月別アーカイブ: 2018年2月

CASBWGリレーコラム(第1回)「日本企業がCASBに求めるものとは? - CASBがバズワードで終わらない理由- 」

日本企業がCASBに求めるものとは?
– CASBがバズワードで終わらない理由 –

株式会社シマンテック
高岡隆佳

注目の技術“CASB”到来

昨今のセキュリティ記事やイベントでよく耳にするようになった“CASB”。なんとなくその存在を知っているという人と、すっかりCASBの実用に向けて検討を進めている、ないしは導入済み、運用中といった企業が大きく分かれる、まさにこの新技術がブレークする直前の過渡期の様相となっている。

まだご存知ではない方にこのCASBの概略を説明すると、2013年にGartnerが提唱した技術で、“CASB = Cloud Access Security Broker”の呼び名が体を表しているように、「クラウドの利用において安全を担保してくれる仲介者」としての機能を提供する、新しいセキュリティ・レイヤーだ。管理者すら認識していない個々のユーザのクラウド利活用を「可視化」し、企業の「コンプライアンス」を満たさない脆弱なクラウドアプリを排除、SSL通信内に潜む機密情報の流れを把握しつつ、成りすましや情報流出に繋がるユーザのクラウド上の活動をふるまい分析などにより、「脅威の防御」が可能になる。併せて、クラウドに保存される機密情報を暗号化やトークン化(匿名化)、本人認証などを組み合わせて「データ保護」することで、クラウドというグレーなプラットフォームを「企業側でコントロール」することができ、結果として企業はサーバなどの投資やメンテナンスといった負担から開放されつつも、拡張性に富んだクラウド上で安全にビジネスデータを利活用できるようになる。

図1 CASBを構成する4つの柱

日本におけるCASBのニーズ

そんなCASBが日本において本格的に導入が始まったのは2015年以降、O365やBOXといった業務アプリケーションの導入が一気に進んだ頃だ。メール、そしてファイルストレージといった企業のデータ共有を主とするアプリケーションがクラウド化することにより、「安かろう悪かろう」といったクラウドの価値観は企業の中で崩壊を迎えた。

なぜなら、そもそも企業が今までセキュリティに投資してきた主たる目的は企業内の資産、すなわち「データ」を様々な脅威(標的型攻撃や内部不正など)から守ることであり、そのためにあらゆる技術を組み合わせて多層防御網を構築してきたわけで、さらにはそれらの網を健常化するための監視役として、SOCやCSIRTといった専任部隊にも投資を行ってきた。

しかしクラウドシフト、最近では「働き方改革」といったワークスタイルの変革により、「データ」自体がオンプレミスを離れ、さらにはユーザ自体が多層防御の効かない企業外から、同じアカウントを別のパソコンから(場合によってはスマートフォンから)利用することでもアクセスが可能になってしまった。

つまり、クラウドに上がってしまったデータについてはそれぞれのクラウドアプリケーション側のセキュリティに依存してしまうものの、SLA上クラウド側のデータ損失や漏洩については一般的に保証されず企業責任となってしまうにも関わらず、クラウドに上がったデータ、そして企業外からのクラウドアクセスについて何かしらの対処を打つ必要性が出てきた。それこそがCASBに対する期待値およびニーズの根源となっている。企業がオンプレで利用していたセキュリティ機能をクラウドへ適用し、SOC/CSIRTの監視対象にクラウドも巻き込めるようになるものこそがCASBなのだ。もはや企業にとってクラウドは、データ活用のためには無くてはならないプラットフォームであり、活用する以上はオンプレと同様にセキュリティ投資をすることで十分なメリットを享受し、投資効果を得るという考え方にシフトしてきているのだ。

図2 CASBとは各クラウドに対する企業のバーチャルSOC的なもの

CASBの適用方法は一つではない

クラウドを安全に活用する、というゴールは一つだが、Gartnerが定義しているCASBの適用手法としては大きく分けて以下の3通りがある。

0)    シャドーITの可視化:オンプレミスのネットワーク機器(FWやプロキシ)および端末のログをCASBプラットフォームで解析させることで、どのユーザがどのようなアプリケーションをどの程度活用しているかを可視化、いわゆる野良クラウド(シャドーIT)を制御するための情報を得る

1)        業務アプリの自動リスク制御:O365やBOXなど、企業としてアカウントを払い出している(投資している)アプリケーション毎に、外部ドメインへの機密ファイル共有といったリスクあるユーザのふるまいを検知、その都度共有解除や権限変更、またはファイル暗号化や認証といったセキュリティ制御をリアルタイム自動的ににかけていく

2)      一元的なクラウド利用ポリシーの適用:モバイルからもオンプレミスからもユーザのクラウド通信をプロキシ(ないしはクラウドプロキシ)で終端することで、リスクの高いデータの流れやユーザのアクセスをブロックし、また各クラウド利用におけるユーザの証跡(アクセセスログ)を一元的に確保することで、オンプレミスのSOC/CSIRT機能をクラウドまで含めて運用可能にする

シャドーIT可視化を0としているのは、一般的にCASB製品ベンダーが提供するサービスにおいて、企業におけるシャドーIT利用状況把握のための評価期間(通常1か月程度)を提供しているケースが多いため、CASB導入前のアセスメント的な立ち位置として捉えるケースが多いからだ。(有料サービスであれば、定常的にログを分析し、シャドーIT利用の統計を取ることも可能だ)

一般的にはAPI型による業務アプリケーションごとの詳細な制御や、ゲートウェイ型(プロキシ型)による横断的なクラウドの制御を行うことで継続的にクラウドアクセスを制御する手法自体が優先されるケースが多いのも日本ならではの要件かもしれない。

3  CASB実装方法

このように様々なクラウドセキュリティ要件を満たせるCASB。働き方改革やモバイルセキュリティについて検討をしている企業であれば、ぜひ一度CASBについて評価・検討してみてはいかがだろうか。

 

CASB-WG リレーコラム始めます!

CASBワーキンググループ・リーダー
上田光一

 

今、本稿に目を通して頂いている読者の皆様は、CASBもしくはクラウドセキュリティ全般にご興味のある方と思います
CSAジャパンのCASB-WGは発足からちょうど2年、CSAグローバルに上位活動を持たないCSAジャパンとしての独自活動を展開して参りました。ちょうど1年程前には、日本国内でのCASB理解に一石を投じるべく、独自に執筆したホワイトペーパーをリリースしました。(こちらからダウンロードできます)。
それから1年、市場でもCASBに関する話題には事欠きませんでした。ホワイトペーパーのリリース前後には、CASBベンダのNetskopeが日本上陸、11月にはGartner社がCASBのMagic Quadrantの初版をリリースしました。それとほぼ同時期に、大手セキュリティベンダのMcAfeeがCASBベンダの老舗Skyhigh Networksを買収する、といったニュースが飛び込んできました。今やCASBというキーワードは一般化し、ますますホットなものになってきたと言えるでしょう
ただ悩ましいのはベンダやプレイヤーも増加する中で、当初Gartner社が提唱してきたコンセプトとは少しずつ違った切り口での情報も目に付くようになってきたことですこういった変化自体はGartner社自身が認めていることでもあり、新技術の定着過程において起こりがちなことでもありますこれは良い意味では、Gartner社のコンセプトありきという段階から、より実地に即したものに進化してきたと見ることができるでしょう。ただホワイトペーパーのような一元的情報編纂の取り組みについてはその完成時には環境変化により、あるいは物足りないものとなってしまう懸念があることも事実で
そこでCASB-WGとしては、タイムリー、コンパクトかつ多様性のある情報発信を意図し、これから数回に分けて本ブログにてリレーコラムとして記事をアップしていくことと致しました。複数のCASBベンダー、再販パートナー、利用者組織等々、様々な観点で執筆していく予定となっております。ぜひ楽しみにして頂ければと思います
なお本ページは、リレーコラムのインデックスとなるよう以下にリンクを追加していきます。

 

  1. 第1回:「日本企業がCASBに求めるものとは?- CASBがバズワードで終わらない理由- 」 株式会社シマンテック 髙岡隆佳 (2018年2月27日公開)
  2. 第2回:「CASB v.s. SWG – クラウドセキュリティ?それともウェブセキュリティ? –」 株式会社シマンテック 髙岡隆佳 (2018年3月16日公開)
  3. 第3回:「GDPRとCASB」CASBワーキンググループ 橋本知典 (2018年3月24日公開)
  4. 第4回:「アンケート調査で明らかになった、日本のシャドーIT意識の実態」 NTTテクノクロス株式会社 井上淳 (2018年4月10日公開)
  5. 第5回:「「原則と現状のはざま」をCASBで対策できないか」 CASBワーキンググループ・リーダー 上田光一 (2018年5月7日公開)
  6. 第6回「IT規制改革を支えるCASB」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年5月8日公開
  7. 第7回「インテリジェンスとしてのCASB」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年6月18日公開)
  8. 第8回「クラウドサービス利用のモニタリングとラベリング」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年9月8日公開)
  9. 第9回「クラウド利用者とクラウドプロバイダ:双方の言い分」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年9月8日公開)
  10. 第10回「CASBはデータガバナンスの登竜門となる?」株式会社シマンテック 高岡隆佳 (2018年12月6日公開)

第9回 クラウド利用者会議レポート

第9回クラウド利用者会議 レポート

2018年2月16日
CSAジャパン 諸角昌宏

第9回クラウド利用者会議では、IoTのセキュリティに関わる課題というテーマで笠松氏にご説明いただいた。会議は、2月5日(月)に開催し、クラウド利用者を中心として9名(内1名はオンラインでの参加)に参加いただいた。

まず、IoTのセキュリティに絡む課題として、12月の勉強会の時に参加者およびベンダーとディスカッションした内容に基づいて、以下の5点を上げた:

  • 経営陣の理解が乏しい懸念がある
  • 経営陣を説き伏せる対応が多岐にわたるため、それらへの対策を議論するが場ない
  • IoTのセキュリティについての活動を行っている他のNPO法人との協調
  • IoTの「プラットフォーム」としてのセキュリティの必要性
  • 開発・運用環境を含めて、エッジ及びクラウドのセキュリティの必要性

また、IoTのセキュリティに対する国内の政策としてIoT推進コンソーシアムがあり、官民が連携して様々な活動を行っている。IoT推進コンソーシアムは、海外との連携も進めている。しかしながら、IoT推進コンソーシアムは開発ガイドラインの策定が主な目標であり、上記の課題にある開発・運用環境、プラットフォームとしてのセキュリティには踏み込めていないという印象がある。
IoTに関する国際標準は、ISO/IEC15408として進められている。この標準は、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに関する国際標準であり、情報セキュリティ評価基準(ITSEC, Common Critria等)の考え方で進められている。

このような状況を受けて、笠松氏からIoTに絡む5つの課題が説明され、今後検討しなければいけない点として上げられた。これについては、以下の笠松氏のスライドを参照していただきたい。

さて、以上の説明に基づいて、スピーカーから提示された上記の課題に対して参加者からの質問および議論が行われた。

  1.  IoTに関するIPAの取り組みについて議論となった。
    IPAでは、セキュリティとセイフティーの融合の観点から、実証検証、ケーススタディー等を通してリスクアセスメントに取り組んでいる。いわゆるSecurity-by-Designに基づくSTAMPモデルにより、システムの安全性に関するモデル化および分析方法を進めている。基本的には、開発者および利用者向けの取り組みになる。したがって、IoTの運用に関するセキュリティの課題は残ったままである。特に、IoT環境においてエッジコンピューティングとしてスマートフォンが使われるケースが増えてきている。この課題は、誰でも容易に使える反面、多くのIoTがパスワードも含めデフォルト設定のまま出荷されている点、データオーナの許可なく通信傍受が容易である点などが問題となっている。また、2016年米国FBIが個人宅で殺人事件があった際、スマートスピーカを押収した事例は、音声のオーナは誰か、スマートスピーカのオーナは誰か、スマートススピーカ(仮に音声型IoTとする)の音声データに証拠能力があるのか、など運用時のルールが不明のまま市場から受け入れられていく社会的環境が容認される点、などが重大な課題ではないか。
  2. 国境を越えるデータ流通について
    eSIM(電子的に書き換え可能なSIM)がIoT基板PCBに半田付けされている製品が出回りだしている点は、パーマネントローミング規制をEUで制定すみだが、日本国内の運用・使用ルールは見当たらない。顔認証が実用段階となった現在、このようなIoT機器のデータ流通を運用する議論の場が、CSAにあっても良いのでは。
  3. RPAの導入がセキュリティに与える影響について議論となった。
    RPAが行ったことで問題が発生した場合どうなるのかということである。RPAの利用にあたっては、監査ログが必須なるが、そもそも捜査の範囲を明確にしないと監査自体が検証可能にならないという問題になる。そうすると、RPAになんでもかんでもやらせるということでは無く、行う操作自体を明確にして、後で検証できることが重要になる。できるだけ業務を絞り込んで、監査しやすくするということが重要になるということである。という議論をしていくうちに、そもそもRPAはIoTなのかという話しになり、様々なモノをIoTでひとくくりに見ていくこと自体が無理ではないかという話しになった。モノの種類、特性ごとに個別に考えていく必要があり、RPAはRPAとして考えていかなければならないということになった。
  4. ビルや橋に埋められた100年IoT
    この部分については時間の関係で、パワポ記載内容を読み上げるに留まった。
  5. サーバレス
    この部分については時間の関係で、パワポ記載内容を読み上げるに留まった。

以上のような議論のもと、今後CSAとしてどのように取り組んでいくかという話しになった。IoTの運用面のセキュリティの課題をどうするかということは、結局どのようにガバナンスを利かすかという問題になるということになった。RPA等、新しい技術に対してどのようにガバナンスを利かすか、GRCをどのようにしていくかについて、テーマを決めながら議論していくことが大切であり、CSAとしてワークショップを開きながら議論していくことが必要ということになった。

 

以上