日本では未熟な段階にある「CASB」

セキュリティ市場では現在、「CASB(キャスビーまたはキャズビーと呼ばれる)」が次の投資先としてバズワードとなってきている。CASBはCloud Access Security Brokerの略称で、英語を読んで字の如く、クラウドへアクセスする際にセキュリティを担保してくれる仲介者となる、新たなセキュリティレイヤーである。

一方、企業は「クラウドシフトだ」「働き方改革だ」などと、ビジネスを加速するにあたり、柔軟性と拡張性、投資対効果をクラウドに求めている。その際、クラウドプロバイダーが提供するセキュリティオプションをバラバラに利用するのではなく、均整の取れたセキュリティポリシーを一元的にクラウド全体に適用可能なCASBは、企業がクラウドに求める「柔軟性」「拡張性」「投資対効果」をセキュリティ面で提供してくれるため、理にかなった選択と言える。

筆者は業務上、さまざまな業種の企業に属するセキュリティ担当者とセキュリティ課題について議論する機会があるが、CASBを正しく理解しているセキュリティ担当者は実に一握りだ。大半の場合、「クラウドセキュリティと言えばCASB」といった程度の認識であり、「具体的に自社の要件に当てはまるかどうかわからない」または「そもそもCASBを実装するメリットがよくわかっていない」といった具合だ。

つまり、CASBは現在、日本市場では未熟な段階にあり、すでにCASBを導入したものの、そこで初めてCASBでは足りないものが見えたなど、新たな技術が登場した際にありがちな現場での混乱をよく目にする。そこで本連載では、筆者が3年ほどCASB市場および製品の啓蒙活動を行ってきた知見をもとに、これから企業がどのようにCASBを活用することで、を安全かつ無駄な投資を抑えて、クラウドシフトを進めていけるかについて解説していく。

クラウドセキュリティに投資する理由

少し前の日本では、クラウドは「安かろう悪かろう」といった認識が大きかったため、クラウド上で提供する暗号化やマルウェア対策のオプションの加入率は非常に悪かった。「コストを抑えたくてクラウドに移行したのに、なぜセキュリティにそこまで投資しなくてはいけないのか」というわけだ。事実、これまでは限られた業務や機密性の低いデータのみがクラウドにシフトしていたので、セキュリティサービスを使わなくても問題がなかった。

だが、Microsoft Office 365といった業務の中心というべきアプリケーションのクラウドシフトが企業を大きく方向転換させた。それと同時に、BOXやSalesforceなど、「ファイル共有」「顧客情報&案件管理」といった機密性の高いファイルやデータがクラウドにシフトすることにより、一気にセキュリティ上のリスクが高まった。

また、クラウドへのシフトにより、セキュリティ投資の本来のモチベーションであるはずの「データ保護」が手元を離れてしまったため、今までと変わらない規模のセキュリティ投資をクラウドにかけることは企業にとって違和感がなくなった。大半のデータがクラウドにシフトしてしまうのであれば、もう「安かろう悪かろう」では済まされないからだ。

ただ、クラウドプロバイダーが用意しているセキュリティオプションの定義は同じだが、実装レベルやSLA(Service Level Agreement)は異なる。クラウドプロバイダーのセキュリティ機能に依存する場合、企業が望むレベルのセキュリティポリシーを一元的にかけることは叶わない。それどころか、クラウドプロダイバーに対してセキュリティ投資(セキュリティオプションの追加)をしなければならないため、クラウドシフトすればするほど、割高になるケースがほとんどだ。これではクラウドシフトをした意味がない。

CASB導入が必要な企業とは?

こうした事情が、日本でもCASBが受け入れられた背景にある。CASBはブローカー(仲介者)として、企業のクラウドセキュリティを一元的に管理・強制することができる。Microsoft Office 365でもBOXでも、Salesforceでも、CASBを通じて均一のセキュリティポリシーをかけるため、クラウドサービスごと投資をすることなく、CASBにのみ投資することで費用対効果と一元的なセキュリティ管理を得ることができるのだ。

となると、当然ながら「複数」の業務をクラウドにシフトしている企業はCASBを導入検討すべきであり、実際、日本企業でまずCASBに飛びついたのはこの層だ。Microsoft Office 365の導入でクラウドのメリットを体感した企業は、一気にクラウドシフトを図るようになる。「オンプレミスにも一部アプリケーションを残し、クラウドにもセキュリティ投資をする」といったハイブリッド環境が最も燃費が悪い。

CASBで一元的にセキュリティを担保できる環境が整うと、オンプレ固有のアプリケーションであったとしても、類似するクラウドアプリケーションの採用を急ぐようになる。シマンテック自体も3年ほど前は数えるくらいしかクラウドを採用していなかったが、現在では40種類以上のクラウドアプリケーションを採用しており、社内に固有のアプリケーションは残っていない。欧米企業が採用しているクラウドアプリケーションの平均数は10~20程度と言われているが、欧米は正にCASBの導入期にあり、この平均値は1年で大きく変わるだろう。日本はこのような変革がこれから起きる段階だ。

そのため、これまでクラウド利用を見送ってきた企業こそが第2のCASB導入層となる。CASBがあればクラウドプロバイダーに依存することなく、独自にセキュリティを管理できるため、クラウドを「信用」していなかった企業が、CASBと一緒にクラウドを評価してみるという動きが出てきている。

第3の勢力は「働き方改革」などにより、自宅、出向先や出張先からクラウド活用が必要になる層となる。従来のような社内VPNやVDIといったアクセス方式では、遅延やアプリケーション側の動作制限などにより、十分な生産性が確保できないケースが出てくるため、直接クラウドにアクセスさせる必要が出てくる。

このような"オフプレミス"環境におけるクラウドセキュリティもCASBで確保できる。そのため、企業は手元を離れたデータのみならず、オフィスから離れたユーザーまでCASBで制御できるようになることがメリットとしては大きい。4つ目の導入ケースとしてはGDPR対応などがあるが、これはまた別途解説していく。

これからCASBを導入したい・検討している方は本連載を参考にしながら、後悔しないクラウドシフトのロードマップを策定いただければ幸いだ。

著者プロフィール

髙岡 隆佳

株式会社シマンテック セールスエンジニアリング本部 エバンジェリスト

セキュリティ業界での18年の経験を生かし、製品やソリューションに捉われない、セキュリティ投資の方向性について講演やメディアを通じて啓蒙活動を行っている。エバンジェリストとして、企業のセキュリティリスク、対策、課題に精通している。近年は、クラウドセキュリティアライアンス日本支部(CSA Japan)CASB WGにてクラウドセキュリティ啓蒙に力を入れている。