CASBとは? 主な機能やメリット、注意点をわかりやすく解説
テレワークへの対応や業務効率化のために、クラウドサービスを導入する企業が増えています。しかし、クラウドサービスには不正アクセスによる情報漏洩などの潜在的なリスクもあり、安全に利用するにはセキュリティ対策が必須といえるでしょう。そこで注目を集めているのが、CASB(Cloud Access Security Broker)です。
本記事では、CASBの主な機能やメリットのほか、注意点、サービス選定のポイントなどを解説します。
CASBとは、クラウドサービスの利用状況の可視化と管理を行うセキュリティサービス
CASBとは、クラウドサービスの利用状況を可視化し、管理するセキュリティサービスのことです。
CASBはクラウドサービスのセキュリティ対策に特化しており、ユーザーとクラウドサービスのあいだに設置され、ログ監視を行います。収集したログから「どのクラウドサービスを」「いつ」「誰が」利用したかを可視化でき、不正アクセスの制御も可能です。また、複数のクラウドサービスに対して自社のセキュリティポリシーを一貫して適用できることから、統一的なセキュリティ体制を構築できます。
CASBは、単体で導入されるケースもありますが、CASBの機能が組み込まれているSASE(Secure Access Service Edge)を導入してセキュリティ対策を行うケースもあります。SASEとは、CASBやFWaaSなどのセキュリティ機能と、SD-WANなどのネットワーク機能が統合したネットワークセキュリティサービスのことです。クラウドサービスの利用が増加していることから、自社のセキュリティ対策に合わせて、CASBもしくはSASEの導入を検討する企業が増えています。
- あわせて読みたい
CASBが必要とされるようになった背景
クラウドサービスには、潜在的なセキュリティリスクがある一方で、従業員の利用状況がブラックボックス化しやすい側面があることから、クラウドサービスに特化したセキュリティ対策であるCASBの必要性が高まっています。
DXやテレワークなどの普及に伴い、クラウドサービスを利用する企業は増えました。しかし、クラウドサービスはサービス提供者側でシステムを構築・運営しているため、自社のセキュリティポリシーに合った統一的なセキュリティ対策を行うのは簡単ではありません。
また、新たなクラウドサービスが次々と登場していることもあり、会社が許可していないクラウドサービス「シャドーIT」を従業員が利用するケースも増えています。シャドーITは不正アクセスやサイバー攻撃などのリスクを発生させるため、企業は適切な対策を打たなければなりません。
このように、クラウドサービス特有のリスクから企業の重要な情報を守らなければならないため、CASBが必要とされているのです。
- あわせて読みたい
CASBの主な機能
CASBには様々な機能があります。主な機能としては、下記4つが挙げられます。
可視化
CASBの代表的な機能は、従業員が利用するクラウドサービスを可視化することです。利用者や利用時間、利用頻度だけでなく、ファイルのアップロード・ダウンロードといったアクティビティの可視化も可能です。
各クラウドサービスの利用率も確認できるため、利用の少ないサービスを把握して解約を検討したいような場合にも役立ちます。
セキュリティポリシーの一括適用による行動制御
CASBを導入すると、事前に設定したセキュリティポリシーに反する行動を一括制御できるため、コンプライアンスを遵守することが可能です。
例えば、許可されていないクラウドサービスの利用時に通信を遮断したり、リスクが高いクラウドサービスを利用した際にアラームを通知したりすることもできます。またクレジットカード番号やマイナンバー、特定の拡張子をもつファイルのアップロードを禁止することも可能です。
CASBのサービスによっては、セキュリティポリシーの違反があった場合にログイン制御をかけて、アカウントを保護する機能が備わっている場合もあります。
データセキュリティ
CASBには、クラウドサービスに保存したデータの暗号化やアクセス制御などによって、情報漏洩を防止する機能が備わっていることもあります。データの種類や重要度に応じてアクセス権限を設定することが可能です。アクセス権限のないユーザーがデータにアクセスしたり持ち出したりすると、アラートが通知される仕組みになっています。
脅威防御
CASBによって、マルウェアの感染などの脅威を防げます。
クラウドサービスの中には、マルウェアなどに感染するリスクがあるサービスも存在します。CASBには、クラウドサービスとの通信内容からマルウェアを検知・隔離する感染防止機能を備えているサービスもあり、大量のデータ送信などの不審な行動を監視できるため、内部不正の防止も可能です。
CASBのメリット
CASBには様々なメリットがあります。代表的なメリットとしては、下記の2点が挙げられます。
シャドーITを防止できる
CASBのメリットは、シャドーITを防止できることです。
CASBでは、セキュリティポリシーへの違反や不正アクセスのチェックだけでなく、「誰が」「いつ」「どこから」「どのサービス」を利用しているかも把握できます。契約外のクラウドサービスが監視対象に含まれるかはCASBの方式によって異なりますが、監視可能な方式を選べば、シャドーITの利用の防止が可能です。
複数のクラウドサービスを一元管理できる
複数のクラウドサービスを一元管理できることも、CASBのメリットです。
一般的には、クラウドサービスの利用時には、アクセス権限の設定やアップデートの適用などがサービスごとに必要になります。CASBを導入すると、このような作業を一括して実施できるため、管理業務が効率化します。
また、複数のクラウドサービスの利用状況をまとめて可視化できる機能により、一つひとつのクラウドサービスの利用状況を個別に確認する必要がなくなるため、システム管理者の負担を減らすことが可能です。
CASBの注意点
CASBはあくまでクラウドサービスの管理・制御に特化したシステムであり、オンプレミス環境の脅威に対応するものではない点には注意しましょう。
また、CASBを導入していても、クラウドサービスの提供者側でミスやインシデントが発生した場合には対応できません。CASBだけでセキュリティ対策は万全にできないため、ほかの対策もあわせて導入する必要があります。
CASBの機能面でも、リアルタイム監視に対応していないなど、自社にとって十分な機能が搭載されていないケースもあります。導入する際には複数のサービスを比較・検討して、自社に必要な機能を備えているサービスかどうかを確認してください。
CASBの導入方式
CASBの導入方式は、大きく「API型」「プロキシ型(インライン型)」「ログ分析型」の3つに分かれます。それぞれ、下記のような特徴があります。
API型
API(Application Programming Interface)型は、各クラウドサービスが提供するAPIと連携して、ユーザーの利用状況や操作ログを収集し、解析する方式です。APIとは、外部のWebサービスやプログラムなどと連携するために公開されたインターフェースのことです。
API型のCASBでは、API連携できないクラウドサービスや自社が契約していないクラウドサービスは監視できないため、注意しましょう。
プロキシ型
プロキシ型は、インライン型と呼ばれることもあり、従業員が利用するパソコンなどのクライアント端末がクラウドサービスに接続する通信経路内にCASBを設置する方式です。プロキシとは「代理」という意味で、端末がインターネット通信をする際に中継するプロキシサーバーを指します。
プロキシ型のCASBを設置することで、クラウドサービスにデータをアップロードする前にアクセス制御できるようになります。社内で承認していないクラウドサービスの利用状況も監視できることから、強固なセキュリティ対策が可能です。
ログ分析型
ログ分析型は、ファイアウォールやUTMなどのゲートウェイ機器にCASBを設置し、アクセス先を監視する方式です。クラウドサービスとのあいだでアップロード・ダウンロードするファイルの中身の監視はできず、接続するURLを監視するため、リスクのあるクラウドサービスの利用制限のみを行いたい場合に活用されます。
禁止されたクラウドサービスへのアクセスが検知されると、ゲートウェイ機器と連携して通信を制御することもできます。
- あわせて読みたい
CASBのサービス選定のポイント
CASBには様々なサービスがあるため、選定時に迷ってしまうこともあるかもしれません。CASBのサービス選定時に確認すべきポイントを紹介します。
導入目的と優先する機能を明確にする
CASBのサービス選定時には、導入目的と優先する機能を明確にすることが重要です。CASBには数多くのサービスがあり、すべてを比較するには多くの時間を割かなければなりません。効率良く選定するためには、必須機能や優先すべき条件などを洗い出し、選定基準を明確にして候補を絞り込んでいくことをおすすめします。
対応しているクラウドサービスを確認する
API型のCASBは、APIが公開されているクラウドサービスでなければ監視・制御ができず、プロキシ型もクラウドサービスによっては利用できないことがあるため、対応しているクラウドサービスの確認も重要です。
また、CASBのサービスによっては対応端末が限定されていることもあるため、従業員の利用する端末が対応しているかどうかも確認しておくと安心です。
API型・プロキシ型・ログ分析型のいずれを導入するかを明確にする
CASBにはAPI型・プロキシ型・ログ分析型の3つのタイプがあり、それぞれメリット・デメリットが異なるため、自社にどの導入方式が合うかを明確にしましょう。
各方式のメリット・デメリットは下記のとおりです。
| 導入方式 | メリット | デメリット |
|---|---|---|
| API型 |
|
|
| プロキシ型 |
|
|
| ログ分析型 |
|
|
上記を参考に、目的や方針、セキュリティポリシーに合った導入方式を検討すると、最適なサービスを選びやすくなります。
導入の手間を確認する
CASBはサービスによってサーバーの導入やネットワーク環境の再構築が必要になる場合があるため、サービス選定の時点で、導入にかかる手間や運用開始までの期間などを確認しておくと安心です。
機能を段階的に導入できる場合もあるため、そのようなサービスでは導入時の手間を抑えながら最適なセキュリティ環境を構築できる可能性があります。金銭的なコストだけでなく、時間や労力のコストも念頭に置いてサービスを選定しましょう。
CASBでクラウドサービスを安全に利用しながら、セキュリティ対策を万全にしよう
クラウドサービスの利用が一般的になり、CASBによるセキュリティ水準の向上が企業にとって重要になっています。しかし、CASBはあくまでクラウドサービスに特化したシステムのため、社内全体のセキュリティ体制を築くことはできません。万全なセキュリティ体制を構築するには、CASBとあわせて、ほかのセキュリティ対策も導入しましょう。
セキュリティ対策でおすすめしたい選択肢のひとつが、情報漏洩対策・IT資産管理ツールの「MaLion」シリーズです。端末へのセキュリティポリシー設定や、違反者の警告通知、印刷操作・外部デバイス接続・送受信メールの監視、個人情報ファイル制御などの機能があるため、社内の情報セキュリティの強化に役立ちます。
社内のセキュリティ強化を検討している場合は、ぜひ「MaLion」シリーズをご検討ください。
