ビジネス&テクノロジー
SaaSとIaaSのCASBの観点からの相違点
中小企業からグローバルな大企業までのあらゆる規模の組織が、ビジネスイノベーションを加速させ、新しく開発されるテクノロジーをいち早く取り入れる目的で、クラウドコンピューティングを採用するようになりました。新しいSaaSベースのツールを実装すれば、さまざまな分野のプロフェッショナルがクラウドコンピューティングを利用でき、特別な技術的スキルセットも必要ありません。このことが、ビジネステクノロジー環境におけるSaaSアプリケーション採用のペースを加速させる上で大きな役割を果たすことになりました。
さらには、財務、運用、マーケティングオートメーションを専門分野とする技術エキスパートのIT担当者が存在する大規模な組織では、パブリッククラウドのIaaSを手軽に利用できるようになったことで、新しいテクノロジーを実験的に使用し、IT部門の力を借りずに新しいビジネスアプリケーションを短期間で開発できるようになっています。すぐに利用開始可能なSaaSアプリケーションの活用は、同じく即座に利用できるIaaSサービスと非常によく似ています。SaaSがビジネスプロセスツールを提供するのに対し、IaaSはアプリケーション開発の構成要素、すなわち今日のビジネスの推進力となるソフトウェア開発ツールを提供します。
今日のデジタルトランスフォーメーションの要件に対応し、あらゆる環境、特に複数のクラウドサービスを網羅するセキュリティに対する需要を満足し続けようとする過程で、SaaS、IaaS、あるいはPaaSのいずれであっても、異なるタイプのクラウド向けセキュリティ製品で一貫性のあるセキュリティを実現するには、共通セットのセキュリティ制御とツールが必要であることを、多くの組織が認識するようになりました。従来この市場においては、CASBツールを使ってSaaSアプリケーションの迅速な利用を制御し、IaaSのセキュリティ管理にはCISPA(Cloud Information Security Posture Assessment:クラウド情報セキュリティ状態評価)あるいはCSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理)を使用するといった棲み分けが行われてきました。しかしながら、今日のテクノロジーの利用パターン確立に伴い、組織内で使われるあらゆるセルフサービステクノロジーを同じレベルで可視化し、制御することが組織の最終的な目標とされるようになったことから、これらのテクノロジーの境界が曖昧になってきました。その結果、クラウドテクノロジーを積極的に採用しようとする組織にとっては、SaaSとIaaSの両方でセキュリティの可視化と制御が同様に提供されることが大きなメリットとなっています。
フォーティネットは、多様なクラウドサービスを導入する組織のこのような新しいニーズに応え、一貫性のあるセキュリティを提供するFortiCASB 2.0を発表しました。この最新リリースでは、AWS IaaSクラウドサービスの構成評価とコンプライアンスのレポートをすでにサポートしていたFortiCASB 1.2の機能がさらに強化され、AzureとGoogle Cloudの環境でもこれらの機能を利用できるようになりました。
クラウドソリューション向けのフォーティネット セキュリティ ファブリックの構成要素であるFortiCASB 2.0では、SaaSアプリケーションはもちろん、IaaSサービスの採用に伴うシャドーITのスプロール化によって生じる脅威へも対応可能な独自の機能が提供されています。
FortiCASB 2.0の主な機能と特長
- 実用的なダッシュボード:ドリルダウン機能を備え詳細な情報を提供するIaaS向けの新しい「Risk Posture(リスク状態)」ダッシュボードにより、具体的な構成違反を特定
- IaaSプラットフォーム:AzureおよびGCPの構成評価とコンプライアンス検証をサポート
- ランサムウェア対策:パブリッククラウドでホスティングされるファイルから実行される可能性のあるランサムウェア攻撃からの保護を強化する新機能の追加
- 法規制のコンプライアンス:ISO27001、NIST 800-53-V4、NIST-800-171などの法規制へのコンプライアンスを実現するポリシーを追加サポート
- コラボレーションの制御:SaaSに保存されたファイルのコラボレーション属性を可視化し制御する機能が強化され、機密データに関するコラボレーションに伴うリスクの管理を支援
FortiCASBには、複数のクラウドテクノロジーの採用に伴うリスクの管理に役立つ新しい機能が継続的に追加されています。このような新機能によって、組織は一貫性のあるセキュリティポリシーの確実な適用が可能になると同時に、運用面で不要なオーバーヘッドを発生させることなく複数のクラウドサービスを網羅する可視性が向上します。
こちらの資料(英語)では、複数のクラウド環境の統合と自動化によってデジタルトランスフォーメーションの取り組みを促進し、セキュリティの複雑さを解消する方法をご紹介しています。容易かつ効率的なリスク管理と可視化を同時に実現する方法をご確認ください。
