All
SaaS管理
デバイス管理
セキュリティ対策
脅威・インシデント対策
IT基盤・インフラ
情シス業務・組織形成
AI / テクノロジー
プロダクト
イベントレポート
その他
ガバナンス

新着記事

もっと見る

>

>

CASBとは?導入のメリット・選定のポイントや企業事例を解説

CASBとは?導入のメリット・選定のポイントや企業事例を解説

CASBとは?導入のメリット・選定のポイントや企業事例を解説

CASBとは?導入のメリット・選定のポイントや企業事例を解説

公開日

CASBとは、企業のクラウド利用を安全に管理するセキュリティソリューションです。2025〜2026年現在、ChatGPT等の普及による『シャドーAI(未承認の生成AI利用)』対策が最重要課題となっており、CASB導入を検討する企業が急増しています。本記事では、CASBの定義や最新の導入メリット、選定ポイントを、国内企業の具体的な導入事例や失敗パターンを交えてわかりやすく解説します。

クラウドサービスと利用者の間に立ち、シャドーITや生成AIの利用状況を監視・制御するCASBの仕組みと、その導入メリットや選定ポイントを解説するインフォグラフィック。

CASBとは

CASBは、企業がクラウドサービスを安全に利用するための一元的なセキュリティ機能を提供するソリューションです。

この記事でわかること

  • CASBは、クラウド利用の可視化、データ保護、脅威検出、コンプライアンスの4つの主要機能を提供します。

  • 2025〜2026年現在は、未承認の生成AI利用である「シャドーAI」対策が不可欠なトレンドとなっています。

  • 導入方式(デプロイ方式)にはAPI連携型やインライン・プロキシ型などがあり、自社の環境に合わせた選択が必要です。

  • 自社の運用リソースが不足している場合は、外部SOC等へ監視を委託する「MSS」の活用も有力な選択肢です。

シャドーITからシャドーAI対策へ進化した背景

従来のCASBは、DropboxやGoogleドライブなどの「シャドーIT(未承認SaaS)」の可視化・制御が主な役割でした。しかし2025〜2026年現在は、ChatGPTをはじめとする生成AIに機密情報や個人情報を入力してしまう「シャドーAI」への対策が喫緊の課題となっています。最新のCASB(NetskopeやCisco Secure Accessなど)は、生成AIのプロンプトをリアルタイムにスキャンし、不適切なデータ送信をブロックする「AIガバナンス」機能を標準搭載しています。

市場規模の最新動向

デジタル化に伴い、企業がクラウドに依存する姿勢は加速しています。最新の市場調査(The Business Research Company調べ)では、世界のCASB市場は2025年の155億3,000万ドルから、2026年には186億3,000万ドルへと急拡大(CAGR 19.9%)すると予測されています。日本国内でも、独立系調査会社ITRの発表(2022年時点の調査)によると、国内の「CASB運用監視サービス(MSS)」市場規模は2026年度に23億円に達する見込みです(※最新動向については各社の最新レポートを参照ください)。セキュリティ人材不足を背景に、外部監視委託を選ぶ動きが活発化しています。

CASBの4つの基本機能

CASBはガートナー社が提唱した「4つの柱」に基づいて機能します。

  1. 可視性(Visibility):社内で利用されているすべてのSaaSやクラウドサービスをトラッキングし、リスクを自動評価します。

  2. データセキュリティ(Data Security):暗号化やデータ損失防止(DLP)技術を用いて、機密情報の漏洩を防ぎます。

  3. 脅威防御(Threat Protection):ユーザー行動分析(UBA)を用いて、アカウント乗っ取りなどの異常な振る舞いを検知します。

  4. コンプライアンス(Compliance):GDPRやHIPAA、国内の改正個人情報保護法などの規制要件への準拠状況を監査します。

CASBの『3つのデプロイ(導入)方式』と選び方

CASBのデプロイ方式には「API連携型」「インライン・プロキシ型」「ログ解析型」の3種類があり、自社の監視要件とデバイス管理レベルに応じて使い分ける必要があります。

各方式にはそれぞれ一長一短があるため、以下の比較表を参考に最適なデプロイ方式を選定しましょう。

導入方式

監視の仕組み

メリット

デメリット

API連携型

各SaaSのAPIを利用して直接連携する

デバイスへのエージェント導入が不要で導入が容易。過去のデータもスキャン可能。

リアルタイムの通信ブロックは難しく、事後の検知や隔離がメインとなる。

インライン・プロキシ型

ユーザーとインターネットの経路上に割り込む(フォワード/リバース)

未承認サービスへのデータアップロードをその場で止めるリアルタイム制御(DLP)が強力。

社内PC(Windows/Mac等)に端末エージェントを入れる必要があり、ネットワーク遅延のリスクがある。

ログ解析型

ファイアウォールやSWGの通信ログをCASBにアップロードして分析する

最も手軽に始められ、既存のネットワーク構成への影響が一切ない。

シャドーITの「可視化」はできるが、リアルタイムのアクセス拒否(制御)はできない。

会社用デバイス(Windows/Mac)への影響と遅延リスク

特に「インライン・プロキシ型(フォワードプロキシ方式)」を採用する場合、企業用のWindowsやMac端末に専用のエージェントソフトを導入する必要があります。これにより「どのアプリからどのクラウドへデータが送られたか」を正確に制御できますが、端末のスペックやネットワーク帯域によっては、プロキシ経由による通信遅延リスクが発生します。選定時には、混在するOS環境での動作実績や、遅延対策が施されたクラウドプロキシネットワークの品質を必ず検証してください。

自社のセキュリティ要件と端末環境から選ぶ「最適なCASBデプロイ方式」判定フロー

▲ 自社のセキュリティ要件と端末環境から選ぶ「最適なCASBデプロイ方式」判定フロー

CASB導入のメリット

CASBの導入は、無許可のクラウド利用による情報漏洩リスクを最小化し、社内セキュリティガバナンスを一元化された運用で大幅に強化します。

クラウドセキュリティアライアンス(CSA)の最新調査(CSA SaaS Security Survey)によると、組織の80%が「SaaSセキュリティ」を中程度から高い優先度と位置付けている(またはSSPMの導入を検討している)ものの、55%が「過去2年間にSaaS関連のインシデントを経験」しており、さらに58%は「自社のセキュリティツールでは保有するSaaSの半分しかカバーできていない」と回答しています。このようなインシデント実態に対する強力な解決策となるのがCASBです。

【組織規模別】導入による期待効果

組織の規模に応じて、CASB導入のメリットや運用のアプローチは以下のように異なります。

  • 従業員50名未満(小規模):専任のセキュリティ担当者がいない場合でも、CASBを一元管理ツールとして活用することで、少ない工数で社内全体のクラウド利用状況を可視化し、リスク管理を始められます。

  • 従業員50〜300名(中堅・成長企業):社内ルールが十分に整備されていない急成長期に発生しがちな「シャドーIT」や「シャドーAI」を早期発見し、ガバナンスを素早く確立できます。

  • 従業員300名超(大企業・グローバル):部署ごとに異なる独自のSaaS利用を網羅的に監査し、国内外の各種法規制(改正個人情報保護法やNIS2指令など)への準拠を証明するための監査ログを効率的に一元管理できます。

CASB選定のポイント

最適なCASBを選定するためには、既存システムとの統合性だけでなく、自社での運用リソースの有無や対応デバイスの種類を事前に見極めることが大切です。

自社運用の可否と外部MSSの検討

CASBは膨大なクラウドアクセスログを処理するため、毎日多くのアラートが発生します。少数の情シス担当者で運用する場合、アラートの確認が追いつかずにシステムが形骸化する失敗が後を絶ちません。そのため、AIが重要度を自動判定する「AI自動分析機能」の有無を確認することや、初期分析から対応までをアウトソーシングできる「CASB運用監視サービス(MSS)」を提供するベンダーとの連携を、選定段階から視野に入れておくことが大切です。

マルチデバイス(Windows/Mac)動作環境の保証

社内で利用されているデバイスがWindowsのみか、あるいはMacとの混在環境かによって、CASBエージェントの挙動やポリシー適用の可否が異なる場合があります。会社支給のスマートフォン(iOS/Android)も含め、すべての社内端末に確実にセキュリティポリシーを適用できる製品スペックかどうかも、必ず確認すべき項目です。

CASB導入における3つの失敗パターンと対策

CASB導入時の最大の落とし穴は、可視化した後の運用ルール設計やポリシー適用のバランス、およびアラート対応の人的リソース不足を想定していない点にあります。

失敗パターン①:「導入してシャドーITが可視化されただけ」で終わる(ルール未定問題)

【実態】CASBを導入したことで「社内で1,000個以上の未承認SaaSが使われていた」ことが判明したものの、それらをどう評価してどのサービスをブロックすべきかの社内ポリシーが決まっておらず、アラートを放置してしまうケースです。
【対策】導入フェーズを分け、初期は「可視化(現状把握)」に専念し、その結果をもとに「代替となる安全な推奨SaaS(許可サービス)」を情シスから現場に提示するなどの段階的ロードマップ(可視化 → ポリシー策定 → 制御)を事前に設計します。

失敗パターン②:ガチガチに制限しすぎて「イタチごっこ」になる

【実態】検知した未承認SaaSを一律ですべてアクセス禁止にした結果、現場の業務効率が著しく低下。社員が私物スマホでのテザリングを利用するなど、さらに見えない形でシャドーITが悪化してしまいます。
【対策】一律の「禁止」ではなく「制御(ガードレール思想)」を意識します。「未承認のSaaSであっても閲覧は許可するが、ファイルのアップロード(データ転送)のみ拒否する」といった、文脈(コンテキスト)に合わせた柔軟なポリシーを定義しましょう。

失敗パターン③:運用リソース不足によりアラートが形骸化する

【実態】CASBから通知される膨大なログに対して情シスやセキュリティ担当者のリソースが足りず、重要な脅威通知を見逃してしまい、ただのコストの持ち出しになってしまいます。
【対策】自動でのログ選別・分析が可能なAI搭載のCASB製品を選ぶか、国内のセキュリティベンダーが提供するCASB監視のアウトソーシングサービス(MSS)の並行導入を計画段階から検討します。

シャドーIT対策を成功に導く「CASB導入・運用の3ステップ」

▲ シャドーIT対策を成功に導く「CASB導入・運用の3ステップ」

CASBとSASEの違い

SASE(Secure Access Service Edge)はネットワークとセキュリティを統合する包括的な枠組みであり、CASBはその一部を構成するセキュリティコンポーネントのひとつです。

SASEの基本的な考え方

SASEはガートナー社が提唱した、ネットワーク機能(SD-WANなど)と複数のクラウドセキュリティ機能(SWG、ZTNA、そしてCASBなど)をクラウド上で統合提供する包括的なアーキテクチャ(枠組み)です。境界型防御の限界に対応し、リモート環境からの通信全体を包括的に安全にする目的を持っています。

主要な違いに関する比較

CASBとSASEの最大の違いは、その「保護対象の範囲」にあります。CASBは「特定のクラウドサービス(SaaS/IaaS)とユーザーのやり取り」の保護に特化しているのに対し、SASEは拠点やモバイル、リモートワーカーなど「あらゆる場所からの通信トラフィック全体」を最適化し防御します。CASBはSASEという大きな枠組みを支える、重要な1要素として位置付けられています。

包括的なセキュリティ枠組みである「SASE」における「CASB」の位置づけ

▲ 包括的なセキュリティ枠組みである「SASE」における「CASB」の位置づけ

CASBとCIEM・SSPMの違い

CASBはユーザーのクラウド上での行動やデータ保護を監視するのに対し、CIEMはID権限管理、SSPMはSaaS自体の設定ミスを監視・是正する役割を担います。これらを組み合わせた多層防御の採用が推奨されます。

CIEM(Cloud Infrastructure Entitlement Management)の役割

CIEMは主としてIaaS環境(AWS、Azure、Google Cloudなど)における「アイデンティティとアクセス権限(Entitlement)」の過剰な付与や設定ミスを常時監査し、最小権限の原則を維持するためのソリューションです。

SSPM(SaaS Security Posture Management)との対比

近年、CASBの比較対象として最も頻繁に挙げられるのがSSPMです。両者の防御の役割は以下のように明確に分かれています。

  • CASB(行動・データの監視):クラウドにアクセスする「ユーザーの動き」を監視します(例:シャドーITやシャドーAIの検知、機密ファイルの無許可外部共有ブロック)。

  • SSPM(設定の監視):導入済み「SaaS自体の設定ミス」を監視します(例:Microsoft 365の外部公開設定、多要素認証(MFA)がオフになっているアカウントの検知)。

これらCASB、CIEM、SSPMを適切に組み合わせることで、包括的なクラウドセキュリティ環境(多層防御)を構築できます。

日本国内企業の導入事例4選

日本企業の多くは、CASB導入によってセキュリティポリシーを維持したままリモートワークや最新クラウドサービスの利活用を両立させ、ビジネススピードを向上させています。

実在する国内企業の具体的な導入背景と、それに対する施策・成果を以下の表にまとめました。

企業名(業種・規模)

導入製品

抱えていた課題

導入による施策・効果

パーソルキャリア株式会社(人材・大手)

Netskope

個人情報を扱うためBYOD等を制限していたが、エンジニアの開発効率向上のために最新のSaaS等を活用したかった。

開発に必要なニッチなSaaSを含む通信を可視化・制御。安全を担保しながら開発効率とビジネススピードを大幅に向上。

株式会社ココナラ(IT・中堅)

Netskope

境界防御(ファイアウォールなど)の限界を感じ、クラウド利用における内部からの不正な情報持ち出し(内部脅威)対策が急務だった。

CASBにより利用状況を詳細に可視化。不正なデータ持ち出しを未然に防ぎ、境界防御の限界をカバーする内部脅威対策を実現。

エクシオグループ株式会社(建設・大手)

Skyhigh SSE

テレワークでのスマートデバイス活用時に、SSL-VPNのボトルネック解消とクラウド利用状況の可視化が課題だった。

クラウドプロキシとCASBを併用。従業員の利便性を損なうことなく安全なガバナンスのもとでクラウドを活用。

株式会社NTTデータ(IT・大企業)

Netskope Active Platform

オンプレミスからBox等のクラウドへの移行を進めるにあたり、自社の高度なセキュリティポリシーを適用させるのが困難だった。

クラウド上のデータ(コンテンツ)の流れをリアルタイムに可視化・制御。社員のセキュリティ意識の向上にも繋がった。

よくある質問(FAQ)

CASB導入にあたってよく寄せられる疑問にお答えします。

Q:CASBを導入すれば、シャドーITはすべて解決しますか?

A:CASBの導入だけでシャドーITが完全に解決するわけではありません。可視化された利用実態に基づき、現場が必要とする代替SaaSの提供や、利用ポリシーの策定といった組織的アプローチを並行して進めることが成功の条件です。

Q:CASBとSSPMはどちらを先に導入すべきですか?

A:自社の主要なセキュリティ課題に応じて優先度が異なります。従業員の未承認SaaS・生成AI利用による情報漏洩(シャドーIT/AI)を防ぎたい場合は「CASB」を、Microsoft 365やSalesforceなどの既に会社として正式契約しているSaaSの設定ミス・外部公開リスクを塞ぎたい場合は「SSPM」を優先して導入すべきです。

Q:会社用PCがWindowsとMacの混在環境ですが、CASBは機能しますか?

A:主要なCASB製品はWindowsとMacの双方に対応しています。ただし、通信経路上で制御を行う「インライン・プロキシ型」を導入する場合、OSの違いによって動作や通信パフォーマンスに影響が生じる可能性があるため、検証段階で実機テストを丁寧に行うことを推奨します。

まとめ

【監修・執筆者情報】本記事は、SaaSセキュリティおよびクラウドガバナンス領域を専門とするMoneyForward Adminaセキュリティ編集部が執筆・監修しています。

クラウドや生成AIの普及が進む現代において、従来の境界防御型セキュリティだけで自社のデータを守ることは困難です。CASBは、シャドーITや最新のシャドーAIから企業資産を守るための有力な対策手段となります。

明日から取り組める最初の一歩として、まずは自社内で「どのような未承認SaaSや生成AIが、誰によって、どれくらいの頻度で使用されているか」のログ収集、あるいはアンケートによる利用実態の棚卸しをスタートしてみましょう。実態を正しく把握することが、それがCASB導入成功への出発点です。

  • ✅ 社内の未承認SaaS・生成AI利用状況を把握しているか

  • ✅ 自社の運用リソースに合ったデプロイ方式を検討したか

  • ✅ MSSによるアウトソーシングの要否を確認したか

  • ✅ Windows・Mac混在環境でのエージェント動作を検証したか

本記事の内容に誤り等がございましたら、こちらからご連絡ください。

監修

Admina Team

情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。