[市場動向]

2018年5月29日(火)杉田 悟（IT Leaders編集部）

リスト

　企業のクラウドシフトは、着実に進んでいる。業務システムのクラウド移行といった大規模なものだけでなく、Microsoft OfficeをOffice 365にに切り替えるなど、ユーザーがあまり意識しないところでもクラウド化は行われている。また、テレワークやモバイルワークといった働き方改革の実現にも、クラウドが大きな役割を果たしている。

　一方で、クラウドサービスは様々なデバイスや環境で利用されるため、ネットワークは複雑化する。ユーザー部門が勝手にオンラインストレージを使ってデータ共有する、未認可のスマートフォンアプリを業務利用するなどシャドーITが増加するリスクも高まる。従来のオンプレミスを想定したセキュリティ対策やコンプライアンスでは埋めきれない穴が空くのも、クラウドシフトがもたらす課題のひとつだ。

　その穴を埋めるためのセキュリティソリューションがCASB（キャスビー＝Cloud Access Security Blocker）だ。日本よりクラウドシフトが数歩先行している米国では、CASBがエンタープライズセキュリティマーケットの主役として注目されている。

CASB4つの機能

　ガートナーは、「情報セキュリティのプロフェッショナルに、あらゆるユーザーおよびデバイスについて、複数のクラウドサービスを同時にコントロールするシングル・ポイントを提供するもの」とCASBを説明している。同社の定義によるとCASBは「Visibility（可視性）」「Compliance（コンプライアンス）」「Threat Prevention（脅威の防御）」「Data Security（データの保護）」という4つの機能を備えている。

図1：CASBを構成する4つの柱（出典：シマンテック）
拡大画像表示

　Visibilityは、ユーザーのクラウドアクセス、オンプレミスからのアクセス、モバイルアクセスのSSL通信を可視化すること。Complianceはレポーティングと要件を満たさないアプリを制御するコンプライアンス対応のこと。Threat Preventionは、クラウドからのマルウェアの侵入防御とシャドーITなどユーザーに対する制御のこと。Data Securityはクラウドアプリの機能を損なわずに暗号化・匿名化すること、またはDLP（情報漏洩防止）のこと。これらがCASBの基本的な機能として認識されている。

　クラウド市場の急激な広まりを受けて、市場にはCASBを提供する多くのセキュリティベンチャーが登場した。大手セキュリティベンダーやネットワークベンダーもCASBの重要性をいち早く察知しており、2015年以降米国では、大手ITベンダーによるCASBベンダー買収が相次いだ。

　米Blue Coat Systemsは2015年に米Perspecsys、米Elasticaの2社を相次いで買収した。2016年には米Cisco SystemsがCloud Lockを、米SymantecはCASBベンダー2社を買収したばかりのBlue Coat Systemsの大型買収を発表、そして2017年に米McAfeeがマーケットリーダーの1社である米Skyhigh Networksを買収している。

　現在、CASBのマーケットリーダーはセキュリティ大手のSymantec、McAfee、そして唯一の専業ベンダーである米Netskopeの3社。SymantecがBlue Coatを買収した理由のひとつが、前年にElasticaを買収していたことにあるといわれるほど、セキュリティベンダーにとってCASBは最重要ピースのひとつとなっている。

写真1：シマンテックの高岡隆佳氏

　日本でも徐々に火が付き始め、導入を検討する企業が増えてきている。しかしシマンテックでCASBのエバンジェリストを務める高岡隆佳氏（写真1）は、「日本でCASBは、欧米ほど爆発的には売れていないのが現状」だとしている。なんといっても「米国では日本の900倍売れている」のだという。

　その直接的な要因として考えられるのが、日本のクラウドシフトの遅れだ。すでに、国内でクラウドサービスをまったく利用していない大手企業は皆無といえるが、問題はその深度だ。

　米国の大手企業は、平均で1社あたり10から20のクラウドサービスを利用しているという。CASBの導入によってそのセキュリティ対策をまとめられるのであれば、大きな投資効果が見込まれる。しかし、日本の場合、2つ3つのクラウドサービスを利用している企業が多い。「これだとペイできない」