ユニアデックス
エクセレントサービス
創生本部
ソリューションビジネス
開発統括部
セキュリティー部
ソリューションマネージャー
森駿氏

　クラウドの利用が急拡大するとともに、これまで社内のITを管理・統制していた情報システム部（情シス）は初めて経験する課題に悩まされている。社員の活動が「見えない」という課題だ。

　わかりやすい例に「シャドーIT」がある。ユーザー部門あるいは社員個人が勝手にSaaSを契約して使うケースだ。いつどこで誰がどのデータをどう扱っているのか、情シスが把握しコントロールすることはほぼ不可能になる。

　一方、情シスが正規に許可したクラウドが安全かというと、そうとも言い切れない。どれほど強固なセキュリティを備えたSaaS/IaaSであっても、ユーザーの使い方が悪ければ情報漏えいのリスクは常に付きまとう。

　しかも、今や1人が複数のクラウドを利用するのが当たり前の時代だ。情シスには「このクラウドを使わせて欲しい」という申請が次々と寄せられるが、どのサービスが安全なのかを調査・判断するには多大な手間とコストがかかる。

CASBでリスクを可視化し制御　クラウドの悩みを丸ごと解決！

　そこで企業から期待が集まっているのが「CASB」（Cloud Access Security Broker）だ。社員のクラウドの利用状況を可視化し、ポリシーを統合的に適用・管理することを可能とする新たなセキュリティソリューションである。

　シャドーITを“洗い出す”ことはもちろん、正規のクラウドについても適正に使われているか、使用頻度はどの程度かなどの利用状況を見える化する。その上で、リスクの高い使い方を制御することも可能だ。さらに、様々なクラウドサービスの安全性も評価できる。CASBの画面には各SaaS/IaaSのレーティングが表示され、それを基に、利用申請が上がってきたクラウドの採用を判断することができる。

　つまり、CASBは前述したような悩みを全部解決してくれるのだ。今年4月からCASBの提案を開始したユニアデックスのセキュリティー部でソリューションマネージャーを務める森駿氏は、ユーザー企業からの期待の高さに驚いているという。「CASBを説明すると『これが欲しかった』『すぐに試したい』と言われる。セキュリティ製品でこんな反応は経験したことがない」

　さらに森氏は、CASBの効果がこうした課題の解決に留まらないと指摘する。「CASBの利用が広がればクラウドそのものの機能が磨かれ、企業にとってより使いやすいものになる」というのだ。

　企業は、先述のレーティング機能によって、新たなSaaS/IaaSを採用しやすくなる。つまり、クラウドベンダーはCASBにおける評価を高めるために機能改善に注力し、それがさらなるクラウドの普及につながるというわけだ。

　では、CASBでは具体的に何ができるのか。様々な機能が実装されており、ベンダーによって若干の差異はあるが、森氏によれば「可視化」と「脅威防御」がCASBの柱になる機能だという。

　下画像は、ユニアデックスが取り扱うSkyhighとNetskopeの画面である。

　「可視化」については【1】のように、利用しているクラウドサービスの一覧とともに、サービスごとのリスクや通信量等が表示される。社員ごとの詳細な利用状況を監視することも可能だ。また、リスクの高い挙動を監視して、管理者に通知する機能も備わっている。

【1】Skyhighの画面

　そして「脅威防御」機能により、クラウドの使い方を制御することも可能だ。特定のSaaSの利用を禁止したり、社員／組織ごとに使えるSaaSを制限するなどのセキュリティポリシーを策定し、複数のクラウドサービスに対して設定できる。こうしたアクセス制御のほか、機密データの移動を監視して漏えいを防止するDLP（情報漏えい防止）やマルウェア検査など複数の機能によって機密データの漏えいを防ぐ（画面【2】参照）。

【2】Netskopeの画面

CASBは「導入後」こそが肝心　手間を増やさず賢く運用しよう

　このように、まさにクラウド時代には不可欠と言えるCASBだが、導入するに当たって問題が無いわけではない。

　問題とは、運用負荷の増大だ。既存の社内システムのセキュリティ管理に加えて、クラウドのセキュリティ管理を行うための人員とコストが必要になる。

　しかも、その運用負荷は今後、加速度的に高まっていく。

　CASBの導入によってクラウドを安全に活用できる環境を整えた企業は、次に、クラウド上でID/パスワード管理を行う「IDaaS」を導入するケースが多い。また、モバイル端末の利用が増えるとともに、MDM/MAMも必要になるだろう。クラウドのメリットを活かすには、こうしたセキュリティ管理の仕組みもまた増えていくことになるのだ。

　森氏は「そのように既存のセキュリティ管理とは別にクラウドの管理を行うと、人員とコストが二重に必要になってしまう」と注意を促す。

　そこでユニアデックスが提案するのが、従来型ITとクラウドのセキュリティを統合的にマネジメントできるプラットフォームを構築するというアプローチだ。「すでに利用しているマネージドサービスやSOCサービスに、クラウドの運用をアドオンする」のだ。

　そのイメージを示したのが下の図表だ。従来のセキュリティ運用の枠組みに、CASBやIDaaS、MDM/MAMの運用もはめ込むかたちで導入し、統合的な運用を可能にする。ユニアデックスはこれまでも、複数のセキュリティ対策製品を連携させて統合運用するセキュリティ基盤の構築やその運用代行サービスを手掛けてきており、そうした「監視やレポーティング、端末／アプリのライフサイクルマネジメントを行う既存の仕組みの上に、クラウドのセキュリティも設計することができる」と森氏は話す。

図表　セキュリティマネジメントの拡張と統合セキュリティマネジメント

　今後、企業が利用するクラウドサービスは質・量ともに急速に拡大する。そのメリットを最大限に活かすには、効率的なセキュリティ運用も合わせて設計することが不可欠だ。

　CASBやIDaaS等の新たな仕組みを、その都度パッチワーク的に導入することは得策ではない。クラウド時代の本格到来を見据えて、今から新たなセキュリティ基盤を設計し、計画的に準備を進めていくことが重要になる。ユニアデックスはその強力な味方になりそうだ。