次世代CASBがSaaSセキュリティを再定義

サービスとしてのソフトウェア(SaaS)とは、ベンダーがリモートでソフトウェア・アプリケーションをホストし、インターネット経由で顧客にサービスとして提供するモデルです。このようなソフトウェア提供形態は、企業が社内で独自の技術インフラを構築・維持する代わりに、「従量課金」方式でさまざまなアプリケーションにオンデマンドでアクセスして利用できるため、過去10年間でますます普及しています。

大手調査・アドバイザリー企業のガートナー社が、 パブリック・クラウド・サービスが 2020年の2,575億ドルから 2021年には18.4%成長 し、総額3,049億ドルになると予測しているのも、こうしたSaaSアプリケーションへの需要の高まりが背景にあります。さらに、クラウド・アプリケーション・サービス（SaaS）の世界売上高（ ）だけでも、2021年には1億1,700万ドルを超えると予測しています。 最近では、Slack、Zoom、Confluence、Jiraなどのコラボレーション・アプリケーションの利用が、ユーザーが場所を問わずに仕事をする現代の分散型企業のビジネス維持に欠かせないものとなっています。

しかし、従来のテクノロジー・インフラと同様に、SaaSアプリケーションの採用や利用は、企業に以下のような重大なリスクをもたらす可能性があります：

• 不注意による機密データの漏洩や紛失、特に増加するハイブリッドやリモートワーカーによるコラボレーションアプリの使用による過剰な共有。
• データ流出と重大なデータ漏洩。
• 脆弱性やマルウェアの伝播など、既知および未知の脅威の導入。
• 会社のIT部門が承認していないアプリケーションを従業員が使用することによるシャドーITの蔓延。
• 欧州連合一般データ保護規則（GDPR）、Payment Card Industry Data Security Standard（[PCI-DSS]）、ISO-27001、Sarbanes-Oxley Act [SOX]、Health Insurance Portability and Accountability Act [HIPAA]などの規制やデータプライバシー法に対するコンプライアンス違反のリスク。
• このように、企業はこれらのリスクを理解し、最小限に抑えるための対策を講じることが重要です。

次世代CASBがSaaSのセキュリティを再定義

何年も前、企業がテクノロジー・インフラのデータとユーザーを保護しようとする場合、ネットワーク構内全体にさまざまなセキュリティ・ツールをデプロイするというアプローチがとられていました。しかし、クラウドの導入に伴い、SaaSモデル（企業のアプリケーションとデータがサードパーティのインフラ上に存在し、企業の従業員がいつでも、どこからでも、どのデバイスからでもアプリケーションにアクセスできるモデル）では、従来のセキュリティ・アプローチだけでは不十分です。

なぜなら、SaaS環境では：

• SaaSのカオス：企業は、どのアプリケーションが誰にアクセスされ、使用されているかを監視・管理する方法を持ちません。SaaSアプリの数は飛躍的に増加しており、その多くはITの知識がなくてもユーザーの手に渡ります。
• データのユビキタス：企業は、どのデータがどこでアップロードされ、ダウンロードされているかを監視し、管理する方法がありません。最近では、大量の機密データがクラウドで作成されたり、ますます多くのアプリケーションで保存・共有されるようになっています。

• 可視性の欠如：見えないものを守ることはできません。企業のネットワーク管理者は、SaaSベンダーのテクノロジー・インフラや、SaaSベンダーがどのようにデータを保存し、セキュリティを確保しているかを把握することができません。つまり、IT専門家が企業のオンプレミス技術を保護するために使用するツールの多くは、SaaSアプリケーションには拡張できないか、機能しないということです。さらに、たとえ拡張できたとしても、企業がポイント製品を何重にも使って効果的なSaaSセキュリティを確保することは、どのみちほとんど不可能です。

これを補うために、企業はクラウド・アクセス・セキュリティ・ブローカー（CASB）や 、クラウド・サービス・プロバイダーとそのユーザーの間に位置するセキュリティ・ポリシー実施ポイントを利用して、 SaaS アプリケーションのセキュリティ・ポリシーを制御し、多様な環境にわたってガバナンスとデータ保護ポリシーを実施しています。

しかし、標準的なCASBソリューションは運用が複雑で、総所有コストも高くなります。プロキシ・ベースであるため、スタンドアロンであり、既存のセキュリティ・インフラから切り離されています。また、ネットワーク・ファイアウォールやPACエージェントからの複雑なトラフィック・リダイレクトを要件とするため、デプロイや管理が非常に困難です。最も重要なことは、これらのソリューションが、クラウドアプリケーション、物理ネットワーク、リモートユーザー、およびすべてのエンドポイントを一貫してカバーする統一されたデータ保護ポリシーアプローチを提供していないことです。また、問題の一部しか解決していないため、組織は、オンプレミスのDLPソリューションとの複雑な接続など、より全体的なセキュリティを実現するための追加ツールをパッチワークのように追加する必要があります。 さらに、パンデミック後のハイブリッドワークフォースのユーザー行動は、セキュリティチームにとって別の懸念を生み出します。彼らの過失や悪意による、承認されていないデータの共有や漏えいは、データ侵害だけでなく、深刻なデータプライバシー侵害やGDPRのような規制のコンプライアンス違反につながる可能性があります。


SaaSアプリケーション、機密データ、そして増え続けるハイブリッドワーカーを、レガシーで時代遅れのアプローチで保護することは、困難でリスクに満ちています。今、組織に必要なのは、SASE戦略の一環としての「次世代CASB」です。その一つ：

• 企業の敷地外やクラウド内のアプリケーションとデータを保護し、増加するハイブリッドワーカーをリモートで保護します。
• 社内のネットワーク、ユーザー、SaaSプロバイダー間の転送中、およびさまざまなSaaSアプリケーションに保存されている静止中の機密データを検出、監視、保護します。次世代CASBは、コラボレーションアプリに依存する今日のリモートユーザーを中心に据え、このような承認されたアプリ群がデータ流出の媒介とならないように保護する必要があります。
• 規制コンプライアンスを促進し、規制対象データが移動・存在するあらゆる場所でのデータ漏えいや過剰なデータ露出を防止します。
• ユーザーの行動を監視・管理し、潜在的なセキュリティリスクや「シャドーIT」リスクを最小限に抑えます。
• 既存のセキュリティ・スタックとシームレスに統合されているため、ブローカーを必要とせず、デプロイが容易で、高いTCOを必要としません。

適切なセキュリティ・ベンダーの選択

SaaSアプリケーション、データ、ユーザーをあらゆるロケーションで安全に保護するための適切なベンダーを見つけることは、難しいことではありません。企業のセキュリティに関しては、最高のセキュリティ専門家、専門家の指導、ソリューションが必要です。

次世代CASBアプローチによってハイブリッドワークフォース内のSaaSセキュリティギャップを効果的に埋める方法の詳細については、 https://www.paloaltonetworks.jp/sase/saas-securityをご覧ください。

その他のSaaSセキュリティ記事

• SaaSのセキュリティソリューションチェックリスト
• SaaSの導入を安全に実現
• SaaSのセキュリティ：次世代プラットフォーム・アプローチ
• SaaSとは：そして、CASBはどのようにフィットするのでしょうか？