クラウド活用の常態化と従業員による非公式な利用(シャドーIT)の拡大に伴い、SASEの重要性が高まりつつある。AI技術搭載のCASBの登場はクラウドセキュリティをどう変えるのか。最新動向を解説する。
近年、在宅勤務やモバイルワークの普及により、業務向けクラウドサービスの利用が急速に拡大している。一方で、企業が把握できない形で従業員がIT製品やサービスを利用する「シャドーIT」のリスクも深刻化しており、情報漏えいやコンプライアンス(法令順守)違反の温床となり得る。こうした中、クラウドサービスの利用状況を統合的に可視化し、制御する「CASB」(Cloud Access Security Broker)の重要性が高まり、「SASE」(Secure Access Service Edge)の一翼を担う存在になってきた。
2024年6月にはSASEベンダーNetskopeがCASBモジュールにAI(人工知能)技術を実装した「Netskope One」を、さらに2025年4月には同じくSASEベンダーのCato Networksも「Cato CASB」に生成AI統制機能を導入し、CASBを巡る新たな動きが相次いでいる。本稿では、従来のCASBの課題を整理しつつ、生成AI搭載CASBの実態と進化を解説する。
SASEとは、ネットワークとセキュリティの機能をクラウドで統合し、任意の場所やデバイスからの安全なアクセスを実現する考え方およびサービスだ。その中核にCASBが存在する。CASBはクラウド利用時のアクセス可視化、制御、データ保護を担い、従来型セキュリティを補完する。クラウドサービス利用のセキュリティ対策が急務となる現代のIT戦略では、CASBの重要性が高まっている。
多くの企業でSaaS(Software as a Service)やIaaS(Infrastructure as a Service)の利用が日常となった一方、業務部門や従業員が独自にクラウドサービスを利用するケースも増加している。情報システム部門が管理していないクラウドサービスはシャドーITと呼ばれ、セキュリティリスクの温床となっている。例えば、第三者が容易にアクセスできるクラウドストレージへの機密情報の保存や、マルウェアを含む未承認アプリケーションの利用が挙げられ、これらは情報漏えいやコンプライアンス違反のリスクを高める要因と言える。
SASEは、ネットワークとセキュリティ機能をクラウドベースで統合する比較的新しいアーキテクチャであり、全ての通信を信頼せずに都度検証を実施する「ゼロトラスト」の考え方に基づいたスケーラブル(拡張可能)なセキュリティを実現する。この中でCASBは、クラウドサービスの利用状況を可視化し、データ保護やコンプライアンス強化を支援するための仕組みとして不可欠な役割を担っている。CASBはSASEの構成要素の一つとして組み込まれており、SASEによるクラウドセキュリティの中核として機能する。
CASBはクラウド利用の安全性を確保するために欠かせない存在だと言える。CASBの主要な機能を紹介する。
CASBは、企業内のユーザーが利用しているクラウドサービスを検出し、利用状況を詳細に把握できる機能を備えている。これにより、情報システム部門が把握していないシャドーITの利用を可視化し、リスクの高いサービスを特定することが可能になる。可視化には、ログ収集やトラフィック(ネットワークを流れるデータ)の解析、API(アプリケーションプログラミングインタフェース)連携などが用いられる。
クラウドサービス上でやりとりされる企業データを保護するために、CASBは暗号化や情報漏えいを防ぐためのソフトウェアDLP(Data Loss Prevention)などの技術を活用する。例えば、特定の条件下でのファイルアップロードをブロックしたり、外部共有を制限したりするなど、機密情報の漏えいを防ぐための多層的な保護機能を提供する。
CASBはマルウェアの検知、不審なアクセス行動の分析、パッチ(修正プログラム)未公開の脆弱(ぜいじゃく)性を悪用した「ゼロデイ攻撃」への対処といった脅威防御機能を有している。ユーザー行動分析を活用し、通常とは異なる挙動を検出してアラートを発出するなど、動的かつリスクベースの防御が可能だ。加えて、既知の悪意のあるアプリケーションへのアクセス遮断も対応範囲に含まれる。
CASBは業界標準や法的要件に基づいたポリシー適用と監査支援を行い、クラウド利用におけるコンプライアンス強化をサポートする。製品によっても異なるが、HIPAA(米国医療保険の相互運用性と説明責任に関する法令)、GDPR(EU一般データ保護規則)、SOC 2(System and Organization Controls 2)、ISO 27001(ISMS:情報セキュリティマネジメントシステム)などの規制に準拠した設定が可能であり、監査ログの取得やレポート機能によってガバナンス体制の強化にも貢献する。
従来型のCASBには複数の運用上の課題が存在する。これまでのCASBが抱える問題点を解説する。
多くのCASBは、ポリシー設定を行う際に管理者(設定者)の経験や知識に大きく依存している。そのため、設定内容がばらつきやすく、属人的な運用となりがちだ。このような状況では、重要なクラウドサービスや操作に対する制御が漏れる可能性があり、ポリシーの網羅性が欠如する。組織内で設定方針が共有されず、担当変更時に引き継ぎが困難となることで、運用の一貫性が損なわれやすい。その結果、アクセス制御の抜け穴や誤設定がセキュリティホールとなり、情報漏えいや不正利用といった重大なリスクを引き起こす恐れがある。
SaaS市場の拡大により、新規クラウドサービスは日々登場しているが、既存のCASBではそれらを即時に識別し、リスク評価を実施することが難しい。多くの従来型CASBは既知のクラウドサービスに対しては強力な制御を提供するものの、未知のクラウドサービスに関しては識別や分類に時間がかかるケースが多かった。そのため、CASBを提供するベンダー側での分析や対応によるタイムラグがあり、従業員が利用を開始した新たなアプリケーションが未対応のまま使用される可能性がある。無防備な状態でしばらく放置されるといったセキュリティギャップが生まれ、情報漏えいや不正アクセスのリスクが増大している状態と言える。
2024年から2025年にかけて、2つのSASEベンダーが生成AIを搭載したCASBを相次いで発表した。ここではそれぞれのCASBについて、発表されている概要を紹介する。
Netskopeは2024年6月に、Netskope OneのCASBモジュールに生成AI搭載による機能強化を行ったことを発表した。同社は、CASBの生成AI搭載は“業界初”だと説明している。
Netskope OneのAI搭載CASBは、大規模言語モデル(LLM)と機械学習を用いて、数万のクラウドサービスを自動解析し、新たに検出されたSaaSや生成AIアプリケーションに対して即時にリスクスコアリングを実行する。3000種類以上のデータ分類器と1800件以上のファイルタイプに対応するDLPエンジンも統合されており、機密情報のリアルタイム検出と保護、マルウェアやゼロデイ攻撃の遮断が可能だ。
加えて、自然言語クエリによるダッシュボード操作やインラインおよびAPIベースでの多層保護を提供し、管理者の運用負荷を軽減しつつ、精緻なセキュリティ制御を実現している。
Cato Networksは2025年4月に、「Cato SASE Cloud Platform」におけるCato CASBの新機能として、生成AIの搭載を発表した。
この機能は、生成AI利用の急増によって発生するシャドーITへの対策を念頭に置いている。「Cato CTRL脅威レポート」で収集された最新の脅威情報を基に、950個以上の生成AI関連アプリケーションをリアルタイムで検出および可視化し、利用状況を操作別に分類できる。これにより、企業は従業員の生成AIアプリケーション利用に対して、アプリケーションごとの詳細なアクセス制御やポリシー設定を実施できるようになり、リスクの高い利用パターンを即座にブロックするなど、より精緻で柔軟な対応が可能となる。Cato CASBは、企業内における未承認のAIアプリケーションの拡散を防ぐセキュリティ対策としても有効に機能する。
AI技術を統合したCASBは、ポリシー設定の自動化(属人化の排除)や未知のアプリケーションの識別といった従来のCASBの課題に対する実用的なアプローチを提供しつつある。AI技術を搭載することによるCASBの進化は、増加するシャドーITのリスクや多様化するクラウドサービスに対して、より迅速なセキュリティ対策を可能にするだろう。今後、AI技術を活用したCASBがSASEアーキテクチャの中核機能として、さらなる進展を見せることが期待されるが、実用性や精度については今後の検証が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
