なぜシャドーITが危ないのか 「CASB」の効果とは：マイクロソフトが対策支援ガイドブックを公開

シャドーITはなぜ危ないのか。普及とともにセキュリティの穴も懸念されるシャドーITはどう管理すればよいのか。マイクロソフトが、その解決策の1つである「クラウドアクセスセキュリティブローカー（CASB）」の効果を解説した対策支援ガイドブックを公開した。

[＠IT]

　米マイクロソフトは2017年3月27日（米国時間）、シャドーITにおける電子版対策支援ガイド「Bring Shadow IT into the Light: Simple steps for a secure digital transformation（シャドーITに光を当てる：安全なデジタルトランスフォーメーションを実現するための簡単な方法）」を公開。企業内シャドーITの現状と、シャドーITの管理で有効とされる「クラウドアクセスセキュリティブローカー（CASB：キャスビー）」の効果を公式ブログで解説した。以下、内容を抄訳する。

「Bring Shadow IT into the Light: Simple steps for a secure digital transformation」

　調査会社 米フロスト＆サリバンが公開した「The Hidden Truth Behind Shadow IT（2013年11月公開）」によると、会社で承認されていないSaaS（Software as a Service）を業務で使っている従業員は（2013年時点で）全体の80％以上に上る。同時に、従業員が使うクラウドサービスの数も、IT部門の推計を上回るペースで増えている。従業員が使用するクラウドサービスは、IT部門が推計する数の15倍に及ぶという。

　クラウドベースのサービスを頼りにしているのは個々の従業員だけではない。ビジネス部門やチーム単位でも、“IT部門の承認を通さず”に、かつセキュリティリスクをほとんど考慮することなく、非承認のSaaSを利用するようになっている。これがいわゆるシャドーITである。

　そしてIT部門は、会社としてのセキュリティ性と、部門やチームの生産性向上の支援とのバランスをどうとるかに苦慮している。

生産性を損なわずに重要データのセキュリティを確保するには

　仮にシャドーITを禁止したとしても、実際は短期的な解決策にしかならない。企業や組織の革新力を削ぐだけでなく、従業員が抜け穴探しに走るのは目に見えている。

　そのためIT部門は、従業員が必要と選択した効率的な方法を禁じるのではなく、それらを適切に監視し、そのリスクプロファイルを分析し、セキュリティやコンプライアンスを満たさないアプリやサービスについては、代替の選択肢を提供する方法を見いだす必要がある。

柔軟な管理を実現する「クラウドアクセスセキュリティブローカー（CASB）とは

　その方法の1つが「クラウドアクセスセキュリティブローカー（CASB）」を用いることだ。調査会社 米ガートナーはCASBを、「オンプレミスまたはクラウドベースのセキュリティポリシー強制ポイントであり、クラウドサービス利用者とクラウドサービスプロバイダーの間に配置する企業向けサービス」と定義している。

　CASBにより、企業は従業員のクラウドサービスの利用を管理できる。以下のような利用状況を詳細に把握できる機能を備えている。

• どのアプリを使っているのか
• それらのアプリは、自社にとってリスクがあるかどうか
• 誰がそれを最も利用しているか
• それらのアップロード／ダウンロードトラフィックはどのようなものか
• 従業員の行動に異常が見られないか

　従業員の異常行動とは、例えば「ありえない出張」「ログオン失敗の急増」「不審なIPへのアクセスが発生している」などが挙げられる。こうした異常行動は、そのアカウントが侵害されているか、または、その従業員が何らかの不正を行っている可能性を示している。

　CASBは、こういった脅威に対する保護を強化するとともに、自社の環境で使われるアプリの可視性と管理性の向上というメリットをIT部門にもたらす。自社環境におけるアプリの使用状況の全体像が分かれば、アプリで保存されるデータを管理し、データ損失を防止するポリシーを設定することなどが可能になる。

　CASBソリューションは、企業のITセキュリティを高める効果的な策になる。これまでリスクを認識しながらも容認せざるを得なかったシャドーITについて、その可視性、保護、管理体制を改善できる。つまりIT部門は、自社で要求されるセキュリティやコンプライアンスを犠牲にすることなく、従業員が必要なアプリを選択して利用できるようになる。