クラウドサービス(SaaS)の利用が当たり前になった現在、企業の情シス部門は新たな頭痛の種を抱えています。「社員が勝手に個人用Googleドライブに業務データをアップロードしているかもしれない」「契約したBoxの設定ミスで、機密情報が公開状態になっているかもしれない」。
これら「クラウド特有のリスク」を管理するための専用ツールが CASB(Cloud Access Security Broker:キャスビー) です。本記事では、CASBの基本機能から、理解が難しい「APIモード」と「プロキシモード」の違い、そして具体的な活用シナリオまでを解説します。
CASBとは何か
CASBは、ユーザー(社員)とクラウドサービスプロバイダーの間に配置され、クラウド利用の可視化、データ保護、アクセス制御を一元的に行うセキュリティソリューションです。2012年にガートナー社によって提唱されました。
登場の背景:シャドーITの深刻化
かつては社内ネットワークの出口(ファイアウォール)を守れば安全でした。しかし、DropboxやSlackなどの便利なSaaSが普及し、社員が会社の許可なくこれらを使う「シャドーIT」が急増。
従来のセキュリティ機器では、暗号化されたSaaS通信の中身まで見ることができず、情報漏洩のリスクが高まったため、CASBが必要とされました。
CASBの4つの柱(主要機能)
CASBには、ガートナーが定義した4つの主要機能があります。
- 可視化(Visibility)
- 社内で「誰が」「どのデバイスから」「どのクラウドサービスを」利用しているかを特定します。数千種類のSaaSデータベースと照合し、そのアプリのリスクレベル(例:データ所有権がユーザーにあるか等)を評価します。
- データセキュリティ(Data Security)
- DLP(情報漏洩対策)機能により、マイナンバーやクレジットカード番号、特定のキーワード(「社外秘」など)を含むファイルのアップロードを阻止したり、自動で暗号化したりします。
- 脅威防御(Threat Protection)
- クラウド経由でのマルウェア感染を防いだり、普段と異なる場所からのアクセス(アカウント乗っ取りの兆候)を検知してブロックします。
- コンプライアンス(Compliance)
- クラウド上のデータ保存状況が、業界の規制(GDPR、PCI DSSなど)や社内規定に違反していないかを監査・レポートします。
SWG(クラウドプロキシ)とCASBの違い
よく混同されるSWGとCASBですが、守備範囲と「深さ」が異なります。
| 特徴 | SWG(クラウドプロキシ) | CASB |
|---|---|---|
| 対象 | Web全体(全Webサイト) | 特定のSaaS(Box, M365, Slack等) |
| 制御の深さ | 浅く広い | 深く狭い |
| 得意なこと | 危険なサイトへのアクセス遮断 ウイルスチェック | アップロード/ダウンロード制御 共有設定の監査 保存済みデータの検査 |
| データの場所 | 通信中のデータのみ検査 | 通信中 + クラウドに保存済みのデータ |
※現在は、SWGとCASBが統合された「SASE(Secure Access Service Edge)」製品が主流になりつつあります。
CASBの導入モード(アーキテクチャ)
CASBを理解する上で最も重要なのが、2つの動作モード「APIモード」と「プロキシモード」の違いです。これらは役割が異なり、併用するのがベストプラクティスです。
4-1. APIモード(Sanctioned IT向け)
会社が契約している「認可アプリ(Microsoft 365, Box, Slackなど)」に対して使用します。CASBがクラウドサービスの裏口(API)から直接ログインし、中身をチェックするイメージです。
- イメージ: 夜間に警備員がオフィスを巡回し、鍵のかかっていないキャビネット(設定ミス)や、机の上の機密書類(保存データ)をチェックする。
- できること:
- 保存データの検査: 過去にアップロードされたファイルも含め、機密情報が含まれていないかスキャンする。
- 設定監査: 「外部公開リンク」が作成されていないかチェックし、あれば自動で無効化する。
- できないこと:
- リアルタイムの制御(今まさに送信されようとしているデータのブロック)は苦手(タイムラグがあるため)。
4-2. プロキシモード(Forward / Reverse)
ユーザーとクラウドの間の通信経路に割り込み、データの通り道で検問を行います。
- イメージ: 空港のセキュリティゲート。通過する荷物(通信データ)をその場で検査し、危険物はその場で没収(ブロック)する。
- できること:
- リアルタイム制御: 「個人用Gmailへのファイル添付」をその瞬間にブロックする。
- デバイス制御: 「会社支給PCならダウンロードOKだが、個人のスマホからはプレビューのみ許可」といった制御。
- できないこと:
- すでにクラウドに保存されてしまっている過去のデータの検査。
図解的まとめ:2つのモードの違い
Copy【APIモード】 (データ連携型)
[ユーザー] --(通信)--> [クラウド(Boxなど)] <=== (API連携) === [CASB]
↑
「設定ミスはないか?」
「機密ファイルは保存されてないか?」
(事後チェック・全体スキャンが得意)
-----------------------------------------------------------------------
【プロキシモード】 (ゲートウェイ型)
[ユーザー] ====> [CASB] ====> [クラウド(Boxなど)]
↑
「待った!そのファイルには
マイナンバーが含まれているので
アップロードさせない!」
(リアルタイム防御が得意)
具体的な利用シナリオと解決できる課題
シナリオ1:シャドーITの発見(プロキシモード/ログ分析)
- 課題: 社員が大容量ファイル転送のために、許可されていない無料ストレージサービスを使っている。
- 解決: ファイアウォールのログをCASBに取り込み分析。「誰がGigaFile便を使っているか」を特定し、利用をブロックするか、または「アップロードは禁止、ダウンロードのみ許可」という制御を行う。
シナリオ2:設定ミスの自動修復(APIモード)
- 課題: 社員がBox上の「極秘プロジェクト」フォルダの共有設定を誤って「リンクを知っている全員(パスワードなし)」にしてしまった。
- 解決: CASBがAPI経由で検知し、即座に共有リンクを無効化。同時に管理者にアラートを飛ばす。
シナリオ3:BYOD(私物端末)のセキュリティ確保(リバースプロキシ)
- 課題: 自宅の個人PCからMicrosoft 365にアクセスさせたいが、ファイルはダウンロードさせたくない。
- 解決: 個人PCからのアクセス時のみ、ブラウザ上の表示は許可するが、ダウンロードボタンを押すとCASBがブロックする。
主なCASB製品と選定ポイント
主要ベンダー
- Netskope: データの可視化と制御に強く、CASB市場を牽引するリーダー。
- McAfee Enterprise (Skyhigh Security): 初期のCASB大手Skyhighを買収。
- Microsoft Defender for Cloud Apps: Microsoft 365との親和性が最強。ライセンス(E5など)に含まれている場合が多い。
- Zscaler CASB: SWG(ZIA)のオプションとして統合されており、導入が容易。
選定ポイント
- API連携数: 自社で使っているSaaS(Salesforce, Slack, Zoomなど)に対応しているか。
- DLPの日本語精度: 日本の住所やマイナンバー、独特な言い回しを正しく検知できるか。
- 展開のしやすさ: エージェントを入れる必要があるか、既存のプロキシ設定を変える必要があるか。
導入に向けたステップ
いきなり全てを制御しようとすると業務が止まります。段階的な導入が鍵です。
- 現状把握(Shadow IT Discovery): まずはログ分析機能だけを使い、社内のクラウド利用実態を「見る」ことから始める。
- ポリシー策定: 見つかったアプリを「認可(会社推奨)」「非認可(禁止)」「許容(黙認)」に仕分ける。
- API連携の設定: Microsoft 365などの主要アプリとCASBをAPI接続し、既存データのリスクスキャンを行う。
- リアルタイム制御の適用: 最後にプロキシモードを展開し、個人用アカウントへのアップロード禁止などの具体的な制限を開始する。
まとめ
CASBは、「クラウドを使うな」と禁止するためのツールではなく、「安全に使いこなす」ためのツールです。
APIモードで「保存データの健全性」を保ち、プロキシモードで「通信の安全性」を担保する。この両輪を回すことで、シャドーITのリスクを抑えつつ、クラウドの利便性を最大限に享受することが可能になります。
