クラウドアクセスセキュリティブローカー (CASB) クラウドアクセスセキュリティブローカー (CASB) とは
クラウドアクセスセキュリティブローカー (CASB) は、クラウドサービスコンシューマーとクラウドサービスプロバイダー間に位置するセキュリティソリューションであり、SaaSアプリケーションへのセキュアな接続を仲介することで機密データを保護してデータ損失が起きないようにするとともに、サイバー攻撃を受ける可能性を減らします。
- CASBとは
- SASEにおけるCASBの位置付け
- CASBを検討すべき理由
- CASBの仕組み
- CASBの機能
- HPEとCASB
- HPE Aruba Networking CASBのメリット
CASBとは
Gartner社によると
機密性の高い企業データがデータセンター、パブリッククラウド (IaaS、PaaS)、またはSaaSアプリケーションに分散されている環境では、CASBはデータ保護、規制のコンプライアンス、脅威からの保護を保証し、セキュリティチームがオンプレミスデータセンターの枠を超えてクラウドやSaaSにまでゼロトラストネットワークセキュリティを拡張できるようにサポートします。CASBソリューションには、次の4つの機能があります。
- 可視化: 従業員が使用するすべてのユーザートラフィックとSaaSアプリケーションを可視化します。
- コンプライアンス: 複数のクラウド環境でホストされている機密データへのアクセスを制限することにより、GDPR、PCI DSS、HIPPAなどの規制のコンプライアンスを強化します。
- データセキュリティ: データセキュリティポリシーを適用してデータの不正な共有を防止し、SaaSプロバイダーとの間でのデータの使用状況を監視してスキャンします。
- 脅威からの保護: クラウドアプリケーションで異常な動作が検出されるたびに脅威を修復し、ランサムウェア、マルウェア、または侵害を受けたユーザーによるリスクを軽減します。
SASEにおけるCASBの位置付け
SASE (セキュアアクセスサービスエッジ) は、SD-WANとクラウド配信型のセキュリティサービスエッジ (SSE) を組み合わせたものです。SSEは、企業がパブリッククラウド内の機密データを保護してSASEのセキュリティビジョンの一部を実現できるようにする、クラウドアクセスセキュリティブローカー (CASB) などの主要なセキュリティサービスで構成されています。
CASBを検討すべき理由
機密性の高い企業データは、もはやサーバーのファイアウォール内に置かれるのではなく、データセンター、パブリッククラウド、またはSaaSアプリケーションに分散されています。また、ハイブリッドワークでは、従業員が安全でないネットワークを介してデータやアプリケーションにアクセスするため、企業やセキュリティチームに次のような重大なセキュリティの課題がもたらされます。
1. 従業員が (IT部門によって) 管理されているクラウドアプリケーションと管理されていないクラウドアプリケーションで機密データを共有 (アップロード/ダウンロード) するのを制限する方法。
2. IT部門によって明示的に承認されていないアプリケーションとサービスの使用 (シャドーIT) を制御する方法。
3. 厳格なデータプライバシーを義務付けるさまざまなコンプライアンス規制に対応する方法。
4. パブリッククラウドで機密データを保護し、BYODでのアクセスを制限する方法。
5. パブリッククラウド内のデータにマルウェアやランサムウェアなどがないかを監視し、従業員がそのような悪意のあるソフトウェアをダウンロードしないようにする方法。
今では、1クリックでクラウドサービスが提供され、従業員はそうしたサービスにチェックなしで簡単にアクセスできますが、従業員がGitHub、Dropboxなどの特定のアプリケーションを仕事とプライベートの両方で使用したり、データ分析やプロジェクトのワークフローの管理のために管理されていないアプリケーションでアカウントを作成したりすると、状況は複雑になります。このようなアクションは、セキュリティチームに目に見えない課題をもたらし、企業データを大きなセキュリティリスクにさらします。
CASBは、従業員が使用するすべてのクラウドサービスを可視化したり、SaaSアプリケーションの潜在的な脅威を監視またはスキャンしたり、脅威からデータを保護したり、コンプライアンス規制に対応したり、機密データの共有を制限したりすることにより、セキュリティチームが制御をクラウドにまで拡張できるようサポートします。
CASBの仕組み
CASBソリューションは、オンプレミスのハードウェアかソフトウェアを介して、またはクラウドサービスとして提供されます。CASBは、プロキシとAPIメソッドを使用して強力なセキュリティチェックを実施します。
- プロキシワークフロー: リアルタイムデータを検査するためのワークフロー。
1. ユーザーがSaaSアプリケーションかIaaSプラットフォームにアクセスしようとすると、CASBによってトラフィックが捕捉され、SSLの検査が実行されます。
2. CASBはアイデンティティを検証し、インラインCASBとデータ保護制御を介してポリシーを適用してアップロード、ダウンロード、共有アクティビティを制限します。コンプライアンスがチェックされ、リアルタイムのコンテキストの変化に基づいてアクセスが自動的に調整されます。
3. アクションを制限することにより、データ損失を防いでコンプライアンスを強化するために不正な動作が制限されると同時に、セキュアなSaaSアクセスがユーザーに拡張されます。
4. 管理者は、SaaSアプリケーションにアクセスしているすべてのユーザーのアクティビティを可視化できます。セキュリティポスチャが変化したり、ユーザーが不正なアクティビティを試みたりした場合は、アクセスが再評価されて管理者に警告が行われます。
- APIワークフロー: 蓄積データをスキャンするためのワークフロー。
CASBは、Microsoft Office 365、Salesforce、Workday、SharePointなどのクラウドサービスに保存されているデータを監視するために、アウトオブバンドアプリケーションプログラミングインターフェイス (API) セキュリティを活用します。CASBはこれらのクラウドサービスのAPIと統合され、マルウェア、ランサムウェア、悪意のあるソフトウェアなどのサイバー脅威をスキャンします。
CASBの機能
- インラインCASB: データがクラウドとの間を移動するときに、セキュリティポリシーをリアルタイムで適用します。これには、認証や暗号化などのセキュリティ制御が含まれます。
- CASB制御のためのSSL検査: 暗号化されたSSL/TLSトラフィックを検査して、潜在的な脅威やデータ漏洩を未然に防ぎます。トラフィックを解読することにより、CASBはセキュリティポリシーを適用して機密データを保護できます。
- アプリケーションとシャドーITの可視化: シャドーITとは、IT部門の明示的な承認を得ずにアプリケーションやサービスを使用することを指します。CASBを使用することにより、企業はSaaSアプリケーションとシャドーITを可視化し、承認されているアプリケーションと承認されていないアプリケーションの使用に関連するリスクをより的確に把握して管理できるようになります。
- 制限されているアクションのきめ細かい制御: 管理者は、あらゆるSaaSアプリケーションからのデータのアップロード、ダウンロード、共有などの特定のアクションを制限するきめ細かいポリシーを設定できます。これは、データ損失を防いでさまざまな規制に準拠するための重要な要件です。
- SaaSベースのアプリケーションのDLP: DLP (データ損失防止) は、潜在的なデータ侵害や未許可アクセスを監視、検出、ブロックすることにより、SaaSアプリケーション内の機密データの保護をサポートします。DLPを活用すれば、正規表現 (regex) と辞書マッチング、またはOCR (光学文字認識) で機密データを特定して保護できます。
- 定義済み辞書とカスタム辞書による準拠: 定義済み辞書とカスタム辞書を作成して、HIPAA、PCI DSS、GDPR、NISTなどの特定の規制に準拠できます。これらの辞書には、各規制に固有の用語とパターンが含まれており、組織がコンプライアンス義務を満たすのに役立ちます。
HPEとCASB
HPE Aruba Networking CASBは、組織のクラウドセキュリティを強化してSaaSアプリケーションへのアクセスを保護するために設計された、最新のクラウドアクセスセキュリティブローカー (CASB) ソリューションです。HPEのCASBは、ユーザーとSaaSアプリケーション間のセキュリティメディエイターとして機能し、移動中データに対するインラインCASB保護を提供してデータフローを効果的に規制するとともに、シャドーITを明らかにしてデータ損失を防止します。
HPE Aruba Networking CASBはエンドツーエンドの可視性を提供し、ユーザーアクセス、ダウンロード、共有権限の一元管理を可能にします。HPEのCASBの動作はわかりやすく、トラフィックを検査してユーザーエクスペリエンスを監視しながら、トラフィックをプロキシしてリスクのあるパススルー接続を回避したり、アイデンティティを検証したり、ポリシーを適用したり、ユーザーをリソースに安全に接続したりします。
使いやすさと拡張性を重視したHPE Aruba Networking CASBは、最新のクラウドサービスとアプリケーションへのセキュアなアクセスを提供します。広範なHPE Aruba Networking SSEプラットフォームの一部であるCASBは、クラウド中心の環境で最初から可視性、コンプライアンス、データセキュリティを強化して価値を提供することを目指しています。
HPE Aruba Networking CASBのメリット
HPE Aruba Networking CASBにより、企業はクラウドを導入してオンプレミスサービスと同じレベルのデータセキュリティを拡張できます。HPEのCASBソリューションには、次のようなメリットがあります。
- 強化されたデータセキュリティ: SaaSプロバイダーとの間のデータの使用状況とフローをリアルタイムでスキャンして監視します。これには、不正な共有を防止してデータセキュリティポリシーが確実に適用されるようにすることで機密データを保護する、DLP機能が含まれます。
- 可視化と制御: クラウド環境を詳細まで可視化して制御します。チームは、すべてのユーザートラフィックを確認してユーザーが使用しているクラウドアプリケーションを特定し、きめ細かい制御を適用してデータへのアクセスの方法とデータの使用方法を管理できます。
- コンプライアンス: 複数のクラウド環境に企業のサイバーセキュリティポリシーを適用することにより、データプライバシー規制への準拠をサポートします。ユーザーとアプリケーションのリスクアセスメントとリスクスコアは、コンプライアンス要件の管理に役立ちます。
- 脅威の軽減: マルウェア対策やウイルス対策などにより、既知の脅威と未知の脅威を防ぎます。クラウドアプリケーション全体の異常な動作を検出して、ランサムウェア、侵害を受けたユーザー、不正なアプリケーションなどのリスクを特定し、脅威を自動的に修復して組織のリスクを抑えることができます。
- 運用効率: 複数の種類のセキュリティポリシーを一元的に適用することにより、セキュリティ運用が合理化されてセキュリティポリシーの管理が簡素化され、複数のクラウドサービスのセキュリティが確保されます。
