CASBとは？マルチクラウド時代のセキュリティ対策

テレワークやハイブリッドワークを始めとする働き方の多様化やDX化により、クラウドサービスを活用する企業が増えています。

社内ネットワークを介さずとも業務ができるため利便性が高まっている一方、外部からの不正アクセスによる攻撃やヒューマンエラーでの情報流出が懸念され、企業には高いセキュリティ対策が求められるようになりました。

本記事では、マルチクラウド時代のセキュリティ対策として効果的な「CASB（キャスビー）」を紹介します。時代に合ったセキュリティ対策手法を検討されている方は、ぜひチェックしてみてください。

CASBとは？ 4つの特徴

CASB（Cloud Access Security Broker）とは、クラウドサービスの利用状況を可視化するほか、
クラウドサービスの制御・権限調整・セキュリティ対策に活用されるソリューションです。

CASBという言葉は、アメリカの調査会社であるガードナー社が2012年に提唱したことで広がりました。Microsoft Office 365やビジネスチャット、オンラインストレージサービスなどのSaaS（Software as a Service/サービスとしてのソフトウェア）を複数併用した環境でも使えるなど利便性が高まっており、企業のセキュリティポリシー徹底に貢献しています。

下記でCASBを構成する代表的な要素を紹介します。

可視化と分析

CASBには、クラウドサービスの利用状況の可視化や分析機能が搭載されています。

誰がいつどのようにクラウドサービスを使っているのか、部署・役職・職種・年代・地域ごとに利用状況に差があるかなど、幅広い情報を目的に応じて入手できます。

また、業務ファイルのアップロードやダウンロードのログも取得できるため、アクティビティを可視化したいときにも有効です。あらかじめ設定された安全基準に満たないアクティビティがあれば、アラートを出したり自動報告する機能もあり、分析にも役立ちます。

制御(コントロール)

クラウドサービスのセキュリティ制御をおこなう場合、サービス毎に定義しなければなりません。CASBを利用すれば、複数のクラウドサービスに対しセキュリティポリシーを一律適用させることも、ひとつの管理画面で確認することもできます。

例えば、外部からの不正アクセス・安全基準に満たないアクティビティへのアラート・送信ファイルの暗号化など、必要なセキュリティ対策を一律に施せるのです。そのため、新しい社員を採用したときや部署異動があったときでも、クラウドサービス側の設定を個別におこなう必要がありません。

情報システム部など管理部門側で設定が可能で、業務効率化はもちろん、高いセキュリティレベルの担保につながります。

データセキュリティ

CASBには、会社が保有している機密情報・個人情報を守るデータセキュリティ機能が搭載されています。
キーワード・画像認証・文字入力など多数の識別方法から選定でき、情報漏洩対策を万全にできるでしょう。

特に社外からクラウドサービスにアクセスする機会が増えている昨今、自社専用の暗号キーを発行して対策している企業も増えつつあります。

脅威の検出/防御

CASBには、クラウドサービスに潜んでいるマルウェアを探し出し、ブロックする機能が搭載されています。
そのため、データの流出はもちろん破壊・紛失・書き換えなどの対策をしたい企業に評価されています。

他にもプライベート用アカウントの使用・データのコピー・データの大量ダウンロードなど不審な動きの検知も可能です。

CASBが必要とされる背景

言葉自体は2012年に提唱されていますが、近年CASBが急速に広がった理由・背景を解説します。

ハイブリッドワークをはじめとする働き方の多様化

ハイブリッドワークやテレワークなど、働き方の多様化がひとつの要因として挙げられます。
勤務する場所はもちろん、国・地域・場所・時間帯にも影響されず働くことができるよう、クラウドサービスを利用する企業が増加しました。

総務省が2021年7月30日に公表した「令和3年情報通信白書」によると、クラウドサービスを利用している企業の割合は約7割の結果となりました。またクラウドサービスを一部でも利用している企業の割合は68.7％で、前年の64.7％から4.0ポイント上昇しています。

クラウドサービスは、インターネット環境下であればいつでもどこでも利用できるメリットがある一方、インターネットを介したデータ流出・不正アクセスなどのセキュリティリスクが高いことから問題視されてきました。また、クラウドサービスは簡単に導入できるため、管理部門を介さず各部署が導入する可能性もあります。

しかし、CASBをはじめとするセキュリティツールが台頭したことで、リスクを低減できるようになっています。
「クラウドサービスでも安心して使いたい」というニーズが背景となり、CASBが広がったと言えるでしょう。

DX・多様な働き方に隠れた「シャドーIT」の脅威

多様な働き方が推進され利便性が高まった一方、管理部門が把握していないデバイスやサービスを活用する「シャドーIT」が同時に流行し始めました。会社の資料をプライベート用のクラウドツールに保管したり、プライベート用のチャットアカウントをビジネスでも使用する事態が広がったのです。

関連記事：シャドーITとは？リスクと対策、BYODとの違いや事例を紹介！

このようなシャドーITが横行すると、管理部門がクラウドツールの利用状況を可視化できなくなり、不必要なセキュリティリスクが高まります。また、セキュリティレベルが社員のITリテラシーに左右されるなど、対策の平準化ができなくなるというデメリットもありました。

そのため、CASBのようなソリューションツールを使い、利用状況を可視化しながら同時にセキュリティ対策もしたいと考える企業が増えたのです。

CASBと従来セキュリティ製品の違い

従来のセキュリティ対策には「境界防御型」と呼ばれる製品を使うことが一般的でした。境界防御型は、社内ネットワークと社外ネットワークとの間に明確な境界線を設け、外部からの攻撃をブロックするセキュリティ対策手法です。外からのマルウェア進入やサイバー攻撃のブロックに役立つ手法であり、社内ネットワーク環境の防御に貢献しています。

しかしクラウドサービス使用時は、社内ネットワーク以外からアクセスする場合も多く、従来の境界防御型だけでは十分な対策ができません。社外ネットワークからのアクセスとみなされブロックされるなど、業務に支障が出ることも考えられます。

CASBを導入することで、社外ネットワーク使用時も一セキュリティポリシーに基づきクラウドサービスにアクセスできます。クラウド・アプリケーション・ユーザー単位で細かなセキュリティレベルを設定できるため、ネットワーク環境に依存しないセキュリティ対策が可能です。

関連記事：ゼロトラストとは？クラウド普及で変わる新しいセキュリティ対策

CASB導入のメリットと注意点

CASBを導入する代表的なメリットとして、下記が挙げられます。

多数のクラウドサービスを同時に運用・管理しセキュリティが向上
複数のクラウドサービス管理に長けているCASBが多く、同時運用・同時管理に貢献します。そのためシャドーITを防ぎ、クラウドサービスを使う社員のITリテラシーにも影響されないため、セキュリティレベルが向上します。
利用しているクラウドサービスに対して共通のポリシーを適用できる
セキュリティ対策の一元化にも役立つため、情報システム部門の負担軽減につながります。

ただし、注意点として下記があることを認識しておきましょう。

異常な使用状況は把握できるが、詳細までは確認できない
異常な動きに関するアラートは鳴らしてもらえるものの、詳細は人の手・目で確認する必要があります。
セキュリティポリシーを明確にし、オンプレミス環境でのデータの取り扱いも考慮すべき
大前提として自社のセキュリティポリシーが明確でないと、対策レベルがバラつきやすいため、従来の境界防御型のようにオンプレミス型の対策も同時に活用すべきであることを意識しましょう。