アイデンティティー管理は今後の企業におけるクラウドセキュリティの要といえる。だが、カバーできない部分もある。これを補完するために検討したいのが、クラウドアクセスセキュリティブローカーの活用だ。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
クラウドサービスは、扱い方を誤ると、企業の脅威保護およびデータセキュリティ戦略の弱点になる。Identity and Access Management(IAM:アイデンティティーおよびアクセス管理)プログラムは、認可されたアプリケーションへのアクセスを保護するが、認可されていないアプリケーションへのアクセスは保護しない。このギャップを埋めるのがクラウドアクセスセキュリティブローカー(Cloud Access Security Broker:CASB)だ。
「CASBは、これまでのIAMが対応できない分野でセキュリティを確保する。IAMに取って代わるわけではないが、そうした分野で可視性や制御を実現する」と、Gartnerのアナリストでシニアディレクターを務めるエリック・ウォールストロム氏は語る。技術担当者は両者を統合し、それぞれの強みを組み合わせて、各ユーザーのクラウドサービス利用設定やクラウドセキュリティの確保、モニタリング、管理を行う必要がある。
CASBは最も基本的なレベルでは、IAMシステムのコンポーネントに保護レイヤーを追加する。企業はCASBにより、ユーザー行動の追跡や、さまざまなアプリケーション全体への一貫したポリシーの適用を行うことができ、アプリケーションが不正に使用された場合は、ポリシーの強制(セッションの終了など)が可能になる。
アイデンティティーは、CASBの基本的な情報でもある。IAMとCASBが連携し、クラウドアプリケーションの保護において適切な情報に基づく判断を行うために、サービスの高度な検出やモニタリング、保護を行う。
「CASBとIAMには多くのシナジーがある。企業はそれらを評価し、できれば活用すべきだ」とウォールストロム氏は語る。同氏は、CASBを利用してIAMのセキュリティ態勢を強化する主な方法を以下のように紹介している。
モバイルおよびサードパーティーアプリケーションは、管理するのが難しい。クラウドサービスに保存されたデータにこうしたアプリケーションがアクセス可能になった場合、新たなセキュリティ脅威が発生したと考えなければならない。CASBは、サードパーティーアプリケーションの使用を検出、報告、制限するための中央インタフェースを提供する。
CASBのリアルタイムリスク分析機能は、Identity Governance and Administration(IGA:アイデンティティーガバナンスおよび管理)のアイデンティティー管理イベントをトリガーできる。これらのイベントは、クラウドシステム内の異常なイベントについて企業にアラートを送信でき、究極的には、全てのシステムからユーザーを無効にできる。
リスク分析で異常な挙動が検出されると、ユーザーはステップアップ認証を促される。これは、想定されているユーザーが操作中であることを厳重に確認するためだ。これにより、企業の既存の認証モデルが強化される。
認可されていないアプリケーションで企業資格情報を使用すると、企業における潜在的な攻撃対象領域が広がってしまう。CASBは、認可されていないアプリケーションの使用を検出し、アクセスをブロックすることや、企業がこうしたアプリケーションをIAMインフラに組み込むのに役立つツールを提供できる。
CASBがIAMと相互にやりとりすることで、IAMを使用し、IAMの多くの機能を支援するのは明らかだ。「企業はIAMプログラムをCASBで置き換えてはならない。両者を組み合わせて利用し、クラウドアプリケーションのガバナンスとアクセス制御を強化すべきだ」(ウォールストロム氏)
出典:Integrate Your Cloud Security Posture With Identity and Access Management(Smarter with Gartner)
Manager, Public Relations
Copyright © ITmedia, Inc. All Rights Reserved.