使える! 情シス三段用語辞典91「CASB」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
一段目 ITの知識がある人向け 「CASB」の意味
クラウドサービスの普及により企業においてもOffice365、Salesforce、Box、slackなどのビジネスツールや、FacebookなどSNSの利用が進んでいます。しかしながら、その手軽さからIT部門や社内ルールを知らずにサービスを利用していたり、作業効率を追求した結果プライベートアカウントを業務で使用するなどのケースが増え、結果的に情報流出などのセキュリティ上のリスクを高めてしまっています。
近年、それらの問題を解決するソリューションとしてCASB(Cloud Access Security Broker:通称キャスビー)が注目されています。
これは、ガートナーが2012年に提唱した言葉であり、企業で利用するクラウドサービスについて可視化、データ・プロテクション、ガバナンスを実現するサービス/製品を指します。
ガートナーでは「具体的には、複数のクラウドサービスの利用ユーザーとクラウド・プロバイダーの間にCASBを配置し、単一のコントロールポイントを設けて、認証/シングルサインオン、アクセス制御、データ暗号化、ログ取得、マルウェア対策といった、クラウド・リソースへのアクセスに関するセキュリティ・ポリシーを適用するもの。」と定めています。
CASBが誕生した背景として、複数のクラウドサービスの存在とモバイルデバイスの多様化が挙げられます。現在、複数のクラウドサービス(SaaS)を、PCやスマートフォン、またはタブレットなどから利用することは一般的な状況ではないでしょうか。また、「働き方改革」の号令の下、テレワークやリモートオフィスの活用など、オフィス外から直接クラウドサービスを利用するケースも増加しています。
モバイルデバイスの利用や柔軟な働き方は、生産性向上に大きく寄与しますが、その一方で、企業ファイアウォールの「外側」のセキュリティとガバナンスが管理できないといった問題を生んでいます。
その結果、従来型の“境界セキュリティ”では対応できなくなり、企業のIT部門が管理できない、いわゆる「シャドーIT」が増加するという事態が発生しています。こうした状況を回避し、従業員の業務効率と利便性を損なわず、且つ、一貫したセキュリティ・ポリシーを遵守しながらクラウドを利用できるようにするのが、CASBの役割になります。
ガートナーの定義によれば、CASBには4つの機能があります。 社内ユーザーがどのようなクラウドサービス(SaaS)を使っているかIT管理者が監視できるようにする「可視化(ディスカバリー)」、アクセス権限の逸脱や機密情報の持ち出しをチェック&ブロックする「データセキュリティ」、セキュリティに関する基準やポリシーを満たしていることを監査する「コンプライアンス」、セキュリティ脅威の検出/分析や防御を行う「脅威防御」です。
<画像出展:NRI SecureTechnologies>
しかしながら、これら4つの機能は、CASB特有かといえばそうではありません。「次世代ファイアウォール」や「セキュアWebゲートウェイ(Secure Web Gateway:SWG)」などでも、基礎的なレベルでは同様の機能を提供しています。
次世代ファイアウォールやSWGとの違いは、CASBは各クラウドサービス/ユーザーなどの単位で「きめ細かいデータセキュリティ/制御を簡単に設定できる」という点にあります。
このような機能を実現できれば、複数のクラウドサービス(SaaS)を併用した環境でもセキュリティ・ポリシーを徹底しやすくなり、シャドーITの問題も解決できます。その結果、クラウドサービス(SaaS)を介した情報漏えいも防止できます。
企業内でクラウド利用が進んでいる場合、どのようにしてセキュリティを確保するかは大きな課題。CASBという仕組みは“ゼロトラスト”(参考:使える! 情シス三段用語辞典90「ゼロトラスト」)の考え方と共に注目のソリューションであることに間違いはありません。
二段目 ITが苦手な経営者向け
とあるアパレルメーカーの談話室。情シスに所属する中田さんは、談話室でコーヒー片手に手帳を見ていました。そこに社長が通りかかり、中田さんに声を掛けました。
社長:あっ、中田さん。探していたんだよ。
中田さん:社長、おはようございます。そんなに慌てて、どうされたのですか?
社長:そういえば、あれ! 昨夜、何かセキュリティ上の問題があったと耳にしました。
中田さん:はい、昨夜、会社で許可していないクラウドサービスへの接続を検知したので、サービスの遮断を行いました。
社長:一体、何が起きたのかな?
中田さん:メールベースだとバイヤーさんごとの管理が大変なことと、最近slackというコミュニケーションハブが便利なツールだということを聞いたようで、無料ということもありトライアル的に使ってみたとのことです。
社長:では、現時点で情報漏洩が発生したということではないんだね。
中田さん:はい、それも確認しています。
社長:それは何より。でも、業務改善としてツールを利用したかったなら、今後はどうしたらよいかな?
中田さん:そうですね。一旦、現場のヒアリングを行い、そのツールが最適なのかなどを確認した上で、有効利用可能であれば、使用を許可しても良いかと思います。
社長:それを使うことで社外に機密情報が洩れるようなことにはならないのかね?
中田さん:CASBのソリューションでは、ファイルがアップロードされる途中で内容を検査し、機密情報であると判断した場合は、アップロードを中断させたり、暗号化させることができるものもあるので、もちろん配慮します。
社長:ん? そのCASBというのは何なのかな?
中田さん:CASBは、従業員がクラウドサービスを利用する際のセキュリティを一括管理する役割を果たすソリューションで、クラウドサービス利用によるこれらのリスクを解決してくれます。
社長:なるほど、素晴らしいね。CASBは、クラウド上のサービスを安全に使うための仕組みという理解で大枠はいいのかな?
中田さん:そうですね。
三段目 小学生向け
たとえば、あなたはスマホでゲームをしているとしましょう。そのゲームのデータはインターネット上にあります。あなただけのセーブデータです。そのデータを使えば、いつでもどこでもゲームを遊ぶことができます。たとえ新しいスマホを買ったとしても、ゲームの続きで遊ぶことができるのです。
しかし、インターネット上にはいろいろな問題があります。たとえば、誰かにあなたのゲームデータを勝手に使われることもあります。変なサイトで、あなたの情報やお金がとられるかもしれません。そういった脅威から守るためにあるのが、CASB(キャスビー)という仕組みになります。
スマホゲームでいえば、キャスビーは以下の4つのことを行います。
・ゲームデータに、あなた以外の人がアクセスできないように守る
・ゲームデータを、あなた以外が使えないようにする
・ご両親が作ったルールを守っているかどうかをチェックする
・ゲームアプリをどれくらい使ったかを記録し、画像で見る
あなたがこっそり隠れてゲームをしていてもご両親は分かってしまいます。なぜなら、あなたのご両親はキャスビーの機能により、どのくらいゲームをしていたのかチェックできるからです。
このようにCASB(キャスビー)は、スマホゲームなどのようにインターネット上のアプリケーション(クラウドサービス)をどのくらい・どのように使っているかをチェックし、キチンと管理することで、クラウドに潜むさまざまなセキュリティーリスクに対処できるようにするものです。
さて、皆様の理解は深まったでしょうか?
【執筆:佐波井まこと】