鳥瞰的な視点でCASBをとらえる
日本人は古くから「右向け右」文化が強く根付いた民族だ。隣人が新しいモノを買えば気になるし、「これが流行だ」となればそこに投資をする。セキュリティもやはり同様で、同業種の企業が「ここまで対策している」と聞けばそこに標準を合わせるし、「今はCASBでクラウドを守る」と言われればそれを評価してみよう、と動き始める。
この連載で指摘してきた重要なポイント、それは、「鳥瞰的な視点でCASBを捉えた上で、企業の課題を解決するものなのかを判断する」ことだ。
CASBをアプリケーションの可視化のためだけに導入する企業は希少だ。本来は、オンプレミスを離れたデータやユーザーにまつわるリスクを可視化して制御することでクラウドシフトを加速化させ、ビジネスにアジリティをもたらし、運用面などでコスト対効果が出ることをCASBに期待するはずだ。
そうした意味でも、「CASBで提供されるデータ保護や脅威防御の範疇が果たして十分なのか」(第4回、第5回参照)、「クラウドだけ取り締まったところでオンプレミスの端末からUSBで簡単に情報が抜けないのか」など、その投資効果も含めた検討が必要だ。
セキュリティの変革期における意識改革
クラウドシフトや働き方改革といった「わかりやすいモチベーション」により、CASBという技術は確かに脚光を浴びた。同時に「データ活用」における企業としての「指針」(ガバナンス)を定めない以上、CASBが使いこなせないばかりか、オンプレミスやモバイルで活用されるデータすら取り締まることができない現状に気づくきっかけとなった。
サイバー攻撃は多角化し、メールやWeb、クラウドまでも取り囲み、エンドポイントもまたオンプレミスに閉じた形ではなく、外出中や出張中にサイバー攻撃に狙われる局面が増加している。そして、データはそれらすべてのポイントで活用される以上、クラウドに保存されるデータだけを取り締まることにどれだけの投資効果があるかを踏まえ、今までの「これが流行りの脅威、リスクだからこの技術やソリューションが必要」といったピンポイントのセキュリティ投資ではなく、ビジネスの変革をサポートできるためのセキュリティ・プラットフォームをどう構築していくかを検討するようになるだろう。
クラウドシフトのロードマップを策定しよう
本連載では、CASBという流行のキーワードをもとに6回にわたり解説してきた。6回分の要約をするならば、「CASB=クラウドセキュリティという公式に誤りはないものの、企業におけるセキュリティ課題の中でどれだけCASBで対応できる範疇の優先度が高く、また今後の拡張性など踏まえて本当に適正なのかを判断した上で活用頂きたい」、となるだろう。
すべての記事を参照いただいた上で、なおCASBの導入が必要だと考える企業においては、ぜひ今一度以下の3カ条を確認いただきたい。
- CASBが対応できない範疇のクラウドアプリやWebアクセスとして判断される通信を補完できるか
- 企業で活用されているデータのうち、情報流出のインパクトが高いものを特定するための適切なポリシーが適用できるか
- 企業全体としてのデータガバナンスを定義し、それをもとに、クラウドだけではなくオンプレミスのデータベース、ファイルサーバ、エンドポイントやメール添付など含め、適切な情報流出対策を適用できるか。
上記を確認いただいた上でCASBを導入されるのであれば、その投資は間違いなく有効活用できるだろう。1項目でも足りていないのであれば、そこから見直し、適切なタイミングでCASBを導入し活用できるようロードマップを策定いただきたい。そうすれば、後悔しないCASBの導入、そしてデータの活用と保護が両立されたクラウドシフトが可能となるだろう。
著者プロフィール
|
髙岡 隆佳
株式会社シマンテック セールスエンジニアリング本部 エバンジェリスト
セキュリティ業界での18年の経験を生かし、製品やソリューションに捉われない、セキュリティ投資の方向性について講演やメディアを通じて啓蒙活動を行っている。エバンジェリストとして、企業のセキュリティリスク、対策、課題に精通している。近年は、クラウドセキュリティアライアンス日本支部(CSA Japan)CASB WGにてクラウドセキュリティ啓蒙に力を入れている。
Oracle Cloud上で金融サービスを提供するNRI、その狙いとは - 生成AIのPoCも
