ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第7回はSaaS(ソフトウエア・アズ・ア・サービス)利用状況を可視化する「クラウド・アクセス・セキュリティー・ブローカー(CASB)」を取り上げる。可視化を通してユーザーにSaaSの適切な利用を促すと共に、マルウエアなどの脅威からデータを守る。

CASBの仕組み
[画像のクリックで拡大表示]

 CASBは大きく分けて4種類の機能を備える。第1はSaaSの利用状況の可視化だ。CASBはSaaSと連携し、サービスへのログイン状況やデータのアップロード/ダウンロードなどの情報を取得する。例えばユーザーがBoxやGoogle ドライブ、Dropbox等のクラウドストレージに保存する機密情報を社外へ共有しようとした際には、それを検知してユーザーやシステム管理者にアラートを出す。

 第2はデータセキュリティー(情報漏洩防止)だ。企業が定めたルールに基づき、クラウド上で機密性の高いデータが扱われていないか確認する。機密情報が検出された場合は暗号化やアクセスのブロックを行う。例えば「クラウド上にはクレジットカード情報をアップロードしない」といったルールに基づき、違反があれば該当するデータへのアクセスをブロックする。

 第3はコンプライアンスだ。利用するSaaSの認証機能やデータ保護基準などが、国や業界の規制や企業のコンプライアンスに違反していないか確認する。公共機関の監査に必要な証跡の取得やリポートの作成にも対応する。

 第4は脅威からの防御だ。SaaS上のマルウエアを検知し、隔離等の措置を行う。加えてセキュリティー基準が低く、情報漏洩のリスクが高いSaaSなどへのアクセスをブロックする。

表 CASBの主な機能
機能名概要
利用状況の可視化SaaSへのログイン状況やデータのアップロード、ダウンロードなどの状況を可視化し、サンクションIT上での不正利用やシャドーITを検知する
データセキュリティーSaaS上のデータを暗号化し、ダウンロードや社外への連携を制御する
コンプライアンス企業が定めたルールに沿わない利用が無いかチェックする
脅威からの防御SaaS上のマルウエアを検知し、隔離等の措置を行う。リスクの高いSaaSへのアクセスをブロックする

 CASBは「クラウド・アクセス・セキュリティー・ブローカー」との名称から分かるように、ブローカー(=プロキシー)として機能して、SaaSへ向かう通信を全てキャプチャーして検査するものとして登場した。ブローカーとは仲介人という意味だ。現在はブローカーは使わずに、SaaSとはAPI(アプリケーション・プログラミング・インターフェース)経由で連携する方式も多いものの、CASBとの名称が使われている。

 ブローカー型の代表的な製品であるNetskopeでは、業務用デバイスにエージェントをインストールすることで「シャドーIT」であっても利用状況を可視化できる。シャドーITとは、企業の管理下にないITサービスやデバイスを社員が許可なく利用することを指す。一方で管理下にあるITサービスを利用する場合は「サンクションIT」と呼ばれる。社用デバイスから、SaaSをプライベートアカウントで利用することもシャドーITにあたる。ブローカー型は通信の途上でパケットを分析して、プライベートアカウントでのSaaSの利用を可視化する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。