月別アーカイブ: 2018年9月

CASBWGリレーコラム(第8回)「クラウドサービス利用のモニタリングとラベリング」

クラウドサービス利用のモニタリングとラベリング

CASBワーキンググループ
渡辺 慎太郎(個人会員)

いわゆるシャドーIT対策機能を有するCASBを組織で導入すると、その組織内で利用されているクラウドサービスが一覧化されるとともに、利用状況が可視化されます。

あまりにたくさんのサービスが可視化されてしまい、途方に暮れてしまうかもしれません。なすべきは、可視化された各クラウドサービスにラベルを付けることです。たとえばオペレーションの観点から、「社内標準」「全社許可」「一部許可」「不許可」「判定中」「対象外」などと分けます。なぜ「対象外」があるのかというと、CASBがクラウドだと判定していても、そうとは考えられないサイトが存在するからです。

「社内標準」はいいとして、「全社許可」「一部許可」「不許可」の判断が難しいかもしれません。これは、その組織のリスク許容度に依存するからです。ここでは、クラウドサービスを通じた従業員による情報の持ち出しを脅威シナリオとして想定し、方針決定の一例をご紹介します。

方針決定の際に使える変数は、主に3種類に分かれます。それは、主体(誰が使うのか)・対象(どんな情報を取り扱うのか)・環境(サービス自身は信頼におけるか)です。

理念的には、対象(どんな情報を取り扱うか)によって方針を定めるべきです。極秘の新製品情報と一般的な社外秘情報とを同列に扱うべきではありません。ただし実運用上は、対象による方針決定はモニタリングを困難にします。通信の中身を追わなければならなくなるからです。

そこで実践的には、主体に沿って方針を決定します。業務分掌が確立していれば、組織によって取り扱う情報が大まかに決まりますから、ある程度の近似になります。ただし、CASBが取得するネットワーク機器(Webプロキシーなど)のログからはアカウント名しか分からないでしょうから、組織と紐づけるためにActive Directoryなどのディレクトリーサービスと情報連携する必要があります。

L7まで見られる高機能ファイアウォールを使ってセキュリティゾーンを定義しているなら、その分類を活用するのが最善です。その際にはユーザーやセキュリティグループ単位で各ゾーンのアクセス制御を行っているでしょうから、それをクラウドサービスにも準用するのです。そうすれば、社内ネットワークと一貫性のある方針になります。

可視化されたサービスのラベリングが完了したら、定常運用に入ります。日次でモニタリングして新たに観測されたサービスをラベリングし、届け出のないサービス利用を発見したら正規手続きを促します。

最後に1点、注意すべき点があります。それは、CASBがクラウドサービスだと認識していないSaaS/ASPが、我が国にはたくさんあることです。届出制を採用している場合には、届けられたサービスがCASBに載っているかどうかをチェックし、載っていない場合には照会する手続きが発生します。CASBによってはアップロードのバイト数からSaaS/ASP候補を出力する機能がありますので、その機能を使って能動的に発見することもできるかもしれません。

〈お断り〉

本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係するものではありません。