MicrosoftのOneDriveやDropboxなど、多くのクラウドサービス利用は企業でも急速に拡大しています。

しかし、その裏にはリスクも隠されています。

個人や事業部が、許可されていないクラウドサービスを気軽に利用したりといった、管理者の目が行き届かない利用実態が増えているのです。

中にはセキュリティ対策が甘い、会社のポリシーにそぐわないクラウドサービスを利用するケースも考えられ、

これらを放置しておくと、外部攻撃によるものだけでなく、

内部者の故意・過失によって、情報漏洩や企業信頼を失ってしまうことに繋がります。

今回は、クラウド領域のセキュリティ対策において重要視されている、

CASB（Cloud Access Security Broker）についてご紹介したいと思います。

CASBとは、企業や組織が、従業員によるクラウドサービス利用を可視化・制御して、一括管理する役割を持つ、

業務効率を損なうことなくセキュリティ強化出来るソリューションの総称です。

2012年、米国Gartner社（ガートナー）が提唱した、セキュリティ対策の概念になります。

企業とクラウドサービスの間にCASBを設置することにより、

クラウドサービスの利用状況を可視化し、アップロードの監視・制御も可能です。

1つのCASBで複数のクラウドサービスを監視することが可能なので、

一貫性のあるセキュリティポリシーを設定でき、運用・管理も効率化されます。

CASBの要件として、4つの機能が提唱されています。

①可視化 ・・・ 組織で使用するクラウドサービスの利用状況(アップロード・ダウンロード情報等)を見える化する機能。

②データセキュリティ ・・・ データ中心のセキュリティを実施。精度の高い情報漏洩対策を施す。

③脅威制御 ・・・ 企業として未許可の端末・ユーザー・ソフトウェア等がクラウドにアクセスすることを防止し脅威から防御。重要情報の流出を防ぐ。

④コンプライアンス ・・・ 設定したセキュリティポリシーをもとに、セキュリティ担当者が禁止した情報を含むファイルアップロードを禁止し、コンプライアンスを遵守する。

組織内で使用されるシステムや端末、ソフトウェア等が、従業員や各事業部の独自判断により使用されており、

経営者やセキュリティ担当者がそれを把握できていない状況を、Shadow IT（シャドーIT）といいます。

Shadow IT（シャドーIT）のポイントとしては、

Shadow ITを行っている従業員は悪意を持たず、業務効率化のために未許可のIT機器やクラウドサービスを活用していることが多い点にあります。

しかし、従業員に悪意はなくとも、Shadow ITには、データ流出やマルウェア感染等、重大な情報流出を引き起こす可能性があるのです。

Shadow ITが横行しないよう、従業員1人1人のセキュリティ対策への意識向上も重要になります。

リモートワークが普及する今、クラウドサービスの利用状況を監視し、不正が見つかると警告・遮断も行えて、

従業員の業務効率を下げないままセキュリティ対策を向上できるCASBは、

クラウドサービスを安全に利用するために欠かせないソリューションです。

参考：

CASB（キャスビー）とは？定義や機能、メリット、選び方のポイントを解説 - セキュリティ事業 - マクニカ (macnica.co.jp)

CASB（Cloud Access Security Broker）｜セキュリティ用語解説｜NRIセキュア (nri-secure.co.jp)