ユニアデックスは、これから一気に広がるであろうと言われているCASBとIDaaSについて講演するということで、どんなお話か潜入してきました!
ところで、CASB(キャスビー)とIDaaS(アイダース)って、なんでしょう!?
えっと、それを解明するための潜入です!
スピーカーは、同社エクセレントサービス創生本部・ソリューションビジネス開発統括部・セキュリティー部のソリューションマネジャー森駿さん。
テーマは、「クラウド時代の新しいITセキュリティーガバナンスの確立~金融業界も注目するCASB&IDaaSとは~」です。
クラウド時代というのは、個人も企業もクラウドサービスの利用が浸透している時代ということですね。確かに、企業でもメール、経理システム、オンラインストレージなど、さまざまな機能をもった外部クラウドサービスを活用するケースが多くなっています。
クラウドサービスは、なぜこれほどまでに人気なの?
森さんはこう語ります。
「かつては、社内でサーバーを立ててシステムを作り込むのが一般的でしたが、外部のクラウドサービスを導入する方がメリットは多いのです。たとえば、社内でシステムを作るより早い、低コスト、いつでもやめられる、社内でメンテナンスを行う必要がない、などです。また、働き方改革が言われ始め、いつでもどこでも働ける体制を整えることを考えると、社外からいちいち社内システムにアクセスするのは面倒です。外部のクラウドサービスにアクセスする方が早いのです」
ふむふむ。ビジネスの効率化、スピードアップを考えるとクラウドサービスの活用は避けられないということですね。
「ところが課題があります」と森さん。なんでしょう??
「これまでは、ファイアーウォールでセキュリティー境界を作れば、その内側は安全だったわけですが、クラウドサービスの利用では、業務がセキュリティー境界の外側に広がってしまうわけです。となると、企業側では、企業が認めたシステムだけを安全に使わせたいですよね。ですから、社員がクラウドサービスを使いたいという場合は、申請させます。ところが、上司からすると、どのクラウドサービスなら安全か、認めてよいのか、その基準がわからないわけです。
結局、『便利だから』、『会社に締め付けられるから』、という理由で、企業が認めていないクラウドサービスが勝手に使われてしまいます。結果として、企業が認めたクラウドサービスではない、いわゆるシャドウITと呼ばれるものが増えてしまいます。現在、ワールドワイドで認知されているクラウドサービスは約3万種類あると言われていますが、 企業は社内でどれぐらいのクラウドサービスが使われているのか、実態を把握できていないのが実情なのです。
実は、ある調査によると、従業員数3,000人以上の日本企業では平均で1,000以上のクラウドサービスが利用されていて、そのうち情報漏えいリスクが高いクラウドサービスの利用数の平均は、50種類を超えているという驚くべき結果が出ています」
気づかないうちに、社内でリスクが高いクラウドサービスが使われているのですね!
それは怖いです。もしかして、CASBとIDaaSが、そんな問題を解決してくれる?
「CASBおよびIDaaSとは、金融業界を含むあらゆる業界で注目されている新しいセキュリティーカテゴリーです。CASBは、Cloud Access Security Brokerの略で、2012年にガードナーが定義し、日本には2015年に入ってきたばかりです。CASB機能の4つの柱は、可視化、脅威防御、コンプライアンス、データセキュリテイー。ガードナーは、2020年には大企業の85%がCASBを採用すると予測しています(※1)」
と森さん。
(※1) Gartner社ではCASBsを以下の様に定義しています。
CASBs(Cloud access security brokers)とはオンプレミスまたはクラウドベースのPEP(policy enforcement points)で、クラウド利用者とクラウドサービスプロバイダー間に配置し、クラウド利用時の企業のセキュリティーポリシーのガバナンスを実現。認証、シングルサイオン、アクセス制御、デバイス管理、暗号化、トークン化、ログ取得、アラート機能、マルウエア対策など様々なタイプのセキュリティーポリシーを統合的に適用します。
出典:IT Glossary, "Cloud AccessSecurity Brokers(CASBs)"
CASBs(Cloud access security brokers)とはオンプレミスまたはクラウドベースのPEP(policy enforcement points)で、クラウド利用者とクラウドサービスプロバイダー間に配置し、クラウド利用時の企業のセキュリティーポリシーのガバナンスを実現。認証、シングルサイオン、アクセス制御、デバイス管理、暗号化、トークン化、ログ取得、アラート機能、マルウエア対策など様々なタイプのセキュリティーポリシーを統合的に適用します。
なるほど、CASBは、企業でどんなクラウドサービスが使われていて、それが危険なのかどうか評価もしてくれるそうです。暗号化機能などもあるとのこと。つまり、ユーザーと各種クラウドサービスの間に立って、危険から守ってくれる守衛さんのような役目??
心強い!
森さんの講演は続きます。
「クラウドサービスにまつわるもう一つの課題が、認証です。複数のサービスを使っていると、それぞれIDとパスワードの設定が必要になります。そこで1つのIDで複数のサービスにアクセスできるようにしたのが、シングルサインオンというものです。それをクラウドで行うのが、IDaaSです。IDaaSは、Identity as a Serviceの略で、複数の企業が提供するクラウドサービスのID管理・認証を一元化します。IDaaSなら、シングルサイオン、ID情報配布、多要素認証、オンプレミス連携がすべて可能です」
確かに。IDやパスワードが増えると覚えられないので、ここだけの秘密ですが、私なんて付箋にメモしてパソコンに貼り付けていますよ。セキュリティーもなにもないですよね。
IDaaSは、たとえば社員が退職する際や、万一パスワードが漏えいしてしまった際も、一か所だけをストップすれば、すべてを押さえられるので、安全性が高く手間もかからないということですね。
だんだん、クラウドサービスを安全に便利に活用するためには、CASBとIDaaSが欠かせないような気になってきました。
しかし、CASBとIDaaSはどこで入手できるのでしょうか??
「Skyhigh、Netskope、Symantec/Blue Coat、Cisco CloudLock,、Microsoft、Oracle、 PaloaltoなどさまざまなベンダーがCASBを提供しています。ユニアデックスでは、トップベンダーであるSkyhigh、Netskopeとも今年度新たに契約を結んでいます。
IDaaSのベンダーは、Okta OneLogin Centrifyなどがあります。当社は、日本企業としていち早くIDaaSを提供すべく、Oktaとの契約に向けても交渉を進めています」
森さんの講演、わかりやすくて、潜入した甲斐がありました!40分の講演で、私もCASBとIDaaSについて多少は語れそうな気になってきました(笑)。
ちなみに、CASBとIDaaSの導入には、ただ単にサービスを導入するだけではダメで、企業がITガバナンスとセキュリティーガバナンスを確立する必要があるそうです。そうしないと、せっかく導入しても、活用できないままになってしまいそうですもんね。
ユニアデックスでは、各社の業務に合わせたITガバナンスとセキュリティーガバナンスの構築に関するコンサルなど、CASBとIDaaSにまつわる総合的なサポートも提供しているそうです。
何か困ったら、ユニアデックスに相談にいかなきゃ!