最終更新日:2023-01-27
クラウドサービスの利用拡大に伴い、シャドーITや情報漏洩のリスク対策など社内セキュリティの強化を検討している方へ。CASB(Cloud Access Security Broker)の概念やCASB製品でできること、比較のポイントとともに、おすすめの製品を詳しく解説します。
「CASB(キャスビー/Cloud Access Security Broker)」とは、2012年に米国の調査会社であるガートナー社が提唱した、クラウドの脆弱性対策に必要となるコンセプトのこと。ユーザーと複数のクラウドの間に単一のコントロールポイントを設け、クラウドサービスの利用を可視化、制御、一括管理するソリューションです。潜在的に存在するリスクを洗い出し、一貫したセキュリティポリシーを適用することでセキュアな環境を構築。クラウドに特化し、柔軟な設定が可能な点がほかのセキュリティサービスとの違いです。
今回ご紹介するCASB製品は、このコンセプトに則って従業員のクラウドサービスの利用を管理し、送受信するデータの暗号化などを行うことで、シャドーITを検出・制御し、不正アクセスや情報漏洩を防止するものです。
CASB製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
CASBでは、以下のようなことが可能です。
自社で利用しているSaaSやIaaSなどを検出・可視化・分析。ユーザーごとの利用率やクラウドサービスへのログイン状況、データのアップロードもしくはダウンロードの状況まで管理できます。中には独自の基準に基づくリスク評価をしてくれる製品や、どのサービスにどのアカウントが存在するのかがわかるツールもあります。
環境さえ整っていればどこからでもアクセスできるのがインターネット、特にクラウドの便利な点ですが、その一方、セキュリティ面でのリスクが懸念されます。CASB製品はエンドポイントとクラウドサービスの間の通信を制御することで、不正アクセスを遮断したり、不要なサービスアクセスを制限したりできます。
また、企業で認めていないクラウドサービスの利用制御も可能。認めているクラウドサービスに対しても、クレジットカード番号やマイナンバーを含むファイルを勝手にアップロードできないように抑止できるものも。
データ持ち出しのチェック・ブロックなどによって情報漏洩を防止するDLP(Data Loss Prevention)として機能するCASB製品もあります。この場合、文書の中身を確認し、必要に応じてアラートを出したり、制御したりしてくれます。また、データ侵害や漏洩を引き起こす恐れがあるクラウドリソースの設定ミスや、クラウド内の機密データのパターンまで特定してコントロール。クラウドアプリを適切に構成することで、コンプライアンス違反も阻止できます。
クラウドサービスに潜むマルウェアやランサムウェアといった、悪意のあるプログラムやソフトウェアを検知・隔離します。また、共有アカウントの利用、データのコピー、大量データのダウンロードといった異常を発見します。
なお、上記の4つの機能はCASBソリューションに特有のものではありません。たとえば次世代ファイアウォールといった既存のセキュリティ対策ソリューションやネットワーク製品でも同様の機能が提供されているなど、CASB製品と組み合わせて展開できる場合もあります。
CASB製品を比較するポイントを3点解説します。
上記で説明したように、CASBの主な機能は「利用状況の可視化」「アクセス制御」「データの保護(DLP)」「マルウェアへの脅威対策」。これらすべての機能を備えているかどうか検討します。
4つの機能を網羅しているのが「Netskope CASB」や「Zscaler CASB」などのサービス。ユーザーの利便性を損なうことなく機能し、自社のセキュリティを強化してくれます。
一方、4つのうちのいくつかの機能を搭載した製品もあります。たとえば「Cygiene(サイジーン)」はCASBのうち、「利用状況の可視化」「アクセス制御」「データの保護」に対応しています。
リアルタイムでのユーザーのアクセス状況や、ファイルのやりとり状況などを把握するためには、個々のクラウドサービスに対応している必要があります。
たとえば、「Netskope CASB」であれば、Boxをはじめ、Google Workspace、Microsoft 365、Dropbox、Microsoft Teams、Egnyteといった主要サービスに対応。それぞれのサービスに最適化された形でセキュリティとコンプライアンスを確保できるようになります。
「Skyhigh」もMicrosoft 365、Slack、Salesforce、Google Driveなどのアプリケーションを管理可能。アクセス制御、DLP、暗号化機能でデータを保護します。
CASBの導入方式は大まかに分けて以下の3つ。それぞれの特徴を踏まえ、自組織に適した形態を選択する必要があります。
自社で契約しているクラウドサービスが提供するAPIを利用するもの。APIに対応しているクラウドサービスに限定されますが、仔細なアクセス権設定のほか、データの可視化、ユーザー操作ログの保存、ファイル情報の解析など多くの機能を実行できます。
クラウドサービスへの通信経路上にCASBを設置し、規定のポリシーに従ってアクセス制御を行うもの。自社・他社どちらの契約のクラウドサービスでも対応が可能です。中から外への通信経路に設置する「フォワードプロキシ」と、その逆の「リバースプロキシ」の二種類のタイプがあります。
UTMやファイアウォールといった既存のゲートウェイのログを分析し、クラウドサービスの利用状況を可視化するもの。遮断すべき通信が見つかった場合、制御の対象はあくまでゲートウェイ機器になりますが、ゲートウェイ機器との連携によりコントロールできることもあります。
なお、製品によっては複数の方式を採用しているものも。たとえば「Zscaler CASB」は転送中データに対してはプロキシ経由で、クラウド上の保存データに対しては、API経由で保護することで、ポリシーを1つ設定するだけですべてのチャネルに一貫したセキュリティを提供でき、管理者負担の軽減にも有効です。
ここからは、おすすめのCASB製品をご紹介します。料金については、対象となるサービスや要件によって大幅に異なるため、各社へ問い合わせが必要です。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Netskope CASB公式Webサイト)
CASBに求められる4つの機能を網羅。各アプリケーションを可視化・分析してリスクスコアを与え、全体的なリスクのレベルを特定。また、環境内のシャドーITを表面化させ、セキュリティ体制上の盲点を排除する。
機密データの漏洩防止以外に、データ漏洩防止機能を利用したデータの簡素化、迅速化、正確なスキャン、分類も可能。クラウドサービスの使用状況を深く識別し、ユーザー、アプリ、インスタンス、リスク、アクティビティ、データ、デバイスの種類などに基づき、対象のセキュリティポリシーをきめ細かく定義できる。
(出所:Cygiene公式Webサイト)
CSIRT、コーポレートIT、SOCチームが横断的に利用する機能を統合して搭載。CASBに加えて、時系列データのほかユーザー情報なども取り込むSIEM(Security Information and Event Management)や、UEBA(User and Entity Behavior Analytics)といったサイバーセキュリティツールとしても機能する。
国内外の様々なクラウドサービスと1クリックで連携。パブリックAPI、外部Webhookやセキュリティソリューションとの連携を備え、オペレーションを自動化してセキュリティチームの作業を効率化する。クラウド型VPNの統合によって、インターネットアクセスの制御だけでなく、すべての端末・通信を監視し、保護することで、ゼロトラストセキュリティを実現する。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Forcepoint CASB公式Webサイト)
シャドーITの可視化、業界のベストプラクティスや各国規制要件に対する設定のベンチマーク情報、ラウドアプリケーションのアクセス制御などに対応。また、リスクの総合評価によって、セキュリティ管理負荷を抑制しながらセキュリティ違反をブロックし、組織のデータを保護・監査する。
休止や所有者が不明となったアカウントや、外部ユーザーを特定して運用コストと脅威を最小限に抑制。ほか、機密データや規制データをカタログ化・識別するデータ分類、リスク軽減タスクのワークフロー化、リアルタイムアクティビティ監視、自動異常検知などが可能。API接続、プロキシのインライン構成のどちらにも対応。
(出所:Zscaler CASB公式Webサイト)
SaaSやIaaSのコンプライアンス維持を実現する統合CASB。API統合を活用してSaaSアプリ、クラウドプラットフォーム、およびそれらのコンテンツをスキャンし、エンタープライズセキュリティーを自動的に強化する。
データや脅威からセキュリティを保護し、すべてのSaaSアプリケーションとIaaSプラットフォームにおいて、統合した可視化と詳細なレポートを提供。高水準の使いやすさや強力なインテリジェンス、監査を行える体制を構築する。Microsoft 365やSalesforceなどのSaaSのほか、AWS S3などのIaaSにも対応している。
(出所:CloudSOC CASB公式Webサイト)
シャドーITの監査、侵入 ・脅威のリアルタイム検出、情報漏洩やコンプライアンス違反からの保護、インシデントの事後分析に使用できるアカウント活動履歴の調査などにより、クラウドアプリセキュリティのライフサイクル全体をカバーするソリューション。API の統合とインラインのトラフィック分析によって、Microsoft 365のほか、Google Workspace 、Box、Dropbox、Salesforce、AWS、Azure などのSaaS および IaaS プラットフォームの使用を監視および制御。
使いやすいフィルタやピボットビュー、自由形式の検索などのコンテンツで、目的の情報が調べやすい。CloudSOCと統合された「Symantec DLP」をはじめ、外部ソリューションへの展開オプションも豊富。
(出所:Skyhigh CASB公式Webサイト)
国際的に高い評価を受けるCASBソリューション。侵害されたコンテンツを修復し、クラウドサービス内の保存中の機密データを検出・可視化する。リアルタイムコントロール、機械学習を活用したインサイダー脅威の検出、すべてのユーザーと管理者の活動の包括的な監査証跡をキャプチャするクラウドアクティビティモニタリングなどの機能を搭載している。
カスタマイズ可能な261ポイントのリスク評価に基づいて、正確なクラウドサービスのレジストリを提供。
詳細なコンテンツ共有やアクセス制御など、ユーザーアクティビティの発生時にリアルタイム制御を適用してデータを保護できる点も強み。
(出所:Microsoft Defender for Cloud Apps公式Webサイト)
多機能の可視化、データ移動に対する制御、高度な分析を特長とする CASBソリューション。アプリの検出・管理、アプリとリソースへのアクセス統制、アプリのコンプライアンス評価などが可能。
機密情報の使用状態を問わず理解・分類・保護するための、すぐに使えるポリシーと自動化プロセスを用意。アプリからアクセスされるデータをリアルタイムで制御できる。またリアルタイムの制御を使用して、組織のアクセスポイントの脅威対策も可能。XDR 機能を組み込んだ「Microsoft 365 Defender」、SIEMソリューション「Microsoft Sentinel」と組み合わせることで、効率と有効性を高めながら、組織のデジタル資産を更に安全に保護できる。その他のソリューションとの統合も可能。
(出所:Oracle CASB公式Webサイト)
「Oracle Database」「Oracle Cloud」などで知られるOracle社が手がけるCASBソリューション。リアルタイムの脅威インテリジェンス・フィードと機械学習技術を活用して、セキュリティのベースラインを確立し、行動パターンを学習し、クラウド・スタックに対する脅威を特定する。
予測分析を使用したリスク評価、手動構成エラーの防止、クラウドのリスクの特定・レポート提供、シャドーITの特定と防御などが可能。特定の際は合理化されたインシデント・ワークフローを使用するため、ITスタッフの負担を軽減できる。
(出所:Proofpoint CASB公式Webサイト)
「人を中心とした視点」からアプローチするセキュリティソリューション。クラウドの使用状況をグローバル、アプリ、ユーザーレベルで確認できるほか、リスクのあるSaaSファイル、SaaSファイルのオーナーシップ、アクティビティ、共有状況を識別できる。また、ドリルダウン可能なダッシュボードで、不審なログイン、アクティビティ、DLPアラートをチェック可能。
ユーザーごとのリスクインジケーターとメール、SaaSなど豊富なクロスチャネルの脅威インテリジェンスを組み合わせたリアルタイムの脅威防御・制御、独自のDLPポリシーに基づくデータセキュリティ、サードパーティアプリの制御とシャドーITの検出などが可能。
CASBおよびCASB製品の概要やCASBでできること(機能)、比較のポイントを解説しました。まずはCASBに求められている機能が備わっているかを確認し、その上でクラウドアプリの対応範囲や導入方法を吟味していくと、最適なシステムがスムーズに選べるでしょう。
SaaSの利用増大、テレワークの推進によって、クラウドのセキュリティ強化は喫緊の課題です。近年認知度が高まっているゼロトラストセキュリティの方向性に則り、CASB製品を活用してセキュリティ環境を最適化していきましょう。
CASB製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
CSIRT、コーポレートIT、SOCチームが横断的に利用する機能を統合した、セキュリティツール。クラウドの監視と制御により、クラウド活用と従業員セキュリティの両...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。