現代の企業活動においてクラウドサービスは欠かせない存在となっており、複数のクラウドサービスを利用する企業も多くなりました。それにより、情シス担当者は多くのITツールを管理しなければならなくなり、業務が複雑化しています。

本記事では、クラウドサービス、特にSaaSのセキュリティ対策に有効な「CASB」について解説します。企業のクラウド利用におけるセキュリティ対策をどのように行えばよいのか、ぜひ参考にしてください。

CASB（Cloud Access Security Broker）とは、2012年にアメリカのガートナー社が提唱したクラウドサービスの利用に関するセキュリティ対策の考え方です。一般的には「キャスビー」と呼ばれています。

クラウドサービスとその利用者の間にCASBを設置することで、クラウドサービスの利用状況を可視化し、安全なアクセスを実現することができます。

複数のクラウドサービスに対して、ユーザーごとの細かいアクセス制御や認証、マルウェアの検知、ログの取得・分析を行ってくれるため、クラウドサービスの利用時におけるリスク対策に効果的です。

CASBが注目されている背景には、DX（デジタルトランスフォーメーション）の加速による働き方の多様化があります。

働き方やサイバー攻撃が多様化したことにより、従来の「境界型セキュリティ」では対応しきれない場面が出てきたことが、CASB普及の大きな理由ではないでしょうか。

総務省の令和5年版 情報通信白書「企業におけるクラウドサービスの利用状況」によると、2022年の時点でクラウドサービスを利用している企業は72.2％に達し、今後利用予定がある企業も含めると80%を超えています。

働く場所が多様化したことで、クラウドサービス（特に導入しやすいSaaS）の利用が急速に拡大し、境界型セキュリティでは対応できないリスクが生じました。

境界型セキュリティでは、外部ネットワーク（WAN）と 内部ネットワーク（LAN）の間にセキュリティの防御壁（ファイアウォールなど）を設置します。社外からのアクセスはVPNなどを経由することで、セキュリティの高い通信を可能にするのが一般的でした。

しかし、以前に比べて社外で仕事をする人が増えたこと、利用するクラウドサービスが増えてきたことから、従来のVPNで全てのアクセスを受けることが難しくなってきました。この膨大に増えたトラフィックを受け止められるVPNを構築するには費用が掛かりますし、対応しなければ、ユーザーがレスポンスに不満を感じるようになり、業務効率の悪化にもつながります。

特定のクラウドサービスについてはVPNを経由せずに直接アクセスさせる方法もありますが、その際のセキュリティ対策が十分ではないケースが増えているため、CASBが注目されるようになりました。

昨今、ユーザーが利便性を求めた結果、情シス担当者が把握していないクラウドサービスを勝手に利用する「シャドーIT」が増えていると考えられます。会社で管理・把握されていない機器やサービスを業務で利用すると、セキュリティ対策が不十分なため情報漏えいなどの事故につながる可能性があります。

Netskope の調査によると、企業のIT部門が利用実態を把握しているクラウドサービスはわずか5％で、95％以上のクラウドサービスが知らぬ間に使用されています^※。これほどシャドーITが深刻であることを考えれば、情シス担当者が従業員のクラウドサービスの利用状況を管理することは、現代のセキュリティ対策において最重要だと言っても過言ではありません。

^{※「Growth in cloud services usage in the enterprise」Average number of cloud services in use Netskope Cloud Report.2014-2017　より}

CASBの主な機能は、大きく分けて４つあります。

CASBにはさまざまなメリットがあります。ここでは主な５つについて解説します。

クラウドサービスは、基本的にサービス提供者（ベンダー）が保守・管理しているため、利用者が自社でセキュリティ対策を施すことが難しいです。しかし、CASBを導入すれば、従業員のクラウドサービスへのアクセス状況を監視・制御できるようになり、セキュリティを高めることができます。

テレワークの普及により、企業のクラウドサービス利用はますます増加しました。社員がどこにいてもどんなデバイスからでも業務を行うことできるようにするために、クラウドサービスは不可欠なツールとなっています。逆に言えば、セキュリティリスクを恐れて、クラウドサービスの利用を禁止すれば業務効率の悪化に繋がります。適切なセキュリティ対策を講じたうえでクラウドサービスを利用できれば、高い業務効率を維持することができます。

クラウドサービスのアクセスログや利用状況を可視化・分析することでセキュリティリスクの検知だけでなく、内部不正の発見にも役立つ場合があります。CASBで検知できる機密情報には、クレジットカード情報やマイナンバー、特定の拡張子を持つファイルなどがあります。

CASBを利用することで、使用しているクラウドサービスが何かというだけでなく、ファイルのダウンロードやアップロードといった操作ログ、使用している端末などのデバイス情報を可視化・分析することができます。細かな情報を把握し分析することで適切なセキュリティ対策を講じることができます。

従業員が利用しているクラウドサービスを一つずつチェックして洗い出す…というのは膨大な工数がかかるうえに、漏れが発生する可能性もあります。CASBを利用すれば、あらゆるクラウドサービス利用を検知し利用情報を一元管理できるので、管理部門や情シス部門の負担を軽減することができます。

CASBの活用事例をいくつか紹介します。

CASBを導入することで、会社として導入しているわけではないクラウドサービスを検知することも可能です。利用実態を正確に把握して、それぞれのサービス利用に対して適切な対策を講じることができるため、セキュリティリスクの高いシャドーITを防ぐことができます。

会社として導入しているクラウドサービス、いわゆるサンクションIT（シャドーITの対義語）についても、セキュリティを強化したい場合にはCASBがおすすめです。アクセス状況の監視や制御を独自に設定することができるため、利用しているクラウドサービスのセキュリティレベルに不安がある場合にもセキュリティレベルを向上することができます。

SaaSだけでなく、IaaSやPaaSなどのパブリッククラウドの利用においても、CASBを利用してセキュリティ対策を行うことができます。パブリッククラウドを利用する際には、セキュリティインシデント（不正アクセス被害や情報漏えい事故など）の発生を防ぐために、適切に運用ルールや規定を設けることが重要です。パブリッククラウドのセキュリティリスクを評価すること（いわゆるクラウドリスクアセスメント）にもCASBは活用されます。

サンクションIT、シャドーITに関わらず、利用されているクラウドサービスをもれなく把握することで、利用におけるルールの策定などを検討することができます。「このサービスは利用しても大丈夫」「このサービスは利用禁止にする」といったルールをCASB上で制御し管理することができるため、企業におけるクラウド利用のガバナンスを強化することができます。

CASBの導入方法は大きく分けて4つあり、それぞれ導入のしやすさやカバーできる範囲などに違いがあります。

各クラウドサービスベンダーが提供しているAPIを利用して連携し、CASBにて操作ログやファイル情報の解析を行います。APIを利用する仕組みのため、サンクションITサービスのみを管理することができます。また、サンクションITサービスだとしても、APIに対応していないと利用できないため注意が必要です。

通信経路上にプロキシ型のCASBを設置することで、あらかじめ決められたポリシーに従ってアクセスを制御します。プロキシ型のCASBには、フォワードプロキシタイプとリバースプロシキタイプの2種類があります。

フォワードプロキシタイプは、ユーザーとクラウドサービス間の通信を仲介するプロキシサーバーとして機能します。ユーザーデバイスへのエージェントインストールやクラウドサービス側の設定変更が不要のため導入が簡単ですが、すべてのトラフィックを処理するためパフォーマンスへの影響が懸念されます。

リバースプロキシタイプは、クラウドサービスの前に配置され、ユーザーからのリクエストを処理するプロキシサーバーとして機能します。パフォーマンスへの影響が少ない代わりに導入のハードルが高くなります。

既存のゲートウェイ機器（UTMやファイアウォールなど）のログを分析することで利用状況を把握します。このタイプのCASBは、遮断するべきアクセスが検出された場合でも、基本的にはゲートウェイ機器だけでは通信を遮断することはできません。ゲートウェイ機器との連携によって通信を遮断するよう設定できるものもありますが、通信遮断をするのはあくまで既存のゲートウェイ機器のため、従来のURLフィルターと同レベルの制御（宛先ごとの許可/拒否）に限られます。

クラウドネイティブ型CASBは、クラウドサービスプロバイダーが提供するCASBサービスです。従来のCASBと異なり、クラウドサービスと一体化されているため、導入や運用が容易で、シームレスなセキュリティ対策を実現できます。

実際にCASBを導入する際には、どのようなポイントを事前に確認しておいたら良いのでしょうか。

CASBを活用して、実際にクラウドサービスの利用ルールを定める際に必要になるのが、企業としてのセキュリティポリシー（運用方針）です。会社として保有するデータ・機密情報やその重要性、保管場所、アクセス可能な範囲などを決めることで、クラウドサービスの利用ルールを定めることが可能になります。

なお、CASBはクラウドサービスへのアクセス権限や操作権限を制御することはできますが、クラウドサービス側のセキュリティ管理は行えない（ベンダーのセキュリティ対策に依存する）ため、リスクがゼロにはならない点は注意しておきましょう。

前述の通り、CASBの導入方法にはAPI型、プロキシ型、ログ分析型、クラウドネイティブ型の4つがあります。どこまで細かい制御が必要なのか、従業員の利用しているクラウドサービスやデバイス、アクセス環境がどれくらい多岐にわたるのか、などに応じて最適なものを選ぶ必要があります。

対応可能なクラウドサービスが少ない場合、複数のクラウドサービスを一元的に管理できるというCASBの強みを活かすことができません。あらゆるクラウドサービスを網羅的に管理するためには、できるだけ従業員が利用している（利用する可能性がある）サービスにはすべて対応しているものが望ましいです。

CASBの役割はあくまでも異変の検知です。セキュリティ上の異変を発見したあとに実際に対処するためには、別のセキュリティツールが必要になる場合があります。

業務のデジタル化が進んだことやサイバー攻撃が巧妙化したことで、以前よりも高度なセキュリティ対策が必要になりました。ここでは、合わせて抑えておきたいセキュリティ用語を2つご紹介します。

CASBは、あくまでもクラウドサービスへのアクセスに関するセキュリティ対策であり、一般的なWebサイトへのアクセスは対象外です。一方、SWGは、いわゆるプロキシサービスであり、URLフィルタリング、アンチウイルス、サンドボックスなどの機能を持っています。

SASEは、従来の境界型のネットワークセキュリティモデルとは異なり、ネットワーク機能とセキュリティ機能をクラウド上で統合して提供するゼロトラストモデルの新しいアーキテクチャー（構成）です。

SASEは、ネットワークとセキュリティの複合的な機能を持っており、先に紹介したCASBやSWGなどは、その一例です。