近年、企業のIT環境は劇的な変化を遂げています。その中心にあるのがクラウドサービスの普及です。便利で効率的なクラウドサービスですが、同時に新たなセキュリティリスクも生み出しました。そこで不可欠なソリューションとして注目されているのが「CASB(キャスビー)」です。
本記事では、セキュリティ担当者やIT管理者の方に向けて、CASBの基本概念から機能、SASEとの関係、そして導入のメリットまでを網羅的に、かつ詳細に解説します。
CASBとは何か
CASBは「Cloud Access Security Broker」の略称で、日本語では「クラウド・アクセス・セキュリティ・ブローカー」と読みます。2012年に米国のガートナー社によって提唱された概念です。
一言で表現するならば、CASBは「ユーザー」と「クラウドサービス」の間に位置し、セキュリティポリシーを適用するための「関所」のような役割を果たします。
従来、企業のセキュリティは「境界防御」が基本でした。社内ネットワークとインターネットの間にファイアボールを設置し、社内を守る手法です。しかし、クラウドサービスの利用が当たり前になり、テレワークが普及した現在、データは社外(クラウド上)にあり、ユーザーも社外からアクセスします。もはや社内ネットワークの境界線だけで守ることは不可能です。
この新しい環境下で、クラウド利用の可視化、制御、データ保護を一元的に行うために生まれたのがCASBです。
なぜ今、CASBが必要なのか
CASBの重要性が高まっている背景には、主に3つの要因があります。
1 シャドーITの蔓延
もっとも大きな要因は「シャドーIT」の問題です。シャドーITとは、会社が許可していないクラウドサービスやデバイスを、従業員が業務利用してしまうことを指します。
たとえば、業務データを個人のGoogleドライブに保存して持ち帰ったり、未許可のファイル変換サイトに機密文書をアップロードしたりする行為です。これらは悪意がなくても情報漏洩に直結します。従来のファイアウォールでは、通信の中身やクラウドサービスの詳細は把握できないため、これらを検知・制御することが困難でした。
2 クラウドシフトによるデータの拡散
Microsoft 365(旧Office 365)やSalesforce、Box、Slackなど、業務で利用するSaaS(Software as a Service)は増加の一途をたどっています。重要な顧客情報や技術情報が、社内のサーバーではなくクラウド上に保存されるようになりました。クラウド上のデータに対して、誰が、いつ、どこからアクセスし、どのような操作をしたかを監視する必要があります。
3 テレワークとモバイルデバイスの普及
働き方改革やパンデミックの影響により、オフィス以外からクラウドへアクセスすることが常態化しました。社内ネットワークを経由せずに直接クラウドを利用するケースも増えており、エンドポイント(端末)とクラウドの間でセキュリティを担保する仕組みが必要不可欠となりました。
CASBが提供する4つの機能
ガートナー社は、CASBが持つべき主要な機能を以下の4つの柱として定義しています。これらはCASBを理解する上で最も重要な要素です。
1 可視化(Visibility)
企業内で「どのようなクラウドサービスが利用されているか」を洗い出し、把握する機能です。
多くの企業では、情シス部門が把握しているクラウドサービスの数倍から数十倍ものサービスが、現場で勝手に使われていると言われています。CASBはファイアウォールやプロキシのログを分析し、利用されているクラウドサービスを検出します。
そして、そのサービスがセキュリティ的に安全かどうか(リスク評価)を判定します。これにより、シャドーITの実態を白日の下に晒し、対策を打つことが可能になります。
2 コンプライアンス(Compliance)
クラウド利用が企業のポリシーや法的規制に準拠しているかをチェックする機能です。
業界ごとの規制や、個人情報保護法、GDPR(EU一般データ保護規則)などの法規制に対して、利用しているクラウドサービスが適合しているかを確認します。
また、クラウド上のデータ設定(例えばAWSのS3バケットが公開設定になっていないか等)の不備を検出し、修正を促すCSPM(Cloud Security Posture Management)のような機能を包含する場合もあります。
3 データセキュリティ(Data Security)
機密情報の漏洩を防ぐ機能です。DLP(Data Loss Prevention)機能とも呼ばれます。
クラウドへアップロードされるファイルや、クラウドにあるデータを検査し、クレジットカード番号やマイナンバー、「社外秘」のラベルがついたファイルなどが含まれていないかをチェックします。ポリシーに違反するデータが含まれていた場合、アップロードのブロック、隔離、あるいは自動的な暗号化を行うことで、情報の流出を阻止します。また、アクセス権限の制御もここに含まれます。
【解説】DLP(Data Loss Prevention)について解説します
4 脅威防御(Threat Protection)
クラウドサービスを介したマルウェアの侵入や、不正アクセスを防ぐ機能です。
クラウド上のファイルにマルウェアが潜んでいないかをスキャンしたり、通常とは異なる振る舞い(例:短時間に大量のデータをダウンロードする、普段とは異なる国からのアクセスなど)を検知してアカウントの乗っ取りを防いだりします。いわゆる振る舞い検知(UEBA)の技術が活用されることもあります。
CASBの導入・展開方式
CASBがどのように通信を監視・制御するかについては、主に3つの展開方式があります。企業のニーズに合わせてこれらを使い分ける、あるいは組み合わせることが一般的です。
API型
クラウドサービス事業者が提供するAPI(Application Programming Interface)を利用して、CASBとクラウドサービスを直接連携させる方式です。
メリット エージェントのインストールが不要で、導入が比較的容易です。 クラウド上に保存されている過去のデータ(Restデータ)もスキャンできます。 PCだけでなく、スマホやタブレットからのアクセスも把握できます。
デメリット APIが提供されているクラウドサービス(Microsoft 365, Box, Salesforceなどの主要SaaS)にしか対応できません。 リアルタイムでの通信制御(アップロード直前のブロックなど)にはタイムラグが生じることがあります。
プロキシ型(フォワードプロキシ)
端末からクラウドへの通信を、CASB(プロキシサーバー)を経由させる方式です。端末にエージェントを入れるか、PACファイルなどで通信経路を変更します。
メリット リアルタイムでの通信制御が可能です。 未許可のクラウドサービス(シャドーIT)へのアクセスも制御できます。
デメリット 端末への設定やエージェント導入が必要です。 通信経路が変わるため、ネットワーク遅延の影響を受ける可能性があります。
プロキシ型(リバースプロキシ)
クラウドサービスへのアクセス時に、強制的にCASBを経由させる方式です。IDプロバイダ(IdP)との連携により、ログイン時にCASBへリダイレクトさせます。
メリット 会社支給以外の端末(BYOD)からのアクセスでも、エージェント無しで制御可能です。 特定の契約済みクラウドサービスに対する詳細な制御に向いています。
デメリット 連携設定をした特定のクラウドサービス以外(勝手に使われるシャドーIT)には対応できません。
CASBとSASEの関係性
ここ最近のセキュリティトレンドとして外せないのが「SASE(サシー:Secure Access Service Edge)」です。CASBを検討する際、SASEという言葉を避けて通ることはできません。
SASEは、ガートナー社が2019年に提唱した「ネットワーク機能とセキュリティ機能を一つのクラウドサービスとして統合して提供する」というフレームワーク(考え方)です。
シンプルに説明すると、SASEという大きな枠組みの中に、CASBが含まれています。SASEは主に以下の要素で構成されています。
CASB(クラウドアクセスの保護) SWG(Secure Web Gateway:Webアクセスの保護) ZTNA(Zero Trust Network Access:社内アプリへの安全なアクセス) FWaaS(Firewall as a Service:クラウド型ファイアウォール) SD-WAN(ネットワークの最適化)
これらを統合することで、ユーザーがどこにいても、どのデバイスを使っていても、安全かつ快適に業務リソースへアクセスできる環境を実現します。つまり、CASBはSASEを実現するための「セキュリティの中核機能の一つ」という位置づけになります。
これからセキュリティ対策を講じる場合、単体のCASB製品を導入するのか、それとも将来的な拡張性を見越してCASB機能を含んだSASEプラットフォーム全体を導入するのか、という視点が重要になります。
CASBと従来型プロキシの違い
よくある疑問として「既存のWebプロキシ(フィルタリング)と何が違うのか?」という点が挙げられます。両者は通信を仲介する点では似ていますが、監視する「深さ」と「目的」が異なります。
従来型のプロキシは、主に「Webサイトへのアクセス制御」を目的としています。URLやカテゴリに基づいて有害サイトをブロックするなど、通信の宛先を見て「通すか止めるか」を判断するのが基本です。
一方、CASBは「クラウドサービス(SaaS)の利用内容の制御」に特化しています。単にアクセス可否を決めるだけでなく、「Boxへのログインは許可するが、ファイルのアップロードは禁止する」「社外秘を含むデータの送信だけをブロックする」といったように、サービス内部での具体的な操作やデータの種類まで識別して制御します。
つまり、プロキシがWeb全体の安全性を広く浅く守るのに対し、CASBはクラウド利用におけるセキュリティを深く精密に管理する役割を担います。現在ではSASEの普及により、これらが統合された製品も増えています。
導入に向けた具体的なステップ
CASBを効果的に導入・運用するためには、適切な手順を踏むことが大切です。
Step 1 現状把握(可視化)
まずは、自社でどれだけのクラウドサービスが利用されているかを知ることから始めます。ファイアウォールのログなどをCASBの可視化ツールに取り込み、シャドーITの現状をレポート化します。「こんなに多くのサービスが使われていたのか」と驚かれる企業がほとんどです。
Step 2 リスク評価とポリシー策定
検出されたサービスのリスクを評価し、会社として「許可するサービス(サンクション)」と「許可しないサービス(アンサンクション)」を明確にします。例えば、「ファイル転送サービスは会社契約のBoxのみ許可し、それ以外は閲覧のみ許可(アップロードは禁止)」といったポリシーを定めます。
Step 3 制御の適用
策定したポリシーに基づき、CASBで実際の制御設定を行います。API連携によるデータスキャンや、プロキシによるリアルタイムブロックなどを段階的に適用していきます。いきなり全てをブロックすると業務停止のリスクがあるため、まずはモニタリングモードで運用し、影響範囲を確認してからブロック設定を入れるのが定石です。
Step 4 継続的なモニタリングと運用
クラウドサービスは日々新しいものが生まれます。一度設定して終わりではなく、定期的に利用状況をレポートで確認し、新たなシャドーITが発生していないか、ポリシー違反が増えていないかを監視し続ける必要があります。
まとめ
クラウドサービスがビジネスインフラとなった現代において、CASBは企業の重要データを守るための必須ツールとなりました。
シャドーITの可視化 コンプライアンスの遵守 情報漏洩の防止 脅威からの防御
これらを実現するCASBは、ゼロトラストセキュリティモデルを構築する上でも重要な役割を担います。また、SASEというより大きな枠組みの中で捉えることで、ネットワーク全体を含めた包括的なセキュリティ強化へと繋げることができます。
セキュリティ対策は「守り」ですが、同時に従業員が安心してクラウドの利便性を享受し、生産性を向上させるための「攻め」の基盤でもあります。自社の環境や課題に合ったCASB、あるいはSASEソリューションを選定し、安全で快適なクラウド活用を実現してください。
本解説が、皆様のセキュリティ強化の一助となれば幸いです。
