CASBとは？必要性や主な機能、導入方法やメリットを解説

企業のクラウド利用が急速に拡大する中、クラウドサービス（SaaS含む）の利用に伴うセキュリティリスクが深刻な課題となっています。従来のネットワーク境界型セキュリティでは対応困難なクラウド環境において、注目を集めているのがCASB（Cloud Access Security Broker）です。CASBは、クラウドサービスの利用を「見える化」し、安全に活用するための仲介役を担います。

本記事では、CASBの基本概念から必要性、主要機能、導入メリット、実装方法、選定時の注意点まで、企業がクラウドセキュリティを強化するために知るべき重要なポイントを解説します。

CASBとは？

CASBとは、「Cloud Access Security Broker」の頭文字を取って「CASB（キャスビー）」と読みます。2012年にガートナーが提唱したセキュリティ概念で、クラウドサービス、特にSaaSを対象としたセキュリティソリューションです。

CASBは、企業とクラウドサービスの間に立ち、セキュリティを担保する仲介役です。SaaSの利用拡大に伴い、IT部門が利用状況を把握し、安全に活用するために注目されています。

CASBは主に以下の4機能を備えています。

従来の境界型セキュリティでは対応しきれないクラウド特有のリスクに対応し、利便性を損なわずにセキュリティを強化できるのが特徴です。

CASBが重要とされる背景

現代の企業がCASBを必要とする背景には、クラウド利用環境の劇的な変化があります。

クラウドサービス（SaaS含む）の利用急増

企業のデジタルトランスフォーメーションにより、Microsoft 365、Google Workspace、Salesforce、Slack、Zoomなど、SaaSを含む多様なクラウドサービスが業務に欠かせない存在となりました。さらに、リモートワークの普及により、この傾向はさらに加速し、平均的な企業で数百から数千のクラウドサービスが利用されているのが実情です。

シャドーIT・無統制クラウド利用リスク

従業員が IT部門の承認を得ずに個人的にクラウドサービスを業務で使用するシャドーITが深刻な問題となっています。無統制なクラウド利用により、機密データの漏洩、コンプライアンス違反、セキュリティインシデントのリスクが大幅に増加しています。

従来のネットワーク境界型セキュリティの限界

クラウドサービスの利用により、企業データが社内ネットワークの外部に存在するようになり、従来のファイアウォールやプロキシベースのセキュリティ対策では十分な保護ができなくなりました。そのため、アプリケーション単位での詳細な制御と可視化が必要になっています。

CASBの4つの主な機能

CASBは、クラウドセキュリティを包括的に強化するため、4つの主要機能を備えています。

可視化

クラウドサービス利用状況の全体把握を実現する基盤機能です。企業内で使用されているすべてのクラウドサービスを自動発見し、利用状況をリアルタイムで監視します。

どの従業員がどのクラウドサービスを利用しているか、どの程度の頻度でアクセスしているか、どのようなデータをアップロード・ダウンロードしているかを詳細に把握可能です。また、未承認のクラウドサービス（シャドーIT）の利用も検出し、IT部門が把握していないリスクも見つけ出せます。ダッシュボード機能により、リスクレベルの高いサービスや異常な利用パターンを即座に特定可能です。

コンプライアンス

組織ごとに設けているセキュリティポリシーに基づいて、従業員が利用しているすべてのSaaSを統一の基準で運用できる機能です。企業の仕組み体制や業界規制に準拠したクラウド利用を確保します。

各クラウドサービスのセキュリティレベル、データ保存場所、暗号化状況、認証方式などを評価し、企業のコンプライアンス基準との適合性を判定します。GDPR、HIPAA、SOX法などの規制要件に対する準拠状況を自動的に監視し、違反の可能性がある利用パターンを早期に検出することが可能です。

データセキュリティ

データの暗号化やマスキング、アクセス権限の設定などで、重要データの持ち出しを禁止する機能です。クラウド環境でのデータ保護を多層的に実現します。

データ損失防止（DLP）機能では、機密情報を含むファイルの外部への送信を検知・ブロック。クレジットカード番号、社会保障番号、機密文書などのパターンマッチングにより意図的・非意図的な情報漏洩を防止します。アクセス制御機能では、ユーザーの役割、デバイスの状態、アクセス元の場所などの条件に基づいて、動的にアクセス権限を調整します。

関連記事：DLPとは？データ漏洩防止の仕組みから機能、導入効果を解説

脅威防御

クラウド経由で侵入するマルウェアや外部攻撃から感染を防御する機能です。ファイルアップロード・ダウンロード時のマルウェアスキャンにより、悪意のあるファイルがクラウド環境に持ち込まれることを防ぎます。

また、行動分析により、通常とは異なるユーザーの活動パターンを検知し、アカウント侵害の可能性を早期に発見します。脅威インテリジェンスとの連携により、最新の脅威情報を活用して既知の悪意のあるIPアドレスやドメインからのアクセスをブロックすることも可能です。

CASB導入のメリット

CASB導入により、企業は多面的なセキュリティ強化と体制改善を実現できます。

シャドーIT対策の強化

企業が許可していないクラウドサービスの使用状況を可視化、検知・遮断できることから、シャドーIT対策が強化できます。従来は把握困難だった従業員の個人的なクラウドサービス利用を完全に可視化し、リスクレベルに応じた適切な対応が可能です。

また、高リスクなクラウドサービスの利用を自動的にブロックする一方で、業務効率向上に有効なサービスについては、適切なセキュリティ設定を施したうえで利用を許可するなど、セキュリティと生産性のバランスを取ったうえで柔軟に対応できます。

情報のセキュリティ対策強化

利用しているクラウドサービスやサービスごとの利用状況を可視化できることで、情報セキュリティ対策が大幅に強化されます。各クラウドサービスでのデータの流れを詳細に追跡し、機密情報がどこに保存され、誰がアクセスしているかを常に把握可能です。

異常なデータアクセスパターンや大量のデータダウンロードを検知した場合、即座にアラートを発報し、必要に応じて自動的にアクセスを制限します。

自社のコンプライアンス対応

使用中のクラウドサービスが自社のセキュリティポリシーに合致しているかの判断を自動化し、継続的なコンプライアンス監視を実現できます。業界規制や社内規定に基づいた評価基準を設定し、すべてのクラウドサービスを統一基準で評価可能です。

監査対応の効率化も大きなメリットで、クラウドサービスの利用状況やセキュリティ設定、アクセスログなどの監査証跡を自動的に収集・整理し、監査人への提出資料を迅速に準備できます。

ゼロトラスト・セキュリティ実現への取り掛かりになる

ゼロトラスト・セキュリティでは対応すべき箇所が多岐にわたるため、段階的に製品導入を進めるものの、最初のステップとしてCASBを導入するケースも少なくありません。CASBが提供する継続的な認証・認可、詳細なアクセス制御、包括的な監視機能は、ゼロトラストアーキテクチャの基盤となります。

クラウドアクセスにおける「すべてを疑い、継続的に検証する」アプローチを実装し、ユーザーの身元、デバイスの状態、アクセス元の場所などを総合的に評価して、動的にアクセス制御を実行することが可能です。

関連記事：ゼロトラスト（ゼロトラストモデル）とは？重要視される理由と実装するための要素を解説

CASBの導入方法

CASBの実装には、企業のネットワーク環境とセキュリティ要件に応じて、3つの主要な方式があります。

フォワードプロキシ

従業員のデバイスに特定のクライアントソフトウェアをインストールする方法です。すべてのクラウドアクセスがCASBプロキシを経由することで、包括的な監視と制御を実現します。

この方式の利点は、すべてのクラウドトラフィックを捕捉できることと、暗号化された通信も検査できることです。また、オフィス外からのアクセスも含めて一貫したセキュリティポリシーを適用できます。ただし、すべてのデバイスにソフトウェアをインストールする必要があるため、BYOD環境での管理が複雑になる場合があります。

リバースプロキシ

クラウドサービス側にCASBのプロキシを配置し、クラウドサービスからのアクセスを中継する方法です。ユーザーは専用のURLを通じてクラウドサービスにアクセスし、すべての通信がCASBを経由します。

また、リバースプロキシは、クライアントソフトウェアのインストールが不要で、様々なデバイスからのアクセスに対応できることが利点です。さらに、特定のクラウドサービスに対して詳細な制御を適用できます。

ただし、対応するクラウドサービスが限定される場合があり、すべてのサービスに適用するには複数のプロキシ設定が必要です。

API連携

クラウドサービスのAPIを利用して、クラウド内のデータや操作をモニタリングする方法です。各クラウドサービスが提供するAPIを通じて、利用状況の監視、セキュリティポリシーの適用、異常検知を実行します。

この方式は、ネットワーク経路に影響を与えることなく監視機能を実現できるのが特徴です。また、クラウドサービス内の詳細な情報にアクセスでき、きめ細かい制御が可能な一方で、リアルタイムでの制御には限界があり、主に事後の分析と対応に適しています。

関連記事：SWGとは？セキュリティ機能や種類、CASBとの違いについて解説

CASB選定・導入時の注意点

CASB導入を成功させるには、事前の準備と慎重な選定が欠かせません。

セキュリティポリシーを定めておく

CASB導入前に、明確なセキュリティポリシーの策定が不可欠です。許可するクラウドサービス、クラウド保存可能なデータ、アクセス権限レベルなど、詳細なルールを事前に定義する必要があります。

ポリシー策定では、業務効率とセキュリティのバランスを考慮し、現実的で実行可能な基準を設定。業界規制、社内規定、リスクレベルを総合的に勘案し、段階的な制御レベルを設定することで、業務阻害を防げます。

データの取り扱いは別途考慮が必要

CASBを通じて収集される大量のアクセスログやユーザー行動データについて、プライバシー保護とコンプライアンス要件を十分に検討する必要があります。従業員のプライバシー権利、データ保持期間、第三者への提供条件を明確に定義します。

CASBベンダーのデータ処理方針、データ保存場所、セキュリティ対策を詳細に確認し、自社要件への適合性を検証。特に国境を越えたデータ転送が発生する場合は、各国の個人情報保護法への適合性確認が必要です。

クラウドサービス利用制御への影響

CASB導入により、一部クラウドサービスの利用制限やアクセス手順変更の可能性があります。従業員の業務効率への影響を事前評価し、必要に応じて代替手段や例外処理の仕組みを整えておくことが重要です。

段階的な導入計画を策定し、重要度の低いサービスから順次適用することで、業務への影響を最小化しながら運用ノウハウを蓄積できます。また、新しいアクセス方法やセキュリティ要件については、従業員向けの教育を通じて周知を図り、スムーズな定着を目指しましょう。

関連記事：SSEとは？ SASEとの違いや導入メリット効果について解説

まとめ

CASB（Cloud Access Security Broker）は、急速に拡大するクラウド利用環境において、企業のセキュリティとガバナンスを強化する重要なソリューションです。クラウドサービス（SaaS含む）の利用急増、シャドーITリスクの深刻化、従来のネットワーク境界型セキュリティの限界といった背景により、CASBの必要性が高まっています。

可視化、コンプライアンス、データセキュリティ、脅威防御の4つの主要機能により、クラウド環境での包括的なセキュリティ対策を実現可能です。導入により、シャドーIT対策の強化、情報セキュリティの向上、コンプライアンス対応の効率化、ゼロトラストセキュリティの基盤構築という多面的なメリットを得られます。

企業は自社のクラウド利用状況とセキュリティ要件を正確に把握し、適切なCASBソリューションを選定することで、安全で効率的なクラウド活用を実現が見込めます。