Overview
CASB(Cloud Access Security Broker:クラウドアクセスセキュリティブローカー)とは、組織のユーザーとクラウドサービスプロバイダーの間に位置し、セキュリティポリシーの適用・可視化・データ保護・脅威防御を実現するセキュリティソリューションです。企業が利用するSaaS、IaaS、PaaSへのアクセスを仲介し、セキュリティガバナンスを確保する「門番」の役割を果たします。
クラウドサービスの急速な普及に伴い、従業員がIT部門の承認なく独自にクラウドサービスを利用するシャドーIT(Shadow IT)が深刻な問題となっています。CASBは、組織内で利用されているすべてのクラウドサービスを自動的に検出・可視化し、未承認サービスの利用を制御します。また、承認済みサービスに対しても、DLP(Data Loss Prevention)やアクセス制御、暗号化などのセキュリティポリシーを一元的に適用します。
Gartnerが2012年に提唱したCASBの概念は、現在ではSASE(Secure Access Service Edge)やSSE(Security Service Edge)の重要な構成要素として位置づけられています。CASBは、クラウドファースト時代における企業のデータガバナンスとコンプライアンス確保に不可欠なツールとなっています。
Details
CASBの4つの柱(Four Pillars)
CASBは、Gartnerが定義した4つの主要機能を柱として構成されています。
- 可視性(Visibility):組織内で利用されているクラウドサービスの発見と利用状況の可視化。シャドーITの検出、ユーザーの利用パターン分析、リスク評価を実施
- コンプライアンス(Compliance):GDPR、HIPAA、PCI DSSなどの規制要件に基づくデータ管理ポリシーの適用と監査レポートの生成
- データセキュリティ(Data Security):DLP、暗号化、トークナイゼーションによる機密データの保護。ファイル共有やダウンロードの制御
- 脅威防御(Threat Protection):マルウェアの検出、不正アクセスの検知、アカウント乗っ取り(ATO)の防止、異常な振る舞いの検出
CASBの導入モード
CASBは、組織のニーズに応じて複数の導入モードが用意されています。プロキシモードにはフォワードプロキシとリバースプロキシの2種類があり、フォワードプロキシは組織のネットワークからクラウドサービスへのトラフィックを中継し、リバースプロキシはクラウドサービスへのアクセスをCASB経由に集約します。
APIモードは、クラウドサービスが提供するAPIを直接利用して、保存データのスキャンやポリシー適用を行います。リアルタイムのトラフィック制御はできませんが、導入が容易で既存のネットワーク構成に影響を与えません。多くのCASB製品は、プロキシモードとAPIモードを組み合わせたマルチモード構成を採用しています。
シャドーIT検出と可視化
CASBの重要な機能の一つが、組織内で利用されている未承認クラウドサービスの検出です。ファイアウォールやプロキシのログを分析し、従業員がアクセスしているクラウドサービスを特定します。各サービスにはリスクスコアが付与され、セキュリティ認証の有無、データセンターの所在地、暗号化の対応状況などの基準で評価されます。
調査によると、平均的な企業では約1,000以上のクラウドサービスが利用されており、その大部分がIT部門の管理外にあるとされています。CASBはこの隠れたリスクを可視化し、組織のクラウド利用ガバナンスの基盤を構築します。
DLP(Data Loss Prevention)機能
CASBは、クラウドサービスにおけるデータの移動や共有を監視し、機密データの漏洩を防止します。コンテンツインスペクションにより、クラウドにアップロード・ダウンロードされるファイルの内容を検査し、個人情報(PII)、クレジットカード番号、知的財産などの機密データを検出します。
検出された機密データに対しては、ブロック、暗号化、マスキング、アラート通知などの対応を自動的に実行できます。また、コンテキストベースのDLPにより、誰が、どのデバイスから、どのサービスに対してデータをアクセスしているかに応じて、異なるポリシーを適用することも可能です。
SASEとの統合
近年、CASBは単独のソリューションとしてだけでなく、SASE(Secure Access Service Edge)フレームワークの一部として提供されることが増えています。SASEは、SD-WAN、SWG(Secure Web Gateway)、CASB、ZTNA(Zero Trust Network Access)、FWaaS(Firewall as a Service)などのネットワークセキュリティ機能をクラウドベースで統合したアーキテクチャです。
SASE統合により、CASBの機能はクラウドサービスへのアクセス制御だけでなく、ネットワーク全体のセキュリティポリシーと連動するようになり、一貫したセキュリティ体験を提供します。
Security Measures
- 01シャドーITの可視化と定期的な棚卸し:CASBを活用して組織内で利用されているすべてのクラウドサービスを定期的に調査し、未承認サービスのリスク評価を実施してください。リスクの高いサービスはブロックし、代替となる承認済みサービスへの移行を促進しましょう。
- 02クラウドDLPポリシーの包括的な設定:個人情報、財務データ、知的財産などの機密データカテゴリに対して、CASBのDLP機能で検出・保護ポリシーを設定してください。ファイルのアップロード・ダウンロード・共有の各段階でコンテンツインスペクションを適用することが重要です。
- 03コンテキストベースのアクセス制御:ユーザーの所属部門、デバイスの種類(管理端末/BYOD)、アクセス元のネットワーク、時間帯などのコンテキストに基づいて、クラウドサービスへのアクセス制御ポリシーを細かく設定してください。特に管理対象外のデバイスからのアクセスは制限を強化すべきです。
- 04アカウント乗っ取り検知の有効化:CASBの脅威防御機能を活用し、不審なログインパターン(通常とは異なるIPアドレス、地理的に不可能な同時ログイン、大量のデータダウンロードなど)を検出するポリシーを設定してください。
- 05SaaSアプリケーションのセキュリティ設定管理:CASBのSSPM(SaaS Security Posture Management)機能を活用して、Microsoft 365、Google Workspace、Salesforceなどの主要SaaSアプリケーションのセキュリティ設定を継続的に監視し、設定ミスを自動検出してください。
- 06SASE/SSEフレームワークへの統合検討:CASB単体の導入だけでなく、SWG、ZTNAなどの他のセキュリティコンポーネントとの統合を検討し、一貫したセキュリティポリシーの適用とネットワーク全体の可視性を確保してください。
Incidents
📋 Salesforce Communities設定ミスによるデータ露出(2021年)
2021年、複数の企業がSalesforce Communitiesの設定ミスにより、顧客データや機密情報がゲストユーザーに公開されていることが判明しました。Salesforce環境内のオブジェクトやフィールドに対するアクセス権限が適切に設定されておらず、認証なしでAPIを通じてデータにアクセスできる状態でした。
CASBによるSaaS環境のセキュリティ設定監視が行われていれば、過剰に開放されたアクセス権限を早期に検出できた可能性があります。この事件は、SaaSアプリケーションの複雑なアクセス制御設定をCASBで継続的に監視する重要性を示しました。
📋 シャドーIT経由の機密データ漏洩事件(2020年)
2020年、ある大手製造企業の従業員が、社内で承認されていないファイル共有サービスを使用して設計図面や技術仕様書を外部の協力会社と共有していたことが判明しました。IT部門が把握していないクラウドサービスを通じて機密性の高い技術情報が外部に流出し、競合他社に情報が渡った可能性が指摘されました。
この事件は、シャドーITが引き起こすデータ漏洩リスクの典型的な事例です。CASBを導入して未承認サービスの利用を検出・制御し、承認済みサービスに対してもDLPポリシーを適用していれば、機密データの不正な共有を防止できた可能性があります。
📋 Microsoft 365アカウント乗っ取りによる情報窃取(2022年)
2022年、複数の企業でMicrosoft 365アカウントの乗っ取り(Account Takeover)が相次いで発生しました。攻撃者はフィッシングメールで認証情報を窃取し、正規アカウントとしてOneDriveやSharePointに保存された機密文書にアクセスしました。攻撃者は正規ユーザーのように振る舞い、大量のファイルをダウンロードした後にメールの転送ルールを設定して継続的な情報窃取を行いました。
CASBの脅威防御機能が導入されていれば、通常とは異なるIPアドレスからのログイン、大量のファイルダウンロード、不審なメール転送ルールの設定といった異常な振る舞いを検知し、アカウント乗っ取りの早期発見と被害の最小化が可能だったと考えられます。