ブルーコートシステムズは2月9日、「2015年下半期版シャドーデータレポート」を発表した。それによると、クラウドアプリケーションで幅広く共有しているファイルの1割に機密データや規制対象データの漏えいの危険性があり、企業の潜在的な経済的損失は平均190万ドルにも達するという。同社のグループ企業でセキュリティ監視センター(SOC)のサービスを提供しているElastica Cloud Threat Labsがまとめた。
Elastica Cloud Threat Labsは、2014年に“シャドーデータ”がもたらす脅威を初めて明らかにし、セキュリティチームが認識、合意、管理できないところで機密情報がクラウドアプリケーションにアップロードされ共有されることで企業や組織は多額のコストが伴うデータ漏えいのリスクが高まっていることを示した。
レポートはElastica CloudのSOCプラットフォームをベースに調査。Office 365やGoogle Drive、Salesforce、Boxをはじめ、幅広く導入されているクラウドアプリケーションに格納されている約6300万の企業ユーザーの実際にデータに基づき、従業員がクラウドアプリケーションを利用し、社内や関連会社、取引先、顧客などと情報を共有している環境でのシャドーデータの脅威を明らかにしている。
2015年下半期版で注目されるのが、クラウドアプリケーションに格納して広く共有している資料のうち、企業が把握していないものの割合が26%に上るという点。これらの資料には従業員ならば誰でもアクセスして、外注先や取引先など外部ユーザーと共有でき、Google検索で一般ユーザーによるアクセスや閲覧が可能になっている場合もあるという。
幅広く共有している資料の1割に、機密性を要するデータやコンプライアンス規制の対象となるデータが含まれている事実も挙げられている。これらのデータに含まれるのは、ソースコード(48%)、個人情報(33%)、保護医療情報(14%)、クレジットカード業界データ(5%)などとなっている。
TechRepublic Japan関連記事:セキュリティベンダー座談会
(1)アンチウイルスソフトは死んだのか
(2)重要なのは侵入された後の対応
(3)CSIRT/SOCだけでは意味がない
(4)「われわれはあなたの活動を監視しています」--悪意の権限者への対応
(5)「何を守るのか」を見極めて被害の最小化を
こうしたシャドーデータが引き起こす経済的リスクは非常に大きく、2015年下半期の計算では、機密性を要するクラウドデータの漏えいによって発生する平均的な企業の潜在的な経済的損失は190万ドルに上った。特に高額となる分野は、医療機関が1200万ドル、教育分野で590万ドルなどとしている。
企業が実行しているクラウドアプリケーションの平均数は、2015年6月の774から5%増の812となった。最も普及しているクラウドビジネスアプリケーションはMicrosoft Office 365で、2015年初めにトップの座についていたTwitterと入れ替わった。以下、YouTube、LinkedIn、Google Apps、Salesforce、Amazon Web Services、Dropbox、Skype、Boxと続いている。
認可済みと非認可のクラウドアプリケーションによって企業が直面する脅威のトップ3は、上から順に「データ侵害(窃盗)」「データ破壊」「アカウント乗っ取り」となった。
データ侵害が最も多い脅威(77%)であることは想像に難くないが、このようなデータ侵害に使われる手段として、異常な高頻度のメール送信(18%)、異常な高頻度の共有(41%)、異常な高頻度のダウンロード(15%)、異常な高頻度のプレビュー(3%)などとなっている。後半の手段では、ユーザーが機密データのスクリーンショットを取っていると考えられる。