「シャドーIT」対策として脚光浴びる「CASB」とは何か？：クラウドセキュリティの新標準

クラウドは複雑なセキュリティの問題を引き起こす。暗号化やDLPといった多様なセキュリティ機能を用いて、こうした問題の解決を図ることを目指した製品が「CASB」（Cloud Access Security Broker）だ。

[提供：日本オラクル株式会社]

　企業の間でクラウドの導入が進む中、IT部門は社内LANとクラウド間を移動するデータのセキュリティ対策に追われている。クラウド利用時のセキュリティ確保を目指して「CASB」（Cloud Access Security Broker）という製品分野が誕生したが、まだ完璧ではない。企業は慎重にCASB製品を導入し、保守する必要がある。

クラウド環境の複雑化で新たなセキュリティ対策が必要に

　クラウドの台頭に伴い、企業はもはやVPN（仮想プライベートネットワーク）をはじめとする従来型のセキュリティ対策だけでは、データを十分に保護できなくなった。「エンドユーザーがクライアントPC経由でオンプレミスのシステムへアクセスしていた時代には、VPNで十分だった」。調査会社Gartnerで調査ディレクターを務めるパトリック・ヘベシ氏は、こう語る。パブリッククラウドの場合、エンドユーザーはどこからでも、どんなデバイスからでもログインできる。そのためデータを保護するために新しい方法が必要になってきた。

　こうした中、IT部門はクラウド時代に適したセキュリティ対策を実現すべく、アクセスログ監視や認証、DLP（Data Loss Prevention）、暗号化といった多様な製品を導入するようになった。こうした製品は個別に導入して管理するよりも、各機能をひとまとまりのパッケージとして導入した方が効率的だ。

　CASBは、クラウド利用の監視や制御に必要な、こうしたセキュリティ機能を一通り含む。クラウドを利用するエンドユーザーに対し、会社の既存のセキュリティポリシーやコンプライアンス要件を順守させるのに、CASBは大いに役立つ。セキュリティ業界がいかにCASBを重要視しているかは、MicrosoftやCisco SystemsなどのIT大手がCASBに寄せている関心の高さからも明らかだ。こうしたベンダーの多くが、ここ数年の間にCASB分野の企業を買収している。CASB市場にはさまざまなニッチ分野のベンダーが進出しており、BitglassやNetskopeなどのスタートアップ（創業間もない企業）も誕生した。

CASBはさまざまな機能を提供

　CASBは、企業がシャドーIT（従業員が企業の管理下にないIT製品／サービスを無断で業務利用すること）への対策を検討する中で人気となった。「シャドーITには危険が多い。厳格なデータ保護ポリシーを策定していない業務部門が多いからだ」と、Gartnerのヘベシ氏は語る。シャドーITのリスクへの対処方法として、企業が目を向けたのがCASBだ。

　「CASB製品が搭載する機能は多岐にわたる」と、コンサルティング会社Security Architects Partnersの業務執行社員で主任コンサルタントのダン・ブルム氏は語る。

　一般的なCASBは堅牢（けんろう）な監視機能を搭載している。システムログを精査して、無許可のクラウドが利用されていないかどうかを確認できる。マルウェアの遮断や基本的なファイアウォール機能も搭載する。

　各CASB製品の得意とするセキュリティ機能やその性能は、製品によって大きく異なる。想定しているユーザー企業の規模もさまざまだ。例えば一度の認証で複数のシステムを利用できるようにする「シングルサインオン」（SSO）機能を搭載するCASB製品があるが、このSSO機能の内容や性能はCASB製品によって異なる。DLPやマルウェア対策といった脅威防御機能、暗号化をはじめとするデータセキュリティ機能についても同様だ。

　企業がCASB製品を選ぶ際は事前に、現在と将来にわたって、自社にとって何が最も重要なセキュリティ機能であるかを十分に検討することが重要になる。

今後の課題

　CASBは現状でも広範なセキュリティ機能を提供する。ただし成長の余地はまだある。

　「ユーザー／エンティティー行動分析」（UEBA：User and Entity Behavior Analytics）機能は、今後注目すべき機能の1つだ。UEBA機能を使えば、IT部門はエンドユーザーやシステムの行動に何か異常があった場合に、すぐに検知できる。午前中にニューヨークの自宅からシステムへアクセスしたエンドユーザーが、同日正午に上海からログインするようなことがあれば、CASB製品が管理者にアラートを通知する、といった具合だ。

　UEBAの分野では、CASBはまだあまり成熟していない。ファイル単位のアクセス制御やログ取得を実現する「IRM」（Information Rights Management）も、今後CASBが対処すべき分野だとGartnerのヘベシ氏は説明する。

　企業がCASBを活用するためには、既存の業務アプリケーションとCASBを連携させることが重要だ。既存の業務アプリケーションは何年もの歳月を経て、徐々に複雑さを増しているものが少なくない。「例えばsalesforce.comの『Sales Cloud』は、もはやモノリシック（一枚岩）のアプリケーションではない。何千ものコンポーネントが各種のAPI（アプリケーションプログラミングインタフェース）を介して連携している」とブルム氏は語る。こうした個別のAPIと各種のセキュリティ機能を連携させるのは、困難で時間のかかる作業になる。

　SaaS（Software as a Service）ベンダーは常にアプリケーションの更新を続けている。複雑化するアプリケーションとの連携は、CASBが遅れずに対処しなければならない課題だ。

[Paul Korzeniowski，TechTarget]

※このコンテンツはTechTargetジャパン編集部によって制作されたものです。内容に関するお問い合わせはアイティメディアまでお願いします。