検索
連載

シャドーITを禁止せず、生産性を落とさないためにセキュリティ強化塾

クラウドサービスが普及した理由は便利だからだ。それ故に社員が勝手に利用する「シャドーIT」につながる。対策はあるか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 クラウドサービスは家庭、企業を問わず普及した。読者の多くも何らかのクラウドサービスを活用しているだろう。その理由は便利だからだ。それ故に企業が把握していないサービスを勝手に利用する「シャドーIT」につながってしまう。

クラウドサービスへの不安感が払拭(ふっしょく)された故に心配だ

 総務省が2018年に発表した「平成30年版情報通信白書」の第2節「企業におけるクラウドサービスの利用動向」によると、2017年においてクラウドサービスを利用する企業の割合は56.9%と前年を大きく上回った。クラウドサービスの効果を実感する企業の割合も85.2%と大きく、クラウドサービスのメリットがクラウドへの不安感、不審感を超えた様子が見て取れる。

クラウドサービスを活用する企業は年々増加している
クラウドサービスを活用する企業は年々増加している(出典:平成30年版 情報通信白書)

 クラウドで利用するサービスは「ファイル共有・データ共有」が51.2%と最も多く、次いでサーバ利用、電子メールとなる。これらの機能は社内で運用するよりも、クラウドサービスを利用することが当たり前となっていることが分かる。

 しかし、便利であるが故に気を付けないといけないポイントがある。それは「シャドーIT」と呼ばれるような、企業の管理外で活用されるクラウドサービスだ。特に「Dropbox」「OneDrive」「Google Drive(Google One)」などのファイル共有サービスは個人利用が先に普及した。便利で無料のサービスを業務でも使いたくなることは止められない。

 企業ポリシーとして「利用を禁ずる」とうたうことは簡単だ。だが、過去に「USBメモリ使用禁止」にしたところで対策としては不十分だったことが思い浮かぶ。

 シャドーIT、特に「クラウドサービス」のコントロールをどうすべきかは世界共通のIT課題となりつつある。今回はクラウドサービスのコントロール権を確保する「CASB」を学ぼう。

注目が集まるCASBとは?

 CASBは「Cloud Access Security Broker」の略語で、調査会社のガートナーが提唱した仕組みだ。ファイル共有を始めとしたクラウドサービスの利用を把握し、状況を可視化する仕組みを提供するソリューションとして注目を集める。

 セキュリティ担当者としては、会社として採用したクラウドサービスの可視化はできていたとしても、それ以外のサービスがどう使われているか、何が使われているかを把握できないと不安だ。見えない場所からの情報流出が発生する可能性があるからだ。

 USBメモリのような可搬メディア経由で行われる情報流出のように、今後は「クラウドストレージを経由した情報流出」対策を行わねばならない。だからこそCASBのような仕組みが必要となる。

 CASBに求められる機能は、

  • 企業内で利用される全てのクラウドアプリケーションを把握し、特定すること
  • クラウドストレージなどの共有サービスで外部に発信される情報やファイルを特定し、遮断すること
  • 利用者のクラウドサービス利用状況を可視化すること
  • 企業のコンプライアンスをクラウドサービスにも適用するこ

などが挙げられる。

 CASBの効果は、シャドーITの存在をチェックし、クラウドサービスにおけるDLP(データ漏えい防止)が実現できることだ。

 クラウドサービスが起点となる情報漏えいを考えてみよう。例えば個人向けのクラウドストレージに業務のファイルを保存し、職場以外でも参照できるようにしたいと考える社員がいるかもしれない。そして、Dropboxのようなサービスは、クラウドにアップロードしたファイルを簡単に他人と共有できる仕組みを提供する。意図的か過失かは別として、情報流出が簡単に行える土壌があるということだ。

 CASBソリューションを導入することで、まずシャドーITとして企業内で利用されている、非正規クラウドサービスを検出できるようになる。CASBソリューションの種類によっては、「そのクラウドサービスで二要素認証が利用可能か」「サービスを提供しているのがどのような企業か」「どこの国のサービスか」といった項目をスコアリングし、セキュリティの観点から安全性を把握することもできる。

 この結果により、高得点のサービスならば「正規のサービスとして従業員に継続利用させる」という判断もできる。一概に禁止せず、コントロールされた状態で利用できるという選択肢があることは、従業員にとってもありがたいだろう。

 CASBソリューションは、クラウドサービスの検出だけでなく、調査、制御、アラート機能も備える。例えばクラウドストレージサービスでファイル共有を行ったことを検出したら、対象となったファイル、利用者を記録し、制御を行うことも可能だ。

 「従業員が真夜中に大量のファイルを共有した」「普段やりとりをしていない送信先に共有した」ことをトリガーにすることもできる。対応するクラウドサービスによっては、共有したファイルや送信したファイルの削除も行える。

 CASBの導入で、シャドーITとなるクラウドサービスに対し、コントロール権を設定できるのだ。場合によっては従業員の利便性を向上し、うっかりミスを取り返すという仕組みにもなり得る。

「部署ごとにサービスを展開」する大企業には必須に

 クラウドサービス活用に対し、CASBソリューションを導入できるのは比較的大きめな企業だろう。大企業ではクラウドサービスの導入も部書ごとに行われることも多く、IT管理部門や経営層にとってコンプライアンスを効かせるためには、このようなソリューションの導入は不可欠になりつつある。

 ただし、CASBはまだ歴史も浅く、かつクラウドサービスは多種多様なものが登場する。ソリューションがいかにアップデートを繰り返し、成長についていけるかを見極めることが、導入の最大のポイントになる。

 クラウドサービスに対してはAPI接続型、プロキシ型、ログ解析型など複数の接続方式があり、それぞれにメリット、デメリットがある。まずは自社が利用するメインのクラウドサービスに対応したCASBソリューションを調査しつつ、対応方式などを比較検討することが重要だ。

 CASBは多くのベンダーが力を入れ、それぞれに特長を持ったソリューションが提供される。中にはクラウドサービスの一部としてCASB機能を提供するベンダーもあり、クラウド時代の情報統制として、オンプレミスと同様のセキュリティポリシーを、クラウドサービスにも適用できるという点が大きなメリットだ。

 IT管理部門にとっては、シャドーITとして承認していないサービスに対する過剰な投資に見えるかもしれない。だが、従業員の目線では使い慣れたサービスを止めることによる生産性低下は大きな問題だ。

 折衷案として、サービスを利用させつつコントロールするという着地点は双方にとっても大きなメリットがある。CASBはそのようなバランスを提供するソリューションであり、クラウドサービスを活用し、成長を狙う企業には注目に値する。生産性を確保しつつ、セキュリティを落とさない方法として検討したい。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る