シャドーITは企業としてどう対応したら良いのか?CASBとは?

はじめに

2017年にGartner社が提唱してから日本でもしきりに叫ばれるようになったシャドーIT。

インターネットで検索しても自社サービスに誘導するようなクソビジネスライクな記事しかなく、企業としてどのような方策をとったら良いのかの指針が見当たりませんでした。

一方でIPAは、政府調達するクラウドサービスの選定基準を制定し始め、ますますクラウドサービス安全な利用が進められていく時期に来ていると感じます。

シャドーITとは

まず、この記事を書く前にシャドーITの定義を明確にしておきます。

Gartner社は以下のように説明されています。
Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations.
訳)シャドーITとは、IT組織の所有権または管理外にあるITデバイス、ソフトウェア、およびサービスを指します。
よくシャドーITの対策としてCASBを導入しましょうといった記事を見かけますが、シャドーITの対策としてはITデバイス(個人のスマホ、タブレットなど)、ソフトウェア(個人でダウンロードしたものなど)も指すということです。

シャドーITの例

上述の通りシャドーITとはクラウドサービスに固執しませんので、例えば以下のものがあります

クラウドサービス 

Google Drive, One Drive, Box, DropBoxなどファイルストレージサービスや、Google翻訳などの翻訳サービスもクラウドサービスとして分類されます。

クラウドサービスについては後述で詳細を説明しますので、この章では割愛します。 

デバイス、機器(個人のIPADなど) 

BYOD(Bring Your Own Device)として、個人で保有しているスマートフォンやPCを業務として利用するケースもあります。

企業としては管理するデバイスを減らすことで購入・維持に関するコスト削減。従業員としては普段使っているデバイスであることから、学習コストが低く生産性が向上するメリットがあります。

その一方でBYODのデバイス・機器は企業の管轄下にないため、OSのバージョンアップやセキュリティパッチなどの適用が把握できません。ウイルス感染や紛失をした際に企業側からアプローチできなくなるデメリットも含んでいます。

また、USBメモリやSDカードなどの物理ストレージも紛失の危険性があります。

個人で契約しているネットワーク

在宅勤務時に自宅のインターネット回線やWifiルータを使用することもあるかと思います。ネットワークのパスワードは適切に設定されているでしょうか。
HTTPS接続していない場合は、そういったネットワーク機器から情報流出してしまうケースも考えられます。

クラウドサービスにおけるシャドーIT

この記事では主にクラウドサービスにおけるシャドーITについて説明していきます。

クラウドサービスの定義

クラウドサービスとは、インターネット上でデータを保有し、何らかの機能に活用するサービスとします。

例えばYoutubeは、インターネット上に動画データを保存し、閲覧者に適切な形で配信するサービスということで、クラウドサービスに分類されます。視聴者側からはただのWebページかもしれませんが、運営の形態によってクラウドサービスとして認識します。

解釈は企業や人によって異なるかと思いますので、ご自身の状況に合うように曲解してください。

シャドーITを使うことによるリスク

シャドーITが従業員に使われるのにはどういったリスクが有るのかを見ていきます。

LINE、Slack、Teamsなどのチャットツール 

Emailよりもフランクにメッセージを送れるサービスとして日常生活にも馴染みがあるチャットツールですが、業務で使用するには注意が必要です。
不正アクセスによりアカウント乗っ取りや、端末の紛失、宛先の誤りはEmail同様リスクとしてあげられます。

メールツール

会社で用意していないメールサービスもブラウザから利用可能です。例えばGmailやYahoo mailがそれに当たります。チャットサービス同様にアカウント乗っ取りにより不正なログインに注意が必要です。

また、会社と異なる環境で迷惑メールのフィルター条件なども異なるため、社内では通常受け取らないようなフィッシングメールなどの被害に合うことも想定できます。

ストレージサービス

シャドーITと聞いてもまっさきに思い当たるものがストレージサービスではないでしょうか。
例えばGoogle Drive, One Drive, Boxなどがそれに当たります。

有名なストレージサービスでは、オンプレミス環境のファイルサーバ以上にセキュリティへの投資は行っており、対策は十分であると思います。
しかし、ユーザーの使用方法によってファイルが閲覧可能な状態になっていることなど多々あります。

Google Driveではクリックひとつで全世界への公開が可能ですので、共有設定ができているかの確認・ユーザー教育も必要です。(設定で社内のみ等に変更可です)


名刺管理サービス

名刺をクラウドサービスにアップロードしてもクラウド事業者からの閲覧はできないようになっているはずです。(実際どのような運営さがれているかわかりませんが、クラウド事業者での許可なき閲覧は個人情報保護法にて禁止されています。)

この場合会社の知らない場所に情報が保管されていることになります。
社内での利便性はもちろん向上するので、シャドーITではなく会社単位で導入を検討してはいかがでしょうか。
従業員数が多い場合は漏洩のリスクと被害が発生した際の金額、サービス契約にかかるコストを比較すると良いでしょう。

クラウド型の画像変換サービス、翻訳サービス

クラウド上で画像を処理したり、PDFの加工を行うサービスは非常に便利で高機能なものが増えていますが、注意が必要です。
社内の機微な情報をクラウド上にアップロードすることで、クラウド事業者からは閲覧が可能な状態となります。(名刺とは異なり個人情報とは限らないため、個人情報保護法の範囲外となる恐れがあります。詳しくはサービスの利用規約や免責事項をご確認ください)

また、パスワード生成サイトも同様に注意が必要です。
生成したパスワードをリストにしておくことで、存在するパスワード一覧が作成されてしまいます。

その他雑多なもの

例えばマルウェア解析や不審なサイトの判断に利用する「VirusTotal」というサービスでは、ファイルをアップロードしてマルウェアか判断する機能があります。
英語のサイトですが直感的に利用できるため、顧客から送られてきたExcelをアップロードしてスキャンしてしまうケースなどが散見されます。



このサイトではアップロードされたファイルは自由に閲覧できる仕組みとなっているため、この場合顧客から送られてきたExcelが閲覧可能な状態になります。

こういった、機能を知らないまま利用できてしまうクラウドサービスも対応していく必要があるでしょう。

対応策

ここまでリスクを説明してきましたが、企業としてどのように対応していけばよいのでしょうか。
もちろん事業の形態や部署によっても異なると思いますので、適宜必要な部分をピックアップして参考にしていただければと思います。

[残念ながらここから先は現在執筆中です。コーヒーを送るか他のサイトを閲覧してお待ち下さい。もしくはコメントなどいただければ頑張って書く可能性があります]

コメント