CASBとは、ユーザーと各種クラウドサービスの間にセキュリティ制御の中継点を設けることで、アクセス制御やデータ保護、ログ管理などのセキュリティ機能を一元的に提供する仕組みです。

近年のDX推進やリモートワークの拡大により、企業や組織におけるクラウドサービスの利用は急速に広がっています。

クラウドサービスは高い利便性をもたらす一方で、従来のセキュリティ対策では防ぎきれない新たなリスクも生じています。

こうしたクラウド時代のセキュリティ課題を解決する方法として「CASB」が注目を集めています。

本記事では、CASBの概要から必要性、主な機能までをわかりやすく解説します。

「CASBとはなにか」「導入することでどのようなメリットがあるのか」などを知りたい方はぜひご一読ください。

また本記事では、企業・組織のセキュリティ強化に役立つ「LANSCOPE」のセキュリティソリューションについても紹介しています。

3分で分かる！
「LANSCOPE」シリーズ

「セキュリティに不安がある」「セキュリティを強化したい」など、セキュリティに関する悩みや課題をお持ちの方は、ぜひ「LANSCOPE」シリーズをご活用ください。

資料をダウンロードする

CASB（キャスビー）とは

CASB（Cloud Access Security Broker、キャスビー）とは、2012年に米国の調査会社ガートナー社が提唱したクラウドサービスに関するセキュリティ概念、およびその概念に基づいたセキュリティソリューションです。

CASBは、企業とクラウドサービスプロバイダーの間に設置され、仲介者のような役割を担います。

ユーザーがクラウドサービスにアクセスする際の通信はすべてCASBを経由するため、企業はCASBを通じて通信内容を監視し、設定したセキュリティポリシーに基づいてアクセスを制御できます。

さらに、CASBを設置することで、許可されていないサービスの利用をブロックしたり、機密情報が外部に送信されたりするのを防ぐことも可能です。

CASBの必要性

DX化の加速やリモートワークの定着により、企業や組織におけるクラウドサービスの利用は急速に拡大しており、CASBの必要性も年々高まっています。

ここでは、CASBが必要とされる理由を次の3つの観点から解説します。

詳しく確認していきましょう。

シャドーITの増加

CASBの導入は、シャドーITの発生防止に効果を発揮します。

「シャドーIT」とは、企業からの正式な許可を得ずに、従業員が利用するIT機器やクラウドサービスのことです。

近年、クラウドサービスの利便性向上や、無料で使えるツールが普及したことで、業務効率化などを目的として、従業員個人や部署の判断で、サービスを無断で導入・業務利用するケースが増えています。

しかしながら、こうしたツールやサービスは、企業のセキュリティポリシーが適用されないケースも多く、重大な情報漏洩や不正アクセスのリスクを招く恐れがあります。

このような課題に対して有効なのがCASBです。

CASBを導入することで、従業員がどのようなクラウドサービスにアクセスしているかが可視化できるようになり、シャドーITの実態を把握・制御することが可能になります。

クラウドサービス利用の拡大

昨今、多くの企業で、Microsoft 365やGoogle Workspace、SalesforceなどのSaaSが業務利用されています。

これらのサービスは業務効率を大幅に向上させる一方で、データが社内ネットワークの外部に保管されるため、情報システム部門による管理や監視が行き届きにくいという課題があります。

さらに、誰がどのサービスを使い、どのようなデータを扱っているのかを把握できていないと、情報漏洩や不正アクセスなどのセキュリティリスクが高まる恐れがあります。

このような課題に対してCASBを導入することで、複数のクラウドサービスにまたがるアクティビティログを収集・分析し、単一のダッシュボードで利用状況を可視化することが可能になります。

これにより、管理者はどのユーザーが・いつ・どこから・どのファイルにアクセスしたのかといった詳細な情報を一元的に把握できるようになり、セキュリティレベルを向上させられます。

コンプライアンスとデータガバナンスの強化

CASBには、クラウドサービス上に保存されているデータの内容をスキャンし、「個人情報」や「社外秘」といった機密情報が含まれていないかをチェックする機能が搭載されています。

これを活用することで、企業のセキュリティポリシーに違反するデータが検出された場合に、該当ファイルの共有を自動的に制限したり、管理者にアラートを通知したりすることができ、コンプライアンス違反や情報漏洩のリスク低減が可能です。

またこの機能は、個人情報保護法やGDPR（EU一般データ保護規則）など、企業が遵守すべき法規制が年々厳しくなっている中で、コンプライアンスとデータガバナンス強化の観点からも必要性が高まっています。

CASBの機能

CASBには、主に次の4つの機能が搭載されています。

それぞれどのような機能なのかを詳しく確認していきましょう。

可視化（Visibility）

CASBを活用することで、従業員が利用しているすべてのクラウドサービスを検出し、利用状況を可視化することが可能です。

検出対象には、企業が公式に許可したサービスだけでなく、未許可のサービス（シャドーIT）も含まれます。

またCASBでは、誰が・いつ・どこから・どのファイルにアクセスしたのかといった情報を可視化することも可能です。

これにより、危険性の高いサービスを利用制御するための情報取得が可能になります。

コンプライアンス（Compliance）

CASBは、企業のセキュリティポリシーに基づいて、クラウドサービスの利用を制御することが可能です。

また、PCI DSS（クレジットカード業界のセキュリティ基準）や、HIPAA（米国における医療保険の個人情報保護法）など、各種業界の規制に準拠しているかを確認することもできます。

さらに、クラウドサービスへのアクセス元やアクセス先の情報を把握できるため、海外からのアクセスや、海外のサービスへデータをアップロードしようとする挙動を検知することも可能です。

これにより、情報漏洩やデータ流出につながる恐れのある不審な通信を早期に検知し、必要に応じてブロックすることができます。

データセキュリティ（Data Security）

CASBでは、クラウド上に保管されたデータに対して、以下のセキュリティ対策を実施し、機密情報の保護と不正利用の防止に寄与します。

例えば、「社外秘」とタグ付けされたファイルには、特定の役職者のみがダウンロードできるようにするなどの運用が可能です。

また、データの持ち出しや改ざんが検知された場合には、即座にアラートを出し、漏洩を防ぎます。

脅威防御（Threat Protection）

CASBには、クラウド環境におけるマルウェア感染やフィッシング攻撃、不審なアクティビティなどの脅威から、データを保護する機能が搭載されています。

たとえば、マルウェア感染が疑われるSaaSへのアクセスを自動的にブロックしたり、深夜のログインや短時間での大量のデータダウンロードといった不審なアクティビティを検知し制限したりすることが可能です。

CASBの導入方式

CASBの導入方式には、主に以下の4つが挙げられます。

それぞれの仕組みやメリットを解説します。

API連携方式

クラウドサービスが提供するAPIを利用して、CASBを連携する方式があります。

この方式はユーザーの通信に介在しないため、通信遅延などの影響を与えることがありません。

また、既存環境を変更する必要がないため、簡単に迅速に導入できるというメリットがあります。

ただし、API連携に対応していないクラウドサービスには利用できなかったり、連携しているクラウドサービス内でのみ機能するため、シャドーITは監視できなかったりという点には注意が必要です。

またこの方式では、クラウドサービスが提供するAPIを利用して情報を取得・分析するため、リアルタイムでの制御はできないというデメリットもあります。

API連携方式は、クラウドに保管されている情報のみを監視対象とする企業などに向いている方式です。

フォワードプロキシ方式

プロキシ方式は、ユーザーとクラウドサービスの間にCASBがプロキシサーバーとして介在する方式で、「フォワードプロキシ」と「リバースプロキシ」の2種類があります。

フォワードプロキシ方式は、ユーザー側の通信経路をCASB経由に変更することで、あらゆるWeb通信を中継・監視できる仕組みです。

実現方法の例として、以下が挙げられます。

フォワードプロキシ方式では、企業が利用を許可していないクラウドサービス（シャドーIT）を含め、すべての通信を把握・制御することができます。

エージェントをインストールする場合では、管理対象のデバイスが行うすべての通信を監視できるため、テレワークやリモートワークなど、オフィス外からのアクセスも監視することができ、リアルタイムでのアクセス制御やマルウェア検知も可能です。

ただし、デバイス自体にソフトウェアをインストールする必要があるため、導入時には手間や負担がかかるというデメリットもあります。

また、通信がプロキシを経由することで、通信速度が低下したり遅延したりするデメリットも想定されます。

加えて、私用デバイスなど、管理対象外のデバイスからクラウドサービスにアクセスした場合は、CASBを経由しない通信になるため、監視や制御の対象から外れる可能性があります。

フォワードプロキシ方式は、管理対象が社用PCやスマホなどに限られる場合に適している方式です。

リバースプロキシ方式

リバースプロキシ方式は、デバイス側ではなく、クラウドサービスの手前にCASBを設置し、社外から社内システムやクラウドサービスへのアクセスを制御する方式です。

この方式では、ユーザーの通信がCASBを経由してクラウドサービスに中継されるため、特定のデバイス以外からのアクセスでも、監視・制御できるメリットがあります。

さらに、シングルサインオン（SSO）とも連携できるため、クラウドサービス利用時の認証強化と利便性向上にも役立ちます。

ただし、リバースプロキシ方式に対応していないサービスがあったり、未承認のクラウドサービス（シャドーIT）の検知は難しかったりというデメリットもあります。

リバースプロキシ方式は、リモートワークを実施している企業や従業員の個人スマホを業務利用している場合に適している方式です。

ログ分析方式

ログ分析方式とは、企業が導入しているファイアウォールやUTMなどのゲートウェイ機器を介して取得した通信ログを分析することで、クラウドサービスの利用状況を把握する方式です。

この方式では、既存のシステムやログ収集基盤を利用するため、導入の手間が少なく、既存の環境への影響を最小限に抑えられるというメリットがあります。

特定のサービスやWebサイトへのリスクを検知した際は、ゲートウェイ機器と連携し、アクセスを制御することが可能です。

ただし、すでに収集された情報をもとに分析を行う方式のため、リアルタイムでの制御やブロックには対応していないという注意点があります。

ログ分析方式は、導入コストを抑えつつ、クラウドサービス利用の状況を可視化・監視したい場合に適している方式です。

導入方式別のメリット・デメリット

4つの導入方式のメリット・デメリットは以下の通りです。

それぞれにメリット・デメリットがあるため、多くのCASB製品はこれらの方式を組み合わせた「ハイブリッド型」のアプローチを採用しています。

CASBのメリット

CASBを導入することで、以下のようなメリットが期待できます。

セキュリティレベルの統一

CASBを導入することで、利用するクラウドサービスに対して、一貫したセキュリティポリシーを適用できるようになります。

これにより、サービスごとに個別設定を行う手間がなくなり、セキュリティレベルのばらつきを防げます。

ただし、クラウドサービスのセキュリティレベルや機能はサービスごとに異なるため、CASBを導入するだけで、すべてのクラウドサービスが高水準のセキュリティレベルで統一されるわけではない点に注意が必要です。

CASBは、企業側が策定したポリシーや制御内容に基づき、通信内容の監視やアクセス制御を行う仕組みであり、クラウドサービス自体のセキュリティレベルを上げるものではありません。

セキュリティレベルを高い水準で維持するためには、まず、企業側で適切なセキュリティポリシーや制御内容を整備する必要がある点に留意しましょう。

運用管理の効率化

CASBを導入することで、複数のクラウドサービスのセキュリティ設定やログを、一つの管理画面で一元管理できるようになります。

さらに、ポリシー変更やインシデント対応も効率的に行えるため、セキュリティ担当者の管理・運用業務の大幅な効率化が期待できます。

多様なクラウドサービスの安全性向上

CASBは、特定のベンダーに依存せず、幅広いクラウドサービスに対応できるよう設計されています。

そのため一度CASBを導入すると、企業が新しいクラウドサービスを採用する際に、迅速に確実なセキュリティを確保できるようになります。

ただし、CASBはそれ自体がクラウドサービスのセキュリティレベルを上げるものではなく、企業のセキュリティポリシーに沿った利用を徹底させるための仕組みです。

そのため、まずは適切なセキュリティポリシーの策定を実施することが重要です。

CASBソリューション選定のポイント

最後に、自社に最適なCASBソリューションを選ぶために覚えておきたい3つのポイントを紹介します。

CASBの導入を検討されている企業・組織の方は、ぜひ参考にしてみてください。

対応するクラウドサービスの範囲

まずは、自社で現在利用している、または将来的に利用する可能性のあるクラウドサービスに、対象のCASBが対応しているかを確認することが重要です。

主要なSaaSだけでなく、IaaS・PaaS環境への対応状況もあわせてチェックしておきましょう。

展開方式の柔軟性

企業のネットワーク構成やセキュリティ要件によって、最適な展開方式は異なります。

API連携方式とプロキシ方式の両方に対応しているなど、柔軟な導入オプションを提供している製品を選ぶことで、将来的な環境変化にも対応しやすくなります。

レポート機能と管理画面の使いやすさ

日々の運用において、管理画面の使いやすさは非常に重要なポイントです。

たとえば、シャドーITの利用状況やセキュリティインシデントに関するレポートが直感的にわかりにくい形式のものだと、いざというときに迅速な対応が難しくなります。

そのため、CASBを選定する際は、実際に管理・運用する担当者にとって、わかりやすく操作しやすい形式になっているかも確認するようにしましょう。

無料トライアルが用意されている製品もあるため、実際に活用してみて、操作感やレポートの見やすさなどを体験してみることをお勧めします。

セキュリティ強化に「LANSCOPE」のセキュリティソリューション

クラウドサービスの利用が急速に拡大する一方で、それらを狙ったサイバー脅威も増加の一途をたどっています。

たとえば、本記事で紹介した「シャドーIT」を経由して社内ネットワークにマルウェアが侵入・横展開されるケースや、取引先や顧客を装った偽メールを通じてマルウェアに感染し、機密情報が窃取・悪用されてしまうケースなど、さまざまなシーンに脅威は潜んでいます。

こうした高度化・巧妙化する昨今のサイバー脅威に対抗するため、本記事ではエムオーテックス株式会社（以下、MOTEX）が提供する「LANSCOPE」のセキュリティソリューションを紹介します。

MOTEXでは、「Secure Productivity（安全と生産性の両立）」をミッションに掲げ、お客様の抱えるサイバーセキュリティの課題解決を支援するセキュリティソリューションを提供しています。

「LANSCOPE」というブランドで、エンドポイントにおけるIT資産管理や情報漏洩対策・未知のマルウェア対策、総合的なセキュリティ診断・コンサルティングまで、幅広いサイバーセキュリティに関わるプロダクト・サービスを提供しています。

「セキュリティに不安がある」「セキュリティを強化したい」など、セキュリティに関する悩みや課題をお持ちの企業・組織の方は、ぜひお気軽にご相談ください。

「LANSCOPE」のプロダクト・サービスは、培ってきた技術と豊富な知見で、お客様の「安全」と「生産性」をサポートします。

「LANSCOPE」についてより詳しく知りたい方は、ぜひ下記の資料をご参照ください。

3分で分かる！
「LANSCOPE」シリーズ

「セキュリティに不安がある」「セキュリティを強化したい」など、セキュリティに関する悩みや課題をお持ちの方は、ぜひ「LANSCOPE」シリーズをご活用ください。

資料をダウンロードする

まとめ

本記事では「CASB」をテーマに、概要からその必要性、主要な機能、導入のメリットまでを解説しました。

クラウドサービスの業務利用が一般的になってきた昨今、CASBは企業の重要な情報資産を保護し、安全なクラウド利用環境を実現するために欠かせないセキュリティソリューションです。

ぜひ本記事を参考に、自社に最適なCASBの導入をご検討ください。

また本記事で紹介した「LANSCOPE」のプロダクト・サービスは、企業・組織の生産性向上と安全性の両立をサポートします。

「セキュリティに不安がある」「セキュリティを強化したい」などの課題・悩みをお持ちの方は、ぜひ活用をご検討ください。

3分で分かる！
「LANSCOPE」シリーズ

サイバー攻撃の脅威は年々深刻化しており、企業にはエンドポイントからクラウドに至るまで、総合的なセキュリティ対策が求められています。
「セキュリティに不安がある」「セキュリティを強化したい」など、セキュリティに関する悩みや課題をお持ちの方は、ぜひ「LANSCOPE」シリーズをご活用ください。

資料をダウンロードする