クラウドアクセスセキュリティブローカー (CASB)

クラウドアクセスセキュリティブローカー (CASB) とは

機密性の高い企業データは、もはやサーバーのファイアウォール内に置かれるのではなく、データセンター、パブリッククラウド、またはSaaSアプリケーションに分散されています。また、ハイブリッドワークでは、従業員が安全でないネットワークを介してデータやアプリケーションにアクセスするため、企業やセキュリティチームに次のような重大なセキュリティの課題がもたらされます。

1. 従業員が (IT部門によって) 管理されているクラウドアプリケーションと管理されていないクラウドアプリケーションで機密データを共有 (アップロード/ダウンロード) するのを制限する方法。

2. IT部門によって明示的に承認されていないアプリケーションとサービスの使用 (シャドーIT) を制御する方法。

3. 厳格なデータプライバシーを義務付けるさまざまなコンプライアンス規制に対応する方法。

4. パブリッククラウドで機密データを保護し、BYODでのアクセスを制限する方法。

5. パブリッククラウド内のデータにマルウェアやランサムウェアなどがないかを監視し、従業員がそのような悪意のあるソフトウェアをダウンロードしないようにする方法。

今では、1クリックでクラウドサービスが提供され、従業員はそうしたサービスにチェックなしで簡単にアクセスできますが、従業員がGitHub、Dropboxなどの特定のアプリケーションを仕事とプライベートの両方で使用したり、データ分析やプロジェクトのワークフローの管理のために管理されていないアプリケーションでアカウントを作成したりすると、状況は複雑になります。このようなアクションは、セキュリティチームに目に見えない課題をもたらし、企業データを大きなセキュリティリスクにさらします。

CASBは、従業員が使用するすべてのクラウドサービスを可視化したり、SaaSアプリケーションの潜在的な脅威を監視またはスキャンしたり、脅威からデータを保護したり、コンプライアンス規制に対応したり、機密データの共有を制限したりすることにより、セキュリティチームが制御をクラウドにまで拡張できるようサポートします。

CASBソリューションは、オンプレミスのハードウェアかソフトウェアを介して、またはクラウドサービスとして提供されます。CASBは、プロキシとAPIメソッドを使用して強力なセキュリティチェックを実施します。

• プロキシワークフロー: リアルタイムデータを検査するためのワークフロー。

1. ユーザーがSaaSアプリケーションかIaaSプラットフォームにアクセスしようとすると、CASBによってトラフィックが捕捉され、SSLの検査が実行されます。

2. CASBはアイデンティティを検証し、インラインCASBとデータ保護制御を介してポリシーを適用してアップロード、ダウンロード、共有アクティビティを制限します。コンプライアンスがチェックされ、リアルタイムのコンテキストの変化に基づいてアクセスが自動的に調整されます。

3. アクションを制限することにより、データ損失を防いでコンプライアンスを強化するために不正な動作が制限されると同時に、セキュアなSaaSアクセスがユーザーに拡張されます。

4. 管理者は、SaaSアプリケーションにアクセスしているすべてのユーザーのアクティビティを可視化できます。セキュリティポスチャが変化したり、ユーザーが不正なアクティビティを試みたりした場合は、アクセスが再評価されて管理者に警告が行われます。

• APIワークフロー: 蓄積データをスキャンするためのワークフロー。

CASBは、Microsoft Office 365、Salesforce、Workday、SharePointなどのクラウドサービスに保存されているデータを監視するために、アウトオブバンドアプリケーションプログラミングインターフェイス (API) セキュリティを活用します。CASBはこれらのクラウドサービスのAPIと統合され、マルウェア、ランサムウェア、悪意のあるソフトウェアなどのサイバー脅威をスキャンします。

• インラインCASB: データがクラウドとの間を移動するときに、セキュリティポリシーをリアルタイムで適用します。これには、認証や暗号化などのセキュリティ制御が含まれます。
• CASB制御のためのSSL検査: 暗号化されたSSL/TLSトラフィックを検査して、潜在的な脅威やデータ漏洩を未然に防ぎます。トラフィックを解読することにより、CASBはセキュリティポリシーを適用して機密データを保護できます。
• アプリケーションとシャドーITの可視化: シャドーITとは、IT部門の明示的な承認を得ずにアプリケーションやサービスを使用することを指します。CASBを使用することにより、企業はSaaSアプリケーションとシャドーITを可視化し、承認されているアプリケーションと承認されていないアプリケーションの使用に関連するリスクをより的確に把握して管理できるようになります。
• 制限されているアクションのきめ細かい制御: 管理者は、あらゆるSaaSアプリケーションからのデータのアップロード、ダウンロード、共有などの特定のアクションを制限するきめ細かいポリシーを設定できます。これは、データ損失を防いでさまざまな規制に準拠するための重要な要件です。
• SaaSベースのアプリケーションのDLP: DLP (データ損失防止) は、潜在的なデータ侵害や未許可アクセスを監視、検出、ブロックすることにより、SaaSアプリケーション内の機密データの保護をサポートします。DLPを活用すれば、正規表現 (regex) と辞書マッチング、またはOCR (光学文字認識) で機密データを特定して保護できます。
• 定義済み辞書とカスタム辞書による準拠: 定義済み辞書とカスタム辞書を作成して、HIPAA、PCI DSS、GDPR、NISTなどの特定の規制に準拠できます。これらの辞書には、各規制に固有の用語とパターンが含まれており、組織がコンプライアンス義務を満たすのに役立ちます。