2023年版!「サイバー攻撃」の概要、手口から対策までをわかりやすく解説
- サイバー攻撃
- マルウェア対策
- ゼロトラスト
- ../../../article/2023/02/cyberattack.html
クラウドの普及、テレワークの浸透、そして「ゼロトラスト・セキュリティ」という新たな考え方へとシフトする中、優先度の高いセキュリティ対策としてCASB(Cloud Access Security Broker)が候補に挙がっています。CASBは登場した当初から、シャドーIT(※)への対策として注目を集めていましたが、ほかにもさまざまな機能・メリットがあります。本記事では、その概要や基本機能から、導入時の注意点やユースケースまで、CASBに関する情報を整理し、詳しく解説します。
(※)シャドーIT:企業のシステム管理者の許可や把握がないまま、従業員や現場が独自に利用しているデバイスやITサービス
【この記事の監修者】藤本 光志(ふじもと こうじ)
SCSK株式会社 クラウドサービス事業本部 セキュリティサービス部
【経歴】
●2020年~:Netskope製品のエンジニアを担当
【資格等】
●情報処理安全確保支援士 他
目次
CASBとは、クラウドサービスへのアクセスを監視、利用状況の可視化・制御を行うことで、統一したセキュリティポリシーに則った利用を実現するソリューションを指します。だれが・どのサービスを利用したのか・どのようなデータをアップロード/ダウンロードしたのかを可視化し、ポリシーに違反する利用・操作をブロックするなどの制御を行うことで、セキュリティを強化します。
クラウドサービスの普及とともに、業務に特化したサービス(SaaS)が増え、用途に応じて使い分けることも当たり前になりました。また、その手軽さから部門単位で契約・利用するケースも多く、利用状況を把握しきれないことなどが課題となっていました。CASBは複数のクラウドサービスを一元的に管理できるため、クラウド利用におけるセキュリティの要として注目されてきました。
さらに最近では、ゼロトラスト・セキュリティを構成する要素にも挙がっており、クラウドアクセス制御・情報漏えい対策として導入を検討する企業が増えています。
CASBには4つの基本機能があり、それぞれが導入目的に紐づいています。
1つ目は、クラウドサービスの利用状況を可視化する機能です。クラウドサービスごとのアクセス状況や、ファイルをアップロード/ダウンロードした履歴も把握できるようになります。
また、便利なクラウドサービスが次々に登場する中で、未許可のサービスを社員が勝手に使ってしまう「シャドーIT」が問題となってきました。企業として契約しているクラウドサービスのほか、未許可のクラウドサービスも含めて監視でき、シャドーIT利用を監視するとともに、リスクの高いサービスは利用を禁止するなどの制御も可能になります。
CASBでは統一したセキュリティポリシーに基づいてクラウドサービス利用を制御でき、コンプライアンスの徹底を支援します。利用するクラウドサービスに求めるセキュリティ要件や、個人情報や機密情報を含むデータの取扱いなど、複数のクラウドサービスを利用する場合でも、自社のルールやポリシーにあわせて運用できます。
データの不正な持ち出し・流出を防ぎ、情報漏えい対策を行う機能です。未許可クラウドへのデータのアップロードをブロックし、端末へのダウンロード禁止などの制御を行うことで、データを保護します。また、「社外秘」など特定のキーワードやクレジットカード番号を含むなど、さまざまな条件で機密情報を識別し、データの種類によって柔軟に制御することも可能です。これにより、センシティブな情報のみを厳格に保護し、そのほかは利便性を優先するなど、バランスのとれた対策を実現できます。
マルウェアなどの脅威への対策としても有効です。マルウェアは、一般的にクラウドサービスでも利用するHTTP/HTTPSの通信で社内に侵入するため、この経路を監視しているCASBでは不審なファイルを検知できます。さらに、マルウェアに感染してしまった場合も、端末から不審なサービスへのアクセスやファイルのアップロードがないかを監視・ブロックすることで、被害を防止します。
このほかにもCASBサービスにより、さまざまな機能があります。以下は、NetskopeによるCASBの機能の一例です。
(出典):クラウドセキュリティ「Netskope」機能(Netskopeネットスコープ(クラウドセキュリティ)-機能|SCSK株式会社)
CASBの目的と基本機能でも触れたとおり、CASBのメリットとしてまず挙げられるのがシャドーIT対策です。セキュリティ強化として、この領域からスタートする企業も少なくありません。
シャドーITに関しては、「未許可クラウドサービスはすべて利用禁止」とするだけではうまくいきません。「取引先から指定されたクラウドサービスを使わなければならない」などのさまざまな事情があり、利便性とセキュリティのバランスをどうとるかが重要です。監視・可視化を行った上で、「一定のセキュリティレベルを満たさないクラウドサービスは利用禁止」など、柔軟な制御ができるのがCASBのメリットと言えるでしょう。
テレワークが普及したことで、クラウドサービスへの“アクセス元”が社外へ出たことはセキュリティ対策にも大きく影響しました。オフィスから利用する際は、インターネットに接続する箇所にセキュリティ機器を設置し、フィルタリングなどができますが、テレワークではこの対策が通用しません。VPNなどで社内を経由し、セキュリティ機器を通るルートでインターネットを利用する方法もありますが、VPN機器の脆弱性を狙った攻撃もあるほか、トラフィック量の増加によるボトルネックが問題となります。これらを踏まえ、社外ではインターネットにそのままアクセスする形をとる場合、CASBをクラウドプロキシとして利用することで、テレワーク時の監視・制御も可能になります。
近年、クラウドサービスやテレワークの普及を受けて、セキュリティ対策の考え方を根本的に変えるべきと言われています。そして、新しい対策として注目されているのが「ゼロトラスト・セキュリティ」です。
従来の「境界型セキュリティ」では、“信頼できる社内”と“信頼できない社外”に分け、その境界で対策を行ってきましたが、ゼロトラスト・セキュリティは“すべて信頼できない(ゼロトラスト)”ことを前提に対策を行います。認証やログ・通信の監視など、さまざまな要素を組み合わせ、業務システムやデータといった社内リソースへのアクセスがあるたびに、正しいアクセスかどうかを判断することで対策を実現します。クラウド利用を可視化するCASBもその対策の1つとされます。
ゼロトラスト・セキュリティでは対応すべき箇所が多岐にわたり、段階的に製品導入を進めますが、最初のステップとしてCASBを導入するケースも多く見られます。
未許可のクラウドサービスを利用するシャドーITの状況を可視化、場合によってアクセスをブロックするなどの制御を行います。
GoogleやBoxなどのクラウドサービスについて、企業で契約している法人アカウントのみ許可し、社員の個人アカウントは利用禁止としたい、といったニーズに対応します。
機密情報や個人情報など、情報漏えいリスクの高いファイルについて、「アップロード可能なサービスを限定する」といった共有を制御します。
ファイルのダウンロード/アップロード、不審なWebサイトへのアクセスなどを監視・スキャンすることで、マルウェアなどによる攻撃を阻止します。
端末からクラウドサービスへとアクセスするインターネットの経路上にCASBを配置し、クラウドプロキシとして動作させて可視化・制御を実現する方式です。すべてのクラウドへの通信を監視でき、シャドーITまで含めて可視化できます。CASB導入の主流となっている方式です。
対象となるクラウドサービスとAPI連携することで、可視化・制御を実現します。事前の連携が必須となるため、シャドーITの可視化はできません。また、API連携に対応していないサービスは可視化できないため、確認が必要です。
企業内に設置されたゲートウェイなどの機器が出力するログを分析することで、クラウドサービスの利用状況を可視化します。あくまでログ分析による可視化であり、アクセスやファイルアップロードのブロックなどの制御はできません。インライン型では、インターネット接続経路の変更やエージェントのインストールが必要ですが、ログ分析型は影響を最小限に導入できます。
CASBの利用にあたり、基本となるセキュリティポリシーはユーザー企業自身で定める必要があります。どのようなサービスへのアクセスを許可するのか、取扱いに注意すべき“センシティブなデータ”はどのようなものか、定義がなければ適切に制御することもできません。CASB導入前に、自社のセキュリティポリシーを明確にしておきましょう。
また、具体的な定義とあわせて、許可されていないクラウドサービスを利用したい場合の「申請方法」など、運用体制やフローもあわせて整備することをお勧めします。
CASBが可視化・制御の対象とするのは、あくまでも「クラウドサービス」です。当然ですが、オンプレミスのシステムなどは対象外となるため、その監視などは別途検討が必要です。
特に、テレワークと関連して要望が多いのは、PCからUSBメモリなどの外部媒体へのデータ保存の制御です。これらはエンドポイント管理ツールをはじめとした、別のソリューションで対応することになります。
インライン方式のCASBでは、クラウドサービスにアクセスする際の送信元IPアドレスがCASB事業者のものに変更になります。また、IPアドレスは他社と共有となり、タイミングによってIPアドレスが変わるケースもあります。
クラウドサービスの利用を送信元IPアドレスで制御している場合には、事前に考慮が必要です。CASBのソリューションによって対処法が用意されていることもありますから、事業者に確認するとよいでしょう。
シャドーIT対策だけでなく、さまざまなシーンで活躍するCASBは、クラウドが業務の中心となる今、導入しておきたいサービスの1つと言えるでしょう。
SCSKでは、CASBソリューションの取扱いに加え、一般的に推奨されるセキュリティポリシーに基づいて設定を行う「SCSK推奨ポリシー導入サービス」や、お客様の事情をヒアリングし、ポリシー策定のコンサルティングから行う「クラウド制御方針策定支援」などの導入支援サービスも用意しています。CASBは適切に設定しなければ、セキュリティ対策として期待する効果を得られません。SCSKでは、クラウドのセキュリティに精通したエンジニアが導入までワンストップで支援します。お悩みの方はまずご相談ください。