CASBって一体何？セキュリティ対策製品との違いや仕組みを徹底解

CASBとは、クラウドサービスの利用状況を可視化したり制限したりすることでセキュリティを高めるツールのこと。

情報漏えいをはじめとしたシャドーITに有効な対策ですので、この機会に導入を検討してみませんか？

昨今の働き方改革や新型コロナウイルスの感染拡大などの影響でリモートワーク、在宅ワークを推進する企業が増えています。

そんな中で社会問題になりつつあるのが「シャドーIT」。

簡単に説明すると「従業員が企業で把握していない機器やクラウドサービスを企業に知らせないまま使ってしまう問題」です。

セキュリティが十分に確保されている企業向けの機器やクラウドサービスと違い、シャドーITによって情報漏えいリスクが高まり、多大な損失が発生する可能性があります。

くわしくは「シャドーITの危険性とは？CASB/BYODとの関係性や対策方法まとめ」をご覧ください。

LINEで業務連絡をしたりする「ちょっとしたこと」がシャドーITに該当し、情報漏えいにつながりかねません。

対策としてはシャドーITの現状を把握したり社内教育を強化したりすることがありますが、CASBも有効です。

企業が把握していない、または許可していないクラウドサービスの利用を制限できるからです。

じつはCASB以外にも社内のセキュリティを高める方法はあります。

例えば、セキュリティソフトやBYODといったツールの導入です。

これらはCASBの「データセキュリティ」「コントロール」「可視化・分析」「脅威防御」といった特徴を代用できる場合もあります。

しかし「ツール・ソフトを導入して対策したから、セキュリティは万全だ」とはならないので注意してください。

なぜならSaaS環境のセキュリティ強化に特化したCASBでなければ、きめ細かいデータセキュリティや制御ができないから。

SaaSとは簡単に説明すると、Gメールなどのクラウドで提供されるサービスのことです。

Gメールできめ細かいセキュリティ制御をしたいと仮定します。

このときSWGで制御しようとすると、送信元のIPアドレスや通信先のURLカテゴリーで判断しなければなりませんが、Gメール特有の機能を、特有の権限を持つ従業員に対して、どの操作を許可するのか、といったきめ細かい設定がSWGでは難しいです。

しかし、CASBならこういった設定が簡単にでき、ほかのセキュティ対策製品との最大の違いと言えます。

そんなCASBですが、具体的にはどういった仕組みで構成されているのでしょうか？

主に下記の4つから構成されています。

APIとは、アプリケーションやソフトウェアとプログラミングをつなぐためのものを指します。

APIを公開することで外部アプリとコミュニケーションや連携ができる状態にすることができ、データを解析できるようになったりします。

話は戻りますが、APIモードとはAPI作成に特化したもので、SaaSのAPIを所定の権限で利用することで、アクセスデータの動きを可視化します。

そして、APIを経由して細かいアクセス権限の設定やデータ保存の制限をしたりします。

リバースプロキシとは、高度なセキュリティ対策やアクセスが集中したときでも負荷を分散させて稼働を安定させるための技術です。

主にウェブサイトの改ざんを防いだり、Accessすが多いサイトのリスク分散や表示速度を高めるために用いられます。

リバースプロキシモードでは、承認していないクラウドとのやり取りは可視化することはできませんが、承認済みのクラウドとのやり取りは可視化します。

接続する機器やアカウント、承認済みのクラウドでの詳細な設定ができるようにもなります。

トラフィック（一定時間内にネットワーク上を流れるデータ量）をフォワード（転送して）クラウドとのやり取りをする仕組みのことです。

これにより通信側の機器で必ずプロキシを経由するので、リバーシプロキシモードで可視化できなかった未承認のクラウドとのやり取りも可視化できます。

リバーシプロキシモードとフォワードプロキシモードの使い分けとしては、BYODに力を入れているならリバースプロキシモードを、会社支給の機器の利用だけを許可しているならフォワードプロキシモードの性能が高いCASBを導入するのが望ましいです。

エグジスティングプロキシモードと言っても一般的なプロキシを指すと考えて大丈夫です。

取得したログデータをCASB提供企業に分析してもらい、利用者はその分析結果を確認します。

CASBには、以下のような特徴・機能があり、それらを活用することでセキュリティを確保します。

データセキュリティでは、データのアップロードやダウンロード、公開設定の許可や遮断、管理画面の不正操作の禁止といったことができます。

通信やブロックやアラート、暗号化といった制御を一元的に実行し、1つのセキュリティポリシーで複数のクラウドサービスをコントロールします。

社内で利用されているクラウドサービスをすべて可視化し、安全基準に基づいたリスクを評価・分析を行います。

クラウドサービスを利用することで、マルウエアなどの脅威が少なからずあります。

ほかにも共有アカウントの作成やデータコピー、大量のデータダウンロードといったリスクがあり、そういった異常・脅威を検出、隔離したりします。

CASBは情報漏えい対策として有効に働きますが、広範なセキュリティ対策としてベストなわけではありません。

CASBでクラウドの異常を検出・把握したとしても、どんな異常が発生しているかについてはCASBだけで調べることができず、別の方法で調べなければなりません。

クラウドサービスや外部委託先企業のセキュリティポリシーやルールが明確になっていないとCASBのメリットを十分に活かすことができません。

オンプレミスファイルサーバなど、クラウドに完全に移行していない場合、クラウドには対応できても、従業員がUSBでデータの持ち出しをするかもしれません。

そういった課題、注意点も考慮してCASB製品やCASB以外のセキュリティ対策製品の導入を検討してください。

この記事ではセキュリティ対策としてCASBを紹介しました。

シャドーIT対策として有効だと言われていますが、完全に防ぎ切ることは難しく、ほかのセキュリティ対策製品も導入しなければならない場合もあるため注意してください。