クラウドアクセスセキュリティブローカ
(CASB)とは

CASBとは

クラウドアクセスセキュリティブローカーCASB)は、クラウドアプリケーションを保護するための可視性および制御を得られるソリューションです。機密データの漏洩の防止やマルウェアやその他の脅威の阻止、シャドーITの検出と制御、規制コンプライアンスの順守を行うためのデータ保護と脅威からの保護のサービスを提供します。

CASBはクラウドアプリユーザと各種クラウドサービスの間でトラフィックとユーザアクティビティをモニタリングし、脅威やリスクの高い共有を自動的に阻止し、認証やアラートなどのセキュリティポリシーを適用できます。

 

CNAPPが求められている理由

クラウドの採用が進む現在、CASBが提供する多様なサイバーセキュリティ、アクセス制御、及びデータ保護機能は、企業のセキュリティにとって魅力的なものとなっています。CASBを活用することで、クラウドプラットフォームやアプリにおいて、移動中または保存中の企業データの制御を確保できます。現在CASBが重要な理由としては、以下の点が挙げられます。

  • クラウドプラットフォームとクラウドアプリ(Microsoft 365、Salesforceなど)の発展により、データセンタのファイアウォールといった従来型のネットワークセキュリティツールの効力は大幅に縮小しています。
  • ほぼすべてのユーザが新しいクラウドアプリを入手して使用できるため、これほどの規模できめ細やかなユーザアクセス制御をIT部門が手動で管理することは不可能です。
  • CASBはポリシーを適用することで、シャドーITの制御、クラウド情報漏洩防止DLP)、SaaSセキュリティポスチャ管理SSPM)、および高度な脅威からの保護を提供できます。

 

CASBの4つの柱

効果的なCASBソリューションは、以下の4つの中核的な特徴を念頭に置いて構築されています。
 

1. 可視性

リモートワークとBYODの普及に伴い、組織がクラウド環境で起きていることを詳細に把握する必要性が高まっています。管理されていないデバイスは数多く存在するため、導入に関して可視性が不十分な場合、意図しなかったアクセスを許可してしまうリスクが生じます。CASBは、組織のクラウドアプリの使用状況を明らかにし、クラウドへの支出に関するレポートを作成してリスク評価を行い、アプリをブロックするかどうかを決めるための判断材料を提供します。
 

2. コンプライアンス

クラウドコンピューティングサービスを組織レベルで運用するためには、膨大な量のコンプライアンス規則に準拠する必要があります。この点は、特に公共サービスと金融サービスの分野、そして医療業界に対してとりわけ顕著です。CASBを使用すると、業界における最大のリスク要因を特定し、厳格なデータ保護ポリシーを設定することで、組織全体でコンプライアンスを達成および維持できます。
 

3. データセキュリティ

世界に存在するデータの総量は2年ごとに倍増していきます。データがこれほど爆発的に増加している中で、悪意のあるアクターはこれまで以上に狡猾さを増しています。CASBとクラウドDLPを組み合わせることで、潜在的なデータリスクを把握できるだけでなく、実際にリスクを阻止することも可能です。さらに、クラウドから送信/クラウドで受信される、またはクラウド間で送受信される機密コンテンツを可視化できるため、インシデントを特定して適切なポリシーを適用できるうえ、データを保護できるようになります。
 

4. 脅威からの保護

クラウドの脅威とマルウェアは現在のITエコシステム内に蔓延しており、ほとんどの場合、クラウドリソースが最も脆弱です。CASBは、行動分析と脅威インテリジェンスの効果をもたらし、クラウドセキュリティを強化させます。これらの高度な機能により、不審なアクティビティをすばやく特定して修復し、クラウドアプリケーションとデータを安全に保ち、組織の全体的なクラウドセキュリティポスチャを強化することができます。

 

Gartnerなどのアナリストによると、クラウドのプレゼンスが高い企業はすべて、クラウドベースのデータを保護するためにクラウドアクセスセキュリティブローカ(CASB)を必要としています。

Tom Henderson氏、Computerworld

CASBの仕組み

CASBソリューションは、オンプレミスのハードウェアまたはソフトウェアの形態をとる場合もありますが、スケーラビリティの向上、コストの削減、および管理の簡素化のためにはクラウドサービスとして提供するのが最適です。フォームファクタが何であれ、CASBはプロキシ(フォワードプロキシまたはリバースプロキシ)、API、またはその両方(「マルチモード」と呼ばれます)を使用するように設定できます。これについては後ほど詳しく説明します。

 

プロキシ

CASBはデータパスで動作する必要があるため、CASBはクラウドプロキシアーキテクチャを基盤とするのが理想的です。フォワードプロキシはCASBでより一般的に使用され、クライアント側からユーザのプライバシーとセキュリティを保護します。一方、リバースプロキシはインターネットサーバーと同じ場所に位置するため、パフォーマンスの低下やリクエストエラーが発生しやすくなります。

フォワードプロキシは、クラウドサービスに対するリクエストを接続先に向かう途中で傍受します。次に、ポリシーに基づいてCASBが資格情報マッピングとシングルサインオン(SSO)認証、デバイスポスチャプロファイリング、ロギング、アラート、マルウェア検出、暗号化、トークン化などの機能を適用させます。

 

API

インラインプロキシは移動中のデータを傍受しますが、クラウド内に保存されているデータに対しては、CASBベンダーがクラウドサービスプロバイダのアプリケーションプログラミングインターフェイス(API)との統合を通じて提供する、帯域外セキュリティが必要です。

 

CASBに対するGartnerの見解

Gartnerは2012年にCASBを初めて定義し、組織は主にシャドーITの制御のために使用していました。その後CASBは進化し、単にSaaSアプリの保護だけでなく、さまざまな新しいユースケースにおけるサービスとしてのプラットフォーム(PaaS)やサービスとしてのインフラストラクチャ(IaaS)のデリバリーモデルに幅広く適用できるようになりました。

時間の経過とともに、CASBの利点と機能は、セキュアWebゲートウェイ(SWG)の機能と重複するようになってきました。これは、Gartnerが2019年に「セキュアアクセスサービスエッジ(SASE)」という新しい用語を定義した理由の一つでもあります。SASEは、「デジタル企業の動的かつ安全なアクセスのニーズをサポートするための、包括的なネットワークセキュリティ機能(SWGCASBFWaaSZTNAなど)を備えた包括的なWAN機能」を提供する、クラウド配信サービスのフレームワークとされています。

2021年、Gartnerはこれをさらに掘り下げ、SASEのセキュリティ中心の部分をセキュリティサービスエッジ(SSE)として認識しました。これは、複雑で統一されていないセキュリティスタックを合理化するための取り組みが世界規模で進んでいることを反映しており、企業の30%が2024年までにSWG、CASB、ZTNA、およびサービスとしてのファイアウォール(FWaaS)機能を同一のベンダーで採用するとGartnerは予測しています。

 


Zscalerは、2022年のGartnerのセキュリティサービスエッジ (SSE)Magic Quadrant™ でリーダーの1社と評価され、実行能力において最も高いポジションに位置付けされました。

Zscaler SSEの詳細について


 

マルチモードCASBとは

プロキシモードでは、CASBは情報漏洩やマルウェアをリアルタイムで阻止するインラインポリシーを適用します。また、APIと統合してSaaSアプリのコンテンツをスキャンできるため、機密のデータパターンやランサムウェアなどの脅威を検出し、対処することが可能です。最近では、API統合がSaaSセキュリティポスチャ管理(SSPM)に活用されるようになり、CASBでアプリケーションの設定ミスが修復できるようになりました。

プロキシベースとAPIベースの両モードを提供するCASBはマルチモードCASBと呼ばれ、SaaSをセキュリティで保護するだけでなく、Microsoft AzureやAWS S3などのIaaSの保護も可能です。また、CASBを別の単一機能の製品として展開するのではなく、SSEプラットフォームの一部として導入することで、一貫したセキュリティやパフォーマンスの向上、および統合された管理を実現できます。

 

Zscaler CASB

Zscalerは、総合的なZscaler Zero Trust Exchange™のプラットフォームの一部として、SWGやZTNAなど併せてサービスとしてのマルチモードCASBを提供し、単一機能の製品の排除、ITの複雑さの軽減、ならびにシングルパスのトラフィックの検査をサポートします。自動化されたポリシーを1つ構成するだけですべてのクラウドデータチャネルに一貫性あるセキュリティが提供されるため、管理者の負担が軽減されるのが特徴です。

 

移動中のクラウドデータのインラインセキュリティ

高性能のフォワードプロキシとSSLインスペクションにより、以下のような重要なリアルタイムの保護を提供します。

  • シャドーITの検出とクラウドアプリの制御により、ネットワークデバイスログを必要とすることなく、未承認のアプリを特定して保護します。
  • DLPにより、承認済みのアプリならびに未承認のアプリへの機密データのアップロードを防止します。
  • 高度な脅威からの保護では、機械学習を活用したクラウドサンドボックスを駆使し、既知および未知のマルウェアをリアルタイムで阻止します。
  • クラウドブラウザ分離は、BYODのピクセルとしてセッションをストリーミングし、リバースプロキシなしでデータ漏洩を防ぎます。

 

保存データへの帯域外セキュリティ

SaaSアプリ、クラウドプラットフォーム、およびそれらのコンテンツに対してAPIベースのスキャンを行い、以下を通じてセキュリティが自動的に強化されます。

  • 事前に定義されたカスタマイズ可能なDLPディクショナリにより、SaaSおよびパブリッククラウド内の機密データを特定します。
  • コラボレーション管理機能がアプリをクロールしてリスクの高いファイル共有を特定し、ポリシーに基づいてファイル共有を無効にします。
  • クラウドサンドボックスシステムで保存データをスキャンし、ゼロデイマルウェアやランサムウェアを特定し、対応します。
  • SSPMCSPMCIEMが、SaaSやIaaSの設定と権限を評価し、問題点を自動的に修復します。
Zscaler CASBが包括的なZero Trust Exchangeの一部であることを示す図

 

CASBの主なユースケース

1. シャドーITの検出と制御

ユーザが未承認のクラウドアプリで企業のファイルやデータを保存したり共有したりすることで、データのセキュリティが脅かされます。このような事態に対処するには、組織内におけるクラウドの使用状況を理解した上で保護する必要があります。

Zscaler CASBは自動的にシャドーITを検出し、ユーザが訪問したリスクの高いアプリを明らかにします。その後、自動化された、簡単に設定可能なポリシーが個々のアプリやアプリカテゴリに対してさまざまなアクション(許可、ブロック、アップロードの阻止、使用の制限など)を実行します。

 

2. 社外SaaSテナントの保護

Google Driveなど、ユーザは承認済みのアプリとそうでないものの両方を同時に使用する場合があります。アプリを完全に許可またはブロックする万能なアプローチで対応すると、不適切な共有を助長したり生産性を低下させたりする可能性があります。

Zscaler CASBは、承認済みのSaaSテナントと外部組織に属する未承認のインスタンスとを区別し、それぞれに適切なポリシーを適用することができます。また、事前に設定されたSaaSテナント制御により、自動的かつリアルタイムの修復を実行できます。

 

3. リスクの高いファイル共有の制御

クラウドアプリにより、かつてない水準の共有とコラボレーションが実現します。その一方で、危険な団体にデータを取得されるリスクを冒さないよう、承認済みのアプリを使って誰が何を共有しているかをセキュリティ部門が知る必要が生じています。

コラボレーションの管理は、主要なCASBにとって鍵となる機能です。Zscaler CASBは、SaaSテナント内のファイルを迅速かつ繰り返しクロールして機密データを特定し、ファイルが共有されているユーザを確認し、リスクの高い共有に必要に応じて自動的に対処します。

 

4. SaaSの設定ミスを修復

クラウドアプリケーションの導入、管理を行う際、アプリが適切かつ安全に機能するようにするためには、設定を正確に行うことが重要です。設定ミスが発生すると、セキュリティ衛生が損なわれて機密データが容易に漏洩してしまう恐れがあります。

Zscaler SSPMはAPIを介してSaaSテナントと統合し、規制コンプライアンス上のリスクにつながる設定ミスを検出するためにスキャンを実行します。これは、CSPMおよびCIEMと並ぶ、Zscaler Workload Postureのコンポーネントの1つです。

 

5. データ漏洩の防止

データ侵害や漏洩を引き起こす恐れがあるクラウドリソースの設定ミスに加えて、クラウド内の機密のデータパターンも特定して制御する必要があります。膨大な量のこの種のデータはHIPAA、PCI DSS、GDPR、および他の多くのフレームワークの下で規制されています。

ZscalerのクラウドネイティブのセキュリティプラットフォームであるZero Trust Exchangeは、クラウドDLPおよびCASB機能により統一されたデータ保護を提供します。これにより、クラウドアプリが情報漏洩やコンプライアンス違反を阻止するように適切に構成され、Exact Data Matching(EDM)やIndexed Document Matching(IDM)などの高度なデータ分類手法でサポートされることで、あらゆる場所で機密データを特定して保護できるようになります。

 

6. 攻撃を阻止

感染したファイルが組織のセキュリティを通過して承認済みのクラウドアプリに侵入すると、接続されたアプリケーションや他のユーザデバイス上に即座に拡散してしまう可能性があります。そのため、アップロード時と保存時の両方において、リアルタイムで脅威から防御できる方法が必要になります。

Zscaler CASBは、次のような高度な脅威からの保護(ATP)機能によってマルウェアの進行を阻止します。

  • 悪意のあるファイルがクラウドにアップロードされるのを防止するリアルタイムプロキシ。
  • 保存されているファイルを特定して脅威を修復する帯域外スキャン。
  • ゼロデイマルウェアをも特定するクラウドサンドボックス
  • 管理されていないエンドポイントからのアクセスを保護する、エージェント不要のクラウドブラウザの分離

 

詳細についてはZscaler CASBに関するページをご覧ください。

WFA(Work From Anywhere)環境におけるデータの保護

eBookを読む

ZscalerのマルチモードCASBを採用する利点

ブログを読む(英語)

Zscaler Data Protection

動画を見る(英語)

2022年 Gartner セキュリティサービスエッジ(SSE)のMagic Quadrant

Gartnerのレポートを見る

Zscaler Security Service Edgeのインフォグラフィック

資料を見る(英語)

セキュリティトランスフォーメーションによるデータ流出の防止

詳細を見る