ブログ

  • TOP
  • 全ての記事
  • シャドーITのリスクとは? 可視化から始めるシャドーIT対策
catch-img

シャドーITのリスクとは? 可視化から始めるシャドーIT対策

CASBSkyhigh Security Service Edge


<目次>

目次[非表示]

  1. 1.企業のクラウドサービスの利用状況
  2. 2.シャドーITとは
    1. 2.1.シャドーITの利用で意図しない情報漏えいの実例
  3. 3.シャドーITの対策にはCASBが効果的
  4. 4.Skyhigh CASBによるシャドーIT対策
  5. 5.おわりに

企業のクラウドサービスの利用状況

昨今の新型コロナウイルスの感染拡大に伴い、テレワークを導入している企業は5割を超えました。このワークスタイルの変革に伴ってクラウドサービスの活用も増加しています。
総務省の調査によるとクラウドサービスを利用している企業は7割を超え、年々増加しています。

出典:総務省「令和3年通信利用動向調査の結果」https://www.soumu.go.jp/johotsusintokei/statistics/data/220527_1.pdf


場所を問わず、あらゆるデバイスからのアクセスが可能となり、便利になった一方で、クラウド特有の脅威に晒されるようになりました。クラウドサービスは業務の利便性を高めてくれますが、利用が増加したことにより、企業では管理しきれないほどのシャドーITが増えています。


シャドーITとは

シャドーITとは、企業が利用状況や存在を把握していない、ユーザが利用しているIT機器やクラウドサービスのことを指します。シャドーITの中には、ユーザがクラウドサービスだと意識せずに利用している場合があります。これらのフリーサイトには情報漏洩の大きなリスクが潜んでいます。

シャドーITの利用で意図しない情報漏えいの実例

クラウドストレージに対する不正アクセスによる個人情報漏えい事件
日本で有名なクラウドストレージサービス「宅ふぁいる便」で外部からの不正アクセスがあり、メールアドレス、ログインパスワード含む個人情報が大量に流出しました。
出典 : https://www.ogis-ri.co.jp/news/1272165_6734.html

翻訳サイト経由で発生した情報漏えい事件
2015年2月末、「I Love Translation」というオンライン翻訳サイトに入力した内容が、誰でも閲覧可能な状態になっていたという事件もありました。個人間のメール、中央省庁や銀行、自動車メーカーの業務メール、弁護士と依頼者間でやり取りされたメールなども含まれていました。

シャドーITの対策にはCASBが効果的

時代の変化に伴い、企業でのクラウドサービスの利用が活発となり、それに伴いクラウドサービスに関するセキュリティインシデントも増加しています。クラウドサービスのセキュリティ対策にはCASB(Cloud Access Security Broker)が有効です。
CASBはGartner社が提唱したコンセプトで、ユーザと複数のクラウドの間に単一のコントロールポイントを設け、クラウド利用の可視化や制御を実施します。CASBには以下4つの機能が必要となります。

CASB製品を導入することで、「誰が」、「いつ」、「何を」、「どのくらい」クラウドを利用しているか可視化し、リスクを把握することでクラウドサービスに関するセキュリティインシデントの対策を講じることができます。

例えば、「誰が何をどのくらい使っているか?」、「本来は許可されていないサービスを利用していないか?」などを把握することでシャドーITを可視化します。
さらに、「匿名ユーザで使用できるか?」や「ストレージが暗号化されているか?」などの評価項目から各サービスのリスクを洗い出し、ファイアウォールやProxyと連携しアクセス制御を行うことが可能になります。

Skyhigh CASBによるシャドーIT対策

Skyhigh CASBはクラウドサービスを利用する際のセキュリティ対策を行う、CASBソリューション製品です。CASB専業ベンダとして2012年発足しており、豊富な実績があります。

いつ、誰が、何を、どれくらい使用しているかがわかる
Skyhigh CASBでは約30,000のクラウドレジストリ情報を持ち、メジャーな海外のサービスから、日本国内のマイナーなクラウドサービスまで幅広く対応しています。


クラウドサービスごとのリスクがわかる
6カテゴリ・60項目以上の判定基準でリスクを分析し、詳細情報を可視化することで、起こりうるリスクを把握することができます。


ユーザの可視化やインシデントの可能性がわかる
誰が、いつ、どのくらいサービスを利用しているか可視化出来るため、不審な動作を発見し内部不正など起きた場合に調査することができます。



また、Skyhigh SWGと連携することで、ログの転送やアクセス制御リストの反映をすることなく、リスクの高いクラウドサービスへのアクセスを自動で制御できます。
既に導入いただいているネットワーク機器やサードパーティー製品と連携してアクセス制御を行うことも可能です。

おわりに

テレワークやクラウドサービスの活用が増加した中、適切にクラウドを利用するため、管理者が全てのクラウドサービスを把握し、アクセス制御をすることは、現実的に難しくなっています。
セキュリティインシデントへの対応について、企業で利用されているクラウドの利用状況を可視化・コントロール・保護を行うことができるCASB製品の導入をぜひご検討ください。


前の記事

prev-article-image

ランサムウェアからデータを守れ! 事業継続を支援するデータ管理の実現

次の記事

next-article-image

AppScan機能解説コラム -- 第3回:巡回

CONTACT

ITインフラに関してお悩みの方は
お気軽にご相談ください

ご不明な点はお気軽に
お問い合わせください。
お問い合わせ
ITインフラに関するお役立ち資料は
こちらよりダウンロードできます。
資料ダウンロード

人気記事ランキング

タグ一覧

TechMatrix
セキュリティポリシー
ページトップへ

© techmatrix.,Inc. All Rights Reserved.