
CASBの導入検討時に課題となるのが、「CASB導入後、どういう運用業務が必要となるのか?」といった点だ。CASBに興味はあるものの、はたして自社で使いこなせるのか?という不安を感じる企業は少なくない。そこで今回はCASBの運用業務について説明する。これまで説明してきたように、CASBの導入目的は「シャドーITの可視化」と「サンクションITの保護」の2つがあり、どちらを目的とするかで、運用方法は大きく異なる。シャドーITの可視化の場合は目的が明確であるため、運用業務も定型的になりやすい。一方、サンクションIDの保護の場合は、利用する機能や顧客要件によって運用業務は大きく異なってくる。そのため、今回は「シャドーITの可視化」の運用業務について解説する。
CASBの運用体制
まずはCASBの運用体制について説明しよう。会社の規模やセキュリティに対する取り組み方によって異なるが、標準的な運用体制を以下に示す。

CASB シャドーIT運用体制例
CASBを効果的に活用するためには、CASBの主要な機能と関連性の高い業務を実施している部門と紐付けることがポイントだ。主要な部門毎にどういった運用業務が発生するのか記載する。
監査部門(リスクアセスメントを実施する部門)
CASB運用における本部門の役割は、新規クラウドサービスの採用/不採用の明確な判断材料を提供し、組織が新規クラウドサービスの利用を検討する段階で、クラウドリスクアセスメントを実施し、コンプライアンスを遵守可能な状態に保つことである。
CASBの重要な機能としてクラウドリスクアセスメント機能があり、本部門ではこの機能を主に利用する。
運用イメージとしては、LoB等からクラウドサービスの利用申請が出て来た時に、監査部門にてCASBを利用してリスクアセスメントを実施する。クラウド活用の進んでいる大企業であればこの問い合わせ件数が週1、2件程発生する。この際、登録のなかったクラウドサービスをCASBベンダーに追加リクエストを行うといった運用が発生する。
また、より高度な運用方法としては人事情報と連携し、退職予定者情報に基づき、退職一ヶ月前から退職予定者の行動を監査し、不審なクラウドストレージの利用形跡等がないか等を監視するといった業務を実施するケースもある。
セキュリティ運用部門(SoC等)
CASB運用における本部門の役割は、シャドーITを監視/抑制し、クラウド利用に関するセキュリティリスクを抑制することである。監査部門が組織で利用開始前のクラウドリスクアセスメントを担当するのに対して、セキュリティ運用部門は組織内で既に利用されているクラウドサービスを対象とする。
CASBを最も利用する部門がこのセキュリティ部門となる。CASBによって可視化されたクラウド利用状況を分析し、各種インシデント対応、レポート作成業務を担当する。組織内にSoCが設置されている企業で有ればSoC部隊が運用を担当するケースが多い。
毎日出社時にCASBの統計情報をチェックし、ハイリスクなサービス利用、危険なアクティビティ、アノマリーの発生有無を確認する。何も問題がなければそれで終了だが、リスク、あるいはその兆候が検出された場合には、該当ユーザへヒアリング等を行い、原因と是正措置を実施することになる。
また、毎月、あるいは四半期に一度程度の間隔で、自社のエグゼクティブ向けに定期レポートを作成し、自社のクラウド利用状況をレポートする役割を与えられていることもある。
更に、CASBによってはクラウドとして認識されなかったWebサービスを列挙する機能がある。こういった機能を保有しているCASBを利用している場合には、「非クラウドサービス」として認識されたサービスのうち「クラウド」と思われるクラウドサービスをCASBベンダーに連絡するという運用業務も発生する。
IT部門(情報システム部門)
CASB運用における本部門の役割は、CASBのメンテナンスや連携する装置の設定変更、各種保守対応となる。企業規模や組織のセキュリティ取り組み状況によっては、前述した監査部門やセキュリティ運用部門に該当する部門が存在しないケースもあり得る。そういった場合には、このIT部門が賄うことになる。
クラウドリスクアセスメントの結果や、検出されたシャドーITからProxyにてブロックすることが望ましいと判断されたクラウドサービスを適宜ブロックする。
また、クラウド利用状況が可視化されたことによって、自社で契約している有償のクラウドサービスのライセンス料と実際の利用実績を比較して、ライセンス料金の適正化を図ることもある。
運用担当タスク
CASBを運用する大枠ができあがれば、次に明確化することは各担当が実施するタスクの整理となる。以下に、担当タスク例を示す。

CASB各担当タスク例
この記事は参考になりましたか?
- CASB(Cloud Access Security Broker)入門連載記事一覧
-
- CASBを入れて終わりにしないために――導入後のCASBの運用業務を整理する
- CASB導入において国内の代表的な4つのユースケース―ーCASB選定のポイントを整理する
- Office365、AWS…クラウドサービスのセキュリティを強化するCASBの機能とは?
- この記事の著者
-
大元 隆志(オオモト タカシ)
伊藤忠テクノソリューションズ株式会社 クラウドインテグレーションビジネス推進部 エキスパートエンジニア
国士舘大学 経営学部 非常勤講師
通信事業者のインフラ設計、提案、企画を12年経験。現在はCASBソリューションのセールス開発・プリセールスを担当する一方で、国士舘大学 経営学部に...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア