CASB製品でできることのひとつ、勝手にSaaSを使われるのを防御できる理由
半分、忘備録。
CASBつかうと、たとえば、gmailへのログイン画面で、企業のメアドは使えるが、@gmail.comのような個人メアドを使えないようにできる。個人アカウントでログインさせないようにして、例えば、情報の持ち出しをやりにくくするためだ(完全に持ちだせないかといえば、そんなことはない。持ち出せる)。
認証情報は暗号化されているので中抜きできないのでは?
と思った。が、実際には、ログインプロセスの途中のやりとりで、ヘッダやレスポンスの中に、IDに当たる文字が埋め込まれているっぽい。主要SaaSで確認したらそういう振る舞いではある。が、手法は標準化されていないようで、各社バラバラ。このバラバラなところを解析しつつ対応するのがCASB製品のやくわりということらしい。