CASB（クラウドアクセスセキュリティブローカー）とは

クラウドアクセスセキュリティブローカー (CASB) は、クラウドネットワークユーザーとクラウドベースのアプリケーション間のセキュリティチェックポイントです。これにより、認証、承認、アラート、暗号化など、すべてのデータセキュリティポリシーとプラクティスを管理および適用します。CASBは、誰がデータにアクセスし、エンドポイント間でどのように使用されているかについて、組織の可視性を向上させます。

CASBは、予防、監視、軽減の手法を組み合わせて組織を保護します。CASBは、ユーザーアクティビティのレビューに加えて、悪意のあるアクティビティの可能性について管理者に警告し、マルウェアやその他の脅威のインストールをブロックし、潜在的なコンプライアンス違反を検知することができます。CASBは、組織のファイアウォールまたはプロキシログを確認して、クラウドアプリケーションの使用状況をよりよく理解し、異常な振る舞いを特定することも可能です。

CASBソリューションは、クラウドベースのサービスが急増していること、および個人所有のデバイスの業務利用のポリシーの支持が高まっていることを考慮に入れると、特に有益です。これら2つのトレンドが組み合わさって、データ環境が大幅に拡大することで、IT組織がネットワークの使用を監視し、企業のデータを確実に保護することを困難にしています。

CASBは個人のデバイスにアクセスするため、このソリューションが最新のプライバシー基準を遵守し、企業のデータのみを検査することが重要です。

2023年版クラウドリスクレポート

この新しいレポートをダウンロードして、2023年に最も蔓延したクラウドセキュリティの脅威について学び、2024年にはそれらの脅威に対する保護を強化してください。

今すぐダウンロード

CASB、CSPM、CWPPの比較

クラウドセキュリティポスチャ管理 (CSPM) の中核的要素は、クラウドワークロード保護プラットフォーム (CWPP) のコア要素とよく比較されます。CSPMは、クラウドAPIのセキュリティ、設定ミスの防止、CI/CDパイプラインへの統合に重点を置いています。CWPPは、別の重要な役割を果たし、クラウドコンテナのランタイム保護と継続的な脆弱性管理に重点が置かれます。しかし、実用上、CSPMとCWPPはどちらも、クラウドに保存されている機密情報を保護することを目的としています。

CSPMとCWPPはデータ保護に対応しますが、CASBはどのユーザーがデータにアクセスして、どのように使用しているかなど、エンドポイント全体の可視性の向上に対応します。

CASB、CSPM、CWPPは、クラウド内のデータとクラウドへのアクセスを保護する3本柱です。組織は、クラウドセキュリティインフラストラクチャを最適化するために、これら3つのセキュリティ手法をすべて展開することをお勧めします。

CASBは何をするか

CASBの主な目的は、組織の機密データを盗難、損失、漏洩から保護することです。CASBは、クラウドへの移行とエンドポイントの爆発的な増加によって生じたセキュリティの隙間を埋めます。CASBのコア機能は、次のとおりです。

データガバナンス

CASBは、ユーザーのアイデンティティ、サービス、アプリケーション、アクティビティ、場所、エンドポイントに基づいて、きめ細かな可視性とさまざまなコントロールにより、組織のクラウドの使用の管理を担当します。また、ブロック、上書き、アラート、暗号化、隔離などのさまざまなアクションを通じて、データポリシー違反の管理を自動化します。CASBは、ポリシー違反に対応して取られたアクションの概要をITチームに提供します。

データセキュリティ

CASBは、暗号化、トークン化、またはその他の技術を通じて、すべてのクラウドサービスおよびアプリケーションにわたるデータの盗難、損失、漏洩を保護および防止するために機能します。これにより、すべてのクラウドサービスやアプリケーションからすべてのエンドポイントへの、使用中、移動中、保存中のデータに対するデータ損失防止 (DLP) ツールとプロセスが確立されます。また、クラウドセキュリティ環境のポリシー違反をプロアクティブに監視します。企業は、より広範なセキュリティ戦略とセキュリティアーキテクチャにCASBを統合します。

脅威保護

CASBは、すべてのクラウドサービスにわたるすべての組織データに対する完全な可視性とコントロールを確立します。これは、マルウェアやランサムウェアなどのクラウドベースの脅威を特定して分離します。CASBは、人工知能 (AI)、機械学習 (ML)、その他のインテリジェントな自動化ツールを活用して、異常な振る舞いだけでなく、ランサムウェアやマルウェアなどの脅威も検知します。常に変化する脅威の状況に対応し、継続的な脅威保護を確保するために、絶えず進化しています。CASBは、アクティブな脅威や異常なアクティビティをクラウドセキュリティチームに警告します。

2023年版クラウドストライクグローバル脅威レポート

2023年版グローバル脅威レポートは、世界中で最も頻繁に活動している高度ないくつかのサイバー脅威アクターに焦点を当てています。これらのサイバー脅威アクターには、国家、サイバー犯罪、ハクティビストの攻撃者が含まれます。最も高度で危険なサイバー犯罪者についてお読みください。

今すぐダウンロード

CASBの4つの柱とは

CASBは、4つの基本原則（可視性、コンプライアンス、クラウドセキュリティ、保護）に基づいています。

1. 可視性

IT組織は、クラウドへの移行により、データがさまざまなクラウド環境やアプリケーションのどこでどのように使用されているかについて、可視性を維持することが飛躍的に困難になっています。組織がこのデータを「確認する」ことができない場合、その使用が組織のデータポリシーに準拠していることを確かめることができません。

CASBは、どのクラウドサービス、アプリ、エンドポイントが企業データにアクセスしているかに関する組織の可視性を向上させるのに役立ちます。また、ユーザーID、場所、職務、デバイスに基づいて、さまざまなレベルのアクセスを制御します。例えば、CASBは、選択したファイルを認証ユーザーと内部で共有することを許可し、同じファイルの外部関係者との共有をブロックする場合があります。

2. コンプライアンス

クラウドベースのビジネスモデルの複雑さが増しているにもかかわらず、組織は、企業データのプライバシーと責任ある使用に関するさまざまな政府および業界の規制に、継続して準拠する必要があります。適切に設計および設定されたCASBは、レポートアクティビティを自動化し、HIPAA、GDPR、PCI-DSSなどの関連規制違反の可能性を検知することで、規制環境を簡素化するのに役立ちます。

3. クラウドセキュリティ

企業がリモートの分散した従業員数をより多くする措置を講じ、クラウドベースのインフラストラクチャへの依存度が高まるにつれて、機密データの保護はいっそう困難になっています。さらに、ハッカーやデジタル攻撃者の巧妙化に伴い、組織の侵害防止機能がますます重視されています。従来のデータ保護ソリューションは、オンプレミスで使用されるデータを保護するように設計されていますが、クラウドサービスを保護するには、それを適合させ、拡張する必要があります。

CASBは、組織の既存のDLPを補完し、IT部門がクラウド環境内で使用中、移動中、保存中のデータに同じ原則を適用できるようにします。

4. 脅威保護

デジタル攻撃者が巧妙さを増しているため、データの盗難や漏洩のリスクが高まっています。一方、比較的複雑な性質のクラウドアーキテクチャでは、人的エラーの可能性が高まります。例えば、ポートをパブリックに開いたままにしているS3バケットの設定ミスや、安全でないアカウントやアプリケーションプログラミングインターフェース (API) の使用によって、一般的なクラウドワークロードが、単純なWebクローラーで簡単に発見できる明白な標的になってしまう可能性があります。

CASBは、さまざまな検知、監視、防止ツールを通じて、組織がクラウド環境内のデータの可視性を向上させるのに役立ちます。例えば、CASBを使用することにより、情報セキュリティチームは、内部および外部ネットワーク全体の脅威をリアルタイムでスキャンして修復できます。また、このソリューションにより、組織はクラウドサービスやデータへの不正なユーザーアクセスを検知してブロックすることができます。

CASBが必要な理由

クラウドコンピューティングの利点は欠点でもあります。ユーザーはインターネット接続があればどこからでもクラウド環境にアクセスできますが、サイバー犯罪者やデジタル攻撃者も同様です。

クラウドベースのモデルに移行する企業にとって、セキュリティは最大の懸念事項です。組織は、クラウド環境内で拡大する一連の脅威やますます巧妙化する攻撃から保護するために、包括的なクラウドセキュリティソリューションを設計して実装する必要があります。オンプレミスのホストされたネットワークと関連するアセットを保護することを目的とした従来のセキュリティ戦略は、クラウド環境に関連する脅威に対処するために更新する必要があります。

クラウドネットワークは、責任共有モデルと呼ばれるものに準拠していることに留意することが重要です。これは、基盤となるインフラストラクチャの多くはクラウドサービスプロバイダーによって保護されることを意味しています。ただし、組織はオペレーティングシステム、アプリケーション、データなど、他のすべての責任を負います。残念ながら、この点が誤解され、クラウドのワークロードがCSPによって完全に保護されているという想定につながることがあります。その結果、ユーザーは自覚がないままに完全に保護されていないワークロードをパブリッククラウドで実行することになり、攻撃者にオペレーティングシステムとアプリケーションを標的にしたアクセスを許すことになります。安全に構成されたワークロードでさえ、ゼロデイエクスプロイトに対して脆弱であるため、ランタイムが標的になる可能性があります。

CASBの利点

CASBは、クラウドアプリケーション、クラウドサービス、クラウドユーザーなど、クラウド環境内でデータがどのように使用されているかを、より深く可視化するのに役立ちます。それらは、クラウド環境に存在するセキュリティ上の課題や弱点から組織を保護することに役立つように設計されています。

例えば、CASBを適切に構成することで、シャドーIT、つまり企業のIT部門が知らされることなく管理および利用されるアプリケーションやインフラストラクチャのリスクを軽減できます。シャドーITは、アジャイルなDevOpsソフトウェアモデルへの移行に伴い、多くの組織にとって懸念が高まっています。このモデルでは、開発者は多くの場合、個人アカウントを使用してワークロードを生成します。こうした無許可のアセットは、適切に保護されていないことや、デフォルトのパスワードと構成によってアクセスできることが多く、容易に侵害される得るため、環境にとっては脅威となります。CASBは、このようなインスタンスを可視化し、ITチームがそのような問題にどのように対応できるかについて、自動化された推奨事項を提供することができます。

CASBの選択方法

CASBの導入を検討している組織にとって、このソリューションをより広範なサイバーセキュリティ戦略内の個別のツールとして検討することが重要です。組織は、CASBベンダーの能力を評価し、DLP、セキュリティ情報およびイベント管理 (SIEM)、ファイアウォール、セキュアWebゲートウェイなど、組織の既存のセキュリティインフラストラクチャと統合する必要があります。その他の考慮事項は次のとおりです。

特定のユースケースに関してのソリューションを検討します。クラウドセキュリティのニーズは、組織ごとに特有です。CASBベンダーを検討する際、組織はどのユースケースを優先するかを明確にする必要があります。その後、チームはこれらの問題に関連してベンダーを評価する必要があります。これにより、企業は組織の特定のニーズに合った専門知識を持つCASBベンダーを確実に選択することができます。

CASBベンダーの状況を評価します。メディア報道とアナリストレポートを活用して、侵害の防止とセキュリティイベントの迅速かつ効果的な修復に優れた実績を持つ組織を決定します。前述したように、組織の特定のユースケースを提供できるベンダーを明確にすることが重要です。企業が複数のユースケースを検討している場合は、ソリューション内の潜在的な制約を必ず考慮してください。

トライアルを実施します。多くのCASBベンダーは、完全な展開の前に重要なアプリを試験的に導入する機能をクライアントに提供しています。このステップは、CASBソリューションが組織の現在のクラウドインフラストラクチャと互換性があり、会社の既存のリソースでサポートできることを確認するために役立ちます。

CASBの機能の概要を把握します。トライアルおよび評価期間中に、組織は認証、承認、アラート、暗号化におけるCASBの役割も決定する必要があります。例えば、ITチームは、きめ細かなリスクベースの認証をいつ、どのように適用するか、そして、CASBがこの機能を提供するかどうかを判断する必要があります。また、CASBソリューションが既存のサービスとしてのアイデンティティ (IDaaS) ツールやシングルサインオン (SSO) ツールと統合されるかどうかも判断する必要があります。

定期的に監査を実施します。脅威の状況は急速に変化する可能性があります。契約後は、CASBベンダーの定期的な監査を実施し、組織とそのデータが適切に保護されていることを確認することが重要です。