導入時は他の IT 系プロジェクト同様に要件定義をきちんと詰めなければなりませんが、CASB の場合、複数のクラウドサービスの細かい仕様が関わる点や、新しい製品であるために、ユーザー企業側が慣れておらず難易度は低くはありません。
たとえば「今使っているクラウドサービスをよりセキュアに利用したい」という要件未満のふわっとした要望から、Office 365 や AWS で用意されている数十のサービスのうち、どのサービスについて、それぞれ何を目的にどの機能をどう制御したいのか、というところまで細かく落とし込む必要があるからです。
また、ひとたび運用が始まると、きめ細かく設定できるがゆえに、自社の目標に沿った運用に、ルールを調整しながら一歩ずつ近づけていくことになります。費用対効果を出すためには使いこなさなければならず、入れて終わりの製品ではなく、典型的な「入れてから始まるセキュリティ製品」と言えるでしょう。
● CASB が止まったら、SaaS にもアクセスできなくなる?
CASB も SWG(Secure Web Gateway)も実態としてはクラウドサービスですので、これもよくある疑問です。
しかし、データセンター内部で冗長構成が取られた上に、主要な CASB ベンダーでは国をまたいで冗長化しており、1か所のデータセンターで障害が発生しても他に接続されます。若干の遅延が生じても、サービスが停止することはありません。また、API 型 CASB であればユーザーの通信は CASB を経由しないので、クラウドサービスの稼働の有無がユーザーの利用に影響を与えることはありません。
なお Symantec Cloud SOC は自前のデータセンターではなく、AWS(Amazon Web Services)をインフラとして用いています。AWS は世界各地にデータセンターを持つので、最も近く通信効率が優れたデータセンターに接続し、通信速度の低下を抑えることができます。
● 自社開発した Web アプリケーションは CASB で制御できない?
クラウドサービスを、API 型の CASB でいかに繊細に制御できるかは、クラウド事業者が用意しているセキュリティ制御用の API のきめ細かさと、CASB ベンダーの API への追随状況によって異なります。
一方、自社で開発した Web アプリケーションについては、CASB 側でサービスの仕様が分からないため、CASB のセキュリティ制御を適用することはできません。ただし、自前の Web アプリケーションサービスへのアクセス制御を行いたいという要件に対しては、 Secure Web Gateway を用い、通常のドメインやカテゴリで通信をフィルタリングすることは可能です。
なお、パソコンなどにインストールして使用するネイティブアプリについては、Web 上での通信ではないため、Web に特化した CASB や SWG の守備範囲ではありません。
●利用するパソコンやスマートフォンにエージェントをインストールする必要はある?
エージェントを端末に導入すると、反応が遅くなったり、IT 管理部門の工数が増えるデメリットがあります。資産管理やネクストジェネレーションアンチウイルス等々、すでに複数のエージェントをインストールしているような場合なおさらです。
CASB ベンダーによってはエージェントがマストの製品もありますが、Symantec Cloud SOC の場合は必須ではありません。ただし、クラウドサービスを利用する端末を識別したい、という要件がある場合には必要になります。
●シャドウ IT をその場でシャットアウトできる?
SWG やファイアウォールでは、経由する通信をすべて監視し、不正な通信はその場で遮断します。CASB の場合も同様に、Proxy の設定をすれば、その場でシャドウ IT を可視化できる、と誤解されているケースがたびたびあります。
しかし CASB は、API 等でログを一定頻度で収集・解析してから、シャドウ IT に相当する通信を特定します。そのため厳密な意味でのリアルタイム、即時でのアラート発報や遮断等には対応していません。
不正検知に関しては日商エレクトロニクスにこんな事例がありました。とある企業で、近日退社予定の社員のアカウントを用いて、普段はほとんど使用していないファイル共有システム(会社が利用を認めた正規サービス)に、大量のファイルがアップロードされていることが検知されました。
この場合、正規のアカウントからのアクセスであれば、クラウド事業者側のセキュリティ対策には元より引っかかりませんし、 Secure Web Gateway など他のソリューションでも、そもそも許可された通信なのですから、問題のある行動だとは認識されません。
ここが CASB の出番で、CASB は振る舞いを分析し、普段とは異なる行動「内部不正が疑われる行為」としてアラートを発報しました。アラートを受け日商エレクトロニクスは、マネージドセキュリティサービスの一環として、顧客に報告を行ったそうです。
日商エレクトロニクスは、昨 2018 年 10 月にセキュリティサービス「Nissho Cross Platform - Cyber Security」(以下、NCPF-CS )をリリースし、幅広い分野の企業の支援に着手しました。上記の検知例で言及したマネージドセキュリティサービスは、NCPF-CS のサービスのひとつです。次回最終回は、こうしたサービスや、日商エレの各種知見の粋を集めて CASB 導入を行った先進事例を紹介します。
読者の皆様のCASBに対する「俺の疑問」「私の疑問」を募集しています。CASBを中心にクラウドセキュリティ全般に関する疑問点を、日商エレ公式サイトの下記問い合わせ窓口からお寄せください。
疑問質問フォーム
