疑問その5「CASB利用5つの目的といえば?」~日商エレに聞く、CASBとクラウドセキュリティの疑問 | ScanNetSecurity
2019.11.15(金)

疑問その5「CASB利用5つの目的といえば?」~日商エレに聞く、CASBとクラウドセキュリティの疑問

もっとも一般的な CASB の利用目的として挙げられるのは、従業員による許可されていないクラウドサービス利用を検出する、いわゆるシャドウ IT 対策です。

製品・サービス・業界動向 業界動向
シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部
シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部 全 2 枚 拡大写真
 企業のクラウド利用を可視化し、安全管理と効率利用を実現するために登場した CASB( Cloud Access Security Broker )でしたが、利用目的や、クラウドサービスの活用度合いなどによって、その実装・運用方法はさまざまです。近年 CASB を巡る課題は各社複雑化し、もはや CASB そのものの可視化が必要となりつつあるといっても過言ではありません。

 こうした状況をふまえ本連載は、現状把握と課題整理を行うことを目的に、CASB とクラウドセキュリティに関わる、ユーザー企業が持つ代表的かつ典型的な疑問を取りあげ、クラウドセキュリティの専門企業にその実際を聞きました。

 今回疑問にこたえるのは、日商エレクトロニクス株式会社で、さまざまなクラウドセキュリティの難問にこたえ、実装と運用を行ってきた 3 人のメンバーです。

 疑問その1では、日本企業の「気は心」のIT利用実態を、疑問その2では金融系企業のクラウド不信を解決するために日商エレが敢行したインポッシブルミッションを若干の脚色を交え紹介しました。
 疑問その3ではクラウドのセキュリティを担保するもうひとつの選択肢 Secure Web Gateway について語り、疑問その4は、現場の CASB 製品選定の実例を紹介してきました。

 今回の疑問その5では、前回言及した「細かい制御」によって達成する、各企業毎にバラエティに富む CASB 利用の目的について取り上げます。

●目的その1「シャドウ IT の検出とリスク評価」

 もっとも一般的な CASB の利用目的として挙げられるのは、従業員による許可されていないクラウドサービス利用を検出する、いわゆるシャドウ IT 対策です。

 CASB サービスベンダは、日々機能追加と更新が行われる、膨大な数のクラウドサービスのセキュリティリスクを継続評価、その情報をユーザー企業へ提供しています。管理担当者は、それを判断材料としてシャドウ IT として発見されたサービスへの対応を決定します。

 たとえばシマンテックの Cloud SOC は、7 つの基軸に分かれる 100 を超える評価項目でクラウドサービスのリスクを分析、スコアリングしています。

シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部
シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部


シマンテック Cloud SOC による Office 365 の評価画面、7 基軸はレーダーチャートで示される
シマンテック Cloud SOC による Office 365 の評価画面、7 基軸はレーダーチャートで示される


●目的その2「クラウドサービスの利用ルール策定」

 「利用を許可していないクラウドサービスへの接続はすべて NG」一昔前の IT 部門であれば、強いガバナンスを効かせる、こんな対応で満点だったかもしれません。しかし現在は、新しい IT の利活用によって企業の競争力を積極的に高めるため、ガバナンスと IT のバランスが求められています。メジャーで優れたクラウドサービスだがセキュリティ上問題があるから一律で利用禁止、といった対応を行えば、自分を成長させてくれない環境と判断、優秀な若者から順に退職しかねない時代といってもいいでしょう。

  1. 1
  2. 2
  3. 続きを読む

《株式会社イメージズ・アンド・ワーズ 鳴海まや子》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

    メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

  2. CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

    CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

  3. サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

    サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

  4. 独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

    独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

  5. 「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

    「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

  6. 「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

    「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

  7. マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

  8. 重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

    重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

  9. Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

    Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

  10. MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

    MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

ランキングをもっと見る