カテゴリー別アーカイブ: CASB

CASBWGリレーコラム(第2回)「CASB v.s. SWG – クラウドセキュリティ?それともウェブセキュリティ? -」

コメントをどうぞ

CASB v.s. SWG
– クラウドセキュリティ?それともウェブセキュリティ? –

株式会社シマンテック
高岡隆佳

現場で聞こえる混乱の声

前回紹介したCASB(クラウドアクセスセキュリティブローカー)。企業におけるセキュリティ要件としてCASBへの対応を挙げる企業が増えているのは事実だが、それと同様にCASBが満たす要件と企業側の要件についてズレが見られるケースが増えてきている。CASBはその名の通り、クラウドへのアクセスについてセキュリティを一元的に担保するための仲介者(ブローカー)となるわけだが、兎角、クラウドセキュリティと従来のウェブセキュリティの要件が曖昧な企業においては混乱を招く結果となる。当方が考える現時点において最も多い混乱の一つが、CASBとSWG(Secure Web Gateway)の領分の違いからくるものだ。

従来企業はウェブアクセスを安全に管理するための手段として、プロキシを利用し、通信先のURLカテゴリを判定し、場合によっては有名なウェブアプリケーションであれば認識した上でSSL通信内部のダウンロードコンテンツをアンチウイルスやサンドボックス処理で分析したり、また証跡をアクセスログとしてインシデント対応に役立ててきた。場合によってはプロキシでDLP連携することで所定の機密情報の流出をブロックしたり、暗号化した状態で外部へ送信するなどのコントロールポイントとして活用してきた。SWGはオンプレミスのプロキシをクラウド上のプロキシへポリシー連携させ、社員外出時やプロキシの置けない拠点であっても企業のウェブセキュリティを適用できるように考慮された、いわばハイブリッド型のウェブプロキシになる。(SWG自体は10年前にGartnerが定義した技術要項)

“Secure Web gateway solutions protect Web-surfing PCs from infection and enforce company policies. A secure Web gateway is a solution that filters unwanted software/malware from user-initiated Web/Internet traffic and enforces corporate and regulatory policy compliance. These gateways must, at a minimum, include URL filtering, malicious-code detection and filtering, and application controls for popular Web-based applications, such as instant messaging (IM) and Skype. Native or integrated data leak prevention is also increasingly included.”
引用1 Gartner IT Grossary secure web gatewayhttps://www.gartner.com/it-glossary/secure-web-gateway/)

 

企業の要件はクラウドセキュリティか

これに対してCASBは前回の記事でも整理したように、クラウドプロキシで終端したクラウドアクセスに対するセキュリティ機能の提供や、各アプリケーション提供APIによる詳細なデータアクセス制御、シャドーITと言われるリスクの高いアプリケーションに対する制御に限定されるため、CASBがクラウドアプリとして判定しなかった通信先への制御が対象外となるのはもちろん、その他インターネットサイトについての制御も、C&C通信などについても対象外となる。

一方でCASBにしかないメリットとしては、ユーザがクラウドにアップロードしてしまったデータに対して、APIを通じた何がしかの情報流出対策ポリシーが後出しでかけられる点だろう。このため一般的にはAPIを通じて企業が定めるDLPポリシーを業務SaaSに広く適用し、業務SaaS経由での情報流出リスクを低減するといった使い方が多いようだ。ただ最近ではSWG自体がCASB機能を包含してしまっているケースもあるため、厳密なCASBだけのメリットというのも定義は難しくなっているのも現場の混乱を招いている一因と言える。実はこれについてはGartner2016年のGartner Summitにおいて、CASBはやがてネットワークファイアウォール、SWGWAFなどにパッケージ化されていくだろうという予測を出しており、導入する側の企業としては、その要件について純粋なCASBが満たすのかそれともパッケージ化された既存技術が適切なのかを判断するよう説いている。

余談だが、シマンテック内部ではすでに約40種類のクラウドアプリケーションを業務で採用しており、それらのアプリケーションはSWGベースのCASBを通じて、ユーザが社内にいても出張先にいても同様のセキュリティが適用されている。もちろんクラウドだけでなく一般のウェブアクセスについても、データに対する制御や監査が適用される。採用するクラウドの数が増えれば増えるほど投資効果が出るのがCASBだが、クラウドシフトがまだ過渡期である日本企業にとって、CASBという技術が渡りに船となるかどうかは、企業がクラウドシフトをどの程度本気で検討しているかで決まるのかもしれない。

図1 CASBSWGのセキュリティ要件の違い

 

 

 

CASBWGリレーコラム(第1回)「日本企業がCASBに求めるものとは? - CASBがバズワードで終わらない理由- 」

コメントをどうぞ

日本企業がCASBに求めるものとは?
– CASBがバズワードで終わらない理由 –

株式会社シマンテック
高岡隆佳

注目の技術“CASB”到来

昨今のセキュリティ記事やイベントでよく耳にするようになった“CASB”。なんとなくその存在を知っているという人と、すっかりCASBの実用に向けて検討を進めている、ないしは導入済み、運用中といった企業が大きく分かれる、まさにこの新技術がブレークする直前の過渡期の様相となっている。

まだご存知ではない方にこのCASBの概略を説明すると、2013年にGartnerが提唱した技術で、“CASB = Cloud Access Security Broker”の呼び名が体を表しているように、「クラウドの利用において安全を担保してくれる仲介者」としての機能を提供する、新しいセキュリティ・レイヤーだ。管理者すら認識していない個々のユーザのクラウド利活用を「可視化」し、企業の「コンプライアンス」を満たさない脆弱なクラウドアプリを排除、SSL通信内に潜む機密情報の流れを把握しつつ、成りすましや情報流出に繋がるユーザのクラウド上の活動をふるまい分析などにより、「脅威の防御」が可能になる。併せて、クラウドに保存される機密情報を暗号化やトークン化(匿名化)、本人認証などを組み合わせて「データ保護」することで、クラウドというグレーなプラットフォームを「企業側でコントロール」することができ、結果として企業はサーバなどの投資やメンテナンスといった負担から開放されつつも、拡張性に富んだクラウド上で安全にビジネスデータを利活用できるようになる。

図1 CASBを構成する4つの柱

日本におけるCASBのニーズ

そんなCASBが日本において本格的に導入が始まったのは2015年以降、O365やBOXといった業務アプリケーションの導入が一気に進んだ頃だ。メール、そしてファイルストレージといった企業のデータ共有を主とするアプリケーションがクラウド化することにより、「安かろう悪かろう」といったクラウドの価値観は企業の中で崩壊を迎えた。

なぜなら、そもそも企業が今までセキュリティに投資してきた主たる目的は企業内の資産、すなわち「データ」を様々な脅威(標的型攻撃や内部不正など)から守ることであり、そのためにあらゆる技術を組み合わせて多層防御網を構築してきたわけで、さらにはそれらの網を健常化するための監視役として、SOCやCSIRTといった専任部隊にも投資を行ってきた。

しかしクラウドシフト、最近では「働き方改革」といったワークスタイルの変革により、「データ」自体がオンプレミスを離れ、さらにはユーザ自体が多層防御の効かない企業外から、同じアカウントを別のパソコンから(場合によってはスマートフォンから)利用することでもアクセスが可能になってしまった。

つまり、クラウドに上がってしまったデータについてはそれぞれのクラウドアプリケーション側のセキュリティに依存してしまうものの、SLA上クラウド側のデータ損失や漏洩については一般的に保証されず企業責任となってしまうにも関わらず、クラウドに上がったデータ、そして企業外からのクラウドアクセスについて何かしらの対処を打つ必要性が出てきた。それこそがCASBに対する期待値およびニーズの根源となっている。企業がオンプレで利用していたセキュリティ機能をクラウドへ適用し、SOC/CSIRTの監視対象にクラウドも巻き込めるようになるものこそがCASBなのだ。もはや企業にとってクラウドは、データ活用のためには無くてはならないプラットフォームであり、活用する以上はオンプレと同様にセキュリティ投資をすることで十分なメリットを享受し、投資効果を得るという考え方にシフトしてきているのだ。

図2 CASBとは各クラウドに対する企業のバーチャルSOC的なもの

CASBの適用方法は一つではない

クラウドを安全に活用する、というゴールは一つだが、Gartnerが定義しているCASBの適用手法としては大きく分けて以下の3通りがある。

0)    シャドーITの可視化:オンプレミスのネットワーク機器(FWやプロキシ)および端末のログをCASBプラットフォームで解析させることで、どのユーザがどのようなアプリケーションをどの程度活用しているかを可視化、いわゆる野良クラウド(シャドーIT)を制御するための情報を得る

1)        業務アプリの自動リスク制御:O365やBOXなど、企業としてアカウントを払い出している(投資している)アプリケーション毎に、外部ドメインへの機密ファイル共有といったリスクあるユーザのふるまいを検知、その都度共有解除や権限変更、またはファイル暗号化や認証といったセキュリティ制御をリアルタイム自動的ににかけていく

2)      一元的なクラウド利用ポリシーの適用:モバイルからもオンプレミスからもユーザのクラウド通信をプロキシ(ないしはクラウドプロキシ)で終端することで、リスクの高いデータの流れやユーザのアクセスをブロックし、また各クラウド利用におけるユーザの証跡(アクセセスログ)を一元的に確保することで、オンプレミスのSOC/CSIRT機能をクラウドまで含めて運用可能にする

シャドーIT可視化を0としているのは、一般的にCASB製品ベンダーが提供するサービスにおいて、企業におけるシャドーIT利用状況把握のための評価期間(通常1か月程度)を提供しているケースが多いため、CASB導入前のアセスメント的な立ち位置として捉えるケースが多いからだ。(有料サービスであれば、定常的にログを分析し、シャドーIT利用の統計を取ることも可能だ)

一般的にはAPI型による業務アプリケーションごとの詳細な制御や、ゲートウェイ型(プロキシ型)による横断的なクラウドの制御を行うことで継続的にクラウドアクセスを制御する手法自体が優先されるケースが多いのも日本ならではの要件かもしれない。

3  CASB実装方法

このように様々なクラウドセキュリティ要件を満たせるCASB。働き方改革やモバイルセキュリティについて検討をしている企業であれば、ぜひ一度CASBについて評価・検討してみてはいかがだろうか。

 

CASB-WG リレーコラム始めます!

コメントをどうぞ
CASBワーキンググループ・リーダー
上田光一

 

今、本稿に目を通して頂いている読者の皆様は、CASBもしくはクラウドセキュリティ全般にご興味のある方と思います
CSAジャパンのCASB-WGは発足からちょうど2年、CSAグローバルに上位活動を持たないCSAジャパンとしての独自活動を展開して参りました。ちょうど1年程前には、日本国内でのCASB理解に一石を投じるべく、独自に執筆したホワイトペーパーをリリースしました。(こちらからダウンロードできます)。
それから1年、市場でもCASBに関する話題には事欠きませんでした。ホワイトペーパーのリリース前後には、CASBベンダのNetskopeが日本上陸、11月にはGartner社がCASBのMagic Quadrantの初版をリリースしました。それとほぼ同時期に、大手セキュリティベンダのMcAfeeがCASBベンダの老舗Skyhigh Networksを買収する、といったニュースが飛び込んできました。今やCASBというキーワードは一般化し、ますますホットなものになってきたと言えるでしょう
ただ悩ましいのはベンダやプレイヤーも増加する中で、当初Gartner社が提唱してきたコンセプトとは少しずつ違った切り口での情報も目に付くようになってきたことですこういった変化自体はGartner社自身が認めていることでもあり、新技術の定着過程において起こりがちなことでもありますこれは良い意味では、Gartner社のコンセプトありきという段階から、より実地に即したものに進化してきたと見ることができるでしょう。ただホワイトペーパーのような一元的情報編纂の取り組みについてはその完成時には環境変化により、あるいは物足りないものとなってしまう懸念があることも事実で
そこでCASB-WGとしては、タイムリー、コンパクトかつ多様性のある情報発信を意図し、これから数回に分けて本ブログにてリレーコラムとして記事をアップしていくことと致しました。複数のCASBベンダー、再販パートナー、利用者組織等々、様々な観点で執筆していく予定となっております。ぜひ楽しみにして頂ければと思います
なお本ページは、リレーコラムのインデックスとなるよう以下にリンクを追加していきます。

 

  1. 第1回:「日本企業がCASBに求めるものとは?- CASBがバズワードで終わらない理由- 」 株式会社シマンテック 髙岡隆佳 (2018年2月27日公開)
  2. 第2回:「CASB v.s. SWG – クラウドセキュリティ?それともウェブセキュリティ? –」 株式会社シマンテック 髙岡隆佳 (2018年3月16日公開)
  3. 第3回:「GDPRとCASB」CASBワーキンググループ 橋本知典 (2018年3月24日公開)
  4. 第4回:「アンケート調査で明らかになった、日本のシャドーIT意識の実態」 NTTテクノクロス株式会社 井上淳 (2018年4月10日公開)
  5. 第5回:「「原則と現状のはざま」をCASBで対策できないか」 CASBワーキンググループ・リーダー 上田光一 (2018年5月7日公開)
  6. 第6回「IT規制改革を支えるCASB」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年5月8日公開
  7. 第7回「インテリジェンスとしてのCASB」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年6月18日公開)
  8. 第8回「クラウドサービス利用のモニタリングとラベリング」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年9月8日公開)
  9. 第9回「クラウド利用者とクラウドプロバイダ:双方の言い分」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年9月8日公開)
  10. 第10回「CASBはデータガバナンスの登竜門となる?」株式会社シマンテック 高岡隆佳 (2018年12月6日公開)

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

コメントをどうぞ

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

日本クラウドセキュリティアライアンス
諸角 昌宏

7月28日に行われた第14回CSA勉強会について報告します。テーマは、「CASB (Cloud Access Security Broker)概要、ケーススタディー」ということでした。クラウドセキュリティの新たな潮流であるCASBは、あらゆるクラウドサービスの安全な利用のためのテクノロジになります。今回、日本で真っ先にCASBソリューションを展開しているマクニカネットワークスさんのみなさまに、CASBとはなにか、どのように使われるものかについて、デモを交えて説明していただきました。

まず、ブローカーという言葉とクラウドセキュリティをどのように結び付けているのか、というのがCASBという言葉を最初に聞いた時の感覚でした。ユーザの代理でクラウドセキュリティを担保してくれるようなサービスであれば、それは望ましいことですが、果たしてそんなことが可能なのでしょうか。もし、サービスを使っている状況でセキュリティ侵害が発生したら、保証問題になってしまうのでしょうか。ということで、あまりビジネスモデルが思いつかない状況で今回の勉強会を聞きました。

さて、クラウドの利用者は、どのような基準でプロバイダやクラウドサービスを選べばよいのでしょうか。CSAのガイダンスでも言っているように、基本はプロバイダとの契約にどこまで要件等を落とし込めるかになります。しかしながら、プロバイダが提供している情報でどこまでプロバイダを選定することができるか、また、クラウドの場合、サービス自体がサプライチェーンとなっている場合も多く、それらを含めてすべて理解することはほぼ不可能です。そのように考えていくと、CASBが徐々に見えてきます。CASBは、最初にガートナーが定義したところによると、「1つ以上のクラウドベースサービス全体で、単一のポリシーを適用できる」とのことです。要は、クラウドサービス(群)とユーザの間にアクセスポイントを提供し、そこでセキュリティポリシーを強化していく技術であるということになります。特に、シャドーITのように、利用者側で使われているクラウドサービスがコントロールできないような環境において、CASBが仲介することでコントロールを可能にするテクノロジになります。

CASBは、ガートナーの予想では、今年の市場規模が$100M、2018年には$400Mに達するということで、既に10社を超えるCASBベンダーが存在しているようで、この3年間で最も注目されるテクノロジとのことです。また、別のデータとして、1企業が利用しているSaaSアプリケーションの平均が1.083個であるとのことです。これは、シャドーITを含めた数字になりますが、相当数のSaaSアプリが既に使われていることがわかります。
さて、CASBですが、以下の4つの柱からできています:

  1. 可視化
  2. コンプライアンス
  3. データセキュリティ
  4. 脅威防御

この4つの柱を見ていくと、CASBの活用事例が見えてきます。まず、クラウド利用の現状を把握します。いわゆるシャドーITの実態を可視化により把握できるようにします。次に、クラウドサービスを管理された状態にします。これにより、コンプライアンス要件を満たしていくようにします。また、既存のテクノロジ(DLP等)と連携し、データ保護、脅威防御を実現し、オフプレミスでのデータ活用を促進できるようにします。最後に、クラウドサービスのライフサイクル全体を支援することで、ビジネスの俊敏性を実現していくことになります。

勉強会では、さらにSkyHighのデモを交えて、具体的にCASBでどのようなことができるかを説明していただきました。2つのIT(シャドーITと許可されたIT(sanctioned IT))で、どのようにCASBが利用されるかというデモでした。

  1. シャドーIT
    シャドーITに対しては、CASBの持つ可視化機能によって、すべてのクラウド利用状況を把握することができるようになります。また、クラウドサービスのリスク判定を行い、リスクアセスメントポイントを設定しています。これは、SkyHighがCSAのCCMをベースに独自に調査を行ったもので、既に4,000以上のSaaSアプリケーションが登録されています。ユーザは、このポイントを基にリスクを判断し利用するかどうかを決定することができます。
  2. 許可されたIT
    ログ等を集め解析を行います。これにより、監査証跡、ポリシーの強化、コンプライアンス対応等を行うことができます。また、イベントに基づく検知や脅威防御を、DLP製品等と連携して行うことができます。

以上のように、クラウド利用において問題となるセキュリティ対策を、利用者とクラウドサービスの間に立って行うことができるということから、今後、期待されるテクノロジということができます。解決しなければならない問題、たとえば、CASB自体が単一障害点になったり、ボトルネックになったりする可能性や、モバイルを用いた外部ネットワークからのアクセスの対処などが考えられるようですが、解決が難しい問題ではないと考えられます。

最後に余談ですが、CASBとタイプしようとして、CSABとタイプしてしまうことが結構あり、職業病かなと思うところもあります。CSAB(CSA Broker)なんて存在が必要にならないよう、CSAも地に足を付けて頑張らなければと思います。

以上、概略ですが、勉強会の報告といたします。

以上