テレワークを機に一気にリスクが指摘されるようになったシャドーIT。シャドーITを放置しているとどのようなリスクがあるのか、またその原因や必要なセキュリティ対策などをまとめました。是非最後までご覧ください。
⇒シャドーITに必要なセキュリティ対策がゼロトラストで完璧に。ゼロトラストに関する資料を今だけ無料プレゼント中です!
シャドーITとは
企業での働き方と言うのはこれまでのオフィスでの労働から大きく見直されています。ここでリモートワークと言う労働形態が社会に浸透しています。この影響で企業は新たなセキュリティ対策を行っています。テレワークなどを行う場合、セキュリティ対策上の観点から企業は社外に持ち出せる機器は指定します。しかし、社員が様々な環境で働くような今の時期では一人ひとりの使用環境を細かくコントロールできません。そこでセキュリティ上の問題が散見されている状況です。
具体的には、社員が組織で承認されていないPCやスマートフォンを業務に活用したり、会社に許可されていないクラウドサービスを活用することです。これをシャドーITと呼びます。多くの場合、個人の機器は会社に無断で使用されます。このシャドーITへの対応を企業は今迫られています。そこで、今回はシャドーITについてご説明します。
よくシャドーITになっているクラウドサービス
個人の端末から利用できるシャドーITに該当しがちなサービスとは以下のようなツールです。どれも実生活の中で多くの人が使っているツールです。これらのツールは一見すると非常に便利で、仕事の生産性を上げると期待されるものです。しかし、大きな危険性もはらんでいます。次のセクションでは、それぞれがシャドーITになった場合にはらんでいる具体的な危険性・リスクについてご説明致します。
- LINE、WhatsAppなどのチャットツール
- クラウドのストレージサービス (Dropbox、One Driveなど)
- フリーメール (Gmailなど)
シャドーITがもたらす脅威やリスク
ではシャドーITの利用によりどのような危険性があるのでしょうか?先ほど挙げた3つの方法から見ていきます。
LINE、WhatsAppなどのチャットツール
これらのツールはビジネスコミュニケーションを円滑にする目的ではEメールより便利です。メールだと文体が堅苦しくなり定型句も多くなってしまうのでスムーズなコミュニケーションができません。一方で、モバイル端末から簡単に情報交換ができることで情報漏洩のリスクも高まります。他社からの覗き見や端末の盗難による情報漏洩、アカウント乗っ取りによる情報漏洩などのリスクがあります。
クラウドのストレージサービス (Dropbox、OneDriveなど)
クラウドのストレージサービスを無料で提供してる会社はいくつかあります。このサービスはオンライン上に大量のデータを保存する上では非常に便利ではあります。一方で、会社できちんと情報管理された機密情報を、セキュリティの弱い無料のクラウドに保存すると機密情報が流出する危険性があります。この類の無料クラウドサービスは大抵の場合セキュリティは脆弱です。
フリーメール (Gmail、YahooMailなど)
これも携帯端末からでも利用可能です。ID・パスワードさえ入力すればメールが使用できます。一方でセキュリティ環境が脆弱な場所で利用するとID・パスワードを盗まれる危険性があります。自身のIDが盗まれてアカウント乗っ取られる事態になりえます。自分のアカウントを利用され、なりすましメールにより顧客や取引先が被害を受けた場合、意図せずに自分が加害者になるケースもあり得ます。また、この事態により企業が損害を被るだけでなく、企業の社会的信用も失墜します。
なぜシャドーITは生まれるのか?その原因や理由は?
では、なぜ会社が未承認のシャドーITを社員は利用するのでしょうか? 企業もただ禁止するのではなく何故シャドーITを利用するのかを理解する必要があります。原因を理解しないことには対策を講じられないからです。社員がシャドーITを利用する理由は主に以下の2つと考えられます。
① 利便性
シャドーITを利用するのは、使用すること自体が非常に便利なためです。例えば、オンラインで使用できるクラウドサービスなどは大量のデータを持ち歩いたりUSBに保存する手間が省けるため非常に魅力的です。これがあればネット環境さえあればどこからでもデータにアクセスできます。営業社員であれば取引先との商談中に調べたい情報があれば手持ちの端末からクラウドにアクセスして情報を引き出せます。こうすることで顧客の問い合わせに迅速に対応できるというメリットがあります。顧客の満足度を上げて売り上げが伸びるのなら、シャドーITを使ってしまうでしょう。
② 生産性の向上
利便性の高いコミュニケーションツールを利用すれば、より速く、効率的に仕事をこなせます。例えば、LINEなどのコミュニケーションツールは情報交換を非常に迅速にでき、動画などのやりとりも可能なのでコミュニケーションがより密になります。また取引先によってはメールよりもチャットツールを指定してくる会社もあり対応せざるを得ない場合もあります。そういった場合にこれまでのツールに拘っていてはせっかくのチャンスを逃すことになります。
昨今、仕事の生産性を向上させることが多くの企業にとって課題になっています。このような流れの中で生産性の向上を求めてツールを探す事は自然な流れとも言えます。このように社員がシャドーITを使用するのには上記に述べた理由以外にも様々な理由があります。
企業はまず社員としっかりコミニケーションをとって社員が抱えている問題点を把握する必要があります。これを把握せずに利用だけ禁止しても本質的な解決とはなりません。では、問題点を把握した後、企業はこの状況に対しどのような対応が取れるでしょうか? 安全性を追い求めてその結果、生産性が落ちるのでは本末転倒です。やはり安全性は保ちながらも一定の利便性は追求する必要があります。次では具体的な対応策について触れていきます。
個人端末の持ち込み(BYOD)との違い
BYODとは業務への個人端末の持ち込み(Bring Your Own Device)を指します。個人のPCやスマートフォンを仕事に使用することですが、BYODとシャドーITの違いはBYODが会社に利用を承認されたものであるのに対し、シャドーITは会社が未承認の機器の利用を指します。もちろん、会社は個人端末の利用を認めるにあたりその安全面を把握し管理しています。だからこそ、利用が承認されているのです。
シャドーITの利用を制限するのであれば、会社が個人のPCやスマートフォンを社給にするなど、管理していくという方法があります。個人で所有するスマートフォンやPCを会社が管理する方法や、会社がこれらの機器を社会に貸与すると言う方法もあります。もちろんこれらの方法は端末の代金や通信費などの出費を伴います。ただし、シャドーITの利用によって晒される危険性に比べれば、必要な経費と言えます。
また、クラウドサービスにおいても、無料のサービスはセキュリティ面での不安が大きいため、有料の法人向けサービスを利用すると言う選択肢があります。法人向けサービスの場合はセキュリティ面が無料版よりも強化されています。これに多要素認証などを掛け合わせて安全性を強化すると言う方法があります。こうして組織が一定の制限やルールを設けた上で個人端末の利用を承認することが解決策の一つになります。
アクセスできるサイトを全て管理する事の限界
企業側がセキュリティ対策の一環としてアクセスするサイトを管理・制限する仕組みも考えられます。しかし、これは運用面においてそして膨大な労力を伴いあまりにも現実的ではありません。下記がその主な理由です。1つずつ説明していきます。
① クラウドサービスの情報収集を全て行うのは不可能
通信機器のモニタリングをすること自体は理論上可能です。実態として多くの日系企業の中でこれを実行している企業はごくわずかです。これが通信履歴を分析することにより多くの手間がかかることも影響しています。また通信履歴を入手できたとしても、このサービスが危険かどうかを判断するにはさらなる手間がかかります。そのため、このような作業をリモートアクセスを行う全ての社員に対して行う事は現実的には不可能です。
② 運用面でも技術面でも統制が困難
たとえ利用許可できるサービスがあった場合でも、企業側の指示通りに利用がなされているのか定期的に確認する必要があります。ここでも膨大な手間がかかる上、他社サービス利用の場合は内容を企業側が確認できないケースがあります。
③ 通信内容の把握は困難
通信内容の全てを会社側が把握することが非常に困難です。これは通信体型の傾向が変化してるためです。現在ではHTTPS通信が主流です。これは通信の盗聴や改ざんを防ぐためのシステムです。データを暗号化して送信することによりこのようなリスクに対処しています。一般的には通信を簡単に読み取れないと言うメリットがあるのですか、企業側が利用状況を確認する上ではHTTPS通信はマイナスに作用します。通信内容の一部しか把握できず利用状況を正確には捉えられません。
上記のような理由から、企業側が社員のアクセスするサイトを全て管理把握することは現実的ではありません。
シャドーITにはセキュリティ対策が必要
社員の利用状況を全て管理する事は現実的に不可能です。では、現実的にはどのようなセキュリティ対策が取れるでしょうか? 具体的な対策としては以下のような方法が取れます。一つずつ解説していきます。
社員への教育
まず、重要なのは社員にシャドーITのリスクを周知させることです。このリスクは社員が会社に無断でシャドーITを利用する事から始まっています。どんなリスクがあり、どんな事態が起こりうるのか?についてきちんと知識を持っていれば、危険性の高い利用方法は減るはずです。そして、ITについての社内で取り決めた運用ルールを社員に周知徹底させることが大切です。
利用するクラウドサービスを限定したり、ガイドラインを用意する
社員のネット利用環境を全て管理することは不可能な以上、運用にあたっては厳格なルールを定める必要があります。具体的にはクラウドサービスの利用を一定の条件下で認めるものの、利用できるサービスを限定するなどの措置が必要です。
利用状況を監視するサービスの導入
社員が全ての動きを監視する事は実施不可能ですが、一定の状況下であれば監視できるサービスがあります。それがCASB(キャスビー、Cloud Access Secuirty Broker)呼ばれるサービスです。社内から社員個人が利用するクラウドサービスへのアクセスを監視できます。社外からのアクセスも同様に監視できます。難点としてはシャドーIT化した個人が持つ端末自体は監視できないと言うことです。クラウドへのアクセスをブロックすることでリスクを大きく減らせます。
ゼロトラストセキュリティの構築
次に、セキュリティについての考え方の変化について解説致します。働き方の変化に伴いセキュリティに対する考え方も変化しています。これまでのセキュリティに対する考え方と言うのは社内ネットワーク= 安全、社外= 危険という非常に単純な図式から成り立っていました。危険は常に外からやってくるので、社内のネットワークに外部からアクセスさせなければ安全性が保たれると言う考え方です。これは従業員全員が基本的に社内で働く事を前提に作られたシステムです。
しかし、昨今は働き方が変化しており、時間や場所にとらわれない働き方が社会に浸透しています。このような働き方では社外の端末から社内ネットワークへのアクセスが必然的に増えます。このような時代ではこれまでのセキュリティに対する考え方では対応できません。ここで生まれた考え方がゼロトラストと言う考え方です。
“トラスト”と言う言葉が信用すると言う意味であるのに対し、”ゼロトラスト”は信じないという意味です。ネットワークの内部、外部に関わらず区別せずに都度通信を確認することを指します。外部からのアクセスが増えたからこそできた考え方です。通信を非常に限定的なものにするため、外部からのアクセスにおいても安全性を保てます。この仕組みで安全性が確保されることによって、いろんな場所での柔軟な働き方が可能となります。
多要素認証ですべてのアクセスを検証
システムの安全性を確認する具体的な方法として、ここでは多要素認証をご紹介致します。これまでの場合、システムに入る際の認証はパスワードのみで行われていました。しかし、これだけではハッキングに対応できません。パスワードの安全性を評価する方法としてはパスワード自体を複雑にする方法があります。しかし、例え強固なパスワードを設定してもパスワードが文字列の組み合わせである以上いつかは破られてしまいます。
この問題を解決するのが多要素認証です。これは複数の要素を組み合わせて認証する事です。パスワードなどの知識情報、携帯などの所持情報、指紋などの生体情報などを組み合わせます。多要素認証を設定したシステムに入る場合にはID・パスワードに加えて、利用する端末に認証コードが送られてきます。この認証コードを入力することでシステムに入れます。認証コードは利用する端末にしか送られませんので他の端末からはアクセスができません。このように複数の要素を組み合わせることで認証をより強固にし、不正な利用を制限することで安全性を確保します。
本日は以上となります。時代の変化や働き方改革とともに働き方が大きく変化しています。これに伴い新たなリスクが発生しますので、セキュリティのあり方も変化していきます。より働きやすい環境を整えるためにも、最新のセキュリティ情報にも注目してください。
