CASBとは？ わかりやすく10分で解説

CASB（Cloud Access Security Broker）とは、クラウドサービスの利用状況を可視化し、アクセス制御、データ保護、脅威検知、監査対応を支援する仕組みです。クラウドサービスの利用が増えると、誰がどのサービスを使い、どのデータを保存・共有しているかを把握しにくくなります。CASBは、こうしたクラウド利用を横断的に確認し、組織のセキュリティポリシーを適用するために使われます。

CASBとは

CASBの定義

CASBは、Cloud Access Security Brokerの略です。クラウド利用者とクラウドサービス提供者の間で、セキュリティポリシーの適用点として機能します。対象はSaaSが中心になりやすいものの、製品や構成によってはIaaS、PaaS、クラウドストレージ、クラウドアプリケーションの利用状況も管理対象になります。

CASBが扱う主な領域は、可視化、コンプライアンス、データセキュリティ、脅威防御です。未承認サービスの利用、外部共有、機密情報のアップロード、不審なログイン、大量ダウンロードなどを確認し、必要に応じて警告、遮断、共有解除、隔離、管理者通知を行います。

CASBが必要になる背景

クラウドサービスは導入しやすく、部門単位でも利用が進みます。その反面、情報システム部門やセキュリティ部門が把握していないサービス利用、いわゆるシャドーITが発生しやすくなります。利用サービスが増えるほど、データの保存先、共有範囲、アカウント権限、操作ログ、設定状況を個別に確認する負担が増えます。

CASBは、クラウド利用を禁止するための仕組みではありません。クラウド活用を前提に、利用状況を把握し、許可する操作と制限する操作を分け、監査やインシデント対応に使える証跡を残すために使います。

CASBの主な機能領域

CASBの実装方式

CASBは、導入方式によって観測できる範囲と制御できるタイミングが変わります。導入前に、リアルタイム遮断が必要なのか、事後監査と是正で足りるのかを決めます。

プロキシ型

プロキシ型は、利用者とクラウドサービスの通信経路にCASBを配置する方式です。アップロード、ダウンロード、ログイン、共有操作などを通信時点で制御しやすい点が特徴です。リアルタイムで遮断したい場合に適しています。

一方で、通信経路、端末設定、証明書、既存プロキシ、リモートワーク環境との整合を確認する必要があります。対象外の経路からアクセスされた場合にどう扱うかも設計します。

API連携型

API連携型は、クラウドサービス側のAPIを使い、ファイル、共有設定、ログ、アカウント、権限などを確認する方式です。既にクラウド上に保存されたデータの検査、外部共有の是正、監査ログの確認に適しています。

リアルタイム遮断には向かない場合があります。例えば、不適切な共有を検知してから共有解除するまでに時間差が出ることがあります。対象サービスのAPI仕様によって、取得できる情報や実行できる制御も変わります。

ログ分析型

ログ分析型は、ファイアウォール、プロキシ、DNS、認証基盤などのログからクラウド利用を把握する方式です。未承認サービスの利用状況やアクセス傾向を確認しやすく、シャドーITの棚卸しに使われます。

ただし、ログだけではクラウド上のファイル内容や共有設定まで確認できない場合があります。詳細なデータ制御には、API連携型やプロキシ型と組み合わせる構成が必要になります。

CASBでできること

シャドーITの把握

シャドーITは、組織が正式に承認していないクラウドサービスを部門や個人が利用する状態です。CASBは、ログやAPI連携を通じて利用サービスを把握し、サービスのリスク、利用者、利用頻度、保存データの傾向を確認します。

重要なのは、未承認サービスを見つけた時点で一律に禁止しないことです。業務上必要なサービスであれば、承認、代替サービス、利用範囲、データ保存ルール、退避手順を定めます。禁止すべきサービスと条件付きで許可するサービスを分けることで、現場の業務とセキュリティ統制を両立しやすくなります。

データ持ち出しと外部共有の制御

CASBは、クラウド上のファイル共有、ダウンロード、アップロード、外部公開、共有リンク作成を確認します。顧客情報、個人情報、契約書、設計情報などを検知し、外部共有を禁止する、警告する、管理者へ通知する、共有解除する、といった処理を行います。

制御を厳しくしすぎると業務が停滞します。導入初期は、重要データと高リスク操作から対象を絞り、モニタリング、警告、一部遮断の順で適用範囲を広げる方が定着しやすくなります。

不審な利用行動の検知

CASBは、通常と異なる地域からのログイン、短時間の大量ダウンロード、深夜の操作、普段利用しないアプリ連携、退職予定者による大量共有などを検知します。こうした挙動は、アカウント侵害や内部不正の兆候になる場合があります。

検知結果は、SOC、CSIRT、ID管理、端末管理、チケット管理と連携させます。アラートだけを増やしても対応は進みません。誰が確認し、どの条件でアカウント停止や共有解除を行うかを決めます。

クラウド利用の監査対応

クラウド利用では、誰が、いつ、どのデータにアクセスし、どの範囲へ共有したかを説明できる状態が求められます。CASBは、クラウドサービスごとに分散したログや設定を集約し、監査、社内点検、取引先説明に使える情報を整理します。

ただし、すべてのクラウドサービスで同じ粒度のログを取得できるわけではありません。導入時は、重要なSaaSごとに取得可能なログ、保持期間、API制限、レポート出力、証跡の完全性を確認します。

CASB導入のメリット

クラウド利用の把握精度が上がる

CASBを導入すると、組織が使っているクラウドサービス、利用者、アクセス元、データ共有の状況を把握しやすくなります。これにより、未承認サービス、過剰な外部共有、管理されていないアカウントを発見できます。

把握できる範囲は、導入方式と対象クラウドの仕様に依存します。プロキシ型、API連携型、ログ分析型のどれを使うかによって、リアルタイム制御、事後監査、利用サービス棚卸しの得意分野が異なります。

データ保護のルールを適用しやすくなる

CASBは、機密情報の検知、外部共有の抑止、未管理端末からのダウンロード制限など、クラウド上のデータ保護を支援します。個別SaaSの設定だけに頼るより、共通の考え方でポリシーを設計しやすくなります。

例えば、機密ラベル付きファイルは外部共有を禁止する、個人情報を含むファイルは共有時に承認を必要とする、未管理端末からのダウンロードを制限する、といった運用が可能です。

監査とレポート作成の負担を減らせる

クラウドサービスごとに管理画面やログ形式が異なると、監査や棚卸しに時間がかかります。CASBは、利用状況、ポリシー違反、共有状態、アラートを集約し、管理者の確認作業を減らします。

ただし、導入直後から自動化だけで安定するわけではありません。検知ルール、例外申請、アラートの優先順位、レポート形式を調整する期間を確保します。

クラウド利用を止めずに統制しやすくなる

CASBは、クラウド利用を全面禁止するのではなく、リスクに応じて許可、警告、遮断、是正を分けます。これにより、業務に必要なクラウド利用を維持しながら、機密データや高リスク操作を制御しやすくなります。

現場の利便性を保つには、禁止項目だけでなく、利用可能なサービス、申請手順、例外条件、問い合わせ先を明確にします。ルールの理由を説明できる状態にしておくと、利用部門との調整が進みやすくなります。

CASB導入時の確認事項

守る対象を決める

最初に、CASBで何を守るのかを定義します。対象が曖昧なまま製品を選ぶと、導入後に必要な制御ができない、または過剰な制御で業務に支障が出る可能性があります。

• 顧客情報、個人情報、契約書、設計資料、営業資料などの重要データ
• SaaS、クラウドストレージ、CRM、グループウェア、生成AIサービスなどの対象サービス
• 外部共有、ダウンロード、アップロード、OAuth連携、管理者操作などの対象操作
• 社給端末、私物端末、リモートワーク、委託先利用などの利用条件

導入方式を選ぶ

リアルタイム遮断が必要ならプロキシ型、クラウド上の既存データや共有状態の監査を重視するならAPI連携型、未承認サービスの棚卸しを重視するならログ分析型が候補になります。実際には複数方式を組み合わせるケースもあります。

方式を選ぶ際は、対象サービス、端末管理、認証基盤、ネットワーク構成、リモートワーク比率、既存プロキシ、EDR、SIEMとの連携を確認します。PoCでは、検出率だけでなく、業務影響、アラート量、例外処理、管理画面の使いやすさを評価します。

既存のセキュリティ基盤と連携させる

CASBは単独ですべてを担う製品ではありません。IDaaS、SSO、多要素認証、MDM、EDR、SIEM、DLP、プロキシ、WAFと役割を分けます。

例えば、本人確認と認証はID基盤、端末状態の確認はMDMやEDR、Web通信制御はプロキシやSWG、クラウド上のデータ共有監査はCASB、インシデント対応はSIEMやSOCで扱う、といった分担が考えられます。

例外管理を設計する

クラウド利用には例外が発生します。取引先との一時的な外部共有、大容量ファイルの受け渡し、委託先アカウント、海外拠点からのアクセスなどです。例外をすべて現場判断に任せると、ポリシーが形骸化します。

例外を認める場合は、申請者、承認者、理由、対象データ、期間、再評価日、ログ確認方法を記録します。期限のない例外を放置しないことが、CASB運用の安定に直結します。

CASBとSSEの関係

SSEとは

SSE（Security Service Edge）は、Web、クラウドサービス、プライベートアプリケーションへのアクセスを、利用者の場所や端末に依存せず保護するためのカテゴリです。CASB、SWG、ZTNAなどの機能を含む形で提供されることがあります。

CASBは、SSEの中でクラウドサービス利用の可視化、データ保護、ポリシー適用を担う要素として位置づけられます。SSEを検討する場合も、CASB機能がどのSaaSに対応し、どの粒度でデータと操作を制御できるかを確認します。

CASB、SWG、ZTNAの違い

これらは重なる部分もありますが、焦点は異なります。CASBはクラウドサービス上のデータと操作、SWGはWebアクセス、ZTNAはプライベートアプリケーションへの接続制御を中心に扱います。

CASB運用で失敗しやすい点

最初から制御を厳しくしすぎる

導入直後に外部共有やダウンロードを広範囲に遮断すると、営業、サポート、開発、委託先連携で支障が出る場合があります。最初は可視化と警告から始め、高リスクのデータや操作を優先して遮断対象にします。

アラートが多すぎる

CASBは多くのログと検知結果を出します。重大度や業務影響を整理しないまま運用すると、管理者が処理できない量のアラートが発生します。アラートは、即時対応、定期確認、参考情報に分け、通知先と対応期限を決めます。

SaaSごとの差を見落とす

同じCASB製品でも、対象SaaSによって取得できるログ、実行できる制御、API制限、対応データ形式が異なります。導入前に重要SaaSを選び、実際のアカウント、ファイル、共有設定、操作ログで検証します。

責任分担が曖昧になる

CASBを導入しても、検知結果を誰が確認し、誰が共有解除やアカウント停止を実行するかが決まっていなければ、対応が遅れます。情報システム、セキュリティ、法務、現場部門、委託先の責任範囲を文書化します。

CASBの今後

生成AIサービス利用への対応

生成AIサービスの業務利用が進むと、入力データ、出力データ、アカウント利用、外部共有、学習利用の扱いが論点になります。CASBやSSE製品では、生成AIサービスの利用状況把握やアップロード制御を支援する機能が増えています。

ただし、生成AI利用の統制はCASBだけでは完結しません。利用ルール、対象データ、入力禁止情報、承認済みサービス、ログ確認、教育を合わせて設計します。

SSEへの統合

CASBは、SWG、ZTNA、DLP、RBIなどと統合され、SSEとして提供されるケースが増えています。統合により、Web、SaaS、プライベートアプリケーションへのアクセスを同じ管理面で扱いやすくなります。

一方で、統合製品を選べば自動的に統制が完成するわけではありません。CASB機能、SWG機能、ZTNA機能のどこまでを自社で使うのか、既存製品とどう分担するのかを決めます。

クラウドセキュリティ運用の継続課題

クラウドサービスは増え続け、API仕様、ログ形式、共有機能、外部連携も変化します。CASB運用では、対象SaaSの追加、ポリシー見直し、例外棚卸し、アラート調整、監査項目の更新を継続します。

運用の焦点は、制御を増やすことではありません。守るデータを明確にし、業務に必要な利用を許可し、危険な操作を制限し、例外を期限付きで管理することです。

まとめ

CASBは、クラウド利用を可視化し、データ保護、アクセス制御、脅威検知、監査対応を支援する仕組みです。代表的な機能は、可視化、コンプライアンス、データセキュリティ、脅威防御に整理できます。

導入時は、対象クラウド、守るデータ、必要な制御タイミング、既存基盤との連携、例外管理を先に決めます。プロキシ型、API連携型、ログ分析型では得意分野が異なるため、重要なSaaSでPoCを行い、見える範囲、止められる操作、運用負荷を確認します。SSEを検討する場合も、CASB機能が自社のデータ保護要件を満たすかを個別に評価します。

参考資料

• Fortinet「What is CASB (Cloud Access Security Broker)?」
• Microsoft「What is a cloud access security broker (CASB)?」
• Cloudflare「What is CASB? Cloud access security brokers」
• Gartner「Best Security Service Edge Reviews」

よくある質問