クラウドサービスのセキュリティ向上を図るCASBの主な機能
CASBは製品により異なるが、APIやプロキシ、エージェントといった技術を利用し、各種クラウドサービスのセキュリティ向上を図る。
図:CASBによる各種クラウドのセキュリティ向上
CASBによって、サポート可能なクラウドサービスや機能は異なるが、標準的な機能について説明する。
アクティビティモニタリング
各種クラウドサービスからユーザのログインやファイルアップロードといった「アクティビティ」を取得する。オンプレミスシステムの場合は、社内システムへのアクセスログ等はシスログプロトコル等を利用してログ収集サーバに保存することが一般的であり、多くの企業が監査対応等を理由に各種ログを保存していた。
しかし、Office365やBoxといった複数のクラウドサービスを利用するようになると、クラウド毎に監査ログを取得する仕組みが必要になる。そのためのAPIの開発やストレージ領域の手配が必要となる。CASBを導入することにより、各クラウドサービスのアクティビティが一元的に取得することができるようになる。
図:監査ログの取得
デバイスアクセス制御
CASBによりアクセス制御を行う方法は様々だが、方法の一つとして証明書を用いたデバイスアクセス制御がある。CASBに証明書をインストールし、この証明書をスマホやPCに配布する。Office365等にアクセスする際に証明書の有無をチェックすることで、正規の証明書を持っているデバイスからのアクセスは許可し、証明書を持っていないデバイスからのアクセスをブロックする。
ただ、CASB単体で証明書によるデバイスアクセス制御を実施しても、デバイスからクラウドへ直接アクセスされると証明書チェックが行われないため、SSO等の技術を併用することで、必ず証明書チェックが行われるように、ネットワークを設計する必要がある。
図:CASBによるデバイスのアクセス制御
コラボレーション制御
ドメインを指定することで、ファイルの共有先を制限することができる。例えば、hotmailやgmailといったフリーメールアドレスのドメインは一般的には法人利用とは考えにくい。こういったフリーメールアドレスのドメイン等を登録し、機密情報の漏洩を防止する。
図:コラボレーション制御
