クラウドセキュリティにはどんなものがある？ SASEやCASBなどの比較も

クラウドサービスの普及・多様化により、社内の情報をクラウド管理に移行する企業も増えてきています。クラウドはどこからでもアクセスできるという利便性がある反面、セキュリティ対策をより確実にする必要があります。

まずはクラウドセキュリティツールの基本について整理していきましょう。

クラウドセキュリティの責任共有モデル

クラウドセキュリティは、「責任共有モデル」と呼ばれている仕組みで提供されるのが一般的です。

責任共有モデルは、ユーザとサービス提供者の双方が担当する範囲を明確にし、それぞれの担当範囲の責任を持つ仕組みです。クラウドサービスは大きく「IaaS」、「PaaS」、「SaaS」の3つのサービスがあり、ユーザとサービス提供者のどちらが責任を持つのかがはっきりしています。

クラウドセキュリティツールの代表的な基本機能は、以下の8つがあります。

• シングルサインオン（SSO）
• アクセス制御
• ユーザー分析
• クラウドギャップ分析
• 異常検出
• クラウドレジストリ
• モバイルデバイス管理（MDM）
• アクセス管理

どのような機能を持っているのか確認していきましょう。

シングルサインオン（SSO）

シングルサインオン（SSO）とは、1回のログイン・ユーザー認証で、複数のクラウドサービスに接続することができる仕組みです。

クラウドサービスを複数利用していた場合、本来であればサービスごとにログイン操作が必要になります。しかし、シングルサインオン機能を使うことで、1つのIDとパスワードで利用しているクラウドサービスすべてにログインすることができます。

アクセス制御

アクセス制御とは、ユーザーごとにアクセス権限をコントロールすることができる機能です。グーグルが提供しているスプレッドシートやgoogleドキュメントにもアクセス制御機能が搭載されています。

まだ開発途中のファイルやページがある場合、アクセス制御機能があると便利です。

ユーザー分析

ユーザー分析とは、その名の通りユーザーがどのような動きをしたのか分析する機能です。ユーザー一人一人のアクセス記録やどのファイルをどのように扱っているかを管理・記録することができます。

ユーザー分析をすることで、情報を不適切に扱っているユーザーを早期に発見し、情報漏洩などのリスク防止につながります。

クラウドギャップ分析

クラウドギャップ分析とは、クラウドサービスをより良いものにしていくための機能です。

そもそもギャップ分析とは、現在の状態を理想の状態と比較し、不足している点や改善ポイントを洗い出すことです。クラウドギャップ分析では、拒否されたエントリや違反しているデータを調べ、改善に向けての情報を提供します。

異常検出

異常検出とは、ユーザーのクラウドサービス内での動きを監視し、一般的なものから外れた動きを見つけ出す機能です。

異常検出を行う上で重要になるのは、これまでに蓄積された膨大なデータです。過去の振る舞いからは大きく外れた動きがあった場合、異常な挙動として認識します。

クラウドレジストリ

クラウドレジストリとは、CASBと呼ばれているクラウドサービスを一括管理することのできるソリューションと互換性のあるクラウドサービスのリストを提供する機能です。

CASB（Cloud Access Security Broker）では、クラウドサービスを利用しているユーザーを一括管理するだけでなく、セキュリティ性能の低いクラウドサービスにもCASB側でセキュリティを提供することができます。

モバイルデバイス管理（MDM）

モバイルデバイス管理とは、クラウドに接続する可能性のあるモバイル端末を一括で管理する機能です。

テレワークやリモートワークが普及したことによって、社外から自身の端末で会社のクラウドに接続する機会が増加しました。MDMを導入することで、業務に使うすべてのモバイル端末の権限などを管理することができます。

アクセス管理

アクセス管理とは、社内でクラウドサービスの管理権限を持っているユーザが、情報へのアクセスを扱うための機能です。

アクセス管理では、ユーザに対してアクセス権限を割り振るだけでなく、アプリケーションの利用も管理することができます。

最後に、主なクラウドセキュリティの4つの仕組みをそれぞれ比較してみました。

• CASB
• SWG
• ZNTA
• SASE

クラウドセキュリティの導入を検討している方は、参考にしてみてください。

CASB

CASB（Cloud Access Security Broker）はセキュリティシステムの中でも、頻繁に取り上げられてきたシステムです。2012年、アメリカのガートナー社が提唱したシステム構築法で、複数のクラウドサービスを利用している場合に有効です。

CASBでは、複数利用しているクラウドサービスとユーザ間のセキュリティを一括で監視・管理することができます。通常、複数のクラウドサービスを利用している場合、ユーザとそれぞれのクラウドサービスごとにセキュリティ設定を行う必要があります。

しかし、CASBはユーザとクラウドサービスの中間にコントロールポイントを設置することで、1つのセキュリティ設定で運用していくことが可能となります。

SWG

SWG（Secure Web Gateway）もCASB同様アメリカのガートナー社が提唱したものです。SWGの役割は、外部インターネットへアクセスする端末をマルウェア感染から守ることです。

SWGを導入した端末が外部ネットワークへアクセスする時、SWGは外部ネットワークと端末の中間でインターネットアクセスの記録を取ります。記録されたデータからセキュリティ上不要、あるいは悪質と判断されたソフトウェアやマルウェアをフィルタリングすることで、端末をリスクから守ります。

SWGはCASBに注目が集まる以前から開発・導入が進んでいたもので、よりセキュリティ機能をクラウドサービス向けに特化させたものがCASBになります。

ZNTA

ZNTA（Zero Trust Network Access）もガートナー社が提唱したものです。ZNTAとCASB・SWGの決定的な違いは守るべき情報がどこにあることを前提としてるかです。

CASBもSWGも会社の内部と外部の接続を監視し、内部にあるものを守るためのセキュリティです。しかし、クラウドサービスが発展したことにより、情報の置き場所を明確に社内の内部・外部と識別することが難しくなっています。社内ネットワークを守っていても従業員が社外からクラウドサービスにアクセスしていては、クラウドのセキュリティ対策は万全と言えません。

ZNTAは社内、社外を問わず会社に関わる情報はすべて守るものとして扱い、セキュリティ体制を構築していきます。

SASE

SASE（Secure Access Service Edge）は、2019年に提唱された新しいモデルです。SASEのこれまでのセキュリティと異なる大きな特徴は、セキュリティサービスとネットワークサービスを一体のものとして捉えている点です。

従来のセキュリティサービスは、すでに社内で使っているネットワークサービスに後付けする形での導入が一般的でした。しかし、ネットワークサービスの契約に加えてセキュリティサービスの契約を結ぶ必要があり、コストや管理面での負担が二重になっています。

一方で、SASEはセキュリティサービスとネットワークサービスが同時に実装されるため、管理するシステムが1つで済みます。

まとめ

クラウドサービスを業務で利用していくのであれば、クラウドセキュリティの導入は欠かせません。一方で、クラウドセキュリティサービスも様々な形でサービスが展開されていて、どこにセキュリティ対策を敷くことができるのかはサービスによって異なっています。

社内で必要とされるクラウドサービスの形式を事前に整理し、クラウドセキュリティに対する理解を深めた上で、導入を検討していきましょう。