CASB(Cloud Access Security Broker)とはクラウド上のデータを守ってくれるもの、または企業にとってリスクになるクラウドサービスを自動的に認識してブロックしてくれるもの――そんな魔法のような、漠然としたイメージを持つ方が多いのではないだろうか。

前回、なぜ日本企業がCASB導入に高いモチベーションを持っているのか、どのような企業がCASBを必要とするかについて、まとめてみた。そこで今回は、CASBの仕組みについて種明かししていこう。

CASBを実装する際のコンポーネントは、下図に挙げた「API」「CASB ゲートウェイ(Proxy)およびAgent」「Access log分析」の3つに大別できる。それぞれ簡単に役割と制御対象について解説していこう。

  • CASBを構成するコンポーネントの仕組み

API

CASBを導入投資しようと考える企業の一番の興味事は、「投資して業務をクラウドに移行した(する)以上、そこで情報流出や業務効率の低下が起きない」ことだ。

すでにクラウドにアップロードされたファイルや、クラウドで作成されたファイルなどについて、情報流出につながるようなユーザーの活動がないかをリアルタイム監視するために、企業アカウントの管理者権限を利用し、「API」を利用する。そこで、もし情報流出につながる動きが確認された場合、適切にポリシー施行(ファイル共有リンクの削除や共同作業アカウントの削除など)することが可能になる。

ポリシーはCASBによって自動実行もできるし、場合によってはアラートを受けて管理者が手動で対処を行う。大事なのは、あくまで企業がアカウントを払い出しているクラウドの活動のみがAPIの制御対象となる点だ。

Microsoft Office 365をAPIで制御したとしても、個人のMicrosoft Office 365アカウントまでは、APIでは制御できない。企業が管理者権限を持たないその他のクラウドの利用についても、同じ理由で制御も可視化もできない。こうしたケースをカバーするのが、次に説明するCASB ゲートウェイやAgentを使用した「ユーザーのクラウド通信をCASBゲートウェイに終端し制御する」アプローチになる。

CASB ゲートウェイ(Proxy) / Agent

皆さんは普段どのようなシチュエーションでクラウドにアクセスしているだろうか。朝起きてから出勤までの間、スマートフォンで会社のメールを確認したり、SNSなどで友達からの近況報告に目を通したりするだろう。この間にメールや記事などに含まれるファイルを開くだろうし、URLもクリックする機会があるだろう。VPNがなくては社内のメールにアクセスできない、といった場合を除き、これらは社外から直接クラウドへのアクセスとなる。

CASBが重要なのは、「社外」からのクラウドアクセスについても制御できる点だ。その際は、社外から直接クラウドへ向かうアクセスを、会社支給のPCであろうと、スマートフォンであろうと、CASBへ向けてやる必要がある。

具体的な手段として、オンプレミス環境からであれば多段プロキシ設定でCASBゲートウェイ(クラウド上のProxy)を踏ますことができるが、社外のユーザーに対しては、直接CASBゲートウェイへ終端するためのUser Agent(ソフトウェア)やPACファイルなどを用いる。これらにより、ユーザーのクラウドへの通信を検知し、自動的にCASBゲートウェイへ通信を転送、そこでユーザーの活動を可視化して制御できるようにする仕組みが提供される。

あとは、ユーザーがどのようなふるまいを行い、どのような機微度のデータをどう扱おうとしているかを判断した上で、アクセスを遮断したり、ファイルのアップロードやダウンロードを防いだり、必要に応じてファイルを暗号化してクラウドに保存されるデータを保護したりといった制御を行う。

クラウド上の検閲ポイントとなるCASBによって社内・社外問わずクラウド利用の可視化が進むと、実にさまざまなクラウドアプリケーションが利用されていることに気づくようになるだろう。

Access log

IT管理者が把握できているクラウドサービス、アプリケーションに対し、約20倍以上のクラウドサービスやアプリケーションが従業員によって利用されている――こうした状況を「Shadow IT(シャドーIT)」という。

気づけば新たなクラウドサービスが立ち上がり、脆弱なサービスを従業員が利用したことが原因でクラウドからの情報流出が発生するなどのリスクも伴う。そこで、日進月歩のクラウドサービスのリスクを自動的に分析し、企業として利用を取り締まるべきかどうかを判断していく必要がある。ところが、今まで大半の日本企業はクラウドシフト、働き方改革という観点で、「利用を許可すべきクラウドサービスと禁止すべきサービスの判断基準をどこに設けるか」という検討をしてこなかった。

昨今、「CASB = Shadow ITの可視化」としてとらえ、どのようなサービスレベルのクラウドを従業員が利用しているかをアセスメントする企業が多い。しかし、その結果から「会社としてのクラウドサービス利用方針」にまで立てつけられる企業は少ないのが現状だ。

  • 利用しているクラウドサービスを評価・分析する

CASBはクラウドサービスを評価するための基軸が用意されている。クラウドサービスが認定を受けている法規制、アクセス制御や暗号化の強度、脆弱性対策、監査への対応など、通常50~100項目ほどがある。それらを基に、各企業で、クラウドサービスを「投資して率先して活用するもの」「利用を許可するもの」「利用を禁止するもの」に振り分け、いわゆるクラウドの交通整理をすることでグレーゾーンをなくし、企業のクラウド活用を加速化していく。

CASBはこれら3つのコンポーネントを通じ、企業が安全にクラウドを活用できるよう、クラウドサービスを企業視点で整理し、ShadowITの分析によって顕在化した社内ニーズを満たすよう、投資先のクラウドサービスを見極め、APIを活用してクラウド上のリスクを排除する。

その他のクラウドサービスについては、社内・社外問わずCASBゲートウェイを経由させることで、ビジネスニーズ上切り捨てられないものは監視、リスクでしかないサービスについては遮断する。

立ち上げてから間もない新規クラウドサービスについては、管理者側で精査してリスクがあれば、ファイアウォールやProxyにブラックリストを手動ないしは自動で登録し、継続的にバックドアができないよう監視する。

以上、ここまでがCASBの「表向き」のコンポーネントとその役割のまとめとなる。次回はCASB導入後に見えてくる課題や誤解、CASBの中核となる真のコンポーネントなどについて紹介していくので、CASBの表裏を理解した上で導入検討に進んでいただきたい。

  • CASBを構成するコンポーネントのまとめ