セキュリティ用語の基礎知識クラウド時代のセキュリティ「IAM」と「CASB」の連携を考える
クラウドサービスの利用やテレワークの導入によって、企業活動を支えるITシステムのセキュリティは、アプリケーション、データ、デバイスがどこにあるか、あるいはユーザーがどこからアクセスしているのかなどロケーションに依存しない仕組みが求められるようになっています。
そこで今回は認可されたアプリケーションへのアクセスを保護する「IAM」と、クラウド時代に注目されているセキュリティフレームワークの「CASB」の仕組みと組み合わせについて解説します。
IAMとは
IAM(アイアム)とはIdentity and Access Managementの略で、「アイデンティティ(ID)」を統合管理し、「認証」と「認可」を適切に制御する仕組みです。IAMは認証情報を管理する「IDデータベース」と、そのIDが利用できるリソースを規定する「アクセスポリシー」に基づいて、認証・認可を制御します。また、クラウドサービスとして提供されるIAMを「ID as a Service(IDaaS)」と呼んで区別することもあります。
企業活動を支えるITシステムは、複数のアプリケーションやサービスによって構成されています。利用するアプリケーションやサービスごとに異なるIDが必要になるため、ITシステムが複雑化すれば、その分だけID管理も煩雑化していきます。
たとえば仕事でMicrosoft 365やSalesforce.comなどのSaaSを利用している場合、それぞれに利用するためのIDが必要です。そこに会議用のZoomやチャットワークなどが加われば、当然管理するIDも増えていきます。安全性を保つためには、それぞれのIDごとに異なる安全なパスワードを利用する必要があります。もちろんパスワードに有効期限を持たせ、適切に新しいパスワードを設定する必要もあるでしょう。そのため、これらのIDを統合的に管理し、シングルサインオンとアクセス制御を実現するIAMという仕組みが求められるようになったのです。
IAMを理解するためには、「認証(Authentication:AuthN)」と「認可(Authorization:AuthZ)」について理解している必要があります。よく似た単語なので混同している人も多いのですが、セキュリティの仕組みとしてこの二つは明確に区別されています。
「認証」とはIDとパスワードといった知識情報、指紋などの生体情報、SMSによる所有情報などによって、相手が「誰(または何)」であるかを確認する仕組みです。また、これらの要素を組み合わせる「多要素認証(Multi-Factor Authentication:MFA)」によって認証の安全性を高めることもあります。
一方の「認可」とは認証で特定した相手が、どの対象物(リソース)にどのような利用許可(アクセス)を与えるのかを制御する仕組みです。
たとえば、経営者のA氏が、IDとパスワードを使って、ユーザーがA氏であることを確認する行為は認証です。認証した後、A氏がどのリソースにアクセスできるかを制御するのが認可です。A氏は経営者なので経営情報や人事情報にアクセスできますが、新入社員のB氏が同じシステムにログインしても同じリソースにはアクセスできません。
IAMがリソースへのアクセスを認可する際、「社内のPCからのアクセスのみ」や「特定の時間帯のみ」など”状況”を条件とするような設定も可能です。
CASBとは
CASB(キャスビー)はCloud Access Security Brokerの略で、ガートナーが2012年に提唱したクラウドセキュリティフレームワークです。「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」というセキュリティ機能が要件となっています。
かつて企業ネットワークとITシステムは、データセンターを中心に構成されていました。その頃のアクセス制御は、データセンターという“城”を囲うように“城壁”を作って外側と内側に分け、“出入口”となる接続拠点を監視するような仕組みでした。
ところがクラウドサービスの利用が一般化し、企業システムそのものが複数のクラウドに配置されるようになったことで、内部だけ安全に保っていれば良いという従来の管理方法では対応しきれなくなってしまいました。
さらに追い打ちをかけたのが、コロナ禍によるテレワーク需要の増加です。オフィスの“外側”から安全にアクセスする手段を、急いで用意しなければならなくなった企業は、ファイルサーバー、チャットやオンライン会議などのコミュニケーションプラットフォーム、業務アプリケーションなどを次々とクラウドへと移行させていきました。
その結果、情シスが管理できないシャドーITの増加、安全性を担保できないSaaSへの直接アクセスといったセキュリティ上の問題を抱える企業が急増することに繋がっていきました。こうした統制の取れていないITシステムは、外部からの攻撃はもちろん、ユーザーの過失(あるいは故意)による情報漏えいなどのリスクにも繋がります。
こうしたクラウドセキュリティの課題を解決するのに、CASBの考え方はとても適しています。CASBでは複数のクラウド、あるいは企業のデータセンター間に“単一のコントロールポイント”を設け、すべてのアクセスをこのコントロールポイントに集約します。これによってアプリケーションやサービスの利用状況を可視化し、一貫性のあるセキュリティポリシーを適用することで、より最適なアクセス制御を実現するのです。
IAMとCASBを組み合わせる意義
こうして見ると、IAMとCASBはどちらもアクセスを制御する仕組みなので、CASBはIAMを置き換える仕組みだと思われるかもしれません。しかし、実際にはIAMだけでは実現できない高度なアクセス制御や利用状況の可視化、データセキュリティといった機能を、CASBで補完するような関係にあります。IAMの仕組みにCASBを組み込み、保護機能を強化することをイメージするとしっくりくるかもしれません。
IAMでは認可されているアプリケーションやサービスは制御できますが、逆に言えば認可されていなければ制御できません。しかし、CASBと組み合わせでせれば、ユーザーの利用状況をモニタリングし、認可されていないアプリケーションやサービスへのアクセスをブロックすることも可能です。もちろん、新たなアプリケーションやサービスを承認することもあるでしょう。
あるいは、これまでアクセスしたことのないリソースに突然アクセスされた場合、再度本人を確認するための多要素認証を要求する、あるいは管理者にアラートを通知することも可能です。
また、ロケーション、デバイス、時間帯、対象リソースなどさまざまな条件をアクセス制御で活用することはIAMでも可能ですが、CASBとの組み合わせによってより詳細な制御が可能になります。誰が、いつ、どのようなアプリケーションやサービスを、どこから、どのような頻度で利用しているか、あるいはどのようなデータがどのクラウドで管理されているのかといった情報を分析することで、潜在的なセキュリティリスクを発見し、IAMのアクセスポリシーを更新することもできるでしょう。
たとえば前回のアクセスは東京からだったのに、10分後に同じユーザーが海外からアクセスするなどの不審な挙動を検出した場合には、アクセスを拒否してアラートを出すといった制御を可能にするといったソリューションもあります。
このようなIAMとCASBを組み合わせたセキュリティソリューションの導入は、セキュリティ性能の向上だけではなく、管理者の業務負担の軽減にもつながります。また、シングルサインオンなどユーザーの利便性向上にもメリットがあるため、管理の煩わしさからついやってしまう「パスワードの使いまわし」「SaaSへの直接アクセス」なども防止する効果があります。
まとめ
・IAMはID管理と認証・認可の仕組み
・CASBはクラウドセキュリティの課題を解決するフレームワーク
・IAMとCASBの組み合わせによって、より詳細なアクセス制御が可能になる