どうも、ITコンサルタントのShoheiです。

みなさん、CASBって知っていますか？ 僕は知らなかったです。

Service Provider側よりも、サービスを使う側の方が馴染み深い用語かもしれません。

今日は、そのCASBについて、ざっくり説明していきたいと思います。

CASBって何？

CASB。Cloud Access Security Broker。キャスビーって読みます。

これはざっくり言うと、クラウド、とりわけSaaSを安全に使うためのセキュリティ機器です。

この、安全にの考え方が他のセキュリティ機器と若干違うところが面白いと僕は思います。

※SaaSって何？についてはこの記事に記載しているので、説明が見たい方はそちらを参照ください。

許されつつあるSaaS利用

最近は自社でシステムを作り込んだりするのではなく、SaaSを契約して既にできているものをサービスとして使うことが増えてきました。

例でいうと、以下のような感じですかね。

• チャットシステムは自社で作り込んでいた ⇨Slackを使い始めた
• 会社では禁止されていたが勝手にSlackを使っていた　⇨会社公式でSlackを使うようになった
• メールは社内でサーバをたてて管理していた　⇨ G Suiteで独自ドメインをとってgmailを利用するようになった
• 営業成績はエクセルで管理していた ⇨ Salesforceを利用するようになった

さて、どうしてこういう動きが起きているのでしょう。

社内のデータは社外に出さない、がポリシーだった

以前は、社内データは全て紙で管理して機密情報は金庫にいれて一切社外に出さない、という時代でした。

ビジネスで扱うデータが全て電子化してからは、インターネット接続可能なPCからも社内の機密情報が閲覧できるようになったものの、ここでも重要なデータは会社管理のサーバに保存する、というのがポリシーでした。

SaaSを利用すると言うことは、そこで扱う情報が全て他社のサーバに保存されるということ。

例を言えば、社内のメールから機密情報をgmailに送ることは、社内のサーバ内で閉じて保管されていた機密情報が、google社のサーバ上に転送されるということです。

社内のデータは社内管理のサーバで管理するんだ！というポリシーからすると、とんでも無いことをやっていることになります。それはSaaSなんて許されなかったでしょう。

進むクラウド利用

さて、上で話したお話は過去の話です。

今後のクラウド利用の予測について、総務省の平成30年版情報通信白書から引っ張ってみました。(平成30年版情報通信白書: http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/n1100000.pdf))

全体的にクラウド利用の総額が伸び続けているのは明らかですが、SaaSの方が一般に値段が安いことを考えると、同じくらいの金額増加でも、SaaS利用量は特に急激に伸びていると言えるんじゃ無いでしょうかね？

この急激な変化はなんでなの

ここは予測も含みますが、以下のような点があげられるのではないでしょうか

• ビジネスと切っても切れなくなったIT事情。それに加え、IT業界の変化の速さから、ITサービスを作る/所有する、という風潮から欲しい分だけ使うという風潮がでてきた。
• 多種多様なIT企業が出現し各企業が専門性を深める中で、自企業で開発を進めるよりも、専門のことはプロに委託し、自企業は本来のビジネスに人員を割こうという風潮がでてきた。
• サイバー攻撃が急増する中、自社管理基盤を持つことをリスクと考え、システムを持たず使う流れへとシフトした
• コンプライアンス(要は、このクラウドはこんだけ厳しい条件満たしてますよみたいな認定)を取得するクラウドが増え、信頼できるクラウドサービスが増えた

というところですかね。いずれにせよ、自社で持っていた情報も、クラウド等外に出していこうという流れがあることは、数値から見ても明らかですね。

CASBって何ができる

ようやく本題ですね。

CASBにはAPI型、Proxy型、ログ分析型等あるのですが、細かい話は置いておいて、

イメージとして以下のような使い方をします。

各クラウドサービスにアクセスしに行く際、CASBを必ず経由するようにすることで(Proxy型を例に説明しています)、クラウドサービスとのやりとりを監視します。

これで特に嬉しくなるであろうポイントは、個人的には以下の３つだと思っています。

①シャドウITの防止と個人利用の防止

シャドウITっていうのは、会社で許されていないのに勝手に使われているITのことです。

仕事の会話にLINE使っちゃダメって言っているのに隠れて使っちゃっているケースとかですかね。

こういったシャドウITを防ぐために、会社のPCからLINEにアクセスできないようにする、ということもCASBでできますが、これは既存プロキシ設定でも実現できる内容。

面白いのは、アカウント単位でも制御ができる点です。

ちょっとややこしいので例をTwitterにすり替えましょう。

広報活動でTwitterを使うために会社PCからTwitterにアクセスをした瞬間、個人が業務中に個人アカウントでツイートしまくるようになった、という問題があったとします。

なんせ業務に使うので、Twitterへのアクセスを閉じることはできません。

ここでCASBの登場。

アカウントレベルで制御ができるので、会社で許されたアカウントしかログインができないように設定ができます。

会社の公式アカウントは使えるが、個人アカウントは使えない、といった柔軟な設定ができるのです。

※説明簡易化のためにTwitterを例にしてますが、既存のCASBにTwitterに対するこの機能があるかは不明です

②データ移転防止

これが面白い。

特定の文字列(社外秘など)がついているデータなどが、アップロードされそうになったら、それをブロックする機能です。

先ほどのgmailの例だと、gmailを許すことで日本の社内サーバから、アメリカ等にあるgoogleのサーバにバンバン機密情報がアップロードされても検知できなくなります。

これは、GDPR法や中国のサイバーセキュリティ法など、個人情報を無断で域外に持ち出してはいけない法律が定められている地域では大問題になります。法律違反です。

SaaSを許した瞬間にこれがバンバンやられるようになっては、ガバナンスが効かなくなってしまいますね。

こういった防止ができるのが二つ目の機能です。

ファイルの中身を見て、SaaSにデータを預けていいかどうか判断する機能なのです。

※ただ、この制御果たしてうまく機能するかは懐疑的です。文字列で判断させるとしたら、重要書類に特定文字列を入れるよう人の手で運用することになりますからね。特定製品の仕様まで細かく見れていませんが、なんとなく予防ぐらいにしかならない気がしています。

③セキュリティ強化

まぁこれは個人的には面白く無いのですが、SaaSにアップされたファイルをウイルスチェックかけて、害のあるものはブロックするという機能ですかね。

既存のセキュリティ機器とかぶる部分があるのですが、入り口出口で対策するのではなく、直接SaaSを見にいって検査するというのがポイントだと思います。

まとめ

今流行りのCASBについて説明しました。

既存のセキュリティ機器と何が違うの？という疑問が湧きがちなところに、

CASBならではの機能とその面白さについていくつかお話ししていきました。