シャドーITと思っていなくても、それはシャドーITです

 様々なクラウドサービスが社内から便利に利用できるようになり、これまで企業が社員のためにオンプレミスで用意していたサービスの多くがクラウドサービスに移行するようになりました。ルール上は認められていない個人レベルでクラウドサービスを使うケースがあったり、便利さゆえに社員や一部の組織が勝手にサービスの契約をして業務に使ったりして、リスクになりかねない状況になるケースも多いようです。このブログではクラウドサービスの活用がシャドーITにならないように管理者の視点で気を付けるべき注意点を紹介します。

1.社員のクラウドサービス利用状況の把握

1-1 シャドーでないIT

 セールスフォースやO365のように会社が導入し社員が利用しているものがありますが、こちらはシャドーITの対局にあり日の当たっているITです。ただし、クラウドサービスには様々な機能を提供するものがあるので、場合によっては機能ごとに許可や禁止を考える必要があります。

1-2 想定の範囲のシャドーIT

 オフィス系のドキュメントがリッチになりサイズが大きくなってメールの添付では送れない!という場合に、気軽に使えるクラウドベースのストレージサービスなどは、使われているかもしれないなぁという、想定の範囲内のシャドーITではないでしょうか?情報漏洩の温床になる懸念があると認識されているはずです。利用状況を把握したいとか、Webプロキシでチェックしたりフィルタを設定しているなどの対応をしていたり、今後のシャドーIT対策の課題として想定している組織も多いはずです。

1-3 意外なシャドーIT

 一方で、そんなクラウドサービスがあるんだ!という意外なものや、あまり知られていないサービスに加えて、ほとんどの人が無意識に使用しているクラウドサービスもあります。解らない英単語をWeb上のサービスで訳を確認したことってありますよね?単語くらいなら良いのかもしれませんが、重要な英文契約書をクラウドの翻訳ツールで翻訳していたりすると、情報漏洩に近い状況かもしれません。
 多くのIT管理者は会社で認めているクラウドサービス以外で社員が使用しているものは、せいぜい50とか多くても100と想定することが多いようです。しかし、良く考えてみると翻訳ツール以外にも、お客様訪問のための経路確認、SNS、飲み会の日程調整のためのアンケートなど多くのクラウドサービスが使われていて1,000を超えるケースも珍しくありません。サービスによっては意外に多くのデータ量が組織内からクラウドへ出て行っていることがあります。

1-4 可視化と制御

 最近はCASB(Cloud Access Security Broker)と言われるカテゴリのソリューションがあり、クラウドサービスの利用状況を可視化したり、制御したり、クラウドにアップロードされるデータを暗号化したりする製品もあり注目が高まっています。このブログを読んでいただいている読者の中には既に導入済みだったり、導入検討を進めている方もいるかもしれません。

2.管理視点での注意点

2-1 管理者権限や機能の有無

 社員が利用しているサービスには管理者権限や管理者の機能が提供されているものと、提供されていないものがあります。会社として導入とか利用を許可する際に、管理者機能があるものであれば管理者側から、社員の利用についてコントロールできる可能性が高まります。逆に、管理者機能がないサービスをコントロールするのは難しいので会社として利用を許可するか、禁止するか判断するときに気を付けるべき点になります。

2-2 SSL/TLS通信の比率の増加

 昨今はWeb通信におけるSSL/TLSの使用率が高くなっています。Googleが公開しているTransparency Report(HTTPSの使用状況に関する情報)では日本はやや遅れいている印象もありますが増加傾向であることが分かります。SSL/TLSに対応しているサイトが良く使われるような環境の組織では、外部にアクセスする通信のSSL/TLSの比率が90%を超える場合もあります。Webプロキシやファイアウォールでログで監視している場合でもSSL/TLSが使用されている場合とされていない場合ではログに残る情報が異なる場合が多くあります。
 本来カテゴリ別にURLフィルタでアクセスの許可や禁止の設定をしていても、SSL/TLSに対応していない場合は上手く機能していないケースがあります。SSL/TLS通信の比率の向上を機会に、WebプロキシをSSL/TLS対応したものに変更する企業もあります。

 SSL/TLS通信に対応していない場合、単に接続し通信が発生したという記録はログに残りますが具体的にどんなサービスか?どのようなやり取りが発生したのか具体的に把握しにくい場合があります。また、ログの確認と合わせて設定のチェックも必要です。サービスのコネクション数などの問題でいくつかのクラウドサービスはWebプロキシの処理で除外設定がされている場合もあります。
 シャドーITが気になったときは、CASBのようなソリューションの活用検討と合わせて、ファイアウォールやWebプロキシで、SSL/TLS通信の対応状況、設定、及びログを確認してみると、より良いシャードーITの対策ができます。

3.まとめ

 今回はシャドーITを題材に、思っている以上に様々なクラウドサービスが使われている可能性が高いこと、クラウドサービスの管理者権限の有無、Webプロキシ等で注意を払うべき、SSL/TLSの対応、設定、ログの確認の必要性について紹介しました。社員の生産性を考えた時にクラウドサービスの利用を禁止を前提にするのは、多くの企業で非現実的になっています。利用状況を把握し適切なルールのもとにコントロールしてリスク管理すると、安心して生産性向上や効率化のためにクラウドサービスの活用が促進できます。

著者:マカフィー株式会社 マーケティング本部

情報漏えいの発生原因から見る効果的なルール作りと対策

企業価値までも脅かす情報漏えい。一件当たりの平均想定損害賠償金額は6億円に達するという調査もあります。情報漏えいで優先すべき対策はどのようなものでしょうか?

<掲載内容>
■情報漏えい発生原因ワースト10
■情報漏えい対策の4つのルール
■セキュリティ製品による基本的な3つの対策
■一歩進んだDLP(Data Loss Prevention)による対策

本資料で情報漏えいが発生する原因を理解したうえで、適正なソリューションを活用した効果的な対策作りにお役立てください。