Zscalerは、2023年 Gartnerセキュリティ・サービス・エッジ(SSE)のMagic Quadrantでリーダーの1社と評価されました。
Zscaler SSEの詳細はこちら
クラウド アクセス セキュリティ ブローカー(CASB)は、クラウド アプリケーションのユーザーとクラウド サービスの間に置かれる、データ保護および脅威対策サービスの適用ポイントです。CASBは、機密データの漏洩を自動的に防止してマルウェアやその他の脅威を阻止するほか、シャドーITを検出および制御して危険な共有をブロックし、認証やアラートなどのセキュリティ ポリシーを適用しながらコンプライアンスを実現します。
クラウドの普及に伴い、CASBが備えるサイバーセキュリティ、アクセス制御、データ保護などのさまざまな機能は、企業のセキュリティにとって重要な存在となりつつあります。CASBを利用することで、クラウド プラットフォームやアプリ内の転送中データまたは保存データを制御できます。CASBが求められる理由には、以下の点が挙げられます。
CASBは、クラウド環境とその周辺において、アクティビティーの番人のような役割を果たし、アクティビティーの可視化、セキュリティ ポリシーの適用、脅威の検出、データ保護といった機能を提供します。これによって、企業は制御を維持しコンプライアンスを確保しながら、安心してクラウドを導入できるようになります。以下のセクションで、CASBの具体的なメリットについて詳しく見ていきましょう。
効果的なCASBソリューションは、包括的なクラウド セキュリティ戦略の一部となり、主に以下のようなメリットをもたらします。
リモート ワークやBYODの普及に伴い、組織のクラウド環境にアクセスするユーザー、デバイス、SaaSアプリケーションに関する明確な可視性が必要になっています。これは、不正アクセスのリスクが急速に高まっているためです。CASBは、クラウド アプリの使用状況の把握、クラウド関連支出のレポート作成、リスク評価を通じた適切なアクセス ポリシーの作成および維持に役立ちます。
金融サービス、医療、公共部門など、規制の厳しい業界では特に、クラウドを使用するにあたってさまざまなコンプライアンス要件への準拠が必要となる場合があります。CASBを利用することで、組織が属する業界で特に重要なリスク要因を特定して厳格なデータ保護ポリシーを設定できるため、組織全体でコンプライアンスを達成、維持できます。
世界中のデータ量は2年ごとに倍増しており、データにまつわるリスクも増大しています。CASBとクラウドDLPを組み合わせることで、潜在的なリスクの把握と修復が可能になります。クラウド環境で送受信される機密性の高いコンテンツを可視化することで、インシデントの特定、ポリシーの適用、データの保護を、最も確度の高い形で行えます。
現在のITエコシステムで最も脆弱なのは、通常、クラウド リソースです。効果的なCASBを利用すれば、行動分析と脅威インテリジェンスによって不審なアクティビティーをすばやく特定して対処できるため、クラウド アプリケーションとデータを安全に保ち、組織の全体的なクラウド セキュリティ態勢を強化することができます。
Tom Henderson氏, Computerworld
ごく大まかに言えば、CASBの導入で重要となるのは、ニーズの評価に基づいて適切な製品を選定し、組織のシステムに最適な形で設定を行い、継続的なモニタリングと監査を行うことです。具体的には5つの段階に分けて考えることができます。
組織の環境の評価と計画の策定。使用されているクラウド サービスとアプリ、付随するリスク、セキュリティ ポリシーとコンプライアンス上のニーズを把握します。
ニーズに即した適切なCASBソリューションの選定。適切な製品を見つけることが重要です。また、それと同様に、適切なベンダーを見つけることが重要です。信頼できるパートナーを選びましょう。
CASBとクラウド サービスおよびユーザー ディレクトリーとの統合。SSOを使用して安全なユーザー アクセスとシームレスな認証を実現します。
アクセス、データ共有、DLP、セキュリティ ポリシーの構成。業界によっては、暗号化に関するポリシーに特別な注意を払う必要がある場合があります。
リアルタイムのモニタリングおよび脅威検出の有効化。組織のニーズの変化に応じてポリシーを定期的に確認および更新することも必要です。
CASBの中にはオンプレミスのハードウェアやソフトウェアの形態をとるものもありますが、拡張性、コスト、運用管理性を考慮した場合、クラウド サービスとして提供されるソリューションが最も適しています。形態に関係なく、CASBはプロキシ(フォワード プロキシまたはリバース プロキシ)、API、または両方(マルチモードCASB)を使用するように設定できます。
CASBはデータの経路で動作する必要があるため、クラウド プロキシ アーキテクチャーを基盤としたものが理想的です。CASBでよく使用されるフォワード プロキシは、クライアント側からユーザーのプライバシーやセキュリティを保護します。
フォワード プロキシは、クラウド サービスに対するリクエストを宛先に向かう途中で遮断します。そして、CASBはポリシーに基づいて、資格情報マッピングとシングル サインオン(SSO)、デバイス態勢の検証、ログの記録、アラートの生成、マルウェアの検出、暗号化、トークン化を実施します。
インライン プロキシは転送中データを遮断しますが、クラウド上の保存データに対しては、アウトオブバンド型セキュリティが必要です。CASBベンダーは、クラウド サービス プロバイダーのアプリケーション プログラミング インターフェイス(API)との統合を通じてこれを提供します。
プロキシ モードでは、CASBは情報漏洩やマルウェアをリアルタイムで阻止するインライン ポリシーを施行します。また、APIと統合してSaaSアプリのコンテンツをスキャンできるため、機密データのパターンやランサムウェアなどの脅威を検出し、対処することが可能です。最近では、API統合がSaaSセキュリティ ポスチャー管理(SSPM)に活用されるようになり、CASBでアプリケーションの設定ミスが修復できるようになりました。
プロキシベースとAPIベースの両モードを提供するCASBは「マルチモードCASB」と呼ばれ、SaaSだけでなく、Microsoft AzureやAWS S3などのIaaSの保護も可能です。また、CASBを個別の単一機能の製品としてではなく、SSEプラットフォームの一部として導入することで、一貫したセキュリティやパフォーマンスの向上、一元的な管理を実現できます。
Gartnerが初めて「CASB」を定義した2012年当時、CASB技術は主にシャドーITの制御に使用されていました。
やがてCASBの利点や機能はセキュアWebゲートウェイ(SWG)と重なる部分が多くなり始め、2019年、Gartnerはセキュア アクセス サービスエッジ(SASE)という新たなフレームワークを定義しました。SASEは、「デジタル企業の動的でセキュアなアクセス ニーズをサポートするために、包括的なネットワーク セキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)を備えた総合的なWAN機能」を提供する、クラウド配信サービスのフレームワークとされています。
2021年、Gartnerはさらに掘り下げ、SASEのセキュリティ機能のみを指すセキュリティ サービス エッジ(SSE)を打ち出しました。これは、複雑で統一されていないセキュリティ スタックを合理化するための取り組みが世界規模で進んでいることを反映しており、企業の30%が2024年までにSWG、CASB、ZTNA、Firewall as a Service (FWaaS)機能を同一のベンダーで採用するとGartnerは予測しています。
CASBとSASEは互いに補完し合う存在です。CASBがクラウドを通じたデータのやり取りやデータ フローを保護する一方、SASEはクラウド セキュリティ、ネットワーク、アクセス制御をより広範に統合します。定義上、SASEにはCASBが含まれ、ポリシーの適用とデータの保護は、組織のネットワーク アーキテクチャーの一部に組み込まれます。
Zscalerは、2023年 Gartnerセキュリティ・サービス・エッジ(SSE)のMagic Quadrantでリーダーの1社と評価されました。
Zscaler SSEの詳細はこちら
ユーザーが会社のファイルやデータを許可されていないクラウド アプリに保存したり、共有したりすると、データのセキュリティが脅かされます。このような問題に対処するためには、組織内におけるクラウドの使用状況を理解したうえで保護する必要があります。
Zscaler CASBはシャドーITを自動的に検出し、ユーザーが訪問したリスクの高いアプリを可視化します。そして、簡単に構成できる自動化されたポリシーが個々のアプリやアプリのカテゴリーに対してさまざまなアクション(許可、ブロック、アップロードの防止、使用の制限など)を実行します。
ユーザーは、Googleドライブなどのアプリの承認済みインスタンスと未承認インスタンスのいずれをも使用する可能性があります。承認済みのインスタンスへの接続を完全に許可すれば不適切な共有に、未承認のインスタンスへの接続を完全にブロックすれば生産性の低下につながりかねません。
Zscaler CASBは認可されたSaaSテナントと認可されていないインスタンスを区別し、それぞれに適切なポリシーを適用します。事前にSaaSテナントの制御を設定することで、修復が自動的かつリアルタイムで実施できます。
クラウド アプリは、部門や会社を超えた共有とコラボレーションを可能にしますが、セキュリティ部門は承認済みのアプリを使って誰が何を共有しているかを把握し、危険な人物にデータが渡るリスクを回避する必要があります。
CASBが効果的であるためには、コラボレーション管理機能が不可欠です。Zscaler CASBは、SaaSテナント内のファイルを迅速かつ繰り返しクロールして機密データを特定します。ファイルの共有相手のユーザーを確認し、リスクの高い共有が行われている場合は必要に応じて自動的に対応を行います。
クラウド アプリケーションの導入、管理を行う際、アプリが適切かつ安全に機能するように正確に設定することが重要です。設定を誤ると、セキュリティ衛生が損なわれ、機密データが容易に漏洩する可能性があります。
Zscaler SSPMはAPIを介してSaaSテナントと統合され、コンプライアンス上のリスクにつながる設定ミスを検出します。これは、CSPMおよびCIEMと並ぶ、Zscaler Workload Postureのコンポーネントの1つです。
データ侵害や漏洩を引き起こす恐れがあるクラウド リソースの設定ミスに加えて、クラウド内の機密データのパターンも特定して制御する必要があります。膨大な量のこの種のデータはHIPAA、PCI DSS、GDPRなどの多くのフレームワークの下で規制されています。
Zscalerのクラウド ネイティブ セキュリティ プラットフォームであるZero Trust Exchangeは、クラウドDLPおよびCASBの機能を備えた統合データ保護ソリューションを提供します。あらゆる場所の機密データを特定および保護するための高度なデータ分類技術を活用しながら、クラウド アプリの適切な構成を担保し、情報漏洩やコンプライアンス違反を防止します。
感染したファイルが組織のセキュリティを通過して承認済みのクラウド アプリに侵入すると、接続しているアプリケーションやユーザーのデバイスに即座に拡散してしまう可能性があります。そのため、アップロード時と保存時の両方において、リアルタイムで脅威から防御できる方法が必要になります。
Zscaler CASBは、次のような高度な脅威対策(ATP)機能によってマルウェアの進行を阻止します。
Zscalerは、総合的なZscaler Zero Trust Exchange™プラットフォームの一部として、SWGやZTNAなどと併せてサービスとしてのマルチモードCASBなどを提供し、単一機能製品の排除、ITの複雑さの軽減、シングル パスのトラフィックの検査をサポートします。自動化されたポリシーを1つ構成するだけですべてのクラウド データ チャネルに一貫したセキュリティが提供されるため、管理者の負担が軽減されます。
高性能のフォワード プロキシとSSLインスペクションにより、以下のような重要なリアルタイムの保護を提供します。
SaaSアプリやクラウド プラットフォーム、そしてこれらに含まれるコンテンツをAPIベースでスキャンし、以下を通じて自動的にセキュリティを強化します。
Zscaler CASBの詳細はこちら
WFA (Work From Anywhere)環境におけるデータの保護
eBookを読むZscalerのマルチモードCASBを採用する利点
ブログを読む(英語)Zscaler Data Protection
2022年 Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™
Gartnerのレポートを見るインフォグラフィック:Zscaler Security Service Edge
資料を見る(英語)セキュリティ トランスフォーメーション:データ流出の防止
詳細を見る重要なデータやアプリをクラウド サービスに置いている組織は、CASBを使用する必要があります。ネットワークとクラウド間で送信されるデータをモニタリングおよび制御することで、コンプライアンスを確保し、情報漏洩を防ぎ、不正アクセスを防止します。CASBは機密データの可視化と制御の維持に役立つとともに、クラウドに特有の数々のセキュリティ リスクへの対処を可能にします。
CASBはネットワークとクラウド サービスの間のチェックポイントとして機能します。クラウド アプリを宛先または発信元とするデータ トラフィックをモニタリングおよび管理し、ユーザー アクティビティーの可視化、セキュリティ ポリシーの適用、脅威の検出、機密データの保護を可能にします。ネットワーク クラウド環境の制御、コンプライアンス、データ保護の維持に役立ちます。
自社に適したCASBを採用するためには、保護の対象と規模、使用されているクラウド サービスについて確認、検討する必要があります。堅牢な脅威検出、きめ細かいアクセス制御、強力な暗号化、既存のセキュリティ インフラストラクチャーやクラウド環境との統合が可能なCASBを選びましょう。そして、適切なテクノロジー パートナーを見つけることが必要です。信頼が置け、選択したCASBソリューションが自社のニーズに最適な形で機能するよう協力してくれるベンダーを選ぶことが大切です。
多くのCASBにはDLP機能が組み込まれており、ネットワークからクラウドへの(またはクラウドからネットワークへの)機密データの未承認での移動を防止します。DLP機能はデータ トラフィックをモニタリングし、機密データをブロックまたは暗号化して潜在的な侵害や漏洩に関するアラートを生成します。CASBとDLPを組み合わせることでデータの移動を制御し、オンプレミス ネットワークとクラウド サービスの間を移動する機密情報を保護することができます。
CASBは強力なクラウド セキュリティに不可欠な要素ですが、単独では機能しません。効果的なクラウド セキュリティを確立するには、堅牢なアイデンティティーおよびアクセス管理、暗号化、ネットワーク セキュリティ、定期的なセキュリティ監査などと組み合わせることが必要です。CASBは組織のネットワークとクラウド間のデータ フローの保護に重点を置いている一方、包括的なクラウド セキュリティは、クラウド インフラストラクチャーやその利用に伴うあらゆる側面の潜在的な脅威に、より幅広く対応しています。