進化を続ける企業向けセキュリティーで、近年のトレンドワードとして注目されるものの一つとして「CASB」が挙げられます。

この記事では、CASBの概要や機能とともに、他のトレンドワードとの違いなどについてもご説明します。

CASBとは？概要と機能

CASB(Cloud Access Security Broker)は、企業がクラウドサービスやアプリケーションを安全に利用するためのセキュリティーソリューションで、「キャスビー」と呼ばれています。不正アクセスやデータ漏洩を防ぐとともに、コンプライアンス要件を満たすための機能などを提供します。

CASBの主な機能として、以下が挙げられます。

• クラウドアプリケーションの検出と分類、リスク評価
• アクセスの制御と認証
• コンプライアンスの監視とレポート
• ユーザーとエンティティーの動作分析 (UEBA)

クラウドアプリケーションの検出と分類、リスク評価

組織内で使用されるクラウドアプリやサービスを自動的に検出し、あらかじめ許可されたアプリだけでなく、シャドーIT(非承認アプリ)も含めて可視化します。

その中でそれぞれのアプリに対して次のような項目を評価し、リスクスコアを提供します。

• データ暗号化の有無
• データ保存先の安全性
• コンプライアンスへの準拠状況

このリスクスコアに基づいて、安全性の低いアプリの使用を制限することで、クラウド利用の透明性が向上し、セキュリティーリスクを効果的に管理できます。

アクセスの制御と認証

クラウドアプリやサービスへのアクセスを管理します。認証時の条件として次のような情報を用いることで、状況に応じた細かなアクセス制御を実現できます。

• ユーザーの役割
• デバイスの種類
• 地理的な情報

疑わしいアクセスを検出した際には、リアルタイムに通知しつつ、必要に応じて自動でブロックするので、セキュリティー強化に繋がります。

コンプライアンスの監視とレポート

クラウドアプリやサービスの利用状況を可視化し制御することで、組織がHIPPAやPCI-DSS、GDPRなどといった規制要件への準拠をサポートします。

また、監視結果に基づくレポートを生成し、内部監査や外部規制への対応を効率化できます。

ユーザーとエンティティーの動作分析 (UEBA)

ユーザーやデバイスの行動を継続的に分析し、通常の利用パターンから外れた次のような異常行動を検出します。

• 大量のデータダウンロード
• 地理的に不自然な場所からのログイン
• 未承認アプリへのアクセス

機械学習やAI技術を活用したプロアクティブな分析をおこなうことで、従来のセキュリティーソリューションでは難しかった脅威への対応も可能となります。

他のセキュリティーとの違い

企業向けセキュリティー概念やアプローチ、フレームワークとして、あらゆるものが登場・提唱されています。その中でも注目度合いが高いものについて、CASBと何が違うのか、どのような関係なのかを説明していきます。

SIEMとCASBの違い

SIEM(Security Information and Event Management、サイアム)は、セキュリティーイベントのログを収集・分析し、脅威を検出するためのプラットフォームです。

CASBがクラウドアプリやサービスを対象とするのに対して、SIEMではクラウド・オンプレミスを問わず、ネットワーク全体の脅威を可視化・分析します。ただしSIEMでは、CASBが得意とするクラウド特有のアプリ管理やシャドーITは対象に含まれない(または制約がある)ことに注意が必要です。

次のように例えることができるでしょう。

• SIEM：　全体の防犯カメラシステム
• CASB：　その中で、特定ビル(＝クラウド)の入退出管理

ゼロトラストとCASBの違い

ゼロトラストは、「信頼せず、常に検証する」ことを原則としたアプローチで、細やかなセキュリティーを提供します。

CASBは、ゼロトラストによる戦略を実現するためのツールの一つであり、特にクラウド環境において大きな役割を発揮します。

次のように例えることができるでしょう。

• ゼロトラスト：　どこへ行くにもパスポートが必要な国
• CASB：　その中で、クラウドサービス用の入国管理局

SASEとCASBの違い

SASE(Secure Access Service Edge、サッシー/サシー)は、クラウド環境におけるネットワークとセキュリティーを統合したフレームワークです。WAN最適化やファイアウォール、ゼロトラストなどを含む包括的なアーキテクチャーで、リモートワークやクラウド利用の拡大を受けて注目されています。

CASBは、SASEの一部としてクラウドセキュリティーを担うことが多いです。

次のように例えることができるでしょう。

• SASE：　安全に整備された高速道路
• CASB：　その中で、特定サービス(＝クラウド)専用のゲート

統合型SASEにおけるCASBの重要性

前述したようにCASBは、SASEの一部としてセキュリティーを担うことから、その重要な要素となります。

SASEの中でも「統合型SASE」は、異なるベンダー製品を組み合わせる従来の「分散型SASE」とは異なり、ネットワーク機能とセキュリティー機能を高度に一体化したクラウドベースのワンストップ型サービスです。単一のダッシュボードを通じてネットワークとセキュリティーの管理が可能で、CASBは、この統合された体験を実現するために不可欠です。

CASBを統合型SASEに組み込むことで、次のようなメリットがあります。

• クラウドアプリ・サービスごとに、一貫したセキュリティー体制を実現
• セキュリティー管理を簡素化し、すべての通信や行動を可視化
• クラウドへの、シームレスかつ安全なアクセスを提供
• クラウド利用の拡大に合わせて、セキュリティーもスケールアップ可能

CASBは、企業ユーザーとクラウドサービスとの間のセキュリティーギャップを埋めるための、有効なソリューションです。可視性やデータ保護、脅威管理を提供することで、ネットワーク全体におけるセキュリティー強化・重要データの適切管理を後押しする重要な役割を担います。

さいごに

昨今の企業に求められるセキュリティーの中でもCASBは、SASEやゼロトラストなどとともに、欠かすことのできないものとなっています。

当社では、最適化されたSASEやSD-WAN、ゼロトラストなどを取り扱っており、多くの企業へこれらの導入をサポートしています。何かお困りのことなどありましたら、些細なことでもご遠慮なくご相談いただけますと幸いです。

関連コンテンツのご紹介

サービス紹介ページ

• クラウド時代のSASE対応グローバル SD-WAN

ブロードメディアでは、Aryaka(アリアカ)の日本国内パートナーとして、海外拠点と主要クラウドサービスやSaaSサービスとの接続性を大きく改善できる、グローバル対応のクラウド型WAN高速化＆最適化サービスを提供しています。

SD-WAN導入のご検討や、お困りのことがありましたら、ぜひご相談・お問い合わせください。