クラウドアクセスセキュリティブローカー（CASB、KAZ-beeと発音）は、クラウド関連のアクティビティを監視し、クラウドベースのリソースの使用に関連するセキュリティ、コンプライアンス、およびガバナンスのルールを適用するために、クラウドサービス利用者とクラウドサービスプロバイダー（CSP）の間に置かれるオンプレミスまたはクラウドベースのポリシー実施ポイントである。CASBは、組織がオンプレミスのインフラに適用するのと同じ種類のコントロールをクラウドに拡張することを可能にし、次のようなさまざまなタイプのポリシー施行を組み合わせることができる：

ユーザー認証により、承認されたクラウドサービスのみにアクセスを提供。
暗号化、トークン化、またはその他の手段によるデータ保護により、機密情報がクラウド・サービスやCSPに露出しないようにする。
クラウドサービスのアクティビティ監視により、ユーザーやエンティティの行動をログに記録し、フラグを立て、異常な使用パターンや漏洩した認証情報を分析することができます。
機密情報が組織のネットワークから流出しないようにするためのデータ損失防止（DLP）と、機密情報が組織のネットワークに侵入しないようにするためのマルウェア検出と修復。

このように、CASBの目的は、組織がクラウドサービスを安全かつセキュアに利用する能力を向上させることにある。CASBは、組織のクラウド・サービスへのアクセスを制御する「セキュリティ・ノード」と考えることができる。組織のセキュリティ・インフラのコンポーネントとして、エンタープライズやウェブ・アプリケーション・ファイアウォール、IDaaS（IDentity as a Service）、セキュア・ウェブ・ゲートウェイ（SWG）などの技術を置き換えるのではなく、補完する。

CASBの重要性が増しているのは、クラウドサービスやBYOD（「Bring Your Own Device」）ポリシーの普及に伴い、個人のノートパソコンやスマートフォン、タブレット端末など、管理されていないデバイスをネットワークに持ち込むことを許可しているためだ。組織のクラウドサービスの一部または全部を制御するためのCASBの利用は拡大しており、大企業による採用は2018年の20% から2022年には60% と3倍になると予想されている（Gartner, 2018）。同様の期間で、クラウドセキュリティ市場全体は2023年までに約1120億ドルに上昇すると予測されている（Forrester、2017年）。

クラウドワークロードのセキュリティを簡素化しながら、ハイブリッドIT全体でデータを保護する

OpenText™ Voltage™ SecureData Sentry は、シンプルかつ透過的に数日以内にデータセキュリティを導入することで、情報漏洩リスクを低減します。

詳細情報

CASB（クラウドアクセスセキュリティブローカー）

CASBは当初、IT部門が許可している以外の個人や事業部門が使用する未知のサービスを発見することに重点を置いていたが、この問題の解決策が、これらのサービスを除去することよりも、むしろ管理された有効化に向いていることに組織が気づくにつれ、CASBは4つの柱にまたがる機能セットを提供するようになった：データ・セキュリティ、コンプライアンス、脅威防御、そして可視性の中核機能である。

可視性

すでに多くの組織が、幅広い事業部門でクラウド・コンピューティングの正式採用を加速させている。このため、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service）、そして現在ではFaaS（Functions as a Service）のリソース上で独自のセキュリティ認証情報を管理する従業員が増加している可能性がある。このような環境において、CASBは、一元化されたIDおよびアクセス管理（IAM）の侵食によって生じたセキュリティギャップを埋め、これらのサービスの利用に対する制御を改善するのに役立ち、適切な障壁を提示しながらも、オンプレミスおよび現場の従業員による自然な業務遂行を妨げない。

このクラウドアクセスコントロールの統合は、どのクラウドサービスが使われているかがわかっている場合には役立つが、シャドーITには役立たない。このようなサービスは、組織の公式なITスタックにおける認識された、あるいは実際の欠陥を回避するために使われているかもしれないし、単にユーザーの好みを反映しているだけかもしれない。しかし、組織のセキュリティ・ポリシーやその他のIT要件（サポート、信頼性、可用性など）に合致している可能性は低く、マルウェアの感染源となり、壊滅的なデータ漏洩につながる可能性もある。

CASBは、組織のシャドーITに光を当て、ミッションを損なわないようにしながら必要な業務慣行をサポートするだけでなく、コスト管理の改善を可能にする真のクラウド支出を明らかにすることができる。

データ・セキュリティ

多くの企業はすでにITリソースを自社のデータセンターから複数のクラウドに移行している。Amazon Web Services（AWS）、Microsoft Azure、Google Cloud Platform（GCP）、SaaSベンダーが提供する幅広いオンライン・アプリケーションなどがその例だ。従業員はすでに、Office 365、Salesforce、Amazon S3、Workdayなど、これらのサービスを通じて機密データを共有しており、その多くは、データセキュリティの責任を顧客に負わせる共有責任モデルを主張している。

しかし、クラウド自体のセキュリティに関する懸念は、ほとんど見当違いである。ほとんどのCSP、特に主流となったサービスを提供するCSPのインフラは、紛れもなく高度に安全である。その代わりに、CSP が提供するセキュリティ・コントロールの正しい構成と、利用できない必要なコントロールの特定に懸念を集中すべきである。最近の報告書では、このような設定の誤りや欠落のみによって、S3、rsync、SMB、FTP、NASドライブ、ウェブサーバーなどのクラウドおよびクラウド関連サービスにおいて、15億を超えるファイルが流出していることが発見された（Digital Shadows, 2018）。2023年まで、クラウドセキュリティの失敗の少なくとも99% は、CSPによるものではなく、クラウドサービス利用者によるミスによるものと予想されている（Gartner, 2018）。現在、一部のCASBは、IaaS、PaaS、およびSaaSオファリングの構成リスクを評価し、暗号化などの追加制御によって低減するためのクラウドセキュリティ姿勢管理（CSPM）機能を提供していますが、CASBは、構成ミスが存在する場合でも機密データが漏洩することがないよう、組織にさらなる保険を提供することができます。このような保険は、特定のクラウド・サービスによって適切なデータ保護が提供されない場合や、CSP自身に対してそのような保護が必要な場合に特に必要となる。

ほとんどのCASBは、データ・セキュリティに関して、データ損失防止（DLP）と脅威検知に重点を置くか、プライバシーとデータ残留性に対処するために暗号化またはトークン化を提供するという、2つの最初の姿勢のうちの1つから発展してきた。このようなスタートポジションは、その後、これらすべての機能をカバーするように拡大したが、堅牢なデータ中心のセキュリティと鍵管理の提供からはシフトしている。現在、ほとんどのCASBにとって、データセキュリティとは主にDLPを意味する。DLPは、様々なメカニズムを使って、認可されたクラウドサービス内、または認可されているかシャドウかを問わずクラウドサービスにアップロードされた機密データを検出し、ポリシー違反の可能性があるとしてフラグが付けられたコンテンツをブロック、削除、法的保留、または隔離する。これは通常、モバイルアプリケーション、ウェブブラウザ、デスクトップ同期クライアントのいずれからでも、オンプレミスとリモートのクラウドサービスの両方のユーザーをサポートする。しかし、クラウドサービス内やクラウドサービス間でのデータ共有がますます容易になっている環境では、侵害が発生する前にDLPができることは限られている。データを保存するためにクラウドを使用する組織は、CASBがクラウドからデータがどのように、あるいは誰と共有されたのか、さらには誰が共有したのかさえ検出できない可能性があることを認識すべきである。

しかし、多くのCASBはクラウド向けデータを暗号化またはトークン化する機能を宣伝しているものの、こうした機能は現在、SalesforceやServiceNowなど、一部の主流サービスに限られている傾向がある。これらの機能を追加し始めたCASBは、アナリストの評価を満足させるためと、競争上の優位性を維持するために、暗号技術が困難な技術領域であることを発見した。暗号システムの実装と保守にはかなりの専門知識が必要であり、この専門知識は通常CASBのコアコンピテンシーの範囲には含まれない。その結果、一部のCASBはこれらの機能を取り下げたり、積極的に販売しなくなったりした。また、DLPやアダプティブ・アクセス・コントロール（AAC）などを扱うだけの一般化された「データ・セキュリティ」の主張によって、機能の欠如や適用範囲の制限を難解にしているところもある。

さらに、米国でCLOUD（Clarifying Lawful Overseas Use of Data）法が制定され、EUのGDPR（General Data Protection Regulation）に対する理解が深まっていることは、暗号化と鍵管理が重要な機能になりつつあることを強く示唆している（Gartner, 2019）が、SaaSアプリケーションの外部で適用される暗号化とトークン化は、その機能だけでなく、統合されたサードパーティ・サービスの機能にも影響を及ぼす可能性があるため、その採用には若干のためらいがある。しかし、OpenText Voltage などの一部のベンダーが提供する応用暗号技術における継続的な技術革新により、こうした機能性への影響は最小限に抑えられているため、フィールドおよびファイルレベルのデータ保護を CSP に委ねる場合、またはまったく適用しない場合のコストとリスクとの関係で、残っている可能性のある影響を評価する価値があります。

コンプライアンス

また、多くの業界や地域でより厳格な個人情報保護法が登場したことも、業務に影響を与えているかもしれない。GDPR、カリフォルニア州消費者プライバシー法（CCPA）、ブラジル一般データ保護法（LGPD）、インド個人データ保護法案などの地域規制や、PCI DSS、SOX、HIPAA、HITECH、FINRA、FFIECなどの業界規制により、コンプライアンス要件は複雑化し、多くの組織は、企業やその顧客の機密データが、どこに行っても、常に、可能な限り強固に保護されるようにするという、最も保守的なグローバルな立場に追いやられている。

複数のアプリケーションにまたがる強力なデータプライバシー制御を備えたCASBは、これを実現するのに役立ちます。また、ポリシー認識とデータ分類機能を通じて、CASBはデータ居住法のコンプライアンスを確保し、常に更新される規制要件に照らしてセキュリティ設定をベンチマークするのに役立ちます。

脅威の検知と防止

CASBは、クラウド・ストレージ・サービスやそれに関連する同期クライアント、アプリケーションを介したマルウェアの侵入や伝播など、拡大し続けるマルウェアから組織を防御することができる。CASBは、高度な脅威インテリジェンス・ソースを使用して、内部および外部リソースにわたる脅威をリアルタイムでスキャンして修復し、クラウド・サービスやデータへの不正アクセスの検出と防止を通じて侵害されたユーザー・アカウントを特定し、機械学習やUEBA（User Entity Behavior Analytics）機能と静的および動的分析を組み合わせて、異常なアクティビティ、ランサムウェア、データ流出などを特定することができる。

CASBはどのように機能するのか？

CASBはプロキシやAPIブローカーとしてデプロイすることができる。CASBの機能の一部はデプロイメントモデルに依存するため、「マルチモード」CASB（プロキシモードとAPIモードの両方をサポートするCASB）は、クラウドサービスを制御する方法について幅広い選択肢を提供する。

プロキシ・モードで導入されるCASBは、一般的にセキュリティに重点を置いており、クラウド・サービスのコンシューマとCSPの間のデータ・アクセスの経路において、リバース・プロキシまたはフォワード・プロキシとして構成されることがある。リバースプロキシCASBは、エンドポイントにエージェントをインストールする必要がないため、設定の変更や証明書のインストールなどの必要性を回避することができ、管理されていない（BYODなど）デバイスに対してより効果的に機能する可能性がある。しかし、フォワードプロキシCASBは、管理対象エンドポイントからのすべてのトラフィック（未認可のクラウドサービスへのトラフィックを含む）を経由させるため、未認可のクラウド利用を制御することはできない。そのため、フォワードプロキシ型CASBでは、エンドポイントにエージェントやVPNクライアントをインストールする必要がある場合が多い。エージェントやVPNクライアントが誤って設定されたり、誤ってオフにされたりしている場合、機密性の高いトラフィックが検査をバイパスしてCASBに転送されない可能性がある。

APIモードで展開されるCASBは、SaaS（そして最近ではIaaSやPaaSも）アプリケーションが提供するAPIを介した管理に重点を置いており、これには静止データの検査、ログの遠隔測定、ポリシー制御、その他の管理機能が含まれる。管理されていないデバイスではうまく機能するが、APIサポートを提供しているのは一般的に主流のクラウドサービスだけであり、その程度はさまざまであるため、APIのみのCASBでは必要なセキュリティ機能をすべてカバーすることは難しい。SaaSベンダーや他のCSPがこのギャップを埋めるためにAPIを強化する可能性はあるが、それまでの間、APIのみのCASBはスケーラビリティと可用性の要件を満たすのに十分な堅牢な機能を提供しない。さらに、ユーザーとクラウドサービス間でやり取りされるデータ量の増加により、CSPがAPIリクエストに対するレスポンスをスロットルすると、APIモードのCASBは手に負えないパフォーマンス低下を経験する。したがって、プロキシ・モードは依然として重要な機能である。

CASBは、企業のデータセンターで稼働することもあれば、データセンターとクラウドの両方を含むハイブリッド展開で稼働することも、クラウドのみで稼働することもある。データ中心の保護に重点を置く組織や、プライバシー規制やデータ主権を考慮する必要のある組織は、セキュリティ・インフラを完全に制御するためにオンプレミス・ソリューションを必要とする傾向がある。さらに、クラウドオンリーのCASBが「BYOK（Bring Your Own Key）」モデルを通じて課す責任の委譲と第三者の信頼要件は、内部または外部のポリシーに反する可能性があり、この問題のある立場は、CASBのIPアドレスをホワイトリストに登録する必要があるCSP自身が提供するセキュリティサービスにも当然及ぶ。

Voltage Secure Data SentryはCASBですか？

VoltageSecureData Sentryは、クラウドサービスだけでなくオンプレミス・アプリケーションのデータ保護にも特化したセキュリティ・ブローカーです。したがって、4つの柱にまたがる他の機能を提供しようとしないという点で、伝統的なCASBではない。その代わりに、Sentryは、SaaSやその他のクラウドサービス、および内部ネットワーク内の商用アプリケーションや自社開発アプリケーションに適用可能な強力なデータ中心の保護メカニズムを追加するための暗号化作業を行いながら、これらの補完的な機能の提供に特化したCASBと共存している。

Voltage SecureDataは、革新的で標準に準拠し、国際的に認められた独立した暗号化機関によるセキュリティ強度の検証を受けています。官民を問わず、さまざまな業界の多くの大手グローバル企業から、世界で最も機密性の高いデータを保護するために信頼されています。

既存のデータベース・スキーマやSaaSのフィールド・タイプやサイズの制限を破らない方法で、フィールド・レベルでの保護を確実に適用するFPE（Format Preserving Encryption）は、セキュリティ管理者の負担増を回避するステートレス鍵管理システムと組み合わされている。セキュア・ステートレス・トークナイゼーション（SST）は、クレジットカード番号やSSNを含む数値フィールドを、トークン・データベースの管理やパフォーマンスのオーバーヘッドなしに保護する一方で、ルーティングや顧客確認をサポートするために、フィールドの最初の6桁や最後の4桁など、選択された部分をクリアなままにすることを可能にします。フォーマット保存ハッシュ（FPH）は、GDPRの消去権などの規制に準拠しながら、アナリティクスやその他のユースケースでデータの参照整合性を確保します。さらに、部分的検索語やワイルドカード検索語をサポートするセキュアなローカルインデックスや、SMTPリレー用のセキュアな電子メールアドレスフォーマットなどの追加技術革新により、Sentryは競合ソリューションでは影響を受けるアプリケーション機能を維持します。

企業はSentryを構内やクラウドに導入することができる。Sentryは、HTTPプロキシやロードバランサーなどのICAP（Internet Content Adaptation Protocol）対応ネットワークインフラと通信して、クラウドとの間でやり取りされるデータにセキュリティポリシーを適用し、JDBC（Java Database Connectivity）やODBC（Open Database Connectivity）のAPIコールを傍受して、データベースとの間でやり取りされるデータにセキュリティポリシーを適用します。また、Sentryの検査モードにより、機密情報を含む特定のデータフィールドや添付ファイルにセキュリティポリシーの対象を絞ることができます。

クラウドアクセス・セキュリティ・ブローカー

今日から始めましょう。

詳細情報

Resources

What is Data Security?

What is Key Management?