ハイリスクなクラウドサービスへの正しい対策ーWebフィルタリングの限界ー
-
│
はじめに
近年、リモートワークの普及とクラウドサービスの業務利活用の急激な増加により、ハイリスクなクラウドサービスへの対策が急務となっています。
新型コロナウィルスが契機となり、クラウドサービスを利用して業務を行うことが増えた今、企業で確認されるShadowIT(※1)を全てブロックすることは、逆に業務の生産性低下を招く恐れがあります。
(※1)ユーザー部門が独自に導入したIT機器やシステム、クラウドサービスなどのこと
そのため、ShadowITの中でも特にリスクの高いクラウドサービスに焦点を当てて、効率よく対策を行う必要が出てきています。
本記事では、ハイリスクなクラウドサービスへのセキュリティ対策として、従来から利用されているWebフィルタリングの有効性の検証結果と、クラウドセキュリティ対策としてのCASBの有効性や、製品を選定する上で必ず抑えておきたいポイントをご紹介します。
目次
1.Webフィルタリングの有効性の検証結果
2.CASBを使ったセキュリティ対策
3.CASB製品を選択する上でのコツ
4.まとめ
1.Webフィルタリングの有効性の検証結果
Webフィルタリング機能でハイリスクなクラウドサービスへのセキュリティ対策がどの程度可能か、弊社で独自の検証を行いました。
①カテゴリフィルタリングを使用した場合
カテゴリフィルタリングを用いた場合に、ハイリスクなクラウドサービスがブロックされる割合を下図に示しました。ハイリスクに分類される1,600個のクラウドサービス(※2)のうち、カテゴリフィルタリングを用いてブロックできたものはわずか2割でした。
(※2) Skyhigh Security社基準で算出
カテゴリフィルタリングでは、リスクのあるWebサイトが多く含まれるようなカテゴリをブロックすることで、広範囲のwebサイトに対して網羅的にセキュリティ対策を行うことが可能です。一方で、もともとは業務に関係ないサイトへのアクセスを制御することを目的に作られた機能であるため、業務に関係するカテゴリに含まれるものが多いクラウドサービスはほとんど検知されなかったと考えられます。
②Webレピュテーション機能を使用した場合
前述のカテゴリフィルタリングと同様に、Webレピュテーション機能を用いた場合に、どの程度正しくリスク判定を受けられるか下図に示しました。ハイリスクに分類される1,600個のクラウドサービスのうち、Webレピュテーションで安全と判定されたサービスは9割を超えました。つまり、ほとんどすべてのハイリスクサービスが安全と判定されたことになります。なお、ハイリスクだけでなく、中程度のリスク判定やそもそも"リスク評価不確定:未分類"と判定を受けたクラウドサービスを除いた結果です。
Webレピュテーション機能では、ブロックリストに登録していないWebサイトに対して、広範囲かつ動的にセキュリティ対策を行うことが可能です。その一方で、クラウドサービスへのリスク評価では、内部の仕組みやデータの管理のずさんさなど、Webページからは読み取れないクラウドサービスの品質自体を判定する必要があるため、Webレピュテーションが有効ではないとの結果になったと考えられます。
①②の検証結果からも読み取れるように、Webフィルタリングはハイリスクなクラウドサービス対策としては不十分です。
そのため、ハイリスクなクラウドサービスに対しては、専門のセキュリティ製品であるCASBが必要です。
2.CASBを使ったセキュリティ対策
前述の検証結果を踏まえ、ハイリスクなクラウドサービスに対しては、専用のセキュリティ対策を行う必要があることがお分かりいただけたかと思います。
ハイリスクなクラウドサービス専用のセキュリティ対策としてまず名前が挙がるのがCASBです。
では、CASBを使用することでどんなメリットがあるのでしょうか?
①リスク評価に基づく迅速なクラウドサービスの利用可否判断が可能
CASBの最大の特徴の一つは、様々なクラウドサービスのリスク評価情報を持っていることです。
このリスク評価情報を参照するだけで、通常個別調査に1か月以上を要することも少なくない、クラウドサービスのリスク評価を瞬時に完了させることができます。
②クラウドサービス単位での検知と制御
CASBはトラフィックをクラウドサービス単位で識別します。
例えば、これをアプリケーション制御に応用することで、特定のクラウドサービスに対して、個別にブロック等の制御が可能となります。
URL単位ではなく、クラウドサービス単位で制御を行うため、クラウドサービス側でURLの変更があった場合も、都度新しいURLを追加する必要はありません。自動的に追従される仕組みになっています。
3.CASB製品を選択する上でのコツ
ここでは、CASB製品選定において重要なポイントを紹介します。
①クラウドサービスのリスクスコアの更新頻度
もちろん検知可能なクラウドサービスの数が多いことは重要です。
その一方で、検知したクラウドサービスのリスクスコア等の情報の鮮度も重要となってきます。
クラウドサービスを取り巻く環境が日々変化する中で、数年前のリスク情報を基準に利用可否の判断を行っていても、万全なセキュリティ対策が実施できているとは言い難いです。リスク情報の更新頻度は製品によって異なりますが、半年から、長くても1年以内のスパンでリスクの再評価してほしいところです。
また、新たなクラウドサービスが日々リリースされる中で、それに追従し、頻繁にサービスの新規登録を行うCASBを選択することも重要なポイントとなります。
②ベンダーのリスク評価の根拠を把握できる
ベンダー各社で定めた基準に基づき、各クラウドサービスのリスク評価が行われています。ユーザーはベンダーのリスク評価に基づき、クラウドサービスの利用可否の線引きを行います。
その際に、なぜそのリスク評価になったのか、根拠が開示されていることでユーザー基準でクラウドサービスのリスク評価を納得して利用可否判断することができます。
例えば、ハイリスクなクラウドサービスに分類されないものの、中程度にリスクが高いサービスは利用可否判断に迷いがちです。
そんな時、CASBでのリスク評価軸が詳細に確認できれば、企業の利用可否基準と照らし合わせて迷うことなく利用可否判断が行えます。
③定型業務化できる機能が備わっているか
CASBでのセキュリティ対策での工数削減を行うには、CASBの機能を利用していかに定型業務化できるかについても重要になってきます。
定型業務化するために着目すべきポイントとして以下があげられます。
・レポーティング機能と通知機能
効率的なセキュリティ管理には、レポーティング機能や通知機能が不可欠です。
これにより、UIにアクセスせずとも可視化結果や重要な情報をメールチェック等の日々の業務の中で自然と把握できます。
・サービス利用可否基準を事前に設定できること
企業で定めるクラウドサービスの利用可否基準をベンダーが定めるリスク評価軸に沿って一度作成してしまえば、その後は利用可否基準とCASBの評価軸を見比べるだけで、簡単に利用可否判断が行えます。
結果として、運用者が都度クラウドサービスのリスクに関する資料を集め、利用可否判定を行う責任や判断に費やす時間から解放されます。
以下は、Skyhigh Securityでのあるサービスのリスク評価画面です。
例えば、以下のAttribute に沿って、一度利用可否基準を定めてしまえば、その後の利用可否判断の効率化が望めます。
4.まとめ
マクニカではクラウドサービスのセキュリティ対策として有効なCASB製品を多数ご用意しています。
もし、気になる製品がある場合や、CASBの運用、導入にお困りの場合はぜひご相談ください。
マクニカで取り扱うCASB製品
https://www.macnica.co.jp/business/security/solution/cloud/casb.html
▼Skyhigh Secueity
▼Netskope
▼Symantec