top of page

CASBとは?SaaS乱立時代に必要な可視化と制御の考え方

  • 執筆者の写真: 祥貴 藤村
    祥貴 藤村
  • 2025年12月10日
  • 読了時間: 9分

更新日:2025年12月16日


はじめに:SaaS乱立時代の現在

近年、企業ではクラウドサービス(SaaS)の利用が急速に広がっています。総務省の「令和6年通信利用動向調査」によると、クラウドサービスを利用している企業は約8割に達しており、クラウドの活用はもはや特別な取り組みではなく、ほとんどの企業にとって“当たり前の働き方”となりつつあります。Microsoft 365やGoogle Workspace、Salesforce、Slack、Zoomなど、さまざまなSaaSが日常業務の中で欠かせない存在となり、コミュニケーションや資料共有、営業活動など多くの業務がより効率的に進められるようになりました。


一方で、クラウドの不適切な活用による情報漏洩や不正アクセスなどセキュリティリスクも高まっています。さらにリモートワークの普及によりこの傾向は加速し、皆さんの会社においても多くのクラウドサービスを利用していることでしょう。その一方で、社内で乱立するSaaSの存在が従来のIT管理を難しくし、新たな課題も生んでいます。


総務省「令和6年通信利用動向調査の結果」https://www.soumu.go.jp/johotsusintokei/statistics/data/250530_1.pdf
総務省「令和6年通信利用動向調査の結果」https://www.soumu.go.jp/johotsusintokei/statistics/data/250530_1.pdf




SaaS乱立のリスク


まず問題となるのがシャドーITの増加です。シャドーITとは、情報システム部門の承認を得ずに従業員が独自にクラウドサービス等を業務利用してしまうことで、昨今深刻な問題になっています。無秩序なクラウド利用は機密データの漏洩、コンプライアンス違反、セキュリティインシデント発生のリスクを大幅に増大させます。


シャドーITを放置すると様々な問題が発生します。例えば、従業員が個人的に利用していたクラウドサービスのアカウントが退職後も残り続け、機密データにアクセスできてしまう恐れがあります。また、社員が会社のメールアドレスで個人アカウントを作成してSaaSを利用すると、会社として利用状況を把握できず統制不能となります。さらに、同じサービスに部署ごとで二重に課金してしまうサブスクリプションの重複や、社内のセキュリティポリシーが適用されない管理外の環境が生まれるケースもあります。「使われていることに気づけない」ことこそが最大の脅威です。どのクラウドサービスがどれだけ使われているか把握できない状況自体が大きなリスクを生みます。


加えて、従来型のネットワーク境界によるセキュリティ対策にも限界があります。企業データがクラウド上(社外)に置かれるようになった現在、社内ネットワークの境界であるファイアウォールやプロキシだけでは十分に保護しきれません。従来の枠組みを超えて、クラウド上のアプリケーション単位で詳細な可視化と制御を行う新たな対策が必要になってきています。


SaaS乱立のリスク解消の鍵

業務効率化のためのSaaS利用自体を禁止することは現実的ではありません。むしろ「SaaS利用は止められない、だからこそ見える化と統制が重要」と考えています。まずはクラウドサービスの利用状況を把握し、適切に制御することがリスク解消の鍵となります。


その具体的な手段として注目されているのがCASB(キャスビー)です。CASBは「Cloud Access Security Broker」の略称で、企業や組織におけるクラウドサービス利用を可視化し制御することでセキュリティ対策を強化するソリューションです。簡単に言えば、企業とクラウドサービスの間に立って安全な利用を仲介する「ブローカー(代理人)」の役割を果たす仕組みです。


CASBを導入すると、社内ネットワークと複数のSaaSとの間に単一のコントロールポイントを設置し、全てのクラウド利用状況を一元的に「見える化」できます。そして統一されたセキュリティポリシーに沿ってアクセス制御やデータ保護を適用し、無秩序な利用を是正することが可能になります。つまりCASBは、シャドーITのように把握できていなかったクラウド利用を表に出し、企業のルールに沿って使わせることでリスクを低減する鍵となるのです。


リスクを解消できるCASBの基本機能


機能①:可視化

従業員が社内で利用しているすべてのSaaSを検出し、「見える化」する機能です。誰が、いつ、どのサービスを利用したかまで把握できるため、未承認のサービス(シャドーIT)の洗い出しや利用状況のリスク評価にも役立ちます。


■ 可視化の主な制御方法


  • ログ解析によるシャドーITの自動検出 

    通信ログを解析し、承認されていないSaaSを検出します。 情報システム部門が把握しきれていないSaaS利用を可視化することが可能になります。


  • リスクスコアによるアプリ評価 

    利用が確認されたSaaSに対して、CASBが持つデータベースを元に「安全性」「コンプライアンス適合性」「データ保護能力」などを採点しリスクを分類します。 セキュリティ対策が不十分なクラウドサービスや、コンプライアンス要件を満たさないアプリケーションは自動的に検知し、利用をブロックします。


  • ユーザー/デバイスごとの利用状況の可視化

    「誰が、いつ、どこから、どのアプリを使ったか」を一覧化します。普段アクセスしない時間帯のアクセスなど個別の挙動から異常検知につながります。


これにより、「どのようなSaaSがだれに使われているのか」「ユーザやデバイスの不正利用はないか」を把握でき、制御の前提となる“全体像”を手に入れられます。


SaaSの全体像を把握することは、セキュリティ強化だけが目的ではありません。ユーザーごとの利用状況を可視化することで、利用頻度が低いSaaSユーザーを特定し、不要なライセンスの整理や適切なアプリケーション配置を行うことも可能になります。



機能②:コンプライアンス

組織のセキュリティポリシーに基づき、クラウドサービス利用を統一されたルールで運用する機能です。管理者が定めたポリシーに反する使い方が行われていないか自動でチェックし、ポリシー違反の制限が可能です。これにより企業としての法令や業界規制の遵守(コンプライアンス)を徹底できます。


コンプライアンスの主な制御方法


  • 利用可能なアプリのホワイトリスト/ブラックリスト化 危険なアプリの利用をブロック、承認済みアプリのみ利用可能にする制御が可能です。各々の企業のポリシーに沿ったSaaSの利用を実現可能です。


  • 操作内容に対するポリシー適用特定の操作に対する制御も可能です。例えば、

    • ファイルのメール添付を禁止

    • 一定以上の容量のアップロードを禁止 など

  ユーザー操作に応じたアクセス制御が可能です。


従来のファイアウォールでは、ポート番号や通信先といった限られた条件でしかアクセスを制御できませんでした。そのため、SaaSごとの細かな操作内容を把握したり、「誰が」「どのような状況で」利用しているかといった文脈に基づく制御が困難でした。結果として、リスクのあるSaaSについては 「使わせない」という極端な選択肢しか取り得ない 状況が生まれていました。


一方、CASBはSaaSの操作内容やユーザー属性(部署、役職、アクセス元デバイスなど)に応じて、きめ細かな制御を適用できます。



機能③:データセキュリティ

クラウド上の重要データを暗号化やマスキングによって保護し、アクセス権限の設定によって機密情報の持ち出しを禁止する機能です。もし許可されていないユーザーによる重要データへのアクセスや持ち出しが検知された場合、直ちにアラートで管理者に通知し、自動的にブロックして情報漏えいを防止します。


■ データセキュリティの主な制御方法


  • DLP(Data Loss Prevention)によるデータ内容の検査 

    文書の内容を自動的に解析し、機密情報(個人情報、機密文書、クレジット情報など)が含まれている場合に操作を制限します。


  • データの暗号化/トークナイズ 

    機密データをクラウドへアップロードする際、自動で暗号化して保存します。SaaSのデータ漏洩による被害を最小限にします。


  • ダウンロード・コピー・共有の制限 

    データの漏洩につながるような操作を制限することが可能です。

    • 社外デバイスからのダウンロード禁止

    • 外部ドメインへのファイル共有をブロック

    • コピー&ペーストを遮断


クレジットカード番号やマイナンバーなどの個人情報に加え、経営情報や営業秘密といった重要データなど、企業が扱う情報は年々増え続けており、それに伴い守るべきリスクも広がっています。こうした情報を守ることは、どんな企業にとっても避けては通れない重要な課題です。CASBは「データを直接守る」仕組みを提供し、機密情報の外部流出を防ぐことで、企業の情報保護を強力にサポートします。


機能④:脅威防御

マルウェア感染や不正アクセスなど、クラウド経由で発生しうるサイバー脅威からシステムを守る機能です。例えば、マルウェアに感染する恐れのある危険なSaaSへのアクセスをブロックしたり、通常とは異なるユーザーの挙動(大量のデータダウンロードなど)を検知して制限したりできます。


■ 脅威防御の主な制御方法


  • 振る舞い(ユーザー行動)分析による異常検知 

    通常と異なる操作(大量ダウンロード、深夜のアクセスなど)を検知することで内部犯行・アカウント乗っ取りの早期発見に効果があります。


  • マルウェアスキャン/悪性ファイルの検出 

    SaaSにアップロードされたファイルを自動スキャンし、マルウェアの感染を防ぎます。


  • ユーザアカウントへの不正アクセス検出

    SaaSでは、「利用者のアカウントへのアクセス」の許可を求めてくることがあります。悪意のあるアプリに許可を与えてしまうと、勝手にデータを読み取られる危険があります。こうした不正なアプリのアクセス要求を見つけて止めることで、クラウド特有の被害を防ぎます。


  • 不審なログインのブロック(地理的異常・IP異常など) 

    普段アクセスしない場所からのログイを検知し、アクセスを遮断します。


  • ゼロデイ脆弱性の悪用を検知 

    SaaSの脆弱性を悪用した攻撃を、振る舞いベースで検出します。


クラウドサービスの利用が増えるにつれ、アカウントの乗っ取りや不審なアプリによるデータ取得、マルウェアのアップロードなど、クラウド特有のサイバー攻撃も年々増加しています。従来の社内ネットワーク中心の対策だけでは、クラウド上で起きる脅威を十分に防ぐことが難しくなっているのが現状です。

CASBは、クラウド環境で発生するこれらの脅威を早期に察知し、被害を未然に防ぐための仕組みを提供します。



まとめ

SaaSの利用が急速に進む一方で、管理されていないアプリの利用(シャドーIT)、複雑化するアカウント管理、情報漏えいや不正アクセスなど、企業が直面するクラウド特有のリスクは年々増えています。特に中小企業の情報システム担当者からは、「使われているSaaSの全体像を把握できない」「設定やセキュリティがバラバラで管理しきれない」といった声が多く聞かれます。


CASBを活用すれば、SaaSの利用状況をクラウド上で一元的に“見える化”でき、操作内容やユーザー属性に応じた細かな制御が可能になります。

『使わせないのではなく、安心して使えるクラウド環境を整える。』

それが、CASBが提案する“次世代のクラウド利用管理”の姿です。


SaaS乱立やクラウド利用の不安にお悩みでしたら、経験に基づいた知見をもとに、お客様の環境に合わせた最適なクラウドセキュリティのあり方をご一緒に検討いたします。

どうぞお気軽にお問い合わせください。



bottom of page