では、CASBはどのように利用できるのでしょうか。具体的なユースケースを通じて見ていきます。

　まずシャドーITの把握と制御です。CASBを利用すれば、いつ、誰が、どのクラウドにアクセスしたのかを可視化できるほか、リスクが大きいと判断したクラウドサービス（個人向けのオンラインストレージサービスなど）の利用を禁止するといったことが可能になります。

シャドーITの把握と制御

　さらに、企業で契約しているSaaSを従業員個人のアカウントや他社の企業アカウントで利用することを制限することもできます。たとえば企業でBoxを利用している場合、そこにアクセスしているアカウントが企業アカウントなのか、それとも個人アカウントなのかを判別するのは困難です。しかしCASBを利用すれば、アカウントのドメイン名で利用可否を制御することが可能であり、自社ドメインのみを許可し、それ以外のアカウントでのアクセスを禁止するといった設定が行えます。

個人アカウント、社外アカウントの利用制御

　単にSaaSの利用を許可／拒否できるだけでなく、許可したサービスであっても利用内容を細かくコントロールできることは、CASBの利点の1つです。先に述べたユースケースのように使用できるアカウント種別を制御するほか、機密性の高いデータのアップロードやダウンロードを制限したり、外部との情報共有など特定の機能の利用を禁止したりといったユースケースも考えられます。情報漏えいにつながりやすいSNSへの書き込みをコントロールすることもできます。

特定機能の利用制御の例

　続いてのユースケースは、万が一のインシデントでも影響を最小化するための備えとして、SaaS利用の証跡を記録したりデータを暗号化するシナリオです。これにより、従業員による内部犯行、あるいは流出したアカウントを使った外部犯行によって情報が流出した際、どのような操作が行われたのかを迅速かつ正確に把握できるようになります。SaaSに保存するデータの暗号化機能を利用すれば、SaaSに直接サイバー攻撃が行われたといった場合の情報漏えいを防ぐ効果が期待できます。

万が一のインシデントでも、影響を最小化するための備え

　コンプライアンスのためのユースケースとして注目したいのは、EUで施行されたGDPRや国内の改正個人情報保護法への対応として有効な点です。前述したように、データに対するアクセスの証跡が記録できるほか、ポリシーに違反した危険な操作を迅速に検知してアラートを上げ、内部犯行などを未然に防ぐといった使い方もできます。また、GDPR対応のポリシー定義テンプレートを持っているCASBも登場しています。

改正個人情報保護法への対応