クラウド アクセス セキュリティ ブローカー
(CASB)とは

CASBとは

クラウド アクセス セキュリティ ブローカー(CASB)は、クラウド アプリケーションを保護するための可視化および制御ポイントです。機密データの漏洩の防止、マルウェアやその他の脅威の阻止、シャドーITの検出と制御、法規制の順守を実現するためのデータ保護と脅威対策のサービスを提供します。

クラウド アプリのユーザーとクラウド サービスの間に位置するCASBは、トラフィックとユーザーのアクティビティーを監視するほか、脅威やリスクの高い共有を自動的にブロックし、認証や警告などのセキュリティ ポリシーを施行します。

 

CNAPPが求められている理由

クラウドの普及に伴い、CASBが備えるサイバーセキュリティ、アクセス制御、データ保護などのさまざまな機能は、企業のセキュリティにとって重要な存在となりつつあります。CASBを利用することで、クラウド プラットフォームやアプリ内の転送中データまたは保存データを制御できます。今の時代にCASBが求められる理由には、以下の点が挙げられます。

  • データ センターのファイアウォールといった従来のネットワーク セキュリティ ツールでは、クラウド プラットフォームやクラウド アプリ(Microsoft 365、Salesforceなど)に対応できない。
  • ほとんどのユーザーが新しいクラウド アプリを自分で入手して使用できるため、IT部門はこれまでと同様の規模できめ細やかなユーザー アクセス制御を手動で管理できない。
  • CASBはポリシーを適用して、シャドーITの制御、クラウド情報漏洩防止(DLP)、SaaSセキュリティ態勢管理(SSPM)、高度な脅威対策を提供できる。

 

CASBの4つの柱

効果的なCASBソリューションは、以下の4つの中核的な機能で構築されています。
 

1. 可視性

リモート ワークとBYODの普及に伴い、組織はクラウド環境で何が起きているかを把握する必要性が高まっています。管理されていないデバイスは数多く存在するため、導入に関する可視性が不十分な場合、意図しないアクセスを許可してしまうリスクが生じます。CASBは、組織のクラウド アプリの使用状況を検出してレポートを作成し、アプリをブロックするかどうかを決めるためにリスク評価を行います。
 

2. コンプライアンス

クラウド コンピューティング サービスを組織レベルで運用するためには、膨大な量のコンプライアンス規則に準拠する必要があります。とくに公的機関や金融サービス、そして医療業界でその傾向が顕著となっています。CASBを使用することで、業界における最大のリスク要因を特定して厳格なデータ保護ポリシーを設定できるため、組織全体でコンプライアンスを達成、維持できます。
 

3. データ セキュリティ

世界に存在するデータの総量は2年ごとに倍増しています。データが爆発的に増加する中、悪意のあるアクターはより巧妙に、より狡猾に進化しています。CASBとクラウドDLPを組み合わせることで、データの潜在的なリスクを把握できるだけでなく、実際にリスクを阻止することも可能です。また、クラウドを行き来する機密性の高いコンテンツやクラウド間の通信を可視化できるため、インシデントを特定して適切なポリシーを適用し、データの安全性を確保できます。
 

4. 脅威対策

クラウドの脅威やマルウェアが横行する今日のITエコシステムにおいては、ほとんどの場合、クラウドのリソースが最も脆弱であることがわかっています。CASBは、行動分析と脅威インテリジェンスで、より堅牢なクラウド セキュリティを確保します。これらの高度な機能により、不審なアクティビティーをすばやく特定して対処できるため、クラウド アプリケーションとデータを安全に保ち、組織の全体的なクラウド セキュリティ態勢を強化することができます。

 

Gartnerなどのアナリストによると、クラウドのプレゼンスが高い企業はすべて、クラウドベースのデータを保護するためにクラウド アクセス セキュリティ ブローカー(CASB)を必要としています。

Tom Henderson氏、Computerworld

CASBの仕組み

CASBの中にはオンプレミスのハードウェアやソフトウェアの形態をとるものもありますが、拡張性、コスト、運用管理性を考慮した場合、クラウド サービスとして提供されるソリューションが最も適しています。形態にかかわらず、CASBはプロキシー(フォワード プロキシーまたはリバース プロキシー)、API、またはその両方(「マルチモード」と呼ばれます)を使用するように設定できます。これについては、後ほど詳しく説明します。

 

プロキシー

CASBはデータの経路で動作する必要があるため、クラウド プロキシー アーキテクチャーを基盤としたものが理想的です。CASBで一般的に使用されるフォワード プロキシーは、クライアント側からユーザーのプライバシーとセキュリティを保護します。一方、リバース プロキシーはインターネット サーバーと同じ場所に位置するため、パフォーマンスの低下やリクエスト エラーなどの問題が発生しやすくなります。

フォワード プロキシーは、クラウド サービスに対するリクエストを宛先に向かう途中で遮断します。そして、CASBはポリシーに基づいて、資格情報マッピングとシングル サインオン(SSO)認証、デバイス態勢の検証、ログの記録、アラートの生成、マルウェアの検出、暗号化、トークン化などの機能を実行します。

 

API

インライン プロキシーは転送中データを遮断しますが、クラウド上の保存データに対しては、アウトオブバンド型セキュリティが必要です。CASBベンダーは、クラウド サービス プロバイダーのアプリケーション プログラミング インターフェイス(API)との統合を通じてこれを提供します。

 

CASBに対するGartnerの見解

Gartnerは2012年にCASBを初めて定義し、組織は主にシャドーITを制御するために使用していました。その後CASBは進化し、SaaSアプリの保護だけでなく、Platform as a Service (PaaS)やInfrastructure as a Service (IaaS)にも幅広く適用できるようになり、さまざまな新しいユース ケースに対応できるようになっています。

時間の経過とともに、CASBの利点と機能は、セキュアWebゲートウェイ(SWG)の機能と重複するようになってきました。これは、Gartnerが2019年に「セキュア アクセス サービス エッジ(SASE)」という新しい用語を定義した理由の1つでもあります。SASEは、「デジタル企業の動的かつ安全なアクセスのニーズをサポートするための、包括的なネットワーク セキュリティ機能(SWGCASBFWaaSZTNA)を備えた包括的なWAN機能」を提供する、クラウド配信サービスのフレームワークとされています。

2021年、Gartnerはさらに掘り下げ、SASEのセキュリティ機能のみを指すセキュリティ サービス エッジ(SSE)を打ち出しました。これは、複雑で統一されていないセキュリティ スタックを合理化するための取り組みが世界規模で進んでいることを反映しており、企業の30%が2024年までにSWG、CASB、ZTNA、Firewall as a Service (FWaaS)機能を同一のベンダーで採用するとGartnerは予測しています。

 


Zscalerは、2022年 Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™でリーダーの1社と評価され、実行能力において最も高いポジションに位置付けされました。

Zscaler SSEの詳細について


 

WFA (Work From Anywhere)環境におけるデータの保護

eBookを読む

ZscalerのマルチモードCASBを採用する利点

ブログを読む(英語)

Zscaler Data Protection

動画を見る(英語)

2022年 Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™

Gartnerのレポートを見る

Zscaler Security Service Edgeのインフォグラフィック

資料を見る(英語)

セキュリティ トランスフォーメーション:データ流出の防止

詳細を見る

マルチモードCASBとは

プロキシー モードでは、CASBは情報漏洩やマルウェアをリアルタイムで阻止するインラインポリシーを適用します。また、APIと統合してSaaSアプリのコンテンツをスキャンできるため、機密のデータパターンやランサムウェアなどの脅威を検出して対処できます。最近では、API統合がSaaSセキュリティ態勢管理(SSPM)にも活用されるようになり、CASBでアプリケーションの設定ミスを修正することができます。

プロキシーベースとAPIベースの両モードを提供するCASBは「マルチモードCASB」と呼ばれ、SaaSだけでなく、Microsoft AzureやAWS S3などのIaaSの保護も可能です。また、CASBを個別の単一機能の製品としてではなく、SSEプラットフォームの一部として導入することで、一貫したセキュリティやパフォーマンスの向上、一元的な管理を実現できます。

 

Zscaler CASB

Zscalerは、総合的なZscaler Zero Trust Exchange™のプラットフォームの一部として、SWGやZTNAなど併せてサービスとしてのマルチモードCASBを提供し、単一機能の製品の排除、ITの複雑さの軽減、ならびにシングルパスのトラフィックの検査をサポートします。自動化されたポリシーを1つ構成するだけですべてのクラウドデータチャネルに一貫性あるセキュリティが提供されるため、管理者の負担が軽減されるのが特徴です。

 

クラウドの転送中データに対するインライン セキュリティ

高性能のフォワード プロキシーとSSLインスペクションにより、以下のような重要なリアルタイムの保護を提供します。

  • シャドーITの検出とクラウドアプリの制御により、ネットワークデバイスログを必要とすることなく、未承認のアプリを特定して保護します。
  • DLPにより、承認済みのアプリだけでなく未承認のアプリへの機密データのアップロードを防止します。
  • 高度な脅威からの保護では、機械学習を活用したクラウドサンドボックスを駆使し、既知および未知のマルウェアをリアルタイムで阻止します。
  • クラウド ブラウザー分離は、BYODのピクセルとしてセッションをストリーミングし、リバース プロキシーなしでデータ漏洩を防ぎます。

 

保存データへの帯域外セキュリティ

SaaSアプリやクラウド プラットフォーム、そしてそれらのコンテンツをAPIベースでスキャンすることで、自動的にセキュリティを強化します。これには以下が含まれます。

  • 事前に定義されたカスタマイズ可能なDLPディクショナリにより、SaaSおよびパブリッククラウド内の機密データを特定します。
  • コラボレーション管理機能がアプリをクロールしてリスクの高いファイル共有を特定し、ポリシーに基づいてファイル共有を無効にします。
  • クラウドサンドボックスシステムで保存データをスキャンし、ゼロデイマルウェアやランサムウェアを特定し、対応します。
  • SSPMCSPMCIEMが、SaaSやIaaSの設定と権限を評価し、問題点を自動的に修復します。
Zscaler CASBが包括的なZero Trust Exchangeの一部であることを示す図

 

CASBの主なユースケース

1. シャドーITの検出と制御

ユーザーが会社のファイルやデータを許可されていないクラウド アプリに保存したり、共有したりすると、データのセキュリティが脅かされます。このような問題に対処するためには、組織内におけるクラウドの使用状況を理解したうえで保護する必要があります。

Zscaler CASBはシャドーITを自動的に検出し、ユーザーが訪問したリスクの高いアプリを可視化します。そして、簡単に構成できる自動化されたポリシーが個々のアプリやアプリのカテゴリーに対してさまざまなアクション(許可、ブロック、アップロードの防止、使用の制限など)を実行します。

 

2. 社外SaaSテナントの保護

Google Driveなど、ユーザーは承認済みのアプリとそうでないものの両方を同時に使用する場合があります。アプリを完全に許可またはブロックすると、不適切な共有を助長したり生産性を低下させたりする可能性があります。

Zscaler CASBは、承認済みのSaaSテナントと外部組織に属する未承認のインスタンスとを区別し、それぞれに適切なポリシーを施行します。また、事前に設定されたSaaSテナント制御により、自動的かつリアルタイムの修復を実行できます。

 

3. リスクの高いファイル共有の制御

クラウド アプリは、部門や会社を超えた共有とコラボレーションを可能にしますが、セキュリティ部門は承認済みのアプリを使って誰が何を共有しているかを把握し、危険な人物にデータが渡るリスクを回避する必要があります。

コラボレーションの管理は、主要なCASBにとって鍵となる機能です。Zscaler CASBは、SaaSテナント内のファイルを迅速かつ繰り返しクロールして機密データを特定し、ファイルが共有されているユーザーを確認します。リスクの高い共有には、必要に応じて自動的に対処します。

 

4. SaaSの設定ミスの修復

クラウド アプリケーションの導入、管理を行う際、アプリが適切かつ安全に機能するように正確に設定することが重要です。設定を誤ると、セキュリティ衛生が損なわれ、機密データが容易に漏洩する可能性があります。

Zscaler SSPMはAPIを介してSaaSテナントと統合し、規制コンプライアンス上のリスクにつながる設定ミスを検出するためにスキャンを実行します。これは、CSPMおよびCIEMと並ぶ、Zscaler Workload Postureのコンポーネントの1つです。

 

5. データ漏洩の防止

データ侵害や漏洩を引き起こす恐れがあるクラウド リソースの設定ミスに加えて、クラウド内の機密データのパターンも特定して制御する必要があります。膨大な量のこの種のデータはHIPAA、PCI DSS、GDPRなどの多くのフレームワークの下で規制されています。

Zscalerのクラウドネイティブなセキュリティ プラットフォームであるZero Trust Exchangeは、クラウドDLPおよびCASB機能による統合データ保護機能を提供します。これにより、クラウド アプリが情報漏洩やコンプライアンス違反を阻止するように適切に構成され、Exact Data Matching (EDM)やIndexed Document Matching (IDM)などの高度なデータ分類手法でサポートされることで、あらゆる場所で機密データを特定して保護できるようになります。

 

6. 攻撃の阻止

感染したファイルが組織のセキュリティを通過して承認済みのクラウド アプリに侵入すると、接続しているアプリケーションやユーザーのデバイスに即座に拡散してしまう可能性があります。そのため、アップロード時と保存時の両方において、リアルタイムで脅威から防御できる方法が必要になります。

Zscaler CASBは、次のような高度な脅威対策(ATP)機能によってマルウェアの進行を阻止します。

  • 悪意のあるファイルがクラウドにアップロードされるのを防止するリアルタイム プロキシー
  • 保存されているファイルを特定して脅威に対処する帯域外スキャン
  • ゼロデイ マルウェアも特定するクラウド サンドボックス
  • 管理されていないエンドポイントからのアクセスを保護するエージェント不要のクラウド ブラウザー分離

 

詳細については、Zscaler CASBをご覧ください。