クラウドアプリケーションの利用状況の可視化と評価

リスクのあるクラウドアプリケーションはウェブコンテンツフィルタリングのセキュリティカテゴリでは検知することはできません。なぜなら、リスクのあるクラウドサービスとは悪意を持って展開しているサービスではく、サポートされる認証方式（SAML や多要素）の不備やデータの未暗号化、バックアップの有無、セーフハーバールールの未整備などの脆弱なクラウドサービスのことを指しているためです。

攻撃者は脆弱なクラウドサービス自体を攻撃対象にして企業の重要データの取得や破壊行動を行います。そのため、クラウドアプリケーションの利用状況の可視化と評価を行いリスクのあるクラウドの利用制限が必要です。

Symantec のCASB は「サービス」「アクセス」「管理」「ビジネス」「コンプライアンス」「データ」「アプリ情報」の7 つのカテゴリと60以上の要素に基づき、サポートされる認証方式（ SAMLや多要素）や、 SSL プロトコル・暗号強度、ファイル共有、バックアップ有無、ISO 27001 認定、セーフハーバー、SLA 有無など、様々な要素からクラウドアプリケーションのスコアリングをしています。SWG のアクセスログと連携し、従業員が利用しているクラウドアプリケーションの利用状況とリスクを可視化します。クラウドアプリケーションの利用状況とリスクを可視化に最も重要なことは、どれくらいの数のクラウドサービスをカバーしているかです。

Symantec では現在40,000 以上と、他社製品と比べても多くのクラウドサービスがカバーされています。対応していないクラウドサービスを対応するように依頼をすることも可能です。

クラウドアプリケーションの安全性評価

企業が利用禁止にしているクラウドアプリケーションを従業員から利用したい旨の申請があった場合や、リスクのあるクラウドアプリケーションの利用申請があった場合にIT 担当者がリスクの判断がつかない場合には利用禁止にすることが多いかと思います。適切なクラウドアプリケーションの利用は従業員の生産性向上が望めるため、代替となるサービスの案内を行うことは望ましいが、実際にクラウドアプリケーションのリスクを判断することができないのが現実です。
Symantec ではURL から申請のあったクラウドアプリケーションの評価結果と複数の類似クラウドアプリケーションとスコアを調査する機能を有しているためリスクのあるクラウドアプリケーションの利用申請があった場合には、類似している安全なクラウドアプリケーションの案内を従業員に行うことが可能です。

SWGと連携した確実なWebアクセスコントロールの実現

適切にシャドーITのリスク可視化を行っていても、適切な制御が行われない場合にはリスクの低減効果は薄れてしまいます。そのため、SWGとの連携による制御が必要になります。

CASBとSWGの機能連携がない場合や、それぞれ別のベンダーでCASBとSWGでシステムを構築している場合には、「ブロック対象のクラウドアプリケーションの発見」→「CASB上の機能で、SWG用のポリシーをテキストベースで生成」→「生成したポリシーをコピーし、SWGの既存ルールと比較（競合ルール有無等）」→「生成したテキストベースポリシをSWG上のルールに追加し反映」と運用工数が必要です。

Symantec製品ではSWGとCASBを連携することが可能なため、「ブロック対象のクラウドアプリケーションの発見」→「SWGのGUIで、ブロック対象のクラウドアプリにチェックを入れポリシー反映」とCASBのアプリケーションデータがSWG上で配布されるためスムーズなポリシーの反映が可能になります。

シャドーデータの可視化と制御

サンクションITは企業が契約しているクラウドサービスを適切に従業員が利用しているかを可視化し、不適切な利用があった場合には制御します。

不適切なクラウドアプリケーションの運用を行った場合には、従業員の意図した行動かどうかに係わらず（マルウェアを使用したなりすましなど）重要データの流出のリスクがあります。Symantecでは、CASBとクラウドアプリケーションをAPIで連携し可視化と制御を実現します。BOXやSharePointなどのストレージサービスの場合は外部・内部で共有されているデータの可視化を実現することが可能です。

具体的には共有しているデータ数、共有されているデータ種別判定、コンテンツタイプ、共有されているデータ一覧をグラフィカルに可視化されるだけではなく、データのオーナーやサイズなどの詳細情報やデータのスキャン結果詳細情報、共有リンクの有無、共有リンクのアクセス権確認などの詳細情報についても可視化されます。

Microsoft365で利用可能なメールサービスなどでは、外部宛メールに添付されるデータの可視化を行うことが可能で、送信元アドレスや件名などの詳細や、データのスキャン結果の詳細（スキャン日時やデータ種別など）、送信先アドレスの確認などが可視化されます。

また、可視化された様々な項目を用いてルールを作成し、社内規約などに則っていない利用を行っている場合には手動制御や自動制御を行うことが可能です。

例えばクラウドアプリケーションにアップロードが禁止されている個人情報がアップロードされた際に自動的にファイル削除をしたり、クレジットカード情報がアップロードされた且つ共有リンクで外部公開されたなどのルールを作成し、ポリシー条件にマッチした場合には共有リンクの削除するといった制御が可能です。

DLP機能を用いたデータ保護

IT担当者は重要データが適切にクラウドアプリケーションに保存されているかどうかや、共有などが外部に公開されていないかなどを把握している必要があります。ただし、すべてのファイルを開き重要データかどうかを判断することは現実的ではありません。

SymantecではDLPの技術を用いてクラウドアプリケーションに保存されているファイルを自動的に重要ファイルかどうか検出することが可能です。具体的には、コンテンツタイプとして:FERPA、GLBA、HIPAA、PCI、PII、ビジネス、コンピューティング、暗号鍵、設計、暗号化、エンジニアリング、医療、法関連、ソースコードを検出することが可能です。

ファイル種別ではアニメーション、コミュニケーション、データベース、パブリッシング、カプセル化、実行可能ファイルを検出可能です。また、手動でのブラックリスト/ ホワイトリストの登録も可能です。

閾値や機械学習を利用したユーザ振る舞い検知

昨今のセキュリティでは内部不正を行う従業員や標的型攻撃の重要データ取得先がクラウドアプリケーションを利用するケースが増加傾向にあります。このようなリスクを検知するためにはクラウドアプリケーション上の従業員の行動を監視する必要があります。このような不正行動はシステムを導入しないで見つけることは困難です。

SymantecはUBA（User Behavior Analytics）機能を有しており、機械学習による従業員の行動モデルを内部的に作成し、ユーザがデータ漏洩の可能性がある振る舞いを行った場合に情報漏洩リスクを検知することが可能です。

また、従業員の各リスクのある振る舞いにリスクスコアが付与され、従業員ごとの悪意のある行動で脅威スコアが決定されるためIT担当者は簡単にリスクのある従業員を見つけることが可能になります。

また、リスクのある行動だけではなく従業員の行動も記録されますので、リスクのある行動と通常行動の2つの行動を合わせて確認できるため、容易に行動監視を可能にします。

SWG連携を用いたクラウドアプリケーション制御

これまでサンクションIT 対策ではクラウドアプリケーションとCASB をAPI で連携することにより各種機能が有効であることを説明しましたがAPI 連携のデメリットもあります。API 連携の場合は、あくまでも実際にクラウドアプリケーションにファイルを保存した段階から動作します。つまり、リアルタイム性は薄くなってしまいます。

Symantec ではSWG と連携することにより、検知ルールの条件に適合していた場合にはクラウドアプリケーションにファイルを保存される前に止めるなどのリアルタイム処理を実現します。

資料の続きは、下記ボタンよりダウンロードください。