企業のクラウドシフトに併せて、CASBはセキュリティ市場で最も注目されている技術の一つだ。CASBには、大きく分けて2つの機能が実装されている。一つは社内のシャドーITを可視化する機能(クラウド利用状況可視化)。もう一つがOffice365やAWSといった個々のクラウドサービスのセキュリティを強化する機能だ。今回は、シャドーIT可視化機能について解説する。
軽視されるシャドーIT
クラウド/モバイル時代において、多くの企業が脅威を正しく認識できていないと思われるのが、シャドーITである。ジェムアルト社の「2018 Global Cloud Data Security Study」によれば、自社が利用しているクラウドサービスをすべて把握できている企業は25%にすぎないという。8割近い企業でクラウドの利用状況を把握できていないのである。
CASBの主要機能の1つであり、クラウド時代の重要なセキュリティ要素でもあるシャドーIT可視化機能であるが、筆者が顧客にシャドーITについて説明すると、次のような誤解をされていることがよくある。
1.クラウドを使って無いから、シャドーITはありません
シャドーITとは「IT部門等の管理部門が把握できていないクラウド」の事であり、Office365やBoxを利用していなくても、社員が勝手に利用する「シャドーITが存在しない理由」にはならない。実態を把握もせずに、憶測だけで「安全」と決め込むのは非常に危険な状態だ。
2.プロキシやURLフィルタリングで止めているから大丈夫
社内からインターネットへのアクセスを制御するために、プロキシやURLフィルタリングでブロックしているから大丈夫。そう考えたくなるのは当然だが、実際には、CASBの可視化ソリューションを利用すると、プロキシやURLフィルタリングで殆ど止められていない実態に気づくことになるだろう。
CASBベンダーによるシャドーIT可視化ソリューションでは、一企業あたり1000個前後のクラウドサービスが検出されるのが一般的である。これは多数のクラウドサービスがこれらの制御装置をすり抜けてしまっているからに他ならない。
メジャーなクラウドサービスはこれらの制御装置でもブロック可能だが、新しいクラウドサービスや、日本固有のサービス等はこういった制御装置で検出できないことも多く、「抜け穴」ができてしまっているのが現実だ。CASBベンダーの大半は、このシャドーIT可視化については無償PoCを提供しているため、一度トライしてみることを推奨する。
3.シャドーITの存在を隠蔽したい
これは誤解というわけではなく、むしろシャドーITのリスクを認識していてるのだが、その存在を「隠蔽」しようとする情報システム部門も存在する。企業によっては「厳格なクラウド禁止令」が出ていることもあり、シャドーITのリスクは認識しているものの、CIOやCTOには「シャドーITは存在しない」と報告しなければならず、調査もせずに「存在しないもの」として処理するするというのだ。
このようなケースは稀であると信じたいが、情報システム部門がシャドーITの存在を隠蔽する可能性もゼロでは無いため、リスク管理部門主体でクラウド利用状況の現状を把握する仕組みはあった方が良いだろう。
この記事は参考になりましたか?
- CASB(Cloud Access Security Broker)入門連載記事一覧
- この記事の著者
-
大元 隆志(オオモト タカシ)
伊藤忠テクノソリューションズ株式会社 クラウドインテグレーションビジネス推進部 エキスパートエンジニア
国士舘大学 経営学部 非常勤講師
通信事業者のインフラ設計、提案、企画を12年経験。現在はCASBソリューションのセールス開発・プリセールスを担当する一方で、国士舘大学 経営学部に...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
