安易なクラウド導入がもたらす「シャドーIT」のリスクとその対策

SaaSを中心に、営業・マーケティングを始め、購買調達、人事、会計、ITサービスマネジメントなど、様々な領域で活用が進むクラウドサービス。総務省が発表した『通信利用動向調査（令和4年）』によると、全社的または一部の事業所・部門でクラウドサービスを利用している企業は7割以上に及んでおり、もはやDX推進企業であるか否かにかかわらず、現代のビジネスに欠かせない存在になっていると言っても過言ではないでしょう。

しかし、その一方で、こうしたクラウドサービスの普及が企業に新たな情報セキュリティリスクをもたらしていることも無視できません。そのうち、特に多くの企業で問題となっているのが「シャドーIT」です。

シャドーITとは、簡単に言うとIT部門や情シス部門の認知・許可なしに利用されているITサービスのこと。中でもクラウドサービスは無料で気軽に利用できるものも多く、事業部門や従業員個人が無断で導入することでシャドーITの温床になりやすいと言われています。

こうした管理外のクラウドサービスは「野良クラウド」とも呼ばれており、放置しておくと、権限設定ミスによる情報漏えいや悪意ある第三者によるデータ窃取、あるいはアカウント乗っ取りなどの被害を招く恐れがあります。

実際にシャドーITが原因となった情報漏えい事例として知られているのが、2021年に岡山大学病院で発覚したフィッシング詐欺事件。ある医師が個人利用していたクラウドサービスのID・パスワードが攻撃者に窃取され、大学の規定に反してクラウドサーバーに保存していた延べ269人の個人情報を含む患者情報を記したファイルが閲覧可能な状態になっていることが発覚しました。

参照：フィッシング詐欺による患者情報漏洩インシデントの発生について｜岡山大学病院

元々野良クラウドは利用実態を把握することが難しく、さらに近年のリモートワークの普及によってより管理が行き届きにくくなっています。では、こうした状況で、企業はどのような対策をとれば良いのでしょうか？

シャドーIT対策として効果的なのは以下の取り組みです。

●社内教育・ガイドライン策定

極めてベーシックな手法ですが、定期的な情報セキュリティ研修などを通じて、従業員にシャドーITの問題点やリスクについて周知徹底を図ることは重要な取り組みです。同時にクラウドサービスを導入・利用する際のガイドラインやトラブル発生時のルール策定も欠かせません。

ただし、このような教育やマニュアル「だけ」では限界があります。加えて必要なのが、万が一シャドーITが発生した場合にリスクを最小限に抑えられる仕組みを構築すること。そのために有効なのがCASBです。

●CASB（キャスビー：Cloud Access Security Broker）の活用

CASBは企業内で利用されている複数のクラウドサービスを一元的に管理・制御できるソリューションです。製品によって異なりますが、主に次のような機能を備えています。

①利用状況の把握

各ユーザーのアクセスログなどを集計・分析し、「どのようなクラウドサービスが利用されているか」「それぞれ適切に利用されているか」を可視化することができます。

②監視・制御

企業のセキュリティポリシーに沿って、クラウドサービスの利用範囲をコントロールできる機能です。適切でない権限設定、データの不正利用（アップロードや共有）、許可していないクラウドサービスへのアクセスなどの検知・制限を実行します。

③脅威防御

マルウェア（コンピューターウイルス）や不審なログイン・ダウンロードなどを検知し、暗号化やアクセスブロックによって機密情報を守ります。

CASB以外にも、リモートワークを実施している企業では、スマートフォンやタブレットなどのモバイル端末を遠隔管理できるMDM（Mobile Device Management）というツールも使われています。また、クラウドサービス導入のための申請・承認プロセスの煩雑さが野良クラウド発生の原因となっているケースも少なからずあるようですが、ITサービスを効果的に運用管理する「ITサービスマネジメントシステム（ITSMS）」を活用すれば、迅速かつ効率的なプロセスを構築することが可能です。

今回はシャドーIT対策を取り上げましたが、もちろんこれだけではクラウドリスクへの対策として万全ではありません。次回の後半記事ではもう一つのセキュリティ対策、大企業を中心に導入が進む「ゼロトラスト」というアプローチを紹介します。