管理部門から存在が見えないIT = シャドーIT、そのリスク正しく認識していますか?

(ペイレスイメージズ/アフロ)

 「宅ふぁいる便」不正アクセスによって発生した情報漏洩が大きな反響を呼んでいる。パスワードが平文状態で有ったこと、過去の退会者情報も流出した件で「宅ふぁいる便」運営元の情報管理体制に批判が集中しているが、一方で、社内で正式利用していなかった「宅ふぁいる便」が社内で利用されていたとしたら、利用可能な状態を作り出していた企業側の情報管理体制が今の時代に適していた管理体制で有ったか?も、問われるべきだろう。

■管理部門から存在が見えないIT = シャドーIT

 今回問題となった「宅ふぁいる便」は、無料で利用出来るという手軽さから、古くから多くの日本企業で利用されてきた。しかし、企業で正式採用されたファイル共有サービスというよりは、従業員が各自の判断で利用しているケースが多いのでは無いだろうか。こういった情報管理部門の許可を得ずに、従業員が各自の判断で利用しているITを、管理部門からは存在が見えないIT = シャドーITと呼ぶ。

 このシャドーITがクラウドサービス利用が当たり前になった現代において、新たなセキュリティリスクとして認識され始めている。

■フリーウェアの代わりに、今はクラウドサービスが無断で利用される

 20年程前で有れば、情報システム部門が提供しているITサービスだけでは業務効率が悪い等の理由から、フリーウェア等を検索し会社支給のパソコンにインストールするという時代が有った。時代が進み情報セキュリティの観点から今では多くの企業が会社支給パソコンへのアプリケーションの無断インストールは禁止されている。

 更に時代は進み、そもそもユーザの行動として、「かゆい所に手を届かせる」ために、今時フリーウェアを探す従業員は殆ど居なくなった。ブラウザを起ち上げ、便利なクラウドサービスを検索するといった行動に出る。そう、今回大きな話題を集めた「宅ふぁいる便」のようなクラウドサービスを探して来て利用を開始する。

 時代は変わり、技術もユーザ行動も変化しているのに、多くの企業では未だに情報漏洩対策としてパソコンへのアプリインストール禁止にコストをかけ、クラウドサービスの利用状況の監視は無関心といった時代遅れの情報管理体制となっている。

PCへのアプリインストールは厳格に制御していても、クラウド利用については監視も制御もしていない
PCへのアプリインストールは厳格に制御していても、クラウド利用については監視も制御もしていない

■管理部門が認識しているクラウドサービスは氷山の一角

 筆者は普段企業のシャドーIT調査を行っているが、調査前にセキュリティ担当者に「御社で利用しているクラウドサービスの数は何個位か?」と問いかけると、だいたい数個程度、多くて10個前後という回答が返ってくる。質問を変えて「社内利用するようなクラウドサービスは何個位か?」と聞いてみると「うーん、100個位ですかね?」と返答される。

 しかし、筆者の経験では金融機関等のセキュリティ対策がしっかりしている業種で一社あたり500個前後のクラウドサービスが検出され、一般的な企業で有れば1000個前後、Proxy等で規制していない企業で有れば2000個近く検出される傾向に有る。CASBを提供するマカフィー社の調査結果によれば、1社から検出されるクラウドサービスの数はグローバル平均で1083個という調査結果が存在する。

 管理部門が把握しているクラウドサービス数は自社で利用されているクラウドサービス数の氷山の一角でしか無いのだ。こういった管理部門が把握していないシャドーITの中には「宅ふぁいる便」等のファイル共有機能を持ったクラウドストレージも含まれるため、情報漏洩の温床となっているリスクが有る。

管理部門が認識しているクラウドサービスは氷山の一角
管理部門が認識しているクラウドサービスは氷山の一角

■シャドーITが原因で発生したセキュリティインシデント

 筆者がシャドーIT調査で実際に経験したセキュリティインシデントを紹介する。

 

 ・事例1 外部人員の契約満了に伴うデータの持ち出し

  人員の契約終了に伴い自社へ戻る人員が、契約終了前に自社のサーバへ大量のファイルをアップロードしていた。

 ・事例2 フリーのクラウドストレージへの大量ファイル共有

  暗号化されていないフリーのクラウドストレージサービスに100GBを超えるデータがアップロードされていた。

 ・事例3 動画配信サイトの長時間視聴による帯域浪費/生産性低下

  Youtube、Netflixといった動画配信サイトの大量視聴でネットワーク帯域が1TB以上使用されていた。

 ・事例4 ビジネスチャットを利用したセクシャルハラスメント

  Slack等のビジネスチャットを利用し、取引先に対してセクハラやパワハラが行われていた。

 ・事例5 翻訳サイトの情報が検索エンジンにキャッシュされていた

  商品名、数量、価格、企業名、部署名、氏名、住所等を含んだメールの内容を翻訳サイトで翻訳し、検索エンジンにキャッシュされ誰でも閲覧可能な状態となっていた。

 他にも幾つか有るが、大半の企業でクラウドストレージが一社当たり20~40個ほど検出される。

■情報セキュリティ管理体制を時代に対応させよう

 今まさに「宅ふぁいる便」を自社利用していなかったか?と管理部門の方は利用状況を調査しているかもしれない。もし、正式に認めていなかったにも関わらず、「宅ふぁいる便」が利用されていたのなら、情報セキュリティの管理体制を見直すことを推奨する。

 自社で適用している「情報漏洩対策」が、時代遅れになっていないか?PマークやISMS認証を取得してから数年が経過し形骸化してしまっていないか?今回の件をきっかけとして、情報セキュリティ管理体制のバージョンが国内企業で進むことを期待したい。