CASB

CASB
読み: キャスビー

読み: キャスビー

CASBとはクラウド利用を安全に管理

CASB(Cloud Access Security Broker)は、企業とクラウドサービスの間に位置し、利用状況の可視化、アクセス制御、データ保護、脅威防御を一元的に担うセキュリティソリューション。従業員が会社の知らないところで使い始めたクラウドサービスを検知し、情報漏洩を未然に防ぐ。

かんたんに言うと

会社の正門に立つ警備員のような存在である。社員がどのクラウドサービスにデータを持ち出そうとしているかを監視し、ルール違反があれば止める。

クラウド利用の死角を塞ぐCASBの基本概念

情報システム部門が正式に導入したクラウドサービスだけを使っている組織は、まずない。営業がファイル共有にBoxを使い、マーケティングがCanvaで資料を作り、開発チームが個人のGitHubにコードを上げている。こうしたシャドーITを放置すると、機密データがどこに散らばっているのか誰にも分からなくなる。
CASBはクラウドとの通信を仲介する形で配置され、誰が、いつ、どのサービスに、どんなデータをアップロードしたかを記録する。許可されていないサービスへのアクセスをブロックしたり、機密ファイルのアップロードだけを止めたりする制御も可能になる。

4つの柱で構成されるCASBの機能

Gartnerが定義したCASBのフレームワークは4つの機能で成り立つ。
まず「可視化」。従業員が利用しているクラウドサービスの全量を洗い出す。次に「コンプライアンス」。業界規制や社内ポリシーへの準拠状況をチェックする。そして「データセキュリティ」。暗号化やDLP(情報漏洩防止)によって機密データを保護する。最後に「脅威防御」。不正アクセスやマルウェアの検知と遮断を行う。
実際の製品では、この4機能がきれいに分かれているわけではない。Netskope、Zscaler、Microsoft Defender for Cloud Appsといった主要製品は、それぞれ得意分野に濃淡がある。

<a href="/ai-glossary/zero-trust/">ゼロトラスト</a>のなかでCASBが果たす役割

ゼロトラストは「社内ネットワークだから安全」という前提を捨てるセキュリティモデルである。CASBはこのモデルのなかで、クラウドサービスへのアクセスを制御する要としての位置付けにある。
VPNで社内ネットワークに接続してからクラウドにアクセスするという従来の構成では、リモートワーク環境で回線が詰まる。CASBを経由させれば、社員がどこにいても同じセキュリティポリシーを適用できる。
とはいえ、CASBだけでゼロトラストが完成するわけではない。エンドポイント管理、ID管理、ネットワークセグメンテーションと組み合わせて初めて機能する。

<a href="/ai-glossary/shadow-ai/">シャドーAI</a>時代のCASBに求められる進化

ChatGPTが業務に浸透した結果、新たな問題が浮上している。従業員が社外のAIサービスに社内データを貼り付けて質問するケースが急増した。従来のCASBはファイルのアップロード先を監視していたが、テキストフォームへの貼り付けやAPI経由のデータ送信まで追跡するのは容易ではない。
主要ベンダーはこの課題に対応し始めている。NetskopeはChatGPTやBardへのデータ送信をリアルタイムで検査する機能を追加した。Microsoft Defender for Cloud AppsもAIサービスの利用状況を可視化するダッシュボードを強化している。
シャドーITの次に来る「シャドーAI」にどう対応するか。情報セキュリティ担当者にとって喫緊の課題になっている。

導入時に確認すべき3つの実務ポイント

CASBの導入を検討するなら、まず自社のクラウド利用実態を把握する必要がある。利用中のSaaSが50サービス以下なら、CASBの導入コストに見合わない場合もある。
次にデプロイ方式の選択。APIモードはクラウドサービスのAPIと連携して事後的にログを取得する。プロキシモードはリアルタイムで通信を仲介し、その場で制御する。前者は導入が楽だがリアルタイム制御ができない。後者は制御力が高いが通信遅延が発生する。
最後に、既存のセキュリティスタックとの重複確認。Microsoft 365を使っているなら、Defender for Cloud Appsがライセンスに含まれている場合がある。別途CASBを買う前に、手元のライセンスを確認するところから始めてほしい。

当社の見解

当社はAIの安全運用のために3層防御を設計・実装している。万が一インシデントが発生しても数分以内に復旧できるバックアップ体制を持つ。実際にAIが暴走してテスト環境を停止させた経験があり、その教訓から「失敗を防ぐ」だけでなく「失敗しても戻せる」設計が本質だと確信している。加えて、AIは事実でないことを断定する。この前提で事実/推測の強制分離とファクトチェックを実装した。安全性は仕組みで担保するものだ。

関連用語

ゼロトラストシャドーITシャドーAIクラウドデータガバナンスアクセス制御CTDLDLPエンドポイントGPTSaaSセグメンテーションVPN

同じ失敗を二度としないAIエージェント

今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。

当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。

古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。

相談する