情報セキュリティにおいてシャドーITが問題視されるようになってから既に5年以上が経過しています。昨年発表されたインテルセキュリティの調査によると、「世界12カ国の65%、日本の57%の回答者が、シャドーITがクラウドの安全とセキュリティ対策の障壁になっていると回答」と報告されています。

さらにこの調査では、ITの可視性の低下も報告されており、クラウドサービス利用の浸透に伴うIT部門の関与の低下、セキュリティスキルの不足、そしてその結果としてのセキュリティリスクの増大という状況が浮き彫りになった結果となっています。

ひとたび情報漏洩等のインシデントが発生すれば、その被害が甚大なものになることは言うまでもありませんが、より潜在的なリスクとして考えられることは、IT部門の関与の低下により、そのようなインシデント自体にも気づかない可能性があるということです。たとえば漏洩した個人情報の被害者からの指摘によってはじめて発覚するという事態は企業や組織としてはもはや絶対に避けなければなりません。

そこで今回はセキュリティ対策におけるシャドーITについてご紹介します。

そもそもシャドーITとは?

シャドーITとは従業員が自らの判断で、組織が許可していないアプリケーションやデバイスを業務で使用することを指します。皆さんは次のような経験をした、或いはそうしたIT活用をしている同僚を見かけたことはないでしょうか?

  • プライベートで使用しているオンラインストレージに業務で使用する資料を保管している
  • SlackやLINEなど無料のチャットツールを無断で業務連絡に使用している
  • 個人のパソコンやスマートフォンで業務を行うことがある

これらはいずれもIT部門の管理外で利用されているものであり、「陰」で利用されているIT環境になります。そのために「シャドーIT」と呼ばれ、組織のセキュリティ侵害のリスクを高める行為になってしまいます。

それを実行している本人は、多くの場合仕事熱心で、より効率よく仕事をこなしたいという目的で利用していることがほとんどでしょう。また、現在では多くのクラウドサービスがコンシューマー(一般消費者)向けに便利な機能のあるサービスを無償で提供していて、だれでも気軽に利用できる環境になったことも背景にあります。

では、なぜシャドーITが危険なのか?最たる理由はコンシューマー向けのクラウドサービスは企業向けのものと異なり、利便性を優先して提供されており、セキュリティ対策が不十分であることが多いからです。その結果わずかな操作ミスなどで情報漏えいなどが発生しやすいからです。

たとえばオンラインストレージはユーザー自身で共有範囲を設定でき、場合によっては共有のURLさえ分かればだれでもアクセスできてしまう設定になっていることも多いのではないでしょうか。その共有のリンクをメールで関係ない人に誤送信してしまうと、送られたほうは何の認証もなく資料にアクセスできてしまいます。最悪の場合、その資料をダウンロードして全く異なるところに流通してしまうことすらあり得ます。

また、チャットツールなどを業務に利用してグループなどでやり取りしていると、だれがそのグループに入っているのかを意識しないで使っていることも多いのではないでしょうか。たとえば退職者のアカウントがそのままだと、業務に関するやり取りがすでに部外者となった退職者に筒抜けという事態になってしまいます。その退職者が競合会社に転職して営業情報を見ていたり、海外ではアカウントを処理し忘れた退職者がシステムをログインし、重要データを削除したという事例もあります。

こうした観点から考えると、IT部門の管理外にあるシャドーITがどれほど潜在的に危険なものであるかがお分かりいただけたのではないでしょうか。

シャドーITを根絶するために

すべてのIT管理者にとってシャドーITは憎むべきものであり、根絶したいと考えるのは当然でしょう。しかし、実際にはそう簡単にはいきません。なぜなら利用するユーザー側には「より業務を効率化して多くの実績を上げたい」という当然の動機に基づいているからです。したがって、ルールを作ったり規制を強化するだけでは目的は達成できません。むしろIT部門が業務を阻害しているとみなされてしまうことすらあり得ます。

このユーザーによる自由な利用と、管理者による統制という相反する要望の両立は長い間解決されない永遠のテーマの1つでしょう。しかも、便利で安価なクラウドサービスの登場が拍車をかけています。

ではどうすればよいのでしょうか。

まず必要なのは、禁止するだけではなく、必要なものを「提供する」ということが重要でしょう。

具体的にはまずユーザーにITに対する要望をヒアリングして、全体の意見をまとめた上で導入可能なアプリケーションについて検討します。オンラインストレージ対する要望が多ければビジネス向けのBoxやMicrosoft Office 365、Google G Suiteなどを検討し、ユーザー管理とセキュリティ対策が施されたオンラインストレージを提供することでシャドーITの必要性をなくしてゆきます。

もう1つの方法としては、たとえば端末の利用に関しては私物の利用を認める、つまりシャドーITを公認するということです。公認されているので、これはもう「シャドー」ではありません。

たとえば、BYOD(私物端末の業務利用)を制度として整え、合わせてMDM(モバイル端末管理)ツールを導入するという施策などを実施します。さらに、現在提供されているEMM(エンタープライズモバイル管理)の仕組みでは、デバイス内でプライベートのアプリケーションと業務用アプリケーションの領域を完全に分離し、たとえばプライベートで利用しているSNSに業務アプリケーションのデータをコピーできないように制御したり、端末を紛失した場合などは業務上のアプリケーションの領域だけを遠隔操作で削除するという機能を提供します。

これにより、コスト削減や生産性向上といったBYODのメリットと、セキュリティリスクの低減という課題を両立することも可能です。

仮想デスクトップ(VDI)の利用

シャドーITを根絶するための有効手段として仮想デスクトップが注目されています。仮想デスクトップとはユーザーが業務で利用する端末のデスクトップ環境をサーバーに集約し、ユーザーはそのデスクトップをネットワーク経由で遠隔操作して業務を行う仕組みです。

ユーザーの手元にある端末はマウス操作とキーボード操作を仮想デスクトップに送信し、仮想デスクトップから転送される画面情報を利用します。

この仕組みのメリットは大きく3つあります。

1つ目は、OSやアプリケーションの実行、データの取り扱いはすべてサーバー側で行われ、ユーザーが利用する端末にはデータは残りません。また手元の端末の環境からは切り離されているため、業務用のデータを手元のアプリケーション等にコピーすることも禁止することが可能です。

2つ目は、様々な種類の端末を自由に利用できることです。これまで業務アプリケーションを実行するには、その実行環境も管理する必要がありました。OSのバージョンやサービスパック、場合によってはパッチの適用など、細かい実行環境管理が必要であったため、その管理ができていない個人のPCなどでの動作をサポートするのは現実的ではありません。しかし、VDIであれば実行はサーバーで行われるため、端末には画面を表示して操作するアプリケーションだけあればよく、たとえばWindowsのアプリケーションをiPadから利用するということも難なくできるのです。

3つ目は、管理が一元化できることです。接続する端末やネットワーク環境は自由になりますが、実際にアプリケーションやデータが扱われるのは集中管理されているサーバーです。そのため、業務環境の管理はもちろん、ユーザーの使用状況やアクセスログなども確実に集中管理することができるのです。

これら3つのメリットを生かすことで、BYODは非常に現実的な施策となります。

私物の端末を業務で利用することがシャドーではなく、公式の選択肢となることでユーザーは安心して業務の効率性を高められ、管理者は集中管理によるリスクの低減を図ることができるのです。

まずはシャドーIT実態の把握から

シャドーITは今後ますます増える可能性があるとともに、そのリスクも高まってゆきます。しかしながら、それを規制するだけでは問題は解決しません。なぜなら、そこには確実にユーザーの業務上のニーズがあるからです。

では、どのようにその対策を講じてゆくか。その出発点は、まず現状を把握することです。まずはネットワークに接続されている端末がどれくらいあり、それがどのようなアプリケーションを利用したりサイトに接続しているのかを把握しましょう。

SysTrackは、ユーザーが利用する端末のリソースに負荷をかけずに詳細なログを取ることができます。これにより、アンケートなどでは見えてこないリアルなユーザーの行動とニーズを把握することが可能です。

利便性とセキュリティリスクの低減という相反するニーズを両立するソリューションもより進化してきています。そのための第一歩として、SysTrackによる状況把握から始めてみませんか?

仮想デスクトップの導入から運用までトータルに支援「SysTrack」