CASBって知ってる？

こんにちは。安全確保支援士の勉強をしているカーシュン。です。
youtubeはこちら。

カーシュン。のStudy with me!!

毎日読むだけで知った気になれるIT日記、第20回はCASBについてです。

クラウド環境が普及し色々な業務をクラウド上で作業することも増えたかと思います。

そういった時に安全かつ効率的にクラウドを使用して業務を行えるようにするのがCASB（Cloud Access Security Broker）です。

今回はこのCASBのことを知ってもらおうとAI先生に色々お聞きしました。

---

はじめに

現代のビジネス環境では、クラウドテクノロジーが急速に普及しています。企業はデータをクラウドに保存し、クラウドベースのアプリケーションで業務を効率化しています。しかし、この便利さの裏にはセキュリティリスクも潜んでいます。不正アクセス、データ漏洩、コンプライアンス違反—これらはすべて、クラウド環境でのビジネスにおいて避けては通れない課題です。

ここで重要なのが、CASB（Cloud Access Security Broker）です。CASBは、企業が安全かつ効率的にクラウドサービスを利用するための鍵となるテクノロジーです。データの暗号化からアクセス制御、リアルタイムのセキュリティ監視まで、CASBは多角的にクラウドセキュリティを強化します。

この記事では、CASBの基本から、その導入に至るプロセス、さらには市場で評価の高いCASBソフトウェアまで、幅広く解説します。クラウドをビジネスで活用する以上、CASBについて知らないわけにはいきません。このテクノロジーがどれほど企業にとって価値のあるものなのか、その全貌を明らかにしていきましょう。

Q. CASBってなに？

A. CASB（Cloud Access Security Broker）についての概要と背景

概要

CASB（Cloud Access Security Broker）は、企業がクラウドサービスを安全に利用するためのセキュリティソリューションの一つです。CASBは、企業の内部ネットワークとクラウドサービスプロバイダー（CSP）との間に位置し、データの流れを監視・制御します。具体的には、データの暗号化、アクセス制御、監査、リスク評価など多岐にわたるセキュリティ機能を提供します。

背景

クラウドコンピューティングの普及に伴い、企業はますます多くのデータとアプリケーションをクラウドに移行しています。しかし、これによって新たなセキュリティリスクが生じる可能性があります。例えば、不正アクセス、データ漏洩、コンプライアンス違反などです。CASBは、このようなリスクを軽減するために開発されました。

歴史

CASBは、2010年代初頭に登場しました。当初は主にShadow IT（社内で許可なく使用されるITリソース）の問題に対処するためのツールとして使用されていました。しかし、時間が経つにつれて、その機能は多様化し、現在では企業のクラウドセキュリティ戦略の中核をなす技術となっています。

基本的な理解

CASBは、基本的には企業とクラウドサービスとの「仲介者」のような役割を果たします。企業が使用するクラウドサービスに対して、セキュリティポリシーを適用することができます。例えば、特定のファイルがクラウドにアップロードされる際に、自動的に暗号化するといったことが可能です。

多くの場合、API（Application Programming Interface）やプロキシを用いてクラウドサービスに接続します。これにより、リアルタイムでのデータ監視や過去のデータ分析が可能となります。また、CASBはDLP（Data Loss Prevention）機能もしばしば備えており、企業が設定したルールに基づいて、データの外部への流出を防ぐことができます。

CASBは、IAM（Identity and Access Management）と連携することも多く、誰がどのようなデータにアクセスできるのかを細かく制御することができます。さらに、機械学習やAIを用いて、異常なアクセスパターンを自動的に検出し、アラートを発する機能もあります。これにより、高度なセキュリティ対策が可能となります。

CASBの最先端のソリューションでは、ゼロトラストアーキテクチャと組み合わせて使用されることもあります。ゼロトラストアーキテクチャは、ネットワーク内外に関わらず、すべてのアクセスを信用しないという原則に基づいています。CASBはこのアーキテクチャにおいて、クラウドサービスへのアクセス制御を強化し、エンドツーエンドのセキュリティを実現します。

Q. CASBは専用のソフウェアなどがあるの？

A. はい、CASB（Cloud Access Security Broker）を導入する際には、専用のCASBソフトウェアやプラットフォームが必要です。このソフトウェアは、多くの場合、クラウドベースで提供されるSaaS（Software as a Service）形式でありますが、オンプレミスのソリューションも存在します。

CASBソフトウェアの主な特性：

1. データ暗号化: クラウドサービスに保存されるデータを暗号化する機能。

2. アクセス制御: どのユーザーがどのクラウドサービスにアクセスできるかを制御する機能。

3. 監査ログ: クラウドサービスの使用状況に関する詳細なログを取得し、監査可能な形で保存する機能。

4. リアルタイム監視: クラウドサービスの使用状況をリアルタイムで監視し、不正アクセスやデータ漏洩の兆候を検出する機能。

5. コンプライアンス管理: GDPR、HIPAAなどの法的要件に対応するための機能。

6. API連携: 既存のセキュリティインフラストラクチャやIDaaS（Identity as a Service）と連携するためのAPI。

導入手順の一例：

1. ニーズ分析: まず、企業がどのようなクラウドサービスを使用しているのか、そしてそれに対してどのようなセキュリティ対策が必要なのかを分析します。

2. ベンダー選定: 様々なCASBソフトウェアベンダーがありますので、自社のニーズに最も適したソリューションを選びます。

3. テスト導入: 小規模なテスト環境でCASBソフトウェアを導入し、その性能と適合性を評価します。

4. 本番導入: テストが成功したら、本番環境にCASBソフトウェアを導入します。

5. 設定とカスタマイズ: ソフトウェアの各種設定を行い、必要に応じてカスタマイズします。

6. 運用と監視: CASBソフトウェアの運用を開始し、定期的にその性能とセキュリティ状態を監視します。

CASBソフトウェアは、多くの場合、非常に柔軟な設定が可能であり、企業の具体的なニーズや既存のITインフラストラクチャに合わせてカスタマイズできます。

導入する際には、しっかりとした計画とテストが必要ですが、一度導入されれば、クラウドサービスのセキュリティ管理が大幅に効率化されます。

有名なCASB（Cloud Access Security Broker）ソフトウェアとプラットフォーム

1. McAfee MVISION Cloud

• 概要: McAfeeはセキュリティ業界で非常に有名な企業であり、そのCASBソリューションであるMVISION Cloudも広く採用されています。

• 特徴:

  • データ暗号化: MVISION Cloudは、データをリアルタイムで暗号化する能力があります。

  • ゼロトラストアーキテクチャ: このプラットフォームはゼロトラストセキュリティモデルを採用しており、ユーザー認証が非常に厳格です。

  • マルチクラウド対応: AWS、Azure、Google Cloudなど、多くのクラウドプロバイダに対応しています。

2. Symantec CloudSOC

• 概要: Symantecは、エンドポイントセキュリティやネットワークセキュリティで有名な企業で、CloudSOCはそのCASBソリューションです。

• 特徴:

  • コンテンツ検査: データがクラウドにアップロードされる前に、機密情報が含まれていないかを検査します。

  • ユーザー行動分析（UEBA）: 異常なユーザー行動を検出して、リスクを早期に警告します。

  • API保護: クラウドサービスとのAPI通信も保護対象としています。

3. Microsoft Cloud App Security

• 概要: マイクロソフトが提供するCASBソリューションで、特にOffice 365との連携が強いです。

• 特徴:

  • 統合管理: Microsoftの他のセキュリティ製品（Azure AD、Microsoft 365等）とシームレスに統合できます。

  • ファイル分析: アップロードされるファイルのリスクレベルを自動的に評価します。

  • 自動ポリシー適用: 企業のセキュリティポリシーに基づいて、自動的にアクセス制御やデータ保護を行います。

これらはほんの一例であり、他にも多くのCASBソフトウェアやプラットフォームが存在します。それぞれに独自の特長や強みがあり、企業のニーズや既存のIT環境に応じて最適なソリューションを選ぶことが重要です。

Q. IDaaSとの違いは？

A. CASB（Cloud Access Security Broker）とIDaaS（Identity as a Service）の違い

IDaaS（Identity as a Service）

IDaaSは主に認証とアイデンティティ管理に特化したクラウドサービスです。IDaaSは、シングルサインオン（SSO）、マルチファクタ認証（MFA）、アイデンティティガバナンス、ユーザーのライフサイクル管理などが主な機能です。IDaaSは、従業員や顧客、パートナーなど、企業が関わるすべての人々のアイデンティティを一元的に管理し、それぞれがどのサービスにどのような権限でアクセスできるのかを制御します。

例えば、新しく従業員が入社した場合、その人がアクセスできるシステムやアプリケーション、データなどを一元的に設定することができます。また、その人が退職した場合も、その人が持っていたすべてのアクセス権限を一括で削除することができます。これにより、不正なアクセスやデータ漏洩のリスクを大幅に削減することができます。

IDaaSについてもっと詳しく知りたい方はこちら

CASBとIDaaSの違い

CASBとIDaaSは、それぞれ異なる焦点でセキュリティを提供します。CASBは、クラウドサービス自体とそのデータに対するセキュリティを強化するのが主な目的です。一方で、IDaaSは、誰がそのクラウドサービスやデータにアクセスできるのか、その認証とアイデンティティ管理が主な目的です。

技術的には、CASBは通常、APIやプロキシを用いてクラウドサービスと連携し、データの暗号化やアクセス制御などを行います。一方で、IDaaSはLDAP（Lightweight Directory Access Protocol）やSAML（Security Assertion Markup Language）などの認証プロトコルを用いて、各種サービスと連携します。

また、CASBは主にデータセキュリティとコンプライアンス確保に強く、IDaaSはユーザー管理と認証に強いと言えます。このため、多くの企業では、これら二つのサービスを組み合わせて使用することで、より包括的なクラウドセキュリティを実現しています。

例えば、CASBを用いてクラウドストレージにアップロードされるデータを暗号化し、IDaaSを用いて特定の従業員だけがその暗号化されたデータにアクセスできるようにするといった使い方が考えられます。

以上が、CASBとIDaaSの違いとそれぞれの特性についての詳細な説明です。どちらもそれぞれの目的と強みがあり、多くの場合、これらは補完的に働くことで最大の効果を発揮します。

Q. CASBを導入する基準は業種は？