皆さんの会社では、どのようなクラウドサービスを利用していますか?総務省が発表した情報によると、2017年に一部でもクラウドサービスを利用している企業の割合は56.9%にのぼり、前年の46.9%から10ポイントも上昇しています。そのうち、クラウドサービスの利用にあたって「非常に効果があった」「ある程度効果があった」と、サービスの効果を実感している企業の割合は85.2%に達するそうです。
クラウドサービスのメリットは、従来のように「物理的なインフラを必要としないこと」です。インターネット回線と利用端末さえあれば、好きな時にサービスにアクセスして利用できるため、利便性が大幅に向上します。また、物理的なメンテナンス作業も不要なのでコスト最適化も図れ、現在では多くの企業が情報システムをクラウドへと移行しています。
ところが、問題点もあります。クラウドサービスを多数、頻繁に利用することで起こるセキュリティリスクです。数あるリスクを回避しつつ、適切なクラウドサービス利用を実現するために何が必要なのか?本稿では、米ガートナーが2012年から提唱しているクラウド時代の新セキュリティ「CASB(キャスビー)」について解説します。
クラウドサービスのセキュリティリスク
2000年代に産声を上げたクラウドサービス市場は、十数年かけて堅調に成長し続け、今ではオンプレミスのソフトウェアライセンス市場を凌ぐほどに成長しています。多くの市場でクラウドサービスとオンプレミスの逆転劇が起き、クラウドはすべての企業にとって欠かせないサービスと言って過言ではありません。
素晴らしいメリットがあるクラウドサービスですが、その反面セキュリティについて考慮する必要もあります。まずは、どういったセキュリティリスクが存在しているのかを整理していきます。
1. 設定ミスによる外部への情報漏えい
ご存知の通り、クラウドサービスはインターネットという公衆回線網によって利用できるサービスです。利便性が高い反面、オープンな回線なので外部への情報漏えいリスクが考えられます。特に危険なのが「設定ミスによる情報漏えい」です。
たとえば、クラウドサービスに保存したファイルを外部共有するといった設定をオンにしたままですと、第三者が情報に対してアクセス可能になり情報漏えいする恐れがあります。また、操作ミスによってファイルが外部に漏れてしまうリスクもあるでしょう。
2.安直なパスワード設定によるアカウント乗っ取り
クラウドサービスへアクセスするためには、ユーザーごとにIDとパスワードを使います。この時、安直なパスワードが設定されていると、第三者による不正アクセス及びアカウント乗っ取りのリスクが非常に高まります。
特に危険なのが、複数のクラウドサービスで同じID・パスワードを使いまわすことです。一般的にセキュリティレベルが低いサービスから情報が漏れてその被害は拡大していくことになります。
3.クラウドサービス事業者へのサイバー攻撃
多くのクラウドサービス事業者は、ユーザーから預かったデータを保護するために堅固なセキュリティ対策を講じています。そのため、独自にセキュリティシステムを構築するよりもクラウドサービスを利用する方が、セキュリティ強度が高くなるケースが少なくありません。
しかし、クラウドサービス事業者がサイバー攻撃を受けないとは限りません。むしろ重要情報を大量に保管しているクラウドサービスほどサイバー攻撃を受ける可能性があります。
4.クラウドサービス経由のマルウェア感染
同じクラウドサービスを利用するユーザー同士であっても、個々の環境は仮想的に隔離されているので他者の影響を受けにくいようになっています。しかし、他者がマルウェアに感染した端末でクラウドサービスを利用した場合、そのマルウェアが自分のところまでたどり着く可能性はゼロではありません。
5.シャドーITの横行
シャドーITというのは、企業や情報システム担当者が許可していないクラウドサービスを従業員が利用することを言います。ガバナンスが確保されていないサービスを利用することで、企業にとってセキュリティリスクが高まることになります。クラウドサービスを利用することが当たり前になった時代、自分にとって使いやすいサービスを無断で利用する人も少なくありません。
シャドーITは多くの企業にとって深刻な問題であり、早急に対策しなければいつ情報漏えいが起きてもおかしくない状況です。
「CASB」とは?
CASBは「Cloud Access Security Broker(キャスビー:クラウド通信保護防止)」の略であり、2012年に米ガートナーが提唱し始めた、クラウドサービスに対するセキュリティコンセプトです。根底の考え方は、「ユーザーと複数のクラウドサービス事業者の間に、単一のコントロールポイントを設け、クラウドサービスの利用状況を可視化・制御することにより、一貫性の高いセキュリティポリシーを適用する」ことができるようになります。
分かりやすく言えば、企業が利用しているすべてのクラウドサービスを統合的に管理して、クラウド時代のセキュリティリスクを回避していくための製品・サービスのことです。
前述のように、クラウドサービスはオンプレミスに比べて利点が多い反面、従来にはなかったセキュリティリスクも生まれます。特にシャドーITの横行は、情報システム担当者が想定していないクラウドサービスを従業員が勝手に利用するため、セキュリティレベルが大幅に低下し、情報漏えいやシステムへの破壊活動など多大な損失を受ける可能性が大いにあります。
そうしたセキュリティリスクを回避しつつ、かつ従業員の労働生産性や利便性を損なわないために、一貫性の高いセキュリティポリシーを適用しながらクラウドサービスを利用できるようにするのがCASBの役割です。
CASBと従来のセキュリティの違い
従来通り、基本的なセキュリティ対策を実施すればクラウドサービスも安全なのでは?という意見もあるでしょう。CASBが提供する基本的な機能は、「クラウドサービスの利用状況可視化・制御」「アクセス権限の監視」「データの持ち出しチェック・防止」「セキュリティポリシーの準拠監査」「セキュリティ脅威の検出・分析・防御」の5つです。
こうした機能は、CASBでなくても次世代ファイアウォールなど従来通りのセキュリティシステムでも提供されています。しかし決定的に異なる点は、CASBがきめ細やかなセキュリティ・制御を簡単に設定できることです。
CASBが無い環境できめ細かいセキュリティをクラウドサービスに実施するには、サービスごとに特化した定義を実施しなければいけません。CASBではそうした設定を容易かつ手軽に行うことができ、きめ細かいセキュリティをクラウドサービスに実施できます。
Microsoft Azureとは何か?入門から応用まで徹底解説
クラウドサービスには独自のセキュリティを
クラウドサービスのセキュリティはCASBだけではありません。適切なセキュリティは企業ごとに異なりますので、CASBを含めて適切なセキュリティ対策を実施できるように、クラウドサービスごとに状況を見極めながらセキュリティについて考えていきましょう。
