sg sg-security-measures it_security_operations access_control
まず結論
CASBとは、組織のクラウド利用を可視化し、アクセスやデータの扱いを制御する仕組みです。
CASBは、Cloud Access Security Broker の略で、クラウドアクセスセキュリティブローカーと呼ばれます。
SG試験では、CASBは「クラウド利用の見える化」と「クラウド利用時の制御」を行う仕組みとして押さえると分かりやすいです。
選択肢では、次のような表現に注意します。
- 「CASBはクラウド事業者そのものを指す」
- 「CASBはマルウェアを駆除するだけの仕組みである」
- 「CASBを導入すれば、利用者側の運用管理は不要になる」
このような内容は、CASBの説明としては不適切です。
CASBは、クラウド利用を見える化し、組織のルールに沿って利用を管理・制御するための仕組みです。
直感的な説明
CASBは、会社が使っているクラウドサービスの「見張り役」と考えると分かりやすいです。
たとえば、社員が次のようなクラウドサービスを使っているとします。
- ファイル共有サービス
- Webメール
- オンライン会議ツール
- チャット
- 顧客管理サービス
便利だからといって、現場が勝手にクラウドサービスを使い始めると、会社としては次のようなことが見えにくくなります。
- どんなクラウドサービスが使われているか
- 誰がどのサービスを使っているか
- 機密情報がどこへ送られているか
- 危険な共有や持ち出しがないか
そこでCASBを使うと、クラウド利用状況を把握しやすくなり、必要に応じて制御もできます。
たとえば、
- 利用中のクラウドサービスを見つける
- 危険なサービスの利用を制限する
- 機密情報のアップロードを検知する
- 社外共有を制御する
といった対応につなげやすくなります。
つまりCASBは、クラウドを使うこと自体を止める仕組みではなく、クラウドを安全に使うために見える化と制御を行う仕組みです。
定義・仕組み
CASBは、利用者とクラウドサービスの間で、クラウド利用状況を把握し、セキュリティポリシーを適用する仕組みです。
Microsoftの解説でも、CASBはクラウドリソースやクラウドアプリへのアクセスに対して可視性、データ制御、分析機能を提供する仕組みとして説明されています。
参考: Microsoft Security|What is a cloud access security broker (CASB)?
CASBの主な役割は、次のように整理できます。
| 役割 | 内容 |
|---|---|
| 可視化 | どのクラウドサービスが使われているか把握する |
| アクセス制御 | 利用者・端末・場所などに応じてアクセスを制御する |
| データ保護 | 機密情報の持ち出しや危険な共有を防ぐ |
| 脅威検知 | 不審な利用や危険な振る舞いを見つける |
| コンプライアンス対応 | 組織ルールや法令に沿った利用を支援する |
CASBでよく扱う具体例には、次のようなものがあります。
- 利用中のクラウドサービス一覧を把握する
- シャドーITを発見する
- 危険なクラウドサービスへのアクセスを制限する
- 機密情報のアップロードやダウンロードを検知する
- 外部共有や不審なログインを監視する
- クラウド利用状況をログとして確認する
SG試験では、CASBを「クラウドの中身そのものを設定する仕組み」と考えないことが大切です。
CASBは、クラウド利用を見える化し、組織としての利用ルールを適用しやすくする仕組みです。
どんな場面で使う?
CASBは、組織でクラウドサービスの利用が広がっている場面で使います。
代表的な場面は次のとおりです。
- 社員がさまざまなSaaSを利用している
- どのクラウドサービスが使われているか把握しにくい
- ファイルの外部共有や持ち出しを制御したい
- シャドーITを見つけたい
- クラウド利用を社内ルールに沿って管理したい
- クラウド上の情報漏えいリスクを下げたい
たとえば、社員が私的に使っていたファイル共有サービスへ業務データをアップロードしていた場合、会社がその状況を把握できていないと、情報漏えいリスクが高くなります。
CASBを使うと、どのクラウドサービスが使われているかを見つけ、必要に応じて警告や利用制限を行いやすくなります。
また、許可されたクラウドサービスであっても、機密情報の外部共有を制限したり、不審なアクセスを検知したりする用途でも使われます。
SG試験では、CASBはクラウド利用の可視化と制御に強いと押さえておくと判断しやすくなります。
よくある誤解・混同
誤解1:CASBはクラウドサービス事業者そのものである
これは誤りです。
CASBは、クラウドサービスを提供する事業者そのものではありません。
組織がクラウドを使うときに、利用状況の把握やアクセス制御、データ保護を行うための仕組みです。
誤解2:CASBはCSPMやSSPMと同じ意味である
CASB、CSPM、SSPMはすべてクラウドセキュリティで使われる言葉ですが、主な役割が違います。
| 用語 | 主な対象 | 判断基準 |
|---|---|---|
| CASB | クラウド利用全体 | 利用状況の可視化やアクセス制御を行う |
| CSPM | IaaS・PaaSなどのクラウド環境 | 設定ミスや不適切な構成を検知する |
| SSPM | SaaSアプリケーション | SaaSの設定・権限・利用状態を確認する |
| DLP | データの持ち出し | 重要情報の漏えい防止を行う |
SG試験では、次のように切り分けます。
- クラウド利用の見える化や制御なら CASB
- IaaSやPaaSの設定ミス検知なら CSPM
- SaaSの設定や権限管理なら SSPM
- 重要情報の持ち出し防止なら DLP
誤解3:CASBを導入すればクラウド利用の問題はすべて解決する
これも誤りです。
CASBは有効な仕組みですが、導入しただけで安全になるわけではありません。
たとえば、次のような運用が必要です。
- 何を許可し、何を禁止するかルールを決める
- 検知結果を確認する
- 危険な利用に対して対応する
- 利用者へ教育を行う
SG試験では、ツール導入 = 管理不要という考え方は誤りとして切れるようにしておくことが大切です。
まとめ(試験直前用)
CASBは、クラウド利用を可視化し、アクセスやデータの扱いを制御する仕組みです。
試験直前は、次の判断基準を押さえておきます。
- CASBは、Cloud Access Security Broker の略
- クラウド利用の可視化、アクセス制御、データ保護に使う
- シャドーITの発見や危険なクラウド利用の制御に役立つ
- CSPMは設定ミス検知、SSPMはSaaS設定管理、CASBは利用全体の可視化・制御で切り分ける
- 導入だけで終わりではなく、ルール設定や運用が必要
選択肢では、「クラウド利用状況を見える化し、利用を制御する」という内容ならCASBを考えます。
CASBは、クラウドを禁止するための仕組みではなく、クラウドを安全に使うために見える化と制御を行う仕組みです。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】