CASBとは：2025年版完全ガイド～セキュリティエンジニアが解説する導入から運用まで～

2025年6月26日2025年8月18日

はじめに

記事をご覧いただき、ありがとうございます。
AIセキュリティ合同会社の越川と申します。

私は10年以上にわたり、ウェブアプリケーション開発からサーバー構築まで幅広く経験し、現在はシステムの安定稼働、データ保護、サイバー脅威対策といった分野に注力しています。そのような経験から、現代のビジネス環境におけるデータの重要性と、それを保護する必要性を日々痛感しております。

そして、このデータ保護と脅威対策を統合的に実現する上で、今や欠かせない存在となっているものの一つが、本稿のテーマである「CASB（Cloud Access Security Broker）」です。

デジタルトランスフォーメーションの進展により、企業のクラウド利用は急速に拡大しています。2024年の国内民間企業のIT市場規模は前年同期比5.6％増の15兆8,900億円に達し、2025年度には16兆6,800億円に成長すると予測されています。しかし、この利便性の裏側では、シャドーITの増加やデータ漏洩リスクの高まりなど、新たなセキュリティ課題が顕在化しています。

従来の境界防御型セキュリティモデルでは、クラウド環境における多様なアクセスパターンや暗号化通信を適切に制御することが困難となっており、企業は新しいセキュリティアプローチを求めています。このような背景から注目されているのがCASB（Cloud Access Security Broker）です。

本記事では、セキュリティエンジニアとして実際にCASB製品の検証・導入に携わった経験を基に、CASBの基本概念から実践的な導入方法まで、企業のセキュリティ担当者や情報システム部門の方々に向けて詳しく解説します。

用語説明

シャドーIT
企業が公式に許可していない、あるいは従業員が利用していることを企業側が把握していないIT資産（デバイスやサービス）のことです。
具体的には、従業員が個人所有のスマートフォンやパソコン、クラウドサービスなどを、企業の許可なく業務に使用している状態を指します。

CASBとはなにか

CASBの定義と基本概念

CASB（Cloud Access Security Broker）は、企業ユーザーとクラウドサービスプロバイダーの間に配置される統合セキュリティプラットフォームです。

Gartner社によって2012年に定義されたこのコンセプトは、クラウドサービスの安全な利用を実現するために、可視化（Visibility）、コンプライアンス（Compliance）、データセキュリティ（Data Security）、脅威防御（Threat Protection）の4つの柱を提供します。

CASBの技術的アプローチ

CASBは主に以下の2つの配置方式で実装されます。

1. APIベース（Out-of-Band）方式
クラウドサービスのAPIを直接活用してデータの監視・制御を行う方式です。
既存のネットワーク構成を変更することなく導入でき、包括的なログ分析とポストインシデント対応に優れています。

2. プロキシベース（Inline）方式
ユーザーとクラウドサービス間の通信経路に直接介入する方式です。
リアルタイムでの通信制御が可能で、データアップロード時の即座なブロックなど、予防的なセキュリティ制御を実現します。

CASBが対応する主要クラウドサービス

現代的なCASBソリューションは、以下のような幅広いクラウドサービスカテゴリーに対応しています。

SaaS（Software as a Service）: Microsoft 365、Google Workspace、Salesforce、Slackなど
IaaS（Infrastructure as a Service）: Amazon Web Services（AWS）、Microsoft Azure、Google Cloud Platformなど
PaaS（Platform as a Service）: Heroku、Azure App Service、Google App Engineなど

【イメージ図】

用語説明

API（Application Programming Interface）
ソフトウェアやアプリケーションが互いに通信し、機能やデータを共有するためのルールやプロトコルのことです。
簡単に言うと、APIは異なるソフトウェア間で「会話」するための共通言語のようなものです。
SaaS（Software as a Service）
インターネット経由でソフトウェアをサービスとして利用できる仕組みのことです。
従来のソフトウェアのように、購入してパソコンにインストールするのではなく、サービス提供事業者のサーバー上で動作するソフトウェアを、インターネットを通じて利用します。
IaaS（Infrastructure as a Service）
クラウドコンピューティングのサービス形態の一つで、仮想サーバー、ストレージ、ネットワークなどのインフラをインターネット経由で利用できるサービスのことです。
企業は自社でサーバーやネットワーク機器を保有・管理する代わりに、必要なリソースを必要な時に必要な分だけ利用できます。
PaaS（Platform as a Service）
アプリケーション開発に必要なプラットフォーム（サーバー、OS、ミドルウェアなど）をインターネット経由でサービスとして提供するクラウドサービスのことです。
開発者は、インフラ環境の構築や管理に手間をかけることなく、アプリケーション開発に集中できます。

なぜCASBが活用されるのか

従来のセキュリティモデルの限界

企業のIT環境がオンプレミス中心からクラウドファーストへと移行する中で、従来の境界防御型セキュリティモデルでは対応できない課題が顕在化しています。

1. ネットワーク境界の曖昧化
従来のファイアウォールやVPNは、明確なネットワーク境界を前提として設計されていますが、クラウドサービスは地理的に分散した環境からアクセスされるため、従来の境界の概念が適用できません。

2. 暗号化通信の課題
現代のクラウドサービスはHTTPS通信が標準となっており、従来のネットワークセキュリティ機器では暗号化された通信の中身を検査することが困難です。

3. ダイナミックなアクセスパターン
モバイルワークやリモートワークの普及により、様々なデバイスや場所からのアクセスが発生し、従来の固定的なセキュリティルールでは対応が困難になっています。

シャドーITの深刻化

Gartnerの調査によると、企業で利用されているクラウドアプリケーションの約80％がIT部門に承認されていないシャドーITであるとされています。このような状況では以下のリスクが発生します。

ガバナンス不全: IT部門がクラウド利用状況を把握できず、統一されたセキュリティポリシーの適用が困難
コンプライアンス違反: 規制要件を満たさないクラウドサービスの利用による法的リスクの増大
データ漏洩リスク: 適切な保護機能が実装されていないサービスからの機密情報流出

規制・コンプライアンス要件の厳格化

GDPR（EU一般データ保護規則）や日本の個人情報保護法改正など、世界的にデータ保護規制が強化されています。これらの規制では、以下のような厳格な要件が求められています。

データ処理の透明性: どこでどのようなデータが処理されているかの完全な把握
データ主体の権利保護: アクセス権、削除権等の権利行使への迅速な対応
セキュリティ・バイ・デザイン: システム設計段階からのプライバシー保護の組み込み

これらの要件を満たすためには、クラウド上のデータフローを包括的に監視・制御できるソリューションが不可欠となっています。

CASBの具体的な導入ステップ

Phase 1: 現状分析とアセスメント（2-4週間）

1. クラウド利用状況の全体把握
まず、組織内でのクラウドサービス利用状況を包括的に調査します。
この段階では、CASBのディスカバリー機能を活用して、承認済み・未承認を問わず全てのクラウドアクセスを可視化します。

具体的な調査項目

利用されているクラウドサービスの種類と利用頻度
ユーザーごとのアクセスパターンとデバイス情報
データアップロード・ダウンロードの量と内容
地理的アクセス分布とアクセス時間帯

2. リスクアセスメントの実施
収集されたデータを基に、各クラウドサービスのリスクレベルを評価します。
Gartnerのクラウドリスクアセスメントフレームワークに基づき、以下の観点で評価を行います。

セキュリティ対策の成熟度（SOC2、ISO27001等の認証状況）
データ保存場所と法的管轄権
暗号化実装レベル
インシデント対応履歴

Phase 2: ポリシー設計と要件定義（3-6週間）

1. セキュリティポリシーフレームワークの策定
組織のリスク許容度と業務要件を考慮して、クラウド利用に関する包括的なセキュリティポリシーを策定します。ポリシーは以下の階層構造で設計することを推奨します。

レベル1（禁止）: 高リスクサービスの完全ブロック
レベル2（制限付き許可）: 条件付きアクセス（承認プロセス、データ暗号化必須等）
レベル3（監視）: 利用許可だが全活動をログ記録・監視
レベル4（自由）: 低リスクサービスの制限なし利用

2. データ分類とDLPポリシー設計
組織のデータを機密度に応じて分類し、各分類に適したData Loss Prevention（DLP）ポリシーを設計します。

機密データ: 個人情報、財務情報、営業秘密等（外部共有完全禁止）
社外秘データ: 内部資料、プロジェクト情報等（承認済みユーザーのみアクセス可能）
公開データ: 一般公開済み情報（制限なし）

Phase 3: パイロット導入とテスト（4-8週間）

1. 限定範囲での実装
リスクを最小化するため、以下の条件でパイロット導入を実施します。

対象ユーザー: IT部門および協力的な部署の20-50名
対象サービス: Microsoft 365、Google Workspace等の主要SaaSサービス
監視モード: 初期段階はログ収集・分析のみでブロック機能は無効化

2. 段階的ポリシー適用
パイロット期間中に以下の順序でポリシーを段階的に適用し、業務への影響を最小化します。

Week 1-2: 純粋な監視モード（ログ収集のみ）
Week 3-4: 警告表示機能の有効化
Week 5-6: 低リスク違反への自動対応
Week 7-8: 高リスク違反へのブロック機能適用

Phase 4: 全社展開（8-16週間）

1. 部署別ロールアウト戦略
パイロットで得られた知見を基に、部署ごとの業務特性を考慮したロールアウト計画を策定します。

第1段階: IT部門、総務部門等の管理部門（Week 1-4）
第2段階: 営業部門、マーケティング部門等の外部連携が多い部門（Week 5-8）
第3段階: 開発部門、製造部門等の技術部門（Week 9-12）
第4段階: 全社統合と最適化（Week 13-16）

2. 変更管理とユーザー教育
技術的な導入と並行して、組織的な変更管理を実施します。

管理者向けトレーニング: CASBコンソールの操作方法、インシデント対応手順
エンドユーザー向け教育: 新しいセキュリティポリシー、承認プロセスの説明
継続的なコミュニケーション: 月次レポート、クォータリーレビュー等

用語説明

ディスカバリー機能
CASBのディスカバリー機能とは、組織が利用している様々なクラウドサービスの利用状況を可視化・分析し、潜在的なセキュリティリスクを評価する機能です。
この機能により、従業員が「シャドーIT」で許可なく利用しているサービスや、機密データが保存されているリスクの高いクラウドサービスを特定し、適切なセキュリティ対策を講じることが可能になります。
DLP（Data Loss Prevention）
組織が保有する機密情報や個人情報などの重要データを、不正な漏洩、紛失、または不正使用から保護するためのセキュリティ対策のことです。
DLPは、データが組織内外でどのように使用、共有されているかを監視し、機密データの流出を検知・防止する技術やソリューションを指します。

CASBのメリット

包括的なクラウド可視化の実現

CASBの最大のメリットは、企業のクラウド利用状況を統一されたダッシュボードで包括的に可視化できることです。従来は個別のクラウドサービスごとに管理コンソールを確認する必要がありましたが、CASBにより以下の情報を一元的に把握できます。

リアルタイムアクティビティ: 現在アクティブなユーザー数、データ転送量、異常アクセス検知
利用トレンド分析: 月次・四半期ごとのサービス利用状況、ユーザー行動パターンの変化
リスクスコアリング: 各ユーザー・サービスのリスクレベルを数値化し、優先度付けを自動化

高度な脅威検知と自動応答

現代のCASBソリューションは、機械学習と行動分析を活用した高度な脅威検知機能を提供します。

異常行動検知: 通常と異なるアクセスパターン（深夜の大量ダウンロード、海外からの突発的アクセス等）を自動検知し、リスクスコアを算出

マルウェア検知: クラウドストレージにアップロードされるファイルをリアルタイムでスキャンし、マルウェアや不正なファイル形式を自動ブロック

インサイダー脅威対応: 退職予定者や異動者の行動変化を検知し、機密データの不正持ち出しを防止

他製品との詳細比較

CASBと類似セキュリティ製品との機能比較を以下に示します。

比較項目	CASB	従来型ファイアウォール	VPN	DLP専用製品
クラウド可視化	◎ 全クラウドサービスを統合監視	△ 暗号化通信の中身は不可視	× クラウド外通信は監視対象外	○ データフローの一部のみ可視
シャドーIT対策	◎ 自動検知・制御が可能	△ ブラックリスト方式で限定的	× 社外からのアクセス制御不可	× 検知のみで制御は困難
リアルタイム制御	◎ コンテキスト認識型制御	○ ネットワーク層での制御	△ VPN接続時のみ制御可能	○ データ転送時のみ制御
データ保護機能	◎ 暗号化・トークナイゼーション	× データレベルの保護は不可	○ 通信路の暗号化のみ	◎ 高度なデータ分類・保護
コンプライアンス対応	◎ 統合監査ログ・自動レポート	○ ネットワークログのみ	○ アクセスログのみ	○ データ処理ログのみ
運用の複雑性	○ 統合管理により効率化	○ 既存運用への組み込み容易	△ 設定・保守が複雑	△ データ分類設定が複雑
導入・運用コスト	○ ライセンス費用＋運用費	◎ 比較的安価	○ 中程度	△ 専門スキル要求で高コスト

評価基準： ◎ 優秀、○ 良好、△ 限定的、× 不適
注記： 上記比較は一般的な製品特性に基づく評価であり、具体的な製品仕様により異なる場合があります。

活用方法

シナリオ1．大手製造業A社のCASB導入

導入前の課題

従業員2万人規模のグローバル企業で、各国拠点が独自にクラウドサービスを利用
IT部門が把握しているクラウドサービスは全体の約30％のみ
知的財産や設計図面の無許可クラウドストレージ保存が発覚
GDPRやデータローカライゼーション要件への対応が急務

導入内容
Microsoft Cloud App Security（現Microsoft Defender for Cloud Apps）を中核として、以下の構成で導入しました。

フェーズ1: 全社的なクラウドディスカバリー実施（3ヶ月）ネットワークログ分析により1,200以上のクラウドアプリを発見リスク評価により200のアプリを「禁止」、500のアプリを「条件付き許可」に分類
フェーズ2: 主要SaaSへのAPIベース接続（6ヶ月）Microsoft 365、Salesforce、Box、Dropboxへの包括的ポリシー適用機密データの自動分類と暗号化ポリシー実装
フェーズ3: リアルタイム制御の実装（3ヶ月）プロキシベース接続により、管理対象外デバイスからの高リスクアクションをブロック地理的制限ポリシーにより、特定国家からのアクセスを自動ブロック

導入後の効果

セキュリティ向上: シャドーITによるセキュリティインシデントが90％減少
コンプライアンス強化: GDPR監査で完全適合評価を獲得
運用効率化: セキュリティ関連のヘルプデスク問い合わせが60％削減
ROI実現: 年間セキュリティ運用コストを約30％削減し、18ヶ月でROIを実現

➤ 参考文献：Microsoft Defender for Cloud Apps 製品概要

シナリオ2．金融機関におけるCASBの活用

業界特有の課題

AWS、Azure、Google Cloudの3つのクラウドプラットフォームを利用する複雑な環境
各プラットフォームのセキュリティ設定が統一されておらず、管理が複雑
金融庁の監督指針への対応として、クラウド上の顧客データ保護強化が必要

一般的な導入アプローチ
金融業界では以下のようなCASBソリューション活用パターンが多く見られます。

統合ガバナンス: 全クラウドプラットフォームに対する統一ポリシーの適用
高度なDLP: 金融データの特性に合わせたカスタムDLPルールの実装
ゼロトラスト統合: ID管理システムとの連携による動的アクセス制御

期待される効果

複数クラウドの統合監視による運用効率化
コンプライアンス要件への確実な対応
セキュリティ成熟度の向上とリスク軽減

➤ 参考文献：金融サービス業界におけるCASB活用事例

まとめ

本記事では、CASB（Cloud Access Security Broker）について、その基本概念から実践的な導入方法まで包括的に解説しました。デジタルトランスフォーメーションが加速する現代において、CASBは単なるセキュリティツールではなく、安全なクラウド活用を支える戦略的インフラストラクチャとしての役割を担っています。

重要なポイントを再整理すると以下の通りです。

CASBの本質的価値: 従来の境界防御では対応できないクラウド環境特有のセキュリティ課題に対する包括的ソリューション
段階的導入の重要性: パイロットフェーズから全社展開まで、段階的なアプローチによりリスクを最小化しながら確実な効果を実現
継続的改善: CASBの導入は一時的なプロジェクトではなく、継続的なセキュリティ態勢向上のためのプラットフォーム
組織変革: 技術的導入と並行した変更管理とユーザー教育が成功の鍵

今後のクラウドセキュリティ環境において、CASBはSASE（Secure Access Service Edge）やZTNA（Zero Trust Network Access）といった次世代セキュリティアーキテクチャの中核コンポーネントとしてさらに重要性が高まることが予想されます。

企業のセキュリティ担当者や情報システム部門の皆様には、単純な製品選定ではなく、自社のクラウド戦略全体を見据えたCASB活用を検討されることを強く推奨します。

用語説明

SASE（Secure Access Service Edge）
ガートナー社が提唱した、ネットワークとセキュリティ機能をクラウド上で統合して提供する概念です。
従来のネットワークセキュリティは、社内ネットワークとインターネットの境界にセキュリティ機器を設置する境界型セキュリティが主流でしたが、クラウドサービスの利用やリモートワークの増加に伴い、その限界が露呈しました。

SASEは、ネットワーク機能 (SD-WANなど) とセキュリティ機能 (CASB、SWG、ZTNA、FWaaSなど) をクラウド上で統合し、場所やデバイスを問わず、統一されたセキュリティポリシーを適用できるため、柔軟で安全なアクセス環境を実現します。