CASBとは?主な機能や導入するメリット・デメリット、選定時のポイントを解説
2023.12.07投稿、2023.12.07更新
クラウドサービスはオフィス勤務やテレワークを問わずさまざまな環境で使用されており、現在もその使用範囲は広がりを見せています。基本的には外部のITツールを使うため、外部の事業者によって構築と管理がされています。そのため、既存の社内業務システムと同じツールによる監視ができないという問題点があります。
その中でも、企業が使用許可をしていない、あるいは従業員が利用していることを企業側が把握できていないデバイスや外部サービス、つまり「シャドーIT」もセキュリティ上のリスクの1つです。
そこで、このシャドーITを回避するために効果的なサービスが「CASB(キャスビー)」です。本記事では、CASBの機能や導入のメリット・デメリット、ツールの選定基準について解説します。
CASBとは?
CASB(Cloud Access Security Broker)は、情報セキュリティのコンセプトにもとづいた、適切なセキュリティ対策を行うためのソリューションです。これは、2012年にアメリカのガートナー社が言及したクラウドサービスの利用に対する情報セキュリティのコンセプトに基づいています。
CASBはユーザーとクラウドツールの間に配置することで、利用している全てのクラウドツールを一元的に管理できるようになります。ユーザー毎に細かいアクセス制御や認証ができたり、マルウェアの検知、ログの取得・分析を行ってくれたりするため、セキュリティ対策の強化が図れます。
CASBが注目されるようになった背景
CASBが注目されるようになった背景には、 SaaSの普及とシャドーITの増加が挙げられます。クラウドサービスの普及に伴ってそのセキュリティの強化が意識され、アクセス権限の付与や利用可能な機能を制限することができない点が問題視されるようになりました。
また、PCやスマートフォン、タブレットなどからネットワークへアクセスする機会が増えるにつれ、企業が許可したデバイス以外を使用したり、IT部門の管理外でクラウドサービスを利用したりすることも増えました。こうしたシャドーITが増えれば、情報漏洩リスクは大幅に上がります。
シャドーITについては、以下の記事もご参照ください。
関連記事
シャドーITとは?起こりうるセキュリティリスクや防止策を解説
このような問題を回避し、働きやすい環境とセキュリティ対策を両立させるために、CASBに注目が集まるようになりました。
CASBとSASE・SWGの違い
CASBはSASEやSWGと関連して取り上げられることがあります。
SASE(Secure Access Service Edge)は、ネットワークとネットワークセキュリティの機能をクラウド上のサービスにまとめたものを指します。さまざまな場所からクラウドにアクセスする人たちが安全にアクセスできるようにする仕組みです。
CASBとSASEは以下のような違いがあります。
- CASB
クラウドツールに関連したセキュリティの管理を担う
- SASE
ネットワークとネットワークセキュリティをまとめ、セキュリティ性の高いアクセスを実現する
SASEについては、以下の記事もご参照ください。
関連記事
SASEとは?メリットやゼロトラストとの違いをわかりやすく解説
SWG(Secure Web Gateway)は、インターネット利用時のセキュリティを提供するための仕組みです。マルウェアや有害なサイトから企業のネットワークを保護する役割があります。アクセスを監視し、特定のコンテンツへのアクセスの制限をかけたりウイルスをブロックしたりします。
CASBとSWGには以下の違いがあります。
- CASB
クラウドサービスへのトラフィックを監視し、保護する
- SWG
インターネットを介したWebトラフィックを監視し、セキュリティを高める
CASBの代表的な機能
CASBの代表的な機能を紹介します。
可視化
自社で利用しているクラウドサービスを検出・可視化し、安全評価基準を踏まえてリスクを評価します。クラウドサービスの利用や利用者のアクティビティを詳細に可視化できるので、社内のサービス利用者がどのようなサービスを使っているかを、監視・分析できます。
コンプライアンス
組織ごとのセキュリティポリシーに基づき、従業員が使用しているツールを統一基準で運用できます。管理者側で設定したルール下で利用されているかを確認し、違反があった場合はアカウントの利用制限をかけます。自社のコンプライアンスを強化することが可能です。
データセキュリティ
データの暗号化やアクセス権限の設定などで、重要データの持ち出しを禁止します。機密データや個人情報へのユーザーのアクセスや持ち出し、改ざんなどが検知された場合は、アラートでこれを知らせます。
ちなみに、企業が抱える個人情報や機密情報の紛失、外部への漏洩を内部から防ぐためのツールもあります。
詳しくは、以下の記事をご参照ください。
関連記事
DLPとは?内部不正やヒューマンエラーによる情報漏洩を防ぐポイントを解説
脅威への防御
セキュリティの脅威を検出・分析し、防御します。マルウェアを検知して、不正プログラムや共有アカウントの利用などの異常を感知し、脅威を隔離して被害を修復します。利用者側が認識しないリスクを最小限に抑えられます。
CASBを導入するメリット
CASBを導入する際のメリットを解説します。
セキュリティを高められる
CASBはクラウドサービスを常時監視し、不正を検出するソリューションです。
例えば複数のクラウドサービスを利用しているケースでも、ひとつのCASBがあればそれら全てを監視でき、セキュリティ違反や不正行為を発見しやすくなります。
管理業務の負担を軽減できる
CASBによって各種クラウドサービスの利用状況や脅威を可視化できるので、サービス管理にかかっていた管理者の負担を軽減することになります。
CASBは各種サービスの安全性を検査してデータベース化するので、それに基づいて管理者がサービス使用前の検討と判断がしやすくなり、業務負担軽減になるのです。
コンプライアンス体制整備にも使える
CASBはクラウドサービスの利用時に企業が遵守すべき規約を監視し、違反を未然に防ぐことにも活用できます。
例えば、個人情報の保護やデータの譲渡規制などのコンプライアンスやセキュリティポリシーに違反する行為を発見し、違反者にはサービスの利用を停止することが可能です。
そのため、企業のコンプライアンス遵守にも活かすことができます。
CASBを導入するデメリット
CASBを導入する際のデメリットを解説します。
クラウドサービス側で情報流出があった場合は対応できない
CASBはクラウドサービスのリスク評価を行い、サービス内のデータ保護をする機能を有していますが、サービスの提供側で情報が外部に流出した場合は対応できません。
そのため、事前に信頼できるクラウドサービスを選定し、万が一の事態に備える必要があります。
リアルタイムの監視や制御ができない製品もある
CASBには常にクラウド製品を監視・制御できない製品も存在します。そのため、自社の管理者の業務負担軽減も見据えて導入する場合は、製品の仕様について入念に確認することをおすすめします。
また、シャドーITを回避するため、従業員に対して会社で許可していないITツールやシステムを使わないよう、教育する必要もあります。
CASBの3つの導入方式
CASBには3種類の導入構成があります。
API型
自社で契約しているクラウドサービスにAPIを使ってCASBを連携させます。
クラウドサービスがどのように利用されているか、アクセス状況などを監視できます。連携させていないクラウドサービスは監視できず、APIに非対応のクラウドサービスには使えません。クラウドにアップロードしたデータやアプリケーションだけを監視する場合に適しています。
インライン型
インライン型は、自社端末からクラウドサービスにつなげるまでのルートにCASBを置きます。クラウド上にデータなどをアップロードする前に通信を遮断する方法です。自社が許可していないサービスが使われていないかを監視し、セキュリティ対策を強めにしたい場合に適しています。
ログ分析型
企業が所有するゲートウェイ端末を介する通信を監視する方式です。特に危険だと判断できるクラウドサービスの利用を制限したいときに適しています。リスクを検知した際は、ゲートウェイ端末と連携して、該当するサイトやURLへのアクセスを禁止します。
CASB製品を選定する際のポイント
CASB製品を選ぶ際のポイントを解説します。
導入用件を整理して明確にする
CASB製品の機能や価格を比較していくと膨大な時間と労力がかかるため、導入用件を事前に明確にしておきましょう。必須条件や希望条件を定め、優先順位をつけておくとよいでしょう。
導入に手間がかからないか
CASBは、製品によって導入が簡単なものとそうではないものがあります。クラウドで動作するCASBは短期間で導入できる傾向があり、手間をかけたくないのであればこちらを選ぶとよいでしょう。導入サポートもついているCASBも選定時に検討しましょう。
リアルタイムで防御できるか
CASBはログを監視してそれを分析し、シャドーITを発見します。リアルタイムで通信を制御できるものも登場しているので、社外へのデータ流出を防ぎたいのであれば、そういったCASBを選びましょう。
CASBはセキュリティ性を高めるソリューション
テレワークの普及やクラウドサービスの使用が拡大している現代において、CASBは各種クラウドサービスを使う際のセキュリティ対策に必須なものです。クラウドサービスの利用状況をチェックし、不正を発見した際にはそれに対する警告や遮断を行うので、シャドーITの問題を解決することにつながります。
シャドーITを防止するためには、CASBの導入だけではなく、社内への教育・周知や外部への情報流出を未然に防ぐための環境整備が必要です。そのためには、従業員が使用する各種端末内に機密情報や個人情報などのデータを残さないようにすることが効果的です。
「CACHATTO SecureContainer」は、 PCに生成されるセキュアな業務領域内でのみ業務に必要なデータやクラウドサービスなどが利用できる「データレスクライアント」サービスです。ネットワーク上に仮想の専用線を設けて通信環境を創り出すVPNを通すため、外部から見ることができず、よりセキュアな業務環境を提供します。クラウドとオンプレミスの両方に対応しており、終了時にはデータをクライアントのPCから削除します。
気になった方は、以下のリンクから詳細をご確認ください。
CACHATTOに関する資料請求やお問い合わせはこちら。
お気軽にお問い合わせください!
リモートアクセスや製品に関する
お役立ち資料をご用意しています。
お役立ち資料ダウンロード
リモートアクセスや製品に関する
様々なご質問にお答えします。
メールでお問い合わせ