ハイブリッドな働き方が広がる時代に 次世代CASBで実現するクラウドセキュリティ：セキュリティ対策「次の一手」とは

テレワークの普及に伴ってセキュリティの課題も変化している。従来のセキュリティ対策でこれらに対応するのは難しく、企業ITの守り方にもアップデートが必要だ。

[PR／ITmedia]

PR

　新型コロナウイルスの感染拡大をきっかけに、われわれのワークスタイルは大きく変わった。企業の規模を問わず、従来の「業務アプリケーションやデータは社内のオンプレミス環境にあり、従業員はオフィスに出勤してそれらを扱う」という働き方から、クラウドサービスを取り入れ、オフィスワークとテレワークを組み合わせたハイブリッドな働き方への変化が進んでいる。

　ハイブリッドな働き方には多くの利点がある一方で、セキュリティ面での課題もある。一例として「クラウドサービスが社内のルールにのっとって安全に利用されているかどうか把握できていない」が挙げられる。

　オフィスに出勤してオンプレミスの環境で業務にあたることを前提としていた頃のセキュリティ対策のままでは、こうした課題への対応は難しい。そこで注目されるのが、クラウドサービスの可視化と制御を実現する「CASB」（Cloud Access Security Broker）だ。CASBは、クラウドサービスの利用を前提としたセキュリティモデル「SASE」（Secure Access Service Edge）の構成要素の一つとしても知られている。

ハイブリッドな働き方とともに浮上した「サンクションIT」制御の必要性

　日立ソリューションズの高橋昌也氏（セキュリティプロダクト本部　セキュリティサービス部第2グループ　グループマネージャ）は、企業ITにおけるセキュリティの傾向について「テレワークの利用拡大をきっかけにSASEに興味を持ち、『サンクションIT』（組織が許可したIT機器やサービス）を制御したいという引き合いが急増しています」と語る。

　サンクションITの制御には、IT管理者が許可したクラウドストレージを介して情報を持ち出すようなケースにおいて、該当のクラウドサービスがルールに従って利用されているかどうかを監視するといった例がある。

日立ソリューションズの高橋昌也氏

　「クラウドサービスを活用するハイブリッドな働き方の普及に伴い、これまでは従業員が企業に無断で利用する『シャドーIT』を検出する有効な手法とされていたCASBに期待する効果が変わりつつあります。『企業が守るべき情報』を豊富に持つサンクションITを制御すれば、効率的な防御が可能になります」と高橋氏はサンクションIT制御の必要性を述べる。

　Bitglassが提供する「Bitglass」は、利用中のクラウドサービスの可視化、利用状況の把握はもちろん、クラウド利用に関する社内ルールが守られるよう“リアルタイム”での制御が可能であることから、サンクションITの制御に有効だ。

独自技術を基に会社支給と私物の端末のリアルタイム制御を実現する次世代CASB

　Bitglassは、約80万種類のクラウドサービスに対応する（2021年8月時点）。グローバルの主要サービスはもちろん日本独自のサービスもサポートし、プロキシやファイアウォールのログをインポートしてこれらの信頼度や属性情報を分析する。シャドーITの検出とともに、サービスに潜むリスクの可視化も可能だ。

　対応する各種クラウドサービスと連携して利用状況を細かくチェックすることで、サンクションITの利用状況を監視できる。クラウドストレージサービスであれば「いつ、誰が、どのようなファイルをアップロードしたか」を検出できる。その他、DLP（Data Loss Prevention）機能による「本来共有すべきでない情報を社外と共有していないかどうか」の検出や、マルウェア検知機能による「マルウェアの含まれたファイルが共有されていないかどうか」といったチェックも可能だ。

Bitglassによるクラウドサービスの制御イメージ（出典：日立ソリューションズ提供資料）

　「利用状況の監視やDLP機能、マルウェア検知機能だけであれば、他社のCASB製品もサポートしているでしょう。Bitglassにはさらに、2つの大きな強みがあります」と高橋氏は自信を見せる。

　一つは、Bitglassが「次世代」CASBと言われる理由でもある「リアルタイム制御」だ。ユーザーや端末、ネットワークなど、条件ごとにルールを設定して違反するものをリアルタイムでブロックできる。制御の条件は「このサービスへのアクセスは許可する／拒否する」といった単純なものではなく「機密情報が含まれていたらアップロードをブロックする」などきめ細かく設定できる。

日立ソリューションズ　長谷川 康樹氏

　もう一つは、端末の「制御方式」にある。CASB製品は一般的に、制御対象の端末にエージェントを導入してクラウド側で制御する「フォワードプロキシ方式」を採用する。Bitglassはそれに加えて端末にエージェントを導入せずに制御できる「リバースプロキシ方式」にも対応する。このメリットを日立ソリューションズの長谷川 康樹氏（セキュリティプロダクト本部　セキュリティサービス部　第2グループ　技師）は以下のように説明する。

　「フォワードプロキシ方式は、エージェントを導入した会社支給の端末なら制御を掛けられますが、それ以外の私物の端末やBYOD（Bring Your Own Device：私物端末を業務で活用すること）は制御しきれません。Bitglassであれば、リバースプロキシ方式によって個人所有の端末も制御できます」

Bitglassのリアルタイム制御方式（出典：日立ソリューションズ提供資料）

　リバースプロキシ方式の制御を可能にしているのが、Bitglassの独自技術「Ajax-VM」だ。エージェントのインストールなしで端末からのアクセスを可視化したり制御したりできるのはもちろん、クラウドサービスの仕様変更にも柔軟に対応して常に安定した制御を実現する。

　また、リバースプロキシ方式であればエージェントの導入が不要になるため、既存のアプリケーションへの影響調査や、導入後の定期的なエージェントアップデートといったメンテナンスも必要ない。「Bitglassは各社のクラウドサービスと連携してエージェントレスでクラウドサービスの利用を制御します。既存の端末やネットワーク構成の変更なしでの導入と、管理者の負荷軽減を実現します」（長谷川氏）

　その他、Bitglassは社内外を問わず、管理対象端末からのWebアクセスを企業のセキュリティポリシーにのっとって制御できるSWG（Secure Web Gateway）機能も備える。クラウドサービスへのアクセスだけでなく、Webサイトへのセキュアなアクセスも実現できる。

企業におけるセキュリティ対策の見直しを包括的に支援

　ここで、実際にBitglassを導入しセキュリティ対策を見直した企業の事例を紹介する。

　金融業のA社はサンクションITとして活用しているクラウドサービスから、機密性の高い情報が社外に漏えいするリスクを懸念していた。そこでBitglassを導入して、エージェントを導入できない従業員個人の端末に関してもクラウドサービスへのアクセス制御を実施し、機密情報のダウンロードを禁止する体制を整えた。それと同時に「エージェントをインストールした会社支給の端末からであればダウンロードを許可する」といった、権限や端末に応じた柔軟なアクセス制御を実現している。

　製造業のB社では、クラウドサービスへの社外からのアクセスを把握しきれていなかった。現在はBitglassを活用して社外からの利用状況の把握や制御を実現している。

　日立ソリューションズはBitglassの他にも、別の強みを持つCASBやクラウドベースのIDaaS（Identity as a Service：ID管理や認証、アクセス制御などの機能を提供するクラウドサービス）、ログ統合管理を実現するSIEM（Security Information and Event Management：さまざまな端末やサービスからログを収集・分析し、異常を検知したことや対策方法を管理者に通知する仕組み）など幅広くセキュリティ製品を提供し、それによって企業のセキュリティ対策の見直しを包括的に支援する。

　こうした支援の中には、これまで同社がオンプレミス環境に対し提供してきたセキュリティのノウハウも生かされている。高橋氏は「ハイブリッドな働き方に合ったセキュリティ対策への移行は段階的に進める必要があります。顧客の既存の環境を知り、既存の環境をどう生かしていくか、予算や優先順位に合わせて柔軟に提案できるのが当社の強みと言えます」と述べる。

　これからの時代に求められるセキュリティ対策を「無理なく、確実に」実現する上で、日立ソリューションズは心強いパートナーと言えるだろう。