2020年9月、多くの人にとってテレワークが通常業務の新しい形態の一つになりつつあるのではないでしょうか。ある調査によると、中堅企業の中でテレワークを実施している企業は約64%、継続を希望する企業は54.1%にのぼるようです。(デル・テクノロジーズ、2020年8月発表)
テレワークは様々な形をとり、一般的に、純粋な「在宅勤務」やカフェ・外出先で仕事をする「モバイル勤務」、本社オフィスと別の場所に設置されたオフィス(レンタルオフィスなど)を利用した「サテライトオフィス勤務」と区別されています。
当社の提供する CASB サービス、資料請求・お問い合わせはこちら
無料ホワイトペーパーダウンロード(いま求められる、CASB によるクラウドサービスの可視化と制御 など)
テレワークに潜む、見落としがちなセキュリティ課題
テレワークでは、どの勤務形態においても、セキュリティに関する共通課題が存在します。それは、利用端末の物理的なセキュリティ(パスワードや ID などの利用)、勤務先へのアクセス(VPN など)、端末のファイルセキュリティ(バックアップやマルウェア・ランサムウェアにかかった際の対策)、データの暗号化(HDD 暗号化など)やファイル共有機能の無効化などです。
これらは列挙すれば、いわば当たり前とも言える課題です。しかし、企業のセキュリティ管理者が見落としがち、というよりも、そもそも気付かなそうな危険性もあります。それは、「シャドー IT」です。
「シャドー IT」は、管理者が把握していないサービスやアプリケーションなどをユーザーが利用しているもののことで、いわゆる陰に隠れたアプリなどからその名前が付いています。そのシャドー IT の隠れた危険性を示すデータとして、米 McAfee 社の調査結果があります。「企業で利用されているクラウドサービスの数」について、調査に協力した情報システム担当者が平均37件と予想したのに対し、実際には1935件もあったことが明らかになっています。つまり、実際に利用されているサービスは、IT 管理者が把握しているものの50倍近くにも上り、監視下に置かれていないクラウドサービスの利用が深刻化しています。
※ McAfee:Are Your Employees Using Your Data in the Shadows?
https://www.mcafee.com/blogs/enterprise/cloud-security/are-your-employees-using-your-data-in-the-shadows/
また、シャドー IT はテレワークだけではなく、教育の分野でも危険があります。文部科学省が提唱している「GIGAスクール構想」を受け「一人一端末」の政策が今後進められると、生徒はその端末を利用してオンライン授業や宿題の提出、場合によってはテストや試験を受けることになっていくでしょう。しかし、デジタルネイティブな現代の子ども達は、様々なオンラインサービスやツールを利用したがることが予想され、これも一種のシャドー IT に繋がる危険性があると言えるでしょう。
また、シャドー IT 以外にも、「サンクション」(認可)されたクラウドサービスと、「ノンサンクション」(認識されているが、認められていない)サービスもあり、それぞれをどのように管理するかは、インターネット接続する端末の増加が見込まれる企業・組織では非常に重要な課題となっていきます。
当社の提供する CASB サービス、資料請求・お問い合わせはこちら
無料ホワイトペーパーダウンロード(いま求められる、CASB によるクラウドサービスの可視化と制御 など)
シャドー IT とクラウドセキュリティの課題を解決するには
これらの課題を解決し、クラウドサービスの利用を効果的に制御するためのツールとして「CASB(Cloud Access Security Broker)」という製品が注目を浴びています。CASB は、クラウドサービスの利用実態を可視化し、制御するためのツールであり、大手ベンダーが独自に集めた情報をベースとしたセキュリティ機能を提供します。
元々、CASB の要件として「可視化」、「データセキュリティ」、「脅威制御」と「コンプライアンス」の4つの機能が提唱されていました。それぞれは下記のように定義されます。
- 可視化:シャドー IT やサンクション IT の利用状況の把握
- データセキュリティ:クラウドサービス経由でやり取りされるデータに関するセキュリティ関連の制御
- 脅威防御:マルウェア等の検知・隔離・遮断
- コンプライアンス:セキュリティポリシーへの準拠・監査
そして、現在では、それぞれの適用範囲がさらに広がり、Microsoft 365 や G Suite でやり取りされるファイルのデータセキュリティやクラウドサービスの利用にとどまらず、クラウド間でやり取りする Microsoft Teams などのクライアントソフトウェアやクラウドサービス側のセキュリティにまで要件が拡張されています。
実際、UpGuard社の調査では、2019年に Netflix 社や Ford 社などに関連する1テラバイト分のデータが AWS の S3 バケットで公開可能な状態でインターネットにアップロードされている状態で見つかり、報道されました。このような IaaS や PaaS のサービスまでが CASB の保護対象となりつつあります。
当社の提供する CASB サービス、資料請求・お問い合わせはこちら
無料ホワイトペーパーダウンロード(いま求められる、CASB によるクラウドサービスの可視化と制御 など)
お勧めの CASB 製品とは
在宅勤務によってクラウドサービスを利用する従業員にとって、少しでも簡単に仕事をするために、認められていないサービスやアプリケーションを利用するユーザーが増える可能性があります。そして管理者は、そのユーザーを効率よく管理する必要があります。
当社が推奨する McAfee 社の MVISION Cloud は、上述した CASB の最新要件を満たす CASB 製品です。OneDrive や SharePoint、Salesforce など機密情報がやり取りされる SaaS サービスや設定ミスによって情報漏えいが発生する可能性がある IaaS の AWS S3 やデータベースも監視することによって、意図的な内部漏えいや予期されないクラウド上での漏えいも早期に見つけて摘発できます。さらに、2020年4月に Microsoft Teams でのデータとユーザー活動の管理も実現した、Microsoft Teams が公式に認定する数少ない CASB 製品です。
お困りの際は、ぜひ気軽に当社までお声がけください。
当社の提供する CASB サービス、資料請求・お問い合わせはこちら
無料ホワイトペーパーダウンロード(いま求められる、CASB によるクラウドサービスの可視化と制御 など)
関連ページ
MSS for CASB |