クラウドを利用することで発生するリスクを管理。注目度が高まる「CASB」
低価格ですぐに使い始められるクラウドサービスは便利である反面、IT部門にとっては社内で勝手に使われ始めてしまった多数のクラウドに対して、どのようにガバナンスを効かせ、いかに一貫したセキュリティポリシーで運用するかが悩みとなっています。そこで注目され始めたのが「CASB(Cloud Access Security Brokers)」です。
パブリッククラウドの登場によって、月額数百円から数千円程度の非常に安いコストで誰もがインターネットの向こう側にサーバーやストレージを持つことができるようになりました。またメールやスケジューラーといった日常的に使うアプリケーションから顧客管理や売上管理といった本格的な業務アプリケーションも、Webブラウザからサービスとして簡単に利用できるようになりました。
これは当然、ビジネスの現場で用いるITにも大きな影響を与えています。いまや多くのビジネスユーザーが、パブリッククラウド上のスケジューラーでスケジュールを管理し、ストレージサービスを用いて顧客とファイルをやり取りし、グループウェアで組織のコミュニケーションを実現しています。
パブリッククラウドはこうした新しい価値をビジネス現場にもたらした一方で、これまでになかったリスクも同時にもたらしました。いわゆる「シャドーIT」です。
ガバナンスの効かない「クラウド利用」で生じるリスク
シャドーITとは、現場の担当者が勝手に外部のクラウドサービスの利用を始めてしまった結果、IT部門が把握できないまま組織内で勝手に使われているさまざまなサービスのことを指します。
シャドーITは現場主導でサービスが導入されるため、適切なセキュリティ管理のできないことが大きな課題のひとつです。
例えば以前、日本のある中央省庁は、クラウドサービスとして提供されているメーリングリストを省内の情報交換ツールとして使っていました。ところが、そのメーリングリストの初期設定は投稿された内容をWebサイトで公開するというものだったため、機密情報がインターネットに公開されていたという事件がありました。
また、ある企業ではクラウド上で利用していたグループウェアがクラウドの障害によって全データを消失。適切なバックアップなどをとっていなかったため、過去の顧客データがすべて失われてしまったということもありました。
このように適切なセキュリティ対策やガバナンスが行われないまま、社内の重要な情報を社外のクラウドに委ねてしまった結果、知らないうちに大きなリスクを抱えてしまうということがクラウドの登場によって顕在化してきたのです。
シャドーITにはそれ以外にも、全体最適が働かないままIT投資が行われる効率の悪さ、社内における情報共有の分断などが発生するリスクもあります。
注目が高まるリスク対策「CASB」
こうしたリスクへの対策として注目度が高まってきているのが「Cloud Access Security Brokers」(CASB)と呼ばれる概念とその分野の製品です。
CASBとは文字通り、社内からクラウドへのアクセスを仲介することで、ガバナンスやセキュリティを担保する仕組みのことを指します。
CASBはクラウドへのアクセスを仲介することで、
企業のガバナンスやセキュリティを担保する仕組みである。
CASBには、クラウドを適切な管理下で利用するためのさまざまな機能の実装が想定されています。もっとも基本的な機能は、CASBによってどんなクラウドサービスを誰がいつ利用しているのかが分かるようになるというものです。CASBは社内とクラウドの間で行われる通信を監視し、あるいはファイアウォールなどの通信ログを解析するなどして、情報を取得・分析することでこれを実現します。
これによって、すでに現場のどの部署が、あるいは従業員の誰がどのようなクラウドサービスを使っているのか、現状を把握できるようになります。すると、どのようなリスクが存在するのかも、ある程度はわかってくるはずです。
その後、二要素認証が可能なクラウド、国内にデータセンターがあるクラウドなど、自社のセキュリティポリシーに合致するようなクラウドのみの利用を許可する、といった対策が打てるようになります。
クラウドの利用に対する常時リスク監視も
自社のセキュリティポリシーに合致したクラウドといえども、利用の仕方に間違いがあれば、そこがセキュリティリスクとなりかねません。そこでCASBはクラウドの利用をリアルタイムに監視する機能も想定されています。
例えば、個人情報やクレジットカード番号のようなセンシティブな情報が社外のクラウドサービスへ保存されようとした場合、データを暗号化したり、別の記号に置き換えて保存したりといった機能です。あるいは単純にそうしたデータが社外のクラウドで保存することを禁止することもできるでしょう。
またクラウドに対して、どのようなデータを保存し、取り出したかといった操作ログを保存していくことで、万が一、何らかのインシデントが発生した場合の分析にも役立ちます。
CASBの導入がクラウドのメリットを殺さないように
もちろん実際のCASBの製品には、それぞれ異なる実装や得意分野があるため、導入時にはそうした点を確認するべきです。
具体的な製品としては、「ブルーコートシステムズ」(https://www.bluecoat.com/ja)や「Skyhigh Networks」(https://www.skyhighnetworks.com/)、そして東京エレクトロンデバイスが販売している「Netskope」(/product/netskope)などが主に国内で展開されています。
またCASBを導入することで、クラウドに対するセキュリティリスクを管理することができるようになりますが、一方でCASB自体が通信のボトルネックや単一障害点になってしまい、せっかくのクラウド導入のメリットを打ち消してしまうリスクを新たに抱えるといった可能性もあります。導入するにあたっては、そうした点も慎重に検討する必要があるでしょう。
※このコラムは不定期連載です。
※会社名および商標名は、それぞれの会社の商標あるいは登録商標です。
-
新野淳一/Junichi Niino
ブログメディア「Publickey」( http://www.publickey1.jp/ )運営者。IT系の雑誌編集者、オンラインメディア発行人を経て独立。新しいオンラインメディアの可能性を追求。