CASB - Cloud Access Security Broker
About 2 min read
CASB (Cloud Access Security Broker) とは、組織のユーザーとクラウドサービスの 間に位置し、アクセスの可視化、コンプライアンス適用、データ保護、脅威検出を 一元的に行うセキュリティソリューションです。 2012 年に Gartner が提唱した 概念で、クラウド移行が加速する中でシャドー IT の リスクが顕在化したことを背景に急速に普及しました。従来のファイアウォールや プロキシでは対応しきれない SaaS 利用のセキュリティギャップを埋める存在として、 企業のクラウドセキュリティ戦略の中核を担っています。
Gartner による提唱と市場の発展
Gartner は 2012 年のレポートで、企業のクラウド利用が IT 部門の管理を超えて 拡大している現状を指摘し、クラウドとユーザーの間に「仲介者 (Broker)」を 置く必要性を提唱しました。当初は Netskope 、 Skyhigh Networks (現 McAfee Enterprise) 、 Bitglass などのスタートアップが市場を牽引しましたが、 2020 年前後から Microsoft 、 Palo Alto Networks 、 Zscaler などの大手が 買収や自社開発で参入し、市場は急速に統合が進んでいます。
CASB の 4 つの柱
従業員が利用しているクラウドサービスを網羅的に検出。シャドー IT を含む 全 SaaS の利用状況をダッシュボードで把握する。
規制要件への 準拠状況を監視。データの保存場所、暗号化状態、アクセスログを自動チェックする。
DLP (Data Loss Prevention) 機能で機密データの外部流出を防止。 暗号化やトークン化でクラウド上のデータを保護する。
異常なログインパターン、大量ダウンロード、不審な共有設定などを検出し、 リアルタイムでブロックまたはアラートを発報する。
展開モードの比較
| モード | 仕組み | 長所 | 短所 |
|---|---|---|---|
| フォワードプロキシ | ユーザーのトラフィックを CASB 経由でルーティング | リアルタイム制御、未承認サービスもブロック可能 | エージェント導入が必要、レイテンシ増加 |
| リバースプロキシ | クラウドサービスの手前に CASB を配置 | エージェント不要、BYOD にも対応 | 対応サービスが限定的 |
| API モード | クラウドサービスの API を通じてデータを分析 | 導入が容易、保存済みデータも検査可能 | リアルタイムブロック不可、事後検出のみ |
SASE への統合トレンド
近年、 CASB は単独製品から SASE (Secure Access Service Edge) の構成要素へと 進化しています。 SASE はゼロトラストネットワーク アクセス (ZTNA) 、 SD-WAN 、ファイアウォール、 CASB を統合したクラウドネイティブな セキュリティプラットフォームです。 Gartner は 2025 年までに大企業の 80% が SASE 戦略を採用すると予測しており、 CASB の機能は SASE の一部として 提供されるケースが主流になりつつあります。IAM との統合により、 ユーザーの ID に基づいたきめ細かなアクセス制御が実現します。
現場での使用例
「CASB を導入して最初のスキャンを実行したところ、社内で 350 以上の未承認 クラウドサービスが利用されていることが判明しました。そのうち 15 件は 個人情報を含むデータが保存されており、即座にデータ移行を実施。 API モードで 既存の Microsoft 365 と Google Workspace のデータも遡及的に検査し、 外部共有されていた機密ファイル 200 件以上を検出・是正しました。」
クラウドストレージの セキュリティ対策はクラウドストレージセキュリティの記事で、 リモートワーク環境の保護はリモートワークセキュリティの記事で 詳しく解説しています。cloud security books on Amazonも実務に役立ちます。
Was this article helpful?