シャドーITの先にある「シャドーデータ」という問題Maker's Voice

クラウドセキュリティサービス会社のElasticaは、企業が把握していない従業員の勝手なIT利用ではデバイスやサービスだけでなく、そこで扱われるデータの危険性も高まっていると指摘する。

» 2016年02月15日 07時00分 公開
[國谷武史ITmedia]
クラウドに置かれた機密データの業種別の内訳(出典:Blue Coat)

 米Blue Coat Systemsは2月9日、2015年下半期の企業でのクラウドサービス利用やセキュリティ状況などについて調べたレポート「2H 2015 Shadow Data Report 日本語版」を発表した。レポートでは企業が把握していない従業員によるデバイスやサービスの利用と、そこで扱われるデータのセキュリティリスクが高まっていると指摘している。

 調査は、Blue Coatが2015年11月に買収したクラウドセキュリティサービス企業Elasticaが行ったもの。同社は「クラウドアクセスセキュリティブローカー」という、企業からクラウドサービスへの接続におけるセキュリティ調査やコンテンツ管理、サイバー攻撃対策などの機能を提供する。

 レポートによると、Elasticaのユーザー企業で利用されるクラウドアプリは、2015年上半期の平均774個から下半期は812個に増加し、ドキュメントの数も約2800万から約6300万個に急増した。

 Elastica アジア太平洋地域マネージングディレクターのジョン・カニンガム氏は、「シャドーIT」(従業員が企業で許可していないデバイスやサービスなどを利用すること)が日本や欧米の企業に共通した課題となる中で、シャドーITを含めて企業が把握していないデータのセキュリティリスクが大きな問題になると指摘する。同社ではこれを「シャドーデータ」と呼んでいる。

 レポートによれば、ユーザーがクラウドに保存しているデータの26%が広く共有される状態にあり、ネット検索などでだれもがアクセスできてしまうものも多数あった。このうちの10%のデータは、個人情報やクレジットカード情報など業界規制に抵触するものやソースコードだった。業界規制に抵触しない種類のデータではコンピュータ関連文書(42%)や法的な文書(32%)、業務文書(21%)といった内訳になっている。

 同社が検知した脅威のうち5.9%は、データの侵害や破壊、アカウントの乗っ取りといった深刻なもので、特にデータ侵害では短時間のうちに頻繁にデータが共有されたり、通常では見られない異常な回数のダウンロードが行われたりするケースが大半を占めた。

深刻な脅威の77%をデータ侵害が占めるが、過度な回数の共有や編集、ダウンロード、メール送信といった状況が起きているという

 シャドーITやシャドーデータの課題を解決していくには、「企業が現状を把握して対応しなければならない」とカニンガム氏。社内で従業員がどのようなクラウドアプリとデータを、どのように利用しているのかを可視化する。その結果をもとに、例えば、ライセンスに不備があれば是正し、アクセス権や利用(共有・閲覧・編集など)ルールを適切な状況に修正していく。

 実際の作業には負担を伴うことが予想されるが、同社のサービスではアルゴリズムに基づくデータの自動検出やキーワード検索、ポリシーの自動適用といった機能で作業の負担を軽減できるようにしているとカニンガム氏は強調する。

 「シャドーITの解決は主に企業のコストに寄与するだろう。例えば、企業で契約するアカウントが1つでも、実際には従業員が5つのアカウントを使っていた場合、全てを企業契約にすればサービス事業者と(ボリュームディスカウントなどの)交渉ができるようになる」(カニンガム氏)

 シャドーデータは、放置すればレポートにあるような脅威から漏えいや悪用につながり、「ネット上で機密情報が公開状態に」といった見出しのニュースが度々話題になるように、企業のビジネスに深刻な影響をもたらす。

クラウド上のデータを可視化するレポートのサンプル。企業の管理が行き届きにくいクラウドでは可視化がより求められるとElastica

 Elastica買収について、Blue Coat ビジネスオペレーションズ担当シニアバイスプレジデントのリチャード・マクルーニー氏は、企業のクラウド利用拡大に対応するElasticaのサービスがシャドーデータの課題解決の一助になると話す。「シャドーデータを生み出さないためには、やはり従業員への教育や啓発が大切であり、そのためにも、IT部門はまず状況を把握しないといけない」(マクルーニー氏)

 一方で、クラウド利用などの管理が厳しくなれば、従業員はUSBメモリなどを使ってローカルでデータを持ち出す機会が増える懸念もあるが、マクルーニー氏は「当社も実施しているがUSBポートへのデバイスの接続は制限する。そうなると、クラウドを利用する以外にあまり術は無く、クラウドを使うことになるだろう。そこはしっかりとデータの安全を守る」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ