従業員が自分でクラウドサービスを見つけ出し、仕事に利用してしまう「シャドーIT」への対策は、企業IT担当者の頭を大いに悩ませている。だが、社内ユーザーも喜ぶ解決策があるという。キーワードは「CASB」だ。
今や、ほとんどの大企業の事業拠点がインターネットに接続し、従業員をはじめとするスタッフは、これを活用して仕事をしている。だが、このこと自体が、企業にとって頭の痛い問題を生み出しつつある。
従業員は、管理や制限をしないと、インターネット上のさまざまなサービスを利用する。私的な利用もあるが、業務上の必要性から、ファイル共有サービスなどを自ら見つけ出して利用するケースも多い。こうした「シャドーIT」は、セキュリティ上の大きな問題を生む。危険なクラウドサービスを利用することで、従業員の端末が、マルウエア感染する可能性が高まる。また、社内の重要な情報が流出する危険性もある。監査上、問題となるケースも多い。
こうした従業員のオンラインサービス利用をコントロールするのは、非常に難しい。まず、従業員のインターネット利用を完全に禁じるわけにはいかない、怪しいサービスへのアクセスを、ピンポイントで止めたとしても、従業員は、特に業務上のニーズがある場合、代わりとなるようなサービスを見つけ出して利用してしまう。また、それ以前に、「怪しいサービス」をどのように見つけ出すのかが問題だし、ネット上では次々に新しいサービスが生まれるため、企業のIT担当者がこれに対処し続けるのは不可能だ。
そこで、シャドーIT対策として、世界的に注目されているのが、「CASB」(キャスビー)だ。調査会社ガートナーは、「2016年までに、大企業の25%が、CASBプラットフォームを使い、クラウドサービスへのアクセスについてのセキュリティを確保し、(中略)これによってアクセスセキュリティコストを30%削減する」としている。
では、CASBとは何か。これは「Cloud Access Security Brokers」の略で、クラウドサービスと企業ユーザーの間に位置し、クラウドへのアクセスのセキュリティを確保するためのさまざまな機能を果たすソフトウエアだ。企業の拠点に導入される製品と、クラウド上で運用されるサービスがある。機能には、暗号化、監査、データ漏えい防止、アクセス制御、不正なふるまい検知などがあるという。
「CASBでまず非常に重要なのは、従業員の各種オンラインサービスの利用を可視化することです」と、米Skyhigh Networksのクリス・セシオ氏(同社ビジネスデベロップメント&チャネル担当バイスプレジデント)は話す。Skyhighは、CASBのサービスを提供している企業。500社以上を顧客に持ち、この分野では自他ともに認めるリーダー的存在だ。
Skyhighのサービスでは、企業の拠点に設置されたファイアウオールやプロキシと連携し、従業員がどのようなオンラインサービスを使っているかを示すことができる。IPアドレスと照らし合わせて、クラウドサービスの利用者の名前を表示することが可能なのだが、それだけではない。ユーザー組織のIT担当者は、従業員が利用しているオンラインサービスと、それぞれの安全性/危険性を一目で把握できる。
このセキュリティ評価サービスの裏では、セキュリティに関する有力な国際団体であるクラウドセキュリティアライアンス(CSA)が示す、オンラインサービスのセキュリティリスク評価指標などを用い、Skyhighの大規模な専任チームが、自動化ツールを駆使しながら、日夜オンラインサービスの評価作業を続けている。新しいオンラインサービスがどんどん生まれるだけでなく、サービスは、サーバーのURLやIPアドレスを変えることがあるため、セキュリティ評価データベースの頻繁なメンテナンスは不可欠だ。
CASBでまず非常に重要なのは、従業員の各種オンラインサービスの利用を可視化することです。
この、利用されているオンラインサービスと、セキュリティリスクを評価したリポート画面を使って、企業のIT担当者はどのような手を打てるのか。もちろん、リスクの高いサービスをファイアウオールやプロキシでブロックできる。だが、それだけでは対策として不十分だと、セシオ氏は力説する。
従業員がファイル共有サービスなどを利用するのは、「業務上必要だから」という場合が多い。クリス氏は、企業として、社内ユーザーが抱える業務上のニーズを満たすようなアクションをとるべきだという。
具体的には、例えば多数の社員がさまざまなファイル共有サービスを使っていることが分かったら、これを社員のニーズととらえ、自社の標準としてのサービスを選定し、これを利用するよう、社員に促すことができる。サービスを選ぶ際に、その安全性や管理性を考慮することはもちろんだ。それに加えて、社員の利用状況を人気投票だととらえ、できるだけ多くの社員がすでに利用しているサービスを選定できれば理想的だ。
こうして、セキュリティを高めながら、ユーザニーズを満たし、その生産性向上を支援できる。こうなってこそ、「ユーザーが喜ぶセキュリティ対策」といえると、セシオ氏は強調する。
Skyhighのサービスは、さまざまなクラウドアクセスセキュリティ対策機能を備えている。だが、冒頭でも触れたように、このサービスの重要な価値は、「誰がどのようなクラウドサービスをどのように利用しているか」を把握できることにある。単に利用状況を把握するだけでなく、「利用リスク」を見える化してくれるのだ。
このリスクの可視化は、大きく2つに分けられる。
クラウドサービス自体のリスクの可視化
クラウドサービスのリスクを評価するのは非常に手間と時間が掛かる。Skyhighのソリューションでは16000以上のクラウドサービスを50以上の項目で調査をして、リスクをポイント化している。
調査項目としては、保存データの暗号化手法、匿名利用の可・不可、認証方法などに加え、保存データの著作権主張内容など、非常に深い内容で判断をしている。
「例えば、コード共有サービス(『コードリポジトリ』とも呼ばれる)のなかには、コードをプッシュ(アップロード)すること自体を、そのコードのオープンソース化を承認したものとみなすものもあります。企業の社内で開発したコードであるにもかかわらず、それを利用するとオープンソースライセンス違反として訴えられてしまうこともあります。Skyhighではこうしたリスクを可視化します。そして、これに基づき、特定サービスに対するコードのプッシュをブロックする機能も提供しています」と、Skyhighの国内代理店であるマクニカネットワークスの夏目道生氏(セキュリティ第2事業部プロダクト第1営業部 部長)は説明する。
社内ユーザーが利用しているサービスには、使われている理由があります。ユーザーの利便性を高める支援を合わせて行うことが、効果的なセキュリティ対策のための秘訣です。
ユーザーのクラウドサービス利用状況の可視化
「企業の情報システム部が、社内のクラウドアクセス状況を把握するのは、大変な作業ですので、実施していないところが多いのも当然です。しかし、ユーザーレベルのセキュリティや情報漏えい防止の効果的な対策を立てるには、まず社員がどんなサービスをどのように使っているかを知らなければなりません。一方、多くの社内ユーザーが利用しているサービスには、使われている理由があります。ユーザーの利便性を高める支援を合わせて行うことが、効果的なセキュリティ対策のための秘訣です」と夏目氏は話している。
SkyhighがCASBという分野におけるリーダーとして評価されている理由の一つに、機能の豊富さがある。Skyhighは、上記のクラウドリスク可視化機能に加え、社内ユーザーのクラウドサービス利用に関し、次のような機能を提供する。
アクセス制御
ユーザー、利用端末、アクセス場所といった条件に基づき、特定サービスへのアクセスを制御する。サービスに対してアクセスを許すかどうかだけでなく、何ができるか、できないかについても、制御の対象となっている。
データの暗号化
ユーザーがファイル共有サービスなどにアップロードする全てのデータを、自動的に暗号化することができる。ユーザーが暗号化/復号を意識することは全くない。「セールスフォースなどについて、データ項目単位で暗号化することもできます」とセシオ氏はいう。
情報漏えい防止
社内に導入した情報漏えい防止ソリューションと連携し、情報漏えいを防ぐことができる。
認証連携/シングルサインオン
Ping Identityなどの、認証連携/アイデンティティ管理サービスと連携して、シングルサインオンを実現できる。
ログ/監査、警告
クラウドサービスに対してユーザーが行ったアクションを、全てログとして記録する。これを監査証跡として利用できる他、セキュリティ侵害の有無を調査する際の材料として利用できる。また、情報漏えいやセキュリティ侵害が発生した可能性について、管理者に対し、自動的に警告を発することができる。
クラウドサービスが市場で大きな広がりを見せる中、CASBにますますの注目が集まることは間違いないだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:マクニカネットワークス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年12月15日