CASBとは？クラウドサービスの安全な活用について解説

CASB（キャスビー）とは、企業とクラウドサービスの間に入ってセキュリティーを監視・管理する仕組みのことです。

CASBはテレワークによる新しい働き方に対応しており、Microsoft 365やGoogle Workspaceなど、社員が日常的に使うクラウドサービスの利用状況を監視することが可能です。そのうえで、誰がどのクラウドサービスをどのように使っているかを可視化し、リスクを事前に防ぐ役割を果たします。

本記事では、CASBの基本的な仕組みや4つの主要機能、導入によって得られる具体的なメリットまでわかりやすく解説します。

CASBとは、「Cloud Access Security Broker（クラウド・アクセス・セキュリティー・ブローカー）」の略称で、企業が使うクラウドサービスのセキュリティーを一元的に管理する仕組みのことです。

簡単にいえば、企業が利用するクラウドサービスとユーザーの間に入り、アクセスを監視・制御する役割を担う仕組みです。

たとえば、社員がMicrosoft 365やGoogle Workspaceなどのクラウドにアクセスする際に、CASBが通信を仲介することで、不正な操作やデータ漏えいを防げます。

以降では、CASBについて正しく知るために、CASBが必要とされる背景やほかの類似概念との違いについて詳しく解説します。

CASBが必要になった背景には、働き方やITシステムの変化があります。かつて企業の情報システムは社内に設置されたサーバーで管理され、社内ネットワークの入口にファイアウォールを設置すれば一定の安全性を確保できました。

しかし現在では、多くの企業がクラウドサービスを業務の中心に据えており、従業員は自宅やカフェなどさまざまな場所から直接クラウドにアクセスしています。このようなリモートワークの働き方が生まれたことにより、従来の境界型セキュリティーだけでは対応しきれない課題が生まれました。

その結果、誰がどのクラウドサービスをどのように使っているかをIT部門が把握できず、不正アクセスや情報漏えいのリスクが高まってしまいます。CASBはこうした新しい働き方に対応し、クラウド時代に適したセキュリティー管理を実現する仕組みとして注目されています。

CASBと似た役割を持つ技術として、SWG（Secure Web Gateway）があります。 それぞれの特徴や違いは以下のとおりです。

たとえば、SWGで全体的なWeb閲覧を制御しつつ、CASBで業務上重要なクラウドサービスの利用を細かく管理するといった使い分けが可能です。

自社のセキュリティー要件や既存システムとの兼ね合いを考慮し、適切な組み合わせを検討することで、効果的なセキュリティー対策を実現できます。

CASBは以下の4つの主要機能を通じて、相互に連携しながらセキュリティーレベルを高めていく仕組みです。

4つの機能を理解することで、自社に必要なセキュリティー対策の優先順位を判断できます。

可視化機能は、社内でどのクラウドサービスが使われているかや、ファイルのアップロード・ダウンロード状況などを把握できる仕組みです。

利用中のクラウドを検出し、利用頻度やユーザー数などを分析できます。万が一リスクの高いサービスを使用している場合には、使用を制限する判断が可能です。

具体的には、ある部署だけが使っている無料のファイル共有サービスや、特定の従業員が頻繁にアクセスしている外部ツールなどが明らかにできます。

結果として、IT部門が組織全体のクラウド利用を正確に把握できるようになり、統制の取れた運用が実現します。

データ保護機能は、重要な情報の流出や不適切な共有を防ぐ仕組みです。

クラウドサービスは便利な反面、ワンクリックで大量のファイルを外部と共有できてしまうため、操作ミスや認識不足による情報漏えいのリスクが常に存在します。

CASBでは、DLP（Data Loss Prevention）と呼ばれる技術を活用して、機密情報を含むファイルの動きを監視します。たとえば、顧客の個人情報が含まれたExcelファイルを外部の誰でもアクセスできる設定で共有しようとした場合、操作のブロックや、管理者への通知が可能です。

また、ファイルの共有先を制限する機能も備わっています。社内のメールアドレスを持つユーザーだけに共有を許可し、外部のフリーメールアドレスへの共有を禁止する設定が可能です。

脅威の検知・防御機能は、外部からの攻撃や不正なアクセスを発見し、被害を防ぐ役割です。

CASBは、ユーザーの行動パターンを継続的に分析し、通常と異なる動きを検知します。さらに、疑わしいアクセスを自動的にブロックしたり、追加の本人確認を要求したりすることも可能です。

また、マルウェア（悪意のあるプログラム）が仕込まれたファイルがクラウド上にアップロードされた場合には、CASBがスキャンして検知することで被害拡大を防ぎます。このように、多層的な防御によってさまざまな脅威から企業の情報資産を守る仕組みになっています。

CASBでは、あらかじめ設定したポリシーに基づいて、クラウド上での操作が規則に沿っているかを自動的にチェックします。

さらに、監査に必要なログを自動的に記録・保管する機能も備わっています。いつ、誰が、どのファイルにアクセスし、どのような操作を行ったかが詳細に記録されるため、万が一問題が発生した際の原因究明や、定期的なコンプライアンスチェックへの活用が可能です。

自動チェック機能や記録・保管機能により、法令遵守と業務効率化を同時に実現できます。

CASBを導入すると、セキュリティーの強化だけでなく、業務効率の改善や管理負荷の軽減など、複数のメリットが得られます。ここでは、企業が実際にCASBを導入することで実感できる3つの主要なメリットを解説します。

それぞれのメリットを理解すると、CASB導入によって自社がどのような効果を期待できるかが明確になります。

シャドーITとは、IT部門が把握・管理していないクラウドサービスやアプリを従業員が使用している状態を指します。

従業員は悪意なく便利さや手軽さを求めてさまざまなサービスを使いますが、IT部門の管理が届かないことで、誤った共有設定による情報漏えいや、マルウェア感染などのリスクが高まります。

CASBを導入すれば、社内からアクセスしているすべてのクラウドサービスを自動的に検出可能です。

各サービスのセキュリティーレベルやリスク評価も同時に確認でき、対策の優先順位を判断できます。

こうした可視化と制御により、知らないうちにリスクを抱えていた状況を解消できるのです。

CASBの導入は、企業全体の情報セキュリティーレベルを引き上げます。従来のセキュリティー対策は社内ネットワークの境界を守ることを重視されていました。しかし、CASBはクラウドサービス上でのデータの動きや操作を細かく監視・制御できるため、より実効性の高い防御が可能です。

たとえば、データ保護機能により、機密情報を含むファイルの外部共有を自動的にブロックできます。また、脅威検知機能により、不正アクセスの兆候を早期に発見できます。

さらに、複数のクラウドサービスを横断的に監視できる点も強みです。Microsoft 365やGoogle Workspace、Slackなど、企業が使うさまざまなサービスをCASB一つで管理できるため、サービスごとに個別の対策を講じる必要がありません。

その結果、セキュリティーポリシーを統一的に適用でき、結果として組織全体のセキュリティー体制が強固になります。

CASBを導入すると、IT部門やシステム管理者の日常業務を効率化できます。

クラウドサービスが増えるほど、それぞれの管理画面にログインして設定を確認したり、ログを収集して分析したりする作業は膨大です。CASBはこうした作業を自動化し、一つのダッシュボードですべてを管理できるようにします。

また、セキュリティーインシデント（不正アクセスやマルウェア感染など）が発生した際も円滑な対応が可能です。CASBは異常を検知すると自動的にアラートを発信し、関連するログや証拠を収集してくれるため、管理者は散在する情報を探し回る必要がなくなり、迅速に状況が把握できます。

こうした自動化により、IT部門は定常的な管理作業から解放され、より戦略的な業務に時間を使えるようになります。

CASBには大きく分けて3つの導入方式があり、それぞれ仕組みや得意分野が異なります。

自社の環境や目的に合わせて適切な方式を選ぶことで、効果的なセキュリティー対策を実現できます。

API連携方式は、CASBとクラウドサービスをAPI（プログラム同士をつなぐ仕組み）で直接接続し、情報のやり取りを行う方法です。ネットワーク構成を変更せずに導入できるため、手軽に始められる方式です。

Microsoft 365やGoogle Workspaceの管理画面から連携を許可するだけで、誰がどのファイルを共有しているかを可視化できます。ただし、API連携に対応しているクラウドサービスにしか使用できない点に注意が必要です。

すでに多くのクラウドサービスを利用している場合や、リモートワークを推進したい企業におすすめです。

ログ分析方式は、ネットワークやプロキシに記録されるアクセスログをCASBに取り込み、通信の利用状況を分析する方法です。新たな機器の設置が不要なため、コストを抑えて導入できます。

社内からどのクラウドサービスにアクセスしたかという記録を読み取り、シャドーITの発見やリスク評価を行えます。一方で、ログ分析を用いた可視化であるため、クラウドサービスへのアクセス管理やファイルアップロードの制御は行えません。

また、詳細な操作内容までは把握できないケースが多く、「このサービスを使った」という大まかな情報に留まります。リスクを検知した際は、ゲートウェイ端末と連携して、該当するサイトやURLへのアクセスを禁止します。

クラウド利用の急増に対するセキュリティー運用が追いついていない場合に、まず「現状把握から始めたい」企業におすすめです。

インライン方式は、ユーザーの通信経路にCASBを挟み込み、リアルタイムに制御する仕組みです。社員が個人端末から業務クラウドへアクセスする際に、不正な操作をその場で遮断できます。

すべてのクラウドへの通信を監視でき、シャドーITまで含めて可視化できます。CASB導入の主流となっている方式です。

ただし、導入時にネットワーク構成を見直しが必要となる場合もあるため、事前に確認が必要です。

利用中の操作を即座にブロックできるため、機密情報を扱う業種や、リモートワーカーが多い企業に適しています。

CASBはさまざまな場面で活用できますが、一般的な活用シーンについて以下の3つを紹介します。

上記の活用シーンを理解しておくと、自社でCASBをどのように使えばよいか明確になります。

シャドーITの可視化と制御は、CASBの基本的な機能です。

未承認のクラウドサービスを利用しているシャドーITの現象が起きている企業では、セキュリティーに関するリスクが発生します。

CASBを導入すると、社内からアクセスされているすべてのクラウドサービスがわかるようになり、各サービスのセキュリティーレベルも評価されます。

たとえば、使用している無料の管理ツールがデータ暗号化に非対応という理由で高リスクと判定されれば、IT部門は対象サービスの利用禁止や、より安全な代替サービスへの移行などの対応が可能です。結果として、組織全体が統制の取れた環境でクラウドを利用できるようになります。

ファイル共有の制御とデータ漏えい防止は、多くの企業が懸念する課題の一つです。

CASBでは、ファイルの内容を自動的にスキャンし、機密情報が含まれているかを判定できます。

人事情報や顧客情報などを事前に登録しておけば、該当する情報を含むファイルを外部共有しようとした時点で操作をブロックし、管理者に通知します。

また、「社内のメールアドレスを持つユーザーとのみ共有可能」といったルールを設定することでフリーメールアドレスへの共有を自動的に禁止することも可能です。

ファイルの閲覧は許可するがダウンロードや印刷は禁止するといった細かい制御も可能で、従業員の利便性を損なわずに情報漏えいのリスクを低減できます。

従業員の個人パソコンやスマートフォンにセキュリティー対策ソフトがインストールされていなかったり、家族が共用で使っていたりする場合、情報漏えいのリスクが高まります。

CASBでは、アクセスしてくる端末の種類や状態をチェックし、条件を満たさない端末からのアクセス制限が可能です。「会社が管理する端末からのみアクセス可能」というルールを設定すれば、個人のスマートフォンからログインしようとした時点でブロックされます。

不正アクセスやデータの持ち出しを防止できるため、業務効率を維持しつつ、情報資産を守るための実践的な対策として導入している企業もあります。

CASB製品にはさまざまな種類があり、それぞれ得意分野や機能の充実度が異なります。以下の3つのポイントを押さえて比較検討すると、自社に合った製品が選択できます。

CASB製品を選ぶ際に重要なのが、自社で使用しているクラウドサービスへの対応可否です。

Microsoft 365やGoogle Workspaceといった主要サービスは多くの製品が対応していますが、SalesforceやSlack、Boxなど特定の業務用サービスへの対応状況は製品によって異なります。

そのため、導入前には現在使用中のサービスと今後導入予定のサービスを確認し、それらに対応しているかの確認が必要です。また、対応していても機能の充実度に差があるケースもあるため、詳細内容まで確認する必要があります。

CASB製品の拡張性と運用コストは、長期的な視点で評価すべきポイントです。

現在の従業員数やクラウドサービス数に合わせて製品を選ぶだけでなく、将来的な事業拡大や新サービス導入にも対応できるかなどの点から拡張性の高い製品を選ぶことが望まれます。

たとえば、従業員数が増えた際に追加ライセンスを柔軟に購入できるか、新しいクラウドサービスへの対応が定期的にアップデートされるかといった点も重要です。

また、導入後の運用コストも考慮が必要です。ライセンス費用だけでなく、運用にかかる人件費も製品のレベルによって異なります。自社のIT部門のスキルレベルに合った製品を選ぶことで、無理のない運用が可能になります。

CASB導入後は、誤検知への対応やポリシーの調整、新たな脅威への対策など、継続的な運用が必要になります。ベンダーの日本語でのサポート有無や、問い合わせへの対応時間、オンサイトでのトラブル対応は可能かといった点は事前に確認が必要です。

また、導入時のトレーニングや運用マニュアルの充実度の確認も欠かせません。特に、IT部門の人員が限られている企業では、手厚いサポートを提供するベンダーを選ぶことで、円滑な導入と安定した運用を実現できます。

CASBは、クラウドサービスの利用が当たり前になった現代において、企業のセキュリティーを守る重要な仕組みです。

さまざまな機能を通じて、シャドーITの発見や情報漏えいの防止、不正アクセスの検知など、多角的なセキュリティー対策を実現できます。

さまざまなCASB製品があるため、選定時には、対応クラウドサービスや拡張性・運用コスト、導入後のサポート体制などを重視して比較検討することが重要です。

CASBの導入・運用について不安がある方は、富士フイルムビジネスイノベーションまでご相談ください。自社に合った製品の選び方や、導入の流れについてサポートいたします。