クラウド・アクセス・セキュリティ・ブローカー(CASB)について

CASBは、クラウドのセキュリティ戦略に不可欠な要素となっており、組織のクラウド利用とクラウド内の機密データの保護を支援しています。組織のクラウド利用に関心を持つセキュリティおよびリスク管理のリーダーは、CASBを評価し、この調査を利用して市場を評価する必要があります。

市場の定義/説明

クラウド・アクセス・セキュリティ・ブローカー(CASB)市場を、組織によるクラウド・サービスの利用におけるセキュリティ・ギャップに対処する製品やサービスと定義しています。この技術は、採用率が大幅に上昇しているクラウドサービスのセキュリティを確保し、従来の企業の境界線の内外のユーザーからのアクセスを提供する必要性に加えて、クラウドからクラウドへの直接アクセスが増加していることから生まれたものです。CASB は、ウェブアプリケーションファイアウォール(WAF)、セキュアウェブゲートウェイ(SWG)、エンタープライズファイアウォールなどの他のセキュリティ対策では一般的に利用できない、クラウドに特化した差別化された機能を提供します。これらの構内に特化したセキュリティ製品とは異なり、CASB は、他人のシステムに保存されているデータを特定して保護するように設計されています。CASBは、複数のクラウドサービス(ユーザーとデバイス)にまたがるポリシーとガバナンスのための一元化された場所を提供し、ユーザーの活動と機密データに対するきめ細かな可視性と制御を実現します。

CASBのカバレッジ範囲は、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)のクラウドサービス提供モデルに幅広く適用されます。SaaSの場合、CASBは一般的に最も一般的なコンテンツコラボレーションプラットフォーム(CCP)、CRMシステム、人事システム、ERP、サービスデスク、オフィスの生産性向上スイート、企業のソーシャルネットワーキングサイトなどを対象としています。CASBの中には、カスタム・プラグインやアプリケーションの動作の自動学習により、あまり一般的ではないSaaSアプリケーションのサポートを拡張しているものもあります。IaaSとPaaSをカバーするために、いくつかのCASBは、一般的なクラウドサービスプロバイダ(CSP)のAPIベースの利用(コンソールアクセスを含む)を管理し、これらのクラウド上で実行されるアプリケーションの可視性とガバナンスを拡張しています。

現在、いくつかの CASB は、IaaS、PaaS、および SaaS クラウドサービスの構成リスクを評価して低減するためのクラウドセキュリティ態勢管理(CSPM)機能を提供しています(「クラウドワークロード保護プラットフォームのマーケットガイド」を参照)。これは、多くの場合、クラウドサービス内でネイティブのセキュリティ管理を直接再構成することで実現されます。多くのCASBにとってIaaSとPaaSのガバナンスはもはや新しい能力ではありませんが、成熟度は様々であり、一般的にはSaaSガバナンスの能力ほどには発達しておらず、またCSPM製品ほどにも発達していないのが現状です。少数のCASBを企業のWeb対応アプリケーションの前に配置して、これらのアプリケーションを一貫したクラウドサービス管理フレームワークの下に置くことは可能ですが、これは稀なシナリオです。

CASBは4つの柱で機能を提供します。

可視性

CASB は、組織のクラウドサービス・ランドスケープの統合ビューであるシャドー IT ディスカバリを提供し、あらゆるデバイスや場所からクラウドサービス内のデータにアクセスするユーザーの詳細情報を提供します。先進的なCASBは、クラウドサービスのセキュリティ評価データベースを使用して、CSPの信頼性と、CSPが導入する可能性のある関連リスクを可視化します。

データの安全性

CASB は、データの分類、データの発見、および機密データへのアクセスや特権のエスカレーションのユーザー活動の監視に基づいて、不要な活動を防止するためにデータ中心のセキュリティポリシーを実施する機能を提供します。ポリシーは、監査、アラート、ブロック、隔離、削除、表示のみなどのコントロールを通じて適用されます。データ損失防止(DLP)機能は広く普及しており、可視化の後に最も一般的に導入されているコントロールの1つです。CASB DLP は、Internet Content Adaptation Protocol (ICAP) や RESTful API との統合により、企業の DLP 製品とネイティブに連携して動作します。現在、いくつかのベンダーがクラウド製品とオンプレミス製品に共通のDLPエンジンを提供しており、ポリシーの重複や重複を排除しています。一部のCASBでは、クラウドサービスのフィールドレベルやファイルレベルでコンテンツを暗号化、トークン化、または再編集する機能を提供しています。しかし、SaaSアプリケーションの外での暗号化やトークン化は機能に影響を与える可能性があるため、CASBによる暗号化やトークン化は一般的には使用されていません。

脅威からの保護

CASBは、アダプティブ・アクセス・コントロール(AAC)を提供することで、不要なデバイス、ユーザー、およびアプリケーションのバージョンがクラウド・サービスにアクセスすることを防ぎます。クラウドアプリケーションの機能は、ログイン中やログイン後に観測された信号に基づいて変更することができます。このカテゴリのCASB機能の他の例としては、異常な動作を識別するための組み込みユーザーおよびエンティティ行動分析(UEBA)、脅威インテリジェンス、ネットワーク・サンドボックス、マルウェアの識別と修復などがあります。ほとんどのCASBベンダーは、独自にマルウェア対策ツールやサンドボックスツールを構築するのではなく、既存のエンタープライズグレードのマルウェア対策ツールやサンドボックスツールのOEM版を主に利用しています。場合によっては、CASB ベンダーが独自のアナリストチームを編成して、クラウド固有の攻撃やクラウドネイティブ攻撃を調査していることもあります。

コンプライアンス

CASB は、組織がクラウドサービスの利用を管理していることを示すのに役立ちます。CASB は、クラウドのリスク許容度を決定し、クラウドのリスク許容度を確立するための情報を提供します。CASBは、さまざまな可視性、制御、およびレポート機能を通じて、データの居住性と規制のコンプライアンス要件に準拠するための取り組みを支援します。多くのCASBベンダーは、自社製品にCSPM機能を追加しています。CSPMは、クラウド・コントロール・プレーンのセキュリティ態勢を評価・管理するもので、主にIaaS向け、さらにはSaaS向けのものが増えています。より優れた製品では、複数のパブリッククラウドプロバイダーにまたがって一貫したポリシーの実施を可能にしています。

CASB の機能は、主に SaaS アプリケーションとして提供されますが、オンプレミスの仮想アプライアンスや物理アプライアンスを利用することもあります。ほとんどのユースケースでは、SaaS 配信の方が圧倒的に普及しています。しかし、特にインライン暗号化やトークン化が実行されたり、オンプレミスのログ集計が必要な場合は、特定の規制やデータ主権ルールに準拠するためにオンプレミスのアプライアンスが必要になることがあります。

ベンダーの比較

ベンダーの強みと注意点

Bitglass社

Bitglass社は2013年1月に設立され、2014年1月にCASBの出荷を開始しました。CASB製品は、機密データの発見、分類、保護に重点を置き、SaaSアプリケーションでの検索・ソート機能をサポートする透かしや暗号化方式など、いくつかの文書管理・保護機能も搭載しています。エージェントレスのAJAX仮想マシン(VM)抽象化レイヤーを使用しており、ユーザーのブラウザに透過的にプッシュされ、管理されていないデバイスを含む特定のシナリオでリアルタイムのデータ保護をサポートします。この機能はBitglass独自のものであり、あまり一般的ではないSaaSアプリケーションに依存している顧客に付加価値を提供し続けています。AJAX VMは、従来のネットワークベースのリバースプロキシを迂回する可能性のある、基礎となるSaaSアプリケーションの変化を検知して反応します。BitglassはCASBの4つの柱すべてに対応した機能を提供しています。ブラウザやモバイルでのリバースプロキシ、WindowsやMacでのエージェントを使ったフォワードプロキシ、あらゆるOSでのPACファイルを使ったフォワードプロキシをサポートしており、さらに多くのSaaSアプリケーションのAPI検査をサポートしています。

Bitglassはまた、エージェントレスのモバイルデバイス管理(MDM)機能と、サービスとしての基本的なIDとアクセス管理(IDaaS)機能も提供しています。Bitglassはクラウド上でネイティブに動作し、顧客がオンプレミスでホストするためのDockerコンテナとしてデプロイすることも可能です。

強み
  • ポリシーは、ラインで処理されている間、ドキュメントに透かしを適用することができます。透かしを適用することで、すべてのデバイスと、すべてのマネージド・クラウドサービスとの間を移動するコンテンツの詳細なトラッキングが可能になり、他のポリシーによる意思決定を洗練させることができます。
  • DLPポリシーには、エンタープライズ・デジタル著作権管理(EDRM)アクションを含めることができ、SaaSアプリケーションの外部に保存されたデータを、認証が必要な読み取り専用のHTMLファイルへのリンクや、ローカルで暗号化されたオブジェクトとして保護することができます。
  • 構造化アプリケーションにアップロードされたデータは、適応的なアクセスルールを定義するために使用できる属性でタグ付けすることができます。例えば、ロケーションタグは、特定の場所にいるユーザーだけがデータにアクセスできるようにアクセスを制限して、データ主権の要件を強制することができます。
  • Bitglassは、あらゆるAPI対応クラウドアプリケーション向けのAPIゲートウェイを提供しており、組織は誰がどのAPIをどのような状況で呼び出すことができるかをコントロールすることができます。
注意点
  • サードパーティの SaaS アプリケーションへのアクセスを許可する OAuth トークンを無効にする以外に、Bitglass の CSPM の機能は SaaS アプリケーションのネイティブセキュリティコントロールを直接変更するまでには至りません。BitglassのCSPM for IaaSは、Amazon Web Services(AWS)とAzureを複数のフレームワークに対して評価しますが、利用可能な自動修復の選択肢は2つのCSP間で一貫性がなく、他のベンダーほど徹底していません。
  • 市場での認知度は昨年より向上していますが、顧客からの問い合わせの際には、CASB市場の他のいくつかの企業ほど頻繁に言及されることはありません。
  • セキュア・アクセス・サービス・エッジ(SSE)市場の出現と、そのような機能をすでに提供している数社のベンダーの能力により、数年後には Bitglass は競合他社と比較して不利な立場に置かれる可能性があります。顧客は Bitglass のロードマップを Bitglass の担当者と話し合って、ベンダーの計画が組織の目的に合致しているかどうかを判断するべきです。

CipherCloud社

CipherCloud社は 2010 年 10 月に設立され、2011 年 3 月から CASB 製品を出荷しています。CipherCloudは当初、オンプレミスのアプライアンスを介して、一般的な企業クラウドサービスにおける構造化データのフィールドレベルの暗号化とトークン化を重視していました。

それ以来、本製品は、主にクラウドベースのサービスとして提供され、ディスカバリー、データセキュリティ、脅威保護、コンプライアンスの4つのCASB機能の柱すべてに有用かつ効果的な機能を備えた、機能満載のCASBへと発展してきました。広範囲の SaaS アプリケーションや IaaS サービスを管理するためによく開発された製品であり、ネイティブの CSPM、AAC、UEBA 機能を提供します。CipherCloudは、構造化アプリケーションと非構造化アプリケーションに保存されたデータをスキャンして、自動的に分類ラベルを適用することができます。さらに、サードパーティの鍵管理、DLP、データ分類製品と統合することができます。

CipherCloudは Office 365 と G Suite のメールにも CASB 機能を拡張している数少ないベンダーの一つで、SaaS ガバナンスとメールセキュリティのための単一ベンダーに興味を持つ顧客にとって魅力的な存在となる可能性があります。主要な実装では、リバース・プロキシのサポートと一般的なSaaSアプリケーションのAPI検査を提供します。また、フォワード・プロキシの実装もサポートしており、より完全なマルチモードカバレッジを実現します。

強み
  • CipherCloud DLP には、正確なデータマッチングのためのセレクタ、コンテンツのコーパスをアップロードすることによるドキュメントフィンガープリント、画像の光学的文字認識(OCR)が含まれています。機密情報は違反ログからマスクすることができます。DLP違反への対応は、複数のステップを含むことができます。
  • SaaS アプリケーションに配信する前にデータを暗号化し、アプリケーションの機能を部分的に保持することに加えて、CipherCloudは SaaS ネイティブの暗号化メカニズムのための鍵を管理することもできます。これらは CipherCloud または鍵管理相互運用プロトコル (KMIP) 準拠の鍵管理サーバーに保存することができます。
  • インターフェイスはすっきりとしており、新しいポリシーを作成するためのワークフローがわかりやすく管理しやすくなっています。管理者は、スピードを上げて効果的なポリシーを迅速に作成することができます。
  • CSPM は昨年から大幅に改善され、現在ではCipherCloud独自の(OEM ではなく)テクノロジーとなっています。今日クライアントが要求しているプライマリユースケースをサポートしています。AWS、Azure、GCP のワークロードを評価するための複数のフレームワーク(CIS など)が利用可能です。
  • ユーザーの行動をグラフィカルに可視化することができます。調査担当者は、過去のデータから新たな洞察を得るために、UEBA遠隔測定に新しい属性を追加することができます。さらに、ユーザーのUEBAグループへの割り当ては、CASBの他のポリシー、例えばAACの定義などで使用することができます。
注意点
  • CipherCloudは他の主要な CASB ベンダーが享受しているレベルの市場シェアやクライアントの可視性を持っておらず、競合他社のショートリストやクライアントからの問い合わせにもあまり登場していません。
  • CipherCloudは今後数年で SASE によって破壊される可能性のある CASB 市場に依然として焦点を当てています。CipherCloudは限定的な SASE 機能を提供していますが、最近リリースされた Secure Workplace はその方向に進んでおり、ロードマップは将来的に SASE 基準に照らし合わせて実行されることを示唆しています。
  • CipherCloudの CSPM を SaaS アプリケーションに適用する機能は Salesforce と Office365 に限定されています。

Forcepoint社

2017年2月、Imperva社はSkyfence CASBをForcepoint社に売却し、より深くポートフォリオに統合しています。これにより、他の一連の買収に加わり、SWG、メールセキュリティ、UEBA、DLPとデータセキュリティ、ネットワークファイアウォールなど、セキュリティ製品とサービスの幅広いポートフォリオを形成しています。

Forcepoint CASBは主にクラウド・サービスとして動作しますが、ログ・インジェストによるクラウド・ディスカバリと高度なDLPを実現するためには、追加コンポーネント(オンプレミスまたはIaaSクラウド・プロバイダからの実行)が必要です。クラウドベースのDLPは、ほとんどのエントリーレベルのDLPユースケースには十分な機能を備えています。また、2017年には、Forcepoint CASBにバンドルされ、エンドユーザーに対して透過的に動作するLastline社のサンドボックス技術のライセンス供与に合意し、脅威防御機能を強化しています。CASBはマルチモードで、API検査とともにフォワードプロキシとリバースプロキシをサポートしています。

強み
  • ポリシーエンジンは、誰が、何を、どのように、どこで、いつ、明確なワークフローを公開します。ポリシーには、アナリティクスを使用して導出された「典型的な」「異常な」述語が含まれています。典型的な述語は、時間をかけて学習したCASBからの動作であり、さらなる詳細化は必要ありません。通常ではない述語は、明示的に定義することができます。
  • Forcepoint CASBは、行動(ユーザーが何をするか)と影響(ユーザーが何にアクセスできるか)を分析して、個々のユーザーのリスク・スコアを計算します。これらのスコアは、セキュリティ実施のためのリスク優先順位を決定します。
  • ユーザー中心のイベント処理のために、インターフェイスはよくレイアウトされており、ユーザーのコンテキストですべてのクラウド活動を表示し、管理者はユーザーの全体的で詳細な行動を簡単に調査することができます。
  • そのクラウド・サービス・ディスカバリー機能は、ビジネス・アプリケーションに現実的に焦点を当て、旅行予約サイトやWikiなどの不要なサービスを除外しています。
  • Forcepoint SWG の顧客は、SWG ポリシーと CASB ポリシーを組み合わせて、リスクが高すぎると判断されたクラウドサービスへのアクセスをブロックすることができます。同様に、Forcepoint DLPの顧客は、Forcepoint CASBのポリシーを拡張することができます。
注意点
  • Forcepointのオンプレミス DLP と CASB DLP の統合は改善されましたが、より高度なポリシーを構成するには、別個の DLP 製品(オンプレミスまたは IaaS クラウド)に依存しているのが現状です。これには、フィンガープリント、コーパスとのマッチング、OCRなどが含まれます。強制執行は、クラウドのCASBで行うことができます。
  • カスタムSaaSアプリケーションにAACを追加するには、アプリケーション内のアクションをCASBを通じて制御可能なユーザーの動作にマッピングするスキーマ・ファイルの作成をForcepointに依頼する必要があります。
  • Microsoft RMSに対するERDMポリシーの施行については、Forcepointはデバイスにインストールされたエンドポイントエージェントに依存しています。CASB 自体はこれを行うことができません。
  • CSPMは、ポリシーの施行や構成の変更よりも、主にレポートやコンプライアンスのためのものです。

McAfee社

2018年1月、McAfee社はSkyhigh Networks社の買収を完了したため、DLP、SWG、ネットワークサンドボックスなどのセキュリティポートフォリオが強化されました。McAfee MVISION Cloud(現在はそう呼ばれています)は、シャドーITの認知度を高めた最初のCASB製品の1つでした。この製品は、幅広いクラウド サービスにわたって CASB の 4 つの柱すべてを徹底的にカバーするように拡張され、現在では大幅な CSPM 機能を搭載しています。構造化データと非構造化データの暗号化とトークン化、UEBA、幅広いセレクタを備えた包括的なDLPエンジンなど、いくつかのよく開発されたコントロールが利用できます。CASB は主に API 検査用に配備されており、リバース・プロキシモードの機能もあります。フォワード・プロキシも可能ですが、一般的ではありません。オンプレミスの仮想アプライアンスを必要とする顧客は、オンプレミスの仮想アプライアンスを利用できます。McAfeeは価格の調整とライセンスの簡素化を行いました。MVISION Cloudは2017年11月にFedRAMPの中程度のインパクトレベルの認可を取得しており、ハイインパクトレベルの認可を受けようとしています。

強み
  • McAfee は、クラウドセキュリティの分析と是正勧告を複数のビューで表示する包括的なダッシュボードを提供しており、その中には自動化できるものもあります。
  • 修正により、ネットワークファイアウォール、SWG、エンドポイントセキュリティ製品のアクションを構成することができます。
  • McAfee は、IaaS だけでなく、一般的な SaaS アプリケーションにも、クラウド構成の問題を監査、制御、および修復するための有用な CSPM 機能を提供します。
  • Lightning Link機能は、共有イベントにフックし、トリガーが完了する前にトリガーにアクションを適用することで、共有に対するAPIベースの制御をほぼリアルタイムに動作させることができます。
  • 本製品は、ネイティブおよびサードパーティの分類メカニズムを使用して、管理対象デバイスおよび非管理対象デバイス上の機密情報を検出、ラベリング、対応するためのいくつかのオプションを提供します。
  • McAfee の CASB または SWG にトラフィックを誘導する単一のエージェントによって促進される、API 検査、フォワード・プロキシ・リダイレクト、リバース・プロキシ挿入を最大限に活用する幅広いポリシーを設定できます。
  • カスタムアプリケーションの DLP ポリシーを作成するには、コーディングは必要ありません。記録拡張機能は、アプリの動作を観察し、DLP セレクタで使用できるアプリケーションの要素(フィールド、変数、ファイルなど)を見つけます。
  • McAfee は、IaaS/PaaS および SaaS 向けに、一部の純粋な CSPM ベンダーをも凌駕する広範な CSPM 機能を提供します。強力な監査とコンプライアンス・スキャンに加えて、自動およびガイド付きの手動修復のための複数のオプションが含まれています。
注意点
  • McAfeeの顧客は、MVISIONファブリック全体で2つのDLPエンジンと戦わなければなりません。DLPを使用する場合、どちらのエンジンがスキャンとエンフォースメントを実行するかは不明です。それでも、2つのエンジン間の同期は機能的であり、ほとんどの場合、ほとんどのお客様に受け入れられるでしょう。
  • UEBAの動的グループ化のサポートはシステム定義のグループのみに限定されており、顧客定義のグループメンバーシップは静的なものです。
  • McAfee の見解は、予測可能な方法で相互作用する管理されたデバイスには SaaS アプリケーションへの直接アクセスを与え、フォワード・プロキシやリバース・プロキシを経由しないようにすべきだというものです。顧客は、このスタンスがサポートされている企業のセキュリティポリシーに合致しているかどうかを評価する必要があります。
  • McAfee は、クラウドセキュリティの購入者のニーズを満たすために製品ラインの適応を続けていますが、大規模な伝統的なエンドポイント、サーバー保護、セキュリティ情報およびイベント管理 (SIEM) 製品は、クライアントの間で未だに圧倒的なマインドシェアを誇っています。

Microsoft社

2015年9月、Microsoft社は2013年初頭から出荷していたCASBであるAdallom社の買収を完了しました。Microsoft Cloud App Security(MCAS)は、スタンドアロンでも、MicrosoftのEnterprise Mobility + Security(EMS)E5スイートの一部としても利用できるリバース・プロキシプラスAPIのCASBです。しかし、ほとんどの顧客は、EMS E3スイートのアドオンとして購入するか、Office 365 E5、EMS E5、Windows 10 Enterprise E5のバンドルであるMicrosoft 365 E5の一部として提供されています。MCASはCASBの4つの柱に対応した機能を提供しており、いずれかのEMSスイートと組み合わせることで、より充実した機能を提供することができます。完全な機能を求めるマイクロソフトの顧客は、EMS E3とMCASの組み合わせを評価すべきです。MCASは、Office 365のトラフィックをリバース・プロキシし、リアルタイムでインラインの検査が可能になりました。

クライアントは、より大きなMicrosoftスイートが必要かどうかを日常的に疑問視していますが、このバンドル化はMicrosoftにとっては全体的に成功しています。MCASは、導入された顧客数とシート数の大幅な増加を経験しており、今回の調査では、どのベンダーよりも最大のインストールベースを持っています。さらに、Microsoftは現在、Microsoftと非Microsoftのクラウドサービスの同等のガバナンスにコミットしていることを十分な証拠を示しています。

一部のOffice 365サブスクリプションには、Office 365 Cloud App Security (OCAS)が含まれています。これはMCASのサブセットで、機能が少なく、Office 365テナントのみを保護するように設計されています(他のSaaSアプリケーションは保護しません)。

強み
  • MCASのユーザーインターフェースは直感的で、効果的なポリシーを作成するための多くのヒントや提案が含まれています。複雑なポリシーは、プログラミングやスクリプトを必要としないビジュアルエディタ内で構築することができます。
  • サポートされているCCPサービスでは、MCASは管理コンソール内でファイル履歴の追跡と複数バージョンの制御を提供しています。
  • Azure 情報保護 (AIP) ポリシーは、文書分類ルールと DLP ルールの両方の基礎となります。アクションには、アクセス制御の適用、印刷と転送の制限、透かしの適用、暗号化などがあります。すでにデータ分類のためにAIPに投資している組織は、MCASとの統合を評価するでしょう。
  • MCASは、Office 365、Azure Security Center(Azureのすべての顧客に無料で提供されており、利用には利用資格が必要です)、多くのクラウドサービス、オンプレミス製品のイベントと構成の詳細を集約し、リスクの統合的なビューを提示します。
  • Microsoft Flowは、競合するIaaSベンダーを含むMicrosoftのクラウドサービスなどを横断して、基本的なSOARのような機能を顧客に提供しています。
  • Microsoftは、MCAS、Office 365、AIP、およびWindows Information Protection (WIP)で共有されている1つに、異なる分類メカニズムを統合しました。DLPのアクションは包括的で、Teamsで違反のリアルタイム通知(業務上の正当性の上書き要求付き)を送信することもできます。DLPのOCRは追加費用なしで利用できます。一般的な機密データタイプのリストは頻繁に更新されます。
  • UEBAインターフェースは、複数の管理されたクラウドサービスにまたがる単一アカウントの活動を統合した便利なビューを表示します。
注意点
  • 典型的なMicrosoftのクラウドセキュリティ戦略では、CASBだけでなく、複数のマイクロソフト製品が必要になります。例えば、AAC(Azure Active Directory Conditional Access)やEDRM(Azure Information Protection)には、EMSスイートのいずれかが必要です。Microsoftのクラウドセキュリティ製品は、顧客がスイート全体を導入する場合に最適ですが、スタンドアロン型やアラカルト型の導入では機能が低下します。
  • リバース・プロキシを使用するためのSaaSアプリケーションのオンボードは、Azure ADの条件付きアクセスを介して行われます。リアルタイムのプロキシ検査が必要な顧客は、Azure ADを使用して条件付きアクセス機能も利用する必要があります。
  • サードパーティの脅威インテリジェンス統合では、着信接続の IP アドレスのみを評価します。サードパーティの UEM 統合は、デバイスがデジタル証明書を所有しているかどうかのチェックに限定されます。デバイスまたはアプリケーションをさらに制御するには、Intune が必要です。

Netskope社

Netskope社は2012年10月に設立され、2013年10月にCASBの出荷を開始しました。Netskopeは、クラウドアプリケーションのディスカバリーやSaaSのセキュリティ態勢評価を重視した初期のCASBベンダーの1つです。管理下および非管理下のSaaSアプリケーションにおける挙動分析とアラート機能が充実しています。NetskopeはFedRAMPから中程度のインパクトレベルの認証を受けており、このベンダー比較の中では唯一のCASBベンダーであり、このような認証を必要とする機関に適しています。

Netskope の最も一般的な実装モデルは、API インスペクションとフォワード・プロキシです。エンドポイントクライアント、ネットワーク構成(GREやIPSECなど)、オンプレミスのアプライアンス(セキュアフォワーダーやプロキシチェーニング)、サードパーティのSD-WAN統合など、さまざまなメカニズムを介してトラフィックをフォワード・プロキシに誘導することができます。リバース・プロキシも利用可能です。このエージェントは、ネイティブのモバイルアプリケーションや同期クライアントの監視と制御を可能にし、トラフィックをNetskopeのクラウドに誘導するために使用されます(主な機能)。Netskopeは、インライン・プロキシやAPIベースのコンテンツのマルウェア検査機能を追加することで、脅威からの保護機能をさらに拡張しています。より多くのバイヤーにアピールするために、NetskopeはCSPMとインシデント対応のために、以前に買収したSift Securityを補完するSWGとゼロトラスト・ネットワークアクセス(ZTNA)サービスを提供しています。NetskopeはそのサービスをAPI化し、SIEMを超えて、SOAR市場のようなより高度なツールとのより深い統合を可能にしました。

強み
  • Netskopeのビジョンは、明らかに新興のSASE市場の重要性の認識を示しており、他のCASBベンダーよりもその方向に沿ってさらに進んでいます。
  • Netskopeのクラウドコンフィデンスインデックス(CCI)クラウドリスクデータベースは包括的なもので、価格、ビジネスリスク、規制への対応などの詳細を含む多くの基準で、多くのサービスを測定しています。
  • NetskopeのDLPエンジンは、多くのオンプレミスツールに匹敵するものであり、クライアントからも製品を選ぶ理由として頻繁に引用されています。
  • アクセス制御ポリシーは、適切なアプリケーションへのリンクを含む提案など、さまざまなシナリオでユーザーを指導する機会を提供します。デバイス姿勢ポリシーは、エンドポイント保護ツール(VMwareが買収したCarbon Blackなど)に、管理されたSaaSアプリケーションからの隔離など、さまざまなアクションを取るように合図することができます。
  • Netskopeは、複数の組み込み型およびテナント固有の脅威インテリジェンスフィードを提供し、社内で開発された効果的な脅威防御機能と複数のOEMからのソースを提供しています。
  • Netskopeでは、管理されたデバイスがガバメントされたクラウドアプリケーションとガバメントされていないクラウドアプリケーションにアクセスするための様々なAACを提供しています。また、モバイルネイティブアプリケーション上のアクションの検査もサポートしています。
  • 構造化データの暗号化とトークン化は、共通のアプリケーション機能の検索と部分的な保存をサポートします。
  • 今年拡張されたCSPM機能は、SaaSとIaaSの両方をカバーするようになりました。
注意点
  • UEBAの機能は初歩的なものです。分析グラフがないため、ユーザーの行動をモデル化するための高度さが制限されています。動的なグループ化は利用できず、代わりにSIEMのレシピに依存しています。
  • NetskopeのSaaSアプリケーションへのサードパーティのアクセスを取り消すことができるのは、G Suiteに限られています(本ベンダー比較の発行時点)。
  • クライアントの中には、製品の価値を最大化するためにエージェントを導入する必要性について懸念を表明している人もいます。
  • 今年は例年に比べれば減少傾向にあるものの、施工上の課題や技術サポートの品質、サービスの実績などに関連した軽微なクレームが続いており、今後も問い合わせの増加が見込まれます。

Palo Alto Networks社

2015年5月、Palo Alto Networks社は2013年7月に設立されたベンダーのCirroSecure社を買収しました。Palo Alto Networksは、これまでバラバラだった製品をPrismaという単一ブランドに統合しました。Prisma SaaS(旧Aperture)は、SaaSアプリケーションを管理するためのAPIベースのツールです。Prisma Access(旧GlobalProtect Cloud Service)は、Palo Alto NetworksのファイアウォールのSaaS版で、SaaSトラフィックのプロキシベースの検査機能が追加されています。Prisma Cloudは同社のCSPM提供で、元々は2018年のRedLockの買収から派生したものです。その前に、Palo Alto Networksは、実質的に類似したCSPMツールであるEvident.ioを購入していましたが、これは販売中止となり、RedLockに移行しました。Prisma SaaS の対象市場は、Palo Alto Networksのファイアウォールだけでは得られないクラウドの可視性とガバナンスを求めるPalo Alto Networksの顧客です。Prisma SaaSのその他の機能には、コンテンツスキャン、センシティブデータの監視、マルウェア検出(WildFire経由)と修復、分析、リスク識別、レポートなどがあります。Prismaは、ファイル暗号化のためにIonicと提携しています。

強み
  • クラウド・リスク・レポートには、データを流出させるために使用できるSaaSや非SaaSのウェブ・アプリケーションが多数含まれており、組織のリスクに関する有用な全体像が表示されます。認可されていないサービスへのアクセスをブロックするルールは、認可されているサービスにユーザーを誘導したり、ユーザーが簡単にアクセスできるようにリンクを提供したりすることができます。
  • CSPM の機能には、複数の業界ベースラインとの比較が含まれており、いくつかのコンプライアンス義務を満たすための適切な構成を提案することができます。対策オプションには、ガイド付きの手動ステップや(場合によっては)自動再構成などがあります。
  • CSPMの機能は、SaaSアプリケーションにも拡張されています。Prismaは、一般的なSaaSアプリケーションのセキュリティ構成を評価し、改善することができます。
  • Prisma SaaSは、キーワードや一般的なコンテンツの種類を超えて、Palo Alto Networksがコンテンツのコーパスから機械学習によって開発した分類を使用して、頻繁に使われる単語の組み合わせをスキャンすることで、関連するドキュメントの種類を識別することができます。
注意点
  • DLPポリシーを設定するには、2つの別々のコンソールが必要です。インライン検査が必要なポリシーはPrisma Accessで設定され、基本的なもので、事前に定義されたパターン、文字列、正規表現がいくつか用意されているだけです。より高度なポリシーは、Prisma SaaSを通じてのみ利用できるため、クラウドサービスのAPI検査を介してのみ動作します。
  • Prisma Cloud CSPMの検査と修復のルールでは、さらに別のコンソールが必要になります。
  • Prisma のリブランディングにもかかわらず、Palo Alto Networksは、複数のクラウドセキュリティ製品を単一の一貫した製品に移行し続ける必要があります。

Proofpoint社

2014年に発足したFireLayers社は、2017年にProofpoint社に買収され、Proofpoint CASBとなり、Proofpointの既存の脅威対応、モバイル脅威防御、リモートブラウザ隔離(別の買収)、ZTNA(別の買収)、脅威インテリジェンスの各サービスにCASBを拡張しました。Proofpointは、メールセキュリティ製品のインストールベースが大きいため、ProofpointのCASBのターゲット市場は、このインストールベースのアドオンとして、さらにProofpoint製品を使用していない新規顧客を対象としています。Proofpointは買収後も製品開発を続けており、改善されたDLP、高度な脅威検知、脅威インテリジェンス、クラウドおよびサードパーティ製OAuthアプリのガバナンス、組み込みの2ファクタ認証などの機能を追加しています。また、Proofpointは、共通のSaaSアプリケーション内のイベントAPIの共有と投稿をフックする仕組みや、ほぼリアルタイムのDLPを提供できるコンテンツスキャンボットなど、SaaS向けの複数の非プロキシミティゲーションを追加しています。

強み
  • 脅威に重点を置いて、ProofpointのCASBは、独自の市場をリードする製品を含む脅威インテリジェンスの複数のソースによって強化された、ポリシー作成で必要に応じて重み付けできる幅広いカテゴリのリスクを識別します。
  • クラウドサービスへのインバウンドアクションは、ユーザーの行動と権限に基づいてリスクスコア化されます。最も攻撃を受ける傾向のあるユーザー(管理画面では「非常に攻撃を受けた人」と表示されています)は、そのリスクを最小限に抑えるグループに分類することができます。
  • ProofpointのCASB、電子メールセキュリティ、リモートブラウザ分離製品には有用な相乗効果があり、一部の顧客にとっては魅力的な統合およびバンドルとなる可能性があります。
  • Proofpointでは、管理されていないデバイスが承認済みのSaaSアプリケーションにアクセスできるようにするために、リバース・プロキシではなく、リモートブラウザの分離メカニズムを推奨しています。リモート・ブラウジングは設定が簡単ですが、ベンダーからの追加の帯域幅とコンピューティング・リソースが必要になります。
  • 新しい脅威が検出されると、Proofpoint はそれまでのイベントを再評価して、その脅威が以前に見過ごされていたかどうかを判断し、その行動が悪意のあるものか良性のものかを評価することができます。
注意点
  • ProofpointのCASBには、意味のあるCSPM機能はありません。IaaSストレージオブジェクト内のDLP違反のあるファイルから過剰なパーミッションを検出して削除したり、検出したりすること以外は、IaaSの顧客がリスクを軽減したり、IaaSアプリケーションのガバナンスを提供したりするのに役立つことはできません。
  • カスタムアプリケーションのサポートには、ベンダーの関与が必要です。顧客は、API統合を必要とするSaaSアプリケーション用のプラグインの作成をProofpointに依頼することができます。
  • データの暗号化、トークン化は本製品では利用できません。

Symantec社

2016年6月、Symantec社はBlue Coat Systems社を買収し、複数のセキュリティ製品をポートフォリオに追加しました。その中には、Blue Coatが以前に買収した2つのCASBが含まれていました。Perspecsys社とElastica社です。2009年に設立されたPerspecsys社は、SaaSアプリケーションに保存されたデータをトークン化または暗号化することで、データの残留要件を満たすことに重点を置いていました。2012年に設立されたElastica社は、DLP、UEBA、コンテンツ検査機能で最もよく知られていました。2017年、SymantecはリモートブラウジングベンダーのFireglass社を買収しました。この技術は、転送トラフィックのためのリバースプロキシに代わるCASBに再導入されました。

改名された Symantec CloudSOC は、オプションのデータ暗号化/トークン化ゲートウェイを備えたマルチモード CASB を提供します。ログ分析とトラフィック検査を組み合わせることで、CloudSOC は、効果的なクラウドサービスの評価、クラウドの利用状況分析、ユーザーの行動分析、マルウェア分析、是正措置、レポートを技術者と非技術者の両方に提供します。リメディエーション機能に関しては、以前の調査よりもCSPM機能が向上しています。

Symantecは、SWGの顧客向けの従来の管理コンソールにクラウドアプリケーションディスカバリとセキュリティ態勢評価機能を組み込み、フルCASBへのアップセルの機会を創出しました。Symantec は、機密データの一貫したディスカバリを実現するために、オンプレミスのDLPアプライアンスとCloudSOCのDLPを組み合わせることに取り組んでいます。これは別個のコンソールであり、追加ライセンスが必要になる可能性がありますが、オンプレミスでもクラウドでも同じレベルのDLP機能で同じポリシーを適用できるようになりました。

2019年にSymantecは、ソフトウェア製品への投資や統合の歴史がないチップメーカーであるBroadcom社にエンタープライズセキュリティソフトウェア製品を売却する意向を表明しています。したがって、ロードマップへの継続的な投資と、CloudSOCの高いレベルのクライアントサポートは不明です。

強み
  • AACは、しきい値、脅威、行動、デバイス、ユーザーの場所、シーケンスなど、選択可能な「検出器」のシーケンスから構築することができます。ステップアップ認証は、多くのタイプのポリシーに対して可能です。
  • CloudSOCには、一般的なデータ形式やタイプに基づく事前定義済みのDLPセレクタ、辞書、ファイルタイプ検出、フィンガープリンティング、ポジティブコンテンツとネガティブコンテンツのコーパスから学習できる類似性マッチングなど、幅広い種類のセレクタが含まれています。
  • リモートブラウジング技術であるMirror Gatewayは、管理されていないデバイスから承認されたアプリケーションへのアクセスを管理するために、従来のリバース・プロキシに代わる効果的な方法です。URLを書き換える必要がなく、ユーザーに配信されるコンテンツをより大きくコントロールすることができます。
  • ネイティブおよびサードパーティの二要素認証(2FA)との統合をポリシーに追加する機能は、特にSymantecのモバイルプッシュ2FAクライアントを選択した顧客にとっては、広範囲で便利です。
  • 最近の契約レビューでは、ガバメントされたクラウドサービスの数に関わらず、CloudSOCの価格設定は一貫しており、ユーザー単位/年単位のモデルで消費しやすいことが一貫して示されています。
注意点
  • ユーザーインターフェイスは改善されましたが、時には面倒なこともあり、複数のエリア間を移動して単一のポリシーを完全に設定しなければならないこともあります。
  • リバース・プロキシモードがOffice 365にのみ適用されるようになりました。その他のリバース・プロキシのユースケースでは、別途ライセンスされた機能であるMirror Gatewayが必要になりました。
  • Broadcom社による Symantec のエンタープライズ・セキュリティ事業の買収は、いくつかの面で問題があると考えています。今後 1 年間で、スタッフ、パートナー、製品のロードマップ、エンドユーザーのサポートにある程度の混乱が生じると予想しています。

 

ベンダーの追加と削除

私たちは、市場の変化に合わせてベンダー比較sの対象基準を見直し、調整しています。このような調整の結果、ベンダー比較sに含まれるベンダーの構成は時間の経過とともに変化する可能性があります。ある年にベンダー比較sに掲載されたベンダーが次の年には掲載されていないということは、必ずしも当社がそのベンダーに対する評価を変更したことを意味するものではありません。それは市場の変化を反映している可能性があり、したがって、評価基準が変更されたか、またはそのベンダーの焦点が変更されたことを反映している可能性があります。

追加

2019年に追加されたベンダーはありませんでした。

削除

2019年は以下のベンダーが削除されました。

  • Censornet – Censornetは2019年の収益の包含基準を満たすことができませんでした。
  • Cisco – Ciscoのクラウドセキュリティ戦略は変わりました。Umbrellaのブランディングでは、DNSベースのセキュリティ、CASB、サービスとしてのファイアウォール(FWaaS)、SWGを強調しています。Ciscoは、スタンドアロンCASBソリューションとしてCloudlockの販売を継続していますが、今回のレポートでは複数の包含基準を満たしていません。
  • Oracle – Oracleは、2019年の特定の製品構成および製品機能の包含基準を満たすことができませんでした。
  • Saviynt – Saviyntは、2019年の特定の製品構成と製品機能の包含基準を満たすことができませんでした。

包含および除外基準

このベンダー比較の評価は、2018年7月から2019年7月までの評価期間中のベンダーの能力とポジションを表しています。すべてのベンダー比較と同様に、これは時間のスナップショットであり、ベンダーはここでは捕捉されていない能力を追加している可能性が高いです。いくつかのケースでは、製品名も変更されています。

対象となるには、ベンダーは次の基準を満たす必要があります。

  • 売上高と展開 – 2018年のCASB製品の売上高がグローバルで1500万ドル以上を達成しており、少なくとも200の有料顧客と20万席以上の展開をしている必要があります。(売上と顧客数を計算する際に、隣接製品や関連製品を含めることはできません)。
  • 地理 – アメリカ大陸、ヨーロッパ、アジア・太平洋(APAC)地域、中東・アフリカの4つの主要地域市場のうち、少なくとも2つの市場で競争する必要があります。
  • 製品構成 – 主にスタンドアロンCASBのユースケースを満たす製品として販売する必要があります。つまり、4つの機能の柱(可視性、データセキュリティ、脅威保護、コンプライアンス)を満たすために隣接する製品やサービスに頼らないことです。
  • 製品機能 – CASBの定義を満たし、以下の機能のほとんどを備えている必要があります。
    • プロバイダAPIを介してクラウドサービス内のデータとユーザーの動作を調査
    • フォワードおよび/またはリバース・プロキシ(クライアントが強く支持する機能)として、ユーザーとクラウドサービスの間でインラインで運用したり、オプションでリモートブラウザ機能を提供したりすることができる
    • さまざまなエンドポイントの展開と構成オプションをサポート
    • クラウドサービスにアクセスする任意のユーザー、デバイス、場所のアクセス制御を実行する機能をサポートする
    • 既存の企業の ID プロバイダおよびイベント管理システムへの CASB の統合をサポートする
    • パブリッククラウドから配信されるマルチテナントサービスとしての運用
    • 必要に応じて、オンプレミス環境またはパブリッククラウド環境で仮想アプライアンスまたは物理アプライアンスとして動作する
    • 様々な形式の高度なアナリティクスを使用して、ユーザーやデータの行動を監視することができる
    • 許可、制限、複数のアラートタイプ、追加認証の要求、セッションの終了、ユーザーへのコーチングなど、複数の方法で悪意のあるセッションや不要なセッションを特定し、対応することができる

以下のような製品やベンダーは除外されます。

  • CASB のような機能を提供するために、主にファイアウォールや SWG などのレガシー製品に依存している
  • 10個未満のSaaSアプリケーションのポリシーとガバナンスをサポート
  • 能力の4つの柱(可視性、データセキュリ ティ、脅威からの保護、コンプライアンス)のすべてに積極的に対応していない
  • インストールベース、クライアントの可視性、販売要件を満たしていない

その他のベンダー

CASB市場には、このベンダー比較で評価されたベンダーよりも多くのベンダーが存在します。以下のベンダーは、1つ以上の基準を満たしていないため、評価されませんでした。しかし、これらのベンダーはCASBのユースケースに対応した機能を持っていたり(ベンダーが積極的に販売していなくても)、CASBに似た機能を持つ製品を持っていたりします。

  • Avanan
  • CensorNet
  • Centraya
  • Cisco
  • CloudCodes
  • Fortinet
  • ManagedMethods
  • Oracle (for Oracle SaaS applications only)
  • Saviynt
  • Skyguard
  • StratoKey

評価基準

実行力

製品またはサービス。この基準は、SaaSアプリケーションの機能の変化への迅速な反応と、SaaSアプリケーションのリスクランキングのスピード/正確性を備えた革新的で効果的なクラウドの可視化と制御機能を指します。様々な感度レベルのコンテンツを識別して分類するメカニズムなど、企業のDLP製品に匹敵する強力で正確なDLP機能が含まれています。可視性と同等かそれ以上に保護と制御を重視し、ユーザー、デバイス、およびクラウドサービスとの間のコンテンツのためにAACを提供する(または他のツールと連携してオーケストレーションを行う)能力が重み付けされています。

全体的な実行可能性。これは、顧客、座席、収益の前年比プラス成長を含む、持続的な資金源(ベンチャーキャピタルなど)を指します。製品開発と販売への継続的な投資の証拠である必要があります。

販売の実行と価格設定。この基準には、使用可能なSaaSアプリケーションや機能にほとんど制限を設けず、合理的な価格の可視化ユースケースが含まれている価格設定が含まれています。ベンダーは、効果的な営業、プリセールス、マーケティング・チームとのより良い価値と顧客のユースケースの整合性により、既存の企業に取って代わるような案件での競争に成功し、競争の激しいショートリストの中で勝利を収めることができるはずです。

市場への対応力と実績。競合他社よりも早く革新的なセキュリティ対策を開発し、幅広いユースケースに対応し、クラウドセキュリティの脅威を迅速に緩和することが、本調査では高く評価されています。

マーケティングの実行。このベンダー比較の反復では評価されていません。

顧客体験。日常業務は既存の顧客担当者が行うことができます。導入後のクラウドサービスに対するエンドユーザーの体験や行動に大きな変化はありません。重大度が適切な場合には、ベンダーのサポートリソース(最高の重大度レベルのエンジニアを含む)とのコミュニケーションを可能にするサポートエスカレーションパスが評価されています。

オペレーション。このベンダー比較の反復では評価されません。

評価基準重み付け
製品・サービス
全体的な実行可能性
販売実行/価格設定
市場対応力/実績
マーケティングの実行評価されていない
顧客体験
オペレーション評価されていない

 

ビジョンの完成度

市場の理解。これは、クラウドセキュリティのネイティブ機能の要件を満たす、またはそれ以上の可視性、保護、制御機能を適切にブレンドすることを意味します。また、他のセキュリティ製品やサービスとの統合だけでなく、革新性、顧客の要求を予測し、新機能で競合他社に先んじていることも評価されます。最後に、ベンダーは、あらゆる規模の組織が複数のクラウドサービスを利用することに伴う困難な問題を解決しなければなりません。

マーケティング戦略。このベンダー比較の反復では評価されません。

営業戦略。この基準には、SaaS(およびSaaSのセキュリティ)やその他のクラウドサービスの購入者が必ずしもIT部門にいるとは限らないという認識が含まれています。クラウドを利用している企業にとって馴染みのある価格設定やパッケージ、導入後の迅速なアフターサポートなどが重視されます既存顧客との定期的なフォローアップ・コンタクトが必要であり、また、利用可能なすべての地理的な場所の組織に対して、一貫性と高品質な製品やサービスへのアクセスを可能にする有能なチャネル・プログラムが必要であることが明らかです。

オファリング(製品)戦略。評価の高い製品は、SaaSアプリケーションのサポートの幅広さと深さ、クラウド・アプリケーションの変化に迅速に対応する能力、そして強力で行動指向のユーザー行動分析を備えていなければなりません。さらに、第三者評価(ISO 27001やSOC 2など)を取得していること、継続的に機能を提供する充実したロードマップを持っていること、IaaSのカスタム・アプリケーションをサポートしていることが求められます。

ビジネスモデル。研究開発への投資を通じた新機能やイノベーションの開発プロセスと成功率が評価されます。これには、複数のクラウドアプリケーションのセキュリティ確保に関連する特定の課題を理解していること、およびその理解を競争力のある市場投入戦略に変換してきた実績が含まれます。

垂直/業界戦略。この基準では、機密情報を管理し、規制要求を満たすための業界特有の平均以上の要件に対応するための製品設計と機能性の実証を評価します。また、複数の業種、複数のクラウドサービス、複数の顧客規模に展開していることの証拠も評価します。価格は、複数の多様な業界セグメントのための資金と予算が現実的に利用可能であることを考慮して調整されなければなりません。

革新性。この基準には、パフォーマンス、管理インターフェイス、レポーティングの明確さなど、品質の差別化を図るための継続的な研究開発が行われていることを示す証拠が含まれます。機能は、クラウドセキュリティの責任が分散しているという現実に合わせたものでなければなりません(例:さまざまなセキュリティ/監査の役割のためのコンソールや、ビジネスユニットがポリシーの一部を管理するためのコンソールなど)。プラットフォームに焦点を当てたロードマップ、より多くのクラウドサービスへの継続的なサポート、進化する脅威に対処するための戦略(高度な脅威の検出と軽減機能を含む)、および強力な社内の脅威とリスクの研究グループが含まれています。

地域的戦略。製品が販売されている地域に関連する第三者の認証、および顧客が地域のコンプライアンス要件を満たすのを支援する能力が加重されます。ベンダーは、利用可能なすべての地域で一貫したメッセージングとサポートを提供する効果的なチャネルを持つ必要があります。

評価基準重み付け
市場の理解
マーケティング戦略評価されていない
営業戦略
オファリング(製品)戦略
ビジネスモデル
垂直・業界戦略
革新性
地理的戦略

Quadrantの説明

リーダー

リーダーは、すべての実行とビジョンのカテゴリーにおいて、バランスのとれた進歩と努力を示します。リーダーの行動は、市場のすべての製品の競争力を高め、業界の方向性を変えることができます。リーダーであり続けるためには、ベンダーはエンタープライズCASBの導入を成功させ、競争力のある評価を勝ち取った実績を示さなければなりません。リーダーは、CASBのすべての機能とアーキテクチャの選択を具現化し、多くのクラウドサービスをカバーし、顧客の課題を先取りして革新を行い、幅広いユースケースを持つ製品を製造しています。リーディング・ベンダーは継続的に選定を勝ち取り、企業の選定リストに常に名を連ねています。ただし、主要ベンダーはすべてのバイヤーのデフォルトの選択ではありません。クライアントは、リーダー象限のベンダーからのみ購入するべきだと思い込んではいけません。

挑戦者たち

挑戦者は市場の典型的なニーズに対応した製品を提供し、ニッチプレーヤーよりも強力な販売力、大きな市場シェア、知名度と影響力を持ち、高い実行力を持っています。挑戦者は多くの場合、確立された顧客基盤で成功を収めていますが、競合他社との競争ではうまくいかないことが多く、新機能や改良された機能の導入やアーキテクチャの選択では、一般的に遅れをとっています。

ビジョナリー

ビジョナリーは、次世代製品の中で重要な役割を果たすであろう最先端/試作性の高い機能に投資し、セキュリティと管理の向上を早期に実現します。ビジョナリーは市場の技術開発の方向性に影響を与えることはできますが、挑戦者やリーダーを凌駕する実行力には欠けています。

ニッチプレーヤー

ニッチプレーヤーは、より狭義のユースケースを持つ一部のバイヤーのニーズを満たす、実行可能な製品やサービスを提供しています。ニッチプレーヤーは、候補に挙がる可能性は低いですが、適切な機会を与えられれば、十分な成果を上げることができます。市場の流れを変えるほどの力はないかもしれませんが、単にリーダーに追随しているだけと考えるべきではありません。ニッチプレーヤーは、市場全体のサブセット(例えば、中小企業(SMB)セグメント、垂直市場、特定の地域など)に対応している場合があり、リーダーよりも効率的に対応していることが多いです。ニッチプレーヤーは、すべての企業要件を満たすだけのリソースや機能をまだ持っていない小規模ベンダーや、異なる市場で事業を展開していてCASBの考え方をまだ採用していない大規模ベンダーである可能性があります。

コンテキスト

クラウドサービスの急速な普及により、多くのセキュリティチームが準備不足に陥っています。クラウド環境におけるユーザー、デバイス、データ・アプリケーションの相互作用を可視化することは、「他人のシステムで自分のデータをどのように保護するか?」という質問に答えるために必要です。

共通のユースケースが形成されたことで、ITセキュリティリーダーは、競争環境において、コアとなる機能のセットについてベンダー間の有用な比較を行うことができるようになりました。お客様の正確なニーズに特化したユースケースの合理的に詳細なリストを作成することから始めることを強くお勧めします。そこから概念実証(POC)を作成することで、導入が格段に容易になります。(ユースケースの開始ポイントとPOCの評価基準については、「成功するCASBプロジェクトのための10のベストプラクティス」を参照してください)。

CASB ベンダー市場は、比較的安定した水準に達しています。すべてのベンダーは、拡大し続けるクラウドサービスのリストにセキュリティの価値を付加するためのさまざまなメカニズムを提供しています。多くのベンダーは、従来のCASBのユースケースに対応するために必要な機能を超えた機能を追加することで、差別化を図る方法を模索しています。

フル機能を備えたCASBプラットフォームは、より多くの機能を提供し、より多くのクラウドサービスに対応し、クラウドサービスでデータを保護するための幅広いエンタープライズユースケースに対応しています。この俊敏性は、CSPが提供するセキュリティ機能や、セキュリティ技術の延長線上にCASB機能のサブセットを提供している他のベンダーのセキュリティ機能を上回っています。さらに、主要なCASBベンダーのプラットフォームは、クラウドで生まれ、クラウドのために設計されています。それらは、従来のネットワークセキュリティやSWGセキュリティ技術の延長線上に設計されたCASB機能よりも、ユーザー、デバイス、アプリケーション、トランザクション、機密データに対する深い理解を持っています。

購入者は、CASB プロバイダがサポートしているアプリケーションやサービスのリストを見て、組織で使用されている、または計画されているクラウド・アプリケーションをCASBがどのように具体的にサポートしているかを詳細に調べる必要があります。最も人気のあるSaaSアプリケーション(例:Office 365、Salesforce、Box)は、十分な機能を提供していますが、これらのサービスについては、CASB市場全体での差別化はあまり進んでいません。しかし、SaaS アプリケーションの機能、CASB アーキテクチャ、ユーザーやデバイスの状態、ID プロバイダ、ログ管理・報告システム、インシデント対応ツールなど、既存の隣接するセキュリティツールとの統合などに応じて、実質的な能力差が存在する可能性があります。特に重要なのは、CASB ベンダーがクラウド API のみをサポートするか、フォワード・プロキシやリバース・プロキシ、リモートブラウジングなどのインラインメカニズムを含めるかを選択することです。このアーキテクチャの決定は、CASBがどのように異なるアクションを実行するかを根本的に定義します。これは、プロバイダが特定のクラウドサービスの4つの柱をどのように提供するかに影響を与える。多くのクライアントは、APIとインライン検査の両方を提供するCASBを圧倒的に好んでいます。

クラウドサービスの API によって可視性が高まり、制御の度合いが向上し、時にはリアルタイムに近いパフォーマンスが得られるようになると、インライン・トラフィックの傍受の必要性は徐々に薄れていくでしょう。現在も中期的にはそうではありませんが、著名なクラウドアプリケーションやサービスプロバイダは、今後2~3年の間にAPIの大幅な開発を継続すると予想しています(たとえ、Cloud Security AllianceのOpen API Charterのような業界標準や推奨標準への準拠を追求していなくても)。APIはますます実用性を高め、まだ想定されていない新しいセキュリティ・ユースケースの可能性をサポートするようになるでしょう。しかし、小規模な SaaS プロバイダが可視性と制御のための有用な API を開発することはないかもしれないため、プロキシを介したインライン可視性の必要性が完全になくなることはないでしょう。

市場の概要

数億ドルにも及ぶ大量のベンチャーキャピタルからの資金調達が、CASB市場の初期成長を後押ししています。大手ベンダーによる買収や、急成長を遂げた新興企業の出現は、市場が成熟期に入ったことを示唆しています。隣接する市場の他のベンダー(例:IDaaS、SWG、統合エンドポイント管理(UEM))は、CASBベンダーと定期的に提携し、リーチを拡大し、新たな買い手を見つけています。また、CASBは、隣接する市場のベンダーがさらなる買収で参入するための原動力となる可能性があります。例えば、UEM、SWG、ファイアウォール、またはクラウドセキュリティを提供する(または提供を希望する)他のベンダーなどです。

CASB への関心は高く、顧客の採用も急速に進んでいます。これは、あらゆる規模の企業が、新規プロジェクトのデフォルトの開始点として、また既存のアプリケーションの更新や機能強化の次のステップとしてクラウドを採用しているためです。クラウドにおけるセキュリティの可視性と制御ポイントの重要なニーズに対応するために、既存のセキュリティベンダーは、ほとんどの場合、CASB市場に参入して、新規のクラウドセキュリティポートフォリオを開始したり、既存のクラウドセキュリティポートフォリオを拡張したりしています。市場の統合と買収の段階は止まっていますが、このベンダー比較で評価されている2つの純粋なCASBベンダー(BitglassとCipherCloud)は、ある時点で買収のターゲットになるかもしれません。

1つは、クラウドセキュリティには2つの側面があるということです。1つ目は、メールセキュリティ、ウェブフィルタリング、ファイアウォール、SIEMなどの既存技術が、オンプレミスのアプライアンスからクラウド配信型サービスへと移行していく「クラウドからセキュリティを提供する」という考え方です。2 つ目は、クラウドサービスへのアクセスを確保することであり、CASB、CSPM、クラウド・ワークロード保護プラットフォーム(CWPP)、IDaaS などの機能は、非常に重要なツールとして明らかになっています。これら2つの側面は関連していますが、その範囲、設計、導入アプローチ、ユーザー、データ、アクション、トランザクション、アプリケーションの管理のライフサイクルのどこに当てはまるかという点で根本的に異なります。

CASB市場の拡大と成熟を牽引する4つのITトレンドを見ています。

  • 企業では、従来のPCや非PCのフォームファクタをBYO(Bring Your Own)する動きがあり、管理されていないデバイスからの利用が増加しています。企業では、コア・ビジネス・プロセスにタブレットやスマートフォンを大量に採用しているため、平均的な企業のエンド・ユーザーが非PCデバイスで画面を見る時間が大幅に増えているため、CASB を使用して効果的にセキュリティ・リスクを軽減することができます。従業員の BYOPC は衰退しているかもしれませんが、ビジネス・パートナーのクラウド・サービスへのアクセスは確実に増加しています。ここでも、ビジネス・パートナーのエンタープライズ・データへのアクセスに関する個別のポリシーを持つ CASB の役割があります。
  • 企業はクラウドサービスに移行しています。クラウドの採用に減速の兆しはなく、SaaSの支出がIaaSの2倍になると予想しています(「予測:世界のパブリッククラウドサービス、2017-2023年、2Q19 Update」参照)。クラウドの利用をガバナンスし、ガバナンスが整っていることを実証する必要があることは明らかです。大量の支出とコンピューティングは、CSPを中心に集約されることになるでしょう。これは、長期的にはセキュリティソフトウェアやアプライアンス市場を含むオンプレミスベースのテクノロジーに影響を与えます。
  • ベンダーによる多額のクラウド投資。Oracle、IBM、Microsoft、SAPなどの大企業向けソフトウェア・プロバイダーの多くは、現在、クラウドへの投資を多額に行っており、大規模なインストール基盤を積極的にクラウドサービスに移行させています。企業のソフトウェアの定期的なアップグレードサイクルは、継続的な機能更新を特徴とするサブスクリプションモデルに移行しています。企業のセキュリティチームは、この進化のセキュリティへの影響に対処するために、CASB のような機能を必要とするようになるでしょう。
  • 拡大する不確実性の高い規制環境。一般データ保護規制(GDPR)や、データの海外での使用を明確にする法律(CLOUD)などの規制は、クラウドサービスとの間でデータが共有されている現在、データの所在を理解することを組織に求めています。

クラウドとモビリティの力は、データとトランザクションがユーザーとアプリケーションの間を移動する方法を根本的に変えます。その結果、クラウドを利用する組織は、セキュリティ対策への投資の優先順位を調整する必要があります。

ユースケースの幅を広げるために、ほとんどのCASBベンダーは製品にCSPM機能を追加しています。CSPMは、主にIaaSとPaaS、そして最近ではSaaS向けに、クラウド・コントロール・プレーンのセキュリティ態勢の評価と管理を行います。より優れた製品は、一貫したポリシー実施のために複数のパブリッククラウドプロバイダーにこれを提供します。たとえば、任意のIaaSのネットワークグループがパブリックインターネットに直接公開されている場合にアラートまたはブロックします。大規模な IaaS ベースのワークロードを導入する場合、CSPM 機能は CASB からの必須機能と考えるべきです。この調査では、CASBとCSPMを組み合わせた方向に進んでいるベンダーが有利です。CSPMのみのベンダーもありますが、CASBとCSPMを組み合わせた製品やCWPPとCSPMを組み合わせた製品を提供しているベンダーとの競争が厳しくなってきています。

SaaSベンダーの中には、プロキシ、キャッシュ、WANオプティマイザーなどの製品を自社サービスの前に配置することを推奨していないところもあります。これは、パフォーマンスや可用性の問題が他の製品の中にあるだけで、クラウド・サービス自体の問題として認識されてしまうことを懸念しているからです。このことが原因で、CASBをインラインで評価して導入する気が失せてしまうことはないでしょう。SaaSベンダーは、顧客がサービスを利用する方法を制限することはできません。一方で、SaaSベンダーは、パフォーマンスや可用性だけでなく、機能の幅広さと深さに裏打ちされたエンタープライズ・インテグレーションやセキュリティのユースケースをサポートするさまざまなAPIの開発を継続するよう奨励されるべきです。クラウドプロバイダによって API が十分に改善されれば、彼らのサービスの前にプロキシを置く必要性が薄れる可能性があります。問題が発生した場合のトラブルシューティングには、CASBを調査に含める必要があります。いくつかのケースでは、CASBはこのトラブルシューティングのプロセスを妨げるのではなく、むしろ支援することができます。

SASE:クラウド配信型セキュリティコンバージェンス

以上のように、クラウドからセキュリティを提供することと、クラウドサービスへのアクセスを確保することを区別しています。私たちは、前者で信頼できるコンバージェンスを目撃しています。この現象を新しい市場であるSASEとして認識しています。この新製品は、包括的なWAN機能とSWG、CASB、ファイアウォール・アズ・ア・サービス(FWaaS)、リモート・ブラウザ分離、ZTNAなどの包括的なネットワーク・セキュリティ機能を組み合わせ、デジタル企業のダイナミックなセキュア・アクセスのニーズをサポートします。(「ネットワークセキュリティの未来はクラウドにある」では、この収束について述べています)。このベンダー比較にとって重要なことは、CASB ベンダーが SASE を認識し、SASE に向けた動きを示していることです(出荷製品やロードマップのいずれかで)。

評価基準の定義

実行力

製品/サービス。ベンダーが定義された市場に向けて提供する中核的な商品とサービス。これには、市場定義で定義され、下位基準で詳述されているように、ネイティブで提供されているか、OEM契約/パートナーシップを通じて提供されているかに関わらず、現在の製品/サービスの能力、品質、機能セット、スキルなどが含まれます。

全体的な実行可能性。実行可能性とは、組織全体の財務健全性、事業部の財務的・実務的成功、個々の事業部が製品への投資を継続し、製品の提供を継続し、組織の製品ポートフォリオの中で最先端の技術を発展させる可能性を評価することです。

販売の実行/価格設定。すべてのプリセールス活動におけるベンダーの能力とそれをサポートする構造。これには、ディールマネジメント、価格設定と交渉、プリセールスサポート、販売チャネルの全体的な有効性が含まれます。

市場対応力/記録。機会の発展、競合他社の行動、顧客のニーズの変化、市場のダイナミクスの変化に対応し、方向性を変え、柔軟に対応し、競争上の成功を収める能力。この基準はまた、ベンダーの対応力の歴史を考慮します。

マーケティングの実行。市場に影響を与えるために組織のメッセージを提供するように設計されたプログラムの明快さ、質、創造性および有効性は、ブランドおよびビジネスを促進し、プロダクトの意識を高め、バイヤーの心の中でプロダクト/ブランドおよび組織との肯定的な同一証明を確立します。この「マインドシェア」は、宣伝、プロモーションの取り組み、思考のリーダーシップ、口コミや販売活動の組み合わせによって駆動することができます。

顧客体験。顧客が評価された製品で成功することを可能にする関係、製品、サービス/プログラム。具体的には、顧客がテクニカルサポートやアカウントサポートを受ける方法が含まれます。これには、補助ツール、カスタマーサポートプログラム(およびその品質)、ユーザーグループの利用可能性、サービスレベル契約なども含まれます。

オペレーション。組織がその目標とコミットメントを達成する能力。要因には、組織が継続的に効果的かつ効率的に運営することを可能にするスキル、経験、プログラム、システム、およびその他の乗り物を含む組織構造の質が含まれます。

ビジョンの完成度

市場の理解。バイヤーの欲求とニーズを理解し、それらを製品やサービスに変換するためのベンダーの能力。ビジョンの最高度を示すベンダーは、バイヤーの欲求やニーズに耳を傾け、理解しており、その付加されたビジョンでそれらを形にしたり、強化したりすることができます。

マーケティング戦略。明確で差別化された一連のメッセージは、組織全体で一貫して伝達され、Webサイト、広告、顧客プログラム、およびポジショニングステートメントを通じて外部化されます。

販売戦略。市場へのリーチ、スキル、専門知識、技術、サービス、顧客基盤の範囲と深さを拡大する直接・間接の販売、マーケティング、サービス、コミュニケーションの関連会社の適切なネットワークを活用した製品販売の戦略。

オファリング(製品)戦略。差別化、機能性、方法論、および機能セットを現在および将来の要件に対応させることに重点を置いた製品開発と提供に対するベンダーのアプローチ。

ビジネスモデル。ベンダーの根底にあるビジネス提案の健全性と論理。

垂直/産業戦略:垂直市場を含む個々の市場セグメントの特定のニーズを満たすためにリソース、スキル、および製品を方向付けるベンダーの戦略。

革新性。投資、統合、防御または先制的な目的のための資源、専門知識または資本の直接、関連、補完的、相乗的なレイアウト。

地理的戦略。リソース、スキル、および提供物を「本国」または本国以外の地域の特定のニーズを満たすために、直接、またはその地域および市場に適したパートナー、チャネル、および子会社を介して指示するためのベンダーの戦略。

コメント

タイトルとURLをコピーしました