情報処理試験を勉強していると、「CASBって結局何をするもの?」と混乱しがちです。
クラウド系のセキュリティ用語は横文字が多く、似たような略語が並ぶので無理もありません。
この記事では、CASB(Cloud Access Security Broker)の意味と役割を日常の例え話で噛み砕き、試験で得点できるレベルまで解説します。
対象試験と出題頻度
CASBは、応用情報技術者試験のシラバス(セキュリティ分野)に掲載されている用語です。
情報処理安全確保支援士(登録セキスペ)の午前IIでは繰り返し出題されており、応用情報でも午前・午後の選択肢に登場する頻度が上がっています。
クラウド利用が当たり前になった今、今後さらに重要度が増す用語です。
詳細をクリックして確認
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
CASB(Cloud Access Security Broker:キャスビー)とは、一言で言うと
「従業員とクラウドサービスの間に立ち、利用状況の把握やセキュリティポリシーの適用を一元的に行う仕組み」
のことです。
イメージとしては、「会社の出入口に立つ受付係」のようなものです。
オフィスビルの受付係は、訪問者の名前・目的・行き先を記録し、許可された人だけを通します。もし社員が無断で外部の業者を呼んでいたら、受付記録を見れば一目でわかります。
CASBはこの受付係のように、社員がどのクラウドサービスをいつ・どのように使っているかを記録し、会社のルールに反する利用があればブロックや警告を行います。
「クラウドサービスは自由に使えるのでは?」と思う方もいるはずです。しかし、会社が把握していないクラウドサービスを社員が勝手に使う「シャドーIT」は、情報漏えいの大きな原因になります。
CASBは、このシャドーITを発見・制御するために生まれた仕組みです。
📊 CASBの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Cloud Access Security Broker(クラウドアクセスセキュリティブローカー) |
| 読み方 | キャスビー |
| 提唱者 | 米Gartner社(2012年に概念を提唱) |
| 目的 | 従業員のクラウドサービス利用を把握し、セキュリティポリシーを一括適用する |
| 4つの機能 | 可視化・コンプライアンス・データセキュリティ・脅威防御 |
解説
CASBが登場した背景には、企業のクラウドシフトがあります。
従来のセキュリティ対策は、社内ネットワークとインターネットの境界にファイアウォールを置く「境界防御」が主流でした。しかし、SaaSをはじめとするクラウドサービスの普及により、業務データが社外のクラウド上に分散するようになりました。
ファイアウォールの「外側」にデータがある以上、境界防御だけでは守りきれません。そこで、利用者とクラウドサービスの間にコントロールポイント(監視・制御の拠点)を設けるCASBの考え方が、2012年にGartner社によって提唱されました。
CASBの4つの機能
Gartner社はCASBの構成要素として4つの機能を定義しています。それぞれの役割を整理します。
📊 CASBの4つの機能
| 機能 | 内容 |
|---|---|
| 可視化 | 従業員がどのクラウドサービスを利用しているかを一覧化し、会社が把握していないサービスの利用(シャドーIT)を発見する |
| コンプライアンス | 社内のセキュリティポリシーや法規制(個人情報保護法、GDPRなど)に従ったクラウド利用ができているかを監視・制御する |
| データセキュリティ | クラウド上のデータの暗号化やアクセス権限の制御を行い、機密情報の漏えいを防ぐ |
| 脅威防御 | マルウェア感染の恐れがあるクラウドサービスへのアクセスをブロックしたり、不審なユーザー行動を検知したりする |
この中で試験に最も関係するのは「可視化」です。
過去問では「許可を得ずにクラウドサービスを利用している従業員を特定できる」という記述が正解として繰り返し出ています。4つの機能を全部暗記する必要はありませんが、「可視化」だけは確実に押さえてください。
CASBの導入形態
CASBには、主に3つの導入形態があります。
API型は、クラウドサービスが提供するAPIを使ってログや設定情報を取得する方式です。
プロキシ型は、社員のインターネットアクセスを必ずCASBを経由させる方式で、リアルタイムでの制御が可能です。
エージェント型は、端末にソフトウェアをインストールして通信を監視する方式です。
応用情報レベルでは「CASBには複数の導入形態がある」程度の理解で十分です。深追いは不要です。
関連用語:SWG・SASE・CSPMとの違い
CASBと混同しやすい関連用語を整理します。
📊 CASB・SWG・SASE・CSPMの比較
| 用語 | 正式名称 | 役割 |
|---|---|---|
| CASB | Cloud Access Security Broker | SaaS等のクラウドサービス利用を監視・制御する |
| SWG | Secure Web Gateway | Web通信全般をフィルタリングし、危険なサイトへのアクセスを遮断する |
| SASE | Secure Access Service Edge | CASB・SWG・FW等のセキュリティ機能をネットワーク機能と統合した包括的な概念 |
| CSPM | Cloud Security Posture Management | IaaS/PaaSのセキュリティ設定の不備を検出・修正する |
CASBはSaaS利用の監視・制御に特化しているのに対し、SWGはWeb通信全般の安全確保を担います。
SASEはCASBやSWGを含む上位概念で、令和7年度秋期の応用情報 午前問42ではCSPMとCASBの区別が問われました。
「CASBはSaaS利用の見張り番、CSPMはクラウド設定の点検係」と分けて覚えると、選択肢で迷いません。
💡 CASBの核心を3行で
・従業員とクラウドサービスの間にコントロールポイントを設置する仕組み
・最大の目的は、会社が把握していないクラウド利用(シャドーIT)の発見と制御
・Gartner社が提唱した4機能のうち、試験で最重要なのは「可視化」
📌 試験対策のポイント
CASBの具体的な製品名や導入手順までは問われません。
「利用者とクラウドサービスの間に入って、利用状況を把握し、ポリシーを適用する」という定義と、SWGやCSPMとの守備範囲の違いを区別できれば得点できます。
試験ではこう出る!
CASBは、情報処理安全確保支援士の午前IIで3回出題された実績があり、応用情報技術者でも午前・午後の選択肢に繰り返し登場しています。
直接「CASBの説明として正しいものを選べ」と問われる形式と、他の用語との区別を問う形式の2パターンがあります。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| 支援士 R3春 午前II 問11 |
「CASBを利用した際のセキュリティ効果はどれか」を問う四択問題。正解は「許可を得ずにクラウドサービスを利用している者を特定できる」。 | ・CASBの利用主体はクラウドサービスの利用組織側 ・効果は利用状況の把握によるシャドーITの発見 |
| 支援士 R4秋 午前II 問10 R6春 午前II 問11 |
上記R3春の問題を微修正して再出題。選択肢の文言が一部変わっているが、正解の趣旨は同一。 | ・同じ問題が3回出ている定番問題 ・不正解選択肢にDDoS対策・入退室管理・脆弱性診断が並ぶ |
| 応用情報 R5春 午後問1 |
インシデント対応組織の略称を選ぶ設問で、CASBが不正解の選択肢として登場(正解はCSIRT)。 | ・CASBは組織名ではなくセキュリティ対策の仕組み ・CSIRTとの混同に注意 |
| 応用情報 R7秋 午前問42 |
「CSPMはどれか」を問う問題で、CASBの説明が不正解選択肢として記載された。 | ・CASBは「SaaS利用の監視・制御」 ・CSPMは「クラウド設定の監視・修正」 ・この2つの区別が必要 |
| 応用情報 R7秋 午後問1 |
企業グループのセキュリティ対策をテーマにした問題で、CASBが穴埋め用の選択肢の一つとして登場。 | ・SIEM・SBOM・境界防御など他の用語との区別 |
最大のポイントは、支援士で3回連続出題された定番問題の構造です。
不正解の選択肢には「DDoS対策」「入退室管理」「脆弱性診断」が並びますが、これらはいずれもCASBの守備範囲ではありません。
CASBは「クラウドサービス利用組織の管理者」が使うものであり、「クラウドサービスプロバイダ」が使うものではない――この主語の違いで正誤を見抜けます。
【頻出キーワード】
- 利用者とクラウドサービスの間のコントロールポイント
- クラウドサービス利用状況の可視化
- 許可を得ずにクラウドサービスを利用している者の特定
- セキュリティポリシーの一元適用
試験問題で「従業員が利用しているクラウドサービスの利用状況を可視化し、ポリシー違反を検出する」や「クラウドサービス利用組織の管理者が、無許可のクラウド利用者を特定する」といった記述があれば、それは「CASB」を指しています。
📝 IPA試験での出題パターン
午前問題では「CASBを利用した際の効果はどれか」という知識問題が定番です。
ひっかけ選択肢として「DDoS攻撃対策を行える」(=WAFやCDNの役割)や「脆弱性診断を行える」(=脆弱性スキャナの役割)が使われます。
午後問題では、穴埋め選択肢の一つとして他のセキュリティ用語(SIEM・CSIRT・CSPMなど)と並んで登場するパターンが増えています。「クラウドサービスの利用を監視・制御する」という説明を見たら即座にCASBと判断できるようにしておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. セキュリティ対策としてCASB(Cloud Access Security Broker)を利用した際の効果として、最も適切なものはどれでしょうか?
- A. クラウドサービスプロバイダが、運用しているクラウドサービスに対してDDoS攻撃対策を行い、可用性の低下を緩和できる
- B. クラウドサービスを利用する組織の管理者が、利用しているクラウドサービスに対して脆弱性診断を行い、脆弱性を特定できる
- C. クラウドサービスを利用する組織の管理者が、従業員のクラウドサービス利用状況を把握し、無許可で利用している者を特定できる
正解と解説を見る
正解:C
解説:
CASBは、利用者とクラウドサービスの間にコントロールポイントを設け、利用状況の把握やポリシーの適用を行う仕組みです。したがって「利用組織の管理者が、従業員のクラウド利用状況を把握し、無許可の利用者を特定できる」が正解です。支援士のR3春・R4秋・R6春で3回出題された定番の正解パターンそのものです。
選択肢Aは、主語が「クラウドサービスプロバイダ」になっている点が誤りです。CASBはクラウドを利用する組織側が導入するものであり、プロバイダ側のDDoS対策はWAFやCDNの役割です。選択肢Bは、「脆弱性診断」がCASBの機能ではない点が誤りです。脆弱性を特定するのは脆弱性スキャナやCSPMの役割であり、CASBの4つの機能(可視化・コンプライアンス・データセキュリティ・脅威防御)には含まれません。
よくある質問(FAQ)
Q. CASBとDLP(Data Loss Prevention)は何が違いますか?
DLPは機密データの外部への持ち出しをブロックする仕組みで、メール送信やUSBコピーなどを含む幅広いデータ流出経路を監視します。一方、CASBはクラウドサービスの利用状況を監視・制御する仕組みです。CASBにもデータセキュリティ機能があるため両者は一部重なりますが、DLPはクラウドに限定されない点が異なります。
Q. CASBは実務ではどのような企業が導入していますか?
Microsoft 365やGoogle Workspaceなど複数のSaaSを業務利用している企業で導入が進んでいます。特に、テレワークの普及で社外から直接クラウドにアクセスする場面が増えたため、従来の境界防御では監視しきれない通信を管理する手段として採用されています。Microsoft Defender for Cloud AppsやNetskope、Zscalerなどが代表的な製品です。
Q. CASBはゼロトラストとどう関係しますか?
ゼロトラストは「社内ネットワークであっても無条件に信頼しない」というセキュリティの考え方です。CASBはゼロトラストを実現するための構成要素の一つで、クラウドサービスへのアクセスを利用者ごとに検証・制御する役割を担います。ゼロトラストという大きな方針のもと、CASBやSWG、EDRなどを組み合わせて多層的にセキュリティを確保する、というのが現在の主流の考え方です。
Q. 情報処理安全確保支援士を受ける場合、CASBはどの程度覚えるべきですか?
支援士では同一問題が3回出題されている定番テーマです。4つの機能(可視化・コンプライアンス・データセキュリティ・脅威防御)まで覚えておくと安心です。また、導入形態(API型・プロキシ型・エージェント型)も午後問題で問われる可能性があるため、概要は押さえておくことを推奨します。
