Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

CASB導入において国内の代表的な4つのユースケース―ーCASB選定のポイントを整理する

2018/03/16 06:00

 本連載ではこれまで、CASBの概要、CASBの2大機能であるシャドーITの可視化と、サンクションITの保護について述べてきた。今回はCASBを導入するにあたっての導入の順序やCASB選定ポイント等について解説する。

まずは、CASB導入の目的を明確化する

 どのような技術にも言えることだが、まず導入目的を明確にすることが重要である。BigData、IoT、AIと例年新しいキーワードが登場しているが、流行りに乗って目的が無いまま取り組むと大抵失敗することになる。

 また、目的を明確にしないままCASBの製品情報や機能比較に入ってしまうと、時間を無駄に浪費することになるだろう。CASBはセキュリティ業界ではキャッチーなソリューションであるため、マーケティングワード的にCASBと名乗っていると見受けられる製品も登場しているからだ。  

 では、CASB導入の目的とはどういったものがあるだろうか。CASB導入において国内の代表的なユースケースとしては、以下の4つが挙げられる。

図:CASBの主な導入目的

個別課題の解決

 本連載で紹介してきた、シャドーITの可視化、サンクションITの保護を目的に導入検討が進むケース。また、国内では、まだそれほど認識されていないが、CASBを利用してクラウドリスクアセスメント期間を短縮するというのも、CASBで成果の出やすいユースケースである。   

 2018年現在の国内では、情報漏えい対策の監査対象としてクラウドサービスへの情報流出リスクも対象とすべきというリスク管理部門の主導で、シャドーITの可視化目的でCASBを導入するケースが多い。日本では2003年前後から大規模な個人情報漏えい事故や、個人情報保護法成立に伴い多くの企業がこの頃から、情報漏えい対策としてPCや携帯電話等の紛失対策への取組を強化し始めた。2003年時点ではクラウド利用は考慮されていなかったが、「時代の変化」に伴い情報漏えい対策の監査対象としてクラウドを含める流れが、セキュリティ意識の高い企業からシャドーIT対策が始まっている。

 次に、BoxやOffice365、AWS等の全社採用を契機に個別クラウドのセキュリティ強化を目的(サンクションITの保護)でCASBを導入するケース。国内ではこのケースでの導入事例はシャドーITの可視化と比較すればまだ少ない。その理由としては、BoxやOffice365はそもそもセキュリティレベルも高く、単体のクラウド利用においてはCASB導入にまで進まないことが多い。(もちろん、CSP提供のセキュリティ機能では要件が満たせず、CASBを導入するケースもある)   

 CASBが真価を発揮するのは複数のクラウドサービスが導入されており、コンプライアンスルール等を一元的に管理、設定する必要性が出て来た時だ。国内企業で複数クラウドサービスの全社導入が進み、CASBの認知が進めば、サンクションITの保護目的の導入も増加していくと筆者は予測している。

クラウドアクセスガバナンスの策定

 CASB導入の最終的なゴールとして検討されるのが、クラウドアクセスガバナンスを策定するというもの。無秩序だったクラウド利用にルールを適用する。

クラウドアクセスガバナンス設置ステップ[画像クリックで拡大表示]   

 まずは、シャドーITを可視化し、クラウドの利用状況を把握する。次に発見されたシャドーITの情報を基に、自社で許可するクラウド、禁止するクラウドを分類するルールを作成する。次にそのルールに基いて、アクセス制御を実施する。アクセス制御は、方針による制御と、プロキシでブロック等機器による制御と、教育による従業員の自発的な抑制の3つで制御する。

 そして、社内のクラウド利用を整理できたら、サンクションITを導入し、個別クラウドのセキュリティ強化へと進んでいく。なお、クラウドアクセスガバナンスの策定については、本連載で別途解説する。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 大元 隆志(オオモト タカシ)

    伊藤忠テクノソリューションズ株式会社 クラウドインテグレーションビジネス推進部 エキスパートエンジニア  国士舘大学 経営学部 非常勤講師  通信事業者のインフラ設計、提案、企画を12年経験。現在はCASBソリューションのセールス開発・プリセールスを担当する一方で、国士舘大学 経営学部に...

バックナンバー

連載:CASB(Cloud Access Security Broker)入門
All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5