はじめに

前回のブログ「Data Security Posture Management（DSPM）とは？DSPMの主要な機能から課題に対する導入のメリットまで解説 」を受けて、今回は主にSkyhigh Securityの製品によって具体的に何ができるのかについてご紹介いたします。

Skyhigh SSEソリューション

Skyhighは、クラウド、ウェブ、データ、ネットワークセキュリティのニーズに対応するための包括的な製品群を提供しています。
これらの機能を統合し、単一のプラットフォームから管理することで、企業のセキュリティを強化し、運用コストを削減します。

Skyhighで実現できるクラウドデータ保護機能

Skyhigh SSE ソリューションをNW構成図で表すと以下のようになります。
Skyhighはクラウドサービスの可視化と制御を行う事で、クラウドのデータ保護を実現します。

Shadow IT 対策

シャドークラウドサービスの可視化

■クラウドストレージサービスの可視化
いつ、誰が、何を、どれくらい使用しているか確認できます。

■クラウドサービスごとのリスク評価
複数カテゴリ・50項目以上の判定基準によるリスク分析によって、詳細情報の可視化や起こりうるリスクを把握することができます。

■利用ユーザー毎のリスト
ユーザー単位で、アクセスしているサービスやアップロードサイズなどを確認できます。

AI 使用状況の検出と可視化

■AIアプリケーションのリスクの可視化
SaaS AIアプリに関連するセキュリティリスクを詳細に可視化します。

Sanctioned IT 対策

企業様で導入済みのクラウドサービスを対象とした、以下のセキュリティ機能を提供します。

■連携可能なSaaS
M365、BOX、Google、Salesforce、Slackなどの主要なSaaSに対応しています。

〇API連携可能な主なSaaS

• Microsoft365（Exchange Online、SharePoint Online、OneDrive、Teams）
• Box
• Dropbox
• Google Workspace（Google Drive）
• Salesforce
• Slack Enterprise
• ServiceNow
• Workday

〇CASB Connectパートナー
※SaaSベンダーが開発してAPI接続できるようにするオープンなプラットフォームです。

• Atlassian（Access、Confluence、JIRA）
• Cisco Webex Teams
• Citrix ShareFile
• DocuSign
• GitHub
• Okta
• OneLogin

DSPM

アクティビティ監査(SaaS、IaaS)

■アクティビティ監査
IaaSやPaaSだけではなく、多くのSaaS上のユーザーアクティビティログも取得して、一元管理と可視化を実現します。
※追加ライセンスで最大1年間分のログ保存が可能となります

アノマリ検知(UEBA)

■アノマリ検知/脅威検知
収集したアクティビティを機械学習し、不正アクセスなどのアノマリ検知（UEBA）が可能です。
アクセスやデータ、管理に関するカテゴリの中で20種類ほどのアノマリが定義されています。

マルウェア検知

■マルウェア検知
クラウドストレージ上に保存済みもしくはアップロードされたマルウェアファイルを検知し、隔離や削除が可能です。

DLP検知

クラウドストレージ上に保存済みもしくはアップロードされた機密ファイルに対して、隔離や削除、コラボレーション(共有)の防止が可能となります。
DLPポリシーでは、インシデントとなる基準を定義し、検知されたインシデントに応じてトリガーされる特定のアクションを設定します。単一のDLPポリシーを複数の異なるクラウドサービスに適用することが可能です。

検知したDLPインシデントを一元的に管理し、「ファイル名/ユーザー/どのようなファイル」を確認することができます。

SSPM

SSPM（SaaS Security Posture Management）では、M365アプリやSalesforceなど、SaaSアプリケーションのセキュリティリスクを継続的に評価し、セキュリティ態勢を管理します。

SWGでのアップ/ダウンロード制御

CASB for Shadow ITとSWGを以下のように連携することで、クラウドサービスの可視化からプロキシ制御までを、自動且つ継続的に実施することができます。

• SWGのアクセスログを自動でCASBへ連携
• クラウドサービスを可視化
• SWGのポリシーと連動
• ブロックしたいシャドークラウドサービスのアクセスを制御

■Web DLP
SWGのWeb DLPを使用することで、シャドークラウドサービスに対して、機密データの漏洩を防ぐことができます。
Shadow DLPポリシーでは、インシデントとなる基準を定義し、検知されたインシデントに応じてトリガーされる特定のアクションを設定します。

検知したDLPインシデントを一元的に管理し、ファイル名やユーザー情報などを確認することができます。

■Activity Control
SWGのActivity Controlを使用することで、Shadow ITで可視化されたクラウドサービスに対して、
Upload、Download、Postなどのアクティビティ毎の制御が可能です。

ケーススタディ

データセキュリティの課題として以下のことが挙げられます。

課題1：契約SaaSストレージサービスへのデータ・アクティビティ制御

• 承認していない企業や個人に対する、ファイル共有を防ぎたい
• 不正ログインを検知したい

解決策1：
機密ファイルのコラボレーション(共有)の防止や、不正と思われるログインをアノマリとして検知することで、契約SaaSを保護することができます。

またファイル名やユーザー名など、データの可視化も可能です。

課題2：シャドーストレージサービスへのアップロード制御

• 機密情報を含むファイルのアップロードを制御したい
• ハイリスクなストレージサービスへのファイルアップロードをブロックしたい

解決策2：
CASB for Shadow ITを利用することで、企業が契約していないシャドーストレージサービスの可視化やリスク分析を実現できます。
またCASB for Shadow ITをSWGと連携することで、リスクの高いクラウドサービスの利用を制御できます。
Shadow用DLPポリシーを定義することで、コンテンツベースによる機密ファイルの漏洩防止や危険なサービスへのアップロードを制御することができます。

＜Skyhigh Security Service Edgeの詳細はこちら＞
https://www.techmatrix.co.jp/product/mvision-uce/index.html