今回、発表されたCASBサービスの基礎となる部分の開発に携わった、McAfee クラウド部門 マーケティング担当バイスプレジデントのヴィットーリオ・ヴィアレンゴ氏に、CASBの現状と展望についてインタビューを行った。
―― 日本でも話題になりつつあるCASBだが、このサービスでどんなセキュリティ対策を行えるのか。
ヴィアレンゴ氏 これまでセキュリティ対策といえば、ファイアウォール内にIPS(Intrusion Prevention System)やプロキシサーバを立てて、その中でデータを守っていた。しかし、データがクラウド上で作成、保存され、共有されるようになった今では、データがネットワーク装置を通らないため、セキュリティ対策もアプローチを変えなければならない。CASBは、そのために作られた。
パブリッククラウドのサービスを使っている人ならば「責任分界点」という言葉を知っているだろう。クラウドサービス事業者は、ハードウェアやハイパーバイザーなどについては責任を取るが、データの保護については企業側が責任を持たなければならない。CASBを利用すれば、一気通貫でセキュリティを担保できる。
―― 日本でソフトバンク・テクノロジーと手を組んでサービスを開発した理由は
ヴィアレンゴ氏 米国ではパートナーを介さずに直接、サービスを提供しているが、日本市場ではニーズが異なることから、信頼できて技術に明るいパートナーを通じて展開している。日本ではシステムインテグレーターが間に入ることも多いため、地域に合わせたビジネスを行っている。
―― CASBの当初のターゲットは大企業なのか
ヴィアレンゴ氏 現状ではCASBが導入されているのは大企業が主だが、これから徐々に変わっていくと考えている。今、大企業で導入が進んでいるのは、彼らが持つデータの価値や重要性を、彼ら自身が熟知しているからだ。恐らく企業規模とは関係なく、「重要なデータを持っている」と認識している企業からCASBが浸透していくと考えられる。
例えばモバイルやクラウドが浸透し始める前、その重要性を理解した企業が率先して導入を進め、現在もリーダーの立ち位置にいる。クラウドセキュリティの世界でリーダーになろうとする企業から導入が進むのではないか。
―― CASB導入の必要性をどう説得すればいいのか
ヴィアレンゴ氏 まず「シャドーITの利用状況を把握せよ」と言っている。実際にデータを調べてみると、企業内で使われるシャドーITの数は平均で1935アプリも存在した。しかし情報システム部門が把握しているのは、残念ながら多くて10個程度だ。この調査結果を見せれば、即座に経営者も納得するだろう。
経営者やシステム管理者の中には、「Webフィルタリングサービスを使っているからシャドーITを管理できている」という人もいるが、これは正しい方法とはいえない面もある。シャドーITとはいえ、現場は必要に駆られてサービスを活用しているわけで、“使わせないこと”が生産性の低下につながることも多い。CASBは、利用状況をモニタリングして使わせつつ、不正な通信をブロックできるので生産性が落ちるのを防げる。
CASBの必要性を説明する際に、よく、「なぜ自動車にブレーキが付いているのか」を例に挙げている。ブレーキは決して移動速度を遅くするためのものではなく、むしろ「速く走るため」、危険なときにはしっかり止まるためのものだ。ビジネスにとってセキュリティとは、このようにあるべきだと考えている。
Copyright © ITmedia, Inc. All Rights Reserved.