CASBとは

CASB（キャスビー）とは、「Cloud Access Security Broker」の略称で、企業がクラウドサービスを安全かつ効果的に利用するためのセキュリティ製品及びサービスを意味します。2012年に米国の調査会社であるガートナー社によって提唱されたクラウドセキュリティの考え方の一つです。

CASBをクラウドサービスと利用者の端末の間に配置することで、クラウドサービスの利用状況を可視化・制御することができます。CASBは企業が複数のクラウドサービスを利用する際に、中間に配置されることで、クラウドサービスの利用状況を監視し、不正アクセスやデータ漏洩などのセキュリティリスクを防ぐ役割を担っています。

参照：・Definition of Cloud Access Security Brokers (CASBs) - IT Glossary | Gartner

CASBとゼロトラストセキュリティとの関連性

CASBはゼロトラストネットワークアーキテクチャ（Zero trust security model architecture）の実現に貢献する技術の一つでもあります。ゼロトラストセキュリティとは、「決して信用せず、常に検証せよ」という考えに基づいたセキュリティの考え方です。2010年に米国の調査会社である、Forrester Research社によって提唱されました。

ゼロトラストセキュリティでは、セキュリティを確保するために、組織内外のすべてのアクセスに対して認証を要求することが重要とされています。企業内部のすべてのユーザー、デバイス、アプリケーションが、常に認証され、承認されなければ、ネットワークやデータにアクセスすることができません。このようなアプローチにより、セキュリティを強化し、不正なアクセスやデータ漏洩を防止することができます。

CASBを活用し、クラウドサービスへのアクセスに対して認証や暗号化、アクセス制御などのセキュリティ制御を行うことで、ゼロトラストセキュリティを実現することができます。

▼参照：
・The Definition Of Modern Zero Trust
・ゼロトラストとは？ネットワークのセキュリティモデルを事例とともに解説！ | 漏洩チェッカー

CASBが誕生した背景

CASBが誕生した背景には、複数のクラウドサービスの存在と、モバイルデバイスの多様化が挙げられます。多くの人がPCやスマートフォン、タブレットなどから複数のクラウドサービスを利用しています。例えば、Gmailをメールでのやり取りに、Slackをチャットでのやり取りに使用するなど、複数のクラウドサービスを組み合わせて業務を行うケースが考えられるでしょう。

また、企業が「働き方改革」を促進することで、テレワークやリモートオフィスの活用が増え、オフィス外からクラウドサービスにアクセスするケースも増加しています。このように従業員がPCやスマートフォン、タブレットなどから複数のクラウドサービスを利用しているため、企業がこれらのサービスを安全かつ効果的に利用するためには、セキュリティ製品／サービスが必要になりました。

CASBを導入することで、クラウドサービスの利用状況を監視するだけでなく、不正アクセスやデータ漏洩などのセキュリティリスクを軽減することが可能です。

CASBとSASE・SWGの違い

CASBについて言及する際に、「SASE」や「SWG」といった言葉が関連語として取り上げられます。ここでは、CASBとSASE・SWGの違いについてご説明します。

CASBとSASEの違い

SASE（Secure Access Service Edge）とは、ネットワークとネットワークセキュリティの機能を包括的にクラウド上の1つのサービスにまとめたものです。SASEは、さまざまな場所からアクセスしている人たちが、安全に必要な情報にアクセスできるようにする仕組みです。また、共通のセキュリティポリシーを適用することができるため、管理を簡素化することができます。

CASBとSASE（Secure Access Service Edge）の主な違いは、CASBがクラウドサービスに関連するセキュリティポリシーの管理に特化しているのに対し、SASEは、セキュリティとネットワークを統合し、セキュリティを担保したうえでアクセスを実現することを目的としています。

そのため、SASEは広範囲の領域をカバーしており、CASBはSASEの一部の関係にあると言えるでしょう。

▼参照
・Definition of Secure Access Service Edge (SASE) - Gartner Information Technology Glossary
・What Is a CASB? Cloud Access Security Broker - Zscaler

CASBとSWGの違い

SWG（Secure Web Gateway）は、インターネットを利用する際にセキュリティを提供するための仕組みです。SWGは、企業のネットワークを保護し、悪意のあるウェブサイトやマルウェアからユーザーを守る役割を果たします。具体的には、インターネットへのアクセスを監視し、不正なサイトや有害なコンテンツへのアクセスを制限したり、ウイルスやマルウェアをブロックしたりする仕組みです。

CASBとSWG（Secure Web Gateway）の違いは、対象となるトラフィックの範囲です。CASBは主にクラウドサービスへのトラフィックを監視し、保護するために使用されます。一方、SWGは、インターネットを介したWebトラフィック全体を監視し、フィルタリング、セキュリティポリシーの適用、マルウェアの検出などを行います。

参照：Definition of Secure Web Gateway - IT Glossary | Gartner

CASBサービスの選定ポイント6選

CASB製品を選ぶ際に考慮すべき要素は以下の通りです。

1. 提供している機能

CASB製品は様々なセキュリティ機能を提供しますが、必要な機能が製品に含まれているかを確認しましょう。例えば、データの暗号化、アクセス制御、不正検知、脅威インテリジェンスなどが重要な機能です。自社が必要としている機能を明確にしておくことで、製品選定をスムーズに進めることができるでしょう。

2. 利用しているクラウドサービスとの互換性

企業が利用するクラウドサービスとの互換性を確認しましょう。CASB製品は異なるクラウドプロバイダーと統合するため、対応するクラウドサービスの数や深さが重要です。主要なクラウドサービス（例：Office 365、Salesforce、Google Cloudなど）に対応しているか確認しましょう。

3. 画面の見やすさや機能の使いやすさ（ユーザビリティ）

CASB製品は管理者がセキュリティポリシーを設定し、運用するためのツールです。製品の使いやすさや管理機能の豊富さを評価し、自社の要件に合致するかどうか確認しましょう。また、レポートやダッシュボードの機能も重要です。

4. パフォーマンスと可用性

CASBは通信経路を介してデータを監視および保護します。製品のパフォーマンスや可用性が高く、遅延や中断が少ないことを確認しましょう。特に大規模なトラフィックやクラウドサービスへのアクセス時のパフォーマンスについて検討しましょう。

5. サポートとアップデート

セキュリティ製品の場合、継続的なサポートとアップデートが重要です。セキュリティの脅威は常に進化しているため、製品が最新の脅威に対応できるよう、ベンダーが適切なサポートやアップデートを提供しているか確認しましょう。

6. コストとライセンス形態

CASB製品の価格は企業の予算に合わせて選ぶ必要があります。ライセンスモデルやサブスクリプションの形態も確認し、将来的な拡張や追加のコストを見積もりましょう。

CASBの4つの柱

CASBは、以下の4つの柱に基づいて機能し、企業のデータとシステムを保護します。

1. 可視性（Visibility）

CASBは、クラウドサービスへのアクセスとデータの移動を監視し、組織に対して継続的な可視性を提供します。これにより、組織はクラウド環境で実行されているアプリケーションやデータの利用状況を把握することができます。また、アクティビティの可視性を通じて、異常な振る舞いやセキュリティインシデントを早期に検出することも可能です。

2. 法令遵守（Compliance）

CASBは、企業が利用する複数のクラウドサービスにおいて、法令や規制要件を遵守するための機能を提供します。例えば、GDPR（EU一般データ保護規則）やHIPAA（米国医療情報技術改革法）などの法的要件に対応するための機能を備えています。CASBは、データの分類や機密性の評価などを行い、適切なセキュリティ方針を設定することで、企業が法令遵守を実現するための支援を行う仕組みです。

3. データの保護（Data Security）

CASBは、クラウド環境で保存、共有、転送されるデータの保護を確保します。これには、データの暗号化、データ漏洩防止（DLP）ポリシーの適用、セキュアなデータストレージ、セキュリティイベントの監視などが含まれます。CASBは、データの機密性、完全性、可用性を確保するために、組織の重要なデータを保護します。

4. 脅威への対策（Threat Protection）

CASBは、クラウド環境における脅威から組織を保護するためのセキュリティ機能を提供します。これには、マルウェアの検出と防止、異常なアクティビティの検知、不正なアクセス試行のブロックなどが含まれます。CASBは、利用者の端末からクラウドまでの通信経路を監視し、リアルタイムで脅威を検出し、迅速に対応することで組織を保護することが可能です。

CASB実現の4つの仕組み

CASBは、以下の4つの仕組みを使用して、クラウドサービスへのアクセスとセキュリティの管理を実現します。

参照：CASBとは何か？ ガートナーが基礎から解説するクラウドセキュリティ向上のポイント 【2021年版】｜ビジネス+IT

1. APIモード（API mode）

APIモードでは、CASBはクラウドプロバイダーが提供するAPIを介して、クラウドサービスと通信します。CASBはAPIを使用して、ユーザーアクティビティの監視やセキュリティポリシーの適用、データの暗号化などの機能を実現します。APIモードは、企業のクラウドサービスへの透明な統合を可能にし、セキュリティ管理を強化することが可能です。

2. リバースプロキシ・モード（Reverse Proxy mode）

リバースプロキシ・モードでは、クラウドサービスへのユーザーのアクセスを受け取り、セキュリティポリシーの適用やデータの暗号化、不正アクティビティの監視などを行います。リバースプロキシは、企業のネットワーク上でトラフィックを制御し、セキュリティの境界を強化します。

3. フォワードプロキシ・モード（Forward Proxy mode）

フォワードプロキシ・モードでは、すべてのユーザートラフィックをキャプチャし、クラウドサービスへのアクセスを中継します。CASBはユーザーのアクティビティを監視し、セキュリティポリシーの適用やデータの暗号化、脅威の検知などを実現します。フォワードプロキシは、企業内部のネットワークにおいてセキュリティを提供し、クラウドサービスへの安全なアクセスを確保します。

4. エグジスティングプロキシ・モード（Existing proxy mode）

エグジスティングプロキシ・モードでは、既存のプロキシサーバーとCASBを統合して利用します。企業がすでにプロキシサーバーを使用している場合、CASBは既存のプロキシサーバーと連携し、クラウドサービスへのアクセスを管理します。CASBはプロキシサーバーを補完し、セキュリティポリシーの適用やデータの暗号化、脅威の検知などの機能を提供します。エグジスティングプロキシ・モードは、既存のインフラストラクチャーを活用しながらCASBの機能を導入する柔軟性を提供します。

CASBが機能する3つのステップ

CASBが機能するためには、以下の3つのステップが重要です。

▼参照
・What Is CASB (Cloud Access Security Broker)? - Definition | Proofpoint US
・What is Cloud Access Security Broker (CASB) - Skyhigh Security

1. 検出（Discovery）

CASBの最初のステップは、クラウド環境内のアプリケーションとデータを検出することです。CASBは、企業が利用しているクラウドサービスやアプリケーションの一覧を作成し、それらのリソースに対する可視性を提供します。この可視性によって、組織はクラウド環境内でどのようなデータやアクティビティが存在するかを把握することができます。

2. 分類（Classification）

次に、CASBはデータの分類を行います。これは、データの重要度やセンシティブな性質に基づいて、データを分類するプロセスです。CASBは、データの分類規則やポリシーを適用し、データの機密性やリスクレベルを評価します。これによって、組織はデータの重要性に応じて適切なセキュリティメカニズムや保護策を実施することができます。

3. 修復（Remediation）

最後に、CASBは検出および分類されたデータに対して必要な修復措置を実施します。CASBは、データの保護やコンプライアンス要件に基づいて、必要なセキュリティポリシーを適用します。具体的には、データの暗号化、アクセス制御の強化、マルウェア対策、データ漏洩防止（DLP）などの機能です。CASBは、リスクを軽減し、データのセキュリティを確保するための具体的な対策を提供します。

まとめ

CASBはクラウドセキュリティの考え方の一つであり、企業がクラウドサービスを安全かつ効果的に利用するためのセキュリティ製品／サービスです。

CASBは、クラウドサービスとその利用者の間に配置することで、クラウドサービスの利用状況を可視化・制御し、不正アクセスやデータ漏洩などのセキュリティリスクを防ぐ役割を担います。クラウドサービスを複数利用している企業としては、シャドーITを防ぐ目的でも、CASBは効果を発揮するでしょう。

CASBの製品を選ぶ際には、提供している機能、利用しているクラウドサービスとの互換性、画面の見やすさや機能の使いやすさ、パフォーマンスと可用性、サポートとアップデート、コストとライセンス形態などが重要な要素です。本記事がCASBに関する理解と、CASB製品を選ぶ際の参考になれば幸いです。