クラウドサービスの活用が進み、ゼロトラストセキュリティが浸透する中、「CASB」ツールの立ち位置が変化している。「SASE」ツールとの関係性を含めて、CASBツールの役割と、活用のためのポイントを整理する。
SaaS(Software as a Service)などのクラウドサービスの利用が広がり、企業のセキュリティ対策に変化が求められている。こうした中、かつてはクラウドセキュリティの主役として脚光を浴びた「CASB」(Cloud Access Security Broker)ツールへの注目が落ち着きつつある。社内外を問わず、全ての通信を怪しいと見なす「ゼロトラストセキュリティ」といった新たなセキュリティモデルの台頭により、CASBツールの役割は再定義されるべき時を迎えている。
本稿は、CASBツールの基本機能をあらためて整理した上で、より包括的な機能を持つ「SASE」(Secure Access Service Edge)ツールの登場によるCASBツールへの影響、ツール導入の検討ポイントまで幅広く解説する。
CASBツールは、クラウドサービスの急速な普及を背景に生まれたセキュリティツールだ。オンプレミスシステムを主な対象とした従来のセキュリティツールでは、企業は社外のクラウドサービス利用を十分に監視・制御できず、シャドーIT(IT部門が関与せずに導入・利用されているIT製品/サービス)や情報漏えいのリスクが顕在化した。
こうした課題に対処するため、CASBツールはエンドユーザーとクラウドサービスの間に位置し、クラウドサービス利用に対するセキュリティ対策を実現する役割を担ってきた。調査会社Gartnerが2012年に提唱して以来、CASBツールはクラウドセキュリティの要として、企業の間で普及した。
CASBツールは主に以下の4つの役割を果たす。
企業内のエンドユーザーが利用しているクラウドサービスを検出し、利用状況を詳細に可視化することが、CASBツールの中心的な役割だ。IT部門が認知していないシャドーITの利用実態を明確にして、リスクの高いクラウドサービスを特定することが目的となる。具体的には、CASBツールはログ収集やネットワークトラフィック解析、API(アプリケーションプログラミングインタフェース)連携といった機能で、可視化を実現する。
CASBツールは、クラウドサービスでやりとりされるデータを保護するために、暗号化やDLP(Data Loss Prevention:データ損失防止)などの技術を活用する。例えば特定条件でのファイルアップロード制限や外部共有の制御など、多層的な保護機能で機密情報漏えいを防ぐ。
マルウェア検知や不審なアクセス行動の分析、パッチ(修正プログラム)未公開の脆弱(ぜいじゃく)性を悪用した「ゼロデイ攻撃」への対処にも、CASBツールは役立つ。エンドユーザーの行動分析で異常を検出してアラートを出す他、既知の悪意あるアプリケーションへのアクセス遮断も可能だ。
クラウドサービスの利用に関する、法的要件や業界標準に基づくセキュリティポリシーの適用と、利用状況の監査支援により、コンプライアンス(法令・規定順守)強化を図ることもCASBツールの役割となる。例えば以下の法規制に準拠した監査ログの取得やレポート機能を提供する。
CASBツールはその黎明(れいめい)期には、特にクラウドサービス利用状況の可視化の役割に期待が集まり、単体のセキュリティツールとして一定の支持を集めた。企業の関心がゼロトラストセキュリティを中心とした包括的なセキュリティ対策に移る中、CASBツール単体への関心は相対的に低下した。
ゼロトラストセキュリティとは、「何も信頼しない」ことを前提に、管理下にある全てのITリソースへのアクセスを検証するセキュリティモデルだ。LANの内外にかかわらず、個々のエンドユーザー、デバイス、コンテキスト(背景情報)に応じて認証・認可を実施する。
以前であれば、企業の社内システムやそのエンドユーザーは、LANの内側に集約されていた。そのためLANの内側を外側から遮断し、外側からの通信を監視することが、企業のセキュリティ対策の中心だった。
クラウドサービスの普及に伴って、社内システムやエンドユーザーが存在するのが必ずしもLANの内側だけではなくなった。こうした変化が、ゼロトラストセキュリティへの関心の高まりにつながった。
ゼロトラストセキュリティを具現化するためには、CASBツールが果たす役割だけでは十分ではなく、包括的なセキュリティ対策が必要になる。そうした中、CASBツールの機能を他のツールの機能と組み合わせる動きが進み始めた。
中核機能の一つとしてCASB機能を組み込んだクラウドサービスが、SASEツールだ。SASEツールはCASBなどのセキュリティ機能と、「SD-WAN」(ソフトウェア定義WAN)などのネットワーク機能を一体的に提供する。ゼロトラストセキュリティを具現化する手段としてSASEツールの導入や検討が進む中、そのSASEツールの一機能として、CASBツールの役割が再定義されつつある。
SASEツールにおいてCASB機能は、クラウドサービスの利用状況を可視化し、エンドユーザーのアクセスを制御する役割を担う。単体ツールとしてではなく、SASEツールが含む他のセキュリティ機能やネットワーク機能との組み合わせで、クラウドサービスの利用を適切に統制する。
CASB機能と共に、SASEツールを構成する主要なセキュリティ機能として「SWG」(Secure Web Gateway)機能や「ZTNA」(Zero Trust Network Access)機能がある。CASB機能がSaaSなどのクラウドサービスのセキュリティ確保に特化しているのに対して、SWG機能は従業員のインターネットアクセスを全般的に保護し、ZTNA機能はエンドユーザーの権限に応じたアプリケーションへのアクセスを可能にする。これら3つの機能を組み合わせることで、企業はネットワークを取り巻くさまざまな脅威からエンドユーザーを保護できる。
今後のセキュリティ戦略にCASBツールの役割を生かすためには、CASB機能を備えた包括的セキュリティツールとして、SASEツールの導入を検討することが有効な選択肢となる。SASEツール選定の際には「どのツールが多機能か」という視点だけではなく、「自社のセキュリティ体制にどのようにフィットするのか」という視点が欠かせない。以下の観点は、単なる比較項目ではなく、導入後の有効活用に向けた判断軸として捉えていただきたい。
専任のセキュリティ担当者がいるのか、それともIT部門が兼務しているのかによって、企業がSASEツールに求めるべき管理機能やサポート体制は大きく異なる。導入のしやすさよりも、運用の続けやすさを優先すべきだ。
自社で業務に使用しているクラウドサービスに対して、選定対象のSASEツールが適切な可視化や制御を実現できるかどうかを確認する。特定業種向けツールや生成AI(AI=人工知能)ツールを含めて、業務で利用されているクラウドサービスを網羅的に管理できるのかどうかも評価するとよい。
選定対象のSASEツールのポリシー設定機能が、自社のセキュリティポリシーを適切に反映できるかどうかを見極める。IPアドレス制限やエンドユーザー属性ごとの制御、DLPによるデータ保護といった既存のセキュリティポリシーを反映できることが、SASEツール導入後の混乱を防ぐ鍵となる。
SASEツールはクラウドサービスなどのネットワークのセキュリティ対策が基本的な役割だ。ゼロトラストセキュリティなどの包括的なセキュリティモデルを具現化するには、SASEツールを補完するセキュリティツールとの連携が重要になる。選定対象のSASEツールについて、
などとの連携が、どの程度実現できるかを判断することが重要だ。
これらの視点を基にSASEツールを評価することで、自社のセキュリティ戦略に沿った導入と活用が期待できる。
CASBツールやSASEツールを導入済みであっても、運用の質が伴っていなければ十分な効果は得られない。導入から時間が経過することで、当初の設計と実際のクラウドサービス活用状況が乖離(かいり)することもある。そのため以下のポイントをチェックし、必要な点について見直しを進めることが重要だ。
生成AIツールなど、自社が新たに導入したクラウドサービスについて、CASB/SASEツールが適切に可視化・制御できているかどうかを確認する。CASB/SASEツールの導入時には管理対象外だったクラウドサービスが、時を経て業務に深く組み込まれている可能性があるからだ。
テレワークや「BYOD」(私物端末の業務利用)といった働き方の変化に対して、現在のセキュリティポリシーが合致しているかどうかを再検討する必要がある。セキュリティポリシーが旧来の業務を前提としていると、保護が不十分だったり、逆に業務を妨げたりしかねない。
SASEツールを導入済みの場合、CASB機能が、SWG機能やZTNA機能といったSASEツールの他の機能とうまく組み合わせて活用されているかどうか、あるいは機能的に重複・分断していないかどうかを確認する。CASBツール単体での活用から、より一体的なセキュリティ運用への進化が求められる。
アラートの過多や検知漏れ/過検知、ログの可視性不足、対応フローの不整備など、CASB/SASEツールの日々の運用における課題を定期的に整理する。必要に応じて設定や運用体制を見直すことが重要だ。
現場の従業員や管理者が、CASB/SASEツールの機能やセキュリティポリシーを正しく理解しているかどうかも確認すべきだ。セキュリティツールの導入だけではなく、適切な研修と周知をしなければ、実効性のあるセキュリティ対策とはならない。
単体ツールとしてのCASBツールの存在感は、既に薄れていると考えられる。ただし、それはCASBツールの役割が終了したことを意味するのではない。CASBツールは、SASEツールといったより包括的な機能を持つツールの中核機能として再定義されている。生成AIツールの台頭といった新たなリスクに対しても、CASBツールの機能は有効な対策手段となり得る。
今後のセキュリティ戦略において、CASBツールを“過去の技術”だと捉えるのではなく、“進化した選択肢”として積極的に活用する視点が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
