【2026年2月更新】CASBとは？クラウド時代のセキュリティ対策を基礎から導入まで徹底解説

CASB（Cloud Access Security Broker／読み方：キャスビー）は、社内システムとクラウドサービスの接点に配置し、アクセス状況の把握からデータ保護までを統合的に担うセキュリティ基盤です。

クラウド活用が当たり前になった今、従業員が勝手に外部サービスを使う「シャドーIT」だけでなく、ChatGPTをはじめとする生成AIに社内情報を入力してしまう「シャドーAI」が新たな脅威として浮上しています。

この記事では、CASBが生まれた経緯と基あ本的な考え方から、4つのコア機能、導入パターンの比較、製品の見極め方、そして社内展開のロードマップまでを順を追って説明します。

CASBを的確に活用するには、そもそもなぜこの仕組みが生まれたのか、どんな問題を解消できるのかを押さえておく必要があります。まずはGartnerによる定義と、CASBが担う基本的な役割から見ていきましょう。

CASBの定義とGartnerが提唱した背景

CASBという言葉は、2012年に米国の調査会社Gartnerが発表したレポートで初めて使われました。正式名称はCloud Access Security Broker（クラウド・アクセス・セキュリティ・ブローカー）で、日本では「キャスビー」と呼ばれています。

端的に言えば、CASBは社内ユーザーとクラウドサービスの間に立ち、「誰が」「いつ」「どのサービスで」「何をしているか」を見渡しながら、必要に応じてアクセスを制限する『門番』の役割を果たします。

かつての企業セキュリティは、オフィスと外部ネットワークの境目を守る「境界防御」が主軸でした。ところがSaaSの普及により、守るべきデータが社外のクラウド上に散在するようになり、従来の防御線だけでは対応しきれなくなったのです。CASBは、この『クラウド時代の死角』を埋める手段として登場しました。

CASBが必要とされる2つの背景

背景1：「シャドーIT」から「シャドーAI」へのリスク変遷

以前はDropboxなどのファイル共有サービスを社員が無断で使う「シャドーIT」が問題視されていました。現在はそれに加え、ChatGPTやDeepLといった生成AIに業務情報を入力してしまう「シャドーAI」が深刻なリスクとして浮上しています。実際、グローバル企業の開発部門において社員が生成AI（ChatGPT）に機密情報（ソースコード等）を入力し、外部サービスへ送信されてしまった事例が報じられています。

情報システム部門にとって、把握できていない利用実態があること自体が大きなストレス要因です。万一インシデントが起きたとき、「なぜ気づけなかったのか」と責任を問われるのはもちろん、原因究明の工数追加や復旧の遅れに繋がる恐れがあるからです。こうした『見えないリスク』への不安こそが、CASBを求める根本的な動機になっています。

背景2：クラウドシフトによる「境界防御」の限界

ファイアウォールやUTM（統合脅威管理）は、社内ネットワークの出入口を監視する設計です。しかしリモートワークが定着した今、社員は自宅やカフェから直接クラウドにアクセスします。オフィスを経由しない通信は、従来の境界防御では捕捉できません。

そこで注目されているのが、「場所」ではなく「IDとデータ」を軸に防御ラインを引き直すゼロトラストの考え方です。CASBは、ゼロトラストの考え方（IDとデータ中心の防御）をクラウド利用に適用するうえで重要な要素の一つです。

一般にCASBの機能は、4つの柱（可視化／コンプライアンス／データセキュリティ／脅威防御）として整理されます。それぞれの機能を把握すれば、自社が本当に必要とする要件を絞り込みやすくなります。

【機能1】可視化（Visibility）

社内で利用されているクラウドサービスを洗い出し、その利用傾向を『見える化』する機能です。「誰が」「いつ」「どのサービスを」「どの程度」使っているかを把握し、サービスごとのリスクレベルを自動で判定します。

たとえば、会社が正式に認めたサービス（Sanctioned）と、未承認のまま使われているサービス（Unsanctioned）を仕分けし、危険度をスコアで示すことができます。これにより、情報システム部門は「何が起こっているか分からない」という漠然とした不安から解放され、根拠あるアクションを取れるようになります。

【機能2】データセキュリティ（Data Security）

機密性の高いファイルを自動で検知・分類し、外部への持ち出しを防ぐDLP（Data Loss Prevention：情報漏洩防止）機能を担います。「個人番号」「カード番号」「Confidential」といったキーワードが含まれるファイルのアップロードを検知し、ブロックや暗号化を施すことで、うっかりミスによる情報流出を技術的に食い止めます。

とりわけ生成AIへの情報入力を防ぐうえで、この機能は欠かせません。社員がChatGPTなどに機密データを入力して送信しようとすると、送信内容をリアルタイムでスキャンし、警告を出して、送信をストップさせることが可能です。

【機能3】脅威防御（Threat Protection）

クラウドストレージに保存されたファイルのウイルスチェック、不正ログイン（ATO：Account Takeover）の兆候検知、そして通常とは異なる操作パターンを見抜くUEBA（User and Entity Behavior Analytics：ユーザー行動分析）など、外部からの攻撃や内部不正を早期に察知するための機能群です。

たとえば、普段は東京からアクセスしている社員のアカウントが突然海外からログインしたり、真夜中に大量のファイルをダウンロードしようとしたりすると、システムが異常と判断してアラートを上げます。

【機能4】コンプライアンス対応（Compliance）

GDPRや改正個人情報保護法などの法規制、あるいは社内ルールへの適合状況を継続的にモニタリングする機能です。操作ログを自動取得・保存し、規制要件を満たしているかどうかをダッシュボードで確認できるため、監査vb ch準備に費やす時間を大幅に短縮できます。

J-SOX対応やISMS認証の更新審査でも、「いつ・誰が・何をしたか」をすぐに示せる体制は大きな強みになります。

【資料ダウンロード】

＼ ゼロトラスト時代のクラウドセキュリティを体系的に理解したい方へ ／

SASE/CASB/SWGの役割と選び方を、セキュリティ専門家へのインタビュー形式でわかりやすく解説した資料を無料でダウンロードいただけます。

資料ダウンロードはこちら

CASB製品を比較検討するうえで、まず押さえておきたいのが「どの方式で導入するか」という点です。方式によって得意領域が異なるため、自社が抱える課題やネットワーク構成を踏まえて最適解を探る必要があります。

【方式1】API型

Microsoft 365 やGoogle Workspace、SalesforceなどのSaaSが提供するAPIを使い、クラウド側のログやファイルを直接参照する方式です。ネットワーク構成を変えずに導入できるため、初期ハードルが低いのが利点です。

ただしAPI経由の監視である以上、通信をその場で遮断するリアルタイム制御には向きません。すでに契約済みのSaaSを対象に、保存データの棚卸しや事後監査を行う用途に適しています。

【方式2】インライン型（プロキシ型）

端末にエージェントを配布し、すべてのクラウド向け通信を強制的にCASB経由にルーティングする方式です。フォワードプロキシとリバースプロキシの2タイプがあり、いずれもリアルタイムでのブロック・制御が可能になります。

DLP（Data Loss Prevention：情報漏洩防止）を厳格に運用したい場合、このインライン型は外せない選択肢です。生成AIへのデータ送信をその場で止められるため、シャドーAI対策にも効果を発揮します。一方、通信経路にCASBが挟まるため、レイテンシ増加やエージェント展開の手間といった課題もあります。

【方式3】ログ分析型

既存のファイアウォールやプロキシサーバーが出力するログをCASBに取り込み、利用状況を分析する方式です。新たな機器やエージェントを追加しなくてよいため、導入コストを抑えやすいのが特長です。

シャドーITがどの程度存在するかを把握する「アセスメント」フェーズで威力を発揮します。ただし過去ログの分析が主体となるため、リアルタイムの遮断はできません。可視化を優先したい場合に選ばれる方式です。

導入方式の比較表

下表に各方式の特性をまとめました。自社の優先課題と照らし合わせ、どの方式が最適かを検討してください。

実務上のベストプラクティスは、複数方式を組み合わせる「マルチモード」運用です。たとえばMicrosoft 365 はAPI連携で詳細ログを取得し、未知のSaaSや生成AIへのアクセスはプロキシ型で即時ブロックする、といった使い分けが効果的です。

クラウドセキュリティ周辺には似たような略語が乱立し、混乱を招きがちです。ここではCASBと関連性の高い用語を整理し、それぞれの守備範囲と相互関係を明らかにします。

CASBとSWG（Secure Web Gateway）の違い

SWGは、フィッシングサイトやマルウェア配布サイトなど「危険なWebサイト」へのアクセスをブロックする仕組みです。対してCASBは、Microsoft 365 やSalesforceのような「正規のクラウドサービス」を安全に使わせるための仕組みです。

言い換えれば、SWGが「悪いサイトに近づけない」ことを目的とするのに対し、CASBは「良いサービスを正しく使わせる」ことを目的としています。両者は補完関係にあり、どちらか一方では防御に隙間が生じます。CASBとSWGを併用することで、一般的なWeb閲覧からSaaS利用まで幅広くカバーできます。

近年は両機能を一体化した製品が増えており、導入検討時には統合ソリューションを選ぶことで管理負荷を減らしつつ、防御範囲を広げることができます。

CASBとSSE・SASEの関係

SSE（Security Service Edge）は、Web／クラウドサービス／プライベートアプリへのアクセスを、SWG・CASB・ZTNA・FWaaSなどの機能で保護するクラウド提供型の枠組みです。

さらにSASE（Secure Access Service Edge）は、SSEのセキュリティ機能に加えてSD-WAN等のネットワーク機能も統合し、ネットワークとセキュリティを“サービスとして”収束させる考え方です。

最近ではCASBを単独で導入するよりも、SSEプラットフォームの一機能として活用するケースが主流になりつつあります。クラウド環境を包括的に守るには、複数のセキュリティ機能を一元管理できる基盤が求められるためです。

CASBの導入を判断するにあたっては、期待できる効果だけでなく、注意すべきポイントもあらかじめ把握しておくことが大切です。

メリット：クラウド活用を加速させる3つの効果

1. シャドーITを「全面禁止」から「条件付き許可」へ転換できる

CASBを導入すると、情報システム部門は「何でもダメと言う役回り」から、「リスクを見極めて安全に許可するサポーター」へとポジションを変えられます。現場が使いたいサービスのリスクを定量評価し、適切なガードレールを敷いたうえで利用を認めることで、業務効率とセキュリティを両立できます。

2. クラウド利用の全貌をダッシュボードで把握できる

サービス利用状況が一画面に集約されるため、経営層や監査部門への報告資料づくりが格段に楽になります。「今どうなっているのか分からない」という心理的負担から解放され、事実に基づいた意思決定が可能になります。

3. セキュリティルールの一括適用と監査工数の削減

一度設定したポリシーを複数のSaaSに横断的に適用できるため、個別対応の手間が減ります。監査時に必要な証跡も自動で蓄積されるため、J-SOXやISMSの対応工数を圧縮できます。なお、本格導入の前にPoC（概念実証）を実施すれば、自社環境での効果を事前に検証できます。

デメリット・注意点：導入前の準備が成否を分ける

【セミナー動画（見逃し配信）】

＼ 「うちは大丈夫」を疑え｜AI・SaaS時代のセキュリティ対策、万全ですか？ ／

従業員2000人のＪＢＣＣグループが自社で実践したゼロトラストセキュリティ環境構築のリアルを、インタビュー形式の動画で公開中。「性善説の廃止」から「生成AIの可視化」まで、実践を通じて得た知見をご紹介します。

セミナー動画を視聴する（無料・見逃し配信）

失敗しない製品選定のために、確認すべきポイントと主要製品の特徴を解説します。

製品選定の5つの評価軸

• 対応クラウドサービスの範囲と深度：主要SaaS＋国産SaaSへの対応
• 導入方式の柔軟性：マルチモード対応可否
• 運用のしやすさとサポート体制：日本語サポート、導入支援
• 他セキュリティ製品との連携：SIEM・IDaaS・EDR連携
• コストと契約形態：ユーザー課金 vs トラフィック課金、TCO把握

製品選定時のポイント

CASB市場には多くの製品が存在し、それぞれに得意領域があります。最適な選択肢は、自社が何を重視するかによって変わります。

主な比較視点：

• 既存のクラウド環境（Microsoft 365、Google Workspaceなど）との親和性
• ゼロトラスト基盤やSASEとの統合のしやすさ
• アプリ評価データベースの充実度（対応SaaS・生成AIの数）

自社だけで製品を評価するのが難しい場合は、導入実績のあるSIerやマネージドサービス事業者に相談することで、自社環境に最適な製品を効率よく絞り込むことができます。

CASBを定着させるには、一気に全社展開するのではなく、段階を踏んで進めることが成功の近道です。以下の5フェーズに沿って計画を立てましょう。

【STEP1】現状把握と課題の明確化

最初に行うのは、社内で利用されているクラウドサービスの棚卸しです。ファイアウォールやプロキシのログを分析し、シャドーITがどの程度存在するかを把握します。

「解決したいのは何か」を言語化しておくことで、製品選定の軸がぶれにくくなります。想定以上に未許可サービスが使われていることが発覚するケースも珍しくありません。

【STEP2】セキュリティポリシーの策定

次に、クラウド利用に関するガイドラインを整備し、「許可するサービス／禁止するサービス」の判断基準を定めます。現場部門と対話しながら策定することで、押し付けではなく納得感のあるルールにできます。
ルールが厳しすぎると現場の反発を招き、かえってシャドーITを助長しかねません。業務効率とセキュリティのバランスを意識することが肝要です。

【STEP3】製品選定とPoC（概念実証）

要件をリストアップしたうえで複数製品を比較し、候補を絞り込みます。そのうえでPoC（Proof of Concept）を実施し、自社環境でシャドーITがどれだけ検出されるか、DLPの検知精度はどうかなどを検証します。

このフェーズで得られたデータは、導入可否を判断するだけでなく、次のステップで経営層を説得する材料にもなります。

【STEP4】社内稟議と予算確保

経営層への説明では、投資対効果（ROI）を数値で示すことがカギになります。「導入しなかった場合に起こりうるリスクシナリオ」を提示すると、投資の必要性が伝わりやすくなります。

情報漏洩が発生した場合の想定損害額（損害賠償、ブランド毀損、株価への影響など）とCASB導入コストを比較し、経営判断を後押しする資料を用意しましょう。

【STEP5】段階的展開と運用定着

いきなり全社展開するのではなく、まずはパイロット部門で運用を開始し、成功事例を作ってから範囲を広げていくのが定石です。

運用がスタートしたら終わりではありません。新しいSaaSの登場や業務フローの変化に応じて、ポリシーを定期的に見直し、改善サイクルを回し続けることでCASBの効果を最大化できます。

CASBは単なるセキュリティツールではなく、企業のDX推進を支える基盤です。シャドーITを「禁止」するのではなく「安全に活用」へ転換することで、情シス部門はクラウド活用の「ブレーキ」から「アクセル（ABS：安全装置付き）」への役割変革を実現できます。

まずは自社のクラウド利用状況を可視化することから始めましょう。多くのベンダーが無料のシャドーIT診断やPoCを提供しています。

ＪＢＣＣの「マネージドサービス for CASB/SWG Plus」は、生成AIのリスク可視化からDLP機能による機密情報のアップロード遮断まで、CASB/SWGの導入・運用をワンストップで支援するサービスです。

サービスの特長：

• 各種生成AIサービスのリスク詳細や社員の利用状況を可視化
• DLP機能で機密情報のキーワードを検出してアップロード遮断
• 月次レポート＋定期ミーティングでセキュリティリスクを分析・報告
• 高度なスキルを持つセキュリティエンジニアが運用を代行
• 構築から運用まで一貫してサポート

見逃し配信

【インタビュー】うちは大丈夫を疑え｜AI・SaaS・クラウド化の時代、セキュリティ対策万全ですか？～自社実践に学ぶ、ゼロトラストセキュリティ環境構築のリアル～

視聴する

クラウドセキュリティにおける検討すべきポイントとは？～AIをセキュアに活用するための有効なSWG/CASB対策について～

視聴する

資料ダウンロード

ゼロトラスト時代のクラウドセキュリティ：SASE/CASB/SWGによる包括的アプローチ

資料をダウンロードする

製品・サービス

マネージドサービス for CASB/SWG Plus

各種生成AIサービスのリスク詳細や社員の利用状況を可視化し、DLP機能で機密情報のキーワードを検出してアップロード遮断を行うことで、安全な利用を促進します。

詳細を見る