自社で利用しているクラウドサービス、いわゆるSaaS(Software as a Service)を列挙してみると、思いのほか結構な量になっていたという話はよく耳にします。おそらく正規にシステム担当者経由でアカウントを取っているものは把握できていると思いますが、社内で利用しているSaaSはそれだけでしょうか?
たとえばある部署ではお客様との連絡に別のクラウドサービスを利用していたり、別の部署ではメールで届かないサイズのファイルを送るためにクラウドサービスを利用していたり…と、システム管理部門が実は確認できていないサービスが存在していることもあります。もちろん、やむにやまない事情で使用していることがほとんどなので、一括で禁止してしまえばお客様とのやりとりで不都合になってしまうことが必至です。事情を把握した後も、そのまま使用させていることもあるでしょう。
ただ、このような利用状況が増えてしまうと情報の制限が意味をなさなくなり、せっかく策定したセキュリティポリシーが形骸化してしまいがちです。今回はこのような、把握できていないものの自社で使用されてしまっている「シャドーIT」に焦点を当てて、セキュリティ担当者としてシャドーITにどのような対応をしていくべきなのかを紹介いたします。
シャドーITとは何か?
自社を見回してみると、いつの間にか社員のPCに、お客様とのやりとりをしている見知らぬメッセージングサービスが動いているな、と気付くことがあります。たとえばLINEやSkype、場合によってはSlackなどのチャットサービスがその典型例です。
確かにそれらのツールは利用している人も多く、とても便利なツールではありますが、その利用しているアカウントは自社で取得したものでしょうか。さらに言えば、そもそもシステム管理者( セキュリティ担当者)にサービスの使用許可を取っているでしょうか。
幾多のクラウドサービスが世の中に存在している昨今、自社で承認をされていない状態でSaaSを利用している社員や部署も多いでしょう。これらを総称して「シャドーIT」と言います。
もともとは社内の承認を得ていないデバイスを自社に持ち込むことを、シャドーITと呼んでいました。いわゆるBYOD(Bring Your Own Device)でスマホやノートPCなどを持ち込んでいる状況でよく見られます。ちなみに、社内のコンピュータや配布されたスマホなどに、自分が利用しているアプリなどをインストールすることをBYOA(Bring Your Own Application)と言います。
クラウドのサービスを使ったシャドーIT
上述のようなスタイル(BYOD、BYOA)のシャドーITはコンピュータ利用の制限などで対応することが可能でした。しかし、クラウドサービスの持ち込みはBYOB(Bring Your Own Behavior)と呼ばれ、そのような制限で対応できなくなってきました。
ブラウザ上で問題なく動作するため、接続に関する制限はほとんどありません。さらにアカウントを作成することも容易で、外部から持ち込まれたアカウントに自社のコンピュータから接続することも可能です。そのため、個人の利便性は高まる一方で、管理外のサービスを利用することによるセキュリティリスクが大きく上昇することになります。
システム管理者としてセキュリティポリシーを制定し、かつ、ファイアウォールなどで制限をかけようとしても、場合によっては部署まるごとがシャドーITに依存してしまっていることもあります。制限をかけられたとはつゆしらず、「このサービスが使用できなくなったんだけど」などとクレームがくることすらあるのです。
シャドーITの利用状況を監視・確認することはなかなか困難であり、同時にセキュリティ担当者にとっては頭痛の種となっていると言えるでしょう。
シャドーITによるインシデント事例
シャドーITはセキュリティリスクそのものだと言う事例は、枚挙にいとまがありません。最近の実例として有名なものに「宅ふぁいる便」による情報漏洩があります。一般的にメール添付によるファイル送信はサイズに制限があるものがほとんどです。そこで、大容量のファイルを送信する際に「オンラインストレージ」がよく利用されています。
その中でも老舗として知られていたのが「宅ふぁいる便」でした。大阪ガスという大企業の子会社であることから多くのユーザーに信頼され、同時に利用方法がわかりやく簡単なため、大容量データ送信サービスとして多くの方に利用されていました。確認が容易という点からシャドーITとして使われ、多くの企業で事後黙認のような形を取られていたことが確認されています。
その「宅ふぁいる便」サービスにおいて、2019年1月に大規模な個人情報の流出が確認されました。この際に流出した情報は登録していた個人情報にとどまらず、パスワードにまで及び、第三者が宅ふぁいる便上に送信していたファイルを閲覧することすら可能な状態になっていたのです。
この事故の報告書では「預かりファイルの漏洩はなかった」とされていますが、悪意のある第三者の手にわたる可能性があったことは間違いありません。シャドーITのみならずSaaSを使用する上において大きなリスクがあることを認識させられた事件でした。
ちなみに、シャドーITの発見という点においては、この事件でメールアドレスが流出したことによって「宅ふぁいる便」を自社で利用していたことが判明した、という例も存在しています。
クラウド時代のシャドーIT対策、CASBとは
シャドーITはその特徴からなかなかシャドーITだと判別することができず、監視の目が行き届かなくなりがちです。そのようなシャドーITを発見・監視するツールとして最近脚光を浴びているのがCASB(Cloud Access Security Broker)です。
CASBはアメリカの調査会社であるガートナー社が2012年に初めて提唱したコンセプトです。ユーザーとクラウドプロバイダーの間に配置することで、クラウドサービスの利用状況の可視化と制御を実施。セキュリティポリシーの正しい適用を行います。ファイルウォールに近いものではありますが、それよりも明確に「SaaSのサービスを対象として、通信を制御する」ことに特化したツールであると言えるでしょう。機能としては以下のようなものがあります。
・SaaS別の利用状況とリスク
・SaaS別の利用者調査
・SaaS別の帯域利用状況
・それらの管理・制御
このような機能によってシャドーITを遮断できるのはもちろんですが、「誰が利用しているのか」を把握することでそのユーザーに対してセキュリティポリシーの教育などの対策を講じることができます。正しくシャドーITを防ぐこと、さらには柔軟なSaaSの導入検討などが可能となるのです。
CASBはいくつかの企業から販売されていますが、セキュリティスイートの機能として統合されている場合もあります。ぜひ一度自社のセキュリティスイートの機能を確認してみましょう。
まとめ 正しいセキュリティポリシーを教育せよ
クラウド時代となった現在、シャドーITが社内に生まれてしまうのは避けられません。シャドーITはセキュリティ担当者にとってはセキュリティリスクを高めてしまう大きな問題ではありますが、正しく対応することによって社内のユーザーの不満を生まずにSaaSの導入を指導し、ガバナンスの教育を行う一端となり得ます。
CASBはそれらの一助となることは間違いありませんし、セキュリティソフトのネットワーク監視機能の一部としてそのような機能が提供されているものもあります。セキュリティポリシーを策定し、シャドーITすら成長の糧にするという、自社の発展の一助とできるよう、まずは検証してみるところから始めてみてください。