こうした状況をふまえ本連載は、現状把握と課題整理を行うことを目的に、CASB とクラウドセキュリティに関わる、ユーザー企業が持つ代表的かつ典型的な疑問を取りあげ、クラウドセキュリティの専門企業にその実際を聞きました。
今回疑問にこたえるのは、日商エレクトロニクス株式会社で、さまざまなクラウドセキュリティの難問にこたえ、実装と運用を行ってきた 3 人のメンバーです。
疑問その1では、日本企業の「気は心」のIT利用実態を、疑問その2では金融系企業のクラウド不信を解決するために日商エレが敢行したインポッシブルミッションを若干の脚色を交え紹介しました。
疑問その3ではクラウドのセキュリティを担保するもうひとつの選択肢 Secure Web Gateway について語り、疑問その4は、現場の CASB 製品選定の実例を紹介してきました。
今回の疑問その5では、前回言及した「細かい制御」によって達成する、各企業毎にバラエティに富む CASB 利用の目的について取り上げます。
●目的その1「シャドウ IT の検出とリスク評価」
もっとも一般的な CASB の利用目的として挙げられるのは、従業員による許可されていないクラウドサービス利用を検出する、いわゆるシャドウ IT 対策です。
CASB サービスベンダは、日々機能追加と更新が行われる、膨大な数のクラウドサービスのセキュリティリスクを継続評価、その情報をユーザー企業へ提供しています。管理担当者は、それを判断材料としてシャドウ IT として発見されたサービスへの対応を決定します。
たとえばシマンテックの Cloud SOC は、7 つの基軸に分かれる 100 を超える評価項目でクラウドサービスのリスクを分析、スコアリングしています。
●目的その2「クラウドサービスの利用ルール策定」
「利用を許可していないクラウドサービスへの接続はすべて NG」一昔前の IT 部門であれば、強いガバナンスを効かせる、こんな対応で満点だったかもしれません。しかし現在は、新しい IT の利活用によって企業の競争力を積極的に高めるため、ガバナンスと IT のバランスが求められています。メジャーで優れたクラウドサービスだがセキュリティ上問題があるから一律で利用禁止、といった対応を行えば、自分を成長させてくれない環境と判断、優秀な若者から順に退職しかねない時代といってもいいでしょう。
