CASBの概要
CSA-JC勉強会資料 2015.7.29
マクニカネットワークス株式会社
上田 光一
ご注意
• 本資料の内容は、ほぼガートナー社発行 各種リサーチペーパーの内容に基づいています。
• 翻訳時にニュアンスの違いが発生している 可能性があります。
• 特に記載や補足のない場合、マクニカネットワークス株式会社もしくは筆者の見解を表すものではございません。
Copyright © 2015 Macnica Networks Corp. All rights reserved. 2
CASB(キャスビー)とは?
• Cloud Access Security Broker ポリシーの適用ポイント。企業のクラウド・サービス利用者によるクラウド・ベース・サービスの活用を制御して、1つ以上のクラウド・ベース・サービス全体で単一のポリシーを適用できるようにする。
Copyright © 2015 Macnica Networks Corp. All rights reserved. 3
CASBとは?
• ガートナーが2012年に初めて提唱 • 今年度の市場規模予測は$100M、2018年度末までに、$400Mと予想
• 今年中に、Market Guideリリース予定 • 早ければ来年中に、Magic Quadrantリリース予定
• すでに10社を超えるベンダーが存在 Copyright © 2015 Macnica Networks Corp. All rights reserved. 4
(例)Magic Quadrant
※ https://azure.microsoft.com/blog/2015/05/22/microsoft-the-only-vendor-named-a-leader-in-gartner-magic-quadrants-for-iaas-application-paas-cloud-storage-and-hybrid/ Copyright © 2015 Macnica Networks Corp. All rights reserved. 5
公開情報
Copyright © 2015 Macnica Networks Corp. All rights reserved. 6 ※ https://www.rsaconference.com/events/us15/agenda/sessions/1892/from-nonexistent-to-gartners-1-security-technology
公開情報
この3年間で 最大注目
Copyright © 2015 Macnica Networks Corp. All rights reserved. 7 ※http://techtarget.itmedia.co.jp/tt/news/1504/14/news05.html
公開情報
• そうしたクラウドの盲点をなくすための選択肢が現れつつある。
• CSAのレビス氏によれば、その選択肢の1つで
ある“クラウドアクセスセキュリティブローカー”は、クラウドサービスとユーザーの間のアクセスポイントを提供して、セキュリティポリシーの徹底と利用監視能力を強化できる。
Copyright © 2015 Macnica Networks Corp. All rights reserved. 8 ※ https://reg.gartner-em.jp/public/application/add/636
公開情報
• 約100名参加 • 15%程度が、CASB既知
Copyright © 2015 Macnica Networks Corp. All rights reserved. 9 ※ http://www.rsaconference.com/events/ap15/agenda/sessions/2050/security-lessons-learned-enterprise-adoption-of
公開情報
• 全般としてはCASBはホットなテーマ
目次
1. CASBが登場した背景 2. CASBが提供する4つの柱 3. CASBの実装形態 4. CASBの活用事例 5. CASBの今後の展望
Copyright © 2015 Macnica Networks Corp. All rights reserved. 10
1. CASBが登場した背景
Copyright © 2015 Macnica Networks Corp. All rights reserved. 11
• ユーザのコンテンツが、(目的はともあれ)オフィシャルに分析される
※ http://www.itmedia.co.jp/news/articles/1404/15/news084.html
プライバシー のリスク
Copyright © 2015 Macnica Networks Corp. All rights reserved. 12
公開情報
• AWS管理コンソールが
乗っ取られ、ほぼ全データが削除される
• "In summary, most of our data, backups, machine configurations and offsite backups were either partially or completely deleted."
※ http://www.theregister.co.uk/2014/06/18/code_spaces_destroyed/
データ喪失 のリスク
Copyright © 2015 Macnica Networks Corp. All rights reserved. 13
公開情報
• 設定の間違いで、機密情報が一般公開されてしまう
※ http://www.itmedia.co.jp/news/articles/1307/11/news045.html
機密情報漏洩 のリスク
Copyright © 2015 Macnica Networks Corp. All rights reserved. 14
公開情報
• 米国政府の要求により、ユーザ情報へのアクセス手法を提供 – Microsoft, Google,
Apple, Facebook, Yahoo, etc
– 拒否したのはTwitterだけ
※「暴露」グレン・グリーンウォルド著 日本語版(新潮社)p.164~p172
Copyright © 2015 Macnica Networks Corp. All rights reserved. 15
公開情報
機密情報漏洩 のリスク
• 経営破たんで、 15日の猶予後、 顧客データ破棄
※ http://www.businessnewsline.com/news/201310072140170000.html
データ喪失 のリスク
Copyright © 2015 Macnica Networks Corp. All rights reserved. 16
公開情報
クラウド利用の実態 • 1企業で利用するSaaSの合計: 1083
– コラボレーション: 171 – ファイル共有: 57 – 開発:55 – コンテンツ共有: 43 – ソーシャルメディア: 32
• 従業員一人が使用するSaaS:数 : 28 – コラボレーション: 7 – ファイル共有: 4 – コンテンツ共有: 4 – ソーシャルメディア: 3
※ Skyhigh Networks 社発行 Cloud Adoption and Risk Report Q2 2015.pdf から http://info.skyhighnetworks.com/WP-CARR-Q2-2015-Download.html?Source=Website&LSource=Website
Copyright © 2015 Macnica Networks Corp. All rights reserved. 17
公開情報
業界横断的、全2100万ユーザの 実際の利用履歴から算出
コントロールは何処に
OnPremise
データ
SaaS1 SaaS2 SaaS3
プロセス
AC L
ログ
Copyright © 2015 Macnica Networks Corp. All rights reserved. 18
弊社作成
コントロールは何処に
OnPremise
データ
SaaS1 SaaS2 SaaS3
プロセス
AC L
ログ
データ
プロセス
AC L
ログ
データ
プロセス
ログ
データ
AC L
Copyright © 2015 Macnica Networks Corp. All rights reserved. 19
弊社作成
CASBが登場した背景 • SaaSについては、従来型セキュリティとギャップがある – エンドユーザ部門で調達されることが多いため、IT部門の統制が効かず、十分なセキュリティを備えていない場合がある
– 機密データを社外に保存することになり、“見えない”箇所やリスクが発生する
– SaaSベンダが提供するデータセキュリティは一様ではなく保証もされないため、ユーザ企業の責任となる
– SaaSベンダが固有のセキュリティ向上策を採用する可能性はあるが、複数SaaSを包括した“ユーザ中心”のセキュリティを提供することはできない
Copyright © 2015 Macnica Networks Corp. All rights reserved. 20
コントロールを取り戻す
OnPremise
データ
SaaS1 SaaS2 SaaS3
プロセス
AC L
ログ
データ
プロセス
AC L
ログ
データ
プロセス
ログ
データ
AC L
CASB
Copyright © 2015 Macnica Networks Corp. All rights reserved. 21
弊社作成
2. CASBが提供する4つの柱
Copyright © 2015 Macnica Networks Corp. All rights reserved. 22
CASBが提供する4つの柱
(1) 可視化 (2) コンプライアンス (3) データセキュリティ (4) 脅威防御
Copyright © 2015 Macnica Networks Corp. All rights reserved. 23
(1) 可視化
• ユーザ、デバイス、データの流れ、また管理権限アクセスなどの情報を提供する – 既存のファイアウォールやプロキシログの解析 – CASBがインラインで実装される場合、BYODを含むさらに細かいログ
– APIアクセスによる、保存時データの詳細状況確認
Copyright © 2015 Macnica Networks Corp. All rights reserved. 24
(2) コンプライアンス
• 社内外からのコンプライアンス要件を、CASBを通すことにより、SaaSでも実現する – CASBが提供するデータベースから、SaaSベンダ毎のセキュリティ提供能力をチェック
– ユーザおよび管理者の監査ログ – ファイルの中をモニタリングし、要件への適合状況をチェック
– SaaSアプリ選択におけるリスクの観点からのガイダンス
Copyright © 2015 Macnica Networks Corp. All rights reserved. 25
(3) 脅威防御
• SaaSベンダ側では判断できない、あるいは単独では提供不可能な、脅威防止策を提供する – 悪意のあるコンテンツの検出 – 振る舞い分析による、不審な行動検出 – プロキシ型実装+WAF機能による更なる詳細分析
– 脅威インテリジェンスと連動した不審な接続分析 – 不審な接続の拒否
Copyright © 2015 Macnica Networks Corp. All rights reserved. 26
(4) データ保護
• SaaSではデータ共有の範囲と可能性が大幅に広がる。CASBはデータの保護を、複数の技術で担保する – 条件に応じたDLP、暗号化・トークン化とアクセス制御
• データ共有に制限を設ける、DRM、透かし、パスワード付き圧縮や暗号化
• ファイル内容に応じたアクセス制限 • ユーザ、デバイス、アクセス元アプリケーションや場所に応じた制御
• ファイル、オブジェクト、フィールド単位の暗号化、トークン化 • 暗号化鍵の管理
Copyright © 2015 Macnica Networks Corp. All rights reserved. 27
(補足)トークン化
• 暗号化と情報マスキングの特徴を併せ持つ
Copyright © 2015 Macnica Networks Corp. All rights reserved. 28
※ http://itpro.nikkeibp.co.jp/article/COLUMN/20101119/354343/
公開情報
3. CASBの実装形態
Copyright © 2015 Macnica Networks Corp. All rights reserved. 29
CASBの実装形態
• プロキシ型(Forward, Reverse) • API • ハイブリッド型
・実際のベンダはハイブリッドで提供していること が多い ・SaaSサービス自身が提供する機能と、CASBが 提供する機能に重複があるのも普通
Copyright © 2015 Macnica Networks Corp. All rights reserved. 30
Proxy型
• ネットワークのゲートウェイソリューションとしての側面が強い
• ネットワーク系の出自を持つベンダはネットワークに強い一方、APIのインテグレーションは相対的に弱い傾向がある
• Forward/Reverseの両方の実装形態がある • オンプレ、クラウドの双方の提供形態がある
Copyright © 2015 Macnica Networks Corp. All rights reserved. 31
API型
• SaaSが提供するAPIを所定の権限で利用して、SaaSに詳細なレベルでアクセスし、制御する
• データ保存後のスキャンや細かい制御が実現できる
• 厳密に言うとリアルタイムではない(ニア・リアルタイム)
Copyright © 2015 Macnica Networks Corp. All rights reserved. 32
4. CASBの活用事例
Copyright © 2015 Macnica Networks Corp. All rights reserved. 33
① クラウドサービス利用の 現状を把握する
• どのようなクラウドサービスを利用しているのか?
• それは誰が利用しているのか? • その利用については、どのようなリスクが あるのか?
Copyright © 2015 Macnica Networks Corp. All rights reserved. 34
② SaaSアプリケーションを 管理(承認)された状態にする
• どのサービスを継続利用するか、禁止するか、置き換えるかを検討する – CASBが提供する、SaaS毎のセキュリティ属性、レイティングを活用する
– 自組織の重視する属性に応じてカスタマイズ、判断する
• 2要素認証、グローバルのデータセンター、モバイルアプリのネイティブなサポート、等
– 法的、コンプライアンス的のような、非技術要件も同時に検討
Copyright © 2015 Macnica Networks Corp. All rights reserved. 35
③ データ保護策をクラウド内で 強化する
• DLP等の技術で、以下のような条件に応じて保護する – どのようなモバイルデバイスからアクセスされ、保存されているのか?
– どのようなデータが、どこのSaaSに保存されているのか?
– 世界中のどの場所からデータがアクセスされているのか?
– データはその性質に応じて、暗号化またはトークン化されているか?
Copyright © 2015 Macnica Networks Corp. All rights reserved. 36
④ ネットワーク境界の外での データ活用を促進する
• BYODの普及とともに、アプリケーション(しば
しばクラウド対応)をユーザ自身の判断で活用してしまうリスクを低減する – CASBによりデバイス、ユーザ、アプリケーションの関連付けが可能
– IT部門としては、最低限の説明責任を実現し、今後の方策を検討する材料となる
Copyright © 2015 Macnica Networks Corp. All rights reserved. 37
⑤ 新たなアプリケーション導入等の ビジネス俊敏性を実現する
• CASBはクラウドサービス利用のライフサイクル全体を支援する – 最適なクラウドサービスを発見する – ポリシー適用やコンプライアンス準拠、追加の脅威防御などを提供する
– クラウドファースト、モバイルファーストの実現可能性を、プロアクティブに検討できる
Copyright © 2015 Macnica Networks Corp. All rights reserved. 38
まとめ
• CASBのベネフィット – クラウド利用状況を統合し一元的に可視化 – コンプライアンス準拠を支援 – データフローを理解し、デバイスやユーザに応じて制御、暗号化、トークン化
– 保存時のデータ制御、暗号化と鍵管理 – 不審なアクセスへの対策
Copyright © 2015 Macnica Networks Corp. All rights reserved. 39
まとめ
• CASBのリスク – Proxy型実装では、SPOFや性能への潜在的懸念 – フィールドレベル暗号では、SaaS機能を毀損しないか注意
– CASBベンダーの集約統合やセキュリティベンダによる新規参入
– サービスコンポーネント、またはアプリケーションの脆弱性
– インフラストラクチャレベルの障害
Copyright © 2015 Macnica Networks Corp. All rights reserved. 40
5. CASBの今後の展望
Copyright © 2015 Macnica Networks Corp. All rights reserved. 41
展望
• 不得意分野もある – BIのような急成長中分野SaaSの対応 – IaaS, PaaSレイヤの細かい制御 – 遅延やDDoSリスク – 既設のセキュリティ資産との統合
• ベンダ間連携や買収も活発 • 長期的にはクラウド系セキュリティシステムとの連携または統合が予想される – IAM, IDaaS
Copyright © 2015 Macnica Networks Corp. All rights reserved. 42
CSAの提言
Copyright © 2015 Macnica Networks Corp. All rights reserved. 43
公開情報
※ http://www.rsaconference.com/writable/presentations/file_upload/cds-r03-security-lessons-learned-enterprise-adoption-of-cloud-computing.pdf
最後に
• アナリストからのメッセージ – クラウドの使い方を安全にしていきましょう
• クラウドは安全だが、危険なのはユーザの使い方 • 可視化したうえで、セキュリティギャップを埋めること
– 発想を変えましょう • 従来型アーキテクチャ:
– データが中心かつ固定的、デバイスでリング状に守る
• クラウドコンピューティング: – 守るべきリングの中心は複数 – インスタンス、アプリケーション、アクティビティ
Copyright © 2015 Macnica Networks Corp. All rights reserved. 44