このページの本文へ

IT部門が関与しているのに危険な「サンクションドIT」にも対応

安全なクラウドを実現するCASBのスカイハイが日本法人設立

2016年05月25日 07時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

5月24日、CASB(Cloud Access Security Broker)ソフトウェアを提供する米スカイハイネットワークス(以下、スカイハイ)が、日本法人の設立を発表した。IT部門が関与していないシャドーITのみならず、関与しているにも関わらず、リスクの高いサンクスションドITにも対応できる。

セールスフォースのデータを持って転職したら?

 5年前に設立されたスカイハイは、クラウドにおけるセキュリティを確保するSaaS型のCASBサービス「Skyhight Cloud Security Platform」を提供するベンダーで、ワールドワイドではすでに約600社の顧客がいるという。今回、スカイハイネットワークジャパンを設立し、マクニカネットワークスを販売代理店として、国内での販売を本格化させる。

SaaS型で提供されるCASB「Skyhight Cloud Security Platform」のデモ

 同社が掲げるのは「安全なクラウド利用環境の提供」だ。これを阻害する要因として、米スカイハイのクリス・セシオ氏はシャドーITの例を挙げる。たとえば、セールスフォースのデータをダウンロードして、競合の他社に転職してしまう。あるいはクラウドサービスのパスワードを推測し、他社のデータを不正に入手してしまう。これらは決してインフラに欠点があるわけではない。セシオ氏は、「ユーザーの悪意がこうした行為を引き起こしているという点では、パラダイムシフトから生まれた新たな脅威だ」と指摘する。

米スカイハイ ビジネスデベロップメント&チャネル バイスプレジデント クリス・セシオ氏

 同社が実施したグローバルでの調査によると、企業は平均1154ものサービスを使っている。しかし、次世代ファイアウォールや情報漏えい対策などを導入している企業でも、シャドーITを促すようなハイリスクなサービスが存在するという。さらにIT部門が関与しないシャドーITだけでなく、IT部門が関与しているサンクションドIT(Sanctioned IT)においても危険性が存在するとセシオ氏は指摘する。「セキュアなサービスから機密性のデータをダウンロードして、セキュアではないサービスに移してしまうという事態も起こっている。こうしたデータはブラックマーケットに流出し、悪意の第三者が購入することもできてしまう」(セシオ氏)。

IT部門が関与しているにも関わらずハイリスクなサンクションドIT

導入も容易で、顧客データを保有せずに高いセキュリティを実現

 こうした脅威に対抗すべく、クラウド専用のセキュリティプラットフォームが調査会社ガートナーが定義したCASB(キャスビー)になる。CASBは「可視性」「脅威対策」「コンプライアンス」「データセキュリティ」という4つの柱を持つセキュリティ製品で、スカイハイのSkyhigh Cloud Security PlatformもこうしたCASBの1つになる。

CASBの「可視性」「脅威対策」「コンプライアンス」「データセキュリティ」

 Skyhight Cloud Security PlatformはCASBで定義されている4つの柱を軸に、シャドーITとサンクションドITに対応するさまざまな機能を持つ。まずSaaS型・エージェントレスで提供され、1万7000社以上のクラウドサービスをレジストリに登録しているため、導入が容易。また、2300万人以上の従業員のデータを扱っているが、トークン化されているため、顧客のデータは保有せずに可視性や脅威防御を実現しているという。もちろん、暗号化のレベルも高く、ISO27001やFIPS 140-2などの国際規約にも対応している。

 こうした可視化や脅威防御などは、いわゆる次世代ファイアウォールでも提供される機能だ。これに対してセシオ氏は、「既存のNGFWはプロキシとして動作するので、チェックできるデータのきめ細かさがCASBと比べて荒い。また、NGFWはアプラアインスとしてデータセンターに設置するが、社外からクラウドのアクセスに対応できない」と語る。

 日本法人カントリーマネージャーの露木正樹氏は、「日本でも何件かPoCをやらせてもらっているが、平均で1500くらいのサービスが検出され、50以上のハイリスクなサービスが出てくる。特にクラウドストレージの危険性が高い」と語る。

日本法人カントリーマネージャー 露木正樹氏

 価格はユーザーごとのサブスクリプションモデルで、オープン価格になっている。

オープン価格に変更されたため、本文を修正しました。(2015年8月9日)

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード