「社員の自由な働き方を妨げず、運用管理の負荷を軽減する」新たなセキュリティ対策、CASBとは何か：クラウド時代に「従来型の境界セキュリティ」では、もう限界

社内と社外を分ける境界にさまざまなセキュリティ機器を導入する“従来型のセキュリティ対策”は、デジタルトランスフォーメーション時代にはそぐわない――。Netskopeが提示する「社員の自由な働き方を妨げることなく運用管理の負荷を軽減する」新たなスタイルのセキュリティ対策とは。

[PR／ITmedia]

PR

　人手不足や急速なテクノロジーの進化に伴い、多くの企業が“新たなビジネス価値の創出”や“働き方の変革”を余儀なくされている。クラウドやモバイル機器などITの力を駆使し、ワークスタイルはもちろん、企業の在り方を最適化し、新たな価値を生み出していく「デジタルトランスフォーメーション」（DX）は、日本に限らずグローバルのトレンドだ。

　「全ての企業、全ての経営層がDXに直面し、競争を勝ち抜こうとしている中、セキュリティ対策も見直しの時期にきている」――。こう話すのは、米Netskopeの最高戦略責任者を務めるジェイソン・ルイス・クラーク氏だ。

米NetskopeのChief Strategy Officerを務めるジェイソン・ルイス・クラーク氏

　トレンドの技術を活用し、顧客やパートナーとの間で必要なデータをリアルタイムにやりとりし、素早く意思決定を下して新たな価値を創出する――というのがDXのポイントだが、このプロセスを複雑化し、スピードを鈍化させている要因の1つが、オンプレミス時代から踏襲されてきた「昔ながらのセキュリティ」だとクラーク氏は指摘する。次から次へと登場する法規制への順守やコンプライアンスが、ビジネスのスピードにブレーキをかける要因になっているというわけだ。

　「クラウド時代以前の“昔ながらの”セキュリティ対策」は、企業の内と外を明確に分ける「境界」の存在を前提としていた。外の世界との境界部分にファイアウォールやIPS、セキュリティゲートウェイ、DLPといった複数のセキュリティ機器を次々に追加して守りを固め、守るべきデータを境界の内側に保存する――という方法で、大事なデータを保護してきた。

　しかし、DX時代の到来によって状況は一変した。「新たな世界が到来し、データは企業の内側から、クラウドやモバイルデバイス、あるいはパートナー企業など、あらゆる場所に出ていこうとしている。にもかかわらず、いまだにセキュリティ投資の95％は内側のセキュリティ対策に費やされている」（クラーク氏）

　問題は、どんどん内側の対策が追加されて複雑さが増す一方であるにもかかわらず、企業が新たな環境に適合できず、脅威にも対処できていないことだ。そこでNetskopeでは、レガシーなセキュリティ対策をDX時代に合わせて『トランスフォーム』することを提案している。具体的には、データの流れを可視化し、あらゆる場所で保護していくという方法だ。

従来型のセキュリティ対策（画面＝左）ではクラウド時代の脅威（画面＝右）に対応するのは難しい

クラウドが「主役」になるにつれ、浮上してきた新たな課題とは

　いまやクラウド普及の勢いはすさまじく、クラーク氏によると現時点でも、「企業の主な収入源となるデータの10〜15%はクラウドに移行している。調査会社各社の予測によれば、あと数年でこの割合は30〜50％に増えると見られている」という。これは、これまで「オプション」とされてきたクラウドが、「主役」になりつつあることを示しており、モバイル機器やリモートワークの普及も相まって、企業の内と外とを分けてきた境界がぼやけ、消え去ろうとしていることが分かる。

　また、ビジネスや働き方の変化に伴って、IT部門の目の行き届かない「シャドーIT」も増加し、リスクが指摘されるようになっている点も見逃せない。「Netskopeが行った調査では、グローバルで1社あたり平均で1246種類ものクラウドサービスを利用していることが明らかになり、われわれも驚いた。この中にはIT部門が主導して導入したものだけでなく、事業部や従業員が主導したもの、いわゆるシャドーITも含まれる」（クラーク氏）

　これに伴って、「データは水のように、外に流れ出ようとしている。なぜなら、そもそもビジネスの目的は、顧客やパートナーとの間でデータを交換し、価値を高めていくことだからだ」とクラーク氏は述べた。

　日本でNetskopeのビジネスを主導するカントリーマネジャー、大黒甚一郎氏によると、シャドーITが増加傾向にあるのは日本でも変わらないそうだ。「なぜなら、従業員が利用したいサービスがIT部門から提供されていないからだ。社員が仕事をする上で“どうしても必要なクラウドサービス”をIT部門がブロックしても、従業員はテザリングなどの回避策を講じてくる。従って、ブロックするのではなく、従業員が使いたい環境をいかに安全に提供するかを考えなくてはならない」（大黒氏）

Netskope Japanのカントリーマネジャーを務める大黒甚一郎氏

　企業のセキュリティ担当者にしても、クラウド活用が必要なことや、従来のセキュリティでは今直面している課題を解決するのは難しいことは理解しているはずだ。しかし、具体的な対策が見つからず、手をこまねいている状況だ。こうした企業に対してNetskopeは、各種クラウドサービスへのアクセス状況を可視化して分析し、制御することで情報漏えいを防ぐ「CASB」（Cloud Access Security Broker）をクラウドベースで提供することで、DX時代の新たなセキュリティを実現し、問題解決を支援していくという。

サービス自体の安全性に加え、どうクラウドを安全に使うかの検討を

　大黒氏によると、海外に比べて日本でクラウド普及が進まない大きな理由は、「セキュリティへの懸念」だという。

　クラウドセキュリティに関する懸念は、大きく分けて2つある。1つは、サービス自体の安全性。企業として利用を許可すべきか否かを判断するにあたって、「果たしてこのサービスは安全か、事業者は信頼できるか」を確かめるのが難しい点が挙げられる。もう1つの懸念は、利用を許可したとして、そのクラウドサービス上でどのようにデータを保護し、ポリシーに反した利用を防いでいくか、だ。

　Netskopeでは「Netskope Security Cloud」を介して、「クラウドサービスのサービスレベルの可視化」「許可されたクラウドサービスにおけるデータ保護」「許可されていないクラウドサービスも含めた制御」といった複数の段階を用意し、ニーズや環境に合わせてセキュリティを実現していくという。

　最初のステップで必要なことは、現状の可視化だ。Netskope Security Cloudでは、クラウド上で稼働するコアエンジン「Netskope Cloud XD」でログを解析し、社内システムで使われているシャドーITの可視化と現状把握を支援する。

　その上でNetskopeでは、いまや2万8000種類以上にも上るクラウドサービスを分類し、準拠している法規制やデータ暗号化の有無、解約時のデータの扱いなどいくつかの観点から評価。似たようなサービスの間でスコアを比較できるようにしている。「IT管理者がチェックリストを片手に手動でサービスを評価するのは非現実的だ。Netskopeはそれを自動化する」（大黒氏）。これにより、制御のためのブラックリストやホワイトリストの管理も不要になるというわけだ。

　こうして、企業として利用を許可するクラウドサービスを定めたら、次はそこで扱われるデータの保護を考えなければならない。Netskope Security CloudではAPIを活用して、Office 365やSalesforce.comといった許可されたクラウドサービス上に保存されたデータをスキャンする。もし、マルウェアなど悪意あるコンテンツが含まれていることが分かれば隔離したり、アクセス権限を変更したりすることも可能だ。

　また、新たな脅威としてマルウェア、ランサムウェアへの対策も必要になってくる。エンドポイントに対策を施すだけでなく、クラウドとWebに潜むマルウェア、ランサムウェアに対してNetskopeはAdvanced Threat Protection機能を提供する。パターンファイルによる検知検疫だけでなく、振る舞い検知やサンドボックスを利用した検疫を行い、未然にユーザーへの被害を防ぐことが可能になる。ロードマップには、AIによるエンドポイント脅威防御ソリューションであるCylanceのプロダクトとの連携も行うなど、脅威への対策を強化している。

可視化と制御をあらゆるクラウド、あらゆるWebに

　これだけでも、「誰が何を使っているかすら分からない状態」からは大きな進歩といえるが、「これで把握し、制御できるのは、全体の2％程度にすぎない“認可されたクラウドサービスのみ”」と、大黒氏は指摘する。Netskopeでは、残る他のクラウドサービスや、クラーク氏が「もはやSaaSとの境界があいまいになりつつある」というWeb全般についてもコントロールする仕組みを提供している。

　実はNetskope Cloud XDは、SSL/TLSのインスペクション機能を搭載し、全てのクラウドサービスはもちろん、Webアクセスのトラフィックの詳細を把握した上でコントロールできる仕組みを実現している。「どのユーザーがどんな場所から、どんなデバイスを用い、どのサービス（およびインスタンス）にアクセスしているか」を把握し、それが「会社として認可した行動かどうか」をポリシーに照らし合わせて判断。問題がなければ許可し、もし違反するアクセスであればアラートを送信したり、接続をブロックしたりする――といったさまざまなアクティビティを設定できる。

　「例えば、同じファイル共有を目的としたクラウドサービスでも、会社が認めた『Box』へのアクセスは許可し、リスク度の高い『Firestorage』のようなサービスをブロックするといった制御ができる。他にも、個人アカウントはブロックし、会社のアカウントなら利用を許すが、それでももし、個人情報を含むファイルを社員がアップロードしようとしたらブロックする――といった具合に、柔軟にポリシーを適用できる」（大黒氏）。このポリシーは、ユーザーや対象アプリ、アクセス方法や環境に応じたきめ細かい設定が可能だ。

　それができるのも、Netskope Security Cloudがフォワードプロキシを軸にした1つのプラットフォームとして、セキュリティゲートウェイや脅威防御、DLPといった複数のセキュリティ機能を提供しつつ、一元的に管理できるからだとクラーク氏は説明する。

　近年、クラウド活用やリモートワークの増加に伴って、IT部門の管理が行き届かない非管理端末やBYODが増えており、セキュリティ担当の悩みの種になっているが、Netskope Security Cloudではシングルサインオンとリバースプロキシの組み合わせによって、これらの可視化やコントロールにも対応する。

　Netskopeではまた、Office 365やG-Suite、SalesforceといったSaaSにとどまらず、IaaSも含めたクラウドサービスのセキュリティ設定管理にも手を広げている。昨今では外部からの攻撃に限らず、担当者の設定ミスなどで機密情報が外部に公開されてしまった事件も少なくない。そこで「Cloud Security Posture Management」と「Cloud Storage Data Protection」によって、IaaSのセキュリティ設定をCIS（Center for Internet Security）のベストプラクティスに基づいてチェックしたり、IaaSでやりとりするデータをリアルタイムにチェックしたりすることで、機密情報を保護するという。

DX時代の新しい「境界」をクラウド上で再構築

　「境界の内側でセキュリティ機器を運用する『これまでの伝統的なセキュリティ対策』は、あまりに複雑な上、クラウドアクセスの間に入って妨げて検査を行うため、速度やユーザーエクスペリエンスを損なってきた」とクラーク氏は指摘する。

　Netskopeは代わりに、元AWSのエンジニアらが加わって実現したクラウド基盤を用いて、オンプレミスで提供してきたさまざまなセキュリティ機能を実現し、新たな時代に適したセキュリティを提供していく。主なクラウドサービス事業者とはBGP（Border Gateway Protocol）でピアリングすることでパフォーマンスを落とすことなく利用できる環境を実現し、「摩擦なしに、悪意あるものだけを止めていく」（クラーク氏）という。

　「今や境界は存在しない。代わりに、従業員が利用する数千ものデバイスごとに境界があり、それを守らなければならない。それを実現するには、企業の内側、オンプレミスにあったセキュリティスタックをクラウドに移行し、毛布をかぶせるようなイメージで全体を守るべきだ」（クラーク氏）

　DXの進展に伴って全てのテクノロジーがWebとAPIベースに移行する中、企業の内と外とを分ける境界は物理的には消滅しつつある。Netskopeは全てのトラフィックが通過するクラウド上の「プロキシ」を軸に、SaaS、IaaS、Webにまたがる形で、新しい時代の「境界」を再構築していくという。