シャドーITリスクも可視化、クラウドセキュリティ向上のポイント『CASB』

働き方の変化がもたらす新たなセキュリティリスク

近年、働き方改革の取り組みに伴い、リモートワークやフレックスタイム制の導入など、多くの企業でこれまでにない制度や仕組みの導入が進んでいる。勤務場所や労働時間に拘束されない、より柔軟な勤務形態を選択できるようになり、個々の事情に応じた勤務が可能となることから、従業員の生産性や満足度の向上が期待されている。

しかし、働き方の変化により、新たなセキュリティリスクも顕在化してきている。なかでも特に問題視されているのが「シャドーIT」である。

シャドーITとは、会社から使用を許可されていない個人所有デバイスや外部のクラウドサービスを、所属している会社の業務で利用することである。近年、ビジネスのデジタル化が急速に進む中、クラウドサービスの導入や利用を前提とする企業が増えているが、その便利さゆえに、従業員個人でも無料のクラウドサービスを利用しているケースが多い。こうした場合、一般向けストレージサービスへ業務ファイルを保存する人もいるだろう。

しかしながら、一般向けの無料ストレージサービスは、情報公開の規則が緩く、法人向けに提供されている製品と比べてセキュリティレベルが低い場合が多い。そうした環境にひとたび業務上の資料などを公開してしまうと、外部に業務情報が流出してしまう危険性があるだけでなく、場合によっては機密情報が漏えいし、会社に大きな損失をもたらすリスクさえある。

特に昨今は、時間外労働の上限規制により、社内で残業することが許されず、やむを得ず終わらなかった仕事を自宅やカフェなどで行う「持ち帰り残業」が話題となっている。企業側の残業抑制に対応するため、従業員は善意で業務を持ち帰っているのだが、社外のデバイスでクラウドサービスを利用できるようにすると、その通信が社内LANを経由しないことから、企業が利用状況を把握しにくくなる。そのため、シャドーITはトラブルに発展しない限りシステム管理者が状況を把握することは難しく、企業側が個人の行動を完全に把握することは困難であるため、今この瞬間もどこかでシャドーITが発生しているというのが実情である。

シャドーITなどのリスクに対応できる「CASB」

こうしたシャドーITなどのセキュリティリスクに対応するため、昨今注目を集めているのがCASB（Cloud Access Security Broker）と呼ばれるサービスである。CASBは、社員とクラウドサービスとの間に位置し、通信を監視することで、外部サービスの利用の可視化や制御を実施する仕組みである。

企業では、クラウドサービスを含むITシステムを情報システム部門が一括して管理するのが普通ではあるが、前述のように、情報システム部門が関知していないユーザーレベルでのクラウドサービスの利用が増加しており、さらには事業部門による独自のクラウドサービスを利用するケースも多い。

CASBは、こうした企業内外からの全てのクラウドサービスの利用について、セキュリティを一括でコントロールすることができるソリューションである（図1）。データを電子媒体に書き込ませないなど、ローカルでのセキュリティポリシー適用と組み合わせれば、さらに高い効果を発揮できる。

（図1：CASBのイメージ）

CASBを構成する4つの特長

CASBは、「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」という4つの特長から構成されている（図2）。

◆可視化

社員が使用するデバイスとクラウドサービスの通信を監視できる。この仕組みにより、一般向けのストレージサービスなど、セキュリティリスクが高い利用用途を洗い出すことが可能となる。

◆コンプライアンス

社員が利用しているサービスを、企業のコンプライアンスに適合しているかどうかをチェックできる。認証機能や保護の強度など、自社のポリシーによって判断することも可能。

◆データセキュリティ

データの種類によって共有権限やアクセス権限を設定したり、DRM機能^※の利用、電子透かしの設定、パスワード付きの圧縮ファイル化、強制暗号化などを併用できる。

（※）DRM（Digital Rights Management）は、データの利用、アクセスをコントロールする技術。暗号化により常にデータが保護される。さらにデータのアクセス制限をサーバで実施。監査も同時に行い、データにアクセスしたアカウント・日時・IPアドレスなどを記録して追跡を容易にする。

◆脅威防御

クラウドサービスに潜む脅威をブロックできる。電子デバイスの不審な行動検知やマルウエア検知機能などにより、内部からの情報流出リスクを抑えられる。

（図2：CASBを構成する4つの特長）

CASB導入時の4つのポイント

CASBを活用することで、高いレベルでシャドーITの対策が可能となるが、自社への導入を検討する際には事前に押さえておくべき4つのポイントがある。

◆ポイント1「自社の課題を明確にする」

CASBのサービスは各社からリリースされているが、サービスによって対応可能な範囲や機能に違いがある。そのため、自社の課題を踏まえて、適切なサービスを選択する必要がある。

◆ポイント2「すでに所有している自社製品での対応を考える」

前述の4つの特長は、CASB以外で実現できるものもある。例えば、次世代ファイアウォールやセキュアWebゲートウェイ（SWG）がそれに該当する。ネットワーク全体に同じポリシーを適用するだけでよいなら、これらの機器でも対応できることが多い。

CASBが次世代ファイアウォールやSWGと比べて優れている点は、クラウドやユーザー単位での制御を設定できるところにある。きめ細やかに対応できるため、高いレベルでの対策が可能となる。

しかしながら、細かいセキュリティ設定が自社の要件で求められていない企業も多いだろう。次世代ファイアウォールやSWGなどの機器は、どの企業でもすでに何らかの形で設置されていることが多いため、これらの機器を運用しているのであれば、設定の変更だけで自社のセキュリティ要件に対応できることもある。

◆ポイント3「CASBのシステム要件を満たせているかチェックする」

CASBは、システムの環境によって使いたい機能を利用できない場合もあるため、注意が必要だ。

CASBには、「Proxy型」と「API型」と呼ばれる2つの型がある。Proxy型は、オンプレミス環境とクラウド環境の間のネットワークに CASBを配置するサービス形態であり、API型はユーザーの通信とセキュリティ制御は切り離して、クラウド側で用意している API を CASB が利用するサービス形態である。例えば、自社で仮想専用回線サービスを使用している場合、前者のProxy 型を利用することはできない。この場合は API 型の CASB を導入することになる。

自社のシステム構成とネットワーク構成は明確に把握しておき、導入前にはサービス利用可否のチェックが必要である。

◆ポイント4「費用対効果を考慮する」

CASBはユーザー単位の課金となることもある。従業員数の多い大規模企業にとっては、安易にCASBを導入してしまうと、コストが膨れ上がることになる。どの程度の予算をCASBに割けそうか、事前に社内で合意を取る必要があるだろう。

自社の課題を明確化して適切なCASB利用を

CASBは、企業のITセキュリティを高める効果的な対策になり得る。これまでリスクを認識しながらも容認せざるを得なかったシャドーITについて、その可視性、保護、管理体制を改善できる可能性がある。

ただし、CASBは製品によって対応しているクラウドサービスやデバイスが異なる。また、企業によっては個人レベルでの厳密なセキュリティポリシーを求めない場合もあるため、自社の課題に応じた適切な製品を選択するようにしたい。

◎製品名、会社名等は、各社の商標または登録商標です。