CASB製品を選定する際には、導入要件を明確化する事や導入構成(API型/プロキシ型/ログ型)のどれにするかを事前検討する事がポイントになります。その上で複数候補が残った場合には、対応する機能範囲とクラウドへの対応範囲が広いものを選定する事をおすすめします。CASB製品を導入することで、クラウドを利用する際のセキュリティリスクを可視化し、データセキュリティや脅威防御がワンストップで可能になります。
本コラムでは、CASB製品を選ぶ際の比較のポイントとおすすめの製品をご紹介いたします。
CASBとは
CASB(Cloud Access Security Broker)は、米ガートナー社が提唱したセキュリティ対策の概念です。社外のクラウドを業務に利用する機会が増え、管理者が利用を許可していないクラウドが勝手に業務に利用される「シャドーIT」へのセキュリティ対策として注目されています。
クラウドとユーザーのネットワークの間にCASB製品を設置する事で、利用している全てのクラウドに対する「可視化・コンプライアンス・データセキュリティ・脅威防御」を一元的にコントロールする事が可能になります。
CASBについて詳しくは、下記の記事もご覧ください。
【関連記事】
CASBとは?CASBの必要性や4つの主な機能を解説
CASBと従来のセキュリティ製品との違い
CASBは、従来のセキュリティ製品とどういった点で異なり、どのような優位性があるのでしょうか?
大きく、次の2つの違いがあります。
1つは、CASBがクラウドサービス(SaaS)に特化したセキュリティソリューションであるということです。
クラウドサービスがこれほど普及する前は、業務に利用されるIT資産はすべて社内にある状態であったため、保護対象は社内ネットワークの内側のみでした。 しかし、業務へのクラウド利用が普及した状況で、従来のセキュリティ対策では不十分になりました。また、従業員や元従業員による内部不正も増加しているため、脅威は社内ネットワークの外にあるという考え方も通用しません。
CASB製品はSaaSに特化しているだけでなく、従業員が利用しているすべてのSaaSを統一の基準で運用できる「コンプライアンス」の機能を搭載しているため、内部不正の防止にもつながります。
もう1つは、CASBが統合型セキュリティソリューションであるということです。
「CASBとは」でも触れたように、CASB製品には「可視化・コンプライアンス・データセキュリティ・脅威防御」の4つの機能があります。これら単体の機能をそれぞれに持つセキュリティ製品はありますが、CASB製品では統合されているため、個々に導入・運用するのに比べて、金銭コストと運用の手間を抑えることができます。
CASB製品を選ぶ際のポイント
では、具体的にCASB製品を選ぶ際は、どのような点に注意すれば良いのでしょうか? 「製品を選ぶ基準」と、その後の「製品を比較する際に見るべきポイント」の2つの面からチェックすると良いでしょう。
製品を選ぶ基準
まずは、導入製品の候補となるものを選ぶ必要があります。
その際は、次の2つのポイントを押さえましょう。
導入する目的に合致するものを選ぶ
CASB製品に限らず、ITツールなどを導入する際には同じことがいえますが、まずは導入する目的を明確にすることが大切です。「なんとなく、今よりも情報セキュリティを強化できそうだから」といった曖昧な理由で導入してしまうと、導入そのものが目的化してしまい、高い費用対効果を期待できなくなります。
導入する目的を明確にすることで、選択すべきCASB製品を絞ることができます。
導入方式から選ぶ
CASB製品の導入方式には、利用しているクラウドサービスから提供されるAPIによって連携する「API型」、社内ネットワークとクラウドサービスの間にプロキシサーバを設置する「プロキシ型」、ファイアウォールやUTM(Unified Threat Management/統合脅威管理)といったゲートウェイ機器のログを分析する「ログ分析型」の3種類があります。
これらは、それぞれに長所・短所があります。たとえば、API型は導入が簡単ですが、APIを提供していないクラウドサービスでは利用できず、シャドーITを把握することはできません。また、プロキシ型はどのようなクラウドサービスであっても利用できますが、金銭コストがかかります。
自社が求めるセキュリティレベルや予算、運用にかけられる人員コストなどを加味して選びましょう。
製品を比較する際に見るべきポイント
前項「製品を選ぶ基準」で選定を進めた際に、自社の求める条件を満たす製品が複数存在した場合は、以下の2点で比較し、最適なものを選びましょう。
対応する機能範囲
「CASBとは」などでご紹介したように、CASB製品に搭載された主な機能は「可視化・コンプライアンス・データセキュリティ・脅威防御」4つです。
しかし、CASB製品の中には、この4つの機能すべてを備えていないものもあります。
基本的には、「導入する目的に合致するものを選ぶ」でお伝えしたような自社の目的を叶えられる機能を搭載したものを選べば良いのですが、導入時には不要だった機能が後から必要なることもあるかもしれません。短期的な視野だけでなく、中期的に見て検討することが必要です。
クラウドサービスへの対応範囲
CASB製品によって、対応しているクラウドサービスも異なります。
管理者が従業員に業務での利用を許可しているクラウドサービスに対応していることはもちろん、管理者が把握できていないクラウドサービス(シャドーIT)を検出できるのかどうかなどもチェックする必要があります。
これは、CASB製品にどこまでを求めるかにもよります。その判断基準を作るためにも、最初に導入目的を明確にすることが大切です。
CASB製品を選ぶ際の比較のポイント
前項「製品を選ぶ基準」で選定を進めた際に、自社の求める条件を満たす製品が複数存在した場合は、以下の2点で比較し、最適なものを選びましょう
対応する機能範囲
「CASBとは」などでご紹介したように、CASB製品に搭載された主な機能は「可視化・コンプライアンス・データセキュリティ・脅威防御」4つです。しかし、CASB製品の中には、この4つの機能すべてを備えていないものもあります。
基本的には、「導入する目的に合致するものを選ぶ」でお伝えしたような自社の目的を叶えられる機能を搭載したものを選べば良いのですが、導入時には不要だった機能が後から必要なることもあるかもしれません。短期的な視野だけでなく、中期的に見て検討することが必要です。
クラウドサービスへの対応範囲
CASB製品によって、対応しているクラウドサービスも異なります。 管理者が従業員に業務での利用を許可しているクラウドサービスに対応していることはもちろん、管理者が把握できていないクラウドサービス(シャドーIT)を検出できるのかどうかなどもチェックする必要があります。
これは、CASB製品にどこまでを求めるかにもよります。その判断基準を作るためにも、最初に導入目的を明確にすることが大切です。
CASBを検討する際におすすめしたい製品
最後に、本コラムで特におすすめしたい製品を2点、ご紹介いたします。
Netskope
Netskopeは、CASBの機能を持ったSASE(Secure Access Service Edge)です。SASEもクラウドサービス向けの情報セキュリティ対策ツールですが、CASBよりも対応範囲が広く、SD-WANやレイテンシの最適化などのネットワークの制御に関する機能が豊富に搭載されている点でもCASBとは異なります。
Netskopeを利用することで、従業員が利用しているクラウドサービスが可視化されるため、シャドーITの検出も可能。各サービスの安全性をスコアリングして評価することができるため、リスクの高いサービスの使用を制限できます。
また、クラウド環境だけでなく、オンプレミス環境の情報セキュリティ対策も可能なため、両方を業務に利用している企業様におすすめです。
Lookout
LookoutはCASBに加え、MESとZTNA、SWGの4つのソリューションが統合されたSSE(Security Service Edge)です。なお、前項の「SASE」は、「SSE」にWAN Edgeの機能を加えたサービスです。
LookoutのCASBは、「プロキシ型」と「API型」に対応しており、ユーザーがルールを守って正しく使用しているかなど、セキュリティポリシーに合わせて個別のクラウドサービスを深いセキュリティポイントから保護できます。 また、アクセスログや挙動のコントロールといった管理を、ログ取得によってクラウド横断でチェックすることも可能です。
このほか、たとえば、正規のユーザーのID/パスワードで数千キロメートルも離れた海外の国から同時刻にアクセスがあった場合などにブロックすることもできます。
まとめ
CASB製品は、クラウドサービスの利用における情報セキュリティ対策が可能なソリューションです。
従来のセキュリティ製品は、社内ネットワーク内のIT資産を保護するためのソリューションでしたが、クラウドサービスの業務利用が浸透しつつある今、対策としては不十分になりました。また、従業員などが意図的に情報を漏えいさせる内部不正を防ぐこともできません。
CASB製品は、可視化・コンプライアンス・データセキュリティ・脅威防御の4つの機能を持ち、クラウドサービス利用の監視や制御を一元管理できるため、こうした現状課題に有効です。
伊藤忠テクノソリューションズでは、「CASBを検討する際におすすめしたい製品」でご紹介した統合型セキュリティサービス「Netskope」と「Lookout」の2つのソリューションの導入支援を行っております。
「Netskope」の詳細については、こちらのページをご覧ください。
「Lookout」の詳細については、こちらのページをご覧ください。