シャドーITと思っていなくても、それはシャドーITです

 様々なクラウドサービスが社内から便利に利用できるようになり、これまで企業が社員のためにオンプレミスで用意していたサービスの多くがクラウドサービスに移行するようになりました。ルール上は認められていない個人レベルでクラウドサービスを使うケースがあったり、便利さゆえに社員や一部の組織が勝手にサービスの契約をして業務に使ったりして、リスクになりかねない状況になるケースも多いようです。このブログではクラウドサービスの活用がシャドーITにならないように管理者の視点で気を付けるべき注意点を紹介します。


1.社員のクラウドサービス利用状況の把握

1-1 シャドーでないIT

 セールスフォースやO365のように会社が導入し社員が利用しているものがありますが、こちらはシャドーITの対局にあり日の当たっているITです。ただし、クラウドサービスには様々な機能を提供するものがあるので、場合によっては機能ごとに許可や禁止を考える必要があります。

1-2 想定の範囲のシャドーIT

 オフィス系のドキュメントがリッチになりサイズが大きくなってメールの添付では送れない!という場合に、気軽に使えるクラウドベースのストレージサービスなどは、使われているかもしれないなぁという、想定の範囲内のシャドーITではないでしょうか?情報漏洩の温床になる懸念があると認識されているはずです。利用状況を把握したいとか、Webプロキシでチェックしたりフィルタを設定しているなどの対応をしていたり、今後のシャドーIT対策の課題として想定している組織も多いはずです。

1-3 意外なシャドーIT

 一方で、そんなクラウドサービスがあるんだ!という意外なものや、あまり知られていないサービスに加えて、ほとんどの人が無意識に使用しているクラウドサービスもあります。解らない英単語をWeb上のサービスで訳を確認したことってありますよね?単語くらいなら良いのかもしれませんが、重要な英文契約書をクラウドの翻訳ツールで翻訳していたりすると、情報漏洩に近い状況かもしれません。
 多くのIT管理者は会社で認めているクラウドサービス以外で社員が使用しているものは、せいぜい50とか多くても100と想定することが多いようです。しかし、良く考えてみると翻訳ツール以外にも、お客様訪問のための経路確認、SNS、飲み会の日程調整のためのアンケートなど多くのクラウドサービスが使われていて1,000を超えるケースも珍しくありません。サービスによっては意外に多くのデータ量が組織内からクラウドへ出て行っていることがあります。

1-4 可視化と制御

 最近はCASB(Cloud Access Security Broker)と言われるカテゴリのソリューションがあり、クラウドサービスの利用状況を可視化したり、制御したり、クラウドにアップロードされるデータを暗号化したりする製品もあり注目が高まっています。このブログを読んでいただいている読者の中には既に導入済みだったり、導入検討を進めている方もいるかもしれません。


2.管理視点での注意点

2-1 管理者権限や機能の有無

 社員が利用しているサービスには管理者権限や管理者の機能が提供されているものと、提供されていないものがあります。会社として導入とか利用を許可する際に、管理者機能があるものであれば管理者側から、社員の利用についてコントロールできる可能性が高まります。逆に、管理者機能がないサービスをコントロールするのは難しいので会社として利用を許可するか、禁止するか判断するときに気を付けるべき点になります。

2-2 SSL/TLS通信の比率の増加

 昨今はWeb通信におけるSSL/TLSの使用率が高くなっています。Googleが公開しているTransparency Report(HTTPSの使用状況に関する情報)では日本はやや遅れいている印象もありますが増加傾向であることが分かります。SSL/TLSに対応しているサイトが良く使われるような環境の組織では、外部にアクセスする通信のSSL/TLSの比率が90%を超える場合もあります。Webプロキシやファイアウォールでログで監視している場合でもSSL/TLSが使用されている場合とされていない場合ではログに残る情報が異なる場合が多くあります。
 本来カテゴリ別にURLフィルタでアクセスの許可や禁止の設定をしていても、SSL/TLSに対応していない場合は上手く機能していないケースがあります。SSL/TLS通信の比率の向上を機会に、WebプロキシをSSL/TLS対応したものに変更する企業もあります。

 SSL/TLS通信に対応していない場合、単に接続し通信が発生したという記録はログに残りますが具体的にどんなサービスか?どのようなやり取りが発生したのか具体的に把握しにくい場合があります。また、ログの確認と合わせて設定のチェックも必要です。サービスのコネクション数などの問題でいくつかのクラウドサービスはWebプロキシの処理で除外設定がされている場合もあります。
 シャドーITが気になったときは、CASBのようなソリューションの活用検討と合わせて、ファイアウォールやWebプロキシで、SSL/TLS通信の対応状況、設定、及びログを確認してみると、より良いシャードーITの対策ができます。


3.まとめ

 今回はシャドーITを題材に、思っている以上に様々なクラウドサービスが使われている可能性が高いこと、クラウドサービスの管理者権限の有無、Webプロキシ等で注意を払うべき、SSL/TLSの対応、設定、ログの確認の必要性について紹介しました。社員の生産性を考えた時にクラウドサービスの利用を禁止を前提にするのは、多くの企業で非現実的になっています。利用状況を把握し適切なルールのもとにコントロールしてリスク管理すると、安心して生産性向上や効率化のためにクラウドサービスの活用が促進できます。

著者:マカフィー株式会社 マーケティング本部

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速