疑問その5「CASB利用5つの目的といえば?」~日商エレに聞く、CASBとクラウドセキュリティの疑問 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.06.18(火)

疑問その5「CASB利用5つの目的といえば?」~日商エレに聞く、CASBとクラウドセキュリティの疑問

もっとも一般的な CASB の利用目的として挙げられるのは、従業員による許可されていないクラウドサービス利用を検出する、いわゆるシャドウ IT 対策です。

製品・サービス・業界動向 業界動向
 企業のクラウド利用を可視化し、安全管理と効率利用を実現するために登場した CASB( Cloud Access Security Broker )でしたが、利用目的や、クラウドサービスの活用度合いなどによって、その実装・運用方法はさまざまです。近年 CASB を巡る課題は各社複雑化し、もはや CASB そのものの可視化が必要となりつつあるといっても過言ではありません。

 こうした状況をふまえ本連載は、現状把握と課題整理を行うことを目的に、CASB とクラウドセキュリティに関わる、ユーザー企業が持つ代表的かつ典型的な疑問を取りあげ、クラウドセキュリティの専門企業にその実際を聞きました。

 今回疑問にこたえるのは、日商エレクトロニクス株式会社で、さまざまなクラウドセキュリティの難問にこたえ、実装と運用を行ってきた 3 人のメンバーです。

 疑問その1では、日本企業の「気は心」のIT利用実態を、疑問その2では金融系企業のクラウド不信を解決するために日商エレが敢行したインポッシブルミッションを若干の脚色を交え紹介しました。
 疑問その3ではクラウドのセキュリティを担保するもうひとつの選択肢 Secure Web Gateway について語り、疑問その4は、現場の CASB 製品選定の実例を紹介してきました。

 今回の疑問その5では、前回言及した「細かい制御」によって達成する、各企業毎にバラエティに富む CASB 利用の目的について取り上げます。

●目的その1「シャドウ IT の検出とリスク評価」

 もっとも一般的な CASB の利用目的として挙げられるのは、従業員による許可されていないクラウドサービス利用を検出する、いわゆるシャドウ IT 対策です。

 CASB サービスベンダは、日々機能追加と更新が行われる、膨大な数のクラウドサービスのセキュリティリスクを継続評価、その情報をユーザー企業へ提供しています。管理担当者は、それを判断材料としてシャドウ IT として発見されたサービスへの対応を決定します。

 たとえばシマンテックの Cloud SOC は、7 つの基軸に分かれる 100 を超える評価項目でクラウドサービスのリスクを分析、スコアリングしています。

シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部
シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部


シマンテック Cloud SOC による Office 365 の評価画面、7 基軸はレーダーチャートで示される
シマンテック Cloud SOC による Office 365 の評価画面、7 基軸はレーダーチャートで示される


●目的その2「クラウドサービスの利用ルール策定」

 「利用を許可していないクラウドサービスへの接続はすべて NG」一昔前の IT 部門であれば、強いガバナンスを効かせる、こんな対応で満点だったかもしれません。しかし現在は、新しい IT の利活用によって企業の競争力を積極的に高めるため、ガバナンスと IT のバランスが求められています。メジャーで優れたクラウドサービスだがセキュリティ上問題があるから一律で利用禁止、といった対応を行えば、自分を成長させてくれない環境と判断、優秀な若者から順に退職しかねない時代といってもいいでしょう。

《株式会社イメージズ・アンド・ワーズ 鳴海まや子》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×