SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

CASB(Cloud Access Security Broker)入門

CASB導入において国内の代表的な4つのユースケース―ーCASB選定のポイントを整理する

 本連載ではこれまで、CASBの概要、CASBの2大機能であるシャドーITの可視化と、サンクションITの保護について述べてきた。今回はCASBを導入するにあたっての導入の順序やCASB選定ポイント等について解説する。

まずは、CASB導入の目的を明確化する

 どのような技術にも言えることだが、まず導入目的を明確にすることが重要である。BigData、IoT、AIと例年新しいキーワードが登場しているが、流行りに乗って目的が無いまま取り組むと大抵失敗することになる。

 また、目的を明確にしないままCASBの製品情報や機能比較に入ってしまうと、時間を無駄に浪費することになるだろう。CASBはセキュリティ業界ではキャッチーなソリューションであるため、マーケティングワード的にCASBと名乗っていると見受けられる製品も登場しているからだ。  

 では、CASB導入の目的とはどういったものがあるだろうか。CASB導入において国内の代表的なユースケースとしては、以下の4つが挙げられる。

図:CASBの主な導入目的

個別課題の解決

 本連載で紹介してきた、シャドーITの可視化、サンクションITの保護を目的に導入検討が進むケース。また、国内では、まだそれほど認識されていないが、CASBを利用してクラウドリスクアセスメント期間を短縮するというのも、CASBで成果の出やすいユースケースである。   

 2018年現在の国内では、情報漏えい対策の監査対象としてクラウドサービスへの情報流出リスクも対象とすべきというリスク管理部門の主導で、シャドーITの可視化目的でCASBを導入するケースが多い。日本では2003年前後から大規模な個人情報漏えい事故や、個人情報保護法成立に伴い多くの企業がこの頃から、情報漏えい対策としてPCや携帯電話等の紛失対策への取組を強化し始めた。2003年時点ではクラウド利用は考慮されていなかったが、「時代の変化」に伴い情報漏えい対策の監査対象としてクラウドを含める流れが、セキュリティ意識の高い企業からシャドーIT対策が始まっている。

 次に、BoxやOffice365、AWS等の全社採用を契機に個別クラウドのセキュリティ強化を目的(サンクションITの保護)でCASBを導入するケース。国内ではこのケースでの導入事例はシャドーITの可視化と比較すればまだ少ない。その理由としては、BoxやOffice365はそもそもセキュリティレベルも高く、単体のクラウド利用においてはCASB導入にまで進まないことが多い。(もちろん、CSP提供のセキュリティ機能では要件が満たせず、CASBを導入するケースもある)   

 CASBが真価を発揮するのは複数のクラウドサービスが導入されており、コンプライアンスルール等を一元的に管理、設定する必要性が出て来た時だ。国内企業で複数クラウドサービスの全社導入が進み、CASBの認知が進めば、サンクションITの保護目的の導入も増加していくと筆者は予測している。

クラウドアクセスガバナンスの策定

 CASB導入の最終的なゴールとして検討されるのが、クラウドアクセスガバナンスを策定するというもの。無秩序だったクラウド利用にルールを適用する。

クラウドアクセスガバナンス設置ステップ[画像クリックで拡大表示]   

 まずは、シャドーITを可視化し、クラウドの利用状況を把握する。次に発見されたシャドーITの情報を基に、自社で許可するクラウド、禁止するクラウドを分類するルールを作成する。次にそのルールに基いて、アクセス制御を実施する。アクセス制御は、方針による制御と、プロキシでブロック等機器による制御と、教育による従業員の自発的な抑制の3つで制御する。

 そして、社内のクラウド利用を整理できたら、サンクションITを導入し、個別クラウドのセキュリティ強化へと進んでいく。なお、クラウドアクセスガバナンスの策定については、本連載で別途解説する。

次のページ
導入目的からCASBを2グループに大別する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
CASB(Cloud Access Security Broker)入門連載記事一覧

もっと読む

この記事の著者

大元 隆志(オオモト タカシ)

伊藤忠テクノソリューションズ株式会社 クラウドインテグレーションビジネス推進部 エキスパートエンジニア 
国士舘大学 経営学部 非常勤講師 
通信事業者のインフラ設計、提案、企画を12年経験。現在はCASBソリューションのセールス開発・プリセールスを担当する一方で、国士舘大学 経営学部に...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10460 2018/03/16 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング