IT人材のためのキャリアライフスタイルマガジン

CASBでクラウドのデータ持ち出しを止める！Web DLPでSaaS利用を“許可制”にする方法

更新日：2026年02月09日

1分でわかるこの記事の要約テレワークでのSaaS利用増加に伴い、シャドーITや情報漏洩リスクが深刻化しています。 CASBはSaaS利用の可視化と制御を行い、Web DLPは通信中の機密データ持ち出しを阻止します。 C […]

1分でわかるこの記事の要約

テレワークでのSaaS利用増加に伴い、シャドーITや情報漏洩リスクが深刻化しています。
CASBはSaaS利用の可視化と制御を行い、Web DLPは通信中の機密データ持ち出しを阻止します。
CASBとWeb DLPの連携により、SaaS利用を業務上必要なものに限定する「許可制」を実現可能です。
許可制の導入は、セキュリティガバナンス向上とコンプライアンス遵守に大きく貢献します。
計画的なステップと丁寧な従業員説明が、本セキュリティ対策を成功させる鍵となります。

テレワークの浸透により、Microsoft 365やGoogle WorkspaceといったSaaSの利用はビジネスに不可欠となりました。しかし、その利便性の裏で、情報システム部門が把握していない「シャドーIT」や、従業員による個人アカウントへの安易なデータ持ち出しによる情報漏洩リスクが深刻化しています。

従来のセキュリティ対策だけでは、巧妙化するクラウド経由のデータ流出を防ぐことは困難です。本記事では、CASB（キャスビー）とWeb DLPを組み合わせ、SaaS利用を「許可制」にすることで、この課題を根本から解決する具体的な方法を徹底解説します。

SaaSからの情報漏洩、なぜ従来型セキュリティでは防げないのか？

多くの企業が導入しているファイアウォールやプロキシなどの境界型セキュリティは、社内ネットワークと外部インターネットの境界を守ることを目的としています。

しかし、従業員が自宅やカフェなど、社外から直接SaaSにアクセスするテレワーク環境では、この「境界」そのものが意味をなさなくなります。正規のIDとパスワードを使えば、どこからでもクラウドサービスにアクセスし、機密情報をダウンロードしたり、個人のストレージにアップロードしたりすることが可能です。ここに、従来型セキュリティの限界とクラウド時代特有のリスクが存在します。

シャドーITがもたらす深刻なセキュリティリスク

シャドーITとは、情報システム部門の許可や管理下にないデバイスやクラウドサービスを、従業員が業務に利用することです。

例えば、会社で許可されていないファイル共有サービス（Dropboxの個人アカウントなど）に業務データをアップロードする行為がこれにあたります。従業員に悪意はなく、単に「便利だから」という理由で行われることが多いですが、企業にとっては大きな脅威です。シャドーITによってアップロードされたデータは、企業の管理外に置かれるため、アクセス制御や監視ができず、情報漏洩やマルウェア感染の温床となります。特に、退職者が個人アカウントに保管した機密情報を持ち出してしまうといった内部不正のリスクも看過できません。

データ持ち出しの手口：巧妙化する「Exfiltration」

意図的なデータ持ち出し（Exfiltration）も深刻な問題です。USBメモリのような物理的なデバイスだけでなく、Webメールや個人契約のSaaSアカウントへのアップロードなど、その手口は多様化しています。

例えば、会社のMicrosoft 365アカウントから重要な顧客リストをダウンロードし、自宅のPCから個人のGoogle Driveにアップロードするといった行為は、ログの追跡が困難なケースも多く、発覚したときには手遅れという事態になりかねません。こうしたデータ流出は、企業の信頼失墜やコンプライアンス違反に直結する重大なインシデントです。

クラウドセキュリティの要「CASB」とは？4つの基本機能を解説

このようなクラウド利用における課題を解決するソリューションとして注目されているのがCASB（Cloud Access Security Broker）です。CASBは、企業とクラウドサービスの間に立ち、SaaSの利用状況を可視化し、一貫したセキュリティポリシーを適用するための仲介役を果たします。

CASBには、主に以下の4つの柱となる機能があります。

機能1：可視化（Visibility）

CASBの最も基本的な機能は、社内で利用されているSaaSをすべて可視化することです。従業員がどのSaaSに、いつ、どこから、どのようなデバイスでアクセスしているかを詳細に把握します。これにより、これまで気づけなかったシャドーITの存在を洗い出し、リスクの全体像を正確に把握することが可能になります。

機能2：コンプライアンス（Compliance）

可視化されたSaaSの利用状況が、自社のセキュリティポリシーや個人情報保護法、GDPRといった国内外の法規制に準拠しているかを確認します。例えば、特定の機密データを国外のデータセンターに保管することを禁止するなど、コンプライアンス要件に基づいたポリシーを適用し、違反を自動的に検出・報告します。

機能3：データセキュリティ（Data Security）

クラウド上に保管されているデータのセキュリティを強化する機能です。CASBは、SaaS内のファイルやデータをスキャンし、機密情報（個人情報、設計図、財務情報など）が含まれているかを特定します。特定された機密情報に対しては、アクセス制御、暗号化、DLP機能による持ち出し制限などの対策を講じ、情報の漏洩を未然に防ぎます。

機能4：脅威防御（Threat Protection）

不審なアクティビティやマルウェアの脅威からSaaSアカウントとデータを保護します。例えば、短時間に複数の国からログイン試行があるなど、通常とは異なる振る舞いを検知してアカウントをロックしたり、SaaSにアップロードされるファイルにマルウェアが含まれていないかをスキャンしたりします。これにより、アカウントの乗っ取りやマルウェア感染のリスクを低減させます。

通信中のデータを守る「Web DLP」の役割とは？

CASBがSaaSの「利用状況」や「保管データ」の管理に長けているのに対し、Web DLPは通信中のデータ、すなわち「Data-in-Transit」の保護に特化したソリューションです。従業員がPCからSaaSへファイルをアップロードしたり、SaaSからデータをダウンロードしたりする際の通信内容をリアルタイムで検査し、ポリシーに違反するデータの送信をブロックします。

アップロード制御の仕組み

Web DLPの核となる機能がアップロード制御です。事前に定義されたポリシーに基づき、従業員がWebブラウザやアプリケーションを通じてクラウドにアップロードしようとするデータの中身をチェックします。

例えば、「ファイル名に『社外秘』と含まれるドキュメント」や「マイナンバーやクレジットカード番号を含むファイル」などを検知した場合、そのアップロードを自動的に遮断します。これにより、従業員の不注意による機密情報の漏洩や、悪意を持った内部不正によるデータ持ち出しを水際で防ぐことが可能になります。

CASBとWeb DLPの連携が最強のSaaSセキュリティ対策である理由

CASBとWeb DLPは、それぞれ得意な領域が異なります。

CASB：「どのSaaSへのアクセスか」を識別し、利用を許可またはブロックする「宛先制御」に優れている
Web DLP：「どのようなデータが送受信されているか」を検査し、機密情報の送信をブロックする「内容制御」を得意とする

この2つを連携させることで、単体では実現できない、より高度で網羅的なSaaS情報漏洩対策が可能になります。

例えば、「会社のMicrosoft 365へのアクセスは許可するが、個人契約のDropboxへのアクセスは禁止する」といった制御はCASBが得意です。さらに、「会社のMicrosoft 365内であっても、個人情報を含むファイルのアップロードは禁止する」といったきめ細やかな制御はWeb DLPが担います。

このように、両者を組み合わせることで、SaaSの利用を業務上必要なものだけに限定し、かつ、その中でのデータ操作も安全に管理する「許可制」の運用が実現できるのです。

SaaS利用を「許可制」にするための具体的な4ステップ

CASBとWeb DLPを導入し、SaaS利用を許可制に移行するためには、計画的なアプローチが重要です。以下に、その具体的なステップを解説します。

ステップ1：CASBによるシャドーITの可視化と利用実態の把握

まずはCASBを導入し、現状把握から始めます。ネットワークの通信ログなどをCASBに連携させ、従業員が実際に利用しているすべてのSaaSを洗い出します。どの部署で、どのようなSaaSが、どの程度の頻度で利用されているかをデータに基づいて正確に把握することが、効果的なポリシー策定の第一歩となります。

ステップ2：リスク評価と利用ポリシーの策定

可視化されたSaaSリストを基に、各サービスのセキュリティリスクを評価します。データの保存場所、提供事業者の信頼性などを基準に、利用を許可するSaaS、条件付きで許可するSaaS、禁止するSaaSに分類します。この分類に基づき、「個人契約のファイル共有サービスへの業務データアップロードは禁止する」といった明確な利用ポリシーを策定します。

ステップ3：Web DLPによるポリシーに基づいたアップロード制御

策定したポリシーをWeb DLPに設定し、具体的な制御を開始します。例えば、「許可されていないSaaSへのファイルアップロードを全面的にブロックする」「許可されたSaaSであっても、マイナンバーを含むファイルのアップロードは検知・遮断する」といったルールを適用します。これにより、従業員が誤って機密情報を不適切な場所にアップロードするリスクを技術的に防止できます。

ステップ4：会社アカウントと個人アカウントの厳格な分離

多くのSaaSは、会社用と個人用のアカウントが存在します。CASBとWeb DLPを連携させることで、「会社のPCからは法人契約のBoxにはログインできるが、個人契約のBoxにはログインさせない」といった制御が可能になります。さらに、「法人契約のBoxからダウンロードしたファイルを、個人のGmailに添付しようとするとブロックする」といった、アカウントをまたいだデータ移動の監視・制御も実現できます。

CASB×Web DLP導入のメリットと成功のポイント

CASBとWeb DLPによる許可制アプローチは、セキュリティを強化するだけでなく、企業運営全体に多くのメリットをもたらします。

導入の4大メリット

セキュリティとガバナンスの向上: シャドーITを一掃し、すべてのSaaS利用を管理下に置くことで、セキュリティガバナンスが大幅に向上します。
コンプライアンス遵守の徹底: データ保護規制（個人情報保護法、GDPRなど）への準拠が容易になり、監査対応の負荷も軽減されます。
内部不正リスクの低減: 従業員による意図的なデータ持ち出しや、退職時の情報流出リスクを効果的に抑制します。
従業員の生産性維持: 業務に必要なSaaSの利用は許可するため、従業員の利便性を損なうことなく安全なクラウド利用環境を提供できます。

導入成功のための注意点

成功のためには、ソリューション導入だけでなく、運用面の考慮も不可欠です。

現実的なポリシー設計: 厳しすぎると業務の妨げになり、緩すぎるとセキュリティホールが残ります。業務部門と連携し、現場の実態に即したポリシーを策定することが重要です。
従業員への丁寧な説明: なぜ制御が必要なのかを従業員に説明し、理解を得ましょう。一方的な制限は、従業員の不満や新たなシャドーITを生む原因になりかねません。

ゼロトラストセキュリティにおけるCASBとWeb DLPの位置づけ

「決して信頼せず、常に検証する」というゼロトラストの考え方において、CASBとWeb DLPは重要な役割を担います。ゼロトラストでは、社内ネットワークであっても安全とは見なさず、すべてのアクセス要求を検証します。

CASB: SaaSへのアクセス時にユーザーやデバイスの正当性を検証するポリシー実行ポイントとして機能。
Web DLP: 通信内容を検査し、認証されたユーザーでも機密データの不正な持ち出しは許可しない。

この組み合わせは、ゼロトラストにおけるSaaSアクセス制御の中核をなすソリューションと言えるでしょう。

まとめ：CASBとWeb DLPによる許可制で攻めのクラウド活用を実現

SaaSの利便性は、もはやビジネス成長に欠かせない要素です。しかし、その裏に潜むシャドーITやデータ持ち出しのリスクを放置すれば、企業の存続を揺るがす重大なインシデントにつながりかねません。

CASBによる「可視化」と「宛先制御」
Web DLPによる「内容検査」と「アップロード制御」

この2つを組み合わせることで、SaaS利用を場当たり的な禁止ではなく、安全を確保した上での「許可制」へと移行できます。これにより、情報漏洩のリスクを最小限に抑えながら、クラウドのメリットを最大限に活用する「攻めのDX」を推進することが可能になります。まずは自社のSaaS利用状況を把握することから始めてみてはいかがでしょうか。

この記事のまとめ

CASBとWeb DLPは、クラウド時代におけるSaaSの情報漏洩対策に不可欠なソリューションです。
CASBでSaaSの利用状況を可視化し、Web DLPで通信中の機密データ持ち出しを厳しく制御します。
両者を連携させることで、SaaS利用を「許可制」にすることで、セキュリティと利便性を両立できます。
シャドーITの撲滅、コンプライアンス遵守、内部不正防止、生産性維持といった多大なメリットがあります。
効果的な導入には、現実的なポリシー設計と従業員への丁寧な説明が成功の鍵となります。

よくある質問（FAQ）

Q1. CASBとWeb DLPはどちらを先に導入すべきですか？

A1. まずはCASBを導入し、シャドーITを含む自社のSaaS利用状況を完全に「可視化」することをお勧めします。現状を正確に把握しなければ、効果的なポリシーを策定することができないためです。利用実態が明らかになった後、具体的なデータ持ち出し対策としてWeb DLPを導入するのが一般的なアプローチです。

Q2. Microsoft 365やGoogle Workspaceの標準セキュリティ機能との違いは何ですか？

A2. Microsoft 365などには、基本的なDLP機能やアクセス制御機能が含まれていますが、これらは基本的にそのプラットフォーム内で完結します。CASBやWeb DLPは、特定のSaaSに依存せず、複数のクラウドサービスを横断して一元的なポリシーを適用できる点が大きな違いです。様々なSaaSを併用している環境で統一されたガバナンスを効かせるためには、専用ソリューションが有効です。

Q3. 導入によって従業員の業務効率が低下しませんか？

A3. 適切なポリシー設計が鍵となります。業務上本当に必要なSaaS利用やデータ操作は許可し、危険な行為のみを制限するようにポリシーを設計すれば、業務効率への影響は最小限に抑えられます。むしろ、従業員は「許可された範囲内であれば安心してSaaSを使える」というメリットを感じることができます。導入前に業務部門へのヒアリングを十分に行い、実態に合ったポリシーを策定することが重要です。

マモリスのご紹介

マモリス（Mamoris）は、企業の情報資産を守るためのセキュリティサービスです。
端末上の操作や各種ログをもとに、社内不正や情報漏えいにつながりやすいリスクの“兆し”を可視化し、状況に応じた対策につなげます。
セキュリティと業務効率のバランスを大切にしながら、現場で運用しやすい形で「見える化 → 判断 → 改善」を進められるのが特長です。
詳しくは公式サイトをご覧ください：mamoris-secure.com

初回公開日：2026年02月09日

記載されている内容は2026年02月09日時点のものです。現在の情報と異なる可能性がありますので、ご了承ください。また、記事に記載されている情報は自己責任でご活用いただき、本記事の内容に関する事項については、専門家等に相談するようにしてください。