Catoクラウドの「CASB」について解説します。
CASBは、Catoクラウドでは標準搭載機能ではなくセキュリティオプションとなります。サービス体系については以下を参照ください。
CASBとは
CASBとは、Cloud Access Security Brokerの略称で、SaaSやクラウド・アプリケーションと利用者(エンドユーザー)の間に位置するのがCASBとなります。クラウドベースのアプリケーションとのやりとりをすべてモニタリング(監視)し、企業のセキュリティ・ポリシーを適用します。
いまや、すべての企業において、SaaSやクラウドアプリケーションの採用が急激に拡大する中、CASBは企業のセキュリティ・ポリシーに必要不可欠な機能となっています。
CASBが無い場合は、IT部門やセキュリティ部門の許可なく、従業員によって利用されているアプリケーション、シャドーITが数多く存在します。シャドーITとは、企業のIT部門やセキュリティ部門が把握または認知していない、従業員によるIT利用を意味します。
IT部門やセキュリティ部門が許可していない(場合によっては認知ができていない)アプリケーションは、当然のことながらアクセス制御は行えず、脅威やリスクから適切な保護を行うことができません。また、企業の機密情報や知的財産のやり取りが含まれている可能性もあります。さらに、未認可(未承認)のアプリケーションには、脆弱性があり、サイバー攻撃の標的になる可能性や、情報漏えいのリスクも考えられます。
このような脅威やリスクに対処するためのソリューションがCASBとなります。
CASBは、このようなシャドーITの可視化から、未承認(未認可)のアプリケーションだけではなく、承認済(認可済)のアプリケーションについてのアクセスもより詳細に制御し、許可されたユーザのみが、許可された認証情報を用いてアクセスを行えるようにするものです。
CASBは、以下の4つの基本機能があります。
- 可視化(Visibility)
- アセスメント(Assessment)
- 強制(Enforcement)
- 防御(Protection)
それでは、それぞれの機能について解説を行います。
可視化(Visibility)
シャドーITに対処する最初のステップとなり、SaaSやクラウドアプリケーションの使用状況を可視化します。
Catoクラウドでの可視化は、SaaSやクラウドアプリケーションの使用状況を表示する“Cloud Appsダッシュボード“を提供します。
Cato Management Application(以下、CMA) [Monitoring]>[Cloud Apps]
特に何も新たな設定を行う必要はなく、CASBのセキュリティオプション契約を行うことで、ダッシュボードが表示され、すぐに利用することができます。
・発見されたアプリケーション、リスクの高いアプリケーション
・利用ユーザ数、利用トラフィック量
・Topアプリケーション(認可/未認可別、リスクスコア別)、Topカテゴリ
・アプリケーションリスク比率、認可/未認可アプリケーション比率・ユーザ比率
・地理ロケーション情報(アプリケーションの本社所在地)
アセスメント(Assessment)
次のステップは、特定アプリケーションを分析し、脅威やリスクを適切にアセスメント(評価・分析)することです。
CatoクラウドのCASBアセスメントでは、独自のApplication Credibility Engine(ACE)を利用しています。
ACEは、データ収集を自動化し、各アプリケーションのプロファイルを迅速・正確に評価し、リスクスコアを提供します。
リスクスコアは、全10段階で 1-3:Low、4-6:Medium、7-10:Highとなります。
CatoクラウドのACEは、クラウドアプリケーションカタログ(App Catalog)で確認することができます。また、アプリケーション毎に、Sanction(認可)を行うことも可能です。
CMA [Assets]>[App Catalog]
・評価されたアプリケーション:タイプ別、カテゴリ別、リスクスコア別、ステータス別、本社所在地別
・アプリケーション毎情報:コンプライアンス(ISO、PCI-DSS、SOC等)、セキュリティ(SSO、MFA等)
CatoクラウドのCASBは、2022年2月にリリースされています。ACEに登録されているクラウドアプリケーションカタログ(App Catalog)の数が、CASBを選ぶ上での重要なポイントになります。
以下は、直近半年間のApp Catalogの推移状況は以下になります。
リリース以降、昨年度までは日本の登録サイト数が非常に少ない状況でしたが、ACEへの登録が進んでおり、先月(2023年8月)に日本のサイト数が1,000を超過し、企業利用におけるSaaSやクラウド・アプリケーションについては、徐々にカバーできつつあります。
CASBの登録サイト数は、単純に登録数が多いだけで判断することなく、お客様が実際に利用されているSaaSやクラウド・アプリケーションをどの程度カバーしているかが重要になります。特に、最新で利用されているサイトが常に追加・更新されているかがポイントとなりますので、PoC(概念検証)等にて、Catoクラウドであれば、Cloud Appsダッシュボードで分類・未分類の比率を確認されることを推奨します。
また、未登録のサイトがあれば、Cato社へ登録申請を行うことも可能で、申請後、約2~3週間でACEへの登録が可能となっております。
強制(Enforcement)
アセスメントによる評価・分析を実施した後は、各アプリケーション毎に必要なアクセスポリシーを自社内で決定し、そのポリシーを適用します。
Catoクラウドではアプリケーション制御(Application Control)でポリシーを作成して、適用することができます。
CMA [Security]>[Application Control]
特定のアプリケーション/アプリケーションカタログ毎に、アクセス元(拠点やユーザなど)やデバイスポスチャなどを利用して、アクションを設定することが可能です。
例えば、Dropbox(Gmail)のダウンロードは許可するが、アップロードは許可しない。M365は、企業テナントIDでのみログイン可能とする(個人IDでのログインは許可しない)などです。
多くのお客様では、CASBで、いきなりアプリケーションを制限(Block)するのではなく、まず最初はモニタリング(MonitorおよびEvents)を行い、ユーザの利用状況を確認した上で、社内通知を行い、制限される場合が事例が多いです。
ここでは紹介しませんが、DLPのセキュリティオプションも同じアプリケーション制御(Application Control)にてポリシー設定を行います。
防御(Protection)
最後に、企業のセキュリティを危険にさらす可能性のある脅威やリスクからの防御についてです。
Catoクラウドでは、CASBだけではなく、統合された以下の各種セキュリティ機能を利用して、すべてのSaaSやクラウドアプリケーションを包括的に防御を行います。
- 次世代型ファイアウォール(NGFW)
- セキュア Web ゲートウェイ(SWG)
- 次世代型アンチマルウェア(NGAM)
- 不正侵入検知防御(IPS)
- 情報漏えい対策(DLP)
- リモートブラウザ分離(RBI)
- SaaS Security API
上記のセキュリティ機能・ツールを組み合わせることで、さまざまな脅威から包括的に保護することが可能となります。
まとめ
今回は、Catoクラウドのセキュリティオプション CASB および4つの基本機能である「可視化(Visibility)」「アセスメント(Assessment)」「強制(Enforcement)」「防御(Protection)」について解説を行いました。
SCSKでは、2021年からSASEの主要ソリューションを一同に紹介を行うオンラインセミナー「SCSK SASE Solution Summit(通称 S4)」を定期的に開催しております。次回は2023年10月に開催を予定しております(2023年9月時点)
Catoクラウドは、2019年より取り扱いを開始し、すでに多くのお客様の導入/運用をご支援させていただいております。
Catoクラウドの知名度向上に向けて、お客様導入事例の制作や、以下のFAQサイト運営を行っておりますが、この技術ブログ(TechHarmony)で、さらに皆様のお役に立て、Catoクラウドの知名度UPに少しでも貢献できればと考えております。
