CASB(キャスビー)とは?機能からSWGとの違い、選定ポイントまで解説

CASBとは、組織のクラウドサービス利用におけるセキュリティを強化するためのソリューションです。この記事では、CASBとは何かという基本的な定義から、その主要な機能、必要とされる背景、類似製品との違い、そして自組織に最適な製品を選ぶための選定ポイントまでを網羅的に解説します。
・CASBの必要性とは?3つの背景と導入メリット
・CASBが持つ4つの主要機能
・混同しやすいセキュリティ製品との役割の違い
・CASBの代表的な導入方式
・自社に最適なCASB製品を選ぶための3つの選定ポイント ・CASBに関するよくある質問 ・まとめ
CASBとは?クラウド利用の安全性を高める仕組み

CASBとは、「Cloud Access Security Broker」の略称で、日本語では「キャスビー」と読みます。
CASBは、主にSaaSなどのクラウドサービスの利用に関して組織が求めるセキュリティポリシーを適用するため、利用者とクラウドサービスの間に立って仲介する仕組みです。この定義は、米国の調査会社ガートナーによって提唱されました。
具体的なイメージとしては、組織の従業員がクラウドサービスへアクセスする際に、CASBという単一のチェックポイントを通過させることで、情報漏洩や不正アクセスなどのリスクを一元的に管理・制御するものです。CASBは、組織のクラウド利用におけるセキュリティ対策の重要な要素となっています。
CASBの必要性とは?3つの背景と導入メリット

昨今、CASBの必要性が高まっている背景には、働き方の多様化やIT環境の複雑化が関係しています。
クラウドサービスの利便性が向上する一方で、新たなセキュリティリスクも生まれており、従来の対策だけでは対応が困難になっているのが実情です。ここでは、CASBの導入が求められる主な3つの背景について解説します。
背景1:シャドーITの増加とそれに伴う情報漏洩リスク
シャドーITとは、組織の情報システム部門が関知・許可していないクラウドサービスやデバイスを、従業員が業務に利用することです。
テレワークの普及などにより、従業員が利便性の高い個人向けサービスを無断で利用するケースが増加し、大きなセキュリティリスクとなっています。シャドーIT対策が不十分な場合、組織の管理外で重要なデータがやり取りされ、意図しない情報漏洩やマルウェア感染の原因になりかねません。
CASBは、従業員のクラウドサービス利用状況を可視化し、許可されていないサービスの利用を制御することで、効果的なシャドーIT対策を実現します。
背景2:複数クラウドサービスの利用によるセキュリティ管理の複雑化
現代の組織では、業務効率化のために複数のクラウドサービスを組み合わせて利用することが一般的です。
しかし、サービスごとにセキュリティポリシーや管理画面が異なるため、設定が煩雑化し、管理者の運用負荷が増大するという課題があります。また、設定の抜け漏れやミスが発生しやすく、組織全体のセキュリティレベルにばらつきが生じる原因にもなっているのです。
CASBを導入することで、さまざまなクラウドサービスに対して統一されたポリシーを適用でき、一元的なセキュリティ管理がおこなえるようになります。これにより、管理の複雑化を抑えつつ、効率的かつ均一な運用を実現可能です。
背景3:ゼロトラストセキュリティ実現に不可欠な要素
ゼロトラストとは、「何も信頼せず、すべてのアクセスを検証する」という考え方にもとづくセキュリティモデルです。
ゼロトラストでは、社内ネットワークと外部の境界で防御する従来の対策とは異なり、情報資産へアクセスするすべての通信を検査します。このセキュリティモデルを実現するための対策として、CASBは重要な役割を担います。誰が・いつ・どこから・どのクラウドサービスにアクセスし、どのような操作をおこなっているかを詳細に可視化し、アクセス制御をおこなえるためです。
CASBは、クラウド利用における信頼性を常に検証し、安全なアクセスを確保するゼロトラストの考え方を具現化するセキュリティ対策として機能します。
CASBが持つ4つの主要機能

CASBは、クラウドセキュリティを実現するために、ガートナー社によって定義された4つの主要な機能を持っています。これらの機能が連携することで、組織はクラウドサービスの利用状況を正確に把握し、潜むリスクに対応できます。
【機能1:可視化】誰がどのクラウドサービスをどのように利用しているか把握する
「可視化」は、CASBの最も基本的な機能です。
組織内のファイアウォールやプロキシサーバーのログを分析し、従業員が利用しているクラウドサービスの種類、利用者、利用日時、送受信されたデータ量などを詳細に把握します。この機能により、情報システム部門が許可していない「シャドーIT」を検知することが可能です。
利用実態の監視を通じて、どのサービスにどのようなリスクが潜んでいるかを評価し、後述する制御機能の土台となる情報を得られます。
【機能2:コンプライアンス】社内規定や業界の規制に準拠しているか監視する
「コンプライアンス」機能は、組織のクラウドサービス利用が、社内で定められたセキュリティポリシーやGDPR、PCI DSSといった外部の法令・規制に準拠しているかを監視・評価するものです。
CASBは、各クラウドサービスが持つセキュリティ認証の取得状況や信頼性を評価し、リスクレベルをスコアとして表示します。リスクが高いと判断されたサービスについては、利用を禁止したり、利用できる機能を制限したりする制御をおこない、組織のガバナンスを維持します。
【機能3:データセキュリティ】機密情報のダウンロードや不正な共有を防止する
「データセキュリティ」機能は、クラウドサービス上で扱われる重要データを保護し、情報漏洩を防ぐ役割をもちます。
具体的には、機密情報や個人情報を含むファイルを識別し、それらのファイルが許可されていないデバイスへダウンロードされるのをブロックします。また、組織のアカウントから個人のプライベートな個人アカウントへファイルがアップロードされる行為や、不適切な外部ユーザーへの共有設定などを検知し、未然に防止する制御も可能です。
これにより、悪意のある内部不正や不注意による情報流出のリスクを低減させます。
【機能4:脅威防御】マルウェアの感染や不正アクセスからデータを保護する
「脅威防御」機能では、クラウドサービスを標的とした外部からのサイバー攻撃から組織のシステムやデータを守ることが可能です。
例えば、マルウェアに感染したファイルがクラウドストレージにアップロードされたり、メール経由で共有されたりするのを検知し、ブロックします。また、通常とは異なる国や時間帯からの不審なログイン試行といった不正アクセスを検知し、アカウントの乗っ取りを防止します。
多要素認証などの追加の認証を要求する制御と組み合わせることで、ネットワーク全体のセキュリティ強化にもつなげられる機能です。
混同しやすいセキュリティ製品との役割の違い

CASBを検討する際、SWGやSASE、DLPといった他のセキュリティ製品との違いが分かりにくいという声が多く聞かれます。それぞれが保護する対象や目的は異なり、それらを理解することが適切なセキュリティ戦略を立てるうえで重要です。
以下より、混同しやすい各製品とCASBとの役割の違いを明確に解説します。
SWGとの違い:保護対象がWebサイト全般かクラウドサービスか
CASBとSWGの最も大きな違いは、保護する対象範囲です。
SWGは、従業員がインターネット上のWebサイトへアクセスする際のセキュリティを確保する製品です。URLフィルタリングやアンチウイルス機能により、不正なサイトへのアクセスやマルウェアのダウンロードを防ぎます。
一方、CASBはSaaSやIaaSといったクラウドサービスの利用に特化しており、「どのサービスで、誰が、どのようなデータを扱っているか」といった詳細な利用状況を可視化・制御します。
つまり、SWGはWeb全般の脅威を防ぐ門番であり、CASBはクラウド利用の安全性を高める専門家という役割分担になります。
SASEとの違い:CASBはSASEを構成する機能の一つ
SASE(Secure Access Service Edge)は、ネットワーク機能とセキュリティ機能をクラウド上で統合して提供するフレームワークの概念です。特定の製品を指すものではなく、さまざまな機能を組み合わせて構成されます。
CASBは、このSASEを構成する主要なセキュリティ機能の一つとして位置づけられています。SASEの構成要素には、CASBのほかにSWG、ZTNA(ゼロトラストネットワークアクセス)、FWaaS(Firewall as a Service)などがあります。
つまり、CASBはSASEという大きな枠組みのなかで、クラウドサービスのセキュリティを担う重要な役割を果たしているのです。
DLPとの違い:DLPの機能をクラウドに特化させ拡張したのがCASB
DLP(Data Loss Prevention)は、その名の通り「データ損失防止」を目的とし、組織内の機密情報や個人情報が外部へ漏洩するのを防ぐことに特化したソリューションです。メールの添付ファイルやUSBメモリへのコピーなどを監視し、機密データが含まれている場合に送信や書き出しをブロックします。
一方、CASBはクラウドサービスの利用という文脈において、DLPがもつデータ保護機能を含んでいるうえ、シャドーITの可視化、脅威防御、コンプライアンス遵守といったより広範な機能を提供します。いわば、DLPの機能をクラウド向けに特化させ、さらに多角的なセキュリティ機能を加えたものがCASBであるといえるでしょう。
CASBの代表的な導入方式

CASB製品には、いくつかの代表的な導入方式(タイプ)が存在します。
それぞれの方式にはメリットとデメリットがあり、組織のネットワーク環境やセキュリティ要件、利用しているクラウドサービスによって最適な選択肢は異なります。オンプレミス環境からの移行や既存構成の変更も考慮し、自社に合った方式を理解することが肝要です。
API連携型:導入が容易でユーザーへの影響が少ない
API連携型は、クラウドサービス側が提供するAPI(Application Programming Interface)を利用してCASBと連携する方式です。
ネットワーク構成の変更が不要なため、導入が比較的容易で、ユーザーの通信に介在しないため、遅延などの影響が少ない点が大きなメリットです。クラウドサービスに保存されているデータのスキャンや、共有設定の監視などに適しています。
ただし、連携できるのはAPIを提供しているサービスに限られ、リアルタイムでの通信制御ができない場合があるため、他の方式との組み合わせも検討されます。API型の導入は、手軽にはじめられる点が魅力です。
フォワードプロキシ型:社内からクラウドへの通信を監視・制御する
フォワードプロキシ型は、組織のネットワークに出口となるプロキシサーバーを設置し、組織内からクラウドサービスへのすべての通信をCASB経由に集約する方式です。
すべての通信を監視できるため、リアルタイムでの詳細なアクセス制御や脅威防御に優れています。管理下にないデバイスからのアクセスは監視できないものの、組織内端末のセキュリティを厳格に管理したい場合に有効です。
導入には、各端末に専用のエージェントソフトをインストールするか、ネットワーク設定の変更が必要となります。
リバースプロキシ型:社外からクラウドへの通信を監視・制御する
リバースプロキシ型は、特定のクラウドサービスへのアクセスをすべてCASBのリバースプロキシサーバー経由に振り向ける方式です。
ユーザーがどの場所やデバイスからアクセスしてもCASBを経由するため、社外のモバイル端末や個人のPCからの利用も監視・制御できる点が大きなメリットといえます。エージェントソフトのインストールが不要な点も、管理者からするとうれしいポイントでしょう。
一方で、サービスごとに設定が必要で、すべてのクラウドサービスが対応しているわけではない点や、URLの書き換えなどによる一部機能の制限が発生する可能性がある点に注意が求められます。
ログ分析型:既存のログを活用して利用実態を可視化する
ログ分析型は、ファイアウォールやプロキシサーバーなど、組織内に既にあるネットワーク機器が出力するログをCASBに収集・分析させる方式です。
ネットワーク構成の変更やエージェントの導入が一切不要で、簡単に運用をはじめられます。主に「可視化」機能に特化しており、どのようなクラウドサービスが利用されているか(シャドーIT)を把握するのに非常に有効です。
ただし、ログを分析するだけなので、リアルタイムでの通信制御やデータ保護はおこなえません。そのため、まずはログ分析型で現状を把握し、その結果をもとに他の方式の導入を検討するという段階的なアプローチで利用されることが多くなっています。
自社に最適なCASB製品を選ぶための3つの選定ポイント

CASB製品は多くのベンダーから提供されており、自社に最適なものを選ぶのは簡単ではありません。各製品のシェアや評価、無料トライアルの有無なども気になるところですが、まずは機能や運用面で自組織の要件を満たせるかを見極めることが大切です。
ここでは、CASB製品を選定するうえで欠かせない3つのポイントを解説します。
ポイント1:利用中のクラウドサービスに対応しているか
CASB製品を選定するうえで一番基本的な確認事項は、自組織で現在利用している、あるいは将来的に導入を検討しているクラウドサービスに対応しているかという点です。特に、Microsoft 365やGoogle Workspaceなど、業務の中核となるサービスに対して、どの程度の粒度で可視化や制御がおこなえるかは重要です。
例えば、特定の操作だけを禁止したり、詳細なログを取得したりできるかなど、製品によって対応レベルは異なります。API連携の可否や対応アプリケーションのリストを事前に確認し、自社の要件を満たせる製品を選びましょう。
ポイント2:自社の運用体制にあった導入方式を選択できるか
前項でご紹介した通り、CASBにはAPI連携型やプロキシ型など、複数の導入方式があります。ネットワーク環境、セキュリティポリシー、そして情報システム部門の運用リソースを考慮し、最も適した方式を選択できる製品を選びましょう。
例として、ユーザーへの影響を最小限にしたい場合はAPI連携型、リアルタイム制御を重視するならプロキシ型が候補になります。製品によっては複数の方式を組み合わせたハイブリッド提供も可能です。
どのような設定が可能で、自組織の運用体制で無理なく管理できるかを見極めることが、導入後の安定した運用につながります。
ポイント3:管理画面の操作性とレポート機能が分かりやすいか
CASBは導入して終わりではなく、日常的な監視やインシデント発生時の対応など、継続的な運用が不可欠です。そのため、管理画面が直感的で分かりやすく、担当者が必要な情報をすぐにみつけられる操作性をもっているかは大事な選定ポイントとなります。
また、シャドーITの利用状況やセキュリティリスクをまとめたレポートなどが、みやすく理解しやすい形式で出力できるかも確認しましょう。主要なツールでは無料トライアルが提供されている場合も多いので、実際に触れてみて、自組織の運用に合うかどうか使用感を確かめることをおすすめします。
CASBに関するよくある質問

CASB製品の導入にあたって、よくある質問をまとめました。下記の内容を参考に、導入前の懸念解消や製品選定を進めていきましょう。
CASBを導入すれば、すべてのセキュリティ対策は万全ですか?
いいえ、万全ではありません。CASBはクラウドサービスの利用に特化したセキュリティ対策であり、組織全体のセキュリティをすべてカバーするものではないためです。
PCやサーバーなどのエンドポイントをマルウェアから保護するEDRや、OSS(オープンソースソフトウェア)の脆弱性管理など、CASBで対応できない他の領域には別途セキュリティ対策が欠かせません。CASBは多層防御の一環として、他のセキュリティソリューションと組み合わせた利用をご検討ください。
CASBとSWGはどちらか一方を導入すれば十分ですか?
いいえ、両者は保護対象が異なるため、併用が最も望ましいと考えられます。
CASBはクラウドサービス(SaaS/PaaS/IaaS)の詳細な利用状況を制御するのに対し、SWGは一般的なWebサイトへのアクセスを安全に保つ役割を担います。クラウド利用とWeb閲覧はどちらも日常的な業務であり、それぞれに潜むリスクは異なるため、両方の導入によって包括的なセキュリティ体制の構築が可能です。
導入にかかる費用や期間の目安はどれくらいですか?
費用や期間は、選択する製品、導入方式、対象ユーザー数、組織の規模によって大きく異なります。
CASB製品では、ユーザー数に応じた年間のライセンス費用が発生することが一般的です。導入期間も、手軽なログ分析型であれば短期間ですが、プロキシ型のようにネットワーク設定の変更を伴う場合は数ヶ月かかることもあります。
まずは複数のベンダーに見積もりを依頼し、自組織の要件と予算にあったプランの比較検討をおすすめします。
まとめ

ここまで、昨今の組織運営に不可欠なセキュリティ対策であるCASBについて解説しました。
CASBはクラウドサービスの利用実態を可視化し、情報漏洩や不正アクセスといったリスクを低減させる仕組みです。シャドーITへの対策やコンプライアンスの強化に役立つ一方、運用には専門的な知識をもつ人材の確保が求められる側面もあります。導入を検討する際は、自組織のニーズや目的を明確にしたうえで、メリットと注意点を慎重に判断しましょう。
本記事を参考にして、各製品の機能や導入方式をよく比較し、自組織に最適な環境を構築してください。
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!

セミナー情報