クラウド・アクセス・セキュリティ・ブローカー(CASB)とは?

クラウド・アクセス・セキュリティ・ブローカー(CASB)は、クラウド・コンシューマー(ユーザーやデバイス)とクラウド・プロバイダーとの間の仲介的なセキュリティ・ポリシー実施ポイントである。ビジネスがクラウドに移行しつつある今日のデジタル経済において、CASBは組織のエンタープライズ・セキュリティ・ポリシーを拡張し、クラウド・リソースだけでなく、ユーザがそれらのリソースにアクセスする際に公開されるトランザクションやデータもカバーします。

CASBは、セキュア・アクセス・サービス・エッジ(SASE)戦略全体の重要なコンポーネントです。CASBは、あらゆる場所からクラウドアプリケーションやデータにアクセスする際に、個人所有のスマートフォンやラップトップなどの管理対象外のデバイスやIoTデバイスを含むユーザーやデバイスを、トランザクション単位できめ細かく保護します。

 

CASBはなぜ開発されたのか?

従来のセキュリティ・サービスは、企業ネットワークの境界を保護し、オンプレミスのユーザー、アクセス、データ・ストレージに重点を置いていた。企業がアプリケーション、データ・アクセス、データ・ストレージをクラウドに移行し、ネットワークの境界が消滅すると、セキュリティ・ギャップが生じました。CASBは、オンプレミスまたはクラウドで展開されるクラウドに特化した新しい製品とサービスを開発し、企業がクラウドサービスを利用する際の新たなセキュリティリスクに対応しました。

CASBは、従来の企業境界内外のユーザーからクラウドサービスへのセキュアなアクセスを可能にし、セキュアなクラウド・ツー・クラウド・アクセスをサポートし、セキュアなワークフロムエウェアを実現し、管理されていない個人デバイスからのクラウドアクセスを保護し、SaaS(Software-as-a-Service)、PaaS(Platform-as-a-Service)、IaaS(Infrastructure-as-a-Service)環境全体にセキュリティを拡張します。また、SaaS(Software-as-Service)、PaaS(Platform-as-Service)、IaaS(Infrastructure-as-Service)の各環境にセキュリティを拡張します。

CASBの仕組み

CASB製品とサービスは、クラウド上のデータと脅威の可視化と制御を実現し、企業のセキュリティ要件と規制要件を満たします。充実した機能を備えたCASBソリューションは、以下を支援します:

  • ユーザー・コミュニティがアクセスするクラウド・サービスのリストと、誰がアクセスしているのかを把握できます。
  • アプリケーションとその中で使用・共有されるデータを分析することにより、各クラウドアプリケーションに関連するリスクレベルを決定する。
  • リスクレベルに基づいて企業のセキュリティポリシーを実施し、違反を防止します。
  • マルウェア対策やデータ暗号化などの追加保護を導入する

CASBの中核となる4つの機能領域は以下の通り:

  • 可視化:使用中のクラウドサービスを発見し、誰がこれらのクラウドサービスを使用しているかを発見し、クラウド支出、冗長性の可能性、ライセンスコストに関する財務的洞察を提供する。
  • コンプライアンス:アプリケーションとデータをクラウドに移行する際に、規制コンプライアンスを維持、改善、レポートします。
  • データセキュリティ:高度なクラウドDLP検知メカニズムと連携し、静止中および移動中のデータは暗号化などの方法で保護されます。
  • 脅威からの保護クラウドアプリケーションやアクセスを通じて企業に侵入するマルウェアやその他の脅威から組織を保護します。
CASBのネットワーキングとセキュリティファブリックの図

 

CASBは、クラウドアプリケーションディスカバリー、データセキュリティ、アダプティブアクセスコントロール、マルウェア検出、ユーザーとエンティティの行動分析という5つの重要なセキュリティ機能を提供する。

CASBのメリット

CASB製品やサービスを組織に導入することで、セキュリティや管理の面で多くのメリットがあります:

  • ユーザーとデバイス(BYODを含む)の両方に対して、複数のクラウド・サービスにまたがる一貫したポリシーとガバナンスのための中心的な場所。
  • ユーザーのアクティビティ、アプリケーション、機密データ、SaaSのアクティビティを詳細に可視化し、管理します。
  • 安全な労働力の移動が可能
  • Office 365などのクラウドアプリケーションの使用を監視し、管理する。
  • 企業は、機密データ保護へのきめ細かなアプローチを取ることができます。コンプライアンスとポリシーの実施により、時間の節約、生産性の向上、コスト効果の高いクラウドサービスの安全な利用が可能になります。
  • BYODに対応するため、業界が従来のデバイスやデバイス管理手法から移行する中、SaaSアプリケーションへのすべてのデバイス・アクセスを保護します。
  • クラウドサービスにおけるデータ、アプリケーション、ユーザーの挙動を検査し、分析を提供します。これには、承認されていない従業員のクラウド利用やシャドーITの存在も含まれます。
  • 企業の既存のIDプロバイダー、セキュリティ情報・イベント管理(SIEM)ツール、統合エンドポイント管理(UEM)製品と統合
  • 機密性の高いコンテンツを暗号化またはトークン化してプライバシーを保護します。
  • 悪意のある活動を示す異常な行動を検出し、ブロックする。
  • クラウドの可視化と制御を既存のセキュリティ・ソリューションと統合する
  • マルチテナントのクラウド環境で運用する。
  • クラウドサービスの企業インスタンスと個人インスタンスを区別し、両者間のデータ交換を制限またはブロックする機能を提供する。

CASBの導入方法

CASBは、オンプレミス、コロケーション、またはパブリッククラウドベースのセキュリティポリシー実施ポイントであり、クラウドサービスコンシューマとクラウドサービスプロバイダの間に配置され、クラウドベースのデータやアプリケーションにアクセスする際に企業のセキュリティポリシーを注入します。CASBアーキテクチャ柔軟性を重視して設計されており、CASB は仮想アプライアンスまたは物理アプライアンスとして動作することも可能です。

組織のニーズに合った CASBアーキテクチャ 導入することは、想定しているすべての機能とユースケースを使用できるようにするために非常に重要です。一部の機能は、特定の導入モデルでのみ利用可能です。クラウド・アクセス・セキュリティ・ブローカーを評価する際には、ベンダーとソリューションが必要な導入モデルをサポートしていることを確認してください。企業は、ニーズを完全にカバーするために複数の導入モデルを組み合わせることがよくあります。

主なCASBソリューションは2つある:

帯域外

CASBは、ユーザーとクラウド間、あるいはクラウドとクラウド間のトラフィック経路には存在しない。CASBはアクティビティを監視してログに記録し、APIアクセスを通じてポリシーアクション(許可、拒否、削除、チャレンジ許可など)を注入することができる。

アウトオブバンドのCASBソリューションは、イベントとアクティビティを監視してレポートすることはできるが、インタラクションの内容を可視化することはできない。

インライン

これらのCASBソリューションは、ユーザーとクラウド間、あるいはクラウドからクラウド間のトラフィックを終端/再起源するプロキシモードを使用する。CASBは、リバースプロキシ(クラウドに近い)またはフォワードプロキシ(ユーザーに近い)のいずれかとしてデプロイできる。

インラインCASBソリューションは、すべてのポリシー決定を行うだけでなく、モニタリングとレポーティングを行うことができる。

マルチモードCASBプロバイダーは、APIとインライン動作モードの組み合わせを提供するプロバイダーである。著名なクラウド・アプリケーション・プロバイダーやサービス・プロバイダーはパブリックAPIを公開しているが、ほとんどのSaaSアプリケーションはAPIを提供していないため、少なくとも1つのインライン機能を備えたCASBソリューションが必要となる。

CASBは組織にとって正しい選択か?

これまでオンプレミスで提供されていたサービスがクラウドに移行し続ける中、これらの環境における可視性と制御を維持することは、コンプライアンス要件を満たし、攻撃から企業を守り、従業員が企業に新たなハイリスクをもたらすことなくクラウドサービスを安全に利用するために不可欠です。

Versaは、SASE ポートフォリオの一部として、オンプレミスモデルとプロバイダーベースモデルの両方で、クラウドホスト型セキュリティをサービスとして提供しています。これらのサービスは、CASBソフトウェアノードが配置されている場所のグローバルフットプリントを提供します。企業は、クラウドインフラストラクチャへの高速でセキュアなネットワークとアプリケーションアクセスへのオンランプとして、最も近い、または最も便利なPOP(Point of Presence)を利用することができます。

その他のリソース

CASBは、ゲートウェイやクラウドホスト展開モデルを含む、VersaのSASE ソリューションの不可欠な部分を形成しています。CASBと連携するSASE コンポーネントとテクノロジーは以下の通りです:

CASBの4つの柱

効果的なCASBを実現するためには、4つの基本的な柱が存在しなければならない。CASBプロバイダーは、クラウド・アクセス・セキュリティ・ブローカーが可視性、コンプライアンス、データ・セキュリティ、脅威防御を備えていることを保証しなければならない。これらの機能のないクラウド・アクセス・セキュリティ・ブローカーとは何だろうか?ハッキングされたり、マルウェアに感染したりするリスクのある安全でないシステムです。

視認性

企業は、社内でどのシステムやソフトウェアが適切に利用されているかを可視化する必要がある。幸運なことに、可視性は主要なCASBアーキテクチャ重要な機能である。効果的なCASBは、管理されているクラウドシステムと管理されていないクラウドシステムの両方を完全に可視化する。これにより、有用なクラウドシステムを特定できるだけでなく、企業のリーダーはクラウドの利用に関して十分な情報に基づいた意思決定を行うことができる。

クラウド・アクセス・セキュリティ・ブローカーは、使用されているすべてのクラウド・サービスを可視化し、クラウド支出をレポートし、実際に利用されているシステムを発見し、クラウド機能とコストの重複を発見することで、貴重なビジネスインサイトを提供する。

データ・セキュリティ

CASBは、サイバーリスクが深刻な脅威になる前に特定する企業のゲートキーパーの役割を果たす。CASBはクラウドセキュリティの侵害を常にスキャンしているため、企業は保存データに対してより安心感を持つことができる。コンテンツがクラウドにある瞬間から、あるいはクラウドに向かう途中からコンテンツをフォローするこの深いレベルのセキュリティは、IT部門が潜在的なサイバー脅威をさらに分析するのに役立ちます。さらに、トップクラスのCASBアーキテクチャの多くは、データを暗号化し、データへのアクセスを制御し、機密情報を迅速に検出する機能を備えている。

コンプライアンス

データ規制の遵守は、どのようなシステムにおいても重要な信条であるが、コンプライアンスの欠如は、データ漏洩やサイバー攻撃につながる可能性がある。優れたアーキテクチャ 、業種を問わず、クラウドシステムのコンプライアンスを確保するために利用できる。例えば、CASBは、医療機関がHIPPAやHITECHに準拠し続けるのを支援したり、金融コンサルタントがFFIECやFINRAに準拠していることを保証したりすることができる。

脅威からの保護

誰もがインターネットやクラウドサービスにアクセスできるため、企業は従業員がマルウェアやその他のサイバー脅威を持ち込まないようにする必要があります。多くのCASBは、社内外のネットワークを監視するリアルタイム・スキャンを提供しています。クラウドサービスが保護されていない場合、従業員が知らず知らずのうちに危険なサイバー脅威を社内に放出してしまう可能性がある。しかしCASBを利用すれば、脅威が検出されるとすぐにIT部門に通知されるため、侵害されたクラウドサービスに迅速に対処することができます。

無料電子書籍

SASE For Dummies

ベストプラクティス、実際の顧客のデプロイメント、SASE 有効な組織で得られるメリットなど、SASE ビジネスと技術的背景を学びます。

電子ブックを入手する

さらに詳しく

SASE (Secure Access Service Edge)、ネットワーキング、セキュリティ、SD-WAN、クラウドに関する調査、分析、情報を業界のソートリーダー、アナリスト、専門家が提供します。

 

オンデマンド・ウェビナー55分

SWGとSD-WAN:より良い関係を

セキュアWebゲートウェイはSD-WAN機能をネイティブに統合してサポートし、より高いパフォーマンスとセキュリティを提供しながら、複雑さとコストを削減する必要があります。

 
 

ソリューション・ブリーフ

バーサ・セキュア・ウェブ・ゲートウェイ

VersaSASE一部であるVersa Secure Web Gatewayは、パフォーマンスやエンドユーザーエクスペリエンスを損なうことなく、企業サイト、ホームオフィス、外出中のユーザーに安全なインターネットアクセスを提供します。

 
 

3分48秒 動画

バーサ・セキュア・ウェブ・ゲートウェイ

この短いチュートリアルでは、VersaセキュアWebゲートウェイ(SWG)がどのように何百万ものクライアントに安全なWebブラウジングとインターネットアプリケーションアクセスを提供しているかをご紹介します。