Zscalerは、2022年 Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™でリーダーの1社と評価され、実行能力において最も高いポジションに位置付けされました。
クラウドの普及に伴い、CASBが備えるサイバーセキュリティ、アクセス制御、データ保護などのさまざまな機能は、企業のセキュリティにとって重要な存在となりつつあります。CASBを利用することで、クラウド プラットフォームやアプリ内の移動中または転送中の企業データを制御できます。今の時代にCASBが求められる理由には、以下の点が挙げられます。
効果的なCASBソリューションは、以下の4つの中核的な機能で構築されています。
リモート ワークとBYODの普及に伴い、組織はクラウド環境で何が起きているかを把握する必要性が高まっています。管理されていないデバイスは数多く存在するため、導入に関する可視性が不十分な場合、意図しないアクセスを許可してしまうリスクが生じます。CASBは、組織のクラウド アプリの使用状況を検出してレポートを作成し、アプリをブロックするかどうかを決めるためにリスク評価を行います。
クラウド コンピューティング サービスを組織レベルで運用するには、膨大な量のコンプライアンス規制に準拠する必要があります。とくに公的機関や金融サービス、そして医療業界でその傾向が顕著となっています。CASBでは、業界における最大のリスク要因を特定して厳格なデータ保護ポリシーを設定できるため、組織全体でコンプライアンスを達成、維持できます。
世界に存在するデータの総量は2年ごとに倍増しています。データが爆発的に増加する中、悪意のあるアクターはより巧妙に、より狡猾に進化しています。CASBとクラウドDLPを組み合わせることで、データの潜在的なリスクを把握するだけでなく、実際にリスクを阻止することもできます。また、クラウドを行き来する機密性の高いコンテンツやクラウド間の通信を可視化できるため、インシデントを特定して適切なポリシーを適用し、データの安全性を確保できます。
クラウドの脅威やマルウェアが横行する今日のITエコシステムにおいては、ほとんどの場合、クラウドのリソースが最も脆弱であることがわかっています。CASBは、行動分析と脅威インテリジェンスでより堅牢なクラウド セキュリティを確保します。これらの高度な機能により、不審なアクティビティーをすばやく特定して対処できるため、クラウド アプリケーションとデータを安全に保ち、組織の全体的なクラウド セキュリティ態勢を強化することができます。
Tom Henderson氏, Computerworld
CASBの中にはオンプレミスのハードウェアやソフトウェアの形態をとるものもありますが、拡張性、コスト、運用管理性を考慮した場合、クラウド サービスとして提供されるソリューションが最も適しています。形態にかかわらず、CASBはプロキシー(フォワード プロキシーまたはリバース プロキシー)、API、またはその両方(「マルチモード」と呼ばれる)を使用するように設定できます。これについては、後ほど詳しく説明します。
CASBはデータの経路で動作する必要があるため、クラウド プロキシー アーキテクチャーを基盤としたものが理想的です。CASBで一般的に使用されるフォワード プロキシーは、クライアント側からユーザーのプライバシーとセキュリティを保護します。一方、リバース プロキシーはインターネット サーバーと同じ場所に位置するため、パフォーマンスの低下やリクエスト エラーなどの問題が発生しやすくなります。
フォワード プロキシーは、クラウド サービスに対するリクエストを宛先に向かう途中で遮断します。そして、CASBはポリシーに基づいて、資格情報マッピングとシングル サインオン(SSO)認証、デバイス態勢の検証、ログの記録、アラートの生成、マルウェアの検出、暗号化、トークン化などの機能を実行します。
インライン プロキシーは転送中データを遮断しますが、クラウド上の保存データに対しては、アウトオブバンド型セキュリティが必要です。CASBベンダーは、クラウド サービス プロバイダーのアプリケーション プログラミング インターフェイス(API)との統合を通じてこれを提供します。
Gartnerは2012年にCASBを初めて定義し、主にシャドーITを制御するために使用されていました。その後CASBは進化し、SaaSアプリの保護だけでなく、Platform as a Service (PaaS)やInfrastructure as a Service (IaaS)にも幅広く適用できるようになり、さまざまな新しいユース ケースに対応できるようになっています。
時間の経過とともに、CASBの利点と機能は、セキュアWebゲートウェイ(SWG)の機能と重複するようになってきました。これは、Gartnerが2019年にセキュア アクセス サービス エッジ(SASE)という新しい用語を定義した理由の1つでもあります。SASEは、「デジタル企業の動的かつ安全なアクセスのニーズをサポートするための、包括的なネットワーク セキュリティ機能(SWG、CASB、FWaaS、ZTNA)を備えた包括的なWAN機能」を提供する、クラウド配信サービスのフレームワークとされています。
2021年、Gartnerはさらに掘り下げ、SASEのセキュリティ機能のみを指すセキュリティ サービス エッジ(SSE)を打ち出しました。これは、複雑で統一されていないセキュリティ スタックを合理化するための取り組みが世界規模で進んでいることを反映しており、企業の30%が2024年までにSWG、CASB、ZTNA、Firewall as a Service (FWaaS)機能を同一のベンダーで採用するとGartnerは予測しています。
Zscalerは、2022年 Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™でリーダーの1社と評価され、実行能力において最も高いポジションに位置付けされました。
プロキシー モードでは、CASBは情報漏洩やマルウェアをリアルタイムで阻止するインライン ポリシーを施行します。また、APIと統合してSaaSアプリのコンテンツをスキャンできるため、機密データのパターンやランサムウェアなどの脅威を検出し、対処することが可能です。最近では、API統合がSaaSセキュリティ ポスチャー管理(SSPM)に活用されるようになり、CASBでアプリケーションの設定ミスが修復できるようになりました。
プロキシーベースとAPIベースの両モードを提供するCASBは「マルチモードCASB」と呼ばれ、SaaSだけでなく、Microsoft AzureやAWS S3などのIaaSの保護も可能です。また、CASBを個別の単一機能の製品としてではなく、SSEプラットフォームの一部として導入することで、一貫したセキュリティやパフォーマンスの向上、一元的な管理を実現できます。
ユーザーが会社のファイルやデータを許可されていないクラウド アプリに保存したり、共有したりすると、データのセキュリティが脅かされます。このような問題に対処するためには、組織内におけるクラウドの使用状況を理解したうえで保護する必要があります。
Zscaler CASBはシャドーITを自動的に検出し、ユーザーが訪問したリスクの高いアプリを可視化します。そして、簡単に構成できる自動化されたポリシーが個々のアプリやアプリのカテゴリーに対してさまざまなアクション(許可、ブロック、アップロードの防止、使用の制限など)を実行します。
Google Driveなど、ユーザーは承認済みのアプリとそうでないものの両方を同時に使用する場合があります。アプリを完全に許可またはブロックすると、不適切な共有を助長したり生産性を低下させたりする可能性があります。
Zscaler CASBは、承認済みのSaaSテナントと外部組織に属する未承認のインスタンスとを区別し、それぞれに適切なポリシーを施行します。また、事前に設定されたSaaSテナント制御により、自動的かつリアルタイムの修復を実行できます。
クラウド アプリは、部門や会社を超えた共有とコラボレーションを可能にしますが、セキュリティ部門は承認済みのアプリを使って誰が何を共有しているかを把握し、危険な人物にデータが渡るリスクを回避する必要があります。
コラボレーションの管理は、主要なCASBにとって鍵となる機能です。Zscaler CASBは、SaaSテナント内のファイルを迅速かつ繰り返しクロールして機密データを特定し、ファイルが共有されているユーザーを確認します。リスクの高い共有には、必要に応じて自動的に対処します。
クラウド アプリケーションの導入、管理を行う際、アプリが適切かつ安全に機能するように正確に設定することが重要です。設定を誤ると、セキュリティ衛生が損なわれ、機密データが容易に漏洩する可能性があります。
Zscaler SSPMはAPIを介してSaaSテナントと統合し、規制コンプライアンス上のリスクにつながる設定ミスを検出するためにスキャンを実行します。これは、CSPMおよびCIEMと並ぶ、Zscaler Workload Postureのコンポーネントの1つです。
データ侵害や漏洩を引き起こす恐れがあるクラウド リソースの設定ミスに加えて、クラウド内の機密データのパターンも特定して制御する必要があります。膨大な量のこの種のデータはHIPAA、PCI DSS、GDPRなどの多くのフレームワークの下で規制されています。
Zscalerのクラウド ネイティブ セキュリティ プラットフォームであるZero Trust Exchangeは、クラウドDLPおよびCASB機能による統合データ保護機能を提供します。これにより、情報漏洩やコンプライアンス違反を阻止するようにクラウド アプリを適切に構成し、さらにExact Data Matching (EDM)やIndexed Document Matching (IDM)などの高度なデータ分類手法でサポートすることで、あらゆる場所で機密データを特定して保護できるようになります。
感染したファイルが組織のセキュリティを通過して承認済みのクラウド アプリに侵入すると、接続しているアプリケーションやユーザーのデバイスに即座に拡散してしまう可能性があります。そのため、アップロード時と保存時の両方において、リアルタイムで脅威から防御できる方法が必要になります。
Zscaler CASBは、次のような高度な脅威対策(ATP)機能によってマルウェアの進行を阻止します。
Zscalerは、総合的なZscaler Zero Trust Exchange™プラットフォームの一部として、SWGやZTNAなどと併せてサービスとしてのマルチモードCASBなどを提供し、単一機能製品の排除、ITの複雑さの軽減、シングル パスのトラフィックの検査をサポートします。自動化されたポリシーを1つ構成するだけですべてのクラウド データ チャネルに一貫したセキュリティが提供されるため、管理者の負担が軽減されます。
高性能のフォワード プロキシーとSSLインスペクションにより、以下のような重要なリアルタイムの保護を提供します。
SaaSアプリやクラウド プラットフォーム、そしてこれらに含まれるコンテンツをAPIベースでスキャンし、以下を通じて自動的にセキュリティを強化します。
Zscaler CASBの詳細はこちら
WFA (Work From Anywhere)環境におけるデータの保護
eBookを読むZscalerのマルチモードCASBを採用する利点
ブログを読む(英語)Zscaler Data Protection
2022年 Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™
Gartnerのレポートを見るインフォグラフィック:Zscaler Security Service Edge
資料を見る(英語)セキュリティ トランスフォーメーション:データ流出の防止
詳細を見る