“野良SaaS”放置が招く3つのリスク 危険性はセキュリティ以外にも 専門家に聞く基礎知識(3/3 ページ)
IT部門や経営層などが利用状況を管理しきれていない“野良SaaS”。放置していると、セキュリティやコストなど3種類のリスクにつながるという。野良SaaSが抱える危険性や対策の基礎知識を専門家に聞く。
壁は「SaaSって何?」な人 野良SaaS対策が進まないワケ
セキュリティ、リスク、コンプライアンスと3つの脅威を生む野良SaaS。対策としては、社内でSaaSの利用や管理を巡るルールを整え、企業の管理下にないSaaSが生まれない仕組みを整える必要がある。
例えば、業務部門がSaaSを使うときはIT部門に届け出をするようにしたり、野良SaaSの有無を定期的に監査できるようにしたりといったルールが必要だ。ただ、実践できている企業は少ないという。
「そもそも『SaaSとは何か』を理解していない人が多いので『使ってるSaaSを教えてください』といっても情報を集められない。どうやってヒアリングすればいいのか、ヒアリングしたとして全ての情報が集まるとは限らない点に悩んでいる人が多い。SaaSとは何か、野良SaaSはどんなリスクを招くのかという教育から始める必要がある」(金井さん)
経営層の理解不足も問題という。「会社としてSaaSを集中管理できる仕組みや人員管理が必要。ただ、日本ではIT管理の重要性を理解している経営層は少なく、部門単位での管理が基本になっている企業が多い。無駄になっているコストを可視化すればやる気を出す人もいるかもしれないが、そもそも全体像が把握できないので、決裁権者がIT管理の価値を認識できていない」(金井さん)
ツールを導入したら管理できるようになるわけではない
IT管理の必要性が軽視される原因は他にもある。その一つがソフトウェアへの過信だ。
「ただでさえ人材が不足しているのに、IT部門の仕事を増やしていった結果、情シスが疲弊し、専門性が育たなくなった。その結果、CASBなどソフトウェアを導入すれば何とかなると勘違いするようになってしまった。人による管理を支援するのがツールで、ツールを導入したら管理できるようになるわけではない」と篠田常務理事。
必要なのは、専門知識を持つ人員を確保し、SaaSの管理に時間やリソースを割ける体制を整えたり、社内での教育を強化したりすることだと2人は強調する。
「SaaS管理ができる体制の重要性を会社が理解し、人員を確保しなければいけない。仕事が増えている情報システム部門にあれもこれも、というのは難しい」(金井さん)
「『管理はコストがかかるから』といって嫌がる人も多い。ただ、管理はそもそもリスクを低減し、組織を持続的に発展させるために必要。管理は不自由になるためではなく、自由を確保するために必要な行為だが、マネジメント層にはその認識がまだ足りないのではないか」(篠田常務理事)
関連記事
- 「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。 - クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。 - クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。 - Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.