企業のクラウド利用において昨今導入が進んでいるのが、アプリケーションそのものをサービスとして提供する「SaaS」の導入です。Office 365、あるいはG SuiteといったSaaSを全社的に導入する企業が増えているほか、クラウド上にファイルを保存できる「Box」に代表されるオンラインストレージサービスの利用も広まっています。これらのSaaSは使い勝手のよさが特徴と言えますが、IaaSやPaaSとはセキュリティの考え方が異なっている点に注意が必要です。

　仮想サーバを提供するIaaS、あるいはソフトウェアの実行環境を提供するPaaSでは、ユーザー企業の責任範囲の中でセキュリティ対策を行うことが可能となっています。具体的には、ファイアウォールなどによる境界防御やウイルス対策ソフトの導入などです。このため、自社で定めた要件に応じてセキュリティ対策を実施することができます。

　一方SaaSでは、セキュリティはサービス提供側の責任範囲内にあるため、IaaSやPaaSのようにユーザー企業側で対策を講じることはできません。つまり、原則SaaSサービス提供者任せとなってしまうのです。もちろんサービス提供者の責任において、データの暗号化をはじめとするセキュリティ対策が講じられていることが大半でしょう。しかしSaaSでの情報漏えい事件が発生しているのも事実であり、完全に信頼できるわけではありません。

　そこで注目され始めているのがクラウドサービス（特にSaaS）へのアクセスに際して、情報漏えい防止などの仕組みを提供してくれる、「CASB（Cloud Access Security Broker：キャスビー）」と呼ばれるソリューションです。

クラウドサービスの責任共有モデル

　一般的に、CASBは「可視化」「脅威防御」「コンプライアンス」「データセキュリティ」の4つの仕組みを備えているものと定義されています。具体的に提供されている代表的な機能としては、社内からクラウドサービスへのアクセス状況を把握（可視化）、不正アクセスやデータ流出／破壊の阻止（脅威防御）、機密データの流出の防止（コンプライアンス）、データの暗号化（データセキュリティ）などが挙げられます。

CASBの概要

　これらの機能を利用することにより、社内の従業員や部門が勝手にSaaSを利用するシャドーITの検出と制御、SaaSを起点とした情報漏えいや持ち出しの防止、EU一般データ保護規則（GDPR：General Data Protection Regulation）や改正個人情報保護法への対応などが実現します。こうして安全に利用できるようになれば、業務効率の向上、あるいは働き方改革の実現のためにSaaSをより積極的に活用することが可能になるでしょう。

　CASBには、ログ解析型、API型、プロキシー型、エージェント型の4つの方式があるとされています。提供機能や提供方式の詳細はベンダーにより異なりますので、ニーズや利用環境により、最適な方法を検討することが必要です。

　CASBに近いセキュリティ対策としては「Secure Web Gateway（以下、SWG）」も知られていますが、両者は目的が大きく異なります。SWGが対象とする脅威は、外部からの侵入やマルウェアなどから社内システムと社内データを守ることですが、CASBはうっかり不正なSaaSを使ってしまったことで起きる情報漏えい事故や、社内の不正による情報流出を防ぐことを得意としています。すでにSWGを導入していたとしても、それだけではSaaS固有のリスクには対応できないことについては、認識しておくべきでしょう。

Secure Web Gatewayとの違い

　では、CASBはどのように利用できるのでしょうか。具体的なユースケースを通じて見ていきます。

　まずシャドーITの把握と制御です。CASBを利用すれば、いつ、誰が、どのクラウドにアクセスしたのかを可視化できるほか、リスクが大きいと判断したクラウドサービス（個人向けのオンラインストレージサービスなど）の利用を禁止するといったことが可能になります。

シャドーITの把握と制御

　さらに、企業で契約しているSaaSを従業員個人のアカウントや他社の企業アカウントで利用することを制限することもできます。たとえば企業でBoxを利用している場合、そこにアクセスしているアカウントが企業アカウントなのか、それとも個人アカウントなのかを判別するのは困難です。しかしCASBを利用すれば、アカウントのドメイン名で利用可否を制御することが可能であり、自社ドメインのみを許可し、それ以外のアカウントでのアクセスを禁止するといった設定が行えます。

個人アカウント、社外アカウントの利用制御

　単にSaaSの利用を許可／拒否できるだけでなく、許可したサービスであっても利用内容を細かくコントロールできることは、CASBの利点の1つです。先に述べたユースケースのように使用できるアカウント種別を制御するほか、機密性の高いデータのアップロードやダウンロードを制限したり、外部との情報共有など特定の機能の利用を禁止したりといったユースケースも考えられます。情報漏えいにつながりやすいSNSへの書き込みをコントロールすることもできます。

特定機能の利用制御の例

　続いてのユースケースは、万が一のインシデントでも影響を最小化するための備えとして、SaaS利用の証跡を記録したりデータを暗号化するシナリオです。これにより、従業員による内部犯行、あるいは流出したアカウントを使った外部犯行によって情報が流出した際、どのような操作が行われたのかを迅速かつ正確に把握できるようになります。SaaSに保存するデータの暗号化機能を利用すれば、SaaSに直接サイバー攻撃が行われたといった場合の情報漏えいを防ぐ効果が期待できます。

万が一のインシデントでも、影響を最小化するための備え

　コンプライアンスのためのユースケースとして注目したいのは、EUで施行されたGDPRや国内の改正個人情報保護法への対応として有効な点です。前述したように、データに対するアクセスの証跡が記録できるほか、ポリシーに違反した危険な操作を迅速に検知してアラートを上げ、内部犯行などを未然に防ぐといった使い方もできます。また、GDPR対応のポリシー定義テンプレートを持っているCASBも登場しています。

改正個人情報保護法への対応