BoxとDropboxをリスク視点で比較したら？　画面で分かるCASBの魅力：IT導入完全ガイド（4/6 ページ）

　既に米国をはじめ海外では一般的なソリューションの1つとなっているCASBだが、日本においてはこれから導入が進んでいくことが期待されており、いまだ進化の過渡期にある。そこで、現時点においてCASBを選択する際のポイントについてみておきたい。

CASBで実現したいことを再確認する

　CASBは、クラウドサービスを利用する際に求められる「可視化」「コンプライアンス」「脅威防御」「データセキュリティ」の役割を果たす機能が備わっているが、その対象や目的によってレベルが異なってくる。

　もちろん、最終的にはデータ保護を実現するための環境づくりまで持っていくことが重要だが、ターゲットとして考えているのが許可されたサンクションITであれば、許可したアプリケーションにしっかり対応したCASBを選ぶ必要があるし、シャドーITも含めて社外での環境含めた情報漏えい対策を施したいのであれば、必ずプロキシを通すインラインの方式に対応できるソリューションが必要になる。

　同時に、既存環境についても見ておく必要がある。既に社内にプロキシが展開されていれば、プロキシベンダーが提供するCASBを選ぶという選択もあるし、次世代ファイアウォールベンダーでもCASBを展開しているところはある。既存環境に付加する形で導入するということも視野に入れておきたい。

　また、当初はサンクションITの可視化だけでスタートし、将来的にはDLPも含めてデータ保護を行っていくというプロセスを踏む場合、環境の変化に柔軟に対応できるサービスをきちんと選択しておきたい。

クラウドサービスの対応状況

　CASBの大きなノウハウの1つとなるのが、クラウドサービスごとのリスク評価のための情報だ。これは、手動か自動化かは別にして、クラウドサービスのサービスレベルをさまざまな方法で調べ上げ、ベンダーの視点からリスク評価が行われている。このデータベースが非常に価値の高いものになってくる。

　特にシャドーITの状況を可視化したい場合、そのクラウドサービスのリスク評価がきちんと行われていることが重要になる。このリスク評価の対象となるクラウドサービスだが、日本向けにサービスが提供され始めてから急速にローカライズが進んでおり、日本ならではのサービスもきちんと評価対象に含まれている。このDBを見るだけでも一見の価値があるところだ。

　日本でよく利用する「宅ふぁいる便」や「2ちゃんねる」なども対象に含まれているところもあり、ユーザーおよびサービスを提供するインテグレーターから申請を出して、評価対象に加えてもらうことも可能だ。多いところでは3万近くのクラウドサービスに対応しているところもあり、対応数には違いがあるのが現状だ。

　なお、シャドーITを可視化する際には、プロキシやファイアウォールのログを収集する方式と、フォワードプロキシの方式が比べられることが多いが、対応するシャドーITの数には大きな違いがある。

　一般的にログ収集のパターンの方が多く、Webブラウザの代わりとなってシャドーITにアクセスするフォワードプロキシでは、そのプロキシの能力に違いがあるため、モノによっては10分の1程度の対応状況であるケースも。方式によって対応可能なクラウドサービスの種類にも差が出てくることを知っておこう。