きゃすびー(CASB)
CASBとは*1
CASB(Cloud Access Security Broker:キャスビー)とは、ガートナーが2012年に提唱した言葉で、企業が利用するクラウド・アプリケーションについて可視化、データ・プロテクション、ガバナンスを実現するサービス/製品を指す。
ゼロトラストネットワークの記事で言及した、社内でクラウドサービスを使う機会が増えてきた場合の対応方法ですが、昨今ではCASBというのが熱いらしいです。
ガートナーが2012年に提言し始めたところから考えると、私の情報Updateが明らかに追いついていない(汗
そもそもなんでこんな考え方が必要になったのか
クラウドシフト、最近では「働き方改革」といったワークスタイルの変革により、「データ」自体がオンプレミスを離れ、さらにはユーザ自体が多層防御の効かない企業外から、同じアカウントを別のパソコンから(場合によってはスマートフォンから)利用することでもアクセスが可能になってしまった。
WAF・IPS/IDS・FW・Proxyの構成しか知らなかったのでなんでCASBがいるんだろうな~と思ってましたが、よくよく考えてみるとすべてオンプレプロキシーを経由させる迂回構成はコスト高いですからね… O365の多セッションも後押ししているように感じます。
CASB製品って何ができるの
CASB製品を利用するうえでの条件
クラウドプロキシで終端したクラウドアクセスに対するセキュリティ機能の提供や、各アプリケーション提供APIによる詳細なデータアクセス制御、シャドーITと言われるリスクの高いアプリケーションに対する制御に限定される。
CASB製品の機能とシステム構成要件
大企業においては、CASB製品が未対応のクラウド利用なんかを認めるわけないので、APIモード+リバプロモードの組み合わせにすればエージェント導入も不要なんじゃないかと夢想。
ちなみに、ファイルが機密情報なのかそうでないのかを判断するためのラベリングが非常に大変だということも聞いたことがある。機能を実現するための仕組みに複雑さは感じないが、運用するための整理が非常に苦労しそう。
1つ目のAPIモードは、SaaS(クラウド)が提供するAPIを所定の権限で利用して、アクセス/データの流れを可視化する。そして、APIを介して詳細なレベルのアクセス権限設定やデータ保存の制御を実行する。これを得意としているベンダーがSkyhighである。 2つ目のフォワードプロキシ・モードは、オンプレミスとクラウドの双方の提供形態がある。基本的にトラフィックをフォワードしてクラウドとやり取りする仕組みだ。これを得意としているのがNetskopeである。同社の場合、フォワードプロキシと端末側にエージェントをインストールし、両者を連携させながら制御している。 フォワードプロキシ・モードで通信する場合、端末側のエージェントが必ずプロキシを通過するので、未承認クラウドとのやり取りも可視化できるというわけだ。もちろん、認証クラウドでは詳細な制御が実行できる。 3つ目のリバースプロキシ・モードは承認済みクラウドに近い位置に配置する。そのため、承認済みクラウドとのやり取りは可視化できるが、未承認クラウドとのやり取りは可視化の対象にならない。その反面、端末にエージェントをインストールする必要はなく、接続する端末やアカウント、承認済みクラウドでの詳細設定が可能だ。 導入のイメージとしては、BYOD(Bring your own device/個人端末の業務利用)を積極的に進めている企業はリバースプロキシ・モードを、逆に会社支給のデバイスのみ利用を許可している企業はフォワードプロキシ・モードの製品を採用することがよいだろう。 ちなみに、4つ目のエグジスティングプロキシ・モードは、一般的なプロキシを指す。ここで取得したログをCASBベンダーが分析し、利用者はその分析結果をダッシュボードで確認できる。つまり、すでに導入しているセキュリティソリューションのログデータをCASBが分析するというイメージだ。
CASBの今後
厳密なCASBだけのメリットというのも定義は難しくなっているのも現場の混乱を招いている一因と言える。実はこれについてはGartnerが2016年のGartner Summitにおいて、CASBはやがてネットワークファイアウォール、SWG、WAFなどにパッケージ化されていくだろうという予測を出しており、導入する側の企業としては、その要件について純粋なCASBが満たすのかそれともパッケージ化された既存技術が適切なのかを判断するよう説いている。
製品が複数機能を持ちすぎて、理解が難しくなりそうですが、製品導入の際にはSaaS利用も見越した製品選定が必要であることを忘れないようにしようと思う。
