疑問その5「CASB利用5つの目的といえば?」~日商エレに聞く、CASBとクラウドセキュリティの疑問 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.26(月)

疑問その5「CASB利用5つの目的といえば?」~日商エレに聞く、CASBとクラウドセキュリティの疑問

もっとも一般的な CASB の利用目的として挙げられるのは、従業員による許可されていないクラウドサービス利用を検出する、いわゆるシャドウ IT 対策です。

製品・サービス・業界動向 業界動向
シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部
シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部 全 2 枚 拡大写真
 企業のクラウド利用を可視化し、安全管理と効率利用を実現するために登場した CASB( Cloud Access Security Broker )でしたが、利用目的や、クラウドサービスの活用度合いなどによって、その実装・運用方法はさまざまです。近年 CASB を巡る課題は各社複雑化し、もはや CASB そのものの可視化が必要となりつつあるといっても過言ではありません。

 こうした状況をふまえ本連載は、現状把握と課題整理を行うことを目的に、CASB とクラウドセキュリティに関わる、ユーザー企業が持つ代表的かつ典型的な疑問を取りあげ、クラウドセキュリティの専門企業にその実際を聞きました。

 今回疑問にこたえるのは、日商エレクトロニクス株式会社で、さまざまなクラウドセキュリティの難問にこたえ、実装と運用を行ってきた 3 人のメンバーです。

 疑問その1では、日本企業の「気は心」のIT利用実態を、疑問その2では金融系企業のクラウド不信を解決するために日商エレが敢行したインポッシブルミッションを若干の脚色を交え紹介しました。
 疑問その3ではクラウドのセキュリティを担保するもうひとつの選択肢 Secure Web Gateway について語り、疑問その4は、現場の CASB 製品選定の実例を紹介してきました。

 今回の疑問その5では、前回言及した「細かい制御」によって達成する、各企業毎にバラエティに富む CASB 利用の目的について取り上げます。

●目的その1「シャドウ IT の検出とリスク評価」

 もっとも一般的な CASB の利用目的として挙げられるのは、従業員による許可されていないクラウドサービス利用を検出する、いわゆるシャドウ IT 対策です。

 CASB サービスベンダは、日々機能追加と更新が行われる、膨大な数のクラウドサービスのセキュリティリスクを継続評価、その情報をユーザー企業へ提供しています。管理担当者は、それを判断材料としてシャドウ IT として発見されたサービスへの対応を決定します。

 たとえばシマンテックの Cloud SOC は、7 つの基軸に分かれる 100 を超える評価項目でクラウドサービスのリスクを分析、スコアリングしています。

シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部
シマンテック Cloud SOC 、7 基軸 100 超の評価項目の一部


シマンテック Cloud SOC による Office 365 の評価画面、7 基軸はレーダーチャートで示される
シマンテック Cloud SOC による Office 365 の評価画面、7 基軸はレーダーチャートで示される


●目的その2「クラウドサービスの利用ルール策定」

 「利用を許可していないクラウドサービスへの接続はすべて NG」一昔前の IT 部門であれば、強いガバナンスを効かせる、こんな対応で満点だったかもしれません。しかし現在は、新しい IT の利活用によって企業の競争力を積極的に高めるため、ガバナンスと IT のバランスが求められています。メジャーで優れたクラウドサービスだがセキュリティ上問題があるから一律で利用禁止、といった対応を行えば、自分を成長させてくれない環境と判断、優秀な若者から順に退職しかねない時代といってもいいでしょう。

  1. 1
  2. 2
  3. 続きを読む

《株式会社イメージズ・アンド・ワーズ 鳴海まや子》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  2. 新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

    新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

  3. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  4. 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

    6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

  5. 「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

    「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

  6. DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

    DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

  7. パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

    パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

  8. 「日本セキュリティ協会」を名乗る電話アンケートに注意

    「日本セキュリティ協会」を名乗る電話アンケートに注意

  9. サポート終了後も稼働するVistaとOffice 2007、台数と脆弱性件数(トレンドマイクロ)

    サポート終了後も稼働するVistaとOffice 2007、台数と脆弱性件数(トレンドマイクロ)

  10. Scan BASIC 登録方法

    Scan BASIC 登録方法

ランキングをもっと見る