シャドーITからホワイトITへ?
クラウドの利便性とガバナンスを両立させる方法とは
皆様はシャドーITと聞いて、どのようなイメージをお持ちでしょうか。
シャドーITとは、企業などの組織内で用いられる情報システムやその構成要素(機器やソフトウェアなど)のうち、従業員や各業務部門の判断で導入・使用され、経営部門やシステム管理部門による把握や管理が及んでいないもののことを指します。
シャドーITの危険性について
近年、シャドーITによる情報流出事故が発生しております。
その背景として、クラウドサービス利用の増加が上げられます。
企業によるクラウドシフト(オンプレミスからクラウドへの移行)が進む一方で、企業で管理されていないクラウドサービス(シャドーIT)の利用を始める社員も増えています。
例えば、クラウドストレージサービスです。
企業の業務データを、個人で利用しているクラウドストレージサービスに移し、プライベートPCから作業をする社員がいるとします。
そのような状況の場合、以下のようなリスクが発生します。
- クラウドサービスへの不正アクセスにより、業務データが第三者に流出する
- クラウドストレージサービスの設定誤りで、業務データが全世界に共有されてしまう
- プライベートPCに侵入したマルウェア等の攻撃によって、第三者への情報流出やランサムウェア被害に遭う
上記のようになった場合、企業は情報流出の危険性を検知したり、情報流出が発生したことを早期に発見したりするための手立てがありません。もし、これが個人情報の流出であったならば、企業はシャドーITにより損害賠償や社会的信用の低下などの大きなダメージを受けてしまいます。
クラウドサービスを禁止することで、問題は解決しない
では、組織でルールを作成し、会社で契約したクラウドサービス以外の使用を禁止すれば、シャドーIT問題は解決するのでしょうか。
そのような対策でも、シャドーITを完全に防ぐことができるとは限りません。そもそも社員がシャドーITに手を出すのは、クラウドサービスによって実現したい「何か」があり、その「何か」が、許可された手段では実現できないという不満があるためです。
こういった不満から、社員はそれがルールから逸脱した行動だと理解しているにもかかわらず、隠れてシャドーITに手を出してしまうようになります。
ですから、ルールを厳しくするというのは、社員の不満を募らせてしまう一方で、より水面下でシャドーITを利用するようになってしまうという悪循環を生み、潜在的なリスクが解消されない結果となってしまう恐れがあります。
禁止するのではなく、「可視化」というアプローチを
では、どうすれば、社員が快適に業務を行えるような環境を作ることができるでしょうか。
クラウドサービスの利用を禁止するのが逆効果となるのなら、積極的に便利なクラウドサービスの利用を促し、ストレスなく働くことのできる環境を作ってしまえばいいのです。
その上で「可視化」というアプローチを加えて、シャドーITを解消し、よりセキュアに、より積極的にクラウドを活用してみてはいかがでしょうか。社員によるクラウドサービスの利用状況を企業の管理者が把握できるように「可視化」することで、企業として必要な統制を保ちつつ、クラウドサービスを有効活用することが可能になります。
どのようなものを可視化すればよいか
では、クラウドサービスの利用状況をどのように可視化できれば安心して利用できるでしょうか。
例えばクラウドストレージサービスの場合ですと、以下のような情報の可視化が考えられます。
- アクセス履歴に、アップロード/ダウンロードの増加などの急激な変化がないか
- 深夜帯など、業務時間外の不審なアクセスが存在しないか
- 大量の認証エラーが発生していないか
- 共有されたファイルのアクセス権限が会社のルール通り正しく設定されているか
上記は一例ですが、このようにさまざまな情報を可視化し、クラウドサービス経由での情報流出を早期発見することができれば、被害を最小限におさえられます。
クラウドサービスの利用状況を可視化することで、セキュリティを担保しながらクラウドサービスを有効活用できるのではないでしょうか。