かつて、オンプレミスが主流だったころのセキュリティは、ファイヤーウォールやプロキシなどによる、外部からのアクセスを防ぐ「境界型防御」によってシステムやネットワークを守っていた。しかし、クラウド時代の到来によりシステムが企業の外部に存在するようになると、これまでのような「境界型防御」では安全を確保しきれない。そこで近年、大きな注目を集めているのが、ユーザーのクラウド利用状況を把握・管理するソリューション「CASB(Cloud Access Security Broker、キャスビー)」である。米国調査企業であるガートナーによると、2020年までに大企業の85%がCASBを導入すると予測している(*1)。

本記事では、2019年3月20日に開催されたセキュリティセミナー「事故対応の勘所」にて、2017年に日本市場に参入した米CASBベンダーであるNetskope社が行ったセッションの内容を参考に、クラウド時代に即したセキュリティのあり方について深掘りをする。

*1:Gartner Market Guide for Cloud Access Security Brokers

クラウドサービスのセキュリティリスク

現在、世界中には29,000を超えるクラウドアプリが存在しており、さらに増加中である。セッションに登壇したNetskope Japan 小林 宏光氏は、それらを企業情シスの視点から以下の3つに分類する。

・認可クラウド:企業の情シスが正式にサポート(企業が正式に契約しているサービス)

・許可クラウド:企業の情シスはサポートしていないが、利用が(一定基準の中で)許可されているサービス

・未許可クラウド:企業の情シスがサポートも使用の許可もしていない。基本的にはブロックされているサービス

Netskopeが提供しているCASBサービスは、企業がどのようなクラウドサービスを利用しているか可視化できる。ちなみに、Netskopeが報告した2018年のレポートによると、1社あたり1,246件のクラウドサービスが利用されているとのことだ。また、そのなかで認可クラウドは全体の5%にすぎず、95%は情報システム部門がサポートしていない、いわゆる「シャドーIT」のクラウドサービスである。特筆すべき問題点は、誰がどのような理由で利用しているか、どのようなデータを共有しているかを把握する、加えてサービスのリスク度を事前・継続的に把握しておく必要性があるという点である。

Netskope Japan シニア・セールス・エンジニア 小林 宏光 氏

Netskope Japan シニア・セールス・エンジニア 小林 宏光 氏

シャドーITの存在は、企業にとって大きなセキュリティリスクとなる。しかし小林氏は「だからといって、シャドーITをむやみに禁止しても無意味」と語る。従業員は、必ずしも悪意を持ってシャドーITを使用しているとは限らない。仕事の効率を上げるために使っているようなケースもあるだろう。未許可クラウドの使用を禁止しても、仕事の効率化を理由に、また新たな未許可クラウドを探して利用する可能性すらある。そして延々といたちごっこが続くことになるのだ。問題なのはシャドーITのなかにセキュリティの甘い、潜在的なリスクの高いクラウドサービスがある点である。これらリスクの高いシャドーITの把握とそうでないものを区別することはこれからの企業ITに非常に重要である。

もうひとつ、クラウドサービスを利用する際に注意しておくこととして、各クラウドサービスの責任分界点がある。クラウドでは、データセキュリティ、ネットワークセキュリティ、OSやアプリケーションの脆弱性対策についてはサービス提供者側が責任を担うが、ID・権限管理、データ管理、アクセス制限などはユーザー側の手に委ねられる。以前より、クラウドが安全であるかどうかについては、様々な意見が交わされてきた。運用によってはオンプレミスより安全であるケースもある。だが、ユーザー側が間違った運用を行っていると、大きなセキュリティリスクが生じることとなる。しかし、いかに大きなリスクがあったとしても、今の時代ではクラウドの利用を止めることは事実上不可能だ。

「今は、クラウドが安全かどうかを問題とする段階ではありません。クラウドをどう安全に使用するかを問題にすべき段階です」

クラウドを安全に使うために

クラウドを安全に使用するための第一段階、それは可視化である。Netskopeが提供しているCASBサービスでは、ファイヤーウォールやプロキシのログをCASBエンジンにアップロードして可視化を行う。エンジンに登録してあるクラウドサービスは28,000以上。それらについて、様々な基準から安全なサービスであるかを評価する。ちなみに、過去の事例ではNetskopeのCASBエンジンによって、1,000件以上にシャドーITが発見されたケースもあったとのことだ。そのなかから、評価の低いシャドーITは完全に止めてしまい、評価が高いシャドーITについては制限を加えるにとどめるということも可能だ。

Netskopeが提供するCASBのサービスリスク評価項目

  • Certification and Standards(認定と基準)
  • Data Protection(データ保護)
  • Access Control(アクセス制御)
  • Auditability(監査制)
  • Disaster Recovery and Business Continuity(詐害復旧と事業継続性)
  • Legal and Privacy(法律とプライバシー)
  • Vulner abilites and Exploits(脆弱性および悪用)

可視化を行ったあとに続くのは、データをどのように保護して安全に利用するかという段階になる。その手法としては、API連携でクラウド上のデータを保護するというものがある。主要なクラウドサービスであれば、ほぼ間違いなくAPIを提供している。これを利用してCASBのエンジンから連携してユーザーの利用状況をスキャンしてコントロールする。この手法は導入が容易であり過去に上げたデータについても対応できるというメリットがあるが、リアルタイムでの制御ができないという問題がある。もし、リアルタイムに対応した管理を行いたいのであれば、ユーザーの通信をNetskopeの CASBエンジンを経由させるクラウドプロキシという手法がある。これであれば、ユーザーの通信をリアルタイムで制御可能だ。Netskopeのクラウドプロキシは多くのサービスへの対応やきめ細かな制御などを実現しており、まさにクラウドサービス専用のプラットフォームである管理性を提供している。

クラウドの活用にはクラウド専用のプラットフォームを

小林氏によると、クラウドセキュリティの流れとしては以下のような段階があるとのこと。

    第1段階

  • まずは可視化してリスクを評価する
  • 最もリスクの高いサービスをブロックして代替手段を許可する

第2段階
許可したクラウドサービスを安全に利用する


第3段階
認可されていないが必要なクラウドを安全に利用する

現在の日本では、まだ多くが第1段階にとどまっているが、北米ではすでに第2から第3段階へと進みつつある。

「おそらく、日本もあと2~3年もすれば、第2段階以降へと進むはずです。クラウドの性質上、端末やサービスを一律で禁止することは。必ずしも得策とはなりません。安全なものを選び、安全に使う、クラウド時代に即した使い方が求められるようになるでしょう。そのためには、ファイヤーウォールなどのような従来のセキュリティではなく、クラウドに即したプラットフォームが欠かせません」

Netskope(クラウドセキュリティ/CASBサービス)

現代の職場のためのスマートセキュリティ

IaaS,SaaSおよびWebの間で 完全な保護を実現

詳細はこちら

[PR]提供:Netskope Japan