CASBとは何か？　クラウドサービス利用の基礎知識（4/5 ページ）

　ここで、CASBの機能についてみていこう。もともとCASBは4つの役割を持っていることが前提となるため、それぞれの役割に沿って機能を見ていこう。

可視化

　利用しているクラウドサービスが自動分類され、それぞれのリスク評価によってクラウド利用の適切な把握が可能になる。具体的には、サンクションITだけでなく、社内で利用が認められていないシャドーITに分類されるクラウドサービスの利用人数その利用状況などがGUIにて可視化でき、クラウドサービス上でファイル共有している人などの状況も把握できるようになる。

　リスク分析については、CASBベンダーごとの指標に基づいてクラウドサービスごとのセキュリティレベルを調査したうえでスコアリングが行われており、このリスク評価が貴重なノウハウとなっている。スコアリング可能な対象サービスは、今では日本でしか展開していないものも対象となってきており、現在急速にローカライズが進められている状況にある。

図4 クラウドサービスごとのリスク評価画面（出典：東京エレクトロンデバイス）

コンプライアンス

　クラウドサービス利用における社内のガイドラインやコンテンツポリシーに適した形で利用されているかどうかを把握すべく、各種利用ポリシーを詳細に設定することができる。このポリシーに基づいて監査ログやレポートが作成され、組織内での監査に必要な情報が提供される。ここではDLP（Data Loss Prevention：情報漏えい対策）のポリシー設定やファイル共有制御設定などを行っていくことになる。

　このコンプライアンス機能を有効にするためには、前提としてクラウドサービス利用のポリシーやアップロードされる情報に関連したコンテンツポリシーなどを明確に定めておかなければならない。

図5 DLPポリシー例（出典：東京エレクトロンデバイス）

脅威防御

　収集した情報をもとにクラウドサービス利用における異常を検知し、管理者に通知を行う機能。例えば短時間のうちにログインを繰り返すような行動があれば不正アクセスの可能性が出てくるため、その兆候を検出して管理者に伝え、環境によってはそのアクセスを停止するような措置も実施することができるようになる。

データセキュリティ

　クラウドサービスへのアクセスコントロールをはじめ、保存するファイルの暗号化機能、SNSにポストする際のポリシー制御、情報漏えいを防ぐDLP機能などによって、データ保護を行うことができる。特にリアルタイムなデータ保護を可能にするDLP機能を生かすためには、CASBを導入する際の環境が重要になってくる。

　社内での制御であれば、全ての通信をプロキシ経由で行うことが必要なり、社外でのシャドーIT利用まで制御していくのであれば、クライアントへのエージェント導入が必要になってくる。DLP機能についてはCASBによって差が出てくるところだろう。また、CASB単体ではなく、プロキシやURLフィルタリング、DLPアプライアンスなど外部との柔軟な連携でデータ保護を実現するところもある。

表1 サンクションITにおける機能例（出典：ネットワンシステムズ）