Special Feature

ハイブリッドワーク環境に対応する シャドーIT対策ソリューション

2022/07/07 09:00

週刊BCN 2022年07月04日vol.1929掲載


 企業の管理下にないツールやサービスが、現場の独断で業務に利用されている「シャドーIT」。IT管理者にとって長年の頭痛の種となっているこの問題は、コロナ禍での在宅勤務の拡大によってさらに深刻さを増した。しかし、シャドーITに手を出す社員のほとんどは、悪意ではなく生産性を向上させたいがためにそれを使っているはずだ。ハイブリッドワークの世界を迎えようとしている今、企業はシャドーITとどう付き合えばいいのか。対策に向けた考え方とソリューションを追う。
(取材・文/岩田晃久、日高 彰、齋藤秀平)

NRIセキュアテクノロジーズ
現場を交えたルール作りが肝要

 セキュリティ専門サービス事業者のNRIセキュアテクノロジーズには、シャドーIT対応の引き合いが継続的に寄せられている。同社クラウドセキュリティ事業部の境文也・シニアセキュリティコンサルタントは、リモートワークの普及や、データのやりとりにおいてクラウドストレージが主流になってきたこと、各クラウドサービスの接続が容易になったことなど、IT環境の変化がシャドーIT増加の要因として挙げる。
 
NRIセキュア テクノロジーズ 境 文也
シニアセキュリティコンサルタント

 境シニアセキュリティコンサルタントは、シャドーITが生まれる理由として、機密情報の持ち出しといった内部不正の手段として使われるケースと、社員が業務効率化を図るために使用するケースを挙げる。「後者の場合は、社員に悪意があるわけではなく、生産性の向上などビジネスを推進する手段として利用している。企業側はシャドーIT対策をする際、どういった目的で社員が利用しているのか知ることが重要だ」と語る。

 企業側は、業務利用を認めるクラウドサービスやデバイスを明確にして、社員に周知するのが重要となる。その際、厳格なルールにし過ぎると、社員から不満が出たり、情報システム部門の運用負荷が増えるといった課題も生まれる。そのため「各部門のニーズをヒアリングするなどして、ルール作りをするのが大切」(境シニアセキュリティコンサルタント)。「例えば、データをクラウドでやり取りする際に、取引先との関係もありダウンロード先のクラウドサービスを限定するのは難しいが、アップロード先は社内で一つのサービスに限定する。これだけでも(情シス部門の)運用負荷の軽減になる」(同)。最近では、このように社員の要望を取り入れて、従来よりも柔軟なルール作りをする企業が増えているとしている。

 シャドーITで多いのは、許可されていないSaaSを利用するケースだ。そのセキュリティ対策としては、CASB(Cloud Access Security Broker、キャスビー)が有効だとされる。CASBには、利用しているサービスとAPI連携して操作やログインの情報を集約して検知する「API型」▽通信経路上で検知する「プロキシ型」▽集約したログをもとに検知する「ログ分析型」といった種類があるが、境シニアセキュリティコンサルタントは「CASBは製品により対応できるSaaSの種類が異なるため、対応できるSaaSがどれだけあるのかを把握するのが重要となる。加えて、可視化をメインにする場合はAPI型やログ型を、よりクラウドに寄せた対策を施したい場合はプロキシ型といったように、目的を明確にして選定する必要がある」とアドバイスする。

 企業の各部門がパブリッククラウドを許可なく使用するケースもシャドーITの一つだとされる。パブリッククラウドの場合、設定ミスによる情報漏えいが多いため、CSPM(Cloud Security Posture Management)を活用し、設定ミスがないかを速やかに把握し、その後、利用されているパブリッククラウドの利用の許可などを含めた取り扱いを検討するべきだとしている。

 個人のデバイスから企業の契約するクラウドサービスに接続する際は、IDaaSを用いてクラウドサービスへの入り口を一つにし、接続元のデバイスの条件を把握することで対策できる。また、情報の搾取を目的としたシャドーITには、ユーザーの行動を分析し、異常行動が起きた際に検知するUEBA(User and Entity Behavior Analytics)が有効だという。

 これからシャドーIT対策をする企業には「社内でどういったクラウドサービスやデバイスが利用されているのか、CASBで調べたり、社員へのヒアリングを行うなどして、現状把握をするのが先決だ。その上で、社内のルール作りやセキュリティ製品の導入、社員への教育を、段階を踏んで施していく必要がある」と境シニアセキュリティコンサルタントは見解を述べた。
この記事の続き >>
  • フォースポイント(Bitglass) CASBの目的は“野良SaaS”探しだけではない
  • メタップス 国内初の機能で対策を強化

続きは「週刊BCN+会員」のみ
ご覧になれます。

(登録無料:所要時間1分程度)

新規会員登録はこちら(登録無料)

会員特典

詳しく見る
  1. 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
  2. メールマガジンを毎日配信(土日祝をのぞく)
  3. イベント・セミナー情報の告知が可能(登録および更新)
    SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。
  4. 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!
  • 1