CASBとは？クラウドサービス利用企業に必須のセキュリティ対策を徹底解説

DX推進やテレワーク導入などの影響により、クラウドサービスを利用する企業が増えています。初期費用を抑えながら便利なITサービスを利用できることから、ますます企業のクラウドシフトは進んでいくと見られています。

今回は、さまざまなクラウドサービスの利用が進む中、企業が対処すべき情報セキュリティ対策の1つとして注目を集めている「CASB（キャスビー）」とはどのようなもので、どんな機能・どんなメリットがあるのかをご紹介いたします。

目次

1. CASBとは
2. CASBの4つの基本機能

3. 企業のクラウドサービス利用状況

4. クラウドサービスの課題
5. CASBのメリット
6. CASBの導入目的
7. CASBの限界と考慮点
8. まとめ

CASB（Cloud Access Security Broker／キャスビー）とは、セキュリティリスクに対処していくため「企業と複数のクラウドサービスとの間にコントロールポイントを置いて、一貫したセキュリティポリシーで運用するシステム」を実現するソフトウェアのことを指します。

ビジネスにおいて、SaaSに代表されるクラウドサービスを利用する機会が増え、多数のクラウドサービスを一括して安全に運用する必要性が高まる中で、CASBは注目を集めています。

2012年、米国の調査会社ガートナーが提唱した考え方では、4つの基本機能で構成されています。

本コラムではより具体性を出すため、マイクロソフト社のMicrosoft Defender for Cloud Apps（旧称：Microsoft Cloud App Security）のサービスの機能と合わせてご紹介します。

1点目として、社員が利用している多くのクラウドサービスを特定し利用状況を可視化できます。

最大の特徴は、クラウドサービスの脅威情報が一目でわかることです。

これにより、あらゆるクラウドサービスの安全性を検証する手間が削減され、危険なクラウドサービスへのデータアクセスを制限しリスクを回避することが可能です。

2点目としては、コンプライアンスが挙げられます。

利用したいクラウドサービスが、法規制や業界標準など関連するコンプライアンス要件を満たしているかどうかが一目でわかります。

各クラウドサービスの対応状況は、マイクロソフト社が独自に調査・評価した結果が反映されています。これによって、システム担当者が独自で各クラウドサービスのコンプライアンス対応状況を調査する手間を軽減させます。

CASBはクラウド全体で機密情報を保護する機能も持ち合わせています。

具体的には、クラウドにアップロードされたファイルに機密情報や個人情報が含まれているか監視をし、ポリシー違反を検出、ファイルの検疫やアカウントの停止などを自動的に実行します。

クラウドサービスで異常な動作を検出し、ランサムウェアや悪質なクラウドサービスを特定するほか、危険度の高い使用を分析して自動的に修復し、組織へのリスクを制限します。

例えば、退職予定者が短時間に機密情報を大量にダウンロードしているといった怪しい行動を検出すると、管理者に通知が届きます。また、ダウンロードされたファイルやユーザー・アプリケーションを特定し、アカウントの停止をするといった対処も可能です。

CASBの基本機能の解説の中で「クラウドサービス」に関する内容が何度も出てきましたが、クラウドサービスの利用状況を正しく把握できず、頭を抱えているシステム担当者も多くいらっしゃるのではないでしょうか。

米国のセキュリティ企業が実施した調査によると、自社で使用しているクラウドサービスは30～40種類とシステム部門責任者が認識していたのに対し、実態は1社平均で900種類を超えていたことがわかりました。

日本企業においても、クラウドシフトは加速しています。

働き方改革の後押しもあり、日本のワークススタイルにも変化が訪れています。オフィスや自宅、移動中など、どこにいても均質の機能が利用できるクラウド型のアプリケーションは非常に便利な存在で、この先もクラウドシフトが止まることはないでしょう。

クラウドサービスの多様化も進んでいます。

例えばメールやグループウェア、ストレージ、顧客管理、文書作成、翻訳、日本語変換など多くの企業が常用する機能ですが、中にはクラウドであることを知らずに使っているケースもあるのではないでしょうか。

総務省「通信利用動向調査（平成29年通信利用動向調査の結果）」によると、クラウドサービスを一部でも利用している企業は全体の半数以上である56.9％で、前年度から10％以上利用状況が増えた結果となりました。

また、クラウドサービスを利用する企業のうち効果を実感している企業の割合は85.2％にも上り、多くの企業で効果を実感していることもわかります。

冒頭で触れた「900種類以上」という数値の大半は、情報システム部門が許可をしていないサービスです。

このようなシャドーITの横行によって、知らず知らずのうちに危険なサービスを利用し、結果としてマルウェア感染の被害や情報漏洩の被害に遭う恐れがあります。

また、クラウドサービスは製品によって、ディザスタリカバリー（DR）の範囲・内容は異なります。

ディザスタリカバリーとは、ITシステムが地震や台風などの自然災害やサイバーテロなどの被害を受けた際に、迅速に復旧するための仕組みのことです。利用しているサービスのデータ保護の態勢に不備があった場合、大切なデータが消失してしまう恐れもあります。

業務で取得した個人情報を安易にクラウドに保存すると、個人情報保護法などの法令に違反するケースもあります。

情報システム部門は、企業が遵守すべきコンプライアンス要件を満たしているかどうかを、サービスごとに見極めたうえで利用を許可しなければなりません。

上記でご紹介したようなクラウドサービスの課題解決策として期待されているのが、本記事冒頭でご紹介した「CASB（キャスビー）」です。

CASBを導入することで、企業のクラウド利用において以下のようなメリットが期待できます。

• クラウドサービスの可視化・監視
• クラウドサービスのセキュリティ強化
• クラウドサービスの一括制御

CASBを導入することで、企業にどのような恩恵があるのか、もう少し詳しく説明していきます。

CASBを導入すると、利用しているクラウドサービス全体を可視化し、まとめて監視できるようになります。

例を挙げると、社内で利用しているクラウドサービス全体について、

• 誰が利用しているのか
• どこからアクセスしているのか
• どのサービスを利用しているのか
• 利用している時間や頻度はどの程度か
• アップロードやダウンロードしているデータはどのような内容か

といったさまざまな状況を、一括してチェックすることが可能です。

利用中のクラウドサービスが複数になると、きめ細かな把握は難しくなりがちですが、CASBを導入することで、状況を確認・分析し異常はないか確かめられるようになります。

CASBは、クラウドサービスのセキュリティ強化に有用です。特に、クラウドサービス利用時に、リスクの高い情報漏洩の予防に役立つのは、大きなメリットと言えるでしょう。

CASBでは、

• 機密性の高い情報について定義や学習ができる
• データに含まれる内容をもとに持ち出し制限ができる
• データの暗号化
• マルウェアの検知や隔離
• 不審な挙動を検知したら通知する

などの機能があります。そのため、効率的に、過失・内部不正・サイバー攻撃による情報漏洩のリスクを抑えることが可能です。

ひとたび情報漏洩となれば、社会的信用の失墜や損害賠償の発生など、企業へのダメージははかり知れません。CASBによるセキュリティ強化は、必須級と言えるでしょう。

CASBを導入すると、クラウドサービスの一括制御ができるようになります。例えば、複数のクラウドサービスに対して、次のようなことが一括して実施できます。

• アップデートやルール適用
• アクセス権限の設定

多くのクラウドサービスを利用していても、管理運用の効率化が叶うのは、うれしいポイントです。担当者の負担軽減や人件費の抑制にもつながるでしょう。

企業がCASBを導入する代表的な目的は、次の3つです。

• シャドーIT対策
• テレワーク導入
• ゼロトラストセキュリティの実現

順番に確認していきましょう。

CASBを導入する目的の多くは、シャドーIT対策です。

機能の1つ目である「サービスの可視化」によって、クラウドサービスの利用状況を正しく把握できるようになり、望ましくないサービスの利用を制限することができます。また残りの3機能により、セキュリティインシデントにつながるような兆候を検知したり、情報漏洩につながる動きを制御したりするといったメリットもあります。こうしたメリットを持ったCASBは、クラウドシフトを検討している企業にとって早期に導入すべきサービスと言えるでしょう。

新型コロナウイルス感染症の流行や働き方改革に伴い、テレワークが浸透したことから、クラウドサービスを導入する企業が増えています。

テレワークには、どこからでもデータにアクセス可能なクラウドサービスの利用が、欠かせないためです。

CASBは、社外にある端末などにも導入できるので、安全なテレワーク環境構築に役立ちます。

ゼロトラストとは、「セキュリティ対策を行わなくても問題のない領域は存在しない」という前提で、セキュリティ対策を実施するあり方です。

近年、CASBをクラウドサービスにおけるゼロトラスト実現の中核として導入する例が、急増しています。ITRの調査においても、CASB 運用監視サービスの2021年度の市場規模は、前年度比51.2％も拡大しているという結果でした。

CASBは、例外なくすべてのクラウドサービスへのアクセスを監視・制御することができるので、ゼロトラスト実現に有用であることが理由です。

CASBで企業が利用するクラウドサービスのセキュリティ保護を行うことができることをご紹介しましたが、CASBを導入すれば万事解決というわけではありません。

シャドーITによって引き起こされる情報漏洩対策を対処するという意味でCASBは有効ですが、情報漏洩対策という広範なセキュリティ対策としての最善策がCASBというわけではありません。

情報漏洩対策という観点において、CASBの限界や考慮点について解説します。

CASBでは、クラウドの異常な使用状況を把握することが可能です。

例えば、SMTPサーバーからクラウドストレージへの通信や、同じ端末から複数回ログインを失敗しているというような、通常であれば行われない異常行動を検知することが可能です。

しかし、実際にどんな事象が発生していたかはCASBの範囲外となります。よって、何か不審な動きを見つけた場合は別の手法で捜査をする必要があります。

クラウドサービスや外部委託に関する会社のセキュリティポリシーやルールが明確化していなければ、CASBのメリットを最大限に発揮することは困難です。

例えば、下記のような項目が明確化しているかを今一度ご確認ください。

• クラウドサービス利用範囲の明確化（どういったデータがどのクラウドサービスに保管しても良いのか）
• クラウドサービスで扱っても問題ない情報・データの重要度（社外に保管しても問題ないデータ）
• クラウドサービスごとのアカウント権限（適切なアクセス権限を付与するルール）
• データのバックアップ（クラウドサービス停止等に備えたデータの確保）

CASBに限らずDLPといった情報漏洩対策製品においても、企業の情報ポリシーが明らかでないと十分な効果を発揮できません。

社内のセキュリティポリシーやルールが曖昧な場合は、まずはデータの棚卸やポリシー・ルールの見直しから行うことをお勧めします。

オンプレミスのファイルサーバーなど完全にクラウドシフトができていない企業は、オンプレミス環境も含めた社員が利用するあらゆるシステム環境を考慮する必要があります。

例えば、情報漏洩対策を目的としてCASBを導入したとして、クラウドサービス上の情報漏洩は防げたとしても、悪意を持った退職予定者がUSBに機密情報を入れてしまっては意味がありません。

今回は、CASBのメリットと導入における課題について、Microsoft Defender for Cloud Appsと交えてご紹介いたしました。

クラウドセキュリティの導入を検討なされている方は、製品・サービス選定の前に「企業におけるインフラの在り方」と「情報ポリシーの在り方」を見直すことから始めてはいかがでしょうか。上記を踏まえたうえで企業にとって適切な製品・サービスの活用をご検討ください。

Microsoft Defender for Cloud Appsの導入・運用などでお困りであれば、ＪＢサービス株式会社までご相談ください。