企業が重要情報をクラウド上で管理する場合、最大のリスクと捉えられるポイントが「情報漏洩」です。もちろん共有設定を誤ったまま、ユーザーが機密情報をクラウドで共有して情報漏えいに繋がったというケースが過去に報道されたことがあります。

これまでのオンプレミス環境では、企業の重要データを保存したサーバーのアクセス制限・監視によってリスクコントロールしていました。しかし、クラウドサービスでは複数の事業者の異なるサービスを利用するケースが多く、「どうリスクコントロールするべきか」に管理者は頭を悩ませています。

こうした課題を解決する技術として注目されているのが、Cloud Access Security Broker(CASB)です。CASBは、クラウドにおけるユーザーの利用状況を可視化し、保護する「ブローカー(仲介)」として、企業組織におけるクラウドサービスの管理を手助けします。

組織ユーザーのアクセス領域のコントロールや重要データの暗号化、アクセスログの保持、不審なアクティビティーの監視・対応といったセキュリティコントロールを、異なる事業者のクラウドサービスにまたがって実現できます。

Microsoft はCASBとして、2016年4月にクラウドSaaSアプリ監視サービス「Cloud App Security Service」の提供を開始し、Office 365向けに最適化した「Microsoft Office 365 Advanced Security Management(ASM)」もあわせて用意しました。ASMはOffice 365の利用状況を監視、可視化することで、セキュリティリスクが高いユーザーの操作や脅威を洗い出し、管理者がすぐに対応できます。

脅威を検出するASM

ASMは「状況把握」「脅威の検出」「制御」という3つのフェーズを意識した管理プロセスになっています。まず、ユーザーがOffice 365内で行っている約150種類のアクティビティ(ログインやファイルのダウンロードなど)を、Management Activity APIを利用して検出します。検出された各アクティビティは「Intelligence feeds」という機能によって、アクティビティが行われている位置情報、IPアドレスといった情報が追加されます。

また、世界中から脅威に関する情報を収集・分析している「Microsoft Threat Intelligence Center」によって、検出したアクティビティが既知の脅威に合致していないか、チェックします。それだけでなく、この情報をもとに、マイクロソフトが定義している一般的な異常検出のポリシーに合致しているかどうかも判断します。

例えば、東京からのログインと南米からのログインが同時に行われている「複数の場所の同時利用」や、信頼されていないデバイスからの利用といったものです。脅威と判断されたアクティビティは管理者に通知が行われ、ASMの管理コンソールからユーザーアカウントを停止できるほか、ポリシーの定義によっては自動化も可能です。

ポリシーで利用状況を検出。シャドーITも検出

管理者を悩ますのは外部からの攻撃だけでなく、内部脅威も考慮しなければならない点です。例えば社内規定で利用を許可していない外部サービスやBYODで、ユーザーが社内情報を扱ってしまう、いわゆる「シャドーIT」などです。

こうした課題に対し、ASMでは外部脅威だけでなく、管理者が独自にルールを設定する「アクティビティポリシー」でユーザーを制御できます。例えば、社外秘の情報が暗号化されていない状態で保存されている場合、管理者へ通知する、あるいは強制的に暗号化処理するといった、個々の企業のポリシーに応じたコントロールが可能となります。

このほかにも、未承認のクラウドアプリが利用されているか確認できる「アプリの検出ダッシュボード」によって、使われているアプリの種別、データの転送量を把握できます。

少ない管理工数で最大のメリットを

ASMを利用するメリットの一つは「管理工数の削減」です。利用状況を監視し、状況に応じた措置を行う重要性は理解しているものの、膨大なログの解析が手間になる上に、外部侵入の形跡などは専門知識が必要とされるため、一般の管理者には負担が大きいのが現状です。

Office 365における通常の管理コンソールでも、自動的に取得されているログをダウンロードできるものの、管理者自身で分析する必要があります。ASMではログ取得のみならず、マイクロソフトが収集している脅威情報をもとにした評価・分析が行われるため、セキュリティの専門知識を持たない管理者でも対応できるようになります。

ポリシーに抵触するアクティビティをポータルサイトから一覧で確認可能

このユーザーのアクティビティの詳細を確認し、危険だと判断した場合、この通知から即座に該当ユーザーの使用を停止することも可能

まとめ

クラウド サービス、特にSaaSアプリケーションなどは、ユーザー側の負担が少なく、すぐに利用できる点から「セキュリティ対策もすべてクラウドサービス側で実施してくれる」という誤解が散見されます。

もちろん、データセンターなどの設備やインフラ、サービスと、それらのセキュリティはクラウド事業者の責任範囲です。しかし、アカウントやユーザーが保存したデータの管理や、安全を保つ責任はユーザーにあります。ASMのようなCASBをうまく活用することで、管理工数を抑えつつ、セキュリティ管理を徹底してみてはいかがでしょうか。