クラウドを安全に利用する為のセキュリティ (CASB) とは Bluecoat/Elastica CASB ソリューションのご紹介 ブルーコートシステムズ合同会社 シニア システムズ エンジニア 高山雅人 1
ブルーコートがなぜ CASB? キャッシュ技術 1996 2002 ウェブコンテンツの効果的なキャッシング ウェブセキュリティ 2004 Cerberian ProxySG/ProxyAV リリース 社名をブルーコートに変更 WAN 最適化 帯域制御 WAN 高速化 2008 ブルーコートクラウド提供開始 2011 Mach5/PacketShaper 帯域制御製品提供開始 BCWF( ウェブフィルタ ) の提供開始 2013 ウェブセキュリティサービス WSS ブルーコートクラウド提供開始 ATP 対策 CASB 2015 クラウドデータ保護 クラウド DLP/SOC クラウドセキュリティの提供 SSL 可視化 セキュリティ分析 ハイブリッド サンドボックス メールに対するリアルタイムフィルタリング 標的型攻撃対策ソリューションの提供 2016 2
Elastica CloudSOC クラウド型 CASB ソリューション
CloudSOC CASBを提供するBluecoat SaaS データセンター SOC Cloud Security. CloudSOC. アクセス制御? ユーザ行動監視? データセキュリティ? 高度脅威防御? インシデントレスポンス? 1. 認証 アクセス制御 2. ユーザ行動監視とロギング 3. 脅威防御 4. データ漏洩のスキャン 5. 攻撃とデータ漏洩の調査 4
クラウドアプリに潜むリスクとは? シャドーデータ 1. シャドー IT リスク IT 部門への通知なしに組織内で使用されているクラウドアプリケーション全般のこと ( 非承認アプリケーション ) 2. シャドーデータリスク 承認アプリケーションまたは非承認アプリケーション内に存在している可能性のある IT 部門が把握していない機密データ全般のこと 3. ユーザ又は他者の悪意のある行動リスクアカウントの乗っ取り 不正な ( 悪意のある ) 内部関係者 悪意のあるデータ破壊 5
Bluecoat/Elasticaの提供するクラウドセキュリティ 1.シャドーITリスク SaaS 可視化 シャドーITの特定 リアルタイムでのクラウド アプリ利用状況可視化 2.シャドーデータリスク 柔軟なコントロール 多数存在する クラウド上の シャドーデータ に対する制御 3.悪意のある行動リスク インテリジェントな防御 リアルタイムに変化する ユーザの振る舞いパターン をデータサイエンス用いて 自動的にリスク分析 6
CloudSOCのコンポーネント 提供機能 サービスポータル 既存 SOC機能 リスク評価 IDS/IPS ゲートウェイ DLP FW 既存SOC機能で は監視する事が出 来ない SIEM 既存SOCにクラウドアプリ 向けSOC機能を容易に追加可能 7
CASB(Elastica)のワークフロー 1 調べる 2 3 4 5 白 黒 考える 守るための設定 調べる Secure by Using 会社アカウント インシデント 対応 承認アプリ 個人アカウント アプリの監視 シャドーIT クラウド利用状 況の可視化 Secure by Using Secure by Using リスクの特定と制御 非承認アプリ 危険アプリのブロック FW/プロキシ上のポリシー変更 8
シャドーITの分析 企業内で知らずに使われてきたクラウドアプリの特定 各クラウドアプリのビジネス対応度とリスクレベルの把握 どのユーザがどのクラウドアプリを利用しているのか把握 ブロックすべきクラウドアプリの特定 9
多角的な情報からクラウドアプリのリスクを分析 企業の評価スコア 各アプリのビジネス対応度 各アプリ使用状況 アプリの比較危険なアプリの特定強力なレポート作成 10
多角的な情報からクラウドアプリのリスクを分析 クラウドアプリの分析は60以上の 要素に基づき 7のカテゴリ分けで 表示されます 11
CASB のクラウドアプリの監視と制御ポイント ゲートウェイフォワード / リバースプロキシ クラウド API (Securlets) 12
クラウド API による監視と制御 CloudSOC プラットフォームは 特定の SaaS アプリケーションに高度なセキュリティ機能を提供する スタンドアロン型セキュリティアプリケーションを搭載 単独または任意の Elastica アプリケーションと組み合わせて配備できます 13
SaaS API で可能な事 特定のクラウドアプリで共有されているファイル ユーザの検知共有されていないが重要な情報を含むファイルのDLPによる検知特定のクラウドアプリでのすべての活動の監視ファイル共有ポリシー決めに必要な要素の提供と緩和ポリシー実行 14
SaaS のメリットには セキュリティ上の課題が付き物 共有は誰が制御するのか? クラウドアプリケーションによって かつては IT 部門が制御していた共有の承認が各ユーザーの手に の組織が ファイル共有によって機密データを失ったことがある 1 顧客.docx 出典 : 1 Ponemon, 2013 Cost of Data Breach Study 機密データは簡単に社外に漏えいする 15
Securlets(SaaS API) ポータル例 SaaS ごとの専用ポータル画面 共有されているファイル 共有しているユーザ情報 共有してないが機密情報などを含むファイル情報 SaaS 上の導入されているアプリ情報 SaaS 上のユーザのアクティブティ情報 共有ファイルのコンテンツ種別 共有タイプ ( 公衆 外部 内部 ) 共有ファイルのリスク情報コンプライアンス関連 ウィルスなど リスク詳細 共有ファイル詳細 共有タイプ ( 公衆 外部 内部 ) 16
ゲートウェイによる監視と制御 SaaS アプリケーションの機能性を落とすことなく トラフィックの復号とユーザーアカウントアクティビティのインライン検査を実行する クラウド型の透過的なゲートウェイ 17
ゲートウェイで実現可能な事 Secure by Using ユーザトラフックを終端しSSL 複合化し場所 / 端末 / ユーザなど各種情報を収集通過するクラウドアプリ ( 会社 / パーソナル ) のすべての活動 ( 振舞い ) 情報の収集クラウドDLPを用いたファイルのリアルタイム インラインスキャンアクセス ログイン アップロード / ダウンロードなどのリアルタイムブロックポリシーの実行 18
ユーザー行動の分析と脅威の検出 ユーザーアカウントアクティビティを基に 侵入と悪意のある使用を検出 19
クラウド脅威検知 クラウド API+ ゲートウェイ 閾値に基づき怪しいユーザの挙動を検知ふるまいに基づき怪しいユーザの挙動を検知 (UBA) イベント発生順に基づき怪しいユーザの挙動を検知ユーザ行動の脅威レベルのスコア化 20
実際のクラウド脅威とは クラウド脅威カテゴリー データ破壊 ふるまい + 閾値で検知 アカウント乗っ取り ふるまい + 閾値で検知 データ流出 ふるまい + 閾値で検知 最も危険な脅威行動 通常を逸脱する頻度のファイル削除 通常を逸脱する頻度のエデット 通常を逸脱する頻度のログイン 非常に多くの怪しいログイン試行 通常を逸脱する頻度のプリビュー 通常を逸脱する頻度のダウンロード 通常を逸脱する頻度の共有 通常を逸脱する頻度の Emails送信 2% COMPRISED ACCTS 悪意のある使用の内訳 シャドーデータレポート 21
ユーザのふるまい分析によるリスクの可視化 全体的なふるまいに基づき適切なポリシーを制定可能 出勤日以外のアクセス ログイン失敗 長時間ログイン ユーザのふるまいリスク ユーザ行動脅威 のスコア化 急激なトラフィック量増大 突然のログイン場所の変更 長時間ログイン サービスの利用履歴 ファイル操作の追跡 22
データサイエンスを用いたユーザふるまい分析(UBA) 誤検知を減らす為にユーザごとに振舞いの 通常 モデルを作成し逸脱したものをアラート又は ポリシーを適用 閾値だけではすべてのユーザ行動を監視する事は困難 3分間で60ファイル 300以上のファイル スクリーン印刷 Eメール 削除の繰り返し 外部に共有 7回のログイン失敗 リスクレベル イベント頻度/ イベント経過時間 ファイル数 サイズ 23
クラウド DLP とポリシー適用 攻撃の防止とコーポレートガバナンスを実現するポリシーを作成し クラウドサービスに適用 24
クラウド DLP とポリシー適用 データ漏洩を防ぐためのポリシー施行 アクセス制御のためのポリシー施行 ファイル共有 転送を制限するためのポリシー施行 ユーザごとのリスク値に基づいたポリシー施行 25
柔軟な制御の施行 全体的なふるまいに基づき適切なポリシーを 制定可能 機密情報 コンプライアンスに関連するコン テンツに対するオーナーシップ コンテンツの種別に基づいたポリシーの施行 業界基準に基づくリスクの判断 (PII, PCI, PCI, FERPA, GLBA,...) プロファイルのカスタマイズ対応 クラウドよりも先に シャドーデータをコントロール リスクの高いファイルに対する適切なポリシー の自動適用 26
クラウド DLP によるデータの自動認識 日本特有の機密データ フォーマットについても定義されており これらを含むファイルを自動認識可能 任意に定義した 文字 を含むファイルを自動認識可能 27
インシデントレスポンス クラウドアプリケーションおよびサービスにおける 法的文書 コンプライアンス関連文書 人事情報の全通信履歴を活用して インシデント後の調査とフォレンジック分析を実行 28
原因の調査 以下に基づく活動の監視 サービス (Google apps, AWS ) ユーザ ( ログインアカウント ) オブジェクト ( ファイル 該当コンプライアンス ) 活動内容 ( ポリシー違反 ログイン ) 緊急度 ( クリティカル 警告 注意 ) 場所 ( ホスト データセンター ) ブラウザ (FireFox, IE ) デバイス () 29
知りたい情報を深い視点から可視化する サービス名 ユーザ名 発生 / 記録日時 サービス名 パーソナルアカウントユーザ名 発生 / 記録日時 ブラウザ クラウド DLP 違反 ファイルサイズ ファイル名 アップロードをブロック クラウド DLP にマッチした文字 30
最後に クラウドアプリのセキュリティに関するヒント 1 危険なアプリを特定 危険なアプリを特定し 組織に適した安全なクラウドアプリとクラウドサービスのみを従業員に使用させるようにしましょう アプリ を発見し サービスの価値とその潜在的なリスクを比較検討できるCASBソリューションを導入すれば 許可アプリを賢く選択 したり 不適切または危険なアプリに対して正しい行動を取ったりできるようになります 2 スタッフの教育 組織内や外部の関係者とむやみに文書を共有することのセキュリティリスクについて 従業員を教育しましょう 文書の共有 範囲が広いほど 見知らぬユーザーや不審なユーザーによってデータが削除または漏洩される可能性が高まります 同様に IT部門の側でも 従業員が共有している文書の種類や共有範囲に関して情報を集め 理解を深める必要があります これは シャドウデータの特定と共有設定の監視および制御が可能なCASBリューションを導入することで実現できます 3 データを可視化 クラウドで共有されているデータを把握しましょう データもクラウドアプリ自体も 見えていなければ 守ることはできません すべての機能が搭載されたCASBソリューションなら クラウドに保存された文書 を隅々まで探って 機密データとコンプライアンス関連データに区分したり 業務カテゴリーに分類した りできます このようにデータを特定および分類できれば 適切なクラウドデータセキュリティ対策をよ り効果的に実施できるようになります 31