まずは、CASB導入の目的を明確化する
どのような技術にも言えることだが、まず導入目的を明確にすることが重要である。BigData、IoT、AIと例年新しいキーワードが登場しているが、流行りに乗って目的が無いまま取り組むと大抵失敗することになる。
また、目的を明確にしないままCASBの製品情報や機能比較に入ってしまうと、時間を無駄に浪費することになるだろう。CASBはセキュリティ業界ではキャッチーなソリューションであるため、マーケティングワード的にCASBと名乗っていると見受けられる製品も登場しているからだ。
では、CASB導入の目的とはどういったものがあるだろうか。CASB導入において国内の代表的なユースケースとしては、以下の4つが挙げられる。
図:CASBの主な導入目的
個別課題の解決
本連載で紹介してきた、シャドーITの可視化、サンクションITの保護を目的に導入検討が進むケース。また、国内では、まだそれほど認識されていないが、CASBを利用してクラウドリスクアセスメント期間を短縮するというのも、CASBで成果の出やすいユースケースである。
2018年現在の国内では、情報漏えい対策の監査対象としてクラウドサービスへの情報流出リスクも対象とすべきというリスク管理部門の主導で、シャドーITの可視化目的でCASBを導入するケースが多い。日本では2003年前後から大規模な個人情報漏えい事故や、個人情報保護法成立に伴い多くの企業がこの頃から、情報漏えい対策としてPCや携帯電話等の紛失対策への取組を強化し始めた。2003年時点ではクラウド利用は考慮されていなかったが、「時代の変化」に伴い情報漏えい対策の監査対象としてクラウドを含める流れが、セキュリティ意識の高い企業からシャドーIT対策が始まっている。
次に、BoxやOffice365、AWS等の全社採用を契機に個別クラウドのセキュリティ強化を目的(サンクションITの保護)でCASBを導入するケース。国内ではこのケースでの導入事例はシャドーITの可視化と比較すればまだ少ない。その理由としては、BoxやOffice365はそもそもセキュリティレベルも高く、単体のクラウド利用においてはCASB導入にまで進まないことが多い。(もちろん、CSP提供のセキュリティ機能では要件が満たせず、CASBを導入するケースもある)
CASBが真価を発揮するのは複数のクラウドサービスが導入されており、コンプライアンスルール等を一元的に管理、設定する必要性が出て来た時だ。国内企業で複数クラウドサービスの全社導入が進み、CASBの認知が進めば、サンクションITの保護目的の導入も増加していくと筆者は予測している。
クラウドアクセスガバナンスの策定
CASB導入の最終的なゴールとして検討されるのが、クラウドアクセスガバナンスを策定するというもの。無秩序だったクラウド利用にルールを適用する。
クラウドアクセスガバナンス設置ステップ[画像クリックで拡大表示]
まずは、シャドーITを可視化し、クラウドの利用状況を把握する。次に発見されたシャドーITの情報を基に、自社で許可するクラウド、禁止するクラウドを分類するルールを作成する。次にそのルールに基いて、アクセス制御を実施する。アクセス制御は、方針による制御と、プロキシでブロック等機器による制御と、教育による従業員の自発的な抑制の3つで制御する。
そして、社内のクラウド利用を整理できたら、サンクションITを導入し、個別クラウドのセキュリティ強化へと進んでいく。なお、クラウドアクセスガバナンスの策定については、本連載で別途解説する。
