軽視されるシャドーIT
クラウド/モバイル時代において、多くの企業が脅威を正しく認識できていないと思われるのが、シャドーITである。ジェムアルト社の「2018 Global Cloud Data Security Study」によれば、自社が利用しているクラウドサービスをすべて把握できている企業は25%にすぎないという。8割近い企業でクラウドの利用状況を把握できていないのである。
CASBの主要機能の1つであり、クラウド時代の重要なセキュリティ要素でもあるシャドーIT可視化機能であるが、筆者が顧客にシャドーITについて説明すると、次のような誤解をされていることがよくある。
1.クラウドを使って無いから、シャドーITはありません
シャドーITとは「IT部門等の管理部門が把握できていないクラウド」の事であり、Office365やBoxを利用していなくても、社員が勝手に利用する「シャドーITが存在しない理由」にはならない。実態を把握もせずに、憶測だけで「安全」と決め込むのは非常に危険な状態だ。
2.プロキシやURLフィルタリングで止めているから大丈夫
社内からインターネットへのアクセスを制御するために、プロキシやURLフィルタリングでブロックしているから大丈夫。そう考えたくなるのは当然だが、実際には、CASBの可視化ソリューションを利用すると、プロキシやURLフィルタリングで殆ど止められていない実態に気づくことになるだろう。
CASBベンダーによるシャドーIT可視化ソリューションでは、一企業あたり1000個前後のクラウドサービスが検出されるのが一般的である。これは多数のクラウドサービスがこれらの制御装置をすり抜けてしまっているからに他ならない。
メジャーなクラウドサービスはこれらの制御装置でもブロック可能だが、新しいクラウドサービスや、日本固有のサービス等はこういった制御装置で検出できないことも多く、「抜け穴」ができてしまっているのが現実だ。CASBベンダーの大半は、このシャドーIT可視化については無償PoCを提供しているため、一度トライしてみることを推奨する。
3.シャドーITの存在を隠蔽したい
これは誤解というわけではなく、むしろシャドーITのリスクを認識していてるのだが、その存在を「隠蔽」しようとする情報システム部門も存在する。企業によっては「厳格なクラウド禁止令」が出ていることもあり、シャドーITのリスクは認識しているものの、CIOやCTOには「シャドーITは存在しない」と報告しなければならず、調査もせずに「存在しないもの」として処理するするというのだ。
このようなケースは稀であると信じたいが、情報システム部門がシャドーITの存在を隠蔽する可能性もゼロでは無いため、リスク管理部門主体でクラウド利用状況の現状を把握する仕組みはあった方が良いだろう。
