CASB (Cloud Access Security Broker)とは？仕組みとクラウドセキュリティ

Microsoft Office 365、Box、Google G Suiteなどのクラウドアプリケーションに、人々はオフィスや遠隔地からさまざまな種類のデバイスで毎日アクセスしています。クラウド上のアプリケーションの使用状況や機密データの可視化および管理を強化する方法をお探しの場合は、CASB（Cloud Access Security Broker）ソリューションの評価を検討しましょう。

CASBは、ユーザーとクラウドプラットフォームの仲介役として、クラウドサービスを利用する企業が抱える承認や可視化の問題に対応し、クラウド上のデータを保護します。CASBは、すべてのアクセス制御と承認ルールが設定されたポリシーに照らして検証される中心的な場所だと考えてください。CASBを利用することで、管理者はセキュリティポリシーの導入と適用をより簡単に行うことができます。また、管理者がクラウドにおけるサイバーセキュリティのプロビジョニングに精通していない場合、セキュリティルールの構築を支援します。ガートナー社の定義によると、CASBは、自社の管理下にはないものの、自社のデータを処理・保存するサードパーティのクラウドサービスやプラットフォームに関連するセキュリティギャップに対処するものです。クラウドサービスは一定レベルのセキュリティを提供しますが、クラウドセキュリティは共同責任です。ユーザー、ワークロード、データを保護する責任は、あなたにあります。

Cloud App Securityは、今日のクラウド主導の世界において、企業の包括的な防衛のための不可欠な要素となっています。ガートナー社は、現在の20%未満から2022年までに60%の企業がCASBをセキュリティツールに組み入れると予測しています。

「CASB」という言葉は、クラウドリソースにセキュリティブローカーを利用するという発想が必要になった2012年に初めて作られました。2013年には最初のCASBベンダーが市場に登場しましたが、Office 365の登場がCASB時代の始まりと言われています。クラウドアプリケーションを活用する企業が増えれば増えるほど、CASBのニーズは高まります。

ハイブリッドクラウド環境では、クラウドとオンプレミスのリソース間でデータの同期が行われます。また、暗号化サービスによってデータを盗聴から保護し、ID管理で許可されたユーザーのみがリソースにアクセスできるようにします。これらのユーザーは、他のユーザーと文書やデータを共有することができ、組織は文書の共有やアクセス方法を可視化することができます。また、クラウドからデータを盗み出すマルウェアや悪意のあるソフトウェアからの保護を提供します。

組織がクラウドリソースをプロビジョニングするとき、オンプレミスネットワークとクラウドの間には常に接続が存在します。この接続はセキュアでなければなりませんが、ユーザーがクラウドリソースに接続するポイントもセキュアでなければなりません。つまり、リモートワーカーが手元でビジネスリソースにアクセスするには、安全な接続と安全な認証ポイントが必要なのです。

管理者は、クラウド上のデータを保護するセキュリティポリシーを設定しますが、CASBはこれらのポリシーを実施する責任を負います。1つ目の主要な保護手段には、ランサムウェアやその他の高度な持続的脅威が社内やクラウドリソースにアクセスできないようにするためのマルウェア対策が含まれます。2つ目の主要な保護手段は暗号化で、ディスクに保存されたデータがネットワークを通過する際にデータを保護するために使用されます。

マルウェア対策は、ファイルをスキャンし、生産性を阻害したり、データを盗んだりするために使用される可能性のある疑わしいデータを拒否することで機能します。暗号化は多目的な保護手段です。 通信路を介すデータはすべて盗聴の対象となります。暗号化することで、攻撃者が機密情報を傍受した場合でも、データを読み取ることができなくなります。また、デバイスに保存されたデータの保護にも使用され、ユーザーが会社のデバイスを紛失した後でも、機密情報を盗難から守ることができます。

CASBは次の3つのステップで構成されています。

• ディスカバリー: CASBは、組織のクラウドインフラストラクチャにプロビジョニングされたリソースをスキャンして検出します。
• クラシフィケーション: CASBがすべてのクラウドリソースを検出した後、アプリケーションやデータの重要度を分類して評価できるように、各コンポーネントにリスク値が設定されます。
• レメディエーション: データを分類することで、組織はその分類指定を利用して、データに適切なアクセス制御を適用し、不正な要求に対して適切な措置を取ることができるようになります。

管理者は適切なセキュリティ戦略を決定し、CASBはその戦略の実施を支援します。CASBは、セキュリティレイヤーを使用してデータを保護するために必要な防御策を提供します。例えば、ユーザーが自分のデバイス（スマートフォンやタブレットなど）を使ってクラウドリソースに接続できるようにした場合、CASBを利用すれば、管理者は多数のエンドポイントでデータを監視し、アクセスを制御することができます。

CASBは、クラウドで一般的ないくつかのセキュリティ機能を扱います。これらのセキュリティ機能は、外部や内部のハッカー、マルウェアからデータを保護します。CASBは、以下のような用途に使用できます。

• シングルサインオン(SSO): 一度ユーザー認証を行うと、1つのユーザー名とパスワードだけで複数のシステムにアクセスすることができます。
• 暗号化: CASBは、データを静止時（ストレージデバイス上）と移動時（ネットワーク上を移動中）に暗号化し、盗聴や中間者攻撃（MitM攻撃）を回避します。
• コンプライアンスツール: 多くの可動部分がある中で、CASBコンプライアンスツールは、管理者が不適合なシステムを特定できるように、すべてのシステムに関するレポートを作成します。
• トラフィックアナリティクス: 環境を監視することは、効果的なサイバーセキュリティの重要な要素です。CASBツールは、ユーザーの行動やトラフィックパターンに基づいたレポートを提供し、管理者が異常を特定できるようにします。

CASBについて調べていくと、CASBサービスを定義する4つの柱とそこから得られるものがあることがわかります。選択するCASBは4つの主要な機能を提供する必要があり、これらの機能は「CASBの4本柱 」と呼ばれています。これらは、組織がデータを保護するために必要なすべてを手に入れられるよう、CASBを利用する利点をまとめたものです。

ここでは、CASBの4本柱について紹介します。

• 可視性: リソースの使用状況を監視・モニタリングすることで、不審な行動を発見するために必要な可視性を提供します。管理者は、ネットワーク上に保存されているすべてのデータと、そのデータにアクセスするために使用されているデバイスを把握する必要があります。管理者は、不審なアクセス要求、アップロードされた悪意のあるファイル、アクセス制御の不備によるセキュリティの脆弱性などを検出することができます。管理者は、共有リソースの最適なセキュリティポリシーについてユーザーを教育する機会を得ることができます。また、シャドーITのような未承認の接続デバイスを可視化し、管理者が見落としていたデータを発見することも可能です。 CASBは、ユーザーが不正な場所にデータをアップロードすることを許可する代わりに、サードパーティのへのアクセスをブロックし、異常なアクティビティを管理者に警告します。
• コンプライアンス: クラウドデータを保護するために必要なサイバーセキュリティの要因の多くは、コンプライアンス規制によって監督されています。コンプライアンスに違反した企業は、多額の罰金を科される可能性があります。そのため、CASBは、組織がコンプライアンスを維持するために必要なアクセスツールを確保し、監視を行えるようにします。CASBは、保存されたクラウドデータが最新の規制基準に準拠するよう暗号化されていることを確認します。さらに、CASBの可視性とサイバーセキュリティ管理は、HIPAA、SOX、PCI-DSS、PHIなど、さまざまな規制への準拠を維持するのに役立ちます。
• データ保護: 顧客情報、知的財産、機密事項などの機密データがクラウドに保管されている場合があります。最も重要な柱は、アクセス制御、暗号化、トークン化されたデータ、権限管理、データ検出、修復などのセキュリティです。監視とログ記録は、CASBの機能を構成する要素です。CASBは、IPアドレス、ブラウザ、OS、デバイス、位置情報などの様々なユーザー属性に基づいて、データへのアクセスをブロックします。 CASBは、デバイスの属性を組み合わせて使用することで、誤検知の可能性を低くし、その精度を向上させることができます。
• 脅威防御: 監視と同様に、脅威検知は不審な活動を軽減します。脅威検知は、外部および内部の脅威を特定し、それらを緩和し、管理者に通知を送ります。CASBでは、不審な行動を特定するために、ユーザーの行動パターンがよく利用されます。例えば、営業担当者は営業アプリケーションの顧客データにアクセスできるはずですが、開発者が同じデータをダウンロードしようとすると、CASBは警告を発します。前者のシナリオではCASBはそれを許可しますが、後者のシナリオではCASBは顧客データへのアクセスをブロックし、管理者に警告を発します。

クラウドアプリケーションやサービスに対するセキュリティやコンプライアンスへの懸念から、CASBソリューションの導入に踏み切る企業が増えています。理由は以下の通りです。

• 「シャドーIT」とサードパーティアプリの急増: CASBが登場した当初、企業は主に「シャドーIT」（IT部門の明確な承認なしに利用されるクラウドアプリケーションやサービス）を抑制するためにCASBを導入していました。現在、企業は、企業データにアクセスするためのOAuth権限（パスワードの代わりにトークンを使用）を持つ何百、時には何千ものサードパーティアプリやスクリプトを管理するという課題にも直面しています。これらのサードパーティアプリは、Office 365、G Suite、Box、その他のプラットフォームにさらに機能を追加します。しかし、中には作りが甘かったり、あからさまに悪意があったりするものもあります。また、OAuthトークンは一度認証されると、無効にされるまでアクセスが継続されます。各クラウドアプリのセキュリティ管理（認証など）や、幅広いデータ権限などのリスクを監査した上で、ITチームはリスクの高いクラウドアプリのアクセス管理について知識に基づいた判断を下し、「安全な」クラウドサービスの利用を促進することができます。
• クラウドアカウントの侵害:クラウド上のアプリやデータは、侵害されたクラウドアカウントを通じてサイバー犯罪者によってアクセスされることがよくあります。Proofpointは、監視対象の数百万のクラウドアカウントについて10万件以上の不正ログインを分析し、90%のテナントがサイバー攻撃の標的になっていることを明らかにしました。60%のテナントの環境には、少なくとも1つの不正ログインされたアカウントがあります。このような攻撃は通常、ブルートフォース攻撃から始まります。これは、脅威アクターが複数のユーザー名やパスワードを送信して、ユーザー情報を正しく推測し、アカウントにアクセスできるようにする試みです。もう一つの方法は、クレデンシャルフィッシングです。これは、ソーシャルエンジニアリングの技法を使った電子メールを通じて、ユーザーにパスワードを聞き出そうとするものです。一度認証情報を入手すると、攻撃者はこれらのクラウドアカウントを活用して正規のユーザーを装い、従業員に資金を振り込ませたり、企業データを公開させたりします。また、脅威アクターはメールアカウントを乗っ取り、スパムメールやフィッシングメールを配信することもあります。
• 知的財産の喪失: 従業員がクラウドベースのコラボレーションツールやメッセージングツールを使用してファイルや情報を共有する場合、企業秘密、エンジニアリングデザイン、その他の企業機密データを失うリスクは非常に現実的です。従業員の過失やトレーニング不足により、誰でもアクセスできる公開リンク経由でファイルを過剰に共有することになりかねません。また、内部からの脅威もよくあることです。よくある例としては、退職を予定している営業担当者がCRMサービスから顧客の販売記録を盗み出すというものがあります。企業は、CASBソリューションを通じて、ユーザー中心のポリシーでクラウドサービスやデータへのアクセスを制御することで、クラウド上でのデータの取り扱いを可視化し、データセキュリティを向上させることができます。
• 厳しい規制と罰則の強化: 事実上すべてのセクターにおいて、コンプライアンスを維持することが困難な課題になっていることが分かっています。多くの規制や業界の義務化により、データがどこにあり、クラウド上でどのように共有されているかを把握することが求められています。最近のデータプライバシーやデータレジデンシーに関する規制に違反した場合、高額な罰金が科せられる可能性があります。例えば、GDPRの違反者には、最大で全世界の年間売上高の4%の罰金が科される可能性があります。CASBは、コンプライアンスの負担を軽減し、監査時の頭痛の種を回避することができます。
• クラウド利用状況の可視化: データを保護するため、あるいはクラウドサービスの使用方法に関する洞察を得るために、CASBはセキュリティと将来の拡張に必要な可視性を提供します。CASBは、組織が将来のリソースを計画し、常にパフォーマンスを維持できるようにするのに役立ちます。また、管理者が脅威の活動を確認し、攻撃を軽減するためにセキュリティリソースをプロビジョニングすることもできます。

CASBが必要な理由がわかったところで、CASBの機能を見てみましょう。CASBは、企業のファイアウォールやWebゲートウェイにとどまらず、いくつかの重要な機能を実行します。

1. クラウドアプリガバナンス: CASBは、クラウドのアプリケーションやサービスを管理し、誰がどのデバイスからどのアプリケーションやデータにアクセスしているかなど、クラウド環境の詳細を一元的に把握できるようにします。クラウドアプリの利用が普及しているため、CASBはクラウドサービス（サードパーティのOAuthアプリを含む）をカタログ化し、クラウドサービスのリスクレベルと全体的な信頼性を評価し、スコアを付与しています。さらにCASBは、クラウドサービスのリスクスコアや、アプリのカテゴリやデータ権限などのパラメーターに基づいて、クラウドサービスとの間で自動アクセス制御を行うことも可能です。
2. クラウドの脅威に対する防御: CASBは、疑わしいログインや過剰なログインを監視し、警告を送信することによって、クラウドの脅威を検出することができます。また、高度なマルウェア対策ツールやサンドボックスツールを使用して、脅威をブロック・分析することもできます。また、CASBベンダーは、独自のグローバルリサーチやサードパーティのフィードを利用して、現在および将来のクラウドベースの攻撃の挙動や特徴を特定することもあります。今日の高機能なCASBソリューションでは、クラウドの脅威を自動的に修復するためのポリシーを設定することも可能です。予防策として、ユーザーの役割（権限やVIPステータスなど）、ログインに関連するリスクレベル、ユーザーの位置情報やデバイスの衛生状態などのコンテキストパラメーターに基づいて、ユーザー中心の適応型アクセス制御を構成することができます。
3. 機密データの保護: ファイルの公開や外部共有の検知と削除、およびデータ損失防止（DLP）は、CASBソリューションの重要なコンポーネントです。例えば、CASBでは、データセキュリティポリシーを設定して実施することで、ユーザーが権限に基づいて特定のカテゴリのデータにのみアクセスできるようにすることができます。ほとんどのCASBソリューションでは、DLPはネイティブに機能し、企業のデータ保護ソリューションとも統合されています。
4. クラウドコンプライアンス: CASBは、クラウドサービスに対して適切なガバナンスを発揮していることを証明する上で、大きな助けとなります。可視化、自動修復、ポリシーの作成と適用、レポート機能を通じて、CASBは業界と政府の規制に準拠した運用を可能にします。これには、EU一般データ保護規則（GDPR）のような地域的な義務や、医療保険の携行性と責任に関する法律（HIPAA）のような業界標準や規則が含まれます。

CASBは、クラウドにおけるデータセキュリティに必要なセキュリティリソースを提供します。CASBは、企業がデータを保護するために必要なWebゲートウェイ、ファイアウォール、ポリシーとガバナンス、アクセス制御を備えています。セキュリティのためのリソースを持たない企業は、CASBを活用することで、セキュリティをインフラのプロビジョニングに統合することができます。CASBプロバイダーは、サイバーセキュリティの実施をシンプルにすることに長けています。しかし、CASBは、あなたの組織に影響を与える可能性のあるいくつかのシナリオにおいても有益です。

CASBのユースケースをいくつか紹介します。

• 個人のデバイスで動作するアプリケーション: BYOD（Bring-Your-Own-Device）ポリシーを採用している場合、CASBは従業員のデータプライバシーを侵害することなく、個人のデバイスをマルウェアから保護することができます。企業のデータは保護され、従業員のデータはそのまま残されます。
• データ損失防止: CASBは、機密データを識別し、ユーザーの企業情報へのアクセスを「許可」「ブロック」「制限」するための承認ポリシーを適用します。また、クラウドに保存されているデータやインターネットを経由して転送されるデータを暗号化することも可能です。
• マルウェアやランサムウェアをブロック: マルウェアやランサムウェアは、データのセキュリティにとって大きな脅威となりますが、CASBはこれらのアプリケーションが環境にインストールされないようにブロックします。また、プロキシやリアルタイム検疫機能により、クラウドとオンプレミスのネットワーク間でもマルウェアの流入を阻止します。
• ユーザーの不審な行動を監視し対処: 静的なユーザー属性は、もはや悪意のある活動を検出する効率的な方法ではありません。その代わりに、CASBはベンチマークと継続的なトラフィックデータを使用して攻撃者を検出し、悪意のあるファイルアクセスをブロックします。
• 暗号化: CASBは、コンプライアンスとデータの安全性を維持するために、保存データと転送中のデータに暗号化を使用します。
• 認証されたユーザーの確認: アイデンティティアクセス管理およびアクティブディレクトリとの連携は、自社ソリューションと比較してCASBを使用する大きなメリットです。CASBを利用することで、管理者はシングルサインオン機能の設定、多要素認証の管理、既存のソリューション（Oktaなど）と組織のクラウド環境との統合を行うことができます。
• 設定ミスの特定: クラウドの単純な設定ミスが重大な情報漏えいにつながることがありますが、CASBはリスクのあるインフラ設定を監視・発見し、管理者に警告を発します。実際、いくつかの設定ミスは自動的に修正することができます。
• シャドーITや不正なアプリケーションの阻止: ログを取り込み、不正なデバイスやアプリケーションを監視することで、ノートパソコンやスマートフォンの紛失や、不審な場所から攻撃者が認証を試みた際に、組織が情報漏洩の被害者になることを防ぐことができます。

Proofpoint CASBは、データ、アクセス制御、進行中の脅威に対するきめ細かい可視性を提供します。データの使用方法の全体像を把握し、管理者はデータ漏洩事故を引き起こす可能性のあるリスクを把握することができます。管理者は、疑わしい認証の試み、データ損失防止アラート、セキュリティの詳細を提供するダッシュボードなどを確認できます。

どのプロバイダーも独自のサービスを提供していますが、現在のインフラにうまく統合できるセキュリティ制御を備えているプロバイダーを見つける必要があります。導入する際には、価格、利点、機能、承認されたサービスを考慮し、調査することが重要です。特定の組織のニーズに合致したベンダーを見つけましょう。ただし、CASBにはいくつか必須項目があります。選択したプロバイダーは、 「CASBの4本柱」が含まれ、以下の機能を備えている必要があります。

• クラウドアプリの発見: ユーザーがアクセスできる未使用または古いアプリを発見します。
• リスクとデータガバナンス: アクセスルールと承認ルールを設定します。
• アクティビティのモニタリング: データへのアクセスや使用状況を可視化し、洞察を得ます。
• 脅威の防止: 脅威を自動的に検知し、軽減します。
• データセキュリティ: データ損失防止機能により、攻撃者をブロックし、管理者に警告を発します。
• アクティビティ分析: 可視化により、管理者の意思決定を支援し、データ保護を強化します。
• エンドポイントアクセス制御: モバイル端末を管理し、データアクセスの使用状況を監視します。
• 修正オプション: 問題発生後に問題を修正し、データを復元することができます。
• デプロイメントの検討: APIベースの導入と、データ転送およびプロビジョニングの自動化をサポートします。
• 配信インフラ: レイテンシを低減し、分散型サービス妨害（DDoS）攻撃を緩和します。
• マルウェアやフィッシングからの脅威防御: CASBは、マルウェアのリスクを特定し、インフラストラクチャやデータへのアクセスをブロックし、管理者に警告する必要があります。
• アカウント管理: 管理者は、不審な認証・認可の試行を停止するようにCASBを設定できなければなりません。
• 機密データおよびアプリケーションの検出: CASBは、機密データをスキャンして検出し、リスクアセスメントを行い、アプリケーションとデータ間のアクセスを管理する必要があります。
• パフォーマンスの考慮: CASBの統合により、ネットワークのパフォーマンスやユーザーの生産性が損なわれないようにする必要があります。
• 必要な認証: 業界によっては、クラウドプロバイダーやサービスに対して、FERPA、COPPA、CSPなど、特定の認定を要求する場合があります。
• 優れたカスタマーサポート: 管理者は通常、さまざまな理由でCASBのサポートを必要とするため、ベンダーは特定のインシデントに対して追加費用が発生するとしても、サポートを提供する必要があります。