クラウドSaaSが業務の中心になり、社員が日常的に数十のクラウドサービスを使う時代になりました。ところが「どのSaaSに、誰が、どんなデータをアップロードしているか」を情シスが正確に把握できているケースは多くありません。

このギャップを埋める仕組みがCASB（Cloud Access Security Broker）です。SaaS利用の可視化、データ保護、コンプライアンス対応、脅威検知を一元的に提供し、ゼロトラストやSASEの中核を担います。

本記事ではCASBの仕組みを4つの柱から噛み砕き、CASBとSWG／DLP／SASEの関係、導入方式の違い、製品選定の観点、SaaS管理プラットフォームとの組み合わせまでを情シスが設計に使える形で整理します。

CASB導入や見直しを検討する情報システム部門・セキュリティ責任者を主な読者として想定しています。

CASBとは

CASB（Cloud Access Security Broker、キャスビー）は、企業のユーザーとクラウドサービス（SaaS）の間に入り、SaaS利用の可視化と統制を行うセキュリティ製品です。Gartnerが2012年に提唱した概念で、現代のクラウド前提セキュリティの中核を担います。

CASBが解決する課題

「シャドーITの全体像が見えない」「機密データがどのSaaSに上がっているかわからない」「ファイル共有設定が誰でもアクセスできる状態になっている」といった、SaaS利用に伴う典型的な課題を一元的に解決します。

CASBの位置づけ

CASBは単独製品としてだけでなく、SSE（Security Service Edge）／SASEの構成要素としても提供されます。Microsoft Defender for Cloud Apps、Netskope、Zscalerなど、各社のクラウドセキュリティ基盤に組み込まれている形が現代の主流です。

参考：CASBとは - Microsoft Learn

CASBの4つの柱

GartnerはCASBの機能を「Visibility（可視性）」「Compliance（コンプライアンス）」「Data Security（データ保護）」「Threat Protection（脅威防御）」の4つの柱で整理しています。

Visibility（可視性）

社内で利用されているSaaSをネットワーク通信ログから自動検知し、シャドーITを含む全体像を可視化します。SaaSごとのリスク評価（Cloud App Catalog）と組み合わせて、許可・制限・ブロックを判断できます。

Compliance（コンプライアンス）

GDPR、HIPAA、PCI DSS、ISMS、改正個人情報保護法といった規制要件への適合状況をSaaS利用の文脈で監査します。たとえば「機密情報を海外SaaSへアップロードしていないか」を継続的にチェックできます。

Data Security（データ保護）

DLP（Data Loss Prevention）機能と組み合わせ、機密データの自動分類・ラベリング・外部共有の検知・暗号化を実施します。クレジットカード番号、マイナンバー、設計図面などの流出を未然に防げます。

Threat Protection（脅威防御）

不正アクセス、マルウェアアップロード、アカウント乗っ取り、異常な大量ダウンロードといった脅威をUEBA（行動分析）で検知します。製品によっては検知後の自動隔離・通知まで対応可能です。

参考：CASBの4つの柱 - Gartner

CASBの導入方式

CASBには大きく3つの導入方式があり、SaaSやネットワーク環境に応じて使い分けます。

API方式

SaaS各社が提供するAPIを使い、データを直接取得して監視する方式。社外からのアクセスや個人デバイスにも対応でき、近年の主流です。Microsoft 365、Google Workspace、Salesforce、Boxなど主要SaaSがAPI連携に対応します。

プロキシ方式（フォワード／リバース）

ユーザーとSaaSの通信経路に入り込み、リアルタイムで通信を監視・制御する方式。フォワードプロキシは管理デバイスからの通信、リバースプロキシは未管理デバイスからの通信を扱います。

ハイブリッド方式

API方式とプロキシ方式を組み合わせる構成。リアルタイム制御と過去データ監査の両方をカバーでき、エンタープライズ導入の標準形になっています。

ジョーシスのプラットフォームを使えば、CASBが見つけたシャドーITをSaaS管理ライフサイクルへ取り込めます。資料ダウンロードは5分でわかるJosysからどうぞ。

CASB導入のメリット

CASBはセキュリティ・コンプライアンス・運用効率の3軸で投資対効果が高いカテゴリです。

シャドーITの可視化と統制

社内ネットワーク通信から数千のSaaS利用を自動検知でき、情シスが認知していないSaaSもリスト化されます。許可・条件付き許可・ブロックを段階的に運用できます。

機密データ漏洩リスクの低減

DLP連携により、機密ファイルの外部共有や個人デバイスへのダウンロードを検知・ブロックできます。退職者による情報持ち出しの予防にも有効です。

コンプライアンス対応の効率化

GDPR・HIPAA・PCI DSS・改正個人情報保護法といった規制要件に対して、SaaS利用ログの記録と設定監視の面で準拠を支援します（各制度への適合そのものを保証するものではありません）。監査時の資料作成工数削減にも貢献します。

CASB導入の注意点

メリットの大きさに反して、設計を誤ると過剰検知やプライバシー懸念が問題になります。情シスが事前に押さえるべきポイントを3つ紹介します。

プライバシー保護とのバランス

通信内容を監視する以上、ユーザーのプライバシーへの配慮が必須です。何を、誰が、どこまで見られるかのポリシーを社内で合意し、就業規則・プライバシーポリシーへの反映が必要になります。

過剰アラート対策

最初の運用は検知ルールが粗く、過剰アラートで運用が回らなくなる典型的な失敗パターンがあります。最初は重要SaaSと高リスクシナリオに絞り、段階的に範囲を広げる進め方が安全です。

既存ネットワーク・SSE基盤との重複

すでにSWGやFWaaSを導入している場合、CASBと機能が重複することがあります。SSE／SASEプラットフォームへの統合を視野に入れて選定すると、ライセンスコストとUI複雑性を抑えられます。

CASB代表製品の比較

国内外で利用される主要CASB／SSE製品を、情シスの選定観点で整理しました。機能・位置づけは2026年5月時点の公開情報に基づきます。

Microsoft Defender for Cloud Apps

Microsoft 365契約企業の候補になりやすい製品です。Microsoft 365／Azure／Entra IDとの連携が深く、Cloud App Catalogで33,000以上のSaaSを評価できます。詳細はMicrosoft Defender for Cloud Apps 公式で確認できます。

Netskope

データセントリックなセキュリティ設計に強みを持つ製品です。36,000以上のクラウドサービス評価とリアルタイムDLP機能で採用実績があります。詳細はNetskope 公式で確認できます。

Zscaler

SSE／SASE市場のリーダーで、CASB機能はZscaler Internet Accessの一部として提供されます。クラウドネイティブなアーキテクチャと大規模スケール性能が特徴です。詳細はZscaler 公式で確認できます。

Palo Alto Prisma SASE

Palo Alto Networksの統合SASEプラットフォームで、CASB機能を含みます。エンタープライズの大規模ゼロトラスト導入に強みがあります。詳細はPrisma SASE 公式で確認できます。

Cisco Umbrella

クラウド型セキュリティ基盤で、CASB機能を含みます。中堅・大企業の幅広い顧客層で採用されており、シンプルな導入が可能です。詳細はCisco Umbrella 公式で確認できます。

Skyhigh Security（旧McAfee MVISION）

CASB市場のパイオニアで、データ中心セキュリティの設計が特徴。リアルタイムDLP機能の評価が高く、エンタープライズ導入実績が豊富です。詳細はSkyhigh Security 公式で確認できます。

参考：CASB市場の評価 - Gartner Magic Quadrant

CASB導入の進め方

「現状把握 → 優先SaaSの選定 → 製品選定 → パイロット → 全社展開」の5ステップで進めます。最初から全SaaSをカバーしようとせず、リスクの高い領域から段階導入します。

ステップ1：現状把握とリスク評価

ネットワークログまたは課金データから利用中SaaSを棚卸しし、機密データ取り扱いの有無、ユーザー数、業務影響度でリスク評価します。優先度の高い領域を特定するのが目的です。

ステップ2：優先SaaSとシナリオの選定

Microsoft 365、Google Workspace、Salesforce、Box、Slackなど機密データの集まる主要SaaSを最優先対象に設定します。検知シナリオも「外部共有」「大量ダウンロード」「不正ログイン」など3〜5個に絞ります。

ステップ3：製品選定とPoC

Microsoft 365利用企業ならDefender for Cloud Apps、ゼロトラスト統合重視ならNetskope／Zscaler／Prisma SASEといった軸で2〜3社をPoCします。検知精度・管理画面の操作性・コスト総額を比較します。

ステップ4：パイロット導入

情シス部門と1部署で先行導入し、検知・アラート・ユーザー影響を検証します。ポリシーチューニングを繰り返したうえで全社展開に進みます。

ステップ5：全社展開と継続改善

部署単位で段階的に展開し、四半期ごとに検知ルールと棚卸しを実施します。SaaS管理プラットフォームと連携し、検知したシャドーITを契約・運用ライフサイクルに取り込む運用が現実解です。

CASB用語集

CASB関連で頻出する用語を簡潔にまとめました。検討資料の作成や社内説明にもそのまま使えます。

SSE（Security Service Edge）

クラウド型セキュリティサービスの統合カテゴリ。CASB・SWG・ZTNA・FWaaSをまとめて提供する設計で、Gartnerが2021年に提唱しました。

SWG（Secure Web Gateway）

ユーザーのWeb通信をプロキシ経由で監視・フィルタリングする仕組み。マルウェア対策・URL制限・SSL復号などを担います。

DLP（Data Loss Prevention）

機密データの漏洩を検知・防止する仕組み。CASBの中核機能の1つで、クレジットカード番号やマイナンバーなどのデータパターンを検知します。

UEBA（User and Entity Behavior Analytics）

ユーザーや端末の行動を機械学習で分析し、異常を検知する仕組み。CASBの脅威防御で標準的に使われます。

Cloud App Catalog

SaaS製品のセキュリティ・コンプライアンス・規制適合度を評価したデータベース。CASBが新規SaaSの可否判断に使います。

シャドーIT

情シスが認知していない、部署や個人が独自に契約・利用しているIT。CASBで自動検知が可能です。

CASBだけでは解決しないSaaS管理の課題

CASBはSaaS利用の可視化と制御を担いますが、ライセンス管理・契約更新・人事連動のアカウントライフサイクル全体までは守備範囲外です。SaaS数が30を超える組織では、CASBとSaaS管理プラットフォーム（SMP）の組み合わせが現実解になります。

ライセンス利用率と契約管理

CASBはアクセス可否は判定しますが、有償ライセンスの利用率や過剰契約・更新タイミング・解約最適化までは追跡しません。年間SaaSコスト最適化には別の仕組みが必要です。

シャドーITの契約取り込みプロセス

CASBが見つけたシャドーITを「許可SaaS」として正規化するプロセス（契約締結・購買・管理対象登録）はCASB単体ではカバーできません。SMPとの連携で初めて完結します。

人事連動の自動アカウント管理

入退社・異動時のSaaSアカウント発行・削除をHRシステム起点で自動化するライフサイクル管理は、CASBの守備範囲外です。SCIM連携やSMPでの自動化が必要になります。

SaaS管理プラットフォームが補う領域

ジョーシスのプラットフォームは350以上のSaaS連携と、認証管理・アカウント発行削除・ライセンス最適化などの管理機能を備え、CASBがカバーしないSaaSライフサイクル全体を統合管理できる設計です。国内外700社以上の導入実績があり、IT工数を最大50%、ITコストを最大75%削減した事例も報告されています。

無料デモはJosys デモ予約から日程を選べます。

CASBについてよくある質問

検討フェーズで担当者から多く寄せられる質問を整理しました。

CASBはSWGやDLPと何が違いますか

CASBはSaaS／クラウド利用の制御に特化、SWGはWeb通信全般のフィルタリング、DLPはデータ漏洩防止に特化したカテゴリです。近年はSSE／SASEで統合提供されるのが主流です。

CASB単体で導入する意味はありますか

中堅企業ではMicrosoft Defender for Cloud Appsのような統合製品から始めるのが現実的です。SSE／SASEを既に検討中なら、CASBはその構成要素として選定する流れが多くなっています。

API方式とプロキシ方式はどちらを選ぶべきですか

社外アクセスや個人デバイスをカバーしたいならAPI方式、リアルタイム制御を重視するならプロキシ方式が適します。ハイブリッド方式が両方のメリットを享受できる現実的な選択です。

中小企業でもCASBは必要ですか

機密データを扱う組織であれば規模に関係なく検討価値があります。Microsoft 365 E5に付属するDefender for Cloud Appsなど、追加コストを抑えて始められる選択肢があります。

まとめ

CASBはSaaS利用の可視化・コンプライアンス・データ保護・脅威防御の4つの柱で構成され、ゼロトラスト／SASE設計の中核を担うカテゴリです。API方式とプロキシ方式を組み合わせ、機密SaaSと高リスクシナリオから優先導入するのが現実解です。

ただしCASB単体ではSaaSのライセンス管理やアカウントライフサイクル全体までは届かないため、SaaS管理プラットフォームとの組み合わせ運用が現実解になります。自社のSaaS環境を統合的に整備したい場合は、5分でわかるJosysから検討を始めるのが近道です。