>
>
公開日
企業の業務効率化において、SaaSなどのクラウドサービス導入は不可欠なものとなっています。一方で、情シス部門が把握していないクラウド利用(シャドーIT)や、ChatGPTなどの生成AIサービスを従業員が自己判断で業務利用する『シャドーAI』による情報漏洩リスクが深刻化しています。
このような背景から、クラウド利用の安全性を担保するソリューションとして「CASB(キャスビー)」の重要性が急速に高まっています。しかし、CASBの導入を検討する企業にとって、具体的な費用感や製品ごとの比較、導入・運用の進め方が見えにくいことも事実です。
そこで本記事では、セキュリティと情シスの専門的な視点から、CASBの機能やSWGなどの他製品との違いを整理した上で、最新の費用相場や日本国内企業の導入事例、さらには導入時に陥りがちな失敗パターンとそれを避けるためのロードマップまでを徹底解説します。
CASBとは?クラウドセキュリティの基本と4大要件
この記事でわかること
CASBは、クラウド利用を「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」の4つの要件で一元管理するセキュリティの要です。
初期費用は約30万〜50万円、月額料金は1ユーザーあたり約1,000円〜5,000円が相場であり、不要なSaaSライセンスの解約などで早期にROI(費用対効果)を達成可能です。
2025–2026年現在は、従来の「シャドーIT」対策からChatGPTをはじめとする「シャドーAI」対策へのシフトや、法改正・ガイドラインへの対応が急務となっています。
全SaaSの即時制御は禁物。まず可視化からスモールスタートするのが基本です。
CASB(Cloud Access Security Broker:クラウド・アクセス・セキュリティ・ブローカー)は、企業などの従業員がクラウドサービスを利用する際、そのセキュリティとガバナンスを一括管理するソリューションの総称です。特に、会社の管理が及ばない場所やデバイスからのクラウド利用、すなわちシャドーITによる情報漏洩リスクが深刻化しており、CASBはその有力な対策として活用されています。
CASBは以下の4つの要件で構成されています。
1. 可視化
デバイスとクラウドサービス間の通信を監視し、どのユーザーがどのSaaSを利用しているかを特定します。未承認のクラウドサービスの検出や、アップロード・ダウンロードなどの挙動を詳細に把握できます。
2. コンプライアンス
企業のセキュリティポリシーや業界標準、規制基準(GDPRやISMAPなど)に、従業員のクラウド利用が適合しているかを監査します。
3. データセキュリティ
データの種類(機密情報、個人情報など)に応じてきめ細かなアクセス制限や暗号化、データ損失防止(DLP)を適用します。複数のクラウドにまたがるデータを一元管理できる点が強みです。
4. 脅威防御
クラウドサービス内での不審な振る舞いや、不正アクセス、マルウェアの侵入・拡散をリアルタイムで検知・ブロックし、クラウドセキュリティを包括的に保護します。
CASBの変遷(第一世代〜第三世代)
CASBは技術の進歩とともに以下のように進化してきました。
第一世代:シャドーITの可視化を目的とし、ファイアウォールやプロキシのログを事後分析する手法が中心でした。
第二世代:API連携を活用し、特定の許可されたクラウドサービス(Sanctioned IT)内部の利用状況把握や、保存されたデータのスキャンが可能になりました。
第三世代(次世代CASB):インライン(プロキシ)方式とAPI方式を組み合わせ、暗号化通信をリアルタイムで解析・制御し、機密情報の漏洩をその場でブロックできます。
CASBと類似セキュリティ技術(SWG・SSPM・CSPM)の違い
CASBはクラウドサービスとの通信とデータ制御に特化しているのに対し、SWGはWebサイトへのアクセス、SSPM/CSPMはクラウド側のセキュリティ設定ミスを防止する役割を担います。
「CASB」「SWG」「SSPM」「CSPM」などの用語は混同されがちです。こうした背景から、CASBを含む複数の技術が登場しています。以下の表でそれぞれの違いを整理します。
技術名 | 主な対象領域 | 制御の視点 | 主な役割・機能 |
|---|---|---|---|
CASB | クラウドサービス(SaaS/IaaS)へのアクセス | 通信経路(通過点)の監視と制御 | シャドーIT・シャドーAIの可視化、データ保護(DLP)、脅威検知 |
SWG | Webトラフィック全体、インターネット通信 | Webサイトアクセスの安全性確保 | URLフィルタリング、アンチウイルス、悪意あるWebサイトのブロック |
SSPM | 許可された特定のSaaS(Microsoft 365, Salesforce等) | SaaS側の設定不備や設定ミスの是正 | 外部共有設定の監査、過剰な権限付与の検知、コンプライアンス監査 |
CSPM | IaaS/PaaS環境(AWS, Azure, GCP等) | インフラの安全な設定管理 | 設定ミスの継続的監視、セキュリティ標準への適合確認 |
CASBだけでは防げないもの:SSPMとの組み合わせ
よくある誤解として、「CASBを導入すればSaaSの設定ミス(情報漏洩)もすべて防げる」というものがあります。しかし、CASBは主にユーザーがクラウドへアクセスする「通信経路(通過点)」を監視・制御するツールです。Google ドライブで「リンクを知っている全員に公開」にしてしまった共有設定ミスや、Salesforceの権限過剰付与といった「SaaS内部の設定不備」は、CASBだけでは検知・低減できません。CASBとSSPMは防御レイヤーが異なります。両方を組み合わせることで、通信面とSaaS設定面の双方をカバーできます。
▲ CASBと類似セキュリティ技術(SWG・SSPM)の位置関係とカバー領域
▲ 自社のセキュリティ課題から選ぶ最適な対策・製品選定フロー
CASBの費用相場とライセンスモデル
費用構成はユーザー数・提供形態によって大きく変わります。以下で内訳を整理します。
CASB導入にかかる費用や価格構成は、提供形態(単体型か、統合プラットフォーム型か)や利用ユーザー数によって大きく変動します。ここでは、日本国内における一般的な費用相場とライセンスモデルを解説します。
CASB導入におけるコストの目安
初期導入費用(目安):約30万〜50万円。製品の初期キッティング、ポリシー設計支援、既存インフラ(IDプロバイダーやAD)との連携構築にかかる支援費用です。なお、具体的な費用はベンダーや構成により異なるため、複数社への見積もり取得を推奨します。
月額利用料(目安):1ユーザーあたり約1,000円〜5,000円。クラウドサービスの可視化や基本的なアクセス制御を行う「クラウド型CASB」の場合、ユーザー課金型(ID単位)が一般的です。100名規模の中小企業であれば「年額約120万〜600万円(採用する単価帯による)」、大企業であれば「数百万〜数千万円」規模の予算が必要になります。なお、この相場はクラウド型CASBの市場動向をもとにした目安であり、実際の契約内容により変動します。
SASE/SSEパッケージの費用:1ユーザーあたり年間1.5万〜2.5万円程度。CASB単体ではなく、SWGやZTNAといった機能を含む「SASE(Secure Access Service Edge)」の一部(SSE)として導入する企業が近年増えています。この場合、1ユーザーあたりの月額換算は約1,200〜2,000円程度となり、単一機能を集約することでトータルコストを抑えられる場合があります。費用感はベンダーにより差があるため、必ず個別見積もりで確認することを推奨します。
費用対効果(ROI)とコスト削減効果
CASBは守りだけでなく、コスト削減の効果も報告されています。
重複ライセンス・野良SaaSの解約:社内のクラウド利用を可視化することで、各部署で独自に契約されていた「未使用の重複アカウント」や「不要なSaaS」を発見・解約できます。これにより、ライセンス費用を年間数十万〜数百万円削減できます。
IT運用コスト(TCO)の削減:セキュリティ機器をSASEプラットフォームなどに統合することで、複数ベンダーの保守費用を一本化でき、TCO(総所有コスト)を25%〜50%削減できたとする報告もありますが、自社規模・構成での検証が必要です(出典:Netskope・Cisco・Zscalerなど各ベンダーの公表事例。具体的な数値は導入環境により異なります)。
セキュリティ運用の効率化:AIによる異常行動検知などの活用により、管理者のセキュリティ関連業務や問い合わせ対応の工数が大幅に削減され、導入後18ヶ月前後で初期投資を回収したとする事例報告もありますが、自社での効果は別途試算が必要です(出典:Netskope・Cisco・Zscalerなど各ベンダーの公表事例。具体的な回収期間は導入環境により異なります)。
2025-2026年最新トレンド:シャドーAI対策と法改正
2025年以降のCASB運用においては、未承認の生成AI利用を防ぐ「シャドーAI対策」と、改正サイバーセキュリティ基本法などの新たな規制対応が最優先課題です。
企業のクラウド活用が深化する2025–2026年現在、CASBを巡る環境には大きな変化が生じています。以下では最新の脅威とコンプライアンス動向を整理します。
①「シャドーIT」から「シャドーAI」対策へのシフト
従来のCASBは「未承認のSaaS(Dropbox等)」の可視化が中心でしたが、現在はChatGPTやClaudeなどの生成AIに企業の機密データを入力してしまう「シャドーAI」のリスク対策が最重要課題です。最新のCASB(NetskopeやCisco Secure Accessなど)では、生成AIのプロンプトに入力されたデータをリアルタイムに解析し、マイナンバーや機密情報の送信を自動的にブロックする「AIガバナンス機能」が標準搭載されています。
② 2025–2026年の主要な法改正・ガイドライン対応
日本国内では、CASBの導入を強く裏付ける法改正やガイドラインの改定が相次いでいます。
改正サイバーセキュリティ基本法(2025年7月施行済み):情報システムの供給者に対して、利用者のセキュリティ確保に必要な支援(セキュア・バイ・デザインなど)を行う努力義務が規定されました。これに伴い、経産省が「サイバーインフラ事業者ガイドライン(2026年3月策定済み)」を公表。企業が安全にクラウドサービスを利用するためのインフラ整備として、通信の可視化と制御を担うCASBが再注目されています。
自治体向けセキュリティガイドライン改定(2026年3月改定済み):2024年に成立し2026年4月に施行された「改正地方自治法」により、情報セキュリティ基本方針の策定が法的義務化されました。これを受け、総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」においても、ガバメントクラウド利用を背景とした安全なクラウドアクセスの確保について要件化が進んでおり、CASB/SSEの導入が強く推奨される方向となっています。
ISMAP管理基準の改定(2025年12月に改定案提示済み。2026年6月時点での正式改定・施行状況はISMAP公式サイトにて最新情報を確認のこと):政府調達基準のアップデートに伴い、クラウド調達時の安全なデータ保護(暗号化や細かなアクセス制御)への要求基準がさらに強化される方向で議論が進んでいます。
国内企業におけるCASB導入・成功事例
国内の成長企業では、CASB(Netskopeなど)の導入により、ハイブリッドワークに伴う機密データの持ち出し防止とインフラコストの最適化を同時に実現しています。
CASBが実際にどのような成果をもたらすのか、公開情報をもとに構成した国内企業の導入事例を紹介します。
事例①:株式会社ココナラ(スキルプラットフォーム)
業種・規模:インターネットサービス、数百名規模
課題:クラウドサービスを主軸にした急激な事業拡大に伴い、従来の境界型防御では「クラウド経由の顧客情報・営業情報の不正持ち出しリスク」や「VPN接続の負荷」を解消できないことが喫緊の課題でした。
施策:SASE/CASBソリューションである「Netskope」を導入し、アクセス管理とトラフィックの可視化を強化。
成果:社内全体のクラウド利用状況を完全に可視化し、未承認SaaS(シャドーIT)からの情報漏洩や、内部からの不正なデータ持ち出しを未然にブロックする体制を構築しました。同時にVPN負荷も解消し、安全かつ快適なハイブリッドワーク環境を整備しています。
(参考:Netskope 導入事例ページ等の公開情報をもとに構成)
事例②:株式会社ぐるなび(飲食店情報サービス)
業種・規模:飲食店情報サービス、約1,000名規模
課題:ハイブリッドワークへの本格的な移行に伴い、社外からのアクセスが急増。セキュアなインフラへと刷新すると同時に、導入・運用にかかる「インフラコストの最適化(費用削減)」を両立させる必要がありました。
施策:クラウド型SASE(Netskope)を導入し、セキュリティ機能の統合を進めました。
成果:従来のオンプレミス型の高額なセキュリティ機器を大幅に削減しつつ、ゼロトラストに基づくクラウドアクセスセキュリティを確保。セキュリティ水準の引き上げと、インフラ全体の費用削減を両立させました。
(参考:Netskope 導入事例ページ等の公開情報をもとに構成)
失敗から学ぶ!CASBの選定ポイントと導入ロードマップ
CASBの導入は「可視化(シャドーIT調査)」から「特定SaaSへのポリシー適用」へと段階的に進めることが、運用破綻を避ける唯一の道です。
CASBは高度なセキュリティを実現できる一方、導入の進め方を誤ると運用が破綻するケースが少なくありません。ここでは、よくある失敗パターンと、それを防ぐためのロードマップを紹介します。
よくある失敗パターン
失敗①:最初から全SaaSを厳しく監視・制御しようとする
すべてのSaaSに対して最初から厳しいセキュリティポリシーを強制すると、誤検知による大量のアラートが発生する「アラート地獄」に陥ります。従業員から「業務が進まない」という苦情が殺到し、対応する情シス部門がパンクした結果、最終的にルールを緩和して形骸化するケースが後を絶ちません。失敗②:自社での運用工数・調整コストを見落とす
クラウドサービス(SaaS)は頻繁に仕様変更やアップデートが行われます。それに伴うCASBのポリシーメンテナンス工数を見落とし、導入後に「設定変更の追いつかない野良ポリシー」が放置されることになります。
失敗を防ぐための段階的導入ロードマップ(フェーズ表)
以下のロードマップを参考に、段階的に展開することをお勧めします。
フェーズ | 実施期間(目安) | 主な実施内容 | 目的・ゴール |
|---|---|---|---|
Phase 1: 可視化と現状把握 | 1〜2ヶ月目 | ・通信ログをCASBに流し、利用されているSaaSを洗い出す | 自社で使われている「シャドーIT」の全貌を明らかにする |
Phase 2: 評価とポリシー設計 | 3〜4ヶ月目 | ・検出されたSaaSのリスクを評価(ホワイト/ブラックリスト作成) | 業務影響を最小限に抑えつつ、ポリシーのひな形を作る |
Phase 3: 段階的な制御・DLP適用 | 5ヶ月目以降 | ・特定SaaSへの機密データアップロード制限を開始 | 実運用の負荷を調整しながら、機密情報の漏洩を防ぐ |
IT部門の人的リソースが限られている企業(目安:従業員300名未満の中小・中堅企業など)では、ポリシーのチューニングやアラートの監視を自社で行うのが困難な場合があります。リソースが限られる企業は、ポリシーチューニングやアラート監視を委託できる運用監視サービス(MSS)の費用も初期予算に含めて試算しておくことをお勧めします。
▲ 運用の形骸化を防ぐためのCASB段階的導入ロードマップ
よくある質問
CASBの選定や導入にあたって、情シス部門から寄せられる実務的な疑問とその回答を整理します。
Q:CASBの費用はどのように決まりますか?
A:基本的には「利用ユーザー数(アカウント数)」に応じた月額サブスクリプション料金で決まります。これに加え、ポリシー設計や初期構築にかかる初期費用が必要となるほか、自社で運用が難しい場合は外部の運用監視サービス(MSS)の委託費用が加算されます。
Q:SSPMとCASBは両方必要ですか?
A:はい、両方導入することが推奨されます。CASBは「通信経路」を監視してシャドーITやデータ持ち出しを防ぐのに対し、SSPMは「SaaS側の設定ミス(共有設定やアクセス権の不備)」を検知・是正するため、防御するアプローチが異なります。
Q:CASBはMicrosoft 365(O365)などの特定のSaaSのみを対象にできますか?
A:可能です。API連携方式を採用すれば、Microsoft 365やBoxといった主要なSaaSに限定して、データの動きや共有状態を監視することができます。これにより、全体の通信プロキシを通すことなく、スモールスタートで導入できます。
Q:CASBは法人用のWindows端末でも導入・運用できますか?
A:導入可能です。端末に専用のエージェントソフトをインストールする方式や、社内プロキシと連携する方式を用いることで、法人用Windows端末からのすべてのクラウド通信をCASB経由で安全に制御できます。
まとめ
クラウドサービスの普及とともに、シャドーITや「シャドーAI」対策としてのCASBの存在感は増す一方です。しかし、高機能だからと焦って全面導入しようとすれば、高額な運用コストやアラート地獄に直面しかねません。まずは自社の従業員が「どのようなクラウドを、どの程度利用しているのか」という現状可視化から始めることが、運用を成功に導く出発点です。
自社のSaaS利用状況やシャドーITの把握を手軽に始めたい場合は、クラウド管理を効率化するクラウド管理(マネーフォワード Adminaなど)をぜひご検討ください。
✅ 自社の利用SaaSをリストアップした
✅ シャドーIT・シャドーAIの有無を把握した
✅ 導入ロードマップのPhase 1(可視化)を社内で実施した
✅ 主要ベンダーのトライアルを申し込んだ
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
