ガートナーによると、Cloud Access Security Broker (CASB) は、オンプレミスまたはクラウドベースのセキュリティポリシー実施ポイントで、クラウドサービスの消費者とクラウドサービスプロバイダーの間に置かれ、クラウドベースのリソースにアクセスする際に企業のセキュリティポリシーを組み合わせて介入します。CASBを例えると、クラウドサービス管理者が設定した法律を執行する保安官のようなものです。
組織は、クラウドサービスがその境界を越えて直接制御できない場合でも、クラウドサービスのリスクへの対応、セキュリティポリシーの適用、規制の遵守のために、CASB ベンダーを頼りにすることが増えています。
すべての柱は、CASBソリューションの基礎となる構成要素で、効果的なプログラムを持つために必要です。
企業は、マネージド クラウド サービスとアンマネージド クラウド サービスの両方にわたる可視性と制御を必要としています。 すべてのクラウド サービスに対して「許可」または「ブロック」の立場をとるのではなく、クラウド 仲介により、IT 部門はサービス内のアクティビティやデータへのアクセスを管理しながら、有用なサービスに対して「はい」と言えるようにする必要があります。 これは、企業デバイスのユーザーにはMicrosoft 365などの認可スイートへのフル アクセスを提供し、管理対象外のデバイスのユーザーにはウェブ専用の電子メールを提供することを意味します。 また、承認されていないサービスのカテゴリ全体に「社外への共有禁止」ポリシーを適用することも意味します。
クラウドセキュリティは、Cloud Access Security Brokerの重要な焦点です。CASBは、すべてのクラウドサービスを発見し、クラウドの使用状況を報告し、機能とライセンスコストの良いバランスを見つけるのに役立ちます。CASBは、貴重なビジネス情報や財務情報を生成し、保護することができます。
組織がデータやシステムをクラウドに移行する際、コンプライアンスは重要な検討事項となります。これらのコンプライアンス基準は、個人と企業データの安全性を確保するためのものであり、これらの懸念を軽視すると、危険で費用のかかる侵害につながる可能性があります。
Cloud Access Security Brokerは、HIPAAまたはHITECHコンプライアンスについて懸念しているヘルスケア組織、PCIコンプライアンスについて関心がある 小売企業、FFIECおよびFINRAに準拠する必要がある金融サービス組織を含むあらゆる業界に対して、クラウドでコンプライアンスを保証する手助けができます。CASBは、それぞれの業界でよく使われるデータ規制ルールを維持することにより、データ侵害のリスクから企業を保護するのに役立ちます。
ドキュメントのフィンガープリンティングのような高度なクラウドDLP検出メカニズムと、コンテキスト(ユーザ、場所、活動など)を使用した検出領域の削減を組み合わせて、精度を高めています。機密コンテンツがクラウド内またはクラウドへの経路で発見された場合、Cloud Access Security Broker(CASB)は、IT部門がさらなる分析のために違反の疑いを効率的にオンプレミスシステムにシャトルできるようにする必要があります。
脅威観察の深い調査により、企業は、悪質な活動が発生する前に特定して阻止できます。CASB はそのためのゲートキーパーとして機能ます。ITニーズとビジネスプラクティスの両方に精通したCASBは、今必要なアプローチで組織のセキュリティを強化します。
組織は、クラウドストレージサービスや関連する同期クライアントおよびサービスなどの媒介を使用して、従業員がクラウドマルウェアや脅威を導入または伝播しないようにする必要があります。つまり、従業員が感染ファイルを共有またはアップロードしようとしたときに、社内外のネットワークにわたり、脅威をリアルタイムでスキャンして修復できます。これは、クラウドサービスやデータへのユーザーからの不正なアクセスを検出して防止することを意味し、侵害されたアカウントを特定するのに役立ちます。
CASB は、クラウドの脅威やマルウェアから組織を保護できます。貴社にとって、優先順位の高い静的マルウェア分析と動的マルウェア分析を組み合わせて、高度な脅威インテリジェンスを実現できることが重要です。一部の脅威は、クラウドサービスから発信され、またはクラウドサービスによってさらに伝播される可能性があるため、防ぐための適切な脅威対策が必要になります。
シャドウーITを効率的に検出できることでよく知られているCASBは、さらに組織のセキュリティにも精通しています。CASBは、きめ細かな可視性と制御により、組織のクラウド使用状況を管理できます。CASBは、サービスをブロックすることで一律に対応するのではなく、ID、サービス、アクティビティ、アプリケーション、データに基づいて利用を管理することが可能です。
さらに、サービスカテゴリやリスクに基づいてポリシーを定義し、ブロック、アラート、バイパス、暗号化、検疫、コーチなどのアクションから選択してポリシーを実行することができます。最後に、これらのインスタンスを使用して、内部監視のために設定されたポリシーに反するアクションをITチームに警告することができます。
認可したサービスだけでなく非認可のサービス (シャドーIT) も含む環境内のすべてのクラウドサービスにおいて機密データの損失や流出を防止します。高度なエンタープライズDLPを活用して、機密データを検出および保護します。これは認可もしくは非認可のクラウドサービスにおいて、ユーザーがオンプレミスかリモートか、モバイルデバイス上かウェブブラウザからのアクセス、モバイルアプリまたは同期クライアントを使用しているかなどに関わらず利用可能な機能です。暗号化、トークン化、アップロード防止などにより、データ流出に対処できます。
マルウェアやランサムウェアなどのクラウドベースの脅威から保護します。SSLで暗号化された接続を使用している場合でも、すべてのクラウドサービスを完全に可視化することから始めます。異常検出、および脅威インテリジェンスのソースを使用して、どのユーザーが侵害されたアカウントを持つかなどの脅威インテリジェンスソースを使用します。次に、静的および動的なマルウェア対策検出に加え、機械学習でランサムウェアを検出します。最後に、統合とワークフローを通じて、セキュリティインフラストラクチャの残りの部分を、可視化の結果を加味して強化します。脅威は引き続き進化していくため、CASBベンダーもそうすべきです。
組織は、許可された、あるいは許可されていないクラウドサービスを安全に利用するために、Cloud Access Security Brokerの評価を行います。この質問リストは、評価している可能性のあるCASBベンダー間の機能を区別するのに役立つ具体的なユースケースベースの例を示しています。
1. サービスを完全にブロックするのではなく、マネージドクラウドアプリケーションとアンマネージドクラウドアプリケーションのアクティビティを制御できますか?
A: あるクラウドサービスの使用を丸ごとブロックするのではなく、「共有」などのアクティビティごとにブロックや警告をします。それをたとえば、クラウドストレージサービス全体で、カテゴリレベルで行うこともできます。これにより、リスクを軽減しながら、サービス利用をブロックせずに許可することができます。
2. クラウドサービスまたはその経路に機密データポリシーを適用することはできますか?重要なクラウドトランザクションだけを確認して、偽陽性を削減できますか?
A: 認可されたクラウドサービスの中だけでファイルやコンテンツを検索して保護するのではなく、認可されたサービスと未認可サービスの両方、そしてクラウドに保存済みおよび移動途中のコンテンツに対して行います。また、文脈を確認することにより誤検出を最小限に抑え、精度を高めます。検査対象からユーザー、サービス、カテゴリ、場所、アクティビティを除外して、重要なクラウドトランザクションを除外し、ポリシーを適用します。
3. Microsoft Active Directoryグループまたは組織単位に基づいてポリシーを適用できますか?
A: ユーザーデータを手動でアップロードまたは入力するのではなく、Microsoft Active Directoryなどの企業ディレクトリからグループを組み込んでポリシーを適用します。
4. 過度な量のダウンロードやクラウドサービスをまたがるデータ移動などのクラウド利用において異常な行動を検出することはできますか?
A: 認可されたサービスでのみ、またはアクセスしたかどうかなどの粗いレベルで異常を検出するのではなく、認可または非認可を含めたサービス全体のアクティビティに基づいて異常を検出します。
5. 法令遵守のために、財務や経理などの規制されたサービスの活動を監視し報告することはできますか?
A: 規制されたサービスをオンプレミスで維持するのではなく、Sarbanes-Oxleyなどの規制にも準拠しながら、クラウドに移行します。クラウドベースの記録システム内のアクセスとデータ変更に関するレポート
6. モバイルクライアントやシンクライアントに対しても、リモートでポリシーを適用することはできますか?
A: クラウドセキュリティモデルからオンプレミス監視および制御を除外するのではなく、ユーザーの場所やデバイスの種類に関わらずポリシーを適用します。
7. 侵害されたアカウントを持つユーザーに対するリスクを軽減できますか?
A: アカウントの資格情報が侵害された状態でサービスにアクセスしているユーザーを特定し、保護します。
8. クラウドサービスの脅威やマルウェアを見つけて修復できますか?
A: 任意のクラウドサービスの中に保管されている、またはクラウドに移動しようとしている脅威やマルウェアを特定し対処します。
9. DLP、SIEM、マルウェアサンドボックス、EDRなどのオンプレミスソリューションとの統合を可能にすることで、既存の投資価値を高めますか?
A: サイロにクラウドセキュリティを導入するのではなく、CASBを追加することで既存の投資をより価値のあるものにできます。
10. すべてのデータをオンプレミスに保持するなど、私の要件を満たす展開オプションを容易に利用できますか?それは将来性のある投資ですか?
A: CASBベンダーの導入モデルに強制されるのではなく、現在および将来のお客様の要件に最適なものを選択してください。
近年、クラウドへの移行が進み、CASBテクノロジーはより大きな存在へと変貌を遂げつつあります。CASBは、データ損失防止 (DLP) や次世代セキュアウェブゲートウェイなど他の技術と組み合わせることで、Secure Access Service Edge (SASE) アーキテクチャと呼ばれるものの一角を形成しつつあります。
SASEは、複数のセキュリティ技術とネットワーク技術を組み合わせることで、遅延やデータ利用状況の把握といった従来の境界セキュリティの欠点を解消し、包括的なウェブおよびクラウドセキュリティを提供します。
つまり、CASBだけに焦点を当てることは、もはや企業にとって選択肢の一つではないのです。そのためには、複数のツールを組み合わせたアプローチが必要であり、CASBはこのセキュリティ戦略のほんの一部に過ぎません。
ホワイトペーパー: SASEとセキュリティ変革を形作る7つの力
ブログ: CASBとSWGが進む道
Security Service Edge (SSE) は、複数のクラウドベースのセキュリティサービスをSecure Access Service Edge (SASE) アーキテクチャの一部として統合したものです。このアーキテクチャのコンポーネントとして、CASBはウェブやアプリケーションのトラフィック、データやデバイスをリアルタイムで詳細に制御することができます。この制御は、Secure Web Gateway (SWG) やユーザー/エンティティの行動分析 (UEBA) など、他のSSE機能およびコンポーネントが提供する可視性と洞察力によって促進されます。
Netskope Intelligent Security Service (SSE) のコアコンポーネントであるNetskope CASBを使用すると、セキュリティを犠牲にすることなく、クラウドアプリケーションとサービスを自信を持って採用できます。
Netskope One CASBがSaaSセキュリティをどのように簡素化するかをご覧ください。シャドーITからGenAIまで、チームの速度を低下させることなく、80,000+以上のアプリを可視化し、制御することができます。
戻る
