「クラウドセキュリティ/CASB」丸分かり 比較、事例、解説記事を紹介

ユーザー企業のIT担当者を対象に、IT製品/サービスの導入・購買に役立つ情報を提供する無料の会員制メディア「TechTargetジャパン」。このコンテンツでは、クラウドセキュリティ/CASBに関する事例、比較、解説の記事を紹介します。製品/サービス選定の参考にご覧ください(リンク先のページはPR記事を含みます)。

クラウドベースセキュリティ選択時に着目すべき7つのポイント

 多くの企業がサイバーセキュリティ予算と人材の不足に直面しており、自力ではセキュリティの確保が難しくなっている。そこで出番となるのがクラウドベースのセキュリティ(以下、クラウドベースセキュリティ)だ。Gartnerは、クラウドベースセキュリティ市場が2020年までに90億ドル(約1兆円)規模に成長すると予測している。(続きはページの末尾にあります)

クラウドセキュリティ/CASB関連の比較

“なんちゃってマルチクラウド”を防ぐには? 日本企業が直面する課題と対策

インフラとして複数のクラウドを利用する企業の動きが広がり、新たな課題が浮上している。調査で判明したマルチクラウド管理の課題と、その解決策を説明する。

(2020/4/22)

クラウドベースセキュリティ選択時に着目すべき7つのポイント

端末の種類と用途が多様化した今、従来のセキュリティ対策製品では全ての脅威に対応し得ない。そこでクラウドベースのセキュリティサービスだ。そのメリットと7つのポイントを紹介する。

(2019/5/22)

NISTの「Cybersecurity Framework」でクラウドのセキュリティを強化する方法

米国国立標準技術研究所(NIST)が発行した「Cybersecurity Framework」を「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスで活用して、セキュリティを強化する最善の方法を解説する。

(2018/2/14)

注目の比較記事一覧へ

クラウドセキュリティ/CASB関連の事例

セブン銀行が「クラウドリスク評価」の方法を見直した理由とは?

リスク評価ツールでクラウドサービスの安全性を確認するセブン銀行や、電子署名ツールを取り入れた秋田県横手市など、セキュリティ強化に取り組む事例のニュースを紹介する。

(2024/9/27)

「クラウドセキュリティ」の基礎知識を確かめる7問クイズ

「クラウドセキュリティ」の基礎知識を確認できるクイズを掲載したブックレットを公開しました。TechTargetジャパン会員であれば無料でダウンロードできます。

(2020/11/10)

米大統領選の前哨戦で集計トラブル 原因は投票アプリのテスト不足?

2020年2月3日のアイオワ州党員集会では、利用された投票数集計用アプリケーションで集計ミスが発生した。アプリケーションのテストが不足していたことが原因ではないかと複数の専門家は指摘する。

(2020/3/6)

注目の事例記事一覧へ

クラウドセキュリティ/CASB関連の製品解説

P R約半数の企業が「月に1回以上、APIインシデントに遭遇」と回答 必要な対策は

企業にとってAPIは欠かせない存在になっている。クラウドサービスをはじめ、話題の生成AIもAPIを活用している。非常に便利なAPIだが、それは攻撃者にとっても同じようだ。急増するAPIを狙った攻撃に、企業はどう対処すればいいのか。

(2024/10/22)

P R「安全」「安価」「効率的」を実現する、クラウド運用課題の解決策とは

クラウドサービスはユーザー企業にさまざまなメリットをもたらすとともに、セキュリティ対策やコスト管理など運用を巡る課題ももたらす。クラウドサービスの運用を改善するヒントを探る。

(2024/9/4)

「Microsoft Defender for Cloud Apps」はどんなCASB? リスク管理の機能群

企業が「シャドーIT」によるリスクを低減するために使えるツールが、「Microsoft Defender for Cloud Apps」などのCASBだ。具体的にはCASBをどのように使えばいいのか。ベストプラクティスを紹介する。

(2023/11/20)

注目の製品解説記事一覧へ

クラウドセキュリティ/CASB関連の技術解説

AWSアカウントが侵害される「AWS CDK」の欠陥が浮上 その危険度は?

AWSのアプリケーション開発キットに欠陥が見つかり、侵入のリスクがあるとセキュリティベンダーAqua Securityは警鐘を鳴らす。同社が発見したAWSの欠陥を整理しよう。

(2024/12/10)

「Apple Intelligence」に寄せられる称賛と、プライバシーへの懐疑論

AppleのAI機能群「Apple Intelligence」のデータプライバシーシステムに、セキュリティ専門家から称賛の声が上がる一方、その仕組みを不安視するユーザー企業もある。どのような点が評価され、何が懸念点なのか。

(2024/10/9)

「AWSアカウントが乗っ取られる」リスクがある“危険なバケット名”とは

クラウドサービス「Amazon Web Services」(AWS)の複数のツールに脆弱性が見つかった。これが悪用されれば、AWSアカウントへの侵入を許す可能性があるとしてセキュリティ専門家は警鐘を鳴らしている。

(2024/10/1)

注目の技術解説記事一覧へ

クラウドセキュリティ/CASB関連の運用&Tips

仮想マシン(VM)の安全性を過信しない“9つのセキュリティ対策”

VMから抜け出してホストマシンを狙う「VMエスケープ」などの攻撃からVMを守るには、適切なセキュリティ対策が不可欠だ。具体的な9つの防御策と、その実践方法を解説する。

(2024/12/18)

年収2000万円も夢じゃない「クラウドセキュリティのプロ」になれる資格とは

IT分野でキャリアアップを図るなら、クラウドセキュリティは有望な分野の一つだ。高収入のクラウドセキュリティエンジニアになるために必要な認定資格とは。

(2024/12/11)

有望なセキュリティエンジニアになれる「クラウド基礎スキル」はこれだ

クラウドサービスを狙った攻撃が盛んになる中で、ニーズが高まっているのが「クラウドセキュリティエンジニア」だ。その具体的な仕事内容や、求められるスキルを紹介する。

(2024/12/4)

注目の運用&Tips記事一覧へ

クラウドセキュリティ/CASB関連の用語解説

Googleがおススメするシステム運用管理手法「SRE」「SLO」のメリット

Googleが膨大なシステムを開発、提供する中で生み出したシステム管理手法「SRE」(サイトリライアビリティエンジニアリング)。本稿ではSREやそのメリット、SREと併せて取り入れたいSLOについて紹介する。

(2017/10/24)

注目の用語解説記事一覧へ

クラウドセキュリティとは

 SymantecでクラウドセキュリティのAPAC(アジア太平洋)地域バイスプレジデントを務めるジョン・カニンガム氏は次のように話す。「クラウドを用いることで大幅なコスト削減が見込める。データセンターのセキュリティ設備や物理スペースに電力を供給する必要がなくなるためだ。これは全ての企業、特にリソースが限られることが多い中小企業に歓迎される大きなメリットの一つとなる」

 私物端末の業務利用(BYOD)によってモバイル端末やモバイルアプリケーションの利用が増えたことも、クラウドベースセキュリティの導入拡大を促したとカニンガム氏は話す。同氏によると、クラウドベースセキュリティはクリティカルな情報を保護しつつアジリティーをもたらすという。

 クラウドベースセキュリティのメリットは他にもある。サービスはいつでも利用可能で、脅威をリアルタイムに監視できること。負荷が高い作業はプロバイダーが行うため企業はサイバーセキュリティの専門家になる必要がなく、シンプルなことなどがその例だ。

 Sophosでグローバルソリューションズエンジニアを務めるアーロン・ビューガル氏は次のように話す。「複雑さはセキュリティの敵だ。管理に高度な知識を必要とすると、セキュリティの全体方針に悪影響が及ぶ可能性が非常に高くなる」

 Cloud Security Alliance APAC(CSA APAC)によると、クラウドベースセキュリティを導入するメリットはクラウドインフラへの移行、つまりITを外部委託するメリットとほぼ同じだという。

 CSA APACは英Computer Weeklyのインタビューに答えて次のように語った。「ビジネスアジリティーの向上やデータの可用性、コラボレーション、容易な更新、コスト削減などがメリットになるだろう。クラウドプロバイダーが提供する広範囲の分散型インフラは、経済的なスケールメリットと、DDoS(分散型サービス拒否)などの攻撃から企業を保護するのに役立つパフォーマンスをもたらす」

 ただしクラウドベースセキュリティの導入は、企業がクラウドを導入する準備をどの程度まで進めているかに左右されるとCSA APACは注意を促す。

 「組織の適切な考え方、ガバナンスとコンプライアンス、アーキテクチャ、熟練者、SLA(サービスレベル契約)の理解、責任共有モデルなどが欠けている企業は基本的にクラウドを導入する準備が整っていない」というのがCSA APACの見解だ。

 「オンプレミスインフラを一晩でクラウドに移植できないのと同様、セキュリティを急にクラウドに移すこともできない。当然、企業のインフラが完全にクラウドベースでなければ、実質的に何らかの形でオンプレミス製品やハイブリッド製品が必要になるセキュリティ領域が生まれることになるだろう」

幅広い検討事項

 クラウドベースセキュリティを導入するに当たって考えることはたくさんある。

 各サービスの提供方法のメリットとデメリット、現在のセキュリティインフラとの親和性、そして今後の事業方針との親和性を評価する必要があると話すのは、IDCでAPAC地域のITセキュリティ戦略バイスプレジデントを務めるサイモン・ピフ氏だ。

 企業は、こうしたサービスを効果的に管理できるかどうかを考える必要があると同氏は言う。プロバイダーが用意する広範なサービスは、複雑さと低効率を招いたり、サービスを運用する地域の規制の影響を受けたりすることを避けられないからだ。

 規制が厳しい業界もある。APACはプライバシーが大きな問題になりつつあるため、企業はセキュリティポートフォリオの一環としてデータ管理を検討する必要があるとピフ氏は注意を促す。

クラウドベースサービスの種類

 クラウドベースセキュリティは、IDとアクセス管理、情報漏えい対策、メールセキュリティなど、あらゆる範囲のリスクに対応する。企業やセキュリティの専門家が共通して最も関心を示しそうなサービスと、サービスごとに着目すべき点についてのSophosの見解を紹介する。

IDとアクセス管理

 IDとアクセス管理(IAM:Identity and Access Management)の鍵になるのが柔軟性だ。非常に多くの認証ディレクトリが利用可能になっている。こうした認証ディレクトリの一部は、本質的にそのプロバイダー固有のものだ。この2つを前提とすると、IAMがサードパーティーのリソースと相互運用可能であればメリットになる。多くのIAMプロバイダーが相互運用を可能にしているが、柔軟性の程度はそれぞれ異なる。

情報漏えい対策

 情報漏えい対策(DLP:Data Loss/Leak Prevention)は受動的な検出が重要になる。自社のデータが存在する場所やその利用方法、分類方法を理解せずにDLPに取り組み始める企業が多い。データの分類はDLPプロジェクトにおける大きな障害となる可能性があり、多くの企業が挫折する原因にもなる。データを列挙し、ルールと人工知能を用いてデータを分類し、データの場所とその転送方法を分かりやすく報告するDLPプロバイダーを探そう。そうすることで、自社が保持するデータをほとんど把握しなくても検出段階に応じてコンテンツを制限するルールを実装できるようになる。

Webセキュリティ

 Webセキュリティ製品に必要な機能として、ユーザー/端末の識別、送信先の要求、コンテンツのフィルタリング、セッションの安全な復号、検査、信頼性の高い報告などがある。

メールセキュリティ

 メールセキュリティに関して要望の多い機能にフィッシング、仕事関係のメールの漏えい、なりすましへの対策がある。標的型攻撃成功の原因は、フィッシング攻撃の成功によって最初のアクセスが許可されたり、貧弱なパスワードの利用によってメールアカウントが侵害されたりすることが挙げられる。

侵入管理

 侵入管理は、検知した事象を明確にすることが重要になる。攻撃者の全ての試みを明らかにしても、事象の深刻度を分類しない製品は多い。脅威の真の兆候と不要な情報を見極め、優先度の低い事象を後回しにし、脅威をもたらす恐れが高い事象を即座に警告するツールを探したい。

セキュリティ情報とイベント管理

 セキュリティ情報とイベント管理(SIEM:Security Information and Event Management)を評価する際に、プロバイダーの能力を前提にして自社のニーズを限定する必要はない。セキュリティ、ゲートウェイ、認証管理が生成する情報に最適なものを基準にする。多くのセキュリティ管理プロバイダーはさまざまなSIEM製品を試して検証してきたが、通常は最も適した一握りのサービスに落ち着く。

暗号化

 モバイル端末のHDD暗号化を検討する企業は多い。だがリムーバブルメディアやオンラインストレージなど、端末が最終的にデータを保存する場所も考える必要がある。端末内のデータを暗号化するだけでなく、パブリッククラウドやプライベートクラウド、さらにはリムーバブルディスクにデータがコピーされる前に暗号化できることを確認する。