// シス担のミカタ
ゼロトラスト・SASE

CASB(Cloud Access Security Broker) きゃすび

クラウドセキュリティシャドーITDLPゼロトラストSASEアクセス制御
CASBって何?

簡単に言うとこんな感じ!

会社のクラウドサービス利用を一か所で見張る「クラウドの門番」だよ! 社員が勝手に使ってるDropboxやGmailも検知して、危険なデータの持ち出しをブロックしてくれるんだ。「クラスビ」って読む人もいるけど「キャスビ」が一般的だよ!

CASBとは

CASB(Cloud Access Security Broker) は、企業ユーザーとクラウドサービスの間に入り、セキュリティポリシーの適用・可視化・制御 を一元的に担う仕組みです。2012年にGartnerが提唱した概念で、クラウド利用が急拡大する中で生まれました。

従来のセキュリティ対策はオンプレミス(社内設備)を守ることが中心でしたが、SaaS(Software as a Service)の普及により、社員が会社の許可なく外部クラウドを使う 「シャドーIT」 が急増しました。CASBはその盲点を埋めるために登場した、クラウド時代の必須セキュリティレイヤーです。

具体的には「どのクラウドに誰がアクセスしているか」「どんなデータが流れているか」を把握し、ポリシー違反のブロック・暗号化・アラート通知 などを自動で行います。ゼロトラストセキュリティやSASEの中核コンポーネントとしても位置づけられています。

CASBの4つのコア機能

Gartnerが定義したCASBの機能は「4つの柱」として知られています。

機能概要具体例
可視化(Visibility)誰がどのクラウドを使っているか把握社員が使う野良SaaSをリスト化
コンプライアンス(Compliance)法規制・社内ポリシーへの準拠確認GDPRISMSへの対応状況チェック
データセキュリティ(Data Security)機密データの漏えい防止(DLP)個人情報ファイルのアップロードをブロック
脅威防御(Threat Protection)マルウェア・不正アクセスの検知異常なログインパターンを検出してアラート

覚え方:「可コデ脅」→「カ・コ・デ・キョウ」

視化・ンプライアンス・ータセキュリティ・威防御」の頭文字を取って「カコデキョウ(下克上)」と覚えると忘れにくいですよ!

導入方式の3分類

CASBには接続方式が3種類あります。どれを選ぶかは自社のIT環境によって異なります。

方式仕組み向いているケース
APIモードクラウドサービスのAPIで直接連携Office 365・Salesforceなど公式API対応SaaS
プロキシモード(フォワード)端末の通信をCASB経由に設定社員PCの通信を全て検査したい場合
プロキシモード(リバース)クラウド側でCASBを経由させるBYOD(私物端末)のアクセスを制御したい場合

歴史と背景

  • 2011年頃 — クラウドサービスの企業利用が急増。Dropbox・Google Driveなどの個人向けサービスが職場に流入し始める
  • 2012年 — Gartnerのアナリスト Neil MacDonaldが「CASB」という概念を初めて定義・命名
  • 2013〜2015年 — Skyhigh Networks・Elastica・Adallomなど専業ベンダーが次々と登場
  • 2017年 — MicrosoftがAdallomを買収してMicrosoft Cloud App Securityに統合。大手が本格参入
  • 2018年 — Symantec・McAfeeなどの大手セキュリティベンダーもCASBポートフォリオを整備
  • 2019年以降 — ゼロトラスト・SASEのコンポーネントとして標準的に組み込まれるようになり、単独製品からプラットフォームへの統合が進む
  • 2020年〜 — コロナ禍のリモートワーク急拡大でCASBの重要性がさらに高まる

CASBとその周辺技術の関係

CASBは単体で機能するだけでなく、周辺のセキュリティ技術と組み合わさることで真価を発揮します。

CASBと周辺技術の関係 SASE (統合セキュリティ基盤) CASB クラウドアクセスセキュリティブローカー ZTNA ゼロトラスト ネットワークアクセス SWG セキュア Webゲートウェイ DLP データ漏えい 防止 UEBA ユーザー行動 分析 IdP / SSO ID管理・ シングルサインオン 監視・制御の対象 承認済みSaaS(Salesforce, M365等) 未承認クラウド(シャドーIT)

CASBと似た技術との違い

技術主な目的CASBとの違い
SWG(セキュアWebゲートウェイ)Webトラフィックの検査・フィルタリングCASBはクラウドサービス固有の制御に特化
ZTNA(ゼロトラストネットワークアクセス)アプリケーションへのアクセス認証CASBはアクセス後のデータ操作も管理
DLP(データ漏えい防止)データの持ち出し検知・ブロックCASBのDLPはクラウド専用、DLP単体は社内も対象
SIEM(セキュリティ情報イベント管理)ログ収集・分析・相関検知CASBはリアルタイム制御まで実施

主要CASBベンダー比較

ベンダー製品名特徴
MicrosoftMicrosoft Defender for Cloud AppsM365との深い統合。既存ライセンスで利用可
NetskopeNetskope CASBシャドーIT検出の精度が高い。SASE統合に強み
ZscalerZscaler CASBZIA・ZPAとセットでSASEを構成
Palo Alto NetworksPrisma AccessCASB機能をSASEプラットフォームに内包

関連する規格・RFC

規格番号内容
ISO/IEC 27017クラウドサービスの情報セキュリティ管理策のガイドライン。CASBのポリシー策定に参照される
ISO/IEC 27018クラウド上の個人情報保護の実践規範。CASBのコンプライアンス機能の準拠基準

関連用語

  • SASE — ネットワークとセキュリティを統合したクラウド型セキュリティ基盤。CASBはその構成要素
  • ゼロトラスト — 「何も信頼しない」を前提とするセキュリティ設計思想
  • シャドーIT — 会社が把握・許可していないクラウドサービスや端末の業務利用
  • DLP — 機密データの外部持ち出しを検知・防止するData Loss Preventionの仕組み
  • SWG — Webトラフィックを検査してマルウェアや不正サイトをブロックするセキュアWebゲートウェイ
  • ZTNA — ゼロトラストの考え方に基づいてアプリケーションへのアクセスを制御する仕組み
  • SSO — 一度の認証で複数サービスにアクセスできるシングルサインオン
  • SaaS — インターネット経由で提供されるソフトウェアサービス。CASBの主な管理対象