CASBの運用体制
まずはCASBの運用体制について説明しよう。会社の規模やセキュリティに対する取り組み方によって異なるが、標準的な運用体制を以下に示す。
CASB シャドーIT運用体制例
CASBを効果的に活用するためには、CASBの主要な機能と関連性の高い業務を実施している部門と紐付けることがポイントだ。主要な部門毎にどういった運用業務が発生するのか記載する。
監査部門(リスクアセスメントを実施する部門)
CASB運用における本部門の役割は、新規クラウドサービスの採用/不採用の明確な判断材料を提供し、組織が新規クラウドサービスの利用を検討する段階で、クラウドリスクアセスメントを実施し、コンプライアンスを遵守可能な状態に保つことである。
CASBの重要な機能としてクラウドリスクアセスメント機能があり、本部門ではこの機能を主に利用する。
運用イメージとしては、LoB等からクラウドサービスの利用申請が出て来た時に、監査部門にてCASBを利用してリスクアセスメントを実施する。クラウド活用の進んでいる大企業であればこの問い合わせ件数が週1、2件程発生する。この際、登録のなかったクラウドサービスをCASBベンダーに追加リクエストを行うといった運用が発生する。
また、より高度な運用方法としては人事情報と連携し、退職予定者情報に基づき、退職一ヶ月前から退職予定者の行動を監査し、不審なクラウドストレージの利用形跡等がないか等を監視するといった業務を実施するケースもある。
セキュリティ運用部門(SoC等)
CASB運用における本部門の役割は、シャドーITを監視/抑制し、クラウド利用に関するセキュリティリスクを抑制することである。監査部門が組織で利用開始前のクラウドリスクアセスメントを担当するのに対して、セキュリティ運用部門は組織内で既に利用されているクラウドサービスを対象とする。
CASBを最も利用する部門がこのセキュリティ部門となる。CASBによって可視化されたクラウド利用状況を分析し、各種インシデント対応、レポート作成業務を担当する。組織内にSoCが設置されている企業で有ればSoC部隊が運用を担当するケースが多い。
毎日出社時にCASBの統計情報をチェックし、ハイリスクなサービス利用、危険なアクティビティ、アノマリーの発生有無を確認する。何も問題がなければそれで終了だが、リスク、あるいはその兆候が検出された場合には、該当ユーザへヒアリング等を行い、原因と是正措置を実施することになる。
また、毎月、あるいは四半期に一度程度の間隔で、自社のエグゼクティブ向けに定期レポートを作成し、自社のクラウド利用状況をレポートする役割を与えられていることもある。
更に、CASBによってはクラウドとして認識されなかったWebサービスを列挙する機能がある。こういった機能を保有しているCASBを利用している場合には、「非クラウドサービス」として認識されたサービスのうち「クラウド」と思われるクラウドサービスをCASBベンダーに連絡するという運用業務も発生する。
IT部門(情報システム部門)
CASB運用における本部門の役割は、CASBのメンテナンスや連携する装置の設定変更、各種保守対応となる。企業規模や組織のセキュリティ取り組み状況によっては、前述した監査部門やセキュリティ運用部門に該当する部門が存在しないケースもあり得る。そういった場合には、このIT部門が賄うことになる。
クラウドリスクアセスメントの結果や、検出されたシャドーITからProxyにてブロックすることが望ましいと判断されたクラウドサービスを適宜ブロックする。
また、クラウド利用状況が可視化されたことによって、自社で契約している有償のクラウドサービスのライセンス料と実際の利用実績を比較して、ライセンス料金の適正化を図ることもある。
運用担当タスク
CASBを運用する大枠ができあがれば、次に明確化することは各担当が実施するタスクの整理となる。以下に、担当タスク例を示す。
CASB各担当タスク例
