日商エレクトロニクスは2018年9月19日、CASB(Cloud Access Security Broker)を使ったシャドーIT対策「クラウドセキュリティ診断サービス」を発表した。2018年10月1日から提供する。クラウドサービスの利用状況の調査やリスク分析の診断サービスをスポットサービス型で利用できる。参考価格(税別)は、1回あたり75万円から。販売目標は、2018年度が25件、2020年度が50件。
クラウドセキュリティ診断サービスは、企業の承認なく社員や事業部門が勝手に持ち込むクラウドサービス(シャドーIT)を特定し、リスクの高いユーザーやクラウドサービスを割り出すサービスである。専門のセキュリティ技術者が現状を分析し、調査開始から約20日後に対策への提案などを含めたレポートを提供する。スポットサービスとして利用できる。
図1:クラウドセキュリティ診断サービスの適用範囲(出典:日商エレクトロニクス)拡大画像表示
まず、ユーザー企業のプロキシサーバーやファイアウォールのログを基に、シャドーITを特定する。この次に、特定したクラウドサービスが危険かどうかなどを判断する仕組みとして、クラウド型のCASBサービスを利用する。どのCASBサービスを使うかは非公開だが、利用するCASBサービスは順次拡大するという。
クラウドセキュリティ診断サービスの効果として、すでにPoC(概念検証)を実施した複数のユーザー企業のすべてで、運用管理者が把握できていなかった危険なクラウドサービスの利用を検出したという。
今後は、CASBを導入したユーザーに対する運用支援サービスの提供を検討している。具体的には、運用ルール策定、リスク制御、情報漏洩の原因特定などを含めたCASB導入後の安定運用、セキュリティ強化支援を提供する。
