードプロキシモードでは、すべての通信がプロキシを経由します。そのため、認証済みのクラウドサービスへのアクセス管理や、未承認のクラウドサービスへのアクセス検知が可能です。

◇リバースプロキシモード

リバースプロキシモードは、ユーザーよりもクラウドサービス側に近い位置にプロキシサーバーが配置され、外部からのアクセスを代理で受け付けます。
外部からのアクセスの検知・制御が可能ですが、認証済みのクラウドサービスしかアクセス管理ができないため、未承認のクラウドサービスとのやり取りは管理できません。

◇エグジスティングプロキシモード

既存のプロキシサーバーからアクセスログを取得するモードです。取得したアクセスログをCASBベンダーが分析し、その結果をダッシュボードで確認できます。
既存の環境を変えることなく可視化を実現できますが、分析結果をもとに改善などの対応を別途行なう必要があります。

■CASBにはどのようなメリットがあるのか?

CASBによってセキュリティ対策・ガバナンス強化が行なえますが、具体的にはどのようなメリットが挙げられるのでしょうか。ここでは、3つのメリットを紹介します。

◇利用状況の可視化によってシャドーITを防止できる

CASBの導入によって、シャドーITが防止できる点は大きなメリットの一つです。シャドーITとは、IT管理を行なうシステム管理部門や情報部門以外の部門がクラウドサービスなどを独自に導入し、管理ができなくなってしまうIT環境を指します。
シャドーITの問題点は、管理できないIT環境(見えないIT環境)の存在により、セキュリティ対策ができなくなってしまうことです。
CASBでは、社内で利用しているクラウドサービスの利用状況を可視化することで、情報漏えいや不正アクセスを防げます。例えば、社内ルールで許可していないクラウドサービスの利用や、業務上不必要なアプリのダウンロードなどを監視でき、シャドーITが発生する原因を未然に防げるのです。

◇システム管理者の負担を軽減できる

シャドーITが発生してしまう要因の一つとして、日々進化するクラウドサービスの存在が挙げられるでしょう。クラウドサービスは数多くあり随時アップデートが行なわれ、新たなサービスも次々に登場しています。
これらのクラウドサービスをすべて管理することは、システム管理者にとって非常に負担が大きいものです。
CASBは各クラウドサービスの安全性を検査して、危険度をデータベース化します。それにより、各クラウドサービスに合ったアクセス権限の付与や、新規サービスが自社で利用可能かの判断などが行ないやすくなります。
その結果、クラウドサービスの管理にかかっていたシステム管理者の負荷を軽減できるのです。

◇自社のコンプライアンスに合ったクラウドサービスを利用できる

CASBの機能の一つである「コンプライアンス」は、企業ポリシーに合わせてクラウドサービスの信頼性・安全度を検査する機能です。
企業ポリシーとして設定しているルールに沿わない場合に、通知したり対象となるクラウドサービスの使用を禁止したりすることができます。例えば、ファイル共有サービス上で不適切な公開設定が行なわれていることを通知したり、しきい値を超えた大量のデータ送信を見つけてサービスの利用を停止したりすることが可能です。
その他、個人や部署単位で独自にクラウドサービスを利用することも防げ、コンプライアンスにあったクラウドサービスの利用が実現できます。

■CASBを利用する際の注意点

sub2.jpgクラウドサービスの利用が一般的になった昨今では、CASBの存在は欠かせませんが、利用する際にはいくつか注意が必要です。ここでは、3つの注意点を紹介します。

◇単一障害点になるおそれがある

プロキシ型の構成でCASBを利用する場合、CASBが単一障害点になるおそれがあります。つまり、CASBが障害などで利用できなくなってしまうと、複数のクラウドサービスの利用ができなくなってしまうということです。
エグジスティングプロキシモードで稼働する場合は、その限りではありません。フォワード・リバースプロキシモードで利用する際には、単一障害点とならないように冗長化するなどの対応が必要です。

◇異常な動きがあった際は別の手法で調査する必要がある

CASBでは、クラウドサービスの使用状況を可視化して異常を見つけ出せます。しかし、原因については範囲外となるため、異常な動きがあった際は手法を変えて調査しなければなりません。
例えば、同一の端末からログインに何度も失敗している、といった異常な動きを発見できます。ただし、その異常な動きの発生原因を突き止めるのは、CASBだけでは実現できません。

◇セキュリティポリシーを明確にしないと効果を発揮できない

CASBを最大限に活かすためには、企業内のセキュリティポリシーを明確にする必要があります。少なくとも、次に挙げる項目は明確にする必要があるでしょう。

・クラウドサービス利用範囲
・各クラウドサービスのアカウント権限
・クラウドサービスで扱える情報の範囲

これらのポリシーが明確になっていないと、適切なルールの設定が難しくなります。

■CASBとIDaaSで強固なセキュリティ対策を!

安全にクラウドサービスを利用するうえでは、CASBと併せてIDaaSについても覚えておくとよいでしょう。CASBとIDaaSを組み合わせることで、より安全にクラウドサービスが利用できます。

◇CASBとIDaaSの違い

CASBは、クラウドサービスへのアクセスの可視化や制御などを行ないますが、IDaaSはユーザーIDなどアイデンティティ情報の管理をクラウドサービスで行なうものです。CASBとIDaaSはそもそも対象とする課題が異なります。
CASBはシャドーIT、IDaaSは煩雑なID管理の課題を解決するために用いられます。CASBはクラウドサービスへのアクセスを可視化し、企業ポリシーと照らし合わせてセキュリティ・ガバナンスの強化を実現するものです。一方、IDaaSは既存のID管理と併せて、多様化するクラウドサービスのIDを一元的に管理し、SSO(シングルサインオン)などを実現します。
そのため、CASBのほうが対象となる範囲が広くなる分、コストもかかります。クラウドサービスに対するセキュリティ対策を万全にする際には、CASBとIDaaSを組み合わせた利用が推奨されますが、ID管理が主目的の場合はIDaaSから導入することを検討してもよいでしょう。

◇ID管理が目的ならトラスト・ログインがおすすめ

SSOの実現などID管理が目的の場合は、IDaaSである「トラスト・ログイン」がおすすめです。トラスト・ログインは基本料金0円から始められる、累計導入社数No.1のID管理サービスです。
トラスト・ログインではSSOの実現と併せて、業務上で利用しているクラウドサービスへの多要素認証やアクセス制限を実現できます。増え続けるIDを一元管理し、社内システムとクラウドサービスを連携したセキュアな業務環境の構築が可能です。
ID管理が目的の場合は、トラスト・ログインの導入も検討してみてはいかがでしょうか。

■まとめ

CASB(キャスビー)は、クラウドサービスに対するアクセスの可視化やデータ保護を実現し、セキュリティ・ガバナンス強化として用いられるサービス・製品です。近年、増え続ける企業のクラウドサービス利用の多様化にともない、従来型のセキュリティ対策では対処しきれない課題の解決方法として注目されています。
CASBを利用するメリットとしては、シャドーITの防止やシステム管理者の負担軽減、自社のコンプライアンスにあったクラウドサービスの利用ができる点が挙げられます。その一方で、単一障害点になるリスクやセキュリティポリシーを明確にする必要があるなどの点には注意が必要です。
より安全にクラウドサービスを利用するためには、CASBと併せてIDaaSの利用を推奨します。IDaaSを利用する際には、累計導入社数No.1のID管理サービスであるトラスト・ログインをぜひ検討してみてください。


 

この記事を書きました

森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー