SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

CASB(Cloud Access Security Broker)入門

CASBを入れて終わりにしないために――導入後のCASBの運用業務を整理する

 CASBの導入検討時に課題となるのが、「CASB導入後、どういう運用業務が必要となるのか?」といった点だ。CASBに興味はあるものの、はたして自社で使いこなせるのか?という不安を感じる企業は少なくない。そこで今回はCASBの運用業務について説明する。これまで説明してきたように、CASBの導入目的は「シャドーITの可視化」と「サンクションITの保護」の2つがあり、どちらを目的とするかで、運用方法は大きく異なる。シャドーITの可視化の場合は目的が明確であるため、運用業務も定型的になりやすい。一方、サンクションIDの保護の場合は、利用する機能や顧客要件によって運用業務は大きく異なってくる。そのため、今回は「シャドーITの可視化」の運用業務について解説する。

CASBの運用体制

 まずはCASBの運用体制について説明しよう。会社の規模やセキュリティに対する取り組み方によって異なるが、標準的な運用体制を以下に示す。

CASB シャドーIT運用体制例

 CASBを効果的に活用するためには、CASBの主要な機能と関連性の高い業務を実施している部門と紐付けることがポイントだ。主要な部門毎にどういった運用業務が発生するのか記載する。  

監査部門(リスクアセスメントを実施する部門)

 CASB運用における本部門の役割は、新規クラウドサービスの採用/不採用の明確な判断材料を提供し、組織が新規クラウドサービスの利用を検討する段階で、クラウドリスクアセスメントを実施し、コンプライアンスを遵守可能な状態に保つことである。 

 CASBの重要な機能としてクラウドリスクアセスメント機能があり、本部門ではこの機能を主に利用する。

 運用イメージとしては、LoB等からクラウドサービスの利用申請が出て来た時に、監査部門にてCASBを利用してリスクアセスメントを実施する。クラウド活用の進んでいる大企業であればこの問い合わせ件数が週1、2件程発生する。この際、登録のなかったクラウドサービスをCASBベンダーに追加リクエストを行うといった運用が発生する。

 また、より高度な運用方法としては人事情報と連携し、退職予定者情報に基づき、退職一ヶ月前から退職予定者の行動を監査し、不審なクラウドストレージの利用形跡等がないか等を監視するといった業務を実施するケースもある。

セキュリティ運用部門(SoC等)

 CASB運用における本部門の役割は、シャドーITを監視/抑制し、クラウド利用に関するセキュリティリスクを抑制することである。監査部門が組織で利用開始前のクラウドリスクアセスメントを担当するのに対して、セキュリティ運用部門は組織内で既に利用されているクラウドサービスを対象とする。    

 CASBを最も利用する部門がこのセキュリティ部門となる。CASBによって可視化されたクラウド利用状況を分析し、各種インシデント対応、レポート作成業務を担当する。組織内にSoCが設置されている企業で有ればSoC部隊が運用を担当するケースが多い。 

 毎日出社時にCASBの統計情報をチェックし、ハイリスクなサービス利用、危険なアクティビティ、アノマリーの発生有無を確認する。何も問題がなければそれで終了だが、リスク、あるいはその兆候が検出された場合には、該当ユーザへヒアリング等を行い、原因と是正措置を実施することになる。

 また、毎月、あるいは四半期に一度程度の間隔で、自社のエグゼクティブ向けに定期レポートを作成し、自社のクラウド利用状況をレポートする役割を与えられていることもある。 

 更に、CASBによってはクラウドとして認識されなかったWebサービスを列挙する機能がある。こういった機能を保有しているCASBを利用している場合には、「非クラウドサービス」として認識されたサービスのうち「クラウド」と思われるクラウドサービスをCASBベンダーに連絡するという運用業務も発生する。  

IT部門(情報システム部門)

 CASB運用における本部門の役割は、CASBのメンテナンスや連携する装置の設定変更、各種保守対応となる。企業規模や組織のセキュリティ取り組み状況によっては、前述した監査部門やセキュリティ運用部門に該当する部門が存在しないケースもあり得る。そういった場合には、このIT部門が賄うことになる。    

 クラウドリスクアセスメントの結果や、検出されたシャドーITからProxyにてブロックすることが望ましいと判断されたクラウドサービスを適宜ブロックする。

 また、クラウド利用状況が可視化されたことによって、自社で契約している有償のクラウドサービスのライセンス料と実際の利用実績を比較して、ライセンス料金の適正化を図ることもある。

運用担当タスク

 CASBを運用する大枠ができあがれば、次に明確化することは各担当が実施するタスクの整理となる。以下に、担当タスク例を示す。

CASB各担当タスク例

次のページ
運用検討における課題

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
CASB(Cloud Access Security Broker)入門連載記事一覧

もっと読む

この記事の著者

大元 隆志(オオモト タカシ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10728 2018/05/25 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング