Symantec CloudSOC CASBを最大限に活用する方法（パート5）

前回のブログでは、データガバナンスの側面と、CloudSOC CASBがSaaSアプリユーザーの行動とコンテンツ管理履歴の可視性を拡大する方法について解説しました。Securletの説明に続いて、今回はCloudSOC Securletが提供するその他のメリットを紹介します。これには、ポリシーのコンプライアンス、ユーザーとエンティティの行動分析（UEBA）、脅威検出の各分野での可視性の向上が含まれます。  たとえば、CloudSOC Securletが提供する自動化によって以下のことを実現できます。

• SaaSアプリユーザーのアクセス制御の強化
• 管理操作の可視性の向上
• 最も露出が多くリスクの高いユーザーの特定
• SaaSの複数のアプリでのSaaSユーザーの行動の可視化

Securlet（API検証）はどのように役立つのか? 

その答えは、可視性、ポリシーのコンプライアンス、コンテンツ検証、脅威検出です

パレートの法則（別名80対20の法則）は、「結果の80%は、たった20%の原因から生み出されている」という考え方です。CloudSOC Securletは、組織内でどのユーザーが最も多くのリスクを生み出しているかを明らかにして、組織が最も効果的かつ効率的に対策をとれるようにします。

CloudSOC CASBの観点から見ると、Securletは膨大な量のユーザーアクティビティを収集し、保存データ（DAR）をスキャンしてSecurletダッシュボードに表示するだけでなく、この情報を他のCloudSOCアプリケーションと共有し、行動異常検知などのより具体的な分析を行います。

以下はCloudSOC SecurletのSaaSアプリケーションへのAPI接続によって提供されるデータを取り込むCloudSOCアプリケーションです。

• CloudSOC Detect（UEBA機能を提供） 
  • Securletsはユーザーアクティビティを追跡し、それをCloudSOC Detectに提供して各ユーザーのリスクプロファイルを維持管理します。   これにより、組織は、ユーザーが異常な行動やリスクの高い行動をとっている可能性を検知することができます。
• CloudSOC Protect （容認される使用ポリシーの実施） 
  • Securletは、通知ポリシーの実行に必要な情報と、共有リンクの削除や悪意のあるコンテンツの隔離といったリスクの修復に必要なアクセスの両方を提供します。

• CloudSOC Investigate（ユーザーアクティビティおよびポリシー違反の認識） 
  • 各SaaSアプリAPIは、それぞれ異なる方法でデータを提供します。CloudSOC Investigateは、ユーザーの行動、コンテンツ検証ポリシー違反、リスクのあるユーザーの検出を正規化された統合監査ログで表示し、組織が直面している可能性のある漏洩の認識と理解を支援します。その結果、SaaSアプリユーザーの行動、容認される使用違反、データ露出の観点から、どこにリスクが潜んでいるかを的確に理解できます。
  • 下のInvestigateダッシュボードでは、色分けされたトレンドラインに、重大度でランク付けされたアクティビティが棒グラフで表示され、その後にアクティビティリストが表示されています。このビューを通じて、重大度の高いイベントを選択することができ、各アクティビティの詳細な情報が提供されるため、より優先度の高い問題に対処することができます。

• このInvestigateダッシュボードでの重要なベストプラクティスは、対処が必要な上位のリスク以外をすべて非表示にするために動的フィルタの使い方を理解することです。高度な検索では、ブール検索文字列がサポートされており、検索文字列をフィルタテンプレートとして保存できるので、複雑なクエリを再利用できます。

• Symantec DLPとのCloudSOC統合（保存データ（DAR）のコンテンツ検証） 
  • このブログシリーズのパート4では、シマンテックのData Loss Prevention（DLP）ソリューション、DLP Cloudとの統合を通じてSecurletが提供するコンテンツ検証について解説しました。  データ漏洩の防止は、CASB市場において一般的なユースケースの1つです。   データがどのように共有されているかと、漏洩のリスクが及ぼす全体的影響を理解することは、最大の関心事です。  DLP Cloudでは、検出されたコンテンツが、DLPポリシーを使った検証のためにCloud Detection Serviceと共有されます。このコンテンツ検証はクラウド内で行われ、コンテンツ検証ポリシー違反がない限り、コンテンツが組織の境界を越えて送信されることはありません。そのため、他のベンダーのアプローチで消費される帯域幅を効率的に最小限に抑えることができます。
  • データがファイル内にあるものだけとは限らない点に注意してください。  CloudSOC Securletの仕組みを理解することの利点の1つに、管理者がユースケースを拡大するのに役立つということがあります。たとえば、Office 365 Seculetは、電子メールの件名行と本文をスキャンして機密性の高いコンテンツを探すことができます。MS Teamsのメッセージも同様にスキャンしてリスクを探すこともできます。  
  • さらに、DLP CloudはすべてのDLP検出方式をサポートしています。これには、より効率的な検出のための高度な手法を提供するEDMやOCRなどの手法も含まれます
  • 下の画面の図は、DLP Enforceコンソールに表示されたコンテンツ検証インシデントの例です。   この画面は、MS Teamsのメッセージ内で機密情報が検出されたことを示しています。画面の左側にコンテンツとユーザーの追加基準が表示されている点に注意してください。これは、CloudSOCとDLPの統合に特有のものです。

最善の結果を求めて

上記の情報は、DLP CloudのSecurlet、CloudSOCアプリケーション、DLPとの統合によってできることのごく一部です。これらのコンポーネントとその最善の利用方法を理解することで、リソース使用率が最大化され、コンテンツの露出が排除され、SaaSアプリのどこにリスクが潜んでいるかをよりよく理解できるようになります。  

ただし、すべてのSaaSアプリが同じではありません。次回のブログ（パート6）では、IaaS Securlet（AWS、Azure、GCP）を取り上げげ、アクティビティ監視機能やコンテンツ検証機能に加えて、IaaS SecurletがこれらのIaaSプラットフォーム向けにクラウドセキュリティポスチャーマネジメント（CSPM）を提供することで、管理計画の設定ミスが組織にさらなるリスクをもたらす可能性をセキュリティ担当者が理解できるよう支援します。