「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

Dx時代で考えるべきクラウドセキュリティとは?
~クラウド利用可視化と制御編~ クラウドCASB

2021年10月11日

はじめに

2021年8月27日に開催されました「ビジネス+IT Webセミナー セキュリティマネジメントカンファレンス 2021 夏」に、当社セキュリティ事業部の熊坂が登壇しました。

クラウドサービス活用が主流となっている昨今の情勢を踏まえ、企業で利用が許可されているクラウドと許可されていないクラウドの両面から、その対策方法を経験豊富な講演者が運用例を交えて講演しました。

その講演内容をコラムとして配信します。
本内容が、クラウドサービスにおけるセキュリティ対策にお悩みの方のお役に立てば幸いです。

利用が加速するクラウドサービスにおいて、クラウド利用は把握できているものの、細部のセキュリティ設定まで確認しきれていない方も多いのではないでしょうか。
クラウドだから簡単にスピーディに使い始めることができますが、自社の内製運用だけでカバーしきれない場合が出てきており、まさにそれはクラウドセキュリティ対策が顕著にあらわれていると考えます。

クラウド利用の実態

DX(Digital Transformation)やテレワークが企業に求められる中、急遽クラウドサービスを導入するケースが増えてきており、管理が乱雑になってしまっているケースが多いのではないでしょうか。
とある会社では、DXの名のもとにSalesforceがさまざまな部門で導入・乱立され、設計書などの重要なデータもBOXなどのクラウドサービスでどんどんやりとりされている、なかには聞いたことも無いような危険なクラウドもシャドーITとして利用されている場合があります。
昨今では、このような企業が散見されています。

皆さまの会社ではいかがでしょうか。
今は「1つのテナントしかないし・・」「2種類しか使用していないし・・」と油断しているかもしれませんが、急速にクラウドが立ち上がっていき、すぐに管理しきれなくなっていきます。
その上、セキュリティ設定の細かい内容まで把握や確認が追いつかない状況に陥っていきます。

クラウド利用における階層構造

いざセキュアにクラウドサービスを活用しよう、と思ってもアクセス制限や認証方式、データの公開範囲など考慮すべき点が多く、何から手を付ければよいか判断に迷うかと思います。
そこで、京セラコミュニケーションシステムでは企業で活用されているクラウドサービスを利用状況毎に3つの階層に分類し、階層毎にセキュリティを考えています。
最近のクラウドサービスのインシデント事例を見ても、以下のいずれかの層に入ってくるケースがほとんどです。

第1層は企業として利用状況が適切に管理されているクラウドサービスです。
例えば、ビジネスの基盤となるGoogleワークスペースやMicrosoft365などが当てはまるケースが多いです。

第2層は企業として使用を許可しているものの、事業部門毎に勝手に契約することで、乱立してしまい、結果として管理が漏れてしまいがちなクラウドサービスです。
例えば、Boxのような機能特化型のSaaSや、AWSをはじめとしたIaaSなどがあげられます。

第3層は企業として使用を許可していない、もしくは推奨していないクラウドサービスです。
例えば、データを持ち出すためのストレージサービスや、会社として利用するうえで相応しくないSNSなどさまざまなクラウドサービスがあげられます。

各企業でそれぞれ当てはまる層のクラウドサービスは変わってきますので、まずは自社の利用しているクラウドサービスは何があり、どの階層にあたるのかを整理する必要があります。
本コラムでは企業内で利用状況が管理しきれていないクラウドサービスである、第2層と第3層のクラウドサービスについて考えてみたいと思います。

※第1層はこちらのコラムを参照

Dx時代で考えるべきクラウドセキュリティとは?~クラウド設定ミス編~

インシデントが絶えないクラウドサービス

  • 第2層
    2層目は企業として使用を許可しているものの、事業部門毎に勝手に契約し乱立し、結果として管理が漏れてしまいがちなクラウドサービスです。
    どのようなクラウドサービスなのか例をあげますと、Boxのような機能特化型のSaaSや、AWSをはじめとしたIaaSなどがあげられます。

    冒頭でも課題のある企業として紹介しましたが、DXの名のもとにさまざまなクラウドサービスの導入が進んでいます。
    京セラコミュニケーションシステム内で確認する限り、下図のクラウドサービスを使用しており、Salesforceをはじめとする赤字で記載のクラウドサービスは、部門ごとに契約し、乱立する傾向があります。

    Salesforceのセキュリティ事故が昨年12月に大きく報道されたにもかかわらず、未だにこの種の事故がなくならないのも、企業内でクラウドサービスの管理ができていない証拠であり、対策が後手に回ってしまっている実情が見て取れます。

  • 第3層
    3層目は企業として使用を許可していない、もしくは推奨していないクラウドサービスです。
    どのようなクラウドサービスなのか例をあげますと、内部不正や過失などでデータを持ち出せてしまうストレージサービスや、会社として利用するうえで相応しくないSNSなど、さまざまなクラウドサービスがあげられます。

    企業が想定していなかったクラウド利用の事故事例として、2021年4月に発生したプロジェクト管理のクラウドサービス「Trello」の設定不備による情報流出がありました。
    しかも、漏えいした内容のなかにはさまざまな機密情報が含まれていたため、掲示板サイトで大きく騒がれる事態に発展しました。

    このように、企業が想定していないクラウドサービスの利用は、ユーザーが意図していない設定になっている、脆弱性が存在するクラウドサービスを使用してしまうなど、セキュリティリスクが高いということがお分かりいただけたかと思います。

    世の中には本コラムにあげているように、無数のクラウドサービスが存在しています。
    無数にあるクラウドサービスのリスクを人手で把握し、完璧に設定、制御し続けるというのは、もはや現実的ではない時代がやってきています。

CASB(Netskope)の有効な活用方法

  • 第2層
    第2層の課題に対しては、CASB(Cloud Access Security Broker)を使用して企業のクラウド利用状況を可視化することが有効な対策となります。
    Salesforceのセキュリティ事故が発生した際も、CASB製品であるNetskopeが非常に有効に活用できました。
    こちらは当社で利用しているNetskopeの画面になりますが、検索するだけで79のSalesforceのテナントが使用されていることが分かりましたので、昨年末のインシデント時にも即座に注意喚ができ、事故を回避することに役立ちました。

    いつこのようなセキュリティ事故が起きるか分かりませんので、スポットの対応だけでなくクラウド利用の可視化の運用を定期的に行う必要があります。
    当社はNetskopeを利用した以下運用を推奨しています。

    ・新たなSalesforceのテナントIDが発見されたタイミングで運用者にアラート発報
    ・Netskopeの管理コンソールからアクセスしているユーザーを調査し管理者を特定
    ・社内で取りまとめたクラウド利用台帳に記載し、常に最新の利用状況を管理

  • 第3層
    続いて、第3層の課題に対してはCASBを使用して企業のクラウド利用を適切に制御することが必要です。
    Netskopeは、他のCASB製品よりも細かくクラウド利用の制御をすることが可能です。
    そのため、昨今、事故が頻発しており話題となっている、会社として利用しているクラウドサービスへの個人アカウントからのアクセスは禁止にしよう、という単純な制御以外にも、社外から会社として使用を推奨していないクラウドサービスにアクセスした際は利用を制限させよう、などの細かい制御が可能になります。

    しかし、いざ利用を制御しようといっても、実際にはお客さまとのやりとりで重要な役割を担っているクラウドを安易に制御してしまうと大問題になってしまうため、Webフィルタリング製品などで状況は把握していても、運用上見て見ぬ振りをせざるを得ないというのが実態ではないでしょうか。
    そこで、特定のクラウドサービスにアクセスした際にユーザーに利用目的を入力させるNetskope特有の機能が効果的です。

    そもそも、やましい理由で利用していたユーザーは、理由を偽り入力してまで利用しようとはしませんので、セキュアとは言えないストレージサービスの利用を抑止し、会社の推奨する代替サービスの利用へ誘導するといった効果があります。
    また、ユーザーの申告した利用目的が業務上必須であると判断すれば、これまで自社で利用を認めていないクラウドサービスであっても、クラウドのセキュリティスコアを参考に、全社や特定部門での利用を認めるといった運用も可能です。

    日々変化し続けるクラウドサービスをセキュアに利用するためには、自社の運用に合わせ、制御機能を積極的に利用し運用し続けることが、企業のセキュリティを守り、システム管理者の負荷を下げることにも繋がると考えます。

    Netskopeでは運用も意識して、クラウドサービスを柔軟に制御することが可能となるため、企業として使用を許可していない、もしくは推奨していないクラウドサービスを制御する、という第3層の課題に対する対策として有効なソリューションとなります。

まとめ

第2層、第3層である企業は、管理しきれていないクラウドサービスに対する対策として、Netskopeを利用した可視化と制御をご紹介しました。
また、お客さまの中には、これから増え続けるSaaSの特権ID管理にNetskopeを活用しようという動きも見られ、クラウドセキュリティ対策の活用の幅が広がってきています。

クラウドサービスは日々増加しており、社内の利用状況も目まぐるしく変化しがちですので、スポットだけでの対応でなく可視化や制御を積極的に活用する継続的な運用を推奨しています。

もし、本コラムを見て、自社で活用しているクラウドサービスの設定に対して不安に思うこと等ありましたら、是非お声がけいただければ幸いです。

関連サービス/ソリューション

京セラコミュニケーションシステム株式会社
クラウドセキュリティチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ