新たなセキュリティ対策領域 クラウド上の情報をどう守る？

従来、サイバー攻撃に対するセキュリティ対策の領域は、組織内やデータセンターに設置された機器が中心でした。しかし、現在ではクラウドファーストの流れが急速に進み、組織外のクラウドサービス（SaaS、PaaS、IaaS）上に様々な情報資産が置かれるようになっています。今回は、「クラウド上の情報をどのように管理すべきか、またどう保護するべきか」についてご紹介します。

クラウドセキュリティの注目株「CASB」とは？

「持たざるICT」や　ワークスタイル変革による場所にとらわれない働き方の浸透により、企業（また個人）におけるクラウドの活用が進んでいます。そのような中、クラウドサービス上での情報管理は適切に行えているでしょうか？多くの企業・組織はクラウドサービスの利用をリスクとしてとらえ、様々なルールを定めていますが、そのマネジメントまで徹底できているところは多くはないのが現状です。

近年、クラウドサービスにおけるセキュリティ機能の不足への備えとして、CASB（Cloud Access Security Broker）という考え方が注目されています。

ガートナー社の定義によると、CASBとは、クラウドベースのリソースがアクセスされた時に、複数の企業セキュリティポリシーを統合して適用するために、クラウドサービス利用者とクラウドサービス事業者の間に複数設けられた、オンプレミスもしくはクラウドベースのセキュリティポリシー実施ポイントです。CASBは多様なタイプのセキュリティポリシー施策を統合します。セキュリティポリシーの例として、認証、シングルサインオン、権限付与、資格マッピング、デバイスプロファイリング、暗号化、トークン化、ログ、アラート、マルウェア検知・防御などが含まれます。^*1

CASBに対応した対策製品・サービスは、徐々に増え始め、2017年末には米国の主要調査会社の多くが市場状況をレポートするまでになりました。

ガートナー社では「2020年までに、今日の10％未満から増加し、大企業の60％がCASBを使用してクラウドサービスを管理することになる」^*2と予測しています。

• *1
  Gartner, IT Glossary, “Cloud Access Security Brokers(CASBs)”
• *2
  ガートナー『Magic Quadrant for Cloud Access Security Brokers』、Steve Riley | Craig Lawson、2017年11月30日 “Magic Quadrant for Cloud Access Security Brokers”

クラウドサービス利用に内在するリスク

クラウドサービス利用にあたっては以下のようなリスクを考慮する必要があります。

• 従業員による悪意のない情報の持ち出し
• サービス利用設定ミスによる外部からの情報参照（アカウント、参照権等）
• クラウドサービス事業者の脆弱性対応不備による情報漏洩
• クラウドサービス事業者からの第三者への意図せぬ情報開示（契約内容確認不備）
• クラウドサービスの意図せぬ停止、他社への事業譲渡

つまり、クラウド利用を統制するにはルール策定、アクセス制御だけではなく、サービス利用状況のモニタリング、クラウドサービスの安全性・事業継続性評価なども重要なポイントになるのです。

CASBでクラウドアクセスのセキュリティを強化

CASBは、「可視化」、「コンプライアンス」、「データセキュリティ」、「脅威防御」の４つの要素で構成されています。各要素で実現される具体的な機能について説明しましょう。

CASBは以下の4つの機能で構成されています。

可視化

ユーザーがどのようにクラウドサービスを利用しているかを明らかにし、内部ルール作成へのヒントを提供します。

アクセスしているデバイスや場所の情報、アップロードのデータ量や頻度、ファイルの共有状態、内容に機密情報が含まれていないかのコンテンツ解析、利用しているクラウドサービスの設定がセキュアな状態か、などさまざまな情報を把握することで、リスクの分析およびルール策定が可能になります。

コンプライアンス

クラウドサービス上に内部ルールに違反したファイルが存在しないかを確認し、問題があれば修正します。

キーワード、文字パターン、ドキュメントフィンガープリントやメタデータなどの情報からファイルを解析し、内部ルールに反する情報を含むものを検知します。管理者がアラート通知を元に適切な対応をとることで、大事な情報の保護・流失防止につながります。

データセキュリティ

クラウドにアップロードされたファイルを企業の暗号化キーを使って自動暗号化することにより、クラウド内での文書の安全を担保します。

個人情報などの情報を保管する場合は、トークン化という技術でオリジナルデータを加工し、それ単体では意味ないデータに変換してしまうことで、万が一ファイルが流失しても情報は第三者に取得されないようにすることができます。

脅威防御

既知の攻撃、ランサムウェア、クラウド経由の不審な挙動の検知などのマルウェア対策、内部不正の行動パターンの監視、不信なロケーションからのアクセスやアカウントの不正使用でのログイン検知、特権ユーザーの行動や権限付与が適正であるかの監視をすることでさまざまな脅威からデータを守ります。

CASBに対応した製品やサービスはこれらの機能で構成されています。CASBの各機能を活用し、段階的に導入していくことで、スムーズにクラウドサービスのセキュリティを強化していくことができるでしょう。

STEP 1 「可視化」機能によりクラウドの利用状況を把握
STEP 2 浮き彫りになったクラウド利用の問題点からクラウド利用ポリシー（ルール）を策定
STEP 3 策定したルールを「コンプライアンス」機能に実装し、利用方法を制限
STEP 4 「可視化」機能と「コンプライアンス」機能、「脅威防御」機能で利用状況をモニタリング、「データセキュリティ」機能によりファイルを保護

今後の展開が注目されるクラウドサービス利用対策

組織における「クラウドサービス利用対策」はサイバーセキュリティ対策の多層防御の一つとして、今後浸透していくとの見かたが有力です。

複雑化／高度化するサイバー攻撃に備えるためには、従来のセキュリティ対策に加え、クラウド利用に特化した対策を組み込むことが今後重要となってきます。

2018年5月21日

＜ガートナー免責事項＞

ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありませ ん。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するように助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。