SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

CASB(Cloud Access Security Broker)入門

これでも「弊社はシャドーITのリスクは無い」と断言できるか?軽視されるシャドーIT、代表的な脅威とは

 企業のクラウドシフトに併せて、CASBはセキュリティ市場で最も注目されている技術の一つだ。CASBには、大きく分けて2つの機能が実装されている。一つは社内のシャドーITを可視化する機能(クラウド利用状況可視化)。もう一つがOffice365やAWSといった個々のクラウドサービスのセキュリティを強化する機能だ。今回は、シャドーIT可視化機能について解説する。

軽視されるシャドーIT

 クラウド/モバイル時代において、多くの企業が脅威を正しく認識できていないと思われるのが、シャドーITである。ジェムアルト社の「2018 Global Cloud Data Security Study」によれば、自社が利用しているクラウドサービスをすべて把握できている企業は25%にすぎないという。8割近い企業でクラウドの利用状況を把握できていないのである。    

 CASBの主要機能の1つであり、クラウド時代の重要なセキュリティ要素でもあるシャドーIT可視化機能であるが、筆者が顧客にシャドーITについて説明すると、次のような誤解をされていることがよくある。

1.クラウドを使って無いから、シャドーITはありません

 シャドーITとは「IT部門等の管理部門が把握できていないクラウド」の事であり、Office365やBoxを利用していなくても、社員が勝手に利用する「シャドーITが存在しない理由」にはならない。実態を把握もせずに、憶測だけで「安全」と決め込むのは非常に危険な状態だ。

2.プロキシやURLフィルタリングで止めているから大丈夫

 社内からインターネットへのアクセスを制御するために、プロキシやURLフィルタリングでブロックしているから大丈夫。そう考えたくなるのは当然だが、実際には、CASBの可視化ソリューションを利用すると、プロキシやURLフィルタリングで殆ど止められていない実態に気づくことになるだろう。

 CASBベンダーによるシャドーIT可視化ソリューションでは、一企業あたり1000個前後のクラウドサービスが検出されるのが一般的である。これは多数のクラウドサービスがこれらの制御装置をすり抜けてしまっているからに他ならない。

 メジャーなクラウドサービスはこれらの制御装置でもブロック可能だが、新しいクラウドサービスや、日本固有のサービス等はこういった制御装置で検出できないことも多く、「抜け穴」ができてしまっているのが現実だ。CASBベンダーの大半は、このシャドーIT可視化については無償PoCを提供しているため、一度トライしてみることを推奨する。

3.シャドーITの存在を隠蔽したい

 これは誤解というわけではなく、むしろシャドーITのリスクを認識していてるのだが、その存在を「隠蔽」しようとする情報システム部門も存在する。企業によっては「厳格なクラウド禁止令」が出ていることもあり、シャドーITのリスクは認識しているものの、CIOやCTOには「シャドーITは存在しない」と報告しなければならず、調査もせずに「存在しないもの」として処理するするというのだ。

 このようなケースは稀であると信じたいが、情報システム部門がシャドーITの存在を隠蔽する可能性もゼロでは無いため、リスク管理部門主体でクラウド利用状況の現状を把握する仕組みはあった方が良いだろう。

次のページ
シャドーITの代表的な脅威

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
CASB(Cloud Access Security Broker)入門連載記事一覧

もっと読む

この記事の著者

大元 隆志(オオモト タカシ)

伊藤忠テクノソリューションズ株式会社 クラウドインテグレーションビジネス推進部 エキスパートエンジニア 
国士舘大学 経営学部 非常勤講師 
通信事業者のインフラ設計、提案、企画を12年経験。現在はCASBソリューションのセールス開発・プリセールスを担当する一方で、国士舘大学 経営学部に...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10334 2018/02/09 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング