CASB購入者ガイド：購入前に知っておくべきクラウドアクセスセキュリティブローカーのポイント

クラウドアクセスセキュリティブローカー（CASB）とは

名称が示すとおり、クラウドアクセスセキュリティブローカー（CASB）は、セキュリティの観点から企業のエンドポイントとクラウドリソース間のアクセスを管理します。CASBはオンプレミスまたはクラウドに、ハードウェアアプライアンスとして、あるいはソフトウェアのみとして導入でき、プロキシ、リバースプロキシ、または特定のAPIを通じて展開できます。

企業には、管理対象（会社支給デバイス）と非管理対象（従業員や外部委託先が所有するデバイス）の双方を含め、数え切れないほどのエンドポイントがあります。エンドポイントはオンプレミスにもリモートにも存在し得ます。また、エンドポイントにはモノのインターネット（IoT）デバイスも含まれます。

[ 編集部作成のPDF クラウドアクセスセキュリティブローカー（CASB）企業向け購入者ガイド を今すぐダウンロード！ ]

この購入者ガイドの内容：

• クラウドアクセスセキュリティブローカー（CASB）とは
• 企業がクラウドアクセスセキュリティブローカー（CASB）を必要とする理由
• クラウドアクセスセキュリティブローカー（CASB）ツールで確認すべきポイント
• クラウドアクセスセキュリティブローカー（CASB）の中核サービス
• 主要なクラウドアクセスセキュリティブローカー（CASB）ベンダー
• クラウドアクセスセキュリティブローカー（CASB）ツール導入前に確認すべきこと
• 必読資料

マルチクラウド環境では、各エンドポイントが1日のうちに複数のクラウドリソースへ接続する可能性があります。たとえば、生産性アプリ（Microsoft 365など）、SaaSアプリ（SalesforceやWorkdayなど）、コラボレーションアプリ（SlackやZoomなど）、クラウドストレージ（Amazon Web ServicesやDropboxなど）です。さらに、クラウドへ移行された自社開発アプリや、クラウド上で開発されたアプリ（クラウドネイティブ）もあります。

CASBは組織のエンドポイントとクラウドリソースの間に位置し、出入りするすべてを監視するゲートウェイとして機能します。ユーザーがクラウド上で何をしているかの可視性を提供し、アクセス制御ポリシーを適用し、セキュリティ脅威を監視します。

一部のベンダーは、CASBの中核機能に、データ損失防止（DLP）、セキュアWebゲートウェイ（SWG）、クラウドセキュリティポスチャ管理（CSPM）、ユーザー／エンティティ行動分析（UEBA）などの追加機能を組み込み始めています。

ただし、CASBは、複数の名称で呼ばれるより広範なセキュリティ戦略の重要な構成要素でもある点に注意が必要です。

• Gartnerはこの広範な戦略をSecure Service Edge（SSE）と呼び、CASB、セキュアWebゲートウェイ（SWG）、およびゼロトラストネットワークアクセス（ZTNA）の統合と定義しています。Gartnerによれば、2026年までに、Web、SaaS、プライベートアプリケーションの保護を目指す組織の85%が、Security Service Edge（SSE）提供からセキュリティ機能を入手するようになります。Gartnerの用語は事実上の標準となっています。Gartnerなどは、もう1つの略語としてSecurity Access Service Edge（SASE）も使用しています。
• IDCはこのカテゴリをNetwork Edge Security as a Service（NESaaS）と定義し、同じ3つの中核コンポーネント（CASB、SWG、ZTNA）を含むとしています。IDCは「ネットワークセキュリティ市場では、必要とされていた統合（コンバージェンス）のトレンドが進行している。セキュリティベンダーは、アラカルト型の個別セキュリティサービス重視から、個々のサービスをオプションモジュールとして扱う、統合されたクラウド提供型ネットワークセキュリティプラットフォームへと焦点を移している」と述べています。

企業がクラウドアクセスセキュリティブローカー（CASB）を必要とする理由

CASBの当初のユースケースは、シャドーITへの対処でした。セキュリティ責任者が最初のCASBツールを導入した際、従業員が個人のクラウドストレージアカウントをどれほど多く保有し、そこに企業データを隠し置いていたかに驚かされました。CASBツールは、従業員が利用している未承認または管理外のクラウドサービスを発見し、監視するのに役立ちます。これは、企業ユーザーがさまざまな機械学習モデルを選択し、個人アカウントで公開型の生成AIツールにアクセスするケースが増えるにつれて、シャドーAIサービスも対象に含まれるようになっています。

現在、CASBは他にもさまざまなユースケースを包含しています。

• データ保護：COVID-19パンデミックにより、従業員はリモートワークへ、アプリケーションはより容易にアクセスできるクラウドへと移行しました。パンデミックは収束し、多くの従業員がオフィスに戻りましたが、アプリケーションとデータは依然としてクラウド上にあります。組織は、ハイブリッドクラウド環境を横断して移動する機密データを保護しなければなりません。今日のCASBはDLP機能を統合していることが多くあります。
• コンプライアンス：データプライバシー規制は引き続き厳格化しています。CASBは、データプライバシーポリシーを強制することで、組織全体の規制遵守フレームワークにおける重要なツールとなります。
• リモートワークフォース：従業員の所在地にかかわらず、CASBにより企業はより一貫したセキュリティ標準を実装し、クラウドリソースへのリモートアクセスを安全に確保できます。
• 脅威検知：CASBは悪意ある活動、侵入の試み、ランサムウェア、その他のセキュリティイベントを検知できます。CASBツールはリアルタイムのアラートを生成してセキュリティチームの迅速な対応を可能にし、これらのアラートを他のセキュリティプラットフォームへ連携して、軽減・解決に役立てることができます。

純粋に機能面から見ると、CASBツールには4つの重要な機能があります。

• 可視性：CASBはクラウド利用状況、ユーザー活動、データフローを包括的に可視化します。
• 制御：CASBはユーザー権限とデータアクセスをきめ細かく制御します。
• データ保護：CASBソリューションは、複数のクラウドサービスにまたがる機密情報を保護するためのデータ保護機能を提供します。
• コンプライアンス：CASBツールはデータプライバシー規制への準拠維持を支援します。

これらの中核機能に加え、CASBツールが既存のクラウドサービス、アプリケーション、セキュリティ基盤と適切に統合できることを確認する必要があります。

導入モードは、フォワードプロキシ、リバースプロキシ、APIベースの3つです。多くの専門家はAPIベースのCASBの方が機能面で優れていると言いますが、ベンダーが提供するアプリケーションプログラミングインターフェース（API）接続の一覧が、組織が保有するクラウドアプリの棚卸しと一致していることを確認する必要があります。

CASBの中核サービス

各製品の導入にあたり、さまざまなエージェントの利用や要件があるかどうかに注意してください。ここはCASBベンダーが独自の強み（秘伝のタレ）を置くことが多い領域であり、IT部門がエージェントに寛容か、あるいは忌避するかによっては問題になり得ます。たとえばSkyhighは、3つの運用モードすべてで機能する単一のエージェントを使用します。一方、他のCASBの中には、アンチウイルス、DLP、VPNなど特定の機能領域ごとに複数のエージェントを持つものもあり、煩雑になりがちです。さらに、個人の携帯電話のような非管理エンドポイントや、IoTコントローラーのような組み込みデバイスへの対応は言うまでもなく困難です。

以下の3つの基本サービスは、すべてのCASBが提供するものであり、CASBが何をするのか、そしてなぜ購入するのかという中核に当たります。

最も機密性の高いデータフローを監視・制御する：CASBはもともと、シャドーIT製品の増加を抑え、SaaSアプリケーションを制御してより安全にするために設計されました。現在では用途が広がり、複数のクラウドプロバイダーをまたいで運用したり、SaaS、モバイル、オンプレミスのアプリケーションを混在させたりする状況にも適合します。

すべてのサーバーとアプリにわたり統一的なDLPポリシーを適用する：データの利用が増えるほど、悪意ある内部者によるものか、あるいはセキュリティ上の抜け穴の悪い組み合わせによる偶発的なものかを問わず、顧客情報や事業上の機密情報を漏えいしていないことを担保するためのより良い方法が必要になります。DLP製品は長年存在しますが、CASBにDLPに類する機能があると、潜在的な弱点を追跡するうえで有用です。特に、より多くのデータがクラウドへ移動し、非管理のモバイルデバイスからアクセスされるようになるほど、その価値は高まります。

クラウドネイティブの暗号化鍵を管理する：理想的には、CASBが暗号化の要件と鍵を自動的に追跡し、手作業を不要にして、より多くのデータを暗号化できるようにするべきです。

CASBツールは、得意分野が製品によって異なります。たとえば次のとおりです。

• Bitglassには、非管理デバイス上でほぼリアルタイムのDLPを処理するAjaxの仮想マシンのようなレイヤーがあります。唯一の注意点は、これらのデバイスがブラウザ経由でデータにアクセスする必要があることです。
• Fortraなど一部のCASBは、SaaSの構造化データサービスの一部にフィールドレベル暗号化を備えており、機密情報を保護するための便利な仕組みとなり得ます。

これらの基本に加え、すべてのCASBは、次の3つの異なるモードのうち1つ（または複数）で動作する可能性があります。

• フォワードプロキシ：通常、エンドポイントエージェントまたはVPNクライアントとともに導入されます。
• リバースプロキシ：エージェントを必要とせず、非管理デバイスに対してより適している場合があります。
• API制御：クラウドリポジトリにすでに保存されているデータ、または企業ネットワークに入ってこないクラウドプロセス内で使用されるデータの可視性を提供します。

CASBの運用モードによって機能セットは異なる

CASB評価の難しさの一部は、製品が複数モードで動作する場合に、機能セットが各運用モードへどのように拡張されるかを理解することにあります。たとえばBroadcomのSymantec CASBは、Microsoft 365向けにのみリバースプロキシを提供し、他のアプリケーションには対応していません。一方で、Cisco SystemsとPalo Alto NetworksはいずれもAPI専用のCASB製品を提供しています。こうした違いがあるため、どのアプリがサポートされているかだけでなく、どのようにサポートされているのか、そして各製品がカバーするAPIポートフォリオが正確に何なのかを理解する必要があります。

パブリッククラウドのセキュリティ露出の状況を把握し、クラウドベースのマルウェアも阻止するなど、CASB保護を細かい粒度で行いたい場合は、APIサポートが不可欠です。API導入では、クラウド間（cloud-to-cloud）の活動を捕捉したり、アーカイブされたトラフィックフローを遡及的に検査したりすることもできます。また、アプリケーションゲートウェイの処理や特定のセキュリティポリシーの実装には、ある程度のプロキシ機能も必要になります。細則を読み込み、各ベンダー製品のモードごとの関連機能を明らかにできる適切なテスト計画を策定することが重要です。

あると望ましいCASB機能セット：

• 継続的なリスク評価と、必要に応じたコンプライアンス監査を実施する：CASBは、企業が最もリスクを抱える箇所を1か所で示し、他の製品では容易にできなかった不審な挙動に対して、セキュリティチームが迅速に注目できるよう課題を要約します。

Forcepoint、Netskope、Proofpointはいずれも、環境がどのように振る舞っているか、何に即時対応が必要かを理解するために表示内容をカスタマイズできる、優れたリスク要約ダッシュボードを備えています。

• すべてのログイン、サーバー、アプリにわたり統一的な適応型認証ポリシーを適用する：これには、読み取り専用アクセス（Gartnerは、必要ではあるが未承認のSaaSサービスに適した状況だと示唆しています）、ステップアップ認証、よりきめ細かなアクセス権管理などが含まれるべきです。

この種のタスクでは、通常はID管理やシングルサインオン（SSO）ツールが定番の選択肢であり、重要なトレンドとして、従来型のSSO製品と統合するCASBが増えています。注意すべき点は、一般的な統合レベルは（通常）リバースプロキシモードでのみ実現され、SSO認証がCASBへ渡されるのはアプリケーションの初回ログイン時だけだということです。つまり、よりリスクの高い挙動が発生したタイミングを捕捉するような、より完全な適応型認証を実現したい場合は、専用のSSO製品を使い続ける必要がある可能性が高いということです。

ご覧のとおり、CASBは企業内の既存の多くのセキュリティ製品に関与します。統合を成功させるための課題は、これらの相互作用を理解し、CASBの利用によって全体のセキュリティプロファイルが低下するのではなく向上することを確実にすることです。

主要なクラウドアクセスセキュリティブローカー（CASB）ベンダー

主要CASBベンダー（アルファベット順）の一覧には、専業企業だけでなく、買収または自社開発によってポートフォリオにCASB機能を追加した従来型のセキュリティベンダーも含まれます。多くのベンダーは価格詳細を開示しませんでしたが、AWSおよびAzureのマーケットプレイスで確認できた範囲で概算の手がかりを見つけました。

Cloudflare CASBは、同社のOne SASEプラットフォームのアドオンで、全体として同一のエージェントを使用します。50ユーザー未満向けに2つのSaaSコンポーネントを利用できる無料版があり、それを超えると価格は7ドル/ユーザー/月からで、大規模導入には個別見積もりが適用されます。このCASB製品は現在4年目で、ChatGPTやGoogle Geminiなど各種AIサービスの可視化と制御に統合されています。リバースプロキシはサポートせず、DLPを含み、Office 365のドキュメントやメールの保護など、Microsoftのクラウドサービスで利用可能なリスクスコアやメタデータソースと統合します。

Cisco Cloudlock:Cisco Systemsは2016年にCloudlockを買収して以来CASBを提供しています。Cisco CloudlockはクラウドネイティブのCASBで、APIを用いてクラウドアプリのエコシステムにおけるリスクを管理する自動化アプローチにより、ユーザー、データ、アプリを保護します。保護ポリシーと統一ダッシュボードのためにCiscoのSSEプラットフォームと統合されています。Cloudlockは高度な機械学習アルゴリズムで異常を検知します。またDLP機能を提供し、権限とリスクレベルに応じて危険な活動をブロックできるポリシーベースの制御でシャドーITを対象とします。機械学習により1,300以上のアプリケーションのリスクスコアを算出し、AIサプライチェーンを管理するためのツールも備えています。

Forcepoint ONE CASB: Forcepointは2021年にBitglassを買収しました。Bitglassは、独立系CASBベンダーの草分けであり、GartnerのCASB向けマジッククアドラントでもリーダーでした。ForcepointはBitglassの技術を自社のDLP機能と統合し、SSEソリューションを提供しています。ForcepointはシャドーITの監視とレポーティングに優れ、ユーザー分析機能も人気です。また、デバイスおよびユーザー認証を提供することでゼロトラストアーキテクチャもサポートします。AWS Marketplaceでの価格はユーザーあたり年120ドルです。

FortraのCASBは、エンドポイント保護ベンダーのLookout（同社は以前にCASBの革新企業CipherCloudを買収）を買収した結果として提供されています。Fortraは現在、ゼロトラストのアクセス制御、データ発見プロセスを自動化する高度なDLP機能、IDアクセス管理やセキュリティオーケストレーションなどをカバーする目的別の統合群を含む、堅牢なSSEプラットフォームを備えています。管理対象／非管理対象のクラウドベースアプリケーション、ユーザー、エンドポイント、データ全体にわたる可視性を提供できます。

Netskope CASB: 専業CASBベンダーの草分けの1社であるNetskopeは、CASBおよびSSEのリーダーです。Forrester Researchによれば、Netskopeはテクノロジースタック全体で革新を示しており、印象的な新しいプライベートグローバルネットワーク、人工知能、生成AIセキュリティへの大規模投資を含みます。NetskopeはSWG機能をCASBツールに統合し、インライン版とAPI版をそれぞれ別製品として販売しており、AWS Marketplaceでは100ユーザーで年35,000ドルです。

Palo Alto Networks Prisma CASB. Palo Alto Networksは、自社CASBを「次世代」と位置づけています。その根拠は、単体製品というより、インラインセキュリティ、SSPM、エンタープライズDLPなどの統合ソリューション群であるという提案にあります。Palo Alto NetworksのCASBは、クラウドおよびハイブリッドワークフォース環境全体でアプリとデータを保護するよう設計されており、ユーザーとSaaSプロバイダー間で転送中のデータを保護し、規制遵守を促進し、シャドーITによるリスクを最小化します。

Proofpoint’s CASBは、メールからクラウドアプリへDLPと脅威保護を拡張することに注力しています。Proofpointは人を中心に据えたアプローチを取り、誰が機密データを作成し、誰がそのデータを所有し、ダウンロード、アップロード、共有、編集しているかをきめ細かく可視化します。フィッシングに成功してしまったユーザーや、ハッカーから最も攻撃を受けているユーザーを特定します。

Skyhigh Security CASBはすべての導入モードをサポートし、承認済み／未承認のクラウドサービスへのユーザーアクセスをリアルタイムに制御できます。Skyhigh（インドのIT技術プロバイダーMusarubraの一部門で、同社はTrellixも保有）は、包括的なマルチモードカバレッジの提供に注力しており、セキュリティイベントを機械学習システムへ投入して高度なイベント相関を実現し、セキュリティチームが誤検知ではなく真の脅威に集中できるよう支援します。CASBは同社のSSEプラットフォームの一部にすぎず、SWG、ZTNA、DSPM、DLPに加え、リモートブラウザ分離まで統合します。保護ポリシーはプラットフォーム全体で策定され、AI利用の管理、シャドーAIの防止、これらの指標全体からのユーザーリスクスコア作成も含まれます。価格は保護対象サービスごとにユーザーあたり年額で、無制限サービスは88ドル/ユーザー/年、シャドーサービスには追加料金がかかります。

Symantec（Broadcomの一部門）は、CloudSOC CASBを提供しており、広範なAPI統合とインラインのトラフィック分析により、承認済みSaaSアプリの利用を監視・制御します。Symantec CASBは、完全な可視性と、高リスクユーザー、侵害されたアカウント、悪意ある内部者の自動検知を提供します。行動ベースのユーザー脅威スコアを個別に算出することで、リスクの高いユーザーアカウントを迅速に特定できます。このツールは、アプリへの出入りで流れる規制対象データの分類を自動化し、企業ポリシーに整合する制御を強制します。DLP機能とCSPMも含まれます。

VersaのCASBは、One Universal SSE Platformの一部であり、DLP、ZTNA、アプリケーションファイアウォール、分析、レポーティングなど、さまざまなセキュリティサービスに対して統合ダッシュボードとポリシールールセットを提供します。すべてのモジュールは完全に自社開発で、各種AIベースのツールを含み、3つの運用モードすべてをサポートします。 ユーザーは、組み込みAIに対する自然言語クエリを用いて保護ポリシーを作成でき、アラートや修復策の探索も行えます。

Zscaler CASBは、インラインのリアルタイム機能とアウトオブバンドのスキャン機能を提供し、データ保護、脅威ブロック、可視性の提供、コンプライアンスの担保を実現します。主な機能には、ソフトウェアのインストールが不可能なBYODやサードパーティデバイスを保護するエージェントレスのクラウドブラウザ分離、マルウェアがクラウドリソースへ到達するのをリアルタイムで阻止する高度な脅威保護、新種のランサムウェアやその他のゼロデイ感染を検知するクラウドサンドボックス、従業員が使用する未承認アプリを自動的に特定し各アプリのリスクスコアを作成するシャドーIT発見などが含まれます。AIを用いてデータ漏えいを分類・検知し、2026年初頭には追加のAIベースツールが提供される予定です。

CASBツールの購入は複雑になり得ます。広義のCASB定義（DLP、SWGなど）に含まれる可能性のある機能が多数あるうえ、CASBツール自体も、ZTNAやSD-WANといった機能を含むSSE／SASEプラットフォームへ向かう大きな潮流の一部だからです。企業は、規制遵守なのかシャドーITなのかといった具体的な課題を特定し、当面のニーズを満たしつつ、時間の経過とともに企業の成長に合わせて拡張できるベンダーを選ぶ必要があります。以下は、CASBツールを購入する前に自問すべき主要な質問です。

1. 従業員、契約社員、その他の第三者を含め、ユーザーがアクセスしているクラウドサービスを十分に把握できているか？
2. どの種類のデータが機密またはミッションクリティカルなのかを把握できるよう、堅牢なデータ分類システムが整備されているか？
3. SaaSアプリケーションを含め、オンプレミスとクラウド環境の双方にまたがるアクセス制御ポリシーが整備されているか？
4. 目的は明確か？ CASBを検討する際の優先事項は何か？
5. CASBツールは、ファイアウォール、エンドポイント保護、Webゲートウェイなど既存のセキュリティ基盤とどのように統合されるか。カスタム開発アプリを含め、アプリケーション資産全体をどのように保護するのかを検討する。オンプレミスからクラウドへ、またはその逆にアプリを移行する際はどうなるか？
6. DLPとSWGはCASBの一部として提供されるのか、それとも追加モジュールなのか？
7. CASBツールの購入は、SSEやSASEの採用を含み得るより広範なセキュリティロードマップにどのように組み込まれるか？
8. 初期費用だけでなく、長期的な総所有コスト（TCO）はいくらか？
9. 新しいツールのための予算はあるか？
10. 自社の成長に合わせて製品はスケールできるか？
11. 事業を展開するすべての地域を製品がカバーしているか？
12. オンプレミスでツールを導入・管理する社内要員がいるか。それともクラウドベースのマネージドサービスを選ぶべきか？

必読資料

• クラウドをどう保護するか？ 新たなデータポイントが道筋を示す
• SASEとは？ SD-WANとセキュリティを融合するクラウドサービス