CASB(キャスビー)とは?主な機能や導入方法、SWGとの違いについて解説します
目次[非表示]
- 1.CASBとは
- 2.CASBの4つの要件
- 2.1.クラウドサービスの可視化
- 2.2.データの保護
- 2.3.コンプライアンスのコントロール
- 2.4.脅威防御
- 3.CASBの導入方法
- 4.CASBとSWGの違い
CASBとは
CASB(Cloud Access Security Broker)とは、2012年にガートナーによって定義されたクラウドサービスに関するセキュリティについての概念です。
企業がオンプレミスのシステムからクラウドベースのサービスに移行するにつれて、アクセス制御やデータの保護に関するセキュリティリスクが生じました。また、「シャドーIT」と呼ばれるような、企業の管理下にないクラウドサービスの利用も増加したことで、それらの把握しリスクを制御するニーズが生まれました。CASB製品は、クラウドサービスとユーザーの間に位置してセキュリティポリシーを適用し、クラウドの利用を管理・可視化することが可能です。クラウドサービスの活用が進む大手企業を中心に導入されるようになってきています。
CASBの4つの要件
CASBを構成する要件としては、クラウドサービスの可視化、データの保護、コンプライアンスのコントロール、脅威の防御の4つがあります。
クラウドサービスの可視化
企業が使用しているクラウドサービスを検出し可視化します。サービスの使用状況をモニタリングすることで、どのユーザーがどういった操作を行なっているのかを把握することができるようになります。企業の管理下にない、シャドーITとなっているクラウドサービスを検出することも可能です。
データの保護
クラウドサービス上のデータを暗号化、マスキング、トークン化等の手法によって保護します。また、重要データをラベルやキーワード等から識別しユーザーのアクセス権限に基づいて制御することで、データの持ち出しや不正なアップロードを禁止することが可能となります。こうしたデータ保護の機能はDLP(Data Loss Prevention)とも呼ばれますが、CASB製品の中には他のDLP製品と連携して動作するものも存在します。
コンプライアンスのコントロール
組織が設けているセキュリティポリシーに基づいて、CASBで管理されているクラウドサービスを一元的に制御します。禁止されたクラウドサービスの利用をを検知・遮断したり、機微な情報を含むファイルの取扱いに制限をかけることもできます。国際的なベンチマークや一般的なコンプライアンス基準に準拠しているか判定する機能を持つCASB製品も存在します。
脅威防御
不審なアクセスや操作、マルウェア等の脅威を検出し、防御します。企業が許可していない端末やユーザーのアクセスを禁止する機能を提供します。
CASBの導入方法
CASBの導入には、以下の4つが主な選択肢となります。
フォワードプロキシ
従業員のデバイスに特定のクライアントソフトウェア(エージェント)をインストールする方法です。このエージェントがクラウドサービスへのトラフィックをCASB経由に変更することで動作します。
主に、企業が管理するデバイス上でのクラウドサービスの使用を管理・制御するために使用されます。
リバースプロキシ
クラウドサービス側にCASBのプロキシを配置し、クラウドサービスからのアクセスを中継する方法です。クライアント側に特定のエージェントのインストールが不要となるのがメリットですが、未承認のクラウドサービスを検知することはできません。
主にBYOD (Bring Your Own Device) など、企業が直接管理しないデバイスでのクラウドサービスの使用を管理・制御するために使用されます。
API連携
CASBがクラウドサービスのAPIを利用して、クラウド内のデータや操作をモニタリングする方法です。リアルタイムのトラフィック中継は行わないため、不正な操作を未然に防ぐといったことはできませんが、通信内容だけでなくクラウドサービス側の持つ情報を活用できるのがメリットです。
クラウドストレージやグループウェアといったSaaSのデータ保護やコンプライアンス確保に特に有用です。
ログの分析
すでにあるネットワークログやセキュリティデバイスのログ情報を利用して、クラウドサービスの利用状況やセキュリティリスクを分析する方法です。
この方法ではアクセス制御やデータ保護等の操作に介入する機能は利用できませんが、シャドーITの発見や利用状況の分析には有用です。
CASBとSWGの違い
CASBを次世代型SWG(Secure Web Gateway)と表現しているソリューションもあります。CASBとSWGの違いについて説明します。
CASB(Cloud Access Security Broker)
CASBは、企業が使用するクラウドサービス(特にSaaSアプリケーション)のセキュリティを強化するためのソリューションです。クラウド環境特有のリスクを対象とし、その環境内のデータとアクセスを保護します。
主要な機能:
- クラウドサービス利用状況の可視化、シャドーITの検出
- 暗号化等によるデータの保護、機密データへのアクセス制御
- コンプライアンス遵守のためのクラウドサービスに対するセキュリティポリシーの適用
- 不審なアクセスや操作、マルウェア等の脅威からの防御
SWG(Secure Web Gateway)
SWGは、ユーザーがインターネットやWebアプリケーションに安全にアクセスできるようにするためのソリューションです。フィッシングサイトやWeb感染型のマルウェアなどのWebベースの脅威を対象とし、ユーザーのWebブラウジング活動を保護します。
主要な機能:
不適切またはリスキーなWebサイトへのアクセスのブロック
- マルウェアやフィッシングサイトからの保護
- URLフィルタリングやコンテンツフィルタリングによるアクセスの制御
SWGとの違い
CASBはクラウドサービスのセキュリティに焦点を当てていますが、SWGはWebトラフィック全体のセキュリティを目的としています。また、CASBにはクラウド環境内のデータ漏洩リスクやコンプライアンス違反リスクに関する機能がある一方で、SWGはWeb上のマルウェアやフィッシングなどの攻撃に対するリスクを対象としています。
ただしSWGも、CASBと同様にWebへのアクセスの間にプロキシを挟むのが主な導入方法となります。このため、CASBとしての機能とSWGとしての機能をあまり区別せず、次世代型SWGやSASEソリューション、ゼロトラストソリューションといった形でトータルソリューションとしてCASBを提案する会社も存在します。
(編集:Assured編集部)
