CASBの構成を理解する

投稿者: | 2019年2月14日

CASBの構成を理解する

前回、CASBの基本的な機能について、Shadow IT対策とSanctioned IT対策の観点からご説明しました。

今回はShadow IT対策とSanctioned IT対策のシステム構成をそれぞれ分けてみていきます。

 

CASB「Shadow IT」の構成

Shadow ITとは、企業の許可していないクラウドサービスの利用状況を可視化します。

企業内のクライアントが利用しているクラウドサービスはインターネット境界に設置した各セキュリティ機器のログから可視化することが可能です。

一般的には、次世代Firewall、SEIM、プロキシなどの機器からログを集めますが、URLやアプリケーションレベルで情報を収集するためにShadow ITではプロキシのアクセスログが推奨となっています。

下記の図はMcAfee社のShadow ITの構成例です。企業内にEC(Enterprise Connector)と呼ばれるアプライアンスを設置しプロキシ等のログを食わせています。

McAfeeのShadow IT

McAfeeのShadow IT

 

顧客内のプロキシからアクセスログを受信したEC(Enterprise Connector)は、圧縮してクラウド上のMcAfeeクラウドセキュリティプラットフォームへアップロードします。

McAfeeの場合、セキュリティ対策としてトークナイゼーションを施してクラウド上にログをアップロードしています。

CASB「Sanctioned IT」の構成

Sanctioned ITはクラウドサービスのAPIを利用するAPI構成と、CASBをReversProxyとして利用するRevers Proxy構成の2パターンがあります。

「Sanctioned IT」のAPI構成

CASBとクラウドサービスがAPI経由で連携します。

APIなのでクライアントとクラウドサービス間の通信に直接的な影響を与えることはしません。

API方式は基本的にクラウドサービスのログや設定情報による検知となるため、DLPなどの制御には数分のタイムラグが発生します。

これだけ聞くとデメリットに感じるかもしれませんが、CASBのSanctioned ITは一般的にAPI構成が推奨です。

多少のタイムラグは発生するものの、CASB製品の多くは1~5分の短いスパンでAPIを叩きますし、もちろんリアルタイムでAPIを実行することも可能なためオンタイムでの確認も可能です。

それよりも、SAML連携が不要なことや、CASBとクラウドサービスの設定のみで簡単に導入できるメリットがあります。

 

「Sanctioned IT」のRevers Proxy構成

クライアントとクラウドサービス間の通信の間にRevers Proxyが直接入ることによりCASBによるコントロールができるようになります。

ただクライアントとクラウドサービス間をCASB経由(CASBがRevers Proxyになる)にするため、SAML連携が必要となります。

クライアントとクラウドサービスの間に、中間者となるCASBを経由させるRevers Proxy構成は、一般的にクラウドサービス側で明示的に非推奨としているケースが多いです。

たとえばO365のCASB(Sanctioned IT)では、Revers Proxy構成をMicrosoftが非推奨としています。

 

Sanctioned ITはAPI構成が推奨

以上のことから、CASBの構成はAPI方式が推奨です。

対象となるクラウドサービスによっても対応状況が異なりますので、導入前にはメーカへの仕様確認を行いましょう。

クラウドセキュリティ クラウド活用のためのリスクマネージメント入門

クラウドセキュリティ クラウド活用のためのリスクマネージメント入門

金丸 浩二, 河野 省二, 久保田 朋秀, 仲山 昌宏, 吉井 和明, 吉田 雄哉, 渡辺 一宏
4,104円(07/17 03:47時点)
発売日: 2014/05/17
Amazonの情報を掲載しています

 

まとめ

今回はCASBの構成についてShadow ITとSanctioned ITそれぞれに分けて確認しました。

クラウドサービスの利用状況の可視化やクラウドサービスのレーティング(評価)を基本機能とするShadow ITの構成は、ユーザのトラフィックをキャプチャするのみで実現できるので分かりやすいです。

一方でSanctioned ITは、導入する際に構成を検討する必要があります。一見プロキシ構成の方がセキュイティ対策の即時性がありますが、CASBが中間者となってクラウドサービスをコントロールするプロキシ構成は、クラウドサービス提供ベンダーの非推奨構成となっております。

おすすめするAPI構成にセキュリティ面での即時性はないといっても、可能な限り短いスパンでAPIを実行することで迅速なセキュリティを担保しています。

導入する際は、クラウドサービス提供ベンダーに仕様を確認してから構成を決めることをおすすめいたします。

 

CASBの記事まとめました

当サイトでは、CASBとは?の説明から始まり、CASBの構成、CASBサービスを提供する競合ベンダーの比較、CASBのShadow IT対策とURLフィルタリングの違い、なぜCASBがいまいち売れないのか?について、CASBに関連する記事を連載してきました。CASBについて学びたい方向けに、一から理解できるようにCASBのポイントを網羅しています。

CASBについてまとめた記事数が多くなりましたので、記事の一覧をまとめるとともに、CASBを一から学べるように読む順番をこちらの記事でご紹介します。

 

①「CASB」とは?ガートナーが提唱するクラウド活用時代のセキュリティ対策

CASBとは?の説明から始まり、なぜいまCASBが必要とされているのかをまとめています。

また、CASBは「Shadow IT対策」と「Sanctioned IT対策」の2つのコンポーネントを持っています。Shadow IT対策と、Sanctioned IT対策がそれぞれどのような機能を持っているかを理解することによりCASBの理解度が深まりますので、是非最初に読んでいただきたい記事です。

「CASB」とは?ガートナーが提唱するクラウド活用時代のセキュリティ対策

 

②CASBの構成を理解する

本記事です。

 

③今話題のCASB(Cloud Access Security Broker)市場の主要ベンダーは?

CASBはガートナー(Gartner)が提唱した考え方と用語で、同社によると「2020年までに60%の大企業はCASB製品を導入しているだろう」と予測している、クラウドサービス活用時代に注目を集めるセキュリティ製品です。

こちらの記事では、これから市場拡大が期待されるCASBの提供ベンダーのシェアについてまとめました。製品選定する際に活用してください。

今話題のCASB(Cloud Access Security Broker)市場の主要ベンダーは?

 

④「CASBのShadow IT」と「URLフィルタリング」の違いは何か?補完関係であることを理解する

CASBとURLフィルタリングは機能が重複していると思われがちです。実はまだまだ市場でCASBの導入が進んでいない現状がありますが、それはCASBの機能が性格に理解できていないことが要因として挙げられます。

CASBとURLフィルタリングは、セキュリティ機能の中で担う役割が違います。こちらの記事を読んでいただければ、CASBとURLフィルタリングは補完関係(両方導入することにより相乗効果を生む)関係であることがわかります。

「CASBのShadow IT」と「URLフィルタリング」の違いは何か?補完関係であることを理解する

CASBの構成を理解する」への2件のフィードバック

  1. ピンバック: 「CASBのShadow IT」と「URLフィルタリング」の違いは何か?補完関係であることを理解する | フィンテックなう

  2. ピンバック: CASBの関連記事一覧 | フィンテックなう

コメントは停止中です。