クラウド アクセス セキュリティ ブローカー(CASB)とは クラウド アクセス セキュリティ ブローカー(CASB)は、クラウド アプリケーションを保護するための可視化および制御ポイントです。機密データの漏洩の防止、マルウェアやその他の脅威の阻止、シャドーITの検出と制御、コンプライアンスの確保を実現するためのデータ保護と脅威対策のサービスを提供します。クラウド アプリのユーザーとクラウド サービスの間に位置するCASBは、トラフィックとユーザーのアクティビティーを監視するだけでなく、脅威やリスクの高い共有を自動的にブロックし、認証や警告などのセキュリティ ポリシーを施行します。

今の時代にCASBが求められる理由

クラウドの普及に伴い、CASBが備えるサイバーセキュリティ、アクセス制御、データ保護などのさまざまな機能は、企業のセキュリティにとって重要な存在となりつつあります。CASBを利用することで、クラウド プラットフォームやアプリ内の移動中または転送中の企業データを制御できます。今の時代にCASBが求められる理由には、以下の点が挙げられます。

• データ センターのファイアウォールといった従来のネットワーク セキュリティ ツールでは、クラウド プラットフォームやクラウド アプリ(Microsoft 365、Salesforceなど)に対応できない。
• ほとんどのユーザーが新しいクラウド アプリを自分で入手して使用できるため、IT部門はこれまでと同様の規模できめ細やかなユーザー アクセス制御を手動で管理できない。
• CASBはポリシーを適用して、シャドーITの制御、クラウド情報漏洩防止(DLP)、SaaSセキュリティ ポスチャー管理(SSPM)、高度な脅威対策を提供できる。

CASBの4つの柱

効果的なCASBソリューションは、以下の4つの中核的な機能で構築されています。

1. 可視性

リモート ワークとBYODの普及に伴い、組織はクラウド環境で何が起きているかを把握する必要性が高まっています。管理されていないデバイスは数多く存在するため、導入に関する可視性が不十分な場合、意図しないアクセスを許可してしまうリスクが生じます。CASBは、組織のクラウド アプリの使用状況を検出してレポートを作成し、アプリをブロックするかどうかを決めるためにリスク評価を行います。

2. コンプライアンス

クラウド コンピューティング サービスを組織レベルで運用するには、膨大な量のコンプライアンス規制に準拠する必要があります。とくに公的機関や金融サービス、そして医療業界でその傾向が顕著となっています。CASBでは、業界における最大のリスク要因を特定して厳格なデータ保護ポリシーを設定できるため、組織全体でコンプライアンスを達成、維持できます。

3. データ セキュリティ

世界に存在するデータの総量は2年ごとに倍増しています。データが爆発的に増加する中、悪意のあるアクターはより巧妙に、より狡猾に進化しています。CASBとクラウドDLPを組み合わせることで、データの潜在的なリスクを把握するだけでなく、実際にリスクを阻止することもできます。また、クラウドを行き来する機密性の高いコンテンツやクラウド間の通信を可視化できるため、インシデントを特定して適切なポリシーを適用し、データの安全性を確保できます。

4. 脅威対策

クラウドの脅威やマルウェアが横行する今日のITエコシステムにおいては、ほとんどの場合、クラウドのリソースが最も脆弱であることがわかっています。CASBは、行動分析と脅威インテリジェンスでより堅牢なクラウド セキュリティを確保します。これらの高度な機能により、不審なアクティビティーをすばやく特定して対処できるため、クラウド アプリケーションとデータを安全に保ち、組織の全体的なクラウド セキュリティ態勢を強化することができます。

CASBの仕組み

CASBの中にはオンプレミスのハードウェアやソフトウェアの形態をとるものもありますが、拡張性、コスト、運用管理性を考慮した場合、クラウド サービスとして提供されるソリューションが最も適しています。形態にかかわらず、CASBはプロキシー(フォワード プロキシーまたはリバース プロキシー)、API、またはその両方(「マルチモード」と呼ばれる)を使用するように設定できます。これについては、後ほど詳しく説明します。

プロキシー

CASBはデータの経路で動作する必要があるため、クラウド プロキシー アーキテクチャーを基盤としたものが理想的です。CASBで一般的に使用されるフォワード プロキシーは、クライアント側からユーザーのプライバシーとセキュリティを保護します。一方、リバース プロキシーはインターネット サーバーと同じ場所に位置するため、パフォーマンスの低下やリクエスト エラーなどの問題が発生しやすくなります。

フォワード プロキシーは、クラウド サービスに対するリクエストを宛先に向かう途中で遮断します。そして、CASBはポリシーに基づいて、資格情報マッピングとシングル サインオン(SSO)認証、デバイス態勢の検証、ログの記録、アラートの生成、マルウェアの検出、暗号化、トークン化などの機能を実行します。

API

インライン プロキシーは転送中データを遮断しますが、クラウド上の保存データに対しては、アウトオブバンド型セキュリティが必要です。CASBベンダーは、クラウド サービス プロバイダーのアプリケーション プログラミング インターフェイス(API)との統合を通じてこれを提供します。

Gartnerが考えるCASB

Gartnerは2012年にCASBを初めて定義し、主にシャドーITを制御するために使用されていました。その後CASBは進化し、SaaSアプリの保護だけでなく、Platform as a Service (PaaS)やInfrastructure as a Service (IaaS)にも幅広く適用できるようになり、さまざまな新しいユース ケースに対応できるようになっています。

時間の経過とともに、CASBの利点と機能は、セキュアWebゲートウェイ(SWG)の機能と重複するようになってきました。これは、Gartnerが2019年にセキュア アクセス サービス エッジ(SASE)という新しい用語を定義した理由の1つでもあります。SASEは、「デジタル企業の動的かつ安全なアクセスのニーズをサポートするための、包括的なネットワーク セキュリティ機能(SWG、CASB、FWaaS、ZTNA)を備えた包括的なWAN機能」を提供する、クラウド配信サービスのフレームワークとされています。

2021年、Gartnerはさらに掘り下げ、SASEのセキュリティ機能のみを指すセキュリティ サービス エッジ(SSE)を打ち出しました。これは、複雑で統一されていないセキュリティ スタックを合理化するための取り組みが世界規模で進んでいることを反映しており、企業の30%が2024年までにSWG、CASB、ZTNA、Firewall as a Service (FWaaS)機能を同一のベンダーで採用するとGartnerは予測しています。

マルチモードCASBとは

プロキシー モードでは、CASBは情報漏洩やマルウェアをリアルタイムで阻止するインライン ポリシーを施行します。また、APIと統合してSaaSアプリのコンテンツをスキャンできるため、機密データのパターンやランサムウェアなどの脅威を検出し、対処することが可能です。最近では、API統合がSaaSセキュリティ ポスチャー管理(SSPM)に活用されるようになり、CASBでアプリケーションの設定ミスが修復できるようになりました。

プロキシーベースとAPIベースの両モードを提供するCASBは「マルチモードCASB」と呼ばれ、SaaSだけでなく、Microsoft AzureやAWS S3などのIaaSの保護も可能です。また、CASBを個別の単一機能の製品としてではなく、SSEプラットフォームの一部として導入することで、一貫したセキュリティやパフォーマンスの向上、一元的な管理を実現できます。

CASBの主なユース ケース

1. シャドーITの検出と制御

ユーザーが会社のファイルやデータを許可されていないクラウド アプリに保存したり、共有したりすると、データのセキュリティが脅かされます。このような問題に対処するためには、組織内におけるクラウドの使用状況を理解したうえで保護する必要があります。

Zscaler CASBはシャドーITを自動的に検出し、ユーザーが訪問したリスクの高いアプリを可視化します。そして、簡単に構成できる自動化されたポリシーが個々のアプリやアプリのカテゴリーに対してさまざまなアクション(許可、ブロック、アップロードの防止、使用の制限など)を実行します。

2. 企業以外のSaaSテナントのセキュリティの確保

Google Driveなど、ユーザーは承認済みのアプリとそうでないものの両方を同時に使用する場合があります。アプリを完全に許可またはブロックすると、不適切な共有を助長したり生産性を低下させたりする可能性があります。

Zscaler CASBは、承認済みのSaaSテナントと外部組織に属する未承認のインスタンスとを区別し、それぞれに適切なポリシーを施行します。また、事前に設定されたSaaSテナント制御により、自動的かつリアルタイムの修復を実行できます。

3. リスクの高いファイル共有の制御

クラウド アプリは、部門や会社を超えた共有とコラボレーションを可能にしますが、セキュリティ部門は承認済みのアプリを使って誰が何を共有しているかを把握し、危険な人物にデータが渡るリスクを回避する必要があります。

コラボレーションの管理は、主要なCASBにとって鍵となる機能です。Zscaler CASBは、SaaSテナント内のファイルを迅速かつ繰り返しクロールして機密データを特定し、ファイルが共有されているユーザーを確認します。リスクの高い共有には、必要に応じて自動的に対処します。

4. SaaSの設定ミスの修正

クラウド アプリケーションの導入、管理を行う際、アプリが適切かつ安全に機能するように正確に設定することが重要です。設定を誤ると、セキュリティ衛生が損なわれ、機密データが容易に漏洩する可能性があります。

Zscaler SSPMはAPIを介してSaaSテナントと統合し、規制コンプライアンス上のリスクにつながる設定ミスを検出するためにスキャンを実行します。これは、CSPMおよびCIEMと並ぶ、Zscaler Workload Postureのコンポーネントの1つです。

5. データ漏洩の防止

データ侵害や漏洩を引き起こす恐れがあるクラウド リソースの設定ミスに加えて、クラウド内の機密データのパターンも特定して制御する必要があります。膨大な量のこの種のデータはHIPAA、PCI DSS、GDPRなどの多くのフレームワークの下で規制されています。

Zscalerのクラウド ネイティブ セキュリティ プラットフォームであるZero Trust Exchangeは、クラウドDLPおよびCASB機能による統合データ保護機能を提供します。これにより、情報漏洩やコンプライアンス違反を阻止するようにクラウド アプリを適切に構成し、さらにExact Data Matching (EDM)やIndexed Document Matching (IDM)などの高度なデータ分類手法でサポートすることで、あらゆる場所で機密データを特定して保護できるようになります。

6. 攻撃の阻止

感染したファイルが組織のセキュリティを通過して承認済みのクラウド アプリに侵入すると、接続しているアプリケーションやユーザーのデバイスに即座に拡散してしまう可能性があります。そのため、アップロード時と保存時の両方において、リアルタイムで脅威から防御できる方法が必要になります。

Zscaler CASBは、次のような高度な脅威対策(ATP)機能によってマルウェアの進行を阻止します。

• 悪意のあるファイルがクラウドにアップロードされるのを防止するリアルタイム プロキシー
• 保存されているファイルを特定して脅威に対処する帯域外スキャン
• ゼロデイ マルウェアも特定するクラウド サンドボックス
• 管理されていないエンドポイントからのアクセスを保護するエージェント不要のクラウド ブラウザー分離

Zscaler CASB

Zscalerは、総合的なZscaler Zero Trust Exchange™プラットフォームの一部として、SWGやZTNAなどと併せてサービスとしてのマルチモードCASBなどを提供し、単一機能製品の排除、ITの複雑さの軽減、シングル パスのトラフィックの検査をサポートします。自動化されたポリシーを1つ構成するだけですべてのクラウド データ チャネルに一貫したセキュリティが提供されるため、管理者の負担が軽減されます。

クラウドの転送中データに対するインライン セキュリティ

高性能のフォワード プロキシーとSSLインスペクションにより、以下のような重要なリアルタイムの保護を提供します。

• ネットワーク デバイス ログを必要とすることなく、シャドーITの検出機能とクラウド アプリの制御が未承認のアプリを特定して保護
• 承認済みのアプリだけでなく未承認のアプリへの機密データのアップロードをDLPが防止
• 高度な脅威対策が機械学習を活用したクラウド サンドボックスを駆使し、既知および未知のマルウェアをリアルタイムで阻止
• クラウド ブラウザー分離がBYOD用のピクセルとしてセッションをストリーミングし、リバース プロキシーなしでデータ漏洩を防止

保存データのアウトオブバンド セキュリティ

SaaSアプリやクラウド プラットフォーム、そしてこれらに含まれるコンテンツをAPIベースでスキャンし、以下を通じて自動的にセキュリティを強化します。

• 事前に定義されたカスタマイズ可能なDLPディクショナリーがSaaSおよびパブリック クラウド内の機密データを特定
• コラボレーション管理機能がアプリをクロールしてリスクの高いファイル共有を特定し、ポリシーに基づいて無効化
• クラウド サンドボックスが保存データをスキャンし、ゼロデイ マルウェアやランサムウェアを特定して対処
• SSPM、CSPM、CIEMが、SaaSやIaaSの設定と権限を評価し、問題点を自動的に修正