CASBとは? (クラウドアクセスセキュリティブローカー)
CASBの定義、説明、検討
CASB、クラウドアクセスセキュリティブローカー定義
CASB(クラウド・アクセス・セキュリティ・ブローカー)とは、2012年にガートナー社が提唱した造語で、「クラウドサービス・コンシューマーとクラウドサービス・プロバイダーの間に配置され、クラウドベースのリソースにアクセスする際に企業のセキュリティ・ポリシーを組み合わせて適用する、オンプレミスまたはクラウドベースのセキュリティ・ポリシー実施ポイントである。CASBソリューションは、複数のタイプのセキュリティ・ポリシー施行を統合する。セキュリティポリシーの例としては、認証、シングルサインオン、承認、クレデンシャルのマッピング、デバイスのプロファイリング、暗号化、トークン化、ロギング、アラート、マルウェアの検出/防止などがある。
CASBの仕組みは?
クラウド・アクセス・セキュリティ・ブローカー(CASB)は、組織のセキュリティ・ポリシーを使用して、社内のITアーキテクチャーとクラウド・ベンダーの環境を行き来するデータを保護することで機能する。CASBは、マルウェア対策を通じて企業システムをサイバー攻撃から保護し、暗号化を通じてデータ・セキュリティを提供し、データ・ストリームを外部からは読み取れないようにする。
CASBのユースケース
CASBは、外部サードパーティ製メディアに保存された専有データを保護することを念頭に置いて作られた。CASBは、セキュア・ウェブ・ゲートウェイ(SWG)やエンタープライズ・ファイアウォールといった従来のコントロールでは一般的に利用できない機能を提供する。CASBは、複数のクラウド・サービスにわたってポリシーとガバナンスを同時に提供し、ユーザーのアクティビティに対するきめ細かな可視性とコントロールを提供する。
CASBの柱
可視性
IT部門にとって未知のクラウド・アプリケーションは、企業のガバナンス、リスク、コンプライアンス・プロセスの外で管理されない情報資産となる。企業は、誰がどのクラウドアプリケーションを使用しているか、その部署、場所、使用デバイスなど、クラウドアプリケーションのアカウント使用状況を可視化する必要がある。
データセキュリティ
データ損失防止(DLP)ソリューション は、不正な共有による企業のデータ漏洩を阻止するために設計されているが、クラウドはこれまで以上に不正な相手とのデータ共有を容易にしている。組織がクラウドファイルストレージを使用している場合、従来のDLP製品では、どのデータが外部で共有されているのか、誰が共有しているのかを把握することができない。
脅威対策
許可されたユーザーの悪意や過失を防ぐことは難しい。不審なインサイダーの行動を検知するためには、組織は通常の使用パターンを包括的に把握する必要がある。同じように、元従業員は、組織のディレクトリから無効化されていても、ビジネスクリティカルな情報を含むクラウドアプリケーションにアクセスできるため、重大なリスクをもたらす。PWCによると、元従業員に起因するセキュリティ・インシデントは2013年の27%から30%に増加した。
コンプライアンス
データがクラウドに移行するにつれ、企業はデータのプライバシーとセキュリティを保証する地域の規制に準拠していることを確認したくなるだろう。CASB は、SOX や HIPAA などの規制への準拠を保証するだけでなく、PCI DSS、NIST、CJIS、MAS、ISO 27001 などの規制要件に対するセキュリティ構成のベンチマークを支援する。
BYOD、シャドーIT、クラウド使用量の増加
BYODポリシー、SaaSやクラウドアプリケーションの人気の高まり、シャドーITの台頭などの現象により、クラウドアプリケーションへのアクセスを定義されたエンドポイントに制限することは困難な課題となっている。管理されたデバイスと管理されていないデバイスでは、企業データを効果的に保護するために異なるポリシーが必要になることが多い。CASBは、組織内のクラウドアプリケーションを識別・分類するだけでなく、きめ細かなアクセスポリシーの実施を支援する。
クラウドアクセス・セキュリティ・ブローカーベンダーチェックリスト
|
能力 |
知っておくべきこと - CASBベンダー 要件 |
|---|---|
|
クラウドアプリケーション検出 | CASBはどのようにクラウドアプリケーションを検出するのか? CASB はログファイルを外部に送信する必要がありますか、すなわち、オンプレミスのディスカバリプロセスがありますか? CASBの発見とリスク分析カタログは定期的に更新されているか? アプリケーションのカタログを検索して、特定のアプリケーションについて詳しく知ることができますか? |
|
リスクとデータガバナンス | CASBは、リスクの高い分野をよりよく特定するために、アプリケーションのユーザーを洞察していますか? CASB は、アプリケーションセキュリティ構成を規制要件(PCI DSS、HIPAA、SOX など)またはベストプラクティス標準(クラウドセキュリティアライアンス など)に照らしてベンチマークし、セキュリティギャップを特定していますか? CASBは、会社のデータにアクセスできる元従業員を特定していますか? CASBは、クラウドファイル共有サービスに含まれる機密データや規制対象データを特定できますか? |
| アクティビティ監視 | CASBはドキュメントレベルのアクティビティを監視していますか(例えば、すべてのファイルとフォルダの作成/削除/アップロード/ダウンロード操作をレポートできますか)? CASBはSalesforce、Workday、Boxなどのレコードレベルでアクティビティを監視していますか? 製品やデプロイメント・モデルを変更することなく、新しいクラウド・アプリケーションを簡単にサポートできますか? |
|
脅威対策 | CASBはどのような脅威を、どのように検知するのか? カスタムメイドのクラウドアプリケーションの脅威はどのように検出されるのか? CASBは、異常な使用や疑わしい行動を自動的に検出するために、ユーザーの行動をプロファイリングしますか? |
|
データ セキュリティ | CASBはデータ損失を防ぐために、トランジット中のDLPポリシーを実施できますか? CASB は、リスクの高いアクティビティに対して多要素認証を強制できますか? カスタムポリシーとアラートは、任意の数と組み合わせの基準(誰が、何を、どこで、いつ、どのように)に基づいて作成できますか? |
| アクティビティ分析 | アクティビティ分析は、複数レベルの集計オプション(ユーザーの所在地別、エンドポイントの種類別、部署別など)で利用できますか? CASB は、ログインユーザ名をユーザの企業ディレクトリ(Active Directory など)の ID と関連付けることができますか? アナリティクスはSIEMソリューション(Splunkなど)に簡単にエクスポートできますか? |
|
エンドポイントアクセス制御 | CASBは、管理されているモバイルデバイスと管理されていないモバイルデバイス、エンドポイントデバイスを区別できますか?そして、それぞれにユニークなポリシーを適用しますか? CASBはサードパーティのMDMソリューションを、サポートしていますか? |
| 修復オプション | どのような修復オプションがサポートされていますか(警告、ブロック、多要素認証など)? CASBは、修復ポリシーを適用するためにNGFWや他のセキュリティソリューションと統合されていますか? |
| 導入の考慮事項 | CASBはクラウドアプリケーションとのAPIベースの統合を、サポートしていますか? CASBはプロキシベース(つまりインライン)のデプロイメントをサポートしていますか? CASBは、シングルサインオンソリューション(Okta、Ping Identity、Centrify、OneLoginなど)と一緒に導入できますか? |
|
配信インフラ | CASBのインフラはどのようにDDoSから保護されていますか? CASBは、プロキシとしてインラインで導入された場合、遅延を最小化する最適化機能を提供しますか? CASBはティア1エクスチェンジから提供されますか? |
Forcepoint CASB
アプリケーションの発見-すべてのクラウドアプリケーションのグローバルビューを取得できます。
- 従業員がアクセスするすべてのクラウドアプリケーションを発見する
- クラウドアプリケーションをインベントリ化し、各アプリケーションと組織レベルでリスク状況を評価する。
- 企業全体のファイアウォールとプロキシのログを集約
- トラフィック量、使用時間、アカウント数などの指標を含む、クラウドアプリケーションの使用状況のグローバルビューを生成します。
- ベースラインビューを作成し、一定期間に追加されたアプリケーションの数を確認できます。
- 各クラウドアプリケーションをドリルダウンして詳細なリスク分析を実行。
リスク・ガバナンス-リスクを文脈に沿って評価し、軽減策を設定する。
- 事業におけるリスクの高い活動を特定する。
- アプリケーションへの標準アクセス権および、特権アクセス権を持つユーザーを決定する。
- 休眠アカウント(数日間アクセスされていないアカウントなど)、孤立アカウント(元従業員など)、外部アカウント(パートナーなど)を特定し、適切なアクセスポリシーを作成する。
- 現在のアプリケーションのセキュリティ設定を、規制やベストプラクティスガイドラインに照らしてベンチマークし、セキュリティとコンプライアンスのギャップを特定する。
- ユーザーやクラウド・サービス・プロバイダーのデータ・センターの所在地に基づくアクセス・ポリシーの評価と定義(すなわち、ロケーション・ベースのアクセス・コントロール)。
- ユーザーとアプリケーションの問題を解決するために、タスクを割り当てる。
- 組み込まれた組織ワークフローを活用し、Forcepoint CASBまたはサードパーティのチケッティングとの統合を通じてリスク軽減タスクを割り当て、完了させる。
監査と保護-ポリシーを自動的に実施し、クレデンシャルの不正使用や悪意のある内部関係者の行為から保護します。
- 管理対象および非管理対象エンドポイントから、クラウドアプリケーションにアクセスしているユーザーを監視し、カタログ化する。
- 特権ユーザーのアクセスと設定変更の追跡と監視。
- ユーザー、場所、デバイス、アクション、データオブジェクト、部署別使用状況など、複数のコンテキストを意識したカテゴリで、クラウドアプリケーションの使用状況を監視します。
- 異常や不審をリアルタイムで確実に検知する 。
- 強力なユーザー認証、アプリケーション・アクションのブロック(共有ドキュメントのダウンロードのブロックなど)、アカウント・アクセスなど、攻撃の是正を実施する。
- ロケーションベースのアクセス制御(別名「ジオフェンシング」)ポリシーの実施。
- ブラウザまたはネイティブ・モバイル・アプリケーションから発信されたものであるかを問わず、管理対象および非管理対象デバイスのエンドポイント・アクセス制御を実施する。
- 100種類を超えるファイルのアップロード、ダウンロード、機密データの共有を監視・制御。
- ファイルやコンテンツをリアルタイムで検査し、PII、PCI、HIPAA、その他の機密情報を確実に保護します。