クラウドアクセスにおけるシャドーIT対策 ～SWGとCASB～

クラウドアクセスにおける
シャドーITのリスクと対策～SWGとCASB～

前回、次世代のリモートアクセス技術としてSDP（Software Defined Perimeter）やIAP（Identity-Aware Proxy）を紹介した。これらの技術によりテレワーク用のPCからオンプレミス、またはクラウド（IaaS/PaaS）上にある会社のサーバーにアクセスする際、VPNを経由せずともセキュアなアクセスを実現できるのである。ではWebサイトや各種SaaS、SNSなどにアクセスする際のセキュリティはどうすればいいのだろうか。今回はセキュアなクラウドアクセスを実現するSWGとCASBを解説する。

SASEに含まれるセキュリティ機能とは

　前回ここで取り上げたSDPやIAPは、SASE（Secure Access Service Edge）と呼ばれる分野のクラウドサービスに含まれていると解説したが、これらのほかにSASEにはSWG（Secure Web Gateway）やCASB（Cloud Access Security Broker）と呼ばれるセキュリティ機能が含まれる。いずれもセキュアなクラウドアクセスを実現するテクノロジーであり、クラウド型のプロキシーのようなものと考えてもらえればよいだろう。それではSWGとCASBについてそれぞれ解説しよう。

●SWGの役割と効果について

　SWGはユーザーにVPNを経由せずにインターネットへのアクセスを許可する際に経由させるプロキシーのようなものであり、会社のネットワークの入口を守っているUTM（Unified Threat Management）の代わりになるような機能を備えている。

　主な機能としては「ファイアウォール」「URLフィルタリング」による外部からの攻撃抑止やアクセス制御、「アンチマルウェア」がある。VPNを経由したアクセスであれば、会社のネットワークの出入口にあるUTMにセキュリティ面を頼ることができるが、VPNを経由しない場合はそうはいかない。

　サイバー攻撃からPCを守るには各PCでパーソナルファイアウォールやURLフィルタリングなど対策を行う必要があるが、個別設定や設定漏れも考えられるため、徹底が難しい。そこでインターネットへのアクセス時は必ずSWGを経由するように設定することで、外部からの攻撃に備えることができるようになる。

●CASBの役割と効果について

　CASBもユーザーがクラウド（SaaS）にアクセスする際に経由するプロキシーのようなものであり、主に「可視化」「アクセス制御」「DLP（Data Loss Prevention）」「アンチマルウェア」の機能を提供する。

　企業では以前よりPCやサーバーにおいてログ取得、アクセス制御、持ち出し制御、アンチマルウェアといった対策を行ってきた。当初はPCからの情報漏えいルートやマルウェア感染ルートとなり得るFD（Floppy Disk）やUSBメモリー、プリンターなどのデバイスを制御していればよかった。

　その後、テクノロジーの進化によりWi-Fiルーターやスマートデバイスが普及すると、シャドーITが横行するようになった。シャドーITとは企業などにおいて、従業員が会社の管理下にないIT機器やクラウドサービスを勝手に利用することを指す。管理者の目の届かないところで許可されていないスマートデバイスやクラウドサービスを業務に利用することは、情報漏えいやマルウェア感染などのインシデントにつながる恐れがある。

　フリーメールやクラウドストレージ、オフィスソフトウェア、情報共有サービスなどさまざまなSaaSが登場する以前は、PC上の情報漏えい対策ソフトウェアや資産管理ソフトウェアでシャドーIT対策を行っていたが、SaaSに対してはそうはいかない。業務効率の向上や柔軟性を求めた場合、SaaSの業務利用は避けて通れないが、SaaSの利用を許可しつつシャドーITが発生しないよう統制しなければならない。これを助けるのがCASBなのである。

SaaS利用時の安全確保に必要な
CASBの導入に時間がかかる場合の対処

　米国で2012年に提唱されたCASBという概念は、日本では2018年から2019年ごろに市場に出てきた。しかし2020年くらいまではCASBはあまり重要視されていなかったように思う。ところが我々が2021年3月に開催したセミナーでのアンケートでは、興味のあるセキュリティの分野としてCASBがEDR（Endpoint Detection and Response）などのエンドポイントセキュリティと同じくらい関心を持たれているということが分かった。

　このニーズの高まりは当然であると思う。PCに対してお金を掛けて情報漏えい対策を行っていても、SaaSという抜け道があっては意味がないからだ。

　CASBを導入したいくつかの企業では、期待する効果として「SaaS利用の可視化とシャドーIT防止」「SaaSへの情報漏えい防止」を挙げていた。SaaS利用時のセキュリティリスクを理解してくれない経営者がいる企業では、CASB導入の稟議を上げるのに時間がかかるかもしれない。だからといってSaaSの利用を禁止するのは、市場での競争力を欠くことにつながり本末転倒である。

　どうしてもCASBの導入に時間がかかりそうな場合は、少なくともセキュリティ規則でSaaS利用時の注意事項やシャドーITの禁止をうたい、罰則を決めるなどして暫定対策を行い、CASB導入という本対策ができるまでしのいでほしい。

master：
早稲田大学グローバル
エデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部部長
セキュリティエバンジェリスト
扇健一氏