CASBとは？クラウド時代に知るべきセキュリティリスクと対策の特徴

組織のセキュリティ対策
2018.3.14

　クラウドサービスは、いつでもどこからでも手軽に利用でき、ファイル置き場からシステムの構築まで幅広く活用できることから、企業での導入が進んでいます。

　最近では「クラウドファースト」という言葉も聞かれるようになり、「働き方改革」実現のためのリモートワークでも期待されています。

　一方で、クラウドサービスを利用することによるセキュリティ上のリスクも無視できません。そこで注目を集めているのが「CASB」というソリューションです。ここではクラウドサービスのリスク、CASBの概要・特徴・導入上の注意点などを解説していきます。

1 1.CASBとは
- 1.1 1-1 CASBとは
- 1.2 1-2 進むクラウドサービス利用
2 2.クラウドサービスを利用することのリスク
3 3. CASBの4つの特徴
4 4.CASBを利用するメリットと注意点
- 4.1 4-1 メリット
- 4.2 4-2 注意点
5 5.まとめ

1.CASBとは

1-1 CASBとは

　CASBは「Cloud Access Security Broker」の略で、「キャズビー」と呼ばれています。CASBという言葉は、米国の調査会社であるガートナー社が2012年に提唱した考え方で、具体的には、「クラウドサービスと企業内のユーザーの間に位置し、ユーザーのクラウドサービスの利用状況を把握するソリューション」を指します。2018年3月時点では、プロキシ型とAPI型、ログ収集・解析構成型、およびハイブリッド型が提供されています。ガートナーによると、2017年末の導入率は10％以下ですが、2020年には大企業の85％（※）が導入するとしています。
※Gartner Market Guide CASB – 2016/10ではEnterprisesの85％が、Magic Quadrant Report- 2017/11では、Large Enterprisesの60％が導入するとされています。

1-2 進むクラウドサービス利用

　CASBが注目を集めている背景には、クラウドサービスの普及があります。様々なものをサービス化するクラウドサービスは、企業の投資を「所有する」から「利用する」へ転換するという大きなインパクトを与えました。クラウドサービスを利用する企業も増加していて、総務省が2017年に公表した「平成29年版情報通信白書」によると、企業の46.9％がクラウドサービスを利用しています。

　情報通信白書によると、利用度の高いクラウドサービスは「電子メール」「データ共有」「サーバ利用」が上位を占めています。さらに、「社内情報共有・ポータル」「スケジュール共有」といった割合も高く、クラウドサービスが多くの業務に浸透してきていることがわかります。

　クラウドサービスは、利用するデバイスを限定しないことも特徴です。サービスへログインするためのIDとパスワードさえあれば、会社のデスクトップPCはもちろん、社外用のノートPC、さらには個人が所有するPCやスマートフォンなどでもクラウドサービスを利用できます。リモートワークが可能になることから、「働き方改革」の視点でも有効なサービスとなっているのです。

　このように便利で業務の効率化にも有効なクラウドサービスですが、同時にリスクも存在します。そのリスクを解消するためには、従業員が会社の内外で利用するクラウドサービスの状況を把握することが重要です。その上で、業務においてクラウドサービスが適切に利用されているか、セキュリティ上の脅威はないかといった対策ができることから、CASBが注目されているのです。

2.クラウドサービスを利用することのリスク

　従業員が業務でクラウドサービスを活用する場合、どのようなリスクがあるのでしょうか。そこに存在するリスクをみていきましょう。

2-1 クラウドサービス利用の公私混同

　クラウドサービスには、企業向けのサービスも用意されています。しかし、その便利さから個人サービスをすでに利用している従業員も多いと思われます。こうした場合は、たとえば個人向けのクラウドストレージサービス上に、業務用のファイルを保存してしまいがちです。

　主な理由は、個人向けのアカウントと企業向けのアカウントを切り替えることが面倒というケースが考えられます。もちろん、その多くは業務用のフォルダを作成して管理していると思われますが、重要なファイルを間違って共有フォルダに置いてしまうこともあり、意図せず情報漏えいを引き起こしてしまう可能性があります。

　企業側は、従業員の個人アカウントまでは把握できませんから、大きなリスクがあるといえます。

2-2 部署単位でのクラウドサービス利用

　クラウドサービスは簡単に利用を開始できるため、部署単位やプロジェクト単位で利用するケースもあります。また、上司の許可を得ずに利用を開始してしまうケースも多く、企業側が把握できていないことも多くなっています。企業にとっては、把握できていないところで業務ファイルがクラウドサービス上にアップロードされてしまうので、このケースも大きなリスクといえます。

2-3 本当に安全なクラウドサービスなのか

　業務でクラウドサービスを利用する際には、強固な認証機能や、保存されるデータの厳格な保護が求められます。

　例えば、クラウドサービスを利用する端末を登録でき、それ以外の端末でアクセスした場合にはメールでアラートが送られたり、クラウドストレージサービスなら保存したデータが自動的に暗号化されたりといった機能が重要になります。こうしたセキュリティ対策が、クラウドサービスによって差があることも、利用を難しくしています。

　たとえこれらの要件をクリアしているサービスでも、何らかの理由で第三者から情報開示を求められた場合、すぐに開示してしまうようなサービスでは信頼できません。それに、せっかく良いサービスを利用していても、買収や統合などによってサービスが終了してしまう可能性もあります。十分な検討がなされないままクラウドサービスを利用することも、企業のリスクになるのです。

2-4 サイバー脅威への対策

　クラウドサービス利用においても、サイバー脅威への対策は重要です。ただし、そこに存在する脅威は特別なものではありません。クラウドサービスが脅威の経路のひとつになるということです。

　例えば内部犯行により企業の重要なデータを盗み出す際にクラウドサービスを利用したり、出先からクラウドサービスにアクセスした際にマルウェアが紛れ込み、それが社内に侵入してしまうといったことが考えられます。
　CASBが注目されているのは、こうしたリスクに対応できるためです。

3. CASBの4つの特徴

　CASBには、4つの大きな特徴があります。それぞれの特徴が、クラウドサービス利用におけるリスクにどう対応するのかをみていきます。

3-1 可視化

　CASBは、企業や従業員が使用するデバイスとクラウドサービスとの間で通信を監視するため、「誰が」「どのデバイスで」「どのクラウドサービスに」「どのデータを操作したか」を明らかにすることができます。これによりクラウドサービス利用を可視化することができ、リスクの高い利用を明らかにすることができます。

　部署単位での利用や、重要な情報を含むデータも把握できるので、情報漏えいのリスクを大幅に軽減することができます。また、CASBをインラインで設置した場合には、BYODによる利用も把握することが可能です。

3-2 コンプライアンス

　CASBでは、数多く存在するクラウドサービスの情報を持っているため、利用しているクラウドサービスが企業のコンプライアンスに合致しているかどうかを判断できます。

　強固な認証機能や、保存されるデータの厳格な保護がなされているか、サービスの安定性やDDoS攻撃への耐性なども把握できるので、企業に最適なクラウドサービスに利用を絞ることも可能です。

3-3 データセキュリティ

　CASBには、データを保護するための機能が複数搭載されていたり、連携が可能になっています。データの種類に応じてアクセス制限や共有制限を設定したり、DRM（デジタル著作権管理）機能の利用、電子透かしの設定、パスワード付き圧縮ファイル化、強制暗号化などを行うことが可能です。

　こうした機能を活用することで、重要なデータをクラウド上に保存しようとするとアラートを表示したり、アクセス制限や暗号化をするといった対策が行えます。

3-4 脅威防御

　CASBにも、サイバー脅威に対する防御機能が搭載されています。主なものには、マルウェアの検知機能や不審な行動を検出する機能があります。これにより、クラウドサービスを介したマルウェアの侵入を検知したり、内部犯罪者による不正操作を検知して未然に防ぐことができます。

　また、脅威インテリジェンスと連携するものもあり、最新の脅威データをもとに不審なファイルやWebサイトへのアクセスを遮断できます。もちろん、他のセキュリティ機器との混在も可能なので、WAF（Web Application Firewall）やUTM（Unified Threat Management・統合脅威管理）と組み合わせることで多層防御を実現できます。

4.CASBを利用するメリットと注意点

4-1 メリット

　企業がCASBを導入するメリットをまとめると、次のようになります。

・従業員や部署単位でのクラウドサービス利用を可視化し、把握できる
・自社のコンプライアンスに合致したクラウドサービスを利用できる
・複数のデータ保護対策を、クラウドサービスに上げる際に適用できる
・マルウェア対策や、内部不正を検知して迅速に対処できる
・セキュリティ対策における多層防御を強化できる

4-2 注意点

　一方、注意点として挙げられるのは以下の点です。

・目的に合わせた製品を選定しないと、十分な効果が得られないことがある
・プロキシ型の場合は、各デバイスにSSL証明書の導入が必要になる
・プロキシ型の場合は、CASBが単一障害点になる可能性がある
・ログ収集・解析構成型では、単体ではアクセス制御が行えない

5.まとめ

　CASBは、登場して数年の「若いソリューション」です。しかし、クラウドサービス利用は今後ますます浸透し、企業活動に欠かせないものとなってくでしょう。CASBの重要性も徐々に増していき、導入も増えていくと考えられます。

　現在のところ、CASBの価格構成は1000ユーザーからの設定が多く、中規模から大企業向けのソリューションといえます。また、従業員が利用するクラウドサービスの可視化や管理という特徴を考えると、グローバル企業の海外ブランチオフィスや国内に多くの支店を持つような大企業に有効なソリューションであるといえます。

　今後は、働き方改革の浸透によって、リモートワークも増えていき、クラウドサービスを利用する機会も増えていきます。特に、重要なファイルをクラウドサービスを介して利用するような企業は、導入を検討した方がよいでしょう。

著者：マカフィー株式会社　マーケティング本部