CASBとは？SASEやSWGとの違いやメリットや導入方法などを解説

クラウドやSaaSの導入が加速するなか、シャドーIT (会社が許可していないクラウド サービスやアプリの利用)、内部不正(従業員や関係者による意図的な情報持ち出し)、誤操作といった情報漏洩リスクが多様化しています。こうしたクラウド環境特有の課題を可視化、制御するソリューションとして注目されるのが、CASB (Cloud Access Security Broker)です。

本記事では、CASBの基本概念から、SASEやSWGとの違い、主な機能、導入のメリット、注意点などを整理して解説します。

CASBとは

CASBは、ユーザーとクラウド サービス(例：Microsoft 365、Salesforceなど)の間で、その利用状況を把握し、制御するセキュリティ機能(ソリューション領域)です。ここでいうクラウド サービスには、OneDriveやBoxといった個別のクラウド アプリも含まれ、主にSaaS環境でのデータ保護やアクセス管理を担います。

CASBは、認証、データ分類、暗号化、異常行動の検知、ポリシーの自動適用などを通じ、クラウド利用に伴う統制、ガバナンス、脅威対策、コンプライアンス対応を統合的に実現します。2012年にGartnerによって提唱されて以来、クラウド セキュリティの重要な柱として進化を続けています。

CASBとSASEの違い

CASBは「クラウド利用に特化した制御ポイント」として機能し、アプリごとのアクセス制御やデータ保護を担います。

従来はCASB単体で提供される製品も存在しましたが、現在主流のインラインCASBでは、対象トラフィックを確実に経由させるために、SWGやFWaaSといった経路制御基盤が不可欠になっています。

一方、SASE (Secure Access Service Edge)は、SWG、ZTNA、NGFW、SD‑WAN、CASBなどを統合したクラウドネイティブな包括的セキュリティ基盤であり、ネットワーク全体にわたるセキュリティとアクセス制御を提供します。

このため、CASBはSASEの一構成要素として組み込まれることが一般的で、統合運用によっていっそう効果的な制御と可視化が可能になります。

CASBとSWGの違い

SWG (Secure Web Gateway)は主にWebトラフィックのフィルタリングや脅威対策を目的としています。

それに対し、CASBはSaaSやPaaSなどクラウド アプリケーション全体を対象に、データの利用状況や共有状況の可視化、認証制御、DLPの適用、異常行動の検知などを行います。SWGがWebトラフィックの入口の防御を担う一方で、CASBはクラウド内部の利用動態全体を制御する役割を持ち、両者は補完関係にあります。

CASBの主な機能

CASBは、クラウド アプリの利用状況の把握や制御を目的として、主に以下の機能で構成されます。

【CASBの主な機能】

• 利用状況の可視化
• セキュリティ制御
• 脅威対策
• コンプライアンス対応

以下で順に詳しく解説します。

クラウド サービスの利用状況の可視化

全クラウド アプリケーションの利用状況を自動検出し、シャドーITの有無を明らかにします。誰がどの端末からどのアプリを使っているかを把握することで、リスクを具体化できます。

細かなセキュリティ制御

API型やプロキシ型のアクセス制御により、ユーザーやデバイス、操作内容に応じた暗号化、トークン化(データの置き換え)、共有制限などのポリシーを適用し、きめ細かな制御を実現します。

脅威対策

クラウド上でのマルウェア、不正な共有リンク、異常な行動ログなどをリアルタイムに検知。リスク スコアや行動分析に基づき即時の遮断や隔離を行い、被害を最小化します。

コンプライアンス対応

GDPR、HIPAA、PCI DSSなどの国際規制や業界規制に対応するため、データ分類ルール、自動レポート生成、監査ログ取得などの機能を備え、法令順守を支援します。

CASB導入のメリット

CASBを導入することで、まずシャドーITや誤操作による情報漏洩リスクを可視化し、リスク低減につなげることができます。さらに、ポリシーの自動適用によりコンプライアンスと内部統制を強化し、企業の信頼向上にも貢献します。

クラウド データを活用し、業務効率とアプリ運用の最適化を推進し、安全で効率的なクラウド運用環境を構築できるというメリットもあります。

CASB導入の注意点

CASB導入には、現在のクラウド サービスの構成やユーザーの利用状況の把握、導入方式の選定(API型/プロキシ型/ログ分析型)、運用体制の整備など、事前準備が不可欠です。

また、API仕様がクラウド サービス側で変わる可能性もあるため、継続的なメンテナンス体制も必要です。

CASBの導入方式

CASBの導入方式には以下の3タイプがあります。

【CASBの導入方式】

• API型
• プロキシ型
• ログ分析型

それぞれ特徴が異なるため、目的に応じた適切な選定が必要です。

API型

API型は、SaaS/IaaSのネイティブAPIと連携してクラウド内部のデータやイベントを監視、制御する方式です。ネットワーク パスを経由しないため、導入がスムーズで、ユーザー操作への影響が少なく、遅延が発生しません。

また、保存データ(データ アット レスト)のスキャンや分類が可能で、過去データにも対応できます。一方で、リアルタイムのデータ保護や通信中の制御が制限されるケースもあります。

プロキシ型

プロキシ型はユーザーとクラウドの通信を中継し、リアルタイムでポリシー適用やDLP制御(情報漏洩防御)を行う方式です。ユーザーの通信を中継する「フォワード プロキシ型」と、クラウド サービスの認証フローに介在する「リバース プロキシ型」の2種類があります。

フォワード プロキシ型は、エージェントやプロキシ設定により、ユーザーのアウトバウンド通信(クラウド サービスへのアクセス)をすべて監視および制御し、通信データの内容も含めてきめ細かく管理します。一方、リバース プロキシ型は主に認証部分に介在し、SAML連携などの認証フローを利用してアクセス制御を行います。

どちらの方式もリアルタイムでの制御と高い可視性を実現しますが、ネットワーク遅延の発生やTLS/SSL通信の復号と再暗号化による処理負荷、さらに構成や運用の複雑化といった課題も共通して存在します。

ログ分析型

ログ分析型は、クラウドのアクセス ログや操作ログを後処理的に収集、分析する方式です。リアルタイム性は低いものの、インフラへの影響が少なく、導入のハードルは比較的低い方式です。

エージェントを使いエンドポイントでログ収集や操作制御を行うことも可能で、特に管理対象外デバイス(例：BYODやサードパーティー端末)での制御強化に効果的です。ただし、エージェントの導入には許可取得や運用負荷が伴います。

エージェントなしではSaaS側のログを使った監査が中心となり、リアルタイムでの不正遮断や即時対応は難しくなります。

CASB選定時の検討事項

CASBの選定にあたっては、以下の点について検討することが重要です。

【CASB選定時の検討事項】

• 導入要件
• 運用方法
• 導入方式

順に解説していきます。

導入要件

まずは自社クラウドのアクセス形態や利用サービス、従業員の利用端末と場所などを把握し、守るべきデータの分類とガバナンス要件を明確にします。

これにより、必要とする可視性のレベル、制御範囲、DLPや認証などの機能要件を定義できます。

運用方法

CASBの導入には運用設計やポリシー設定、アラート対応など継続的な管理が必要です。社内に専任のセキュリティ部門があれば自社での運用も可能ですが、専門スキルが不足している場合は、ベンダーやSIerのサポートを活用することをおすすめします。

こうした支援を受けることで、設計ミスや運用トラブルを減らし、ポリシーの適切な設定や迅速な障害対応が可能になるため、導入が円滑に進み、安定した運用体制を築きやすくなります。

導入方式

API型、プロキシ型、ログ分析型にはそれぞれ特徴と制約があります。リアルタイム制御が必要なのか、過去データにも対応すべきか、ネットワーク構成やエージェント導入の制限があるかなどを事前に検討し、自社環境に合った方式を選択することが大切です。

CASBのユース ケースと活用例

CASBはシャドーITの発見、不正共有の制限、機密データの保護、内部不正対応など、多様なユース ケースで成果を上げています。

具体的には、従業員がIT管理部門の承認を得ずに使用しているクラウド アプリ(シャドーIT)の検出や、社内ポリシーに違反するアクセスやデータ共有の防止が可能です。また、社外からの不正ログインや権限を持たないユーザーによるサービス利用、通常の利用パターンと異なる時間帯や場所からのアクセス、そして機密情報の漏洩リスクが高まる大量ダウンロードといった異常の検知および対応も行えます。

特に金融業、製造業、医療機関ではクラウド利用の適正化とコンプライアンス対応に広く活用されています。

まとめ

クラウド利用が標準的となった現代において、CASBは情報漏洩リスクへの対応だけでなく、ガバナンスやコンプライアンスをも包括的に支援する重要なセキュリティ基盤となります。

導入にあたっては、自社環境に即した要件の整理と方式の選定、運用体制やメンテナンス計画が重要です。適切なCASBを選定することで、クラウドを安全に活用できる環境を整備できます。

Zscaler CASBで一貫したセキュリティを確保

Zscaler CASBは、Zero Trust Exchange™プラットフォーム上で提供されるマルチモードCASBで、API型、プロキシ型の両方式をサポートします。

主要なクラウド サービスに対し、シャドーIT検出、不正共有の遮断、リアルタイムDLP制御、自動ポリシー適用、脅威検出を実行できる統合ソリューションであり、インライン(転送中データ)およびアウトオブバンド(保存データ)の両方で高度な制御やマルウェア対策が可能です。

たとえば、リスクのある共有リンクや未承認のSaaSを自動的に検出し、表示制限やアクセスの遮断、ファイルの隔離などをポリシーに基づいて即時実行します。機械学習ベースの行動分析やクラウド サンドボックスによるゼロデイ脅威の封じ込めも実現し、複数の製品を導入することなく管理の一貫性と効率を両立できます。

このように、Zscaler CASBは、SWGやZTNA、DLPなどと統合されたSASE/SSEアーキテクチャーの一部として機能し、クラウド利用の自由を確保しながら強固なセキュリティも実現したい企業にとって最適な選択肢となります。

導入を検討中の方はぜひ、その効果を実際に体験していただくことをおすすめします。デモを依頼して、データ保護を強化し、効果的な運用を実現する次世代CASBの実力をご確認ください。

Zscalerが提供するSASEにご興味のある方は、ぜひ、Zscalerにお問い合わせ、またはデモを依頼するまでご連絡ください。