月別アーカイブ: 2017年8月

第8回 クラウド利用者会議 レポート

8回クラウド利用者会議 レポート

20178月30
CSAジャパン 諸角昌宏

 8回クラウド利用者会議では、CSAジャパンのCASBワーキンググループ(CASB WG)から、上田氏、露木氏、高岡氏にご講演いただいた。会議は、823()に開催し、クラウド利用者を中心として8名に参加いただいた。
今回は、「CASBはクラウドセキュリティを救えるか」というテーマで、CASBの事例を中心に講演していただくとともに議論を行った。

 まず、マクニカネットワークスの上田氏からCASBのおさらいということで、概要の説明を行っていただいた。

最初に、CASBの基本である4つの柱(可視性、コンプライアンス、データ保護、脅威からの防御)について説明していただいた。また、ガートナーが、CASBがクラウド環境におけるセキュリティ・ソリューションを補完していく可能性があるということで、SWG, SIEM, 暗号化, IDaaS, DLP, EMM, WAM, NGFWなどが挙げられていた。しかしながら、ガートナーも認めているように、実際にはこれらの融合はあまり進んでおらず、CASBは独立した製品として維持されているようである。なお、ガートナーは、2018年までに60%の企業がCASBを導入すると言っており、これは変わっていないようである。
CASBの日本国内での認知度も確実に上がっているということで、実際の導入が進んでいるということが説明された。CASBの導入に当たっては、Top Downのアプローチが多いとのことである。

 次に、SkyHigh Networksの露木氏より、主な導入事例の説明が行われた。SkyHighでは、現在、日本において23社の顧客、世界的には650社で導入されているということで、CASBが確実に導入が進んでいるということを裏付けるデータとなっている。

最初の事例として、55,000人の製造業における「大規模シャドーIT対策」が紹介された。この会社では、クラウドアクセスポリシーを作成する(既存のものはあったが、可視化が欠如していた)ために、より実用にあった形にすることが求められていた。ポリシーの作成にコンサルティングファームを利用すると、非常に高価になる。また、シャドーITをいきなり止めることは、企業においては大問題になる可能性がある。いわゆる、止めてしまう危険というものも考慮して行う必要があった。CASBを使うことで、この要件を満たしたクラウドセキュリティポリシーの作成および実際の運用が可能になったとのことでした。

その他の例として、BOXの管理、特に監査目的として導入したケース(ある部門がBOXを使用していたため、会社として全体的な監査のために導入)、Office365をすべてクラウド化した場合に、CASBで監視を行うことで、全世界のOffice365を見ることができるようになったケース、SalesForceに保存されたデータをCASBで暗号化するケースなどの紹介が行われた。

 最後に、シマンテックの高岡氏より、CASBの潜在するターゲットとして、以下の4点が挙げられた。ちなみに、シマンテックでは、米国におけるCASBのビジネスとして、昨年度900%の成長があったということで、非常に大きなポテンシャルのあるマーケットとみているとのことであった。

  • 2つ以上のクラウドサービスを正式に採用している企業。これは、CASBで一意のセキュリティレイヤーを作ることができるというメリットがある
  • クラウドアプリの正式な利活用を検討している企業
  • オフィス外でのクラウド活用(在宅、モバイル)
  • GDPR。データの棚卸と継続的なクラウド活用。特に、シャドーITによるGDPR違反を防いでいく。

また、CASBをニーズの観点から見ていくと以下の3点が考えられるとのことであった。

  • 業務アプリのセキュリティ管理としてのシャドーITの可視化。
  • インライン型に対して、業務用SaaSに対する対策としてAPI型の利用。
  • SOCとの協調等の包括的な管理として、自社運用ではなくMSSP的な利用。

最後に、CASBへの期待値として、以下の5点を挙げている。

  • 機密情報の自動認識
  • データ共有先の記録
  • シャドーなユーザ、怪しいアカウントの調査
  • クラウドアプリの利用状況の監査
  • 個人アカウントやBYOD端末に対する制御

 さて、以上の説明に基づいて、参加者からの質問および議論が行われた。

まず、CASBが行うクラウドのリスク評価について、どのように判断すべきかということが議論になった。CASB製品では、クラウドサービスに対するリスク評価を行い、安全なサービスなのか、あるいはそうでもないサービスなのかについて、利用者が判断できるようになっている。ただし、リスクをどう判断してクラウドサービスを使っていくかは、利用者の判断となる。リスクの各項目に基づいて判断するのか、あるいは、総合点で判断するかは、あくまで利用者次第ということになる。これは、第1回クラウド利用者会議で議論された内容と重なるが、CASBによるリスクの透明性に対して、利用者がどのように判断するかという、利用者のリテラシが求められるところである。CASBのリスク評価は、非常に頻繁に更新されており、通常は毎日行われる。事業者からの回答が必要なものでも、最低でも3か月に1回は更新されているとのことである。日本のサービスについても、以前はなかなか回答が得られなかったが、最近はほとんど回答が返ってくる状況となっており、リスク評価については十分信頼できるものと考えられる。

次に、GDPRCASBについての質問が出た。GDPRで我々が非常に影響を受ける域外移転に関しては、CASBで管理できるわけではないが、域外移転データの管理に関して、CASBを監査に利用できるということである。

それから、上記で紹介された事例等を見ていくと、CASBの導入は大企業に限られているのではないかということで、CASBを中小企業が積極的に利用できるようにするにはどうしたらよいかという議論になった。CASBというと、どうしてもコストの問題があり、中小企業が導入するのは厳しいということである。これについては、CASBとしての展開というよりは、中小企業向け支援サービスという展開が始まりつつあるということであった。キャリア系が進め始めている CASB as a Service により、中小企業でもCASBが利用できる道が開かれていく可能性があるということであった。

 以上のような会議となったが、CASBがクラウドセキュリティを守っていくソリューションとして、これから大きく伸びていくというのは間違いないようで、特に、クラウドアクセスポリシーの作成の観点からは、CASBが非常に強力なツールとなっていくようである。クラウドの利用については、もはや「セキュリティが不安なので導入には慎重」という時代ではなく、「クラウドを利用することを前提にセキュリティ対策を考える」という時代になっている。その中で、セキュリティを統一的に管理できる、まさにブローカーとしてのCASBは、重要な役割を担っていくということを強く感じた。今回、日本のCASBを代表する方々のお話が聞け、また、直接議論することができたことは非常に有意義であった。また、これからのCASB WGのアウトプットにも期待していきたい。

 

以上