CASBとは

　CASB（Cloud Access Security Broker）とは、IT分野の調査・助言を行うガートナー社が2012年から提唱している概念で、企業が利用する多様なクラウドサービスのセキュリティを一括管理するソリューションを指す。具体的には、企業が利用する複数のクラウドサービスと、それを利用するユーザーとの間に、単一のコントロールポイントを設け、そのコントロールポイントを通じて、ユーザーのクラウドサービスへのアクセスを可視化・制御するソリューションだ。

　あらゆるクラウドサービスの利用状況を一元的に管理できるようになるため、誰が・いつ・どのクラウドサービスを利用しているのか、そこに不審な挙動はないかを確認することで、不正アクセスや誤操作による情報漏えいを防ぐことができる。

CASBが必要とされる背景

　CASBが必要とされるようになった理由の1つとして、企業のDX推進などに伴いクラウドサービスの利用が増えたことや、テレワーク移行により社外から社内のネットワークにアクセスする機会が増えたことなどが関係している。こうした企業のIT環境の変化により、これまで主流であった企業のセキュリティ対策が通用しなくなってきているのだ。

　従来、企業は社内ネットワークの内側と外側の境界線にファイアウォールなどを設置し、外側からの侵入を防ぐといった考え方に基づく対策をしてきた。しかし、これまで社内ネットワークの内側で管理していたような機密情報の一部がクラウドサービス上で管理されるようになったほか、そうした情報に対して自宅など社外から従業員がアクセスする機会も増え、内側・外側の境界線は曖昧になりセキュリティ対策として有効に機能しなくなってきている。

　さらに、これだけクラウドサービスが普及する中で、シャドーITのリスクも高まっている。シャドーITとは、IT部門の管理や承認を経ることなく、社員個人や部署が自己判断によって社内に導入・利用されるアプリケーションなどを指す。シャドーITが問題となる理由は、その存在をIT部門が把握できないため、企業のセキュリティポリシーの対象外になり、不適切なアクセスやデータ漏えいリスクが増大する点にある。

　そのほか、AWS S3などのIaaS（Infrastructure as a Service）における誤った設定や運用によりセキュリティリスクが発生する可能性もある。たとえば、AWS（Amazon Web Services）が提供するストレージサービスAWS S3は、データを安全に保存できる一方、このS3バケット（データの保存場所）の設定が公開状態になっていると、誰でもインターネット上からデータにアクセスすることができ、重要データの漏えいにつながりかねない。

　こうしたリスクが浮上する中で、クラウドサービスの利用管理とセキュリティリスクの軽減を一元的に行うCASBの導入が求められているのだ。

CASBの基本的な機能

　CASBが提供する基本的な機能は、主に以下の4つだ。

（1）可視化
CASBは企業が使用しているクラウドサービスやアプリケーションすべてを可視化する機能を持つ。この機能により、シャドーITのリスクを最小限に抑えるとともに、企業全体のクラウド使用状況の一元管理を可能にする。

（2）コンプライアンス
CASBは、データコンプライアンスを遵守するための支援機能も有する。たとえば、特定のデータがどのクラウドサービスでどのように扱われているかを監視し、自社のポリシーに沿った形で適切に扱われているか確認することができる。

（3）データセキュリティ
CASBは、企業がクラウド環境で扱うデータのセキュリティを強化する機能も持つ。具体的には、データの暗号化やマスキング、アクセス権限の設定などの機能を提供することで、重要データのアクセスや持ち出し、改ざんなどの検知し、漏えいのリスクを最小化する。

（4）脅威の検出と制御
CASBは異常なアクセスパターンや危険な行動をリアルタイムで検出し、対処することも可能だ。たとえば、クラウドサービスへの通信内のマルウェアを検知したり、特定のユーザーからの異常なダウンロード行為や不審なログイン試行を検出できる。

　これらの機能を通じて、CASBは企業がクラウド環境でデータを安全に扱い、規制を遵守するための支援を提供する。

類似製品とは何が違う？ SASE、SWG、DLPと比較

　CASBだけでなく、ほかのセキュリティ技術との関係性や違いも把握しておきたい。ここでは、CASBとほかの主要なセキュリティ技術、具体的にはSASEやSWG、DLPとの比較を行い、それぞれの技術がどのような状況や要件に適しているのか、また相互にどのように補完し合うのかについて解説する。

• SASEとの違い

　SASE（Secure Access Service Edge）は、従来、別々に提供されていたネットワーク機能（MPLS/VPN、SD-WANなど）と、セキュリティ機能（CASB、FWaaS、SWGなど）を一体化し、クラウドサービスとして提供するソリューションだ。

　一方、CASBはクラウドサービスに関連するセキュリティ機能に特化したソリューションだ。つまり、CASBは、SASEを実現するための一部という位置付けとなる。SASEは、CASBに比べより広範囲のセキュリティ対策を提供し、ユーザーやデバイスがどこにあっても、どのようなネットワークを経由しても、安全にアクセスできる環境を整備してくれる。

• SWGとの違い

　SWG（Secure Web Gateway）とは、不正なWebコンテンツへのアクセスを遮断するセキュリティ機能をクラウドサービスとして提供するソリューションだ。

　具体的には、ユーザーが利用する端末と、Webサイトとのデータの送受信を監視・中継しつつ、社内に適用されているポリシーと照合して危険なサイトへのアクセスを遮断する仕組みだ。

　SWGはWebサイトに対するトラフィック全体を監視し、セキュリティ機能を提供する一方、CASBはあくまでクラウドサービスを対象とし、より深いセキュリティを提供する。

• DLPとの違い

　DLP（Data Loss Prevention）とは、企業の機密情報などが外部に漏えいすることを防ぐための手段であり、事前に設定しておいたポリシーに基づき、機密情報を自動的に識別し、監視・保護するソリューションだ。

　機密情報と認定された情報の送信やコピーが検知されると、アラート通知を出したり、その操作をブロックしたりすることで情報の流出を防ぐ。たとえば、個人情報や企業秘密などを従業員が間違ってメールで送信したり、USBメモリに保存したりするのを防ぐことにも役立つ。

　DLPは、CASBにおけるデータセキュリティを実現する1つの機能となる。 【次ページ】CASBの主要製品一覧