はじめに

CASBとは？

CASBとは、クラウドアクセスセキュリティブロッカー（Cloud Access Security Brokers）のことで、CASBsやCASBと略されています。

Gartnerによると、CASBはオンプレミスまたはクラウドベースのセキュリティポリシー実施ポイントで、クラウドサービスの利用者とクラウドサービスプロバイダーの間に置かれ、クラウド上のリソースにアクセスする際に企業のセキュリティポリシーを組合せ、介入させるものです。

要するに、CASBは従業員のクラウドサービス利用に対して一括管理ができるセキュリティ対策ソリューションのことです。

クラウドサービスを利用している企業が、クラウドサービスを直接管理できない場合に、
クラウドサービスのリスクに対処したり、各企業のセキュリティポリシーを設定するために、CASBを利用することが多くなっています。

https://www.netskope.com/security-defined/what-is-casb

Cloud access security brokers (CASBs) are on-premises, or cloud-based security policy enforcement points, placed between cloud service consumers and cloud service providers to combine and interject enterprise security policies as the cloud-based resources are accessed. CASBs consolidate multiple types of security policy enforcement. Example security policies include authentication, single sign-on, authorization, credential mapping, device profiling, encryption, tokenization, logging, alerting, malware detection/prevention and so on.

https://www.gartner.com/en/information-technology/glossary/cloud-access-security-brokers-casbs

CASBの対象範囲

以下の環境において、CASBはセキュリティのギャップ(欠陥)に対応することができます。

• SaaS (Software as a service)
• PaaS (Platform as a service)
• IaaS (Infrastructure as a service)

CASBを使用すると企業は、組織のセキュリティポリシーをオンプレミスからクラウドまで広げることができます。

CASBは企業の機密の機密データを保護しながら、安全にクラウドサービスを利用できる、企業のセキュリティにとって不可欠な存在となっています。

https://www.skyhighsecurity.com/en-us/cybersecurity-defined/what-is-a-casb.html

CASBの実装モデル

1. API mode
   SaaS自身のAPIを用いてアクセスし、クライドサービスにおけるデータを調査します。
   アプリケーションの基盤となるトランスポートプロトコル（HTTP/HTTPS）のレベルで動作するのではなく、クラウド事業者自身が提供するAPIを用いて、SaaSアプリケーションサービスを用いたインターフェイスを調査する機能です。
   APIモードではクライドアプリケーションのログ遠隔測定、ポリシーの可視化、アプリケーションのデータのセキュリティ調査に関する制御など、多くの機能を実行することができます。
   APIモードでは、SaaSプロバイダーが提供するCASBネイティブのデータ保護機能および最近増え続けているSaaSサービスのデータ保護機能を利用することができ、暗号化およびトークン機能を実行することが可能です。

2. Proxy mode：
   ユーザーとクラウドアプリケーションの間でプロキシモードで展開できます。
   このモデルは、以下の2つの方法でデプロイできます。

   1. Reverse Proxyモデル：
      CASB Reverse Proxyモデルでは、クラウドアプリケーションがプロキシ経由のトラフィックを許可するように構成されます。これはゲートウェイまたはSaaSアプリケーションの一般的な方法としてデプロイすることができます。これはCASBがIDaaSプロバイダーに認証を渡すという、クライドサービスによる認証の仕組みを変更することで実現します。

   2. Forward Proxyモデル：
      CASB forward proxyモデルはネットワークデバイス（オフィスユーザー）、または各エンドポイントのエージェント（外部ユーザー）によって、トラフィックがCASBプロキシを通過することが許可されます。これはオンプレミスとして実装でき、一部のベンダーはエンドポイントデバイスにソフトウェアエージェントを展開する場合があります。

3. Hybrid mode
   HIbridモードは、APIモードとProxyモードを組み合わせたものです。
   これによりCASBは可視化、ポリシーの強制、管理されていないデバイスへの対処方法などをサポートすることができます。

https://www.nri-secure.co.jp/blog/cstar2018_casb

Deployment Model
There are three different CASB deployment models to consider: API-Control, Reverse Proxy, and Forward Proxy.

API Control: Offers visibility into data and threats in the cloud, as well as quicker deployment and comprehensive coverage.
Reverse Proxy: Ideal for devices generally outside the purview of network security.
Forward Proxy: Usually works in conjunction with VPN clients or endpoint protection.

https://www.skyhighsecurity.com/en-us/cybersecurity-defined/what-is-a-casb.html

https://www.skyhighsecurity.com/en-us/cybersecurity-defined/what-is-a-casb.html

https://www.techtarget.com/searchsecurity/tip/Choosing-between-proxy-vs-API-CASB-deployment-modes

https://networkinterview.com/what-is-casb-cloud-access-security-broker/

CASBを導入する理由

従業員の流動的な働き方が高まるにつれて、従業員のBYODの増加やシャドーITなどの許可されていないクラウド利用が増え、Office365などのクラウドアプリケーションの使用を監視・管理することは、企業のセキュリティを守るためには今や不可欠な存在となっています。

CASBを使用すると企業はデータ保護ならびにポリシー設定などのきめ細かなアプローチを取れるようになり、時間の節約、生産性の向上、さらに費用対効果の高いクラウドサービスを安全に利用できるようになります。

https://www.skyhighsecurity.com/en-us/cybersecurity-defined/what-is-a-casb.html

CASBのメリット

CASBは以下のようなメリットがあり、企業のセキュリティリスクを減らすことができます。

• シャドーITの検出・制御
  CASBは全てのアプリケーションを可視化します。それにより企業は、クラウド利用の全体像を把握して、セキュリティ対策を講じることができます。
• クラウドの使用状況の制御
  CASBはクラウドの使用状況を詳細に分析することができます。
  企業は従業員のステータスや場所に基づいてアクセスを制限・許可したり、特定のアクティビティ、サービス、アプリケーションを管理することができます。
• データロス防御（DLP: Data Loss Prevention）
  CASBのDLP機能は、企業の機密情報を保護するのに役立ちます。
  企業は許可されていない機密データのシェアリングを防ぐことができます。
• リスクの可視化
  CASBを使用し、企業は認可されていないアプリケーションのリスクを評価し、それに応じてアクセスの決定を下すことができます。
• 脅威の防御
  CASBはクラウドアプリケーション全体で異常な動作を検出し、ランサムウェアや侵害されたユーザー、不正なアプリケーションを検出することができます。
  CASBは、リスク高いのアプリケーションの使用を分析し、脅威を自動的に修正し、組織のリスクを制限することができます。

https://www.microsoft.com/en-us/security/business/security-101/what-is-a-cloud-access-security-broker-casb

https://www.zscaler.jp/resources/security-terms-glossary/what-is-cloud-access-security-broker

CASBソリューションの4つの掟

CASBが提供する機能は以下の4つに定義されています。

• Visibility（可視化）
  CASBはクラウドアプリケーションの使用状況を包括的に可視化できます。
  クラウドの検出分析により、使用中の各クラウドサービスのリスクを評価することができ、企業のセキュリティプロフェッショナルがアプリの使用を許可(allow)するかブロック(block)するかを決定することができます。

• Data Security（データセキュリティ）

• Threat Protection（脅威防御）

• Compliance（コンプライアンス）
  企業は自社システムとデータストレージの全てをクラウドにアウトソーシングできますが、企業データのプライバシーと安全性を管理する責任があります。
  CASBは、HIPPAなどのコンプライアンス規制や、ISO27001、PCI DSSなどの規制要件に対応することで、クラウドのコンプライアンス維持に役立ちます。

https://www.nri-secure.co.jp/blog/cstar2018_casb
https://www.netskope.com/security-defined/what-is-casb
https://www.cybernet.co.jp/zerotrust/products/casb.html
https://www.skyhighsecurity.com/en-us/cybersecurity-defined/what-is-a-casb.html
https://www.microsoft.com/en-us/security/business/security-101/what-is-a-cloud-access-security-broker-casb

CASB製品

• Cisco Umbrella
• Sophos XG Firewall
• MVSION Cloud
• Microsoft Cloud App Security
• Netskope CASB
• 繋吉セキュアログインパック
• FortiCASB
• Broadcom
• クラウドアクセスセキュリティブローカー, Zscaler

https://www.itreview.jp/categories/casb

https://www.gartner.com/reviews/market/cloud-service-brokerage

おわりに

今回はCASBについて調査してみました。
CASB単体で購入するというのはどうやら流行ではなく、
CASBの機能も含むSSEというソリューションで購入するのが今の流行りだそうです。

次回の記事では、SASEやSSEについて調査した内容を記載したいと思います。

今回の記事が参考になりましたら幸いです。

External Links (参考URL)

1. Cloud Access Security Broker (CASB), netskope
2. Microsoft Defender for Cloud Apps の概要, Microsoft
3. Cloud Access Security Brokers (CASBs), Gartner
4. What Is a CASB?, Skyhigh Security
5. What is a cloud access security broker (CASB)?, Microsoft
6. CASBとは？種類や主要機能、導入する際のポイントを解説, NRI SECURE
7. セキュリティサービスエッジ（SSE）とは, zscaler
8. クラウドアクセスセキュリティブローカ（CASB）とは, zscaler
9. Security Service Edge：SASEの新たなビジョンの実現, McAfee Enterprise
10. SASEに代わってGartnerが打ち出したSSEとは（上）, COMPUTERWORLD
11. Gartner: SSE is SASE minus the SD-WAN, NETWORKWORLD