セキュリティポリシーの相談に乗る、コンサルティングが重要に
── 専門家としてアドバイスするのは、どんなことですか?
櫻井 まず、「守るべき重要なデータは何か」をしっかり決めること。ここが大前提になりますが、実はここさえ決まっていれば、「DLP」(Data Loss Prevention)の仕組みを導入することが有効です。ファイルに機密情報であるというタグが付いていれば、USBメモリーへのコピーや印刷など、機密漏洩につながる操作を一括してブロックできますし、「CASB」(Cloud Access Security Broker)のポリシーと統合することで、OneDriveやOffice 365、SharePointなど外部のサービスも対象にして共有範囲を管理できます。
── 重要なデータとはどんなものが対象になりますか?
櫻井 重要なデータというのは、製造業なら設計図、ソフトハウスならソースコード。人事部なら、従業員の評定や個人情報といったものかもしれません。ただし、ここは企業が個別に判断するところで、重要なものとそうでないものは企業によって異なるのです。
また、常に全社で統一したポリシーを設定できるわけでもありません。そこで管理者がポリシーを決定するだけでなく、部署やチーム、あるいは個人の判断で機密情報かどうかを設定できる柔軟性も求められます。
相談を受けている事例で言えば、CASBを使ってシャドウIT(企業や組織が把握していないIT機器・サービスの利用)の存在が可視化され、危ない状況であると気付いたけれど、これをどうコントロールすればいいか分からないというものがあります。この相談に乗り、コンサルティングし、ポリシー策定をします。その際に重要なのは機能(製品)だけを提供するのではなく、コンサルタントが現場に入って、具体的な運用方法の相談にも乗るという点ですね。CASBの導入規模としては、従業員5000人程度の大企業が中心で、全社への導入前にPoC(Proof of Concept)を実施し、有用性があるかを確認するケースが多いですね。
CASBの導入で、社内と社外の垣根を越えたセキュリティ対策が可能に
── これまでのお話をまとめると、リモートワーク・モバイルワークの導入はクラウドの活用が必須となるが、個人がクラウドサービスをどう利用するかまでは完全に管理したり、把握したりすることは難しい。いわゆる「シャドウIT」の問題に取り組むには従来とは異なる考え方が必要になるということですね。
櫻井 はい。社外でクラウドサービスなどを利用する場合でも、社内と同じセキュリティ対策が取れるシステムの導入が必要になります。
この図は、弊社(マカフィー)で実際に運用している例です。社内のPCはガチガチに硬いセキュリティレベルが確保されています。社内からインターネットへの通信はゲートウェイなどを使って適切に監視・制御されています。これと同じセキュリティレベルを社外でも担保するというのが、これから求められることです。
シャドウITの利用状況についてはCASBで監視できます。働き方改革が進めば、同じパソコンを使って社内でも社外でも作業することになりますが、使用者が会社の中にいないと探知した際には、クラウド版のゲートウェイ製品に自動的にリダイレクトし、オンプレミスの環境と同じポリシーで外部からの通信を監視・制御します。結果、場所を問わず、また、使い手に意識させず、同じレベルのセキュリティが担保できるわけです。
── CASBが必要になる背景について教えてください。
櫻井 Cloud to Cloudの監視と制御に関しては、従来の方法では管理が困難となり、CASBが非常に有効な対策となります。「インターネットの東西問題」などという言葉もありますが、ネットワークの世界では基幹から端末に流れる通信をNorth - Southトラフィック、端末どうしの通信をEast - Westトラフィックと表現することがあります。企業ネットワークのセキュリティでは、これまではNorth - Southの通信を中心に見ていましたが、クラウドの活用が進む中、East - Westの通信で安全性をどう確保するかが課題になっています。
シャドウITの可視化に役立つのがCASBだ。左は責任分界点。オンプレミスでは、データセンター内に設置した機材などを含め、すべてを自社で責任をもって運用する必要があるが、SaaS、PaaS、IaaSなどではその一部で済む。
重要データを守るという観点では「失わない」「外に持ち出さない」という2点が必要ですが、データを守るという点でクラウドは優秀です。CASBはクラウド上でのデータの使われ方を監視し、必要であれば適切なアクションを取れるという点で、クラウドセキュリティ対策のレベルを高めるものと言えるでしょう。
── セキュリティに対する考え方が変わるというお話でしたが、実際に導入する際に留意すべきことは何でしょうか?
櫻井 先ほどもお伝えしたように、従来の社内サーバーを利用することを前提にしたセキュリティの考え方が、さまざまなクラウドサービスの利用により変化しています。クラウドサービスプロバイダーの提供するサービス自体はセキュリティがしっかりとしていますが、データのセキュリティは利用する自社で対策しなければならない、ということを認識し、「守るべき重要なデータは何か」といったポリシーを決め、DLPやCASBを導入し、IaaS/PaaS、SaaS、そしてシャドウITといったクラウドサービスでやりとりされているデータを管理し保護することが重要です。
週刊アスキーの最新情報を購読しよう
