CASBには、大きく分けて2つの機能が実装されている。一つは社内のシャドーITを可視化する機能(クラウド利用状況の可視化)であり、前回の記事で解説した。今回はもう一つの主要機能である、Office365やAWSといった個々のクラウドサービスのセキュリティを強化する「サンクションIT(社内で正規利用されているIT)の保護」機能について解説する。
クラウドサービスのセキュリティ向上を図るCASBの主な機能
CASBは製品により異なるが、APIやプロキシ、エージェントといった技術を利用し、各種クラウドサービスのセキュリティ向上を図る。
図:CASBによる各種クラウドのセキュリティ向上
CASBによって、サポート可能なクラウドサービスや機能は異なるが、標準的な機能について説明する。
アクティビティモニタリング
各種クラウドサービスからユーザのログインやファイルアップロードといった「アクティビティ」を取得する。オンプレミスシステムの場合は、社内システムへのアクセスログ等はシスログプロトコル等を利用してログ収集サーバに保存することが一般的であり、多くの企業が監査対応等を理由に各種ログを保存していた。
しかし、Office365やBoxといった複数のクラウドサービスを利用するようになると、クラウド毎に監査ログを取得する仕組みが必要になる。そのためのAPIの開発やストレージ領域の手配が必要となる。CASBを導入することにより、各クラウドサービスのアクティビティが一元的に取得することができるようになる。
図:監査ログの取得
デバイスアクセス制御
CASBによりアクセス制御を行う方法は様々だが、方法の一つとして証明書を用いたデバイスアクセス制御がある。CASBに証明書をインストールし、この証明書をスマホやPCに配布する。Office365等にアクセスする際に証明書の有無をチェックすることで、正規の証明書を持っているデバイスからのアクセスは許可し、証明書を持っていないデバイスからのアクセスをブロックする。
ただ、CASB単体で証明書によるデバイスアクセス制御を実施しても、デバイスからクラウドへ直接アクセスされると証明書チェックが行われないため、SSO等の技術を併用することで、必ず証明書チェックが行われるように、ネットワークを設計する必要がある。
図:CASBによるデバイスのアクセス制御
コラボレーション制御
ドメインを指定することで、ファイルの共有先を制限することができる。例えば、hotmailやgmailといったフリーメールアドレスのドメインは一般的には法人利用とは考えにくい。こういったフリーメールアドレスのドメイン等を登録し、機密情報の漏洩を防止する。
図:コラボレーション制御
この記事は参考になりましたか?
- CASB(Cloud Access Security Broker)入門連載記事一覧
-
- CASBを入れて終わりにしないために――導入後のCASBの運用業務を整理する
- CASB導入において国内の代表的な4つのユースケース―ーCASB選定のポイントを整理する
- Office365、AWS…クラウドサービスのセキュリティを強化するCASBの機能とは?
- この記事の著者
-
大元 隆志(オオモト タカシ)
伊藤忠テクノソリューションズ株式会社 クラウドインテグレーションビジネス推進部 エキスパートエンジニア
国士舘大学 経営学部 非常勤講師
通信事業者のインフラ設計、提案、企画を12年経験。現在はCASBソリューションのセールス開発・プリセールスを担当する一方で、国士舘大学 経営学部に...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
