CASBとは？SWGとの違いや機能・種類｜選定基準も

テレワークの普及やクラウドサービスの増加に伴い、クラウドサービスの利用を可視化・制御できる「CASB（キャスビー）」が注目を集めています。ここでは、CASBの主な仕組みや機能について、混同しがちなSWGやSASEとの関係も交えて解説します。

またCASBの各種類におけるメリット・デメリットのほか、導入時の選定基準や注意すべきポイントもご紹介します。

CASB（キャスビー）とは？

CASBは「Cloud Access Security Broker」の略称で、企業によるクラウドサービス利用を適切に制御するための製品やサービスを指します。

米調査会社のガートナーがCASBの概念を提唱し、その主要な機能として、クラウド利用の可視化、制御／コンプライアンス、データセキュリティ、脅威防御の4つを挙げています。総務省は、CASBを「クラウドサービスの利用を可視化・制御するためのツールとして利用される」ものであると説明しています。^※1

これにより、従業員やその他のユーザーがクラウドサービスを利用する際、そのアクセスをCASBにより監視・制限することで、企業や組織の規定に則した用法の範囲内にコントロールします。

CASBとSWG・SASEの違い

CASBの主な役割を前述しました。次にSWG・SASEとの違いや関係を詳しく解説します。

SWGとの違い

SWG（エスダブリュージー）とは「Secure Web Gateway」の略称です。独立行政法人 情報処理推進機構（IPA）は、SWGを「外部へのWebアクセス等を安全に行うためのクラウド型プロキシ」^※2であると説明しています。

SWGとCASBの違いは、SWGがWebトラフィック全域をカバーするのに対し、CASBはクラウドサービスの利用時に特化している点です。SWGでもクラウドサービスの監視は可能ですが、CASBの方がより細かな設定が可能です。

SASEとの関係

SASE（サシー）とは「Secure Access Service Edge」の略称で、ネットワークとセキュリティの統合ソリューションをクラウドプラットフォームで可能にするセキュリティフレームワークです。

SASEは、別々に提供されているネットワークとセキュリティを統合されたプラットフォームとして提供します。SASEを構成する要素（機能）の1つがCASBにあると言えます。

CASBが必要となった背景

テレワークの普及

1つ目は、新型コロナウイルスや働き方改革の影響を受けたテレワークの普及です。

テレワークの普及により自宅をはじめとしたオフィス外で仕事をする従業員が増え、社外環境からインターネット経由でクラウドサービスを利用するシーンが増加しました。それに伴い、クラウドサービスにおけるアクセスの監視に特化したCASBが注目を浴びるようになったのです。

クラウドサービスの増加

2つ目はクラウドサービス自体の増加です。近年はクラウドサービスの数が増加し、企業の情報システム部門でも逐次把握するのは難しい状況です。そのため、知らない間に各従業員が管理側で認知していないクラウドサービスを利用しているリスクがあります。このようなリスクをCASBの導入で抑えようというものです。

デバイスの多様化

3つ目は使用するデバイスの多様化です。クラウドサービスを利用する際に、PCだけでなく、スマートフォンやタブレットを利用することも多くなっています。また、異なるOSベースのPCやスマートフォンを複数台利用する場合もあります。

このように、多様化したクラウドサービスを利用するに当たり、デバイスを適切に管理するニーズが高まったことでも、CASBが注目されるようになりました。

CASBの代表的な機能

続いてCASBの代表的な機能について解説します。CASBには、「利用中のクラウドサービスの可視化」「制御／コンプライアンス」「データ保護」「脅威防御」といった機能があります。

利用中のクラウドサービスの可視化

CASBの導入により、組織内で導入している各クラウドサービスの利用状況や、各従業員が個人で導入しているクラウドサービスを検知できます。

情報システム部門が認知しておらず、管理されていない端末が利用されてしまう「シャドーIT」問題の解決も期待できます。システムを利用中のユーザを迅速に見つけられ、導入中の各クラウドサービスが不正に利用されていないかを監視できます。

制御／コンプライアンス

各クラウドサービスが組織のポリシーに従ったルールに沿って適切に利用されていることを監査します。

適切に利用されていない場合や、不正なアクセスなどがあった場合は異常を検知し、アラートを出して対処を利用者に促すなどして、意図しないファイルやデータの公開を未然に防ぎます。

データ保護

導入するCASBによっては、機密情報や重要なデータの情報漏えい・改ざんを防ぐセキュリティ機能を持つものもあります。データのアップロードやダウンロードの許可や公開設定の許可、ファイルの暗号化や改ざんを検知します。

利用者が情報漏えいや改ざんの動きを取った場合に検知し、実際にそれらが作動する前にブロックすることで、重大なトラブルへの発展を防ぎます。

脅威防御

企業が利用するクラウドサービス上の脅威を検知する機能です。マルウェアなどの不正なファイルが存在しないか、不正な通信が行われていないかなどを検証し、必要に応じて脅威を隔離・遮断します。

CASBを導入するメリット

続いてCASBを導入するメリットを解説します。CASBの導入によりテレワーク環境下におけるセキュリティの改善だけでなく、情報システム部門の負荷の軽減や、クラウドサービス活用による生産性の向上が見込めます。

テレワーク環境下におけるセキュリティの改善

まず挙げられるメリットとして、テレワーク環境下におけるセキュリティの改善があります。総務省によると、以下のようにテレワークにおけるセキュリティ対策としてクラウドプロキシやCASBの導入が推奨されています。

「クラウドサービスを利用する際の通信は、オフィスネットワークを経由せず直接インターネットに接続されていることから、オフィスネットワーク上に設置されたセキュリティ機器等による対策ができません。そのため、クラウドプロキシやCASBの導入を検討する必要があります。」^※3

情報システム部門の負荷の軽減

情報システム部門の負荷の軽減も期待できます。各従業員が利用しているクラウドサービスの名称や利用状況をアンケートで収集する方法もありますが、お互いに工数がかかる上に正確な情報を得られなかったり、漏れが出てしまったりする場合があります。

CASBの導入によりこれらを自動検知して収集することで、情報システム部門の負荷を大幅に軽減できます。

クラウドサービス活用による生産性向上

CASBの導入によりセキュリティが改善されると、組織全体が安心して積極的にクラウドサービスを導入したり活用したりできるようになります。

従来のオンプレミス型と比較して、クラウドサービスは導入が比較的容易でコストも抑えやすいほか、企業連携やデータ連携を行いやすいメリットもあります。クラウドサービスの利用率が高まることで、各部署の生産性やパフォーマンスの向上が見込めます。

CASBの種類

ログ分析型

ログ分析型では、既存のゲートウェイにCASBを設置することで各ユーザのクラウドサービスの利用状況を監視します。そのため、不正アクセスが検出された場合も適応範囲はゲートウェイ機器に限られますが、連携により通信を制御することができる場合もあります。

ログとは、「コンピュータが保有するユーザの接続時刻や処理内容などを記録したファイル」^※4のことです。ログ分析型ではこれを元に解析するため、ログさえあれば導入前の過去を遡ることも可能な点や、不正動作の検出、シャドーITの発見などを行いやすい点が大きなメリットです。一方で、ファイルの中身までは監視できない点はデメリットです。

プロキシ型

プロキシとは、インターネットに接続できない組織内部ネットワークのコンピュータに代わって「代理」で接続するソフトウェアやコンピュータのことです。

ネットワーク経路でアクセスを中継するため、他社契約のクラウドサービスにも適応できるメリットがあります。一方で、CASBが「単一障害点」になってしまうリスクがある点がデメリットです。単一障害点とは、停止するとシステム全体が停止する部分のことを指します。

CASBが障害などで利用できなくなることで、複数のクラウドサービスが利用できなくなり、業務遂行が難しくなるリスクがあります。

プロキシ型には内部から外部へのアクセスを中継する「フォワードプロキシタイプ」と、外部から内部へのアクセスを中継する「リバースプロキシタイプ」があります。^※5

フォワードプロキシタイプは不適切なサービスへのアクセスの検知や各サービスのアクセス権限の管理を行えるのに対し、リバースプロキシタイプは外部からの不正アクセスをブロックするなど、外部から内部への接続を監視する違いがあります。

API型

API（Application Programming Interface）型は、各クラウドサービスが外部向けに提供しているAPIを用いてユーザの操作ログやファイル情報の解析を行います。

API型では、クラウドサービス側のデータを用いることができるメリットがある一方で、適応範囲が自社の契約しているクラウドサービスに限られる点がデメリットです。またAPIに対応していないクラウドサービスについては適応できないため、適応できるサービス対象が限定されやすい傾向があります。

CASB選定の基準・ポイント

最後に、CASBの導入を検討している方向けに、CASB選定で確認すべき基準やポイントをご紹介します。CASBにはさまざまなサービスがあるため、自社の目的や利用環境に合ったCASBを選ぶことが非常に重要です。

導入目的の設定

まずはCASBを導入する目的を明確にし、正しく設定することが大切です。前述の通り、CASBは導入する種類によって適応範囲や特徴、メリット・デメリットがそれぞれ異なります。

単純にクラウドサービスの可視化や異常検知を行うだけでなく、外部による不正アクセスの遮断や内部からの情報漏えいの制御なども実施したい場合は、目的に対応しているCASBを導入する必要があるため注意が必要です。

クラウドサービスと端末の対応範囲

検討しているCASBがどのようなクラウドサービスや端末に対応しているのか、クラウドサービスと端末の対応範囲についても導入前に確認する必要があります。

検討しているCASBの対応しているクラウドサービスが少ない場合は、検知できる異常も限られてしまうケースがあります。そのため、直近で利用予定が無い場合であっても、できるだけ幅広いサービスや端末に対応しているCASBを選んだ方が良いでしょう。

現行の環境との相性

また、組織における現行の環境との相性も考慮が必要です。現在の環境に対応していないCASBを選択してしまうと、せっかく導入しても、通信方式の変更など余計な工数が生じてしまう可能性があります。

スムーズな導入を行うためにも、検討しているCASBの適応範囲や特徴などを踏まえた上で、本当に適切なサービスかどうかを最終判断するようにしてください。

CASBについてのまとめ

CASBの主な仕組みや機能のほか、CASBの各種類における特徴やメリット・デメリットについて解説しました。テレワークの普及やクラウドサービスの増加に伴い、クラウドサービスの利用を可視化・制御できるCASBのニーズは高まっています。

CASBの導入により、テレワーク環境下におけるセキュリティの改善や情報システム部門の負担軽減、クラウドサービス活用による生産性向上などが見込まれますが、導入するCASBによってできることと、できないことがあります。

そのため、導入を検討中の場合はまずは目的を明確し、サービス選定時には対象のCASBが導入目的に沿っているかどうかや、現行の環境との相性、対応範囲について事前に確認するようにしましょう。

参考情報

※1 出典：総務省 ゼロトラストプロジェクト「テレワークセキュリティガイドライン」第5版（案）

※2 IPA ゼロトラスト導入指南書～情報系・制御系システムへのゼロトラスト導入～

※3 総務省「テレワークセキュリティガイドライン」第5版（令和3年5月）

※4 出典：総務省公式HP「国民のためのサイバーセキュリティサイト」

※5 総務省「IPv6 対応ガイドライン【企業編】」第5版, （2014年7月）