「シャドーIT」が大きな問題になっている。シャドーITとは会社の管理下にないハードウエアやソフトウエア、SaaS▼などを、社員が無断で業務に使用することだ。
例えば業務データを私物のUSBメモリーに保存して持ち帰り、自宅で作業をするといった行為はシャドーITに当たる。会社が許可していないSaaSを利用したり、個人で利用しているSaaSに業務データをアップロードしたりすることも同様だ(図1)。業務に便利なSaaSが多数登場しているために、以前よりもシャドーITが発生しやすくなっている。
有効なシャドーIT対策の1つがCASB▼というクラウドサービスである。今回はシャドーITの問題点と、CASBを利用した有効な対策を解説する。
シャドーITに潜む危険性
なぜシャドーITは危険なのだろうか。シャドーITの問題点は大きく分けて3つある(図2)。
1つは情報漏洩事故の発生する確率が高まる点だ。インターネット経由でどこからでもアクセスできるSaaSは、1つの設定ミスで意図せぬ第三者と機密データを共有してしまう可能性がある。オンプレミスのシステム以上にIT部門が注意深く管理すべきだが、シャドーITは管理下にないため設定ミスなどを防ぐのが難しい。
2つ目はデータの持ち出しが容易な点だ。例えばSaaSの企業アカウントから個人アカウントに業務データを移動するといったケースが考えられる。個人アカウントはIT部門の管理下にないため、社員の悪意によるデータの移動を見抜くのが困難だ。
3つ目としては、セキュリティー事故の発生時に追跡が難しい点が挙げられる。重大なセキュリティー事故が発生した際、会社は被害状況を取りまとめてステークホルダーへ早急に報告する必要がある。だが会社の管理下にないSaaSでセキュリティー事故が起きた場合には原因や影響範囲の特定が難しいため、説明責任を果たせない。
