シャドーITを禁止せず、生産性を落とさないために：セキュリティ強化塾

　セキュリティ担当者としては、会社として採用したクラウドサービスの可視化はできていたとしても、それ以外のサービスがどう使われているか、何が使われているかを把握できないと不安だ。見えない場所からの情報流出が発生する可能性があるからだ。

　USBメモリのような可搬メディア経由で行われる情報流出のように、今後は「クラウドストレージを経由した情報流出」対策を行わねばならない。だからこそCASBのような仕組みが必要となる。

　CASBに求められる機能は、

などが挙げられる。

　CASBの効果は、シャドーITの存在をチェックし、クラウドサービスにおけるDLP（データ漏えい防止）が実現できることだ。

　クラウドサービスが起点となる情報漏えいを考えてみよう。例えば個人向けのクラウドストレージに業務のファイルを保存し、職場以外でも参照できるようにしたいと考える社員がいるかもしれない。そして、Dropboxのようなサービスは、クラウドにアップロードしたファイルを簡単に他人と共有できる仕組みを提供する。意図的か過失かは別として、情報流出が簡単に行える土壌があるということだ。

　CASBソリューションを導入することで、まずシャドーITとして企業内で利用されている、非正規クラウドサービスを検出できるようになる。CASBソリューションの種類によっては、「そのクラウドサービスで二要素認証が利用可能か」「サービスを提供しているのがどのような企業か」「どこの国のサービスか」といった項目をスコアリングし、セキュリティの観点から安全性を把握することもできる。

　この結果により、高得点のサービスならば「正規のサービスとして従業員に継続利用させる」という判断もできる。一概に禁止せず、コントロールされた状態で利用できるという選択肢があることは、従業員にとってもありがたいだろう。

　CASBソリューションは、クラウドサービスの検出だけでなく、調査、制御、アラート機能も備える。例えばクラウドストレージサービスでファイル共有を行ったことを検出したら、対象となったファイル、利用者を記録し、制御を行うことも可能だ。

　「従業員が真夜中に大量のファイルを共有した」「普段やりとりをしていない送信先に共有した」ことをトリガーにすることもできる。対応するクラウドサービスによっては、共有したファイルや送信したファイルの削除も行える。

　CASBの導入で、シャドーITとなるクラウドサービスに対し、コントロール権を設定できるのだ。場合によっては従業員の利便性を向上し、うっかりミスを取り返すという仕組みにもなり得る。

「部署ごとにサービスを展開」する大企業には必須に

　クラウドサービス活用に対し、CASBソリューションを導入できるのは比較的大きめな企業だろう。大企業ではクラウドサービスの導入も部書ごとに行われることも多く、IT管理部門や経営層にとってコンプライアンスを効かせるためには、このようなソリューションの導入は不可欠になりつつある。

　ただし、CASBはまだ歴史も浅く、かつクラウドサービスは多種多様なものが登場する。ソリューションがいかにアップデートを繰り返し、成長についていけるかを見極めることが、導入の最大のポイントになる。

　クラウドサービスに対してはAPI接続型、プロキシ型、ログ解析型など複数の接続方式があり、それぞれにメリット、デメリットがある。まずは自社が利用するメインのクラウドサービスに対応したCASBソリューションを調査しつつ、対応方式などを比較検討することが重要だ。

　CASBは多くのベンダーが力を入れ、それぞれに特長を持ったソリューションが提供される。中にはクラウドサービスの一部としてCASB機能を提供するベンダーもあり、クラウド時代の情報統制として、オンプレミスと同様のセキュリティポリシーを、クラウドサービスにも適用できるという点が大きなメリットだ。

　IT管理部門にとっては、シャドーITとして承認していないサービスに対する過剰な投資に見えるかもしれない。だが、従業員の目線では使い慣れたサービスを止めることによる生産性低下は大きな問題だ。

　折衷案として、サービスを利用させつつコントロールするという着地点は双方にとっても大きなメリットがある。CASBはそのようなバランスを提供するソリューションであり、クラウドサービスを活用し、成長を狙う企業には注目に値する。生産性を確保しつつ、セキュリティを落とさない方法として検討したい。