CASBを提供しているベンダーは現在8社程度ある(図表1)。
専業ベンダーとしてはSkyhigh Networks とNetskope、Cipher Cloudの3社があり、また、シスコシステムズやパロアルトネットワークス、マイクロソフト、シマンテックなどがCASBベンダーを買収し、自社の既存製品との連携を進めている。CASBで可視化したリスクの高い通信を他のセキュリティ製品で遮断したり、複数の製品で取得したデータを組み合わせてリスク分析を行うといった具合だ。
図表1 主なCASB提供ベンダー
なお、料金体系についても説明しておくと、ベンダーによって違いはあるものの、可視化機能のライセンスとその他の制御機能のライセンスを分けて購入、利用するかたちが一般的だ。1ユーザー当たり年額4000円程度から利用できる可視化ライセンスでクラウドの利用状況を見える化し、その後、制御を行いたいSaaS/IaaSごとに、例えばOffice 365用の制御ライセンス、AWS用の制御ライセンスを購入するといった具合である。なお、主要なSaaSの制御機能を可視化ライセンスに含めて販売しているベンダーもある。
ガートナーの礒田氏によれば、CASBは現在、同社でいうハイプ・サイクル(テクノロジとアプリケーションの成熟度と採用率を表したもの)の「幻滅期」にある。この時期にはベンダー間の差別化競争が過熱し、機能の拡充が急速に進む。したがって、現時点で単純な機能比較をすることはあまり意味をなさない。多少の機能差はすぐに埋まってしまうからだ。
礒田氏は、「それよりも自社の状況を把握するための“棚卸し”が重要」と指摘する。「シャドーITも含めて、社員がどれほどクラウドを使っているのかを確認する」のだ。そうして自社のリスクをまず特定してから、そのリスクを解決できる機能を有しているかという視点で複数のCASBを比較検討すべきだ。
