テレワークの拡大で一気に増えたIT部門が把握していないSaaS利用
日常的な業務にSaaSを利用することは、日本企業でも当たり前になってきました。利用しているSaaSが1つではなく、複数のサービスを使い分けているケースもすでに珍しくありません。例えばメールやコンテンツ共有はMicrosoft 365、ファイル共有はBox、営業やマーケティング業務にはSalesforceといった使い分けをしている企業は、すでに少数派ではないはずです。
このようなSaaS利用の広がりとともに高まっているのが、シャドーITによるセキュリティリスクです。
シャドーITとは、IT部門から承認を受けていない、あるいは把握されていない状況で業務に使用される、デバイスやITサービスを指します。会社が把握していない状況で使用されるSaaSも、これと同様にシャドーITの1つだと言えるのです。コロナ禍におけるテレワークの拡大は、このSaaSによるシャドーITのリスクを高める結果になっています。
例えばこの半年あまりで多くのビジネスパーソンが、ZoomなどのWeb会議サービスの利用を経験したはずです。Zoomのユーザー数が2019年12月から4か月で一気に30倍になったことは、それを裏付ける数字の1つだと言えます。その一方で、Zoomは2020年3月から4月にかけて、複数のセキュリティ上の脆弱性を指摘されることとなりました。その後これらの問題は解決されていますが、それまでの間は多くのユーザーが、脆弱性がある状態で利用し続けていたわけです。
IT部門がSaaSのセキュリティに関するしっかりとした調査を行ない、問題のあるサービスを利用禁止にすれば、このような問題は解決しやすくなるでしょう。しかしそれでも、テレワークにおけるセキュリティリスクはゼロにはなりません。例えばIT部門が認めたSaaSでも、業務用アカウントと個人用アカウントの両方で利用したらどうなるでしょうか。業務用アカウントでダウンロードしたファイルを、個人用アカウントでアップロードする、ということが可能になってしまいます。これによって情報漏えいが発生する危険性があるのです。
独立行政法人 情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2020」によれば、2019年に5位だった「内部不正による情報漏えい」が、2020年には2位に浮上しています。その中には当然ながら、シャドーITとなったSaaSを介した情報漏えいも、含まれると考えるべきです。
SaaS利用の可視化と管理徹底を可能にするCASB。そのソリューション選択では2つのポイントに着目
このような問題を解決するための手段になり得るのが、このコラムでも何度か取り上げたことのある「CASB(Cloud Access Security Broker:キャスビー)」です。これは2012年に米Gartnerが提唱したコンセプトであり、その基本的な内容は「ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行うことで、全体として一貫性のあるポリシーを適用できるようにする」というものです。株式会社アイ・ティ・アール(ITR)が2020年3月に発表したレポートによれば、2018年の国内CASB市場の売上金額は前年に比べ76.9%増、2019年には93.0%増となっており、2020年以降も継続的に市場が拡大すると予測されています。
ではCASBには、具体的にどのような機能が求められるのでしょうか。Gartnerの定義によれば、大きく4つの機能が必要です。(1)誰がどのSaaSを使っているのかを把握する「可視化」、(2)クラウドサービスに潜む脅威をブロックする「脅威防御」、(3)企業ポリシーを徹底させるための「コンプライアンス」、(4)データに関するセキュリティ機能を提供する「データ保護」です。これらの機能によってシャドーITとなり得るSaaS利用を確実に補足し、その状況に応じた適切な対処が行いやすくなります。
可視化・分析
自社で利用されているすべてのクラウドサービス(SaaS)とIaaSを検出・可視化し、Netskope社独自の安全評価基準に基づくリスク評価を数値で提示。SaaS/IaaS/Webサービスでのアップロードやダウンロードといったユーザーのアクティビティを詳細に可視化します。
コントロール
詳細に解析された通信のコンテキスト情報(ロケーションやアクティビティ)に基づき、通信のブロック、アラート通知などの制御を実行します。1つのセキュリティポリシーで、SaaS/IaaS/Webサービスのコントロールが可能。
データ保護
企業の機密情報を定義することで、キーワードや多数の識別方法で、精度の高いDLP(情報漏えい対策)を実施。
脅威防御
クラウドサービスに潜んでいるマルウェアやランサムウェアを検知し、隔離。また、共有アカウントの利用、データのコピー、大量データのダウンロードといった異常値を検出します。
これらの機能を装備したCASBソリューションは、すでに複数提供されています。しかしその選択では、いくつかの注意点があります。
まず着目すべきなのは、どのような形でこれらの機能を実装できるのかということです。CASBの実装方法としては、社内ネットワークにCASB機能を装備したゲートウェイを設置する方法、個々のデバイスにエージェントをインストールしクラウド上のCASBサービスにすべてのトラフィックを転送する方法、各SaaSのAPIを通じてCASBの機能を提供する方法があります。いずれの方法にも一長一短があるため、状況によって使い分けることが必要です。そのためこれらすべての方法に対応したCASBソリューションが望ましいと言えます。
また漏れのない管理を行うには、対応しているデバイスやSaaSが幅広いことも重要です。自社が使用しているデバイスに対応していない、あるいは社員が使用しそうなSaaSのリスク情報を持っていないCASBソリューションでは、管理の漏れが発生し「シャドーITリスクの回避」という目的を達成できません。
これら2つのポイントを満たすCASB製品としておすすめしたいのが、Netskopeです。これは米国でトップクラスの導入実績を持つCASBソリューション。幅広い実装方法とデバイスに対応し、クラウドのリスク情報に関しても3万種類以上という広範なサービスをカバーしています。これならSaaS利用に伴うシャドーITの発生を、確実に排除できるはずです。
テレワークはこれからも、新しい働き方の1つとして広がっていくはずです。その安全性を確保するためには、このような仕組みを作り上げておく必要があるのです。
Netskopeとは?
クラウドサービスの安心・安全な利用を実現するセキュリティソリューションとして、企業での導入が進む「CASB(Cloud Access Security Broker)」。Netskopeは、グローバルでトップクラスの導入実績をもつ信頼性の高いCASBソリューションです。ユーザーの利便性を損なうことなく、クラウドサービスの可視化・コントロール・データ保護・脅威防御という4つの機能で、企業のセキュリティ対策の強化を支援します。
Netskopeが選ばれる理由
40,000種類以上のクラウドサービスの
リスクを可視化
40,000種類以上のクラウドサービスをトラッキングし、詳細な評価を提供する辞書機能を有しています。
SaaS / IaaS / Web
サービスに対応
Netskopeだけで、SaaS/IaaS/Webサービスのアクティビティの可視化とコントロール、脅威防御を実現します。
柔軟な4つの導入タイプ
クライアント端末にエージェントを導入するタイプやAPIで接続するタイプなど、複数の導入タイプを用意しています。
VPNに代わるリモートアクセスを
クラウドで実現
在宅環境や外出先からのあらゆるデータへのセキュアなリモートアクセスをクラウドで実現します。
| Netskope製品情報 | SaaS、IaaS、Webサービス環境に対して、1つのクラウドプラットフォームで強固なセキュリティ機能を提供します。また、クラウドベースのゼロトラストネットワークアクセス(ZTNA)ソリューション「Netskope Private Access」も新たに提供開始しました。 |
|---|---|
| 連携アプリ | Netskopeと各種クラウドサービスの連携を実現することで、さまざまな機能を利用することができます。 |
| 導入事例 | Netskopeは、企業規模問わずにさまざまなお客様にご活用いただいており、国内事例をご覧いただけます。 |
| セミナー・イベント | Netskopeをはじめとするクラウドセキュリティに関するセミナーやイベント出展に関するトピックをご案内しております。 |
