キャスビー
きゃすびー
CASB(Cloud Access Security Broker)は、企業・組織が利用する複数のクラウドサービス(SaaS、PaaS、IaaS)とエンドユーザーの間に配置され、クラウドアクセスの制御、データ暗号化、情報漏洩対策(DLP)、マルウェア防御、コンプライアンス管理を一元的に提供するセキュリティゲートウェイ機能である。シャドーIT対策とデータ主権の維持において、現代のハイブリッドワーク環境におけるセキュリティ基盤として不可欠な存在となっている。
CASBの主要な機能とアーキテクチャ
CASBが提供する機能は多岐にわたるが、ガートナーは必須機能として、以下の4つの柱を定義している。これらの機能は、クラウド環境におけるセキュリティ、データ保護、コンプライアンス要件を満たすために不可欠である。
1. 可視化(Visibility / Shadow IT Discovery)
CASBの最も基本的な機能は、組織内で利用されているすべてのクラウドサービスを検出・特定することである。従業員が利用しているSaaSアプリケーションや、企業として正規に契約していないサービス(シャドーIT)をトラフィック解析やログ分析を通じて洗い出す。この可視化機能により、利用リスクの高いアプリケーションを特定し、利用をブロックしたり、リスクレベルに応じたアクセス制限を適用したりすることが可能となる。
2. 脅威防御(Threat Protection)
クラウドサービスを介したマルウェアやランサムウェアの感染経路を防ぐ機能である。具体的には、アップロードまたはダウンロードされるファイルに対するマルウェアスキャンを実施し、悪意のあるコンテンツが企業ネットワーク内に侵入したり、クラウドストレージを通じて拡散したりするのを防ぐ。また、ユーザーの異常な行動パターン(通常利用しない国からのアクセス、大量データの不審なダウンロードなど)を検知し、アカウントの乗っ取りや内部不正の兆候を早期に捉える振る舞い分析機能も含まれる。
3. データ保護(Data Security / DLP)
情報漏洩を防ぐ上で最も重要な機能であり、DLP(Data Loss Prevention:データ損失防止)機能を中心とする。CASBは、企業が定める機密情報(個人情報、クレジットカード番号、知的財産など)の定義に基づき、それらのデータがクラウドストレージやメールサービスにアップロードされるのをリアルタイムで監視する。ポリシーに違反するデータ転送を自動的にブロックしたり、転送前に暗号化を強制したりすることで、機密データの安全性を確保する。また、クラウド上の保存データをスキャンし、不適切な場所に機密情報が残存していないかを確認する機能も有する。
4. コンプライアンス(Compliance)
企業が遵守すべき国内外の規制や業界標準(例:GDPR、HIPAA、PCI DSS、日本の個人情報保護法など)への対応を支援する。CASBは、利用しているクラウドサービスの設定がこれらのコンプライアンス要件を満たしているかを監査し、違反している設定を自動的に修正する。例えば、特定の地域にデータが保存されないように地理的制限を課したり、アクセスログを改ざんできない形で長期保存したりする機能を実行する。
アーキテクチャの種類
CASBは、その動作方法により大きく三つのアーキテクチャに分類される。
- APIコネクタ型: クラウドサービスの提供するAPIを利用して、クラウド上のデータや設定を監査・制御する。すでに保存されているデータのスキャンや、設定変更に優れるが、リアルタイム性がやや劣る場合がある。
- フォワードプロキシ型: ユーザーのデバイスにエージェントを導入し、すべてのクラウドアクセスをCASBを経由させる。リアルタイムなインライン制御に優れる。
- リバースプロキシ型: ユーザーからクラウドサービスへのアクセスをCASB側で強制的に経由させる。エージェントレスで利用でき、外部パートナーやBYOD(Bring Your Own Device)端末の制御に適している。
具体的な使用例・シーン
CASBは、クラウド利用に伴う多様なリスクシナリオに対応するために、企業活動の多くの側面で利用されている。
シナリオ1:シャドーITの利用制限とリスク評価
従業員が業務効率化のために個人のファイル共有サービス(例:未承認のオンラインストレージ)を利用している場合、CASBはまずその利用状況を可視化する。そして、そのサービスのリスクレベル(セキュリティ強度、コンプライアンス対応状況など)を評価し、リスクが高いと判断されたサービスへのアクセスを全面的にブロックする。代わりに、企業が正式に承認した安全なクラウドサービスへの利用を促すことで、情報漏洩のリスクを低減する。
シナリオ2:機密データの保護とDLPの適用
営業部門の社員が顧客リストや価格情報といった機密性の高いスプレッドシートを、社内の承認されたクラウドストレージ(例:BoxやOneDrive)にアップロードしようとした際、CASBのDLP機能がファイルを検査する。もし、そのファイル内に特定パターンの個人情報や機密情報が含まれていると識別された場合、アップロード操作を自動的に中断させ、ユーザーに警告を出す。これにより、意図的な、あるいは偶発的なデータ流出を未然に防ぐ。
シナリオ3:コンプライアンス監査と地理的アクセス制御
グローバルに事業を展開する企業において、特定の国の規制(例:EU域内のデータはEU内で処理・保存する必要がある)を遵守する必要がある場合、CASBはアクセス元やデータ保存先に基づいてアクセス制御を適用する。たとえば、中国拠点からの特定のSaaSへのアクセスを禁止したり、特定の国以外からの管理者アクセスをブロックしたりすることで、地域のデータ主権規制に対応する。
シナリオ4:不正アクセスとアカウント乗っ取りの検知
夜間や休日に、普段アクセスしない国や地域から、特定のSaaSアカウントへのログインが試みられた場合、CASBはこれを異常な振る舞いとして検知し、アクセスを即座にブロックする。また、同じユーザーアカウントが短時間で地理的に大きく離れた二地点からログインを試みた場合(同時ログイン)、アカウント乗っ取りの可能性が高いと判断し、強制的にログアウトさせたり、多要素認証を要求したりする。
関連する概念
SASE(Secure Access Service Edge)
近年、CASBは、クラウドネイティブなセキュリティフレームワークであるSASE(サッシー)の中核的な要素として位置づけられている。SASEは、ネットワーク機能(SD-WANなど)とセキュリティ機能(CASB、FWaaS、ZTNAなど)を統合し、クラウドを通じてサービスとして提供するモデルである。CASBは、SASEアーキテクチャの中で、クラウドアプリケーション層のセキュリティとデータ保護を担当する重要なコンポーネントであり、ゼロトラストの原則を実行する上でも不可欠な要素となっている。
ゼロトラスト(Zero Trust)
CASBは、ゼロトラスト(「何も信頼しない」というセキュリティの考え方)を実現するための具体的な技術手段の一つである。「すべてのアクセスを検証する」というゼロトラストの原則に基づき、CASBは、ユーザーがどこから、どのクラウドサービスに、どのようなデータでアクセスしようとしているかを詳細に評価し、最小権限の原則に基づいたアクセス許可を実行する。これにより、従来の境界防御モデルでは実現できなかった、動的かつきめ細やかなアクセス制御を可能にする。
CWPP/CSPMとの違い
CASBは主にSaaS利用時のセキュリティに焦点を当てるのに対し、CSPM(Cloud Security Posture Management)やCWPP(Cloud Workload Protection Platform)は、IaaS/PaaS環境、特にクラウド設定のミスや仮想ワークロードの保護に特化している。これらは相互に補完関係にあり、企業全体のクラウドセキュリティを確保するためには、CASBとCSPM/CWPPの連携が重要となっている。
由来・語源
CASBという名称は、Cloud Access Security Broker(クラウドアクセスセキュリティ仲介者)の頭文字を取った略語である。「Broker(仲介者)」という言葉が示す通り、このソリューションは、ユーザーとクラウドサービス提供者(CSP)との間の通信フローを仲介し、可視化と制御を可能にする役割を担っている。
CASBの概念は、2010年代初頭、企業がクラウドサービスの利用を急速に拡大し始めた時期に、米国のIT調査会社ガートナー(Gartner, Inc.)によって初めて提唱された。当時、従業員が企業の許可なく業務データを含む機密情報をクラウドサービスにアップロードする「シャドーIT」が深刻な問題となっていた。従来の境界型防御(ファイアウォールなど)では、社外で利用されるクラウドサービスへのアクセスを制御できず、情報漏洩リスクが増大していたため、クラウド利用に特化した新たなセキュリティ層が必要とされたのである。
CASBは、オンプレミス環境のセキュリティポリシーをクラウド環境に拡張し、企業全体のセキュリティガバナンスを維持するための専門的な仕組みとして位置づけられている。
使用例
(記述募集中)
関連用語
- (なし)