MCASとMVC for ShadowITによるクラウドリスクアセスメントの比較
前回の「CSPM比較。マイクロソフト"Cloud App Security"と"MVISION Cloud for CSPM"を触ってみた。」に続いて、今回もマイクロソフト社製CASBのMCASとEnterprise McAfee社製CASBのMvision Cloud(MVC)の実機による比較を行ってみます。
今回比較するのは「クラウドリスクアセスメント」となります。CASBの利用用途にはプロキシのログを分析しクラウドの利用状況を可視化する「シャドーITの可視化」や「クラウドリスクアセスメント」があります。どちらの機能もCASBが所有する「クラウド評価用のデータベース」を保有していて、検出されたデータ等からこの「クラウド評価用のデータベース」と突合し、リスクのあるクラウドがどの程度社内で利用されているのか等の判断材料に利用されます。
両製品を用いてどのような「クラウドリスクアセスメント」が行われるのか、比較してみました。
■主要なエンタープライズクラウドを比較
CASBの「クラウドリスクアセスメント」機能を用いると特定のクラウド名を入力すると安全性を示す点数が表示されるので、そのクラウドが安全なのか危険なのかがすぐわかります。大半の企業で導入されているエンタープライズを例題として、両製品がどのようにリスクを判定しているかを見てみました。
注意点としては、MCASは10点満点中10が最も優れていると評価するのに対して、MVCは逆で10点満点中1が最も優れていると評価している点に注意してください。
・オンラインビデオ会議
もはや定番ソリューションとなったオンラインビデオ会議としてTeamsとZoom、WebEXについて比較してみました。Covid-19感染拡大で自社の公式オンラインビデオ会議としてどのソリューションを採用するか悩んだ情報システム担当者も多いのではないでしょうか?そういった問い合わせを受けた時に、CASBがあるとセキュリティの側面から比較が出来るので便利です。
MCASの評価ではTeamsが最も高評価で最高点の10点を獲得し、WebEX、Zoomと続きます。一方MVCの方ではTeamsとWebEXが同点でZoomが僅かに1ポイント下げています。
・クラウドストレージ
次はクラウドストレージの比較です。クラウドストレージを利用するとクラウド上に大量のデータ保存や他社との共有を行えるようになります。在宅勤務や働き方改革で場所を選ばず仕事をするには必須のソリューションですね。
MCASの評価ではOneDriveが最も高評価で、BoxとGoogle Driveが次点という評価。一方MVCでは、Boxが最も評価が高くて、次にOneDrive、Google Driveが続きます。MVCがGoogle Driveの評価を下げている点の一つとして「個人利用で良く利用される」ことを理由にしています。
確かにGoogle Driveは私も個人アカウントとして利用しています。企業としてGoogle Driveへのアクセスを許可していると個人利用アカウントにファイルをアップロードされるリスクが高まりますので、Google Drive自体が悪いわけではないですが、このような評価になるのも頷けます。
・IaaS
最後にIaaSについて比較してみました。IaaSについては説明はもはや不要と思いますが、クラウド上でサーバーやネットワークを構築するためのIT基盤です。
MCASの評価では、Azureが最も高評価で、AWSとGCPが次点。MVCの評価ではGCPが最も高評価でAWSとAzureが次点となりました。
■評価の方向性による違い
主要なエンタープライズクラウドソリューションを両製品で比較した所、何故かMCASではマイクロソフト製品が常に最も高評価となる結果となりました。MVCのスコアはリスクの大きさを示しているので、最高得点は1ですが「リスクの存在しないクラウドなど存在しない」ので、1という最高得点が付与されているクラウドサービスは存在しません。例えそれがEnterprise McAfeeの製品だったとしてもです。
しかし、MCASでは最高得点の10点がしばしば登場します。この違いはどこから来るのでしょうか?その違いを知る一つの手がかりが「ファイル共有機能」についてどうクラウドを判断しているかから読み取れます。以下にOneDriveに関するリスクアセスメント結果を示します。左側がMVC for ShadowITでOneDriveを評価した時の抜粋、右側がMCASでOneDriveを評価した時の抜粋です。
MVC for ShadowITはセキュリティ視点から「リスク」であると考えられる項目については、例えそれが「ファイル共有やアップロード」を目的としたクラウドストレージであったとしても「ファイルアップロードやファイル共有は情報漏えいリスクに繋がるため「リスクが大きい」として評価します。製品自体に対して「リスクがある」のではなく、製品の一部機能の中に情報漏えいに利用される可能性のあるリスクが存在していることを「警告」しているのです。
一方MCASでは「ユーザがファイルをアップロード可能」と「ファイル共有機能有り」をリスクとは見なさず、むしろ「合格」としているようです。
■リスクを評価するMVC for ShadowIT、機能充足度を評価するMCAS
MVC for ShadowITはクラウドサービスを利用する上で「リスク」として捉えるべき評価軸をクラウドセキュリティアライアンス(CSA)と共同開発し、約50項目程の観点からクラウドの安全性を評価します。その中でも特にファイルアップロード/共有の有無は「リスクが高い」と判定する傾向にあります。
一方、MCASはファイルアップロード/共有の有無を「高評価」しているため、リスクを判定するスコアではなく「機能が充実しているか」を考慮しているようです。こう考えると、MCASによるクラウド評価では「満点」となるクラウドサービスが存在するのも納得出来ます。リスクの有無を重視しているのではなく、マイクロソフト視点で「機能が充足していれば満点」なのですから。
MVC for ShadowITは「リスクの有無を評価する」ので、クラウドストレージでっあっても「ファイルアップロード機能はリスク有り」と判断します。但し、その他の暗号化や各種認証資格の有無も鑑み創造的に安全かどうかを判定します。
■DX推進がクラウド採用の効率化と思う企業ならMCAS、リスクを評価したいならMVC
上記の評価の方向性から企業としてDXを推進していてクラウドを迅速に採用することがDXと考えている企業であれば、MCASを採用することで「CASBで問題無しと判断されました」というストーリーで「セキュリテイ部門」が間に入ることを避けることが出来そうです。実際、DX推進を掲げる企業の中には「何かしようとするとセキュリテイ部門が邪魔してくる」と考えてる企業は少なくありませんし、DXを推進している人達の多くはセキュリテイの専門家ではなく、セキュリテイ部門を排除したいと考えている企業も少なく有りません。
事実、そういったストーリのもとクラウドサービスをDXの掛け声で導入した結果、設定ミスが発見され情報漏えいに繋がっている事例があとを絶ちません。「とりあえず安全と言ってくれる」ソリューションにニーズがあるのは確かです。
一方でCovid-19感染拡大でサイバー攻撃の戦術が高度化しており、今まで以上にしっかりセキュリテイ対策を検討をしなければならないと考える企業も存在します。そういった企業は「多少細かい指摘をしてくるMVC for ShadowIT」を採用してみてはいかがでしょうか。