Writer:手戸 蒼唯(てど あおい)
SASEとCASBの違いとは?誕生の背景やその機能やSSEについてもわかりやすく解説
業務にクラウドサービスを使うことが一般的となった現代、従業員のクラウド利用を監視・管理してセキュリティを高めることが重要です。そこで知っておきたいのがCASBです。SASEと比較されることも多いCASBは、SaaSなどのクラウドサービス利用におけるセキュリティ対策になります。本記事では、SASEとCASBの違いやCASB誕生の背景、主な4つの役割などについて解説します。
関連資料
SASEとCASBの違い
SASE(Secure Access Service Edge)とCASB(Cloud Access Security Broker)は、ともにゼロトラストの考え方を実現する、クラウドサービス利用におけるセキュリティ対策の考え方であり、手段です。
SASEとCASBの違いは、SASEは、ネットワーク機能とセキュリティ機能を統合しているフレームワークであり、CASBは、クラウド利用時のセキュリティに関する考え方のひとつです。CASBについては、SASEを構成するソリューションのひとつでもあります。
簡単に表すと次のとおりになります。
| 考え方・手段 | 概要 |
|---|---|
| SASE | ネットワークの監視・制御とセキュリティ対策を統合したフレームワーク |
| CASB | クラウドサービスを安全に使うためのセキュリティ対策で、SASEにも含まれる |
また、SASEのネットワークとセキュリティについては、それぞれのサービスは以下のように分けることができます。
| ネットワークサービス | SD-WAN(Software Defined Wide Area Network) |
| VPN(Virtual Private Network) | |
| クラウドネイティブなセキュリティサービス | CASB(Cloud Access Security Broker) |
| SWG(Secure Web Gateway) | |
| ZTNA(Zero Trust Network Access) | |
| FWaaS(Firewall as a Service) |
ゼロトラストについてはゼロトラストをわかりやすく解説!メリットや注意点などについて知ろう
また、SASEとゼロトラストの違いについては SASEとゼロトラストの違いとは?SASEの仕組みやメリット、導入の注意点について解説にて解説していますので、あわせてご覧ください。
CASB誕生の背景
そもそもCASBは、企業が業務に複数のクラウドサービスを利用するようになったことから必要になったセキュリティの考え方です。
従業員がパソコンやスマートフォンなどのモバイルデバイスを業務に利用したり、オフィス外からクラウドサービスへアクセスしたりするなど、業務に使う機器や働き方の多様化は、CASBというセキュリティ対策の考え方が注目されるきっかけになりました。
CASBを導入することで、従業員のクラウドサービスの利用状況を監視・管理できるほか、オフィス外からのデータへのアクセス管理、データの保護なども可能です。
CASBは、多様化する働き方や業務遂行の手段の安全性を高める役割を持っています。
CASBの4つの役割
CASBのセキュリティ対策は、主に4つの役割があります。
クラウドサービスの可視化
従業員がCASBを通してクラウドサービスにアクセスする仕組みを導入することで、各クラウドサービスの利用状況や、どのようなクラウドサービスを利用しているかを可視化して、管理することができます。
仮に、業務利用に許可しているサービスやデバイス以外の利用があった場合は検知ができるため、シャドーITの課題も解決してセキュリティ向上につなげられます。また、クラウドストレージに不審なデータがアップロードされたり、データがダウンロードされたりした際にも、可視化された状況で監視できるため発見しやすくなります。
データの保護
データの種類に応じて、アクセスできる従業員の権限を管理できます。そのため、データの勝手な持ち出しや、データの情報漏えい、データ改ざんなどを防ぐことが可能です。
情報漏えいやデータ改ざんが起こりそうな場面では、それを検知して動作をブロックするため、被害を最小限におさえることができます。
脅威からの保護
マルウェアなどの脅威も検知できるため、サイバー攻撃などの不審な動きを防ぐことが可能です。検証によって不正なファイルや通信が存在した場合は、適切に脅威の隔離や通信の遮断を行います。
コンプライアンス
自社のセキュリティポリシーを設定しておくことで、コンプライアンスを遵守できます。
たとえば、従業員がクラウドサービスを利用する際に、自社で決めたポリシーに沿って使われているかを監査して、ポリシーに反した利用が検知された場合にはアラートで利用者に通知するなどの対処が可能です。
CASBには主に以上のような役割があります。ゼロトラストの考え方を実現するための手段はさまざまで、CASBを利用した「SSE」も近年注目されているセキュリティサービスのひとつです。次の章では、CASBを含めた3つの機能から成り立つSSEについて見ていきます。
CASBを活用したセキュリティサービス「SSE」とは
ゼロトラストの考え方を実現するための手段で、「CASB」「SWG」「ZTNA」の3つのコア機能から成り立つセキュリティサービスが「SSE」です。
SSEは「Security Service Edge」の略称で、米国のガートナーが提唱しました。それぞれの機能を統合しているため、さまざまな角度からのセキュリティ対策を、一つのサービス導入で実現できます。
SSEの構成が成り立つ、各機能の特徴は以下のとおりです。
| SSEを構成するもの | 概要 |
|---|---|
| CASB(Cloud Access Security Broker) | クラウドサービスを可視化し、ポリシーに合わせてクラウドサービス利用を制御する |
| SWG(Secure Web Gateway) | クラウド型プロキシにて、リスクの高いクラウドサービスへのアクセスを制御・ブロックする |
| ZTNA(Zero Trust Network Access) | ゼロトラストセキュリティを実現するためのネットワーク環境を提供するサービスで、安全なリモートアクセスを実現する |
SASEも有効ですが構成が複雑であるという難点があります。そこで、ゼロトラストの考え方を導入するために必要なセキュリティ要素を抽出して、導入を容易にしたものがSSEです。SSEは、さまざまなベンダーが製品として提供をしているため、導入のための相談やサポートも受けやすいというメリットもあります。
SSEの要件を満たす総合ソリューション「Skyhigh SSE」
SSEの要件を満たすサービスはさまざまなベンダーが提供しています。
たとえば「Skyhigh SSE」は、東京エレクトロンデバイス が提供するサービスです。クラウドサービスの利用において、ユーザー・データ・アプリケーションを保護する総合プラットフォームで、SSEの3機能のほか、「DLP」「RBI」も加えた構成になっています。
DLPとRBIの機能は以下のとおりです。
| 機能 | 概要 |
|---|---|
| DLP(Data Loss Prevention) | デバイスやネットワーク、クラウドを網羅したデータ情報漏えい対策を行う |
| RBI(Remote Browser Isolation) | 悪意のあるWebコンテンツからデバイスを保護する |
たとえば、Skyhigh SSEの「CASB」と「SWG」での構成イメージは以下のようになります。
「Skyhigh SSE」の詳細については、こちらをご覧ください。
SASEとCASBの違いを知って、自社に適したクラウドセキュリティを導入しよう!
SASEとCASBはいずれもゼロトラストの考え方を実現するための手段です。SASEはネットワークも統合した範囲の広いものであるのに対し、CASBはクラウドサービス利用のセキュリティ強化を実現するソリューションだと理解するとよいでしょう。CASBはクラウドサービスの可視化はもちろん、自社のポリシー違反なども検知できるため、コンプライアンスの遵守にも有用です。
どのサービスを導入すべきか、何が適しているのかを自社だけで選定・導入することが難しい場合には、専門の事業者に相談することも検討してみてください。
また、SSEの条件を満たすソリューション「Skyhigh SSE」については、こちらのサイトもしくは資料にて解説していますので、あわせてご覧ください。
Skyhigh SSEの製品の詳細については、こちらをご覧ください。
関連資料