CASBとは何か？　クラウドサービス利用の基礎知識（2/5 ページ）

　実際の導入プロセスを見てみると、まずは自社のクラウド利用状況を把握するために「可視化」を前提にPoCを進めるケースが多く、実際にテストをしてみると平均でも500〜800程度のクラウドサービスが1つの企業で利用されていることが判明するという。なかには1000を越えるクラウドサービスが検出されるケースもあり、予想以上にクラウドサービスが業務に根付いていることが分かってくる。

　なお、クラウドサービスの単位については、提供されているクラウドサービスのドメインごとに1サービスというわけではない。例えばGoogleであれば、Gmailで1サービス、Google翻訳で1サービスといった具合だ。分かりやすくいえば、Webサービスに情報を投げて、その結果が返ってくるものをクラウドサービスとして位置付けており、厳密な意味でのクラウドサービスでないケースもある。

CASBがターゲットとする「シャドーIT」「サンクションIT」

　CASBがターゲットにするクラウドサービスは、大きく2つのカテゴリーに分けることが可能だ。企業が許可していない「シャドーIT」としてのクラウドサービス、そして企業が業務利用を許可している「サンクションIT」としてのクラウドサービスだ。

　シャドーITの課題は、そもそもどんなクラウドサービスを従業員が使っているのか把握できておらず、その使い方もつかめていないことだろう。対してサンクションITの課題は、企業が許可はしているものの、機密情報のファイルをファイル共有サービスにアップロードしてしまうといった、使い方までは詳細に把握できていない点だ。場合によっては情報流出を招く恐れもあるため、許可されているかどうかにかかわらず、クラウドサービスでの課題は顕在化してくるのは間違いない。そのための対策にCASBが役立ってくる。

図2 クラウドサービスの利活用における課題（出典：ネットワンシステムズ）

　なお、もし1つのサンクションITをターゲットにしたい場合は、あえてCASBを導入せずとも、許可したクラウドサービス自体が持っているコンプライアンスや制御の機能を活用したほうが効果的だろう。複数のクラウドサービスに対して統一したポリシーを適用することにCASBの価値がある。