GDPRとCASB

CASBワーキンググループ
橋本 知典

　EU一般データ保護規則（General Data Protection Regulation：GDPR）は2018年5月25日から施行される。今回はCASBがGDPRで対応できる支援領域や機能等を紹介していく。

　GDPRは簡単に言うとEUの個人情報保護法であり、EU内だけではなく日本企業においても影響があり、EUに支店、営業所や子会社を有していたり、日本からEUにサービス（商品）提供をしている場合は対象となる。罰金が非常に高く、関連する日本企業は施行に向け対応に追われている状況である。企業が使用しているクラウドサービスプロバイダーもGDPRの範囲内となり、企業とクラウドサービスプロバイダー間のデータの安全性、情報漏えい防止対策（DLP）を実現するにあたり、CASBが監査や企業のデータ保護にどのように役立つかを紹介する

■CASBが提供するGDPR対応支援領域

• クラウドサービスにアップされている個人情報の把握ができる。
  個人を特定することができるデータ（名前、住所、電子メール、電話番号、パスポート番号など）の保護をするために必要なのは、それがどこにあるのかを特定することである。CASBは、さまざまなクラウドアプリケーションに対して、転送中のデータと既にクラウドアプリケーションに格納されているデータの両方をスキャンできる。
• クラウドサービス内個人情報の保護ができる。
  機密データがどこにあるのかを特定したら、機密データの制御を考える。CASBには、個人情報、アンマネージドデバイスからのアクセスの制御、外部共有の制御、ダウンロード時のデータ暗号化などのさまざまなポリシーがある。これらのポリシーはすべて、違反のリスクを軽減することが可能である。
• 利用されているクラウドサービスとその特性の把握ができる。
  クラウドサービスプロバイダーがGDPRに対応できているか、その他コンプライアンスに準拠しているかをCASBのクラウドサービスデータベースを確認することで把握ができる。
• 認めていないクラウドサービスへの個人情報の保存を防げる。
  組織が把握していないクラウドサービスは制御できず、GDPR違反のリスクがある。CASBを使用すると、認可されていないクラウドサービスの利用を可視化して特定し、個人情報を保存してしまうケースをリアルタイムに防いだり、監視してアラートとして検知できる。また認めているクラウドサービスから認めていないクラウドサービスへのデータの移動も脅威として検知することができる。
• リスクのある行動の監視
  CASBではリスクの高いクラウドサービスの利用等、ユーザがリスクのある行動をした場合、分析して脅威としてアラートを通知できる。GDPRの違反に該当するような脅威の兆候を可視化し、アラートとして通知され、違反に該当する行動を監視して停止することができる。

■CASB製品での機能例

• 通信途中、およびクラウドアプリ内保存済みデータのスキャン
• 該当データの保護機能 (共有禁止、削除、暗号化等)
• クラウドサービスデータベース にてクラウドサービスごとのGDPR対応能力ランクを提示
• GDPR対象データを検出するDLPテンプレートや関連するDLPテンプレートを提供
• その他個人情報関連テンプレートを広範に提供
• アノマリー検知を行い、リスクを表示

図1　GDPR対応能力ランク

 　以上のように、GDPRにCASBが対応でき、監査としての機能が備わっていることが分かる。クラウドサービスプロバイダーとクラウドサービスカスタマーは、データ管理と保護に関するGDPRの重大な影響を認識し、違反を起こさないようにしなければならない。クラウドサービスは多くの組織に存在し、個人情報の追跡、管理を困難にしている。CASBを利用してGDPRの監査や対応を進めてみてはいかがだろうか。

CASB v.s. SWG
– クラウドセキュリティ？それともウェブセキュリティ？ –

株式会社シマンテック
高岡隆佳

■現場で聞こえる混乱の声

前回紹介したCASB（クラウドアクセスセキュリティブローカー）。企業におけるセキュリティ要件としてCASBへの対応を挙げる企業が増えているのは事実だが、それと同様にCASBが満たす要件と企業側の要件についてズレが見られるケースが増えてきている。CASBはその名の通り、クラウドへのアクセスについてセキュリティを一元的に担保するための仲介者（ブローカー）となるわけだが、兎角、クラウドセキュリティと従来のウェブセキュリティの要件が曖昧な企業においては混乱を招く結果となる。当方が考える現時点において最も多い混乱の一つが、CASBとSWG（Secure Web Gateway）の領分の違いからくるものだ。

従来企業はウェブアクセスを安全に管理するための手段として、プロキシを利用し、通信先のURLカテゴリを判定し、場合によっては有名なウェブアプリケーションであれば認識した上でSSL通信内部のダウンロードコンテンツをアンチウイルスやサンドボックス処理で分析したり、また証跡をアクセスログとしてインシデント対応に役立ててきた。場合によってはプロキシでDLP連携することで所定の機密情報の流出をブロックしたり、暗号化した状態で外部へ送信するなどのコントロールポイントとして活用してきた。SWGはオンプレミスのプロキシをクラウド上のプロキシへポリシー連携させ、社員外出時やプロキシの置けない拠点であっても企業のウェブセキュリティを適用できるように考慮された、いわばハイブリッド型のウェブプロキシになる。（SWG自体は10年前にGartnerが定義した技術要項）

“Secure Web gateway solutions protect Web-surfing PCs from infection and enforce company policies. A secure Web gateway is a solution that filters unwanted software/malware from user-initiated Web/Internet traffic and enforces corporate and regulatory policy compliance. These gateways must, at a minimum, include URL filtering, malicious-code detection and filtering, and application controls for popular Web-based applications, such as instant messaging (IM) and Skype. Native or integrated data leak prevention is also increasingly included.”
（引用１ Gartner ： IT Grossary secure web gateway（https://www.gartner.com/it-glossary/secure-web-gateway/）

 

■企業の要件はクラウドセキュリティか

これに対してCASBは前回の記事でも整理したように、クラウドプロキシで終端したクラウドアクセスに対するセキュリティ機能の提供や、各アプリケーション提供APIによる詳細なデータアクセス制御、シャドーITと言われるリスクの高いアプリケーションに対する制御に限定されるため、CASBがクラウドアプリとして判定しなかった通信先への制御が対象外となるのはもちろん、その他インターネットサイトについての制御も、C&C通信などについても対象外となる。

一方でCASBにしかないメリットとしては、ユーザがクラウドにアップロードしてしまったデータに対して、APIを通じた何がしかの情報流出対策ポリシーが後出しでかけられる点だろう。このため一般的にはAPIを通じて企業が定めるDLPポリシーを業務SaaSに広く適用し、業務SaaS経由での情報流出リスクを低減するといった使い方が多いようだ。ただ最近ではSWG自体がCASB機能を包含してしまっているケースもあるため、厳密なCASBだけのメリットというのも定義は難しくなっているのも現場の混乱を招いている一因と言える。実はこれについてはGartnerが2016年のGartner Summitにおいて、CASBはやがてネットワークファイアウォール、SWG、WAFなどにパッケージ化されていくだろうという予測を出しており、導入する側の企業としては、その要件について純粋なCASBが満たすのかそれともパッケージ化された既存技術が適切なのかを判断するよう説いている。

余談だが、シマンテック内部ではすでに約40種類のクラウドアプリケーションを業務で採用しており、それらのアプリケーションはSWGベースのCASBを通じて、ユーザが社内にいても出張先にいても同様のセキュリティが適用されている。もちろんクラウドだけでなく一般のウェブアクセスについても、データに対する制御や監査が適用される。採用するクラウドの数が増えれば増えるほど投資効果が出るのがCASBだが、クラウドシフトがまだ過渡期である日本企業にとって、CASBという技術が渡りに船となるかどうかは、企業がクラウドシフトをどの程度本気で検討しているかで決まるのかもしれない。

図１ CASBとSWGのセキュリティ要件の違い