「〇〇禁止」のルールだけでは、根絶が難しいシャドーITのリスク

 SaaSなどのクラウドサービスを活用する流れが加速している。実際、Office 365やG Suiteを導入したり、情報共有基盤にBoxやSlackを利用したりと、複数のクラウドサービスを併用するケースも増えてきた。

 クラウドを活用すれば、外出先でもオフィスと同じように仕事ができる環境が整い、働き方改革が加速する。ソフトウエアやサーバーなどのIT資産を所有せずに済み、情報システム部門は従来の管理業務負担が軽減され、リソースをより有効活用できる。

 様々なメリットが期待できるが、その普及の広がりとともに新たな課題も浮上している。その最たるものが「シャドーIT」によるセキュリティリスクだ。

 クラウドサービスは導入が容易で種類も豊富にあるため、事業部やプロジェクト単位、あるいは個々の従業員が会社の許可を得ずに個別に利用するケースが後を絶たない。

 会社で許可していないクラウドの利用を禁止する――。たとえこのような方針を打ち出しても、それが守られる保証はない。情報システム部門がいくら「〇〇禁止」と呼び掛けても、便利だからといって許可された以外のクラウドサービスを部署で勝手に利用されてしまうといったことも考えられる。

 会社が許可したクラウドであっても、リスクはある。許可されていない私物のPCやスマートフォンからクラウドサービスを利用したり、個人情報など機密性の高いファイルを意図せず外部と共有してしまうといったケースだ。情報システム部門の目が届かないため、きちんとしたセキュリティポリシーや運用ルールを定めていても、それをチェックする手立てがなければ、不用意な利用が原因で情報流出などの情報セキュリティ事故も懸念される。

 こうした状況を打開する手段として期待されているのが「CASB(Cloud Access Security Broker:キャズビーまたはキャスビー)」である。CASBとはどのようなもので、どんな効果が期待できるのか。またどのような基準で選定を進めるべきか。次頁以降で、クラウド時代に欠かせないCASB選びのポイントを紹介しよう。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。