月別アーカイブ: 2018年6月

CASBWGリレーコラム(第7回)「インテリジェンスとしてのCASB」

インテリジェンスとしてのCASB

2018-06-18
CASBワーキンググループ
渡辺 慎太郎(個人会員)

前回、事業部門や機能部門の自律的なIT利活用を推進するための規制改革において、事前規制から事後チェックへとコントロールの力点を移すことが基本だとお話ししました。

事前規制を緩和する典型的な例は、「許可制」を「届出制」(もしくは「完全自由化」)に変更することです。多くの大企業で、社用PCにインストール可能なソフトウェアは厳しく制限されていることと思います。これと同様に、クラウドサービスに関しても利用許可制を敷いている企業があるかもしれません。そのような企業では、許可手続きの煩雑さゆえに「シャドーIT」が拡散していることがあるかもしれません。

クラウドサービス利用において許可制をコントロールとして採用する難しさの理由はいくつかありますが、その中の1つに定義の曖昧さがあります。あるサービスに関し、ある人はクラウドサービスだと考え、別の人はそう考えないかもしれません。おそらく、食べログやYahoo! 天気予報をクラウドサービスだと思う人は少ないでしょう。では、facebookはどうでしょうか。Slackは?

クラウドといえばNIST SP 800-145の定義が著名ですが、これはIaaSにはよく妥当するものの、ASP/SaaSには必ずしも妥当しないと私は思います。といって、官民データ活用推進基本法の「インターネットその他の高度情報通信ネットワークを通じて電子計算機を他人の情報処理の用に供するサービス」は、実務で使うには広すぎます。

現実的な解の1つは、そのサイトがクラウドサービスに該当するか否かの議論は脇においておき、危険なサービスをブロックしてしまうことです。そして、ブロックの解除を許可制とするとともに、ブロックされていないサービスについては、ひとまずは使ってよいと定めるのです。

多くのCASB製品は、クラウドサービス自体の安全性評価を行っています。この際、Cloud Security AllianceのCloud Control Matrixなど、何らかの評価基準を採用しています。この尺度に従って、リスクが非常に高いとされているサービスをブロック対象とすればよいでしょう。その値を定めるには、リスク値の分布が役に立ちます。

図 CASB製品が示すリスクスコア(Skyhighの例)

CASB製品が持っているクラウドサービス情報は、脅威インテリジェンス以上に重要なインテリジェンスだと私は思います。NISTサイバーセキュリティフレームワーク1.1ではサプライチェーンのマネジメントが新たに記載されましたが、外部委託であるクラウドサービスの効率的なマネジメントに第三者評価は欠かせません。できることなら、CASBベンダーにはこの情報を格納したデータベースだけAPIで提供してほしいくらいです。

次回、届出制を採用した場合の運用方法を検討します。

〈お断り〉
本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係するものではありません。

 

CASBWGリレーコラム(第6回)「IT規制改革を支えるCASB」

IT規制改革を支えるCASB

2018-05-08
CASBワーキンググループ
渡辺 慎太郎(個人会員)

「シャドーIT」という言葉を見かけることがあります。IT部門が知らぬ間に導入されるITシステムを指すようです。そして、シャドーITを発見するための道具としてCASBが紹介されることもあります。

ただ、個人的にはこの単語には違和感を覚えます。デジタルトランスフォーメーション(DX)が喧伝され、RPAなど企業活動におけるIT依存が高まる中、すべてのITシステムをIT部門が開発・調達することは現実的ではないでしょう。シャドーというと良からぬ響きを与えますが、事業部門や機能部門の自律的なIT利活用は、むしろ推奨されても不思議ではありません。

政府のサイバーセキュリティ戦略本部は「サイバーセキュリティ人材育成プログラム」(2017年4月18日)の中で、「新しいITの利活用における体制例」を掲げました(p.8)。そこでは、事業部門がIT部門を介さず、直接ベンダー企業やクラウド事業者と契約してITを利活用する姿が描かれています。

出典 サイバーセキュリティ戦略本部「サイバーセキュリティ人材育成プログラム」(2017)

上の文書を読んだとき、20年以上前に橋本内閣の下で「金融ビッグバン」として実行された金融規制改革を私は想起しました。過度な行政指導による護送船団方式が生み出す非効率な状況から脱却すべく、自由・公正・国際化を旗印にして改革を推進した当時の課題意識が、現在の企業においてIT利活用を推進する際の課題意識と重なって見えたのです。デジタルトランスフォーメーションの実現には、IT規制改革が不可欠だと思わされました。

規制改革の基本は、事前規制から事後チェックへとコントロールの力点を移すことです。そのためには、(裁量ではなく)明快なルールと適切な証跡とを必要とします。各部門の自律的なIT利活用が進めば、企業が利用するクラウドサービスの数は自然と増大するでしょう。

CASBを追加的なセキュリティ対策とみなすよりも、事前規制を緩和してIT利活用を促進するために必要な措置だと考えるほうが適切かもしれません。次回は、事前規制の緩和にCASBを利用する方法を検討します。

 

〈お断り〉
本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係するものではありません。