Office 365やBoxといったクラウドアプリの普及に伴って必要とされるCASB
CASBのNetskopeが国内本格展開、その強みはどこにある?
2017年02月28日 07時00分更新
「多くの企業、特に日本の企業は、まだクラウドやモバイルをうまく使いこなせていない。ビジビリティ(可視性)とセキュリティの懸念があるからだ」(Netskope ジン・ダイコク氏)
企業におけるクラウドアプリケーション/SaaS利用が普及し始め、それに伴ってセキュリティやコンプライアンス上の懸念も高まっている。そこで「CASB(Cloud Access Security Broker、キャスビー)」と呼ばれる、クラウドアプリケーションのセキュリティ対策ソリューションへのニーズが高まっている。米ガートナーでは「2020年までに85%のエンタープライズがCASBを導入する」と予測している。
今回、本格的に日本市場への参入を始めたCASBベンダーの米Netskope(ネットスコープ)と、国内販売パートナーの1社である東京エレクトロンデバイスに、CASBの重要性やNetskopeが考える市場展開について話を聞いた。
(左より)東京エレクトロンデバイス CN第一営業本部 パートナー第二営業部 グループリーダーの松永豊氏、Netskope ジャパンカントリーマネージャーのジン・ダイコク(大黒甚一郎)氏
すべてのデバイス、すべてのクラウドアプリを保護下に置くNetskope
ガートナーの定義によると、CASBの機能は大きく4つに分類される。いわゆる“シャドーIT”(無許可のSaaS利用)を含め、社内でどんなSaaSが使われているのかをIT管理者が監視できるようにする「可視化(ディスカバリ)」、クラウドアプリを通じて機密情報や個人情報が外部に持ち出されていないか、アクセス権限は適切かなどをチェック/ブロックする「データセキュリティ」、業界の定めるセキュリティ基準や自社のポリシーを満たしていることを監査/レポートする「コンプライアンス」、そしてリスクの高いクラウドアプリや不正な利用を排除する「脅威防御」だ。
すでに市場にはさまざまなCASBサービス/製品が登場しているが、これらが上述したすべての機能を満たしているとは限らないし、対応するクラウドアプリケーションの数にも違いがある。そうした機能差を生む根本的な違いとして、アーキテクチャの違いがある。CASBがどこからクラウドアプリに関する情報を収集し、どうやって利用に制限を加えるのか、についての違いだ。
アーキテクチャの違いを大別すると、クラウド上のゲートウェイ(あるいは導入企業のインターネットゲートウェイ)で通過するトラフィックの情報収集や制御を行うインライン型、各SaaSのAPIを通じて情報収集や制御を行うAPI型、ユーザーのデバイス(モバイルデバイスやPC)にエージェントやプロファイルをインストールするエージェント型、といったものになるだろう。
Netskopeの場合、ユーザーデバイスのタイプや接続先ネットワークに応じて、フォワードプロキシ型(上述のゲートウェイやエージェントを利用)、API型、リバースプロキシ型を組み合わせることのできるアーキテクチャになっている。そのため、シャドーITのディスカバリから、認可済みSaaS上でのDLP、通常はトラフィックがゲートウェイを通過しないモバイルデバイスの利用状況収集やポリシー適用、といったことができる。特に、BYODも含むモバイルデバイスへの対応、さらにブラウザアプリとネイティブアプリの両方への対応はNetskopeの大きな特徴だと、ダイコク氏は説明した。
「ちなみに、APIを使うことで、ゲートウェイではできない過去のデータ(クラウドに蓄積済みのデータ)のスキャンも可能になる。すでに使っているクラウドサービスで、機密情報などが保存されていないかを調べ、アクセス権限の変更や暗号化、削除といった処置が可能だ」(ダイコク氏)
Netskopeのアーキテクチャ(概念図)。出張先のPC、BYODのモバイルデバイスも管理下に置くことができる
このデモ画面では、社内で利用が検出(ディスカバリ)されたクラウドストレージカテゴリのアプリを一覧表示している
「(大規模な企業で)ディスカバリのツールを実行すると、平均で900以上のクラウドアプリが使われていることが判明する。そのうち、95%はビジネス部門やユーザーが勝手に(IT部門の認可を得ずに)登録して使っているもので、そこにはリスクの高いアプリも含まれる。さらに、IT部門が認可しているリスクの低いアプリであっても、機密情報の漏洩防止のための機能が弱く、そこを補完するためにNetskopeを入れるという顧客も多い」(ダイコク氏)
ダイコク氏は、Netskopeの利用パターンは、顧客の導入段階によって大きく3つに分類されると述べた。第1ステップは社内で使われているアプリのディスカバリ、第2ステップは認可アプリの詳細なコントロール、第3ステップは(これまでシャドーITとして導入されていたアプリも含め)すべてのアプリ/ユーザーに対する包括的なコントロールの実現だ。
利用パターンは大きく3種類。IT部門が社内のクラウドアプリ利用状況を把握する、認可アプリの利用をセキュアにする、そしてすべてのアプリを包括的な管理にする、というものだ
Netskopeでは、約2万種のクラウドアプリをデータベースに登録しており、業界標準のセキュリティ基準に準拠しているか、データセンターの安全基準は、など多様な観点から各アプリがスコアリングされている。ユーザーが高リスクなクラウドアプリにアクセスしようとしたときに警告を表示して、同じカテゴリのより安全なアプリにリダイレクトすることもできる。
たとえば同じカテゴリのアプリでも、HIPPAなどのセキュリティ基準への準拠状況などから、Google Driveは98点(低リスク)、Zippyshareは8点(高リスク)と評価されている
また、ユーザーの操作ログからユーザーごとのリスク度を算定したり、約3000の識別子を利用したDLPによる機密情報ファイルの検知とポリシー強制(アップロードのブロック、アクセス権限の限定、自動ファイル暗号化など)をしたり、マルウェアファイルを検知してクラウドへのアップロードと拡散を防いだり、といったことが可能だ。
「そのほかにも、たとえばIT部門が認可済みのBoxアプリでも、個人アカウントでのログインを禁止して業務アカウントを使わせるようなポリシーも適用できる。このPCにはエージェントが入っているので、今日のわたしのように出張中でも、同じようにコントロールできる」(ダイコク氏)
ダイコク氏は、Netskopeは2012年設立の新興ベンダーにもかかわらず、その導入顧客数はすでに数百社に上り、最大規模の顧客では100万ユーザーをNetskopeで保護していると紹介した。また、幅広いクラウドアプリケーションベンダーとのパートナーシップを展開しており、特に「Office 365」を擁するマイクロソフトについては、Gold Cloud Productivityコンピテンシーを獲得している。
「Office 365を保護したいと考え、Netskopeを導入する顧客は多い」(ダイコク氏)
「Netskopeは現時点で最も“漏れ”の少ないCASB」
東京エレクトロンデバイス(TED)の松永豊氏は、同社では2013年ごろからさまざまなCASBプロダクトを調査してきたが、当初はディスカバリの機能しかないものばかりで、顧客に勧める価値がなかったと振り返る。
「たしかに可視化も必要だが、それだけでは意味がない。実際、顧客に紹介しても『それはいいね、タダならばね』という反応。アプリ操作の制御や情報漏洩対策などの機能が追加されて、ようやくCASBの価値が出てきた」(松永氏)
同社が販売するCASBとしてNetskopeを選定した理由については、モバイルデバイスやシャドーITにも対応できる“漏れ”の少なさだという。
「顧客にCASBの説明をして、よく聞かれたのが『“漏れ”はないのか?』ということ。つまり、IT部門が認可しているクラウドアプリ以外も漏れなく制御できる、また社外でのモバイル利用時にも漏れなくチェックできる、そうしたCASBが必要とされており、TEDとしてもそうしたプロダクトでなければ販売できないと考えていた。Netskopeは、現時点ではそうした“漏れ”が最も少ないCASBだろう」(松永氏)
松永氏は、すでにSIerなどの多くのパートナーがNetskopeへの関心を持っており、今年は20社程度での導入を目指したいと語った。Office 365やBOXといったクラウドアプリケーションを導入している/導入する企業を中心に販売していく方針だ。
