　新型コロナウイルス感染症の拡大でテレワークによる在宅勤務の導入が進む中、クラウドサービスの利用がこれまで以上に進んでいます。一方で、従業員が情報システム部門の管理していないクラウドサービスを業務で勝手に使う“ShadowIT（シャドーIT）”が氾濫し、情報漏えいなどの深刻なセキュリティリスクになっています。

　セキュリティソフト大手の米McAfeeは「企業で利用されているクラウドサービスの数」について、調査に協力した“情シス”の担当者が平均37件と予想したのに対し、実際は1935件であったとする調査結果を公開しています。その数は50倍にも上ります。これほどまでに監視下に置かれていないクラウドサービスの利用が深刻化しているのです。

　なぜこれをリスクとして深刻に考える必要があるのか。クラウドサービス事業者のセキュリティ対策は万全とはいえないからです。McAfeeの調査では、クラウド上のデータを暗号化している事業者は8.1％、サービスのアカウントを削除した際にデータを削除するのは13.3％、ログイン時に多要素認証を行うのは18.1％程度にとどまっているといいます。

　リスクのあるShadowITの対策には、サービスの利用状況を可視化し、利用方針を定め、運用を定着させるのが重要です。しかし、サービスへのアクセスを監視、限定しても、利用を十分に制限するのは難しい現状があります。そこでMcAfeeが提案する製品が「McAfee MVISION Cloud」です。

　McAfee MVISION Cloudは、プロキシサーバやファイアウォールのログを解析し、従業員のクラウドサービス利用状況を一覧で確認できます。導入の際に既存のネットワーク構成を変更する必要はありません。

　同社は約2万9000ものサービスについて信頼性を9段階で評価しており、サービスごとに危険性を調査しなくてもMcAfee MVISION Cloudの評価を参考に利用方針を立てられます。サービスの利用状況については自動で月次レポートを作成。必要があればユーザーに注意喚起したり、利用を停止したりもできます。

　McAfee製品を国内で取り扱っているマクニカネットワークスは、6月に参加費無料のクラウドセキュリティに関するオンラインセミナーを開催します。まずはクラウドのShadowITについて専門家の話を聞いてみてはいかがでしょうか。

マクニカネットワークスが主催するオンラインセミナー情報はこちら

ITmedia NEWS編集部の「ここがポイント」

　ファイル共有、翻訳、ドキュメント共有など、業務を行う上で便利なクラウドサービスは増えています。新型コロナウイルス感染症の影響でテレワークが進む中、利用も増えているでしょう。しかし、情シスからすれば安全性も分からないサービスを勝手に使われてはセキュリティ対策のしようがありません。管理システムの導入で、情報漏えいリスクを抑え、企業の信頼性を保護するのが重要です。