クラウドの普及と共に深まる懸念 シャドークラウドを防ぐには
働き方改革や新型コロナウイルス感染症などの影響で、オフィスの中でも外でも同じように業務を遂行できる環境が強く求められるようになった。その影響か、企業ITとしてのクラウドサービスが急速に浸透しつつある。
しかしその一方で、企業のIT担当者の課題も増えている。特にセキュリティは、最も重要かつ難解な課題の1つだ。従来のオフィスに閉じた環境であれば、ゲートウェイセキュリティで一定の安全性を保つことができた。たとえクラウドアプリケーションを併用していたとしても、オフィスのゲートウェイを介した通信であれば、ある程度は制御できる。しかし、業務環境がオフィスの内外に散在する現状では、従来のセキュリティ技術で完ぺきに保護できるとは言えない。
多くの企業で問題視されているのは、やはり「シャドーIT」だ。従来から社内に勝手に持ち込まれた管理外のPCやソフトウェアなどをシャドーITと呼び、重大なセキュリティホールとして捉えられていた。クラウドは、国内外に極めて多様なサービスが存在しており、インターネット接続さえあれば気軽に利用できる。しかも利用状況はIT管理者から見えにくい。こうした“シャドークラウド”は、従来のシャドーITよりも重篤な問題に発展しやすい。
わかりやすい例として、クラウドストレージが挙げられる。GoogleやMicrosoftなどの主要ベンダーが提供しているサービスは無料で始められ、使い勝手もよい。しかし、社員が機密データをアップロードして、手違いで公開してしまったり、サイバー攻撃で窃取されてしまったりする可能性は否めない。IT担当者の管理の下で正しく利用すれば安全性は高いが、社員が勝手に利用すると危険度が増す恐れがある。
もちろん企業が正式に契約しているクラウドサービスであっても、機密情報を不用意に共有するなど、方法を誤れば安全性は損なわれる。社員が利用したいと申請してきたクラウドサービスが、本当に安全かどうかをチェックする作業も必要だ。
こうした問題のポイントは、クラウドサービスが可視化しにくいところにある。サービスの仕様や利用状況が見えないから、リスクを分析したり、アクセスを制御したりできない。
そこで注目されているのが「CASB(Cloud Access Security Broker)」である。クラウド利用者とクラウドプロバイダーとの間に統合されたコントロールポイントを設置して、クラウドの利用を監視・可視化したり制御したりする機能を提供するサービスだ。企業とIT管理者は、CASBを介してクラウドサービスに一貫性のあるポリシーを適用でき、安全性を保つことが可能となる。