セキュリティ事業メニュー
セキュリティ事業
HOME
選ばれる
理由
サービス
取扱メーカー
事例・レポート・
ブログ・用語集
セミナー・
オンデマンド動画
イベント・セミナー
オンデマンド動画

クラウド・次世代ゲートウェイセキュリティ

CASB(Cloud Access Security Broker)

働き方改革等時代の変化により接続元端末が社内PCのみではなく社外からのPCやモバイル端末に増え、クラウドサービスの利用により守るべきデータが社内から社外(境界線)へ移行しています。
CASBは企業が利用するクラウドアプリケーションに対して可視化、データプロテクション、ガバナンスを実現するソリューションです。

クラウドサービスからの情報漏洩を考える上でのポイント

クラウドサービスからの情報漏洩を考える上でのポイント

クラウドサービスからの情報漏洩を考える上でのポイント

  • シャドーIT(Shadow IT)とは企業が許可せず従業員が勝手に利用しているクラウドアプリケーション
  • IT管理者が認識していない
クラウドサービスからの情報漏洩を考える上でのポイント

クラウドサービス利用時の想定リスク

ShadowIT:シャドーIT

  • 利用認可していないクラウドアプリケーションの利用によるデータの漏えいや消失(暗号強度の低いアプリや、第三者がアクセス可能なアプリなど)(内部不正/過失)
  • クラウドアプリケーション利用に関する対外的な説明責任(規格準拠)

Web Filterの限界とCASBが必要な理由

  • カテゴリベースでのアクセス制御には限界があります。
  • 例えば、Web Filterで「ファイルストレージ」というカテゴリをアクセス許可すると企業のポリシーに関係無く全てのファイルストレージが使用出来てしまいます。
Web Filterの限界とCASBが必要な理由
  • 反対にWeb Filterにおける「ファイルストレージ」カテゴリをブロックした場合でも、Web Filterでファイルストレージと判断されなかったサイトにはアクセスできてしまっている(抜け漏れが発生している可能性があります)
Web Filterの限界とCASBが必要な理由

シャドーIT経由での情報漏洩例

  • 企業が利用許可していないクラウドサービスを従業員が勝手に利用し、機密情報をクラウドサービスにアップロード
  • クラウドサービス事業者側がデータを暗号化せずに保存しており、クラウドサービス経由での情報漏洩

CASB(シャドーIT)導入構成例

  • Proxy、Firewallで取得しているアクセスログをCASBに連携することでシャドーITの可視化が可能になります

シャドーITに対するCASBのアプローチ

可視化
従業員のクラウドアプリケーション利用状況可視化
評価
クラウドアプリケーションの評価(リスクスコア、データを暗号化しているか、コンプライアンスに準拠しているか)
レポーティング
上記情報をレポートとしてアウトプット

シャドーIT運用フロー

  • 安全にクラウドサービスを活用するためにはシャドーITを可視化するのみではなくCASBを活用して以下フローを実現する必要がある
シャドーIT運用フロー

シャドーITの選定時のポイント

  • クラウドアプリケーション情報の多さ
    1. 評価可能なクラウドサービスがいくつあるか
    2. 評価されているデータはどの程度の頻度で更新しているか
    3. 登録依頼した際の反映スピード
  • 既存Gateway製品との親和性
    1. ProxyやFWからログを転送する際どのような構成になるか
    2. 可視化後の制御・監視がスムーズに行えるか
    3. 現行Gateway製品との二重投資になっていないか
  • エージェントレス
    1. 端末にエージェントの導入が必要か

サンクションITとは

  • サンクションIT=企業で契約して利用しているクラウドサービス、認可クラウドサービス(Office365、box、Slack等)

クラウドサービス利用時の想定リスク

Sanctioned IT:サンクションIT

  • クラウドアプリケーション内でのデータの過剰共有による権限外へのデータ漏えい
  • クラウドアプリケーションのアカウントへの不正アクセスによる、 アカウント乗っ取り、データ破壊、流出等
  • 内部ユーザーの不正
  • 共有ファイルによるマルウェアの配送
  • クラウドアプリケーション上に保管されているデータを把握できていない(監査)

責任共有モデル

  • サービスにより責任範囲が異なる
  • クラウドサービス上のデータ保護やアカウント管理はユーザ側に責任がある
責任共有モデル

サンクションIT導入構成例

  • 対象クラウドサービスとCASBでAPI連携を行います

CASBが解決するサンクションITの課題

CASBが解決するサンクションITの課題

サンクションITに対するCASBのアプローチ

可視化
対象のクラウドアプリケーションにどのようなデータが上げられているかの把握、監視(共有先/共有データ)
振る舞い検知
退職前の従業員が怪しい動きをしていないかクラウドサービスのアカウントが乗っ取られていないか
データ保護
機密情報と特定したデータがクラウドサービスに上がった場合に検知、必要に応じて制御

サンクションITの選定ポイント

  • APIコールの速さ、頻度
    1. APIはリアルタイムではありません。SaaS・CASBメーカによりAPIコールの速さは異なります
  • アクティビティログの分かりやすさ
  • アノマリイベントの検知
    1. 機械学習によりユーザの振る舞いを検知できる機能があります
  • オプション機能有無
    1. 対象クラウドサービス内のサンドボックス
    2. 対象クラウドサービス内のURLフィルタ機能

関連ソリューション

Broadcom製品
Broadcom製品
ソリューション詳細はこちら
資料請求はこちら
Skyhigh Security
Skyhigh Security
ソリューション詳細はこちら
資料請求はこちら
Cato Networks
Cato Networks
ソリューション紹介はこちら
資料請求ページ