2020.2.26

高精度セキュリティでクラウドの安全を担保する「CASB」

  • ITインフラ&オペレーション

利用数が年々増加傾向にある「クラウドサービス」ですが、当社はクラウドのセキュリティ対策と関連する運用に対するお悩みを柔軟に解決できます。これからクラウドサービスを利用する方、クラウドサービスのセキュリティ対策にお悩みの方にオススメのソリューションについてご紹介します。

働き方の変革と、必要サービスの変化

年々拡大傾向にあるデジタル化に伴い、「クラウドサービス」はビジネスにおいて非常に重要な存在となってきています。さらに、働き方改革が叫ばれる現在、テレワーク環境を整備する上でも「クラウドサービス」は重要な役割を果たし、利用企業の割合は年を追うごとに上昇しています。

しかし、いざサービスを利用してみたものの情報漏洩対策などセキュリティが十分ではない、という課題を抱えている企業は多いと思います。
情報漏洩が起きてしまった場合、企業ブランドの失墜や顧客離れなど様々なリスクが生じてしまいます。そのため、企業には情報漏洩を防ぐための適切な対策が求められます。

そこで、オススメしたいのが今回ご紹介する「CASB (Cloud Access Security Broker:キャスビー)」です。

「CASB」とは?

「CASB」とは可視化しにくいクラウド利用状況をチェックし、危険な状況を発見するセキュリティソリューションの1つです。

その機能は大きく分けて3つあります。

不正操作検知機能

1つ目が「不正操作検知機能」です。CASBは機械学習により、普段の行動を学習して、学習した行動から外れた操作を行った際にアラートを出します。

当社内での検証中に、普段東京にいるはずのユーザが中国からアクセスしているとCASBが検知したことがありました。確認したところ、該当ユーザの中国出張中のアクセスであったことが判明し、事なきを得ました。また、情報漏洩につながりやすい、外部のシステムにデータを持ち出す、いわゆる「データの外出し」についても、定常的に行われていないデータの外出しを見つけ出すことができました。
このように、通常時とは異なる操作を検知してくれます。

この不正操作検知は操作ログなどにも適用されます。自動的に全ログのチェックを行い、怪しい操作や不正な操作を発見した際も同様にアラートを出します。
その他に、企業が認めていない外部クラウドへのアクセスを発見することもできます。

設定監査機能

2つ目は、有名なIaaS、AWSやAzureなどに対する「設定監査機能」です。情報漏洩の要因として特に多いのは、IaaSでの設定不備や人為的なミスです。

当社の検証であった例としては、AWS上に構築したサーバへのSSHアクセスが全世界に公開されていることを検知し、確認を行ったところ、外部でのデモ準備で空けた設定のミスが要因だった、といったものがあります。そういった「情報漏洩や不正侵入につながるような設定」を事前に発見し、アラートを出します。

DLP (Data Loss Prevention) 機能

3つ目は、「DLP機能」です。データの動きをチェックして、そのデータが現在どこにあって、何が起きているのかということを把握します。
機密情報などを指定しておくことで、その情報が文書ファイルなどに変換されても、ファイル形式などに依存することなく機密情報を検知することが可能です。



この大きな3つの機能によって、クラウド上のセキュリティの安全を担保するソリューションが、「CASB」です。

「CASB」の機能と利用イメージ

CASBの魅力とは?

CASBの魅力は大きく分けて3つあります。

設定項目・操作ログを自動でチェックできる

まず1つ目は、CASBが網羅的に設定項目や操作ログをチェックしてくれることです。
設定監査を行う場合に使用されるチェック項目は、100項目以上あり、システムが増える度にチェックが必要です。人力で各項目のチェックをするとなると大きな労力を要する困難な作業ですが、CASBなら各項目を自動でチェックをしてくれます。

操作ログも大量に含むログから、怪しい操作や不正な操作だけを人が高い精度で確認し続けるのは非常に困難です。だからといって一部だけを抜き取り対応するのは現実的な運用・保守とはいえません。しかし、CASBなら自動で全てのログチェックを行い、機械学習によって誤検知もほぼなく、不正操作を抜き取れます。

マルチクラウドのセキュリティを簡単に管理できる

2つ目は、マルチクラウドのセキュリティを1つの管理画面で管理できることです。
マルチクラウドとは複数のクラウドを組み合わせて利用することで、それぞれのメリットを活かしつつ、システムの利便性を高めることができますが、サービス毎に管理画面が分かれるため、管理画面毎に操作方法を覚える必要があります。しかし、CASBを使うことで、セキュリティに関しては管理画面がまとまり、その手間を省くことが可能です。

第三者チェックとして使える

3つ目は、設定項目の確認漏れや正しい手順で操作が行われているかなどの第三者チェックとして活用できることです。ダブルチェックのための要員やフローなどを設ける手間がかかりません。
また、そういった確認を各システム担当者に依存することも防げますので、全社的なガバナンスを効かせることにも役立ちます。

CASBを三菱総研DCSで利用するメリットとは?

運用負荷を軽減できる

当社を選んでいただく1番のメリットは、基本的な運用・保守からアラート発生後の対応まで、お客様のあらゆる運用負荷を軽減できるという点です。

当社が2019年からCASBの監視運用を受託している金融業界のお客様の実績では、1日に発生するアラートの件数は数十件にも達します。日々発生するアラートの精査や対応以外にも、アラートのチューニング、CASBのバージョンアップなど、導入後には様々な運用・保守が必要となり、お客様側でこれらの対応を実施するのは非常に負担がかかります。

運用をお任せいただくことで、結果としてお客様側で担当者を立てる際にかかる人件費や維持管理費などのコストを削減できるため、全体的なTCOの削減にもつながります。CASBの運用・保守経験がある当社であれば、手順書やガイドライン案作成など、運用立ち上げ時に発生する負担も、ご要望に応じてご支援することが可能です。

総合的な運用サービスが利用できる

CASBを単体で利用した場合、アラートは電子メール通知のみですが、当社の監視サービスでは標準で電話連絡を選択いただけます。夜間帯や休日など、電子メール通知だけでは気付きづらい時間帯の連絡手段としてご利用いただけます。

さらに当社では、セキュリティ面の監視・運用から通常のシステム運用までワンストップでサービス提供できる体制があります。システム運用はオンプレ、複数のクラウドロケーションなどハイブリット環境にも対応しています。CASBでの検知を受けてシステム変更の対応を行い、結果をシステム運用に反映させるところまで、当社が総合的にご支援いたします。

CASBで発生したセキュリティアラート、システム運用で発生したアラートは、まとめて1つの運用ポータルで参照することが可能です。チケット管理機能を使えば、アラートの担当者割り当てや進捗管理が可能です。電子メールを使った対応依頼や進捗状況の確認など、煩雑な管理作業を行わなくて良くなる点も、当社をご利用いただくメリットです。
例えば、ネットワーク関連のアラートはAさん、サーバはBさんなど、実際の対応を行う担当者が決まっていれば、アラートの種別に応じた担当者に当社のシステムから直接通知を行う事が可能です。またアラートの対応結果を担当者がポータルに入力していただくことで、発生したアラート全体の進捗や対応結果を把握できます。

「CASB」による運用イメージ

これらを統括する当社保有のデータセンターは日本データセンター協会のファシリティスタンダードレベルのTier(ティア)4相当の最上位に近い基準で管理されています。重要度に応じたセキュリティレベルの確保された環境でオペレーションを提供し、セキュリティリスク・災害リスクから企業価値を守ります。
また、会社設立以来50年近く蓄積された運用ノウハウで有人監視・オペレーションを24時間/365日体制で行っており、ITILに準拠した高品質なITサービスを提供しております。

当社は、CASBの導入から統合的な運用まで、お客様の負荷を軽減する総合支援を実現いたします。クラウドのセキュリティ対策、CASBの導入や運用にお悩みの方はお気軽にご相談ください。

  • Google Driveは、Google LLCの商標または登録商標です。
  • Boxは、Box Inc.の商標または登録商標です。
  • AWS(Amazon Web Services)は、米国その他諸国における、Amazon.com, Inc.またはその関連会社の商標です。
  • Azure、Office 365は、Microsoft Corporationの商標または登録商標です。
  • その他記載の会社名、製品名は、それぞれの会社の商標または商標登録です。