クラウドサービスの情報漏えい対策~CASB(Cloud Access Security Brokers) の登場~

 

 

 

ビジネス推進本部 応用技術部

セキュリティチーム

三島 千恵

 

本コラムでは、クラウドサービス特有の情報漏えいと、その対策 CASB(Cloud Access Security Brokers) についてご紹介します。

 

クラウド利用の普及と情報漏えいのリスク

従来、社員は毎日オフィスに出勤し、会社から支給された特定のデバイスを使用して、オンプレミスにある業務システムを利用していました。しかし、デバイス・ワークスタイルが多様化するにつれ、社員は個人所有のパソコンやスマートデバイスも含む様々なデバイスから、オフィスだけではなく自宅や喫茶店など様々な場所で業務をおこなうようになってきています。

このようにデバイスやワークスタイルが多様化すると、オンプレミスに置かれた業務システムでは対応できなくなり、必要な業務システムをクラウドに置く、クラウドサービスを利用することが自然な流れとなります。

また、企業向けだけでなく、個人を対象としたクラウドサービスも日々拡充されています。ファイル共有や翻訳などはクラウドサービスの中でも一般的であり、作業効率化のために社員が業務で利用しているケースも少なくありません。

このように利便性によって普及しているクラウドサービスですが、当然「情報漏えい」の可能性も高くなります。過失・故意に関わらず、社員が企業の機密情報をクラウドサービスへ持ち出し、社外へ共有することを阻止する必要があり、「可視化」や「データセキュリティ」が注目されることとなりました。

今回はこのクラウドサービスの情報漏えいに着目し、その対策として登場した CASB(Cloud Access Security Brokers) という分野についてお話します。

 

[参考] IPA(独立行政法人情報処理推進機構)によるプレス発表

【注意喚起】クラウドサービスに入力した内容の意図しない情報漏えいに注意

 

課題①:管理者の把握していないクラウドサービスでの情報漏えい

クラウドサービスでの情報漏えいとして、考えなければならない課題の一つ目が「管理者の把握していないクラウドサービスの利用」です。

ShadowIT

 

前述の通り、近年、社員は様々なクラウドサービスを活用して業務をおこなっており、自らが利用しているサービスがクラウドサービスだということを認識していないケースすらあります。また、知らないままに、セキュリティの担保されていない危険なクラウドサービスを利用していることも少なくありません。

しかし、このような社員が個別に利用しているクラウドサービスについては、企業の IT 管理者もほとんど把握できていないのが実情です。ファイアウォールやプロキシによって、社員がどこへアクセスしているかを知ることはできますが、アクセス先となったクラウドサービスがはたして危険か安全かを判断することも困難です。

このような管理者が把握していない、社員が個別に利用しているクラウドサービスを「Shadow IT」と呼びます。Shadow IT での情報漏えいを防ぐためには、Shadow IT の可視化、すなわち誰が、どのようなクラウドサービスを、どのように利用しているのかを認識し、さらにはそこで利用されているクラウドサービスの危険度を評価することが必要となります。

 

課題②:企業利用クラウドサービスでの情報漏えい

次に、クラウドサービスでの情報漏えいとして、考えなければならない課題の二つ目は「企業利用クラウドサービスでの情報漏えい」です。

Sanctioned IT

 

前述の Shadow IT とは異なり、Microsoft Office365 や Box、Salesforce など、企業が社内の業務システムとして利用しているクラウドサービスでも、社員が機密情報を持ち出し、本来公開すべきではない情報を外部に共有してしまう可能性があります。

このような企業利用しているクラウドサービスを「Sanctioned IT」と呼びます。Sanctioned IT での情報漏えいを防ぐためには、Shadow IT と同様に社員の利用状況を可視化し、機密情報を含むファイルの持ち出しを阻止する、万が一漏えいした場合に備えて重要なファイルを暗号化するといった対策が必要となります。

 

CASB(Cloud Access Security Brokers) とは?

このような Shadow IT と Sanctioned IT 双方の情報漏えい対策として、CASB(Cloud Access Security Brokers) という分野が注目され始めました。Gartner では、CASB の 4 つの柱として「可視化」「脅威防御」「コンプライアンス」「データセキュリティ」を挙げています。

CASB

 

「可視化」では、Shadow IT となっているクラウドサービスを認識し、Shadow IT / Sanctioned IT 関わらず、クラウドサービスへどのようなデータがアップロードされているのかを把握します。

「脅威防御」では、内部犯行によるデータ流出や、特権ユーザの悪用を検知・防御します。

「コンプライアンス」では、クレジットカード番号やマイナンバーといった業界標準や、社内コンプライアンスに基づいた機密情報の流出を防ぎます。

「データセキュリティ」では、アクセス制御によって許可しない端末やユーザからのアクセスを禁止し、ファイル暗号化によって万が一の情報流出に備えます。

これらを実施することによって、クラウドサービスでの情報漏えいを防ぐことができるのです。

 

まとめ

本コラムでは、クラウドサービス特有の情報漏えいと、その対策としての CASB についてご説明しました。クラウドサービスは今後もますます利用が加速していくことが予想されますが、利便性のみを追及してしまうとセキュリティがおろそかとなり、重大なインシデントを生む可能性があります。クラウドサービスを利用する際にはセキュリティリスクを事前に把握し、取り得る対策について検討しておくことが重要となります。

ネットワンシステムズでは、この CASB 製品として Skyhigh Networks 社を選定し、クラウドサービスにおける情報漏えい対策ソリューションを提供しています。このソリューションにご興味をお持ちの方は、是非ネットワンシステムズまでご連絡いただければと幸いです。

 

署名、執筆者プロフィールについて

三島 千恵
ネットワンシステムズ株式会社 ビジネス推進本部 応用技術部 セキュリティチーム所属。
入社以来、ADC/セキュリティ製品担当として、主に F5 製品や CASB 製品の評価・検証・技術サポート業務に従事。

イベント/レポート

pagetop