CASB(Cloud Access Security Broker)は、クラウド環境で実現すべきセキュリティ機能の中心的な役割を果たす製品と期待され、クラウド化が進む多くの企業において導入・検討がされている。本稿では、ITRが事務局を務めるITEG(企業IT力向上研究会)のセキュリティコミュニティが行った、CASBの調査研究の活動成果から主要なCASB製品の調査結果とともにCASB製品選定でのポイントを解説する。
CASB登場の背景
これまでの企業ネットワークは、社内ネットワーク上にサーバがあり、社外にアクセスする際はファイアウォールを介してインターネットに接続して、ブラウザでさまざまな情報を入手するという利用形態だった。しかし、クラウド化の進行により社内ネットワーク上にあったサーバはクラウド上の仮想サーバに取って代わり、社内のシステムが廃止され汎用のクラウドサービスに置き換わることにより、社内ネットワーク上からサーバがなくなりつつある。これまで社内ネットワークへのアクセスが中心だったユーザーはインターネット上のクラウド環境にアクセスするようになるが、この場合、以下のような問題が発生する。
(1)インターネット・アクセスポイントでの渋滞の発生
これまでは社内サーバへのアクセスが中心で社外にアクセスすることが少なかったため、インターネット接続回線の帯域は細く、かつ社内のセキュリティレベル確保のためファイアウォールを設置して、窓口を1つにするネットワークアーキテクチャを採用している企業が多かった。したがって、クラウドへのアクセスが増えることで帯域が圧迫され、渋滞が発生する。また社内と社外を繋いでいるファイアウォールが処理能力を超えてダウンすることも発生する。
(2)未許可のクラウドサービスへのアクセス(シャドーIT)
インターネット上にはさまざまなクラウドサービスが存在し、ユーザーは会社が許可したクラウドサービスだけではなく、認知していないクラウドサービスも使える。そのなかには、サイバー攻撃をするためにマルウェアを埋め込んだクラウドサービスや、個人情報を盗み取ることが目的のクラウドサービスもあり、ユーザーがインターネット上でこれらの悪意のあるクラウドサービスを利用してしまうことは十分に考えられる。また会社が把握していないクラウドサービスを使って業務を行っていることもあり得る。
(3)許可クラウドサービスの不適切な利用(サンクションIT)
許可されたクラウドサービスを利用していても、例えば社外への持ち出しが禁止されている機密情報をクラウド上に保存したり、会社が定めた使用方法から逸脱した利用や、許可範囲を超えた不適切な使い方をされる可能性がある。
