ShadowITの実態(1) データ暗号化はわずか8.1％。業務に便利なサイトから情報漏えい

クラウド上に保存されたデータのセキュリティ管理はサービス提供者によって異なりますが、McAfee社の調査^※1では、データを暗号化して保管しているのはわずか8.1％、アカウント削除時にデータを削除するのは13.3％、多要素認証が行われているのは18.1％です。安易なクラウド利用はハイリスクです。

ところが、ユーザ自身にクラウドサービスを利用している自覚がないまま、無料の翻訳サイトやファイル結合サイトなどを利用するうちに、思わぬ形で情報が流出することが現実に起きています。典型として、次のような例が挙げられます。

「英文メールを書くときに翻訳サイトを利用したところ、著作権が共有されてしまい、メールの内容がインターネット上に公開されてしまった」

「外部クラウドストレージサービスを使ったら、ダウンロードURLが広告サイトを経由して外部に流出し、ファイルが流出してしまった」

「大容量データの共有のため、外部のクラウドストレージを利用したら、暗号化されておらず、機密情報が漏えいしてしまった」

「データ削除の期間が設けられておらず、クラウドサービス上にデータが残り続けている」

業務に便利なサイトを手軽に利用するうちに、機密情報が漏えいしてしまうのです。

ShadowITの実態(2) 管理者の想像の50倍以上も利用。ほぼすべての企業で発生

クラウドのShadowITは、情報システム部門が考えるよりも頻繁に利用されています。McAfeeの調査^※1では、「企業で利用されているクラウドサービスの数」について、情報システム部門の予想の平均値が37件だったのに対し、実際は1935件でした。実に想像の50倍以上です。

マクニカでは、CASBの導入を検討中の企業に向けて、無償でクラウドサービスの利用実態を可視化するPoC（Proof of Concept）を提供していますが、ほぼすべての企業で予想外のクラウドサービスの利用が見つかります。情報システム部門として整備した大容量クラウドストレージがあるにも関わらず、外部のファイル共有サービスが20個以上も利用されていた企業もありました。

ShadowITの実態(3) 実態把握が困難。プロキシやファイアウォールでの対策も不十分

従業員が外部のクラウドサービスを利用する理由として「取引先からの希望」「HTTP通信が使えるため高速」「登録が不要で、利用が容易」といった点が挙げられます。使用されるサービスは多岐にわたり、利用状況をすべて把握するのは困難です。各サービスの安全性を逐一判断することも、現実的に不可能でしょう。

プロキシサーバやファイアウォールでアクセス制限をかけている企業も多いですが、トップレベルドメインのみの設定では不十分です。また、URLフィルタリングで業務上許可しているカテゴリに含まれるクラウドサービスのリスクはわかりません。本来なら制限するべきアクセスが、許可されているケースが散見されます。

CASBで解決。クラウドのShadowIT対策の3ステップとは？

それでは、クラウドのShadowITには、どのような対策が必要なのでしょうか。次の3ステップで行うことがポイントです。

＜クラウドのShadowIT対策の3ステップ＞

1. 利用状況の可視化
2. 利用ポリシーの策定
3. 運用の定着化

これらを無理なく実現し、クラウドのセキュリティを強化するソリューションがCASB（Cloud Access Security Broker）です。CASBの代表格であるMcAfeeのCASB「MVISION Cloud」を例に、CASBを活用したShadowIT対策をご紹介します。

ステップ(1)　MVISION Cloudを手軽に導入。クラウドの利用状況を可視化

まずは、プロキシサーバやファイアウォールの通信ログをCASBで解析し、クラウドサービスへのアクセス状況を可視化します。どのユーザがどのサービスに対して、どの程度アクセスしているかを、サービスの詳細や、リスクの有無と併せて、一覧画面で確認できます。

多くのCASBでは、導入時に端末へのエージェント導入やプロキシサーバの変更をともないますが、「MVISION Cloud」は、プロキシやファイアウォールのログ解析用サーバにログを転送するのみでよく、既存のネットワークの構成を変更することなく導入できます。

ステップ(2) CSA準拠29,000件のリスク指標を参考に、自社の利用ポリシーを策定

次に、自社のクラウド利用ポリシーを策定します。しかし、多数のクラウドサービスについて、リスクや安全性を個別に判断するのは困難です。

「MVISION Cloud」では、その参考になる指標として、国内外、およそ29,000のクラウドサービスの信頼性を評価しています。クラウドのセキュリティ確保に取り組む非営利団体「Cloud Security Alliance （CSA）」のガイドラインに基づき、「データの暗号化」「多要素認証」といった約50の評価項目を用いて、9段階でリスクを定量化しているのです。登録済みサービスの再評価も半年ごとに行われます。データ数が豊富で、反映もスピーディなので、「リスク指標だけを導入したい」という企業も多くあります。

こうした指標を参考にして、自社のクラウド利用ポリシーを策定するとスムーズです。

ステップ(3) 代表的なアライアンスとの自動連携で、スムーズに運用を定着化

CASBで出力される月次レポートなどを活用し、定期的にクラウドの利用状況を確認します。自社の基準と照合し、必要に応じて、ユーザへの注意喚起や、サービスの利用停止設定を行います。「MVISION Cloud」では、代表的なサーバ製品やファイアウォール製品と自動的に連携して、サービスの利用を停止することも可能です。

CASBを活用して、(1)から(3)の一連のプロセスを継続的に実施し、運用を定着させるのが、クラウドのShadowIT対策のポイントです。McAfeeの「MVISION Cloud」は、導入や運用が容易で、信頼性が高く、ShadowIT対策として最適です。

※1 出典：McAfee Cloud Adoption & Risk Report 2019

※取材当時の情報となります。