CatoクラウドのCASBとDLPについて

本記事の内容は、以下のCato Networks社の記事を元に日本語へ意訳し、再構成したものとなります。

Cato Networks社は、2022年に、Cloud Access Security Broker （CASB）とData Loss Prevention （DLP）をリリースしています。
CASBとDLPは、Catoクラウドの標準サービスではなく、ともにセキュリティオプション（追加費用）となります。また、DLPについては、CASBの契約が前提となります。

それでは、CatoクラウドのCASBとDLPについてご紹介します。

Cato CASBについて
Cato DLPについて
まとめ

Cato CASBについて

CatoクラウドのCASBは、公認アプリケーション（Sanctioned）と非公認アプリケーション（Unsanctioned＝シャドーIT）の両方をカバーし、IT管理者に組織のクラウドアプリケーション使用に関する包括的な洞察を提供します。CatoのCASBは、各SaaSアプリケーションの潜在的なリスクを評価し、最小限の特権と最小限のリスク・エクスポージャーを確保するために、非常にきめ細かく柔軟なアクセス・ルールを定義することを可能にします。

クラウドアプリケーションの完全な可視化とシャドーITコントロール

企業のリスク管理を担当する管理者は、各SaaSやクラウドアプリケーションのコンプライアンスを手作業で確認することができません。Cato CASBは、自動化されたデータ収集とMLベースの分析により、すべてのクラウドアプリケーションのリスクスコアを算出します。クラウドアプリケーションカタログに表示される各アプリケーションのプロファイルは、アプリケーションの説明、コンプライアンス遵守、セキュリティコントロールで強化されています。管理者は、アプリケーションの使用に関して十分な情報に基づいた意思決定を行い、リスクと暴露を制限するポリシーを定義するために必要なすべての情報を表示できます。例えば、特定のリスクスコア以上のアプリケーションへのアクセスを防止したり、MFAやSSOのないアプリケーション、セキュリティ標準に準拠していないアプリケーションなどです。

クラウドアプリケーション内でのユーザの行動を制御

CatoクラウドのCASBは、より広範なリスクとコンプライアンスベースの制御だけでなく、ユーザーがアプリケーション内で実行できる特定のアクションのきめ細かなインライン監視と制御も提供します。HTTP(S)やAPI経由で送信されるコマンドを検査することで、ログイン、ダウンロード、アップロード、表示などのきめ細かなユーザーアクションを特定します。管理者は、アクションの許可を制御するポリシーを作成し、ユーザーの生産性とデータ・セキュリティのバランスをとることができます。例えば、承認されていないファイル共有アプリからのアップロードはブロックするが、外部組織とのデータ交換のためのダウンロードは許可するといった現実的な状況です。

インライン・アウトオブバンドのアプリケーションアクセスコントロール

ユーザは、オフィスとリモート、企業デバイスとBYODの両方からクラウドアプリケーションにアクセスするため、帯域外制御のインライン制御が必要になります。インライン・トラフィックの可視化と制御に加え、Cato CASBは一般的なエンタープライズ・クラウド・アプリケーション用のAPIコネクタを提供します。APIコネクタにより、アプリケーションのアクセスをほぼリアルタイムで監視し、データ漏洩、データ共有の設定ミス、マルウェアの伝播から保護します。Cato CASBは、インラインとアウトオブバンドの両方で動作するため、管理者はクラウドアプリケーションの使用状況を包括的かつ完全に可視化し、すべてのアプリケーションのアクセスシナリオで一貫した制御を行うことができます。

エンタープライズSaaSのテナント制限でデータ漏えいを防ぐ

企業によって認可され、許可されたSaaSアプリケーションも、従業員によって私的に使用されている可能性があり、機密データ漏えいのリスクをもたらします。業界のベストプラクティスに従って、Cato CASBは、企業の知的財産が明示的な許可なしに社外に流出しないように、許可されたアプリケーション内の許可されたテナントにアクセスを制限することができます。

Cato DLPについて

CatoクラウドのDLPは、ユーザー、場所、クラウドを問わず、機密データを一貫して保護することを可能にします。包括的なDLPコントロールは、GDPR、PCI DSS、HIPAAなどの規制へのコンプライアンスを確保し、知的財産や専有情報を保護するために不可欠です。

センシティブデータタイプの完全なカタログで、価値実現までの時間を短縮

DLPの導入は、誤検知やユーザーの生産性に影響を与えることなく、データを正確に分類することを目的としているため、ほとんどの組織にとって困難なことです。Cato DLPは、テストおよび検証済みの350以上の定義済みデータタイプのカタログを備えており、すぐに使用できるため、セキュリティチームは先手を打つことができます。このカタログは、機密データ、PII、金融情報の保護、複数の地域にわたる規制コンプライアンスの達成など、一般的なユースケースをカバーしており、迅速かつ効率的なDLPの展開を可能にします。

Cato DLPへの秘密度（機密）ラベルの持ち込み

企業は秘密度（機密）ラベルを使用して、データを効率的に分類し、複数のプラットフォームでデータ保護の精度を向上させます。Cato DLPは、Microsoft Information Protection (MIP)とカスタム秘密度（機密）ラベルをサポートしています。簡単な設定により、企業のMIPラベルをCato DLPが認識し、該当するデータ保護ポリシーで使用できます。DLPルールにおける一貫した秘密度（機密）ラベルの使用により、企業は全社的で統一されたデータ保護を実現できます。

機密データ型のカスタマイズと検証

DLPは万能なソリューションではなく、カスタムデータタイプを作成する機能は、組織に適したデータ保護ポリシーを作成するために不可欠です。CatoのDLPでは、管理者は秘密度（機密）ラベル、キーワード、辞書、正規表現に基づいてカスタムデータタイプを作成できます。さらに、誤検知を減らすために、Cato DLPはインスタント検証ツールを提供しており、管理者は本番環境でポリシーを適用する前に、サンプルファイルに対してデータ保護ポリシーをテストすることができます。企業特有のポリシー作成と微調整の労力を最小限に抑えます。

インライン・アウトオブバンドのデータ保護

ユーザは、オフィスとリモート、企業デバイスとBYODの両方からクラウドアプリケーションにアクセスするため、帯域外とインラインのデータ保護が必要になります。Cato DLPは、インライントラフィックの可視化と制御に加え、一般的なSaaSアプリケーションのAPIを使用して、データ使用状況をほぼリアルタイムで監視し、データ漏洩やデータ共有の設定ミスを防止します。このように、Cato DLPは、すべてのアプリケーションとデータアクセスシナリオにおいて、包括的で完全なデータ保護を提供します。

企業データ保護のための1つのダッシュボード

データ保護は、継続的な実施、監視、微調整を必要とする継続的な責任です。Cato DLPは、DLPイベントと関連アクティビティを効率的に可視化するための専用ダッシュボードを提供します。管理者は、ユーザー、違反者、ファイルタイプ、データプロファイル別の機密データ使用違反など、主要なDLPメトリクスを即座に把握できます。長期的かつ地域横断的に分析することで、リスクおよびコンプライアンスチームは、企業のポリシーやプロセスに必要な調整を特定することができます。

すべてのトラフィックを360度データ保護

Cato DLPエンジンは、オンプレミスとクラウドのデータセンター、およびSaaSアプリケーションのプライベートアプリケーションに向かうすべてのトラフィックを検査します。CatoのDLPエンジンは、センシティブなデータの利用を特定し、トラフィックの送信元や送信先に関係なく、一貫したデータ保護ポリシーを適用します。Cato DLPはクラウドサービスとして提供されるため、特定の場所で検査するためにトラフィックをバックホールする必要がなく、DLP制御がアプリケーションの応答性やユーザーの生産性に与える影響を最小限に抑えることができます。