SASE解説 #4: ハイブリッドワーク環境に求められるCASBの形

これまでのSASE解説シリーズ(#1, #2, #3)では、急速に利用が拡大したSASEに求められる期待値と、パロアルトネットワークスが提供するシングルベンダーSASEについて解説をしてきました。今回は番外編として弊社のSASEソリューションの一つであるCASB/DLPに焦点を当てていきたいと思います。

SaaSアプリケーションの急速な普及

新型コロナウイルス感染症（COVID-19）によってテレワークが急速に普及した結果、人々の働き方は大きく変化し、働く環境の自由度や常識にも大きな影響を与えています。様々な企業が、オフィスとリモート両方で業務できる環境を整え、働く場所を社員に委ねる”ハイブリッドワーク”を採用しています。ハイブリッドワークはオフィス・自宅に限らず、シェアオフィスやコアワーキングスペース等様々なワークスペースを組み合わせ、働く場所に囚われない新しい形のワークスタイルです。

そして今やSaaSアプリケーションはハイブリッドワーク環境を実現する為に欠かせない存在になっています。オンプレミス型で提供される従来のアプリケーションに比べ、クラウドベースで提供されるSaaSアプリケーションは柔軟性や拡張性に優れており、従業員は場所を問わずリソースにアクセスし業務継続が可能になりました。

• 離れた場所で働く従業員同士がコミュニケーションを図る為のチャット系SaaSアプリケーション
• 社内、あるいは社外メンバーと円滑にファイル共有をする為のコラボレーション系SaaSアプリケーション
• 従来よりも革新的な業務フローを組み込む為の生成系AI

SaaSアプリケーションとビジネスリスク

SaaSアプリケーションや生成系Aの利用は、便利で効率的ある一方、ビジネス上のリスクもあり「重要な業務データのクラウド移行」や「生成系AIの利用増加」により情報漏洩のリスクが高まり、SaaSアプリケーションを推進する事による「利便性の向上」と「セキュリティレベルの担保」のバランシングに頭を悩ませているセキュリティ管理者の方も多いのではないかなと思います。

組織で利用されるSaaSアプリケーションは、大きく以下の3つに分類することができます。

1. 組織や管理者によって正式に利用が許可されているSaaSアプリケーション（Sanction IT）
2. 組織や管理者によって利用が許可されていないSaaSアプリケーションや個人利用のSaaSアプリケーション（Shadow IT）
3. 取引先やパートナー企業が利用しており、業務の為に自社社員にも利用を許可する必要があるSaaSアプリケーション（Tolerate IT）

数年前と比較し、1社あたりのSaaSアプリケーションの利用数/利用シーンが爆発的に増加しており、数百から数千に及ぶSanction ITとShadow ITを含む非常に多くのSaaSアプリケーションや生成系AIが利用されています。また、組織ごとのSaaS利用の増加に伴い、組織間で利用されるTolerate ITも増加しています。このような状況から、組織は増え続けるSaaSアプリケーションの利用に追従し、適切なセキュリティ対策を講じる必要があります。

SaaSアプリケーションの成熟、変化するCASBの要件

このように、SaaSアプリケーションを利用する際のセキュリティリスクを解決するに登場したのがCASB（Cloud Access Security Broker）です。CASBは2012年以降、SaaSアプリケーションの利用を強化する為のソリューションの一つとして多くの組織によって検討が進められています。
一方で2010年の後半にかけてSaaSの利用が成熟する事で従来のCASB製品ではどうしてもカバーしきれないようなSaaSの利用シーンが増加している、というのが実態です。先述したようにビジネスの加速や生成系AIの登場によりSaaSを取り巻く環境が変化しているのです。
その一例を下記に記載します：

1. データの投稿先を識別できず、アクティビティやテナント毎の細かなポリシー制御ができない
   近年、多くのSaaSアプリケーションが登場する中、複数のテナント、つまりデータの投稿先を持つものが増えています。しかし、従来のソリューションでは、SaaSアプリケーション単位の制御しかできず、テナント単位の柔軟なコントロールが困難でした。

2. 新たなSaaSアプリケーションの台頭により、Chat GPTなどの生成系AIをはじめとした”従来のCASB-DLPで保護できない領域”が増えている
   冒頭に述べたように、業務において生成系AIの利用が増える中、投稿されるデータのおよそ95パーセントが、実は「機密性の高い情報」であるというデータもあります。このような状況下で、新たなSaaSアプリケーションを安全に利用する為には、従来の機能もより多角的なセキュリティリスクへ対応できるよう、CASBの機能もアップデートする必要があります。

3. SaaSのセキュリティ設定を網羅的に可視化できず、Sanction アプリケーション上の危険な状態を見過ごしている可能性がある
   また、許可されたSanction SaaSであっても、定義されているセキュリティ設定自体がリスキーな場合、情報漏洩などのセキュリティインシデントにつながる可能性があります。実際に、SaaSアプリケーション上の権限管理が不十分だったために重大な情報漏洩が発生したというニュースも過去にはありました。SaaSアプリケーションは多いもので100以上の設定を持ち、管理者がこれらを全て手動で監査することは非常に困難です。さらに、SaaS上には新しい機能や設定が頻繁に追加されるため、その都度「その設定が組織のセキュリティポリシーに適合しているかどうか」を検証することは、現在のハイスピードなSaaS環境と限られた人的リソースの中で実現することは難しいと考えられます。

今、CASBに求められる要素とは？

ユーザが利用するSaaSアプリケーションの多様化に伴い、セキュリティとコンプライアンスの課題も増加しているという点をお伝えしてきましたが、今CASBには重要な役割が求められています。単なる可視化だけでなく、Sanction IT、Shadow IT、そしてTolerate ITに対して適切なコントロール、データ保護、SaaS設定の監査を行うことが必要になってきます。

そして、従来のソリューションの課題を解決し、SaaSアプリケーションや生成系AIを経由したセキュリティインシデントを低減する為に提供されるソリューションが、パロアルトネットワークスのNext-Generation CASB（次世代CASB）です。

Next-Generation CASB では、従来のCASBソリューションでも提供されている「包括的なSaaSアプリケーションの可視化」という機能を引き続き抑えつつ、同一SaaSアプリケーション内のテナント個別に識別し、ユーザアクティビティを検証する「テナント単位のコントロール」機能を提供しています。

また、SaaSアプリケーションや生成系AIを介した情報漏洩をDLPポリシーベースで防止し、SaaSの設定をスキャンして危険なセキュリティ設定を監査する事で組織のセキュリティレベルの安全性を確保します。また、これらの機能は全てSASEソリューションとして統合されており、接続元・接続先にとらわれない、エージェントレスで包括的なセキュリティ機能をご提供可能です。

企業は、CASBを導入し、SaaSアプリケーションの安全で効果的な利用環境を確保するために、これらの機能を十分に活用する必要があります。CASBの適切な活用により、企業はセキュリティリスクを最小限に抑えながら、SaaSアプリケーションの利便性を最大限に享受することができます。パロアルトネットワークスは、お客様がSaaSアプリケーションの利便性を最大限に活用し、また加速するSaaS利用をセキュアに保つ為の様々な機能をご提供しています。

本稿では、パロアルトネットワークスのNext-Generation CASBで提供する機能のポイントをかいつまんでご紹介しました。Next-Generation CASBでは本日ご紹介した機能以外にもSaaSアプリケーションをセキュアに利用する為の様々な機能をご提供していますので、詳しくは弊社公式サイトの次世代CASBの製品紹介ページも合わせてご参照ください。

本稿でご紹介した内容が、生成系AI、SaaSアプリケーションのセキュリティ対策製品のご検討時の参考になればと思います。