fbpx

シャドーITにCABSで対抗!クラウドに隠れたインフラに挑む

シャドーITは大きなリスク、コスト増、非効率性の増大につながる可能性があります。シャドーITをハイライトし、企業のリスク管理を支援する製品が必要です。

シャドーITに対抗するにはCASBが必要

クラウド経済の新時代に突入しました。クラウド・コンピューティングの黎明期には、IT部門は1つまたは2つのSaaS(Software-as-a-Service)アプリケーションを試してみたものの、最も重要なアプリケーションについては社内のデータセンターを好んで利用していました。今日では、「クラウドを第一に考える(クラウドファースト)」という考え方が、IT部門だけでなく、ビジネスグループ、さらには個人の従業員にとっても、仕事の進め方を考える際のマインドセットとなっています。クラウドベースのコラボレーションツールやデータ共有ツールは、生産性を向上させ、従業員やパートナー、顧客とのコミュニケーションを強化する上で特に役立ちます。

クラウド・アプリケーションの利用が急増していることは、ほとんどの組織にとって真のジレンマとなっています。クラウド・コンピューティングが提供する多くのメリットのためにクラウド・コンピューティングを利用したいと考えていますが、多くの場合、IT部門がどのようなアプリケーションが使用されているのか分からないという状況に陥っています。IT部門の権限外にあるこれらのアプリケーションは、「シャドーIT 」として知られています。

シャドー IT は、いくつかの方法で組織を危険にさらす可能性があります。多くのクラウドベースのアプリケーション、特にコンシューマ向けのアプリケーションでは、企業が必要とするレベルのセキュリティ管理が行われていません。例えば、コンシューマ向けのクラウドストレージ・アプリケーションに保存されたデータは、セキュリティのベストプラクティスを使用して安全に保護されていません。従業員がそのアプリケーションに機密情報や機密情報をアップロードした場合、データは違反に対して非常に脆弱であるだけでなく、組織はコーポレートガバナンスや規制要件に準拠していない可能性があります。そこで問題なのは、従業員の生産性を阻害することなく、組織がシャドーITをコントロールするにはどうすればよいのかということです。

このニーズを満たし、クラウドベースのシャドーITに光を当てることを目的とした新しいクラスのテクノロジー・ソリューションが登場しました。ガートナーは、このクラスの製品やサービスを「Cloud Access Security Broker(CASB)」と呼んでいます。CASBソリューションは、企業がどのようなクラウド・アプリケーションが使用されているかを発見し、企業ポリシーに準拠した方法でそれらを制御するのを支援します。

多くのCASBソリューションの欠点は、監視と分析のために、企業がプライベート・ログやアクティビティ・データを第三者に送信する必要があることです。残念ながら、この実装は、ログやメタデータをサードパーティ・プロバイダに送信したくない、または送信することを禁止されている多くの組織には適していません。特殊なベンダーのクラウド・アクセス・モニターは、企業がログやアクティビティのメタデータを管理することなく、クラウド・アプリケーションを発見、監視、制御するのに役立ちます。企業は何が使用されているかを可視化し、セキュリティ・ポリシーの設定、企業標準のクラウド・アプリケーションの評価と選択、サイト・ライセンスのネゴシエーションを可能にします。

本記事では、使用されているすべてのクラウドアプリケーションを発見して、企業のポリシーに沿って効果的に管理し、同時に従業員の生産性を向上させることの重要性に焦点を当てています。

クラウドエコノミーという背景

数年前までは、SaaSアプリケーションを利用しようとする企業は、その移行を正当化するためのビジネス・ケースを構築しなければならなかった。最近では、企業は「なぜクラウドなのか」を正当化する必要はない。

  • アプリケーションは数ヶ月や数年ではなく数時間で導入できるため、ビジネス価値を迅速に提供することができます。
  • 企業はハードウェアとソフトウェアへの投資を最小限に抑え、「pay as you go」のサブスクリプション・モデルでは、費用は、とらえどころのない資本的支出予算ではなく、営業費用予算に計上されます。
  • ソフトウェア・ベンダーは通常、SaaSアプリケーションの機能、機能、機能を頻繁にアップデートしているため、顧客は最小限の投資でより多くのことを行うことができます。

このように、SaaSアプリケーションが企業全体の中核となるビジネス機能を提供するのは当然のことです。マーケティングや営業チームは、SalesforceやMarketoのようなCRMや自動化ツールを使用しています。財務・人事部門は、NetSuiteやWorkdayなどの会計・雇用アプリケーションを利用して業務を遂行しています。企業全体では、Office 365やGoogle Docsなどの生産性とコラボレーションのアプリケーションを使用しています。実質的にすべてのビジネスユニットが、自社のミッションに不可欠となったクラウドベースの生産性アプリケーションに依存しています。

その結果、ゴールドマン・サックスは、2013年から2018年にかけてクラウド・コンピューティング・インフラストラクチャとプラットフォームへの支出が30%のCAGR(年平均成長率)で成長すると予測しています。

2014年10月に行われたPonemon Instituteの約2,000人のITおよびITセキュリティ担当者を対象とした調査では、この成長が確認されています。回答者は、今後2年間で企業でのクラウド利用が増加すると予測しています。現在、回答者は、組織のITおよびデータ処理の総要件の33%をクラウドリソースを利用して満たしていると推定しています。しかし、この調査結果は、組織が適切なガバナンスを適用せずにリスクを管理することが困難であることも明らかにしています。

影に潜むもの

SaaSの市場は驚異的な成長を遂げており、そのメリットは否定できないが、クラウドアプリケーションの広範な利用には暗黒面もある。ワークグループや個人が勝手にクラウド・アプリケーションを契約して利用している場合、つまりサービスの選択や評価にIT部門の知識や関与がない場合、意図しない問題が発生します。人々は、仕事を終わらせたり、コラボレーションや生産性を向上させたりするために、これらのアプリケーションを使用したいと考えています。しかし、彼らが気づいていないのは、シャドーITとして知られる管理上の問題を生み出しているということです。

ガートナー社では、シャドーITをIT部門の権限外のテクノロジー支出と実装と定義しています。これは、ほとんどの組織が認識している以上に大きな問題です。考えてみてください。

  • Ponemon Instituteの報告によると、クラウドサービスの平均50%は、企業のIT部門以外の部門によって導入されています。さらに、クラウド環境に保存されている企業データの平均44%は、IT部門によって管理または管理されていません。
  • Cloud Security Allianceの調査によると、自社のコンピューティング環境内で使用されているシャドーITの範囲を把握している企業はわずか8%にすぎません。調査回答者の72%が、この問題がどの程度蔓延しているかは知らないが、知りたいと考えていると回答しています。

なぜシャドーITが重要なのか?個人や企業グループに独自のクラウドアプリケーションを選択させることの何がいけないのでしょうか。主な懸念事項は、シャドーITがリスク、コスト、非効率性をもたらすことだ。例えば、以下のようなものだ。

  • 労働者が使いたいクラウドアプリケーションにデータを移動させることができ、データに対する中央管理者の責任がない場合、企業はデータの管理を失うことになります。その結果、データは紛失や盗難のリスクにさらされる可能性があり、企業にとっては大きな負債となります。さらに、データの場所や存在がIT部門にはわからないため、事業継続計画災害復旧計画にデータが含まれていない可能性もあります。
  • データが適切に保護されていない場合、企業はSOXPCIHIPAAなどの規制要件に準拠していない可能性があります。ある業界調査によると、クラウドベースのファイル共有アプリケーションのユーザーのうち、22%が個人を特定できる情報(PII)やペイメントカード情報などの機密情報をアップロードしたことがあるという結果が出ています5。
  • 同じデータが複数の場所(個々の Dropboxアカウントや競合するアプリケーションなど)に保存されている場合、そのデータが古くなったり、公式のデータ ストアと同期しなくなったりすることがあります。古い情報に基づいて作業や意思決定を行ったり、データが異なるアプリケーションに保存されている場合、コラボレーションが困難になる可能性があります。
  • また、同じ種類のアプリケーションを多数のバージョンで運用することは、企業にとってコストがかかることになります。例えば、企業が使用しているクラウドストレージシステムが十数個あることに気づくことは珍しくありません。このように多くの異なるサービスを使用することは、1つまたは2つのサービスを標準化し、優先的なサービスのためにエンタープライズライセンスを交渉するよりもコストがかかる可能性があります。

見ての通り、シャドーITは組織にとって多くの深刻な問題を引き起こす可能性があります。

シャドーITに光を当て、可視化する

クラウドにおけるシャドーITの問題は、年々深刻化しています。ガートナー社によると、12 年前には IT 以外のテクノロジー支出はテクノロジー支出全体の 20%でしたが、10 年後には 90%近くになると予測されています 。企業は、自社の問題がどれほど深刻なものであるかを発見し、上述のような問題を回避するための対策を講じる必要があります。

このようなニーズに対応するために、ガートナー社のアナリストが使用している用語で、クラウド・アクセス・セキュリティ・ブローカー(CASB)と総称される製品やサービスの分類があります(クラウド・アクセス・セキュリティ・ブローカーという言葉を耳にすることもあるかもしれません)。(451 Research 社のアナリストが使用している Cloud Access Control (CAC) という用語を耳にすることもあるかもしれません。CASB の方が一般的なようなので、ここでは CASB を使用します)。CASBツールは、クラウドサービスとそのサービスの消費者の間に配置されるセキュリティ、可視性、ポリシーの施行ポイントとなるように設計されています。CASBソリューションの主な機能は、監視とポリシーエンフォースメントの2つです。

ソリューションの監視部分では、組織のメンバーが使用しているクラウドアプリケーションの可視性を提供します。これは通常、組織のデバイスとさまざまなクラウドサービスの間を行き来するトラフィックの実際のトラフィックやログを分析することで行われます。モニタリング・ツールは、通常、どのクラウド・アプリケーションが、誰によって、いつ、どのくらいの頻度で使用されているかをレポートすることができます。監視プロセスから得られる情報は、クラウドサービスに関するポリシーに関する情報に基づいた意思決定に役立ちます。企業は、これまで知られていなかったクラウドサービスの利用状況を目の当たりにして驚くことがよくあります。多くの企業では、クラウドサービスの利用状況を80%以上過小評価しています。

このソリューションの実施部分では、クラウド・アプリケーション・トラフィックにポリシーを適用し、データの暗号化や紛失防止などのセキュリティ対策を適用することができます。ポリシーは、さまざまなクラウドアプリケーションへのゲートウェイサービスを通過するトラフィックに適用されます。例えば、リスクの高いアプリケーションを対象としたトラフィックをブロックしたり、エンタープライズSaaSアプリケーションに入るデータを暗号化してからアプリケーションに到達させたり、特定のアプリケーションのすべてのトランザクションを監査証跡として記録したりすることができます。CASB ツールの実施機能は、一般的なデータセンターのポリシーと制御手段を、セキュリティ制御があるかどうかわからないクラウド・アプリケーションにも適用できるようにすることを目的としています。

CASB ツールは、企業にとって非常に必要とされる可視性とポリシーの実施機能を、さまざまなクラウドサービスにもたらします。企業は、アプリケーションがシャドー IT と見なされていた場合でも、クラウドで何が起こっているかを管理および制御できるようになりました。もはや暗闇の中にいるような状況ではありません。

多くのベンダーがCASBツールを実装しているが、1つだけ大きな欠点がある。多くの場合、ツールは、アプリケーションの監視タスクを実行するために、ログやアクティビティのメタデータをベンダーのクラウドサービスにルーティングする必要があります。これは、アクティビティ・データの送信が禁止されている組織や、アクティビティ・データをオフサイトで第三者に送信したくない組織にとっては、大きな障害となる可能性があります。そこに課題があります。組織はCASBソリューションの機能を必要としていますが、データガバナンスポリシーに適合した展開スタイルも必要としています。

柔軟性でニーズを満たす、マネージドなCABS

CABSはセキュリティ・チームが、組織で使用されているすべてのクラウド・アプリケーション(影のアプリケーションを含む)を発見するために使用します。

お客様は、CABSを完全なオンプレミス、ハイブリッド・オンプレミス/クラウド、または完全なクラウド・ホスト型で展開するかどうかを選択できます。必要に応じてCASBを展開するか、または必要に応じて展開するかを選択できます。最も重要なことは、このソリューションが、プライベート・ログとアクティビティ・データをオンプレミスで保持することを必要とする、またはそれを好む組織のニーズを満たしていることです。

他の多くのCASBソリューションがクラウド・アプリケーションを検出するためにログ・ファイルを使用しているのに対し、図1に示すように、企業ネットワークを出入りするトラフィックをパッシブにキャプチャします。このソリューションは、スイッチ・ポート・アナライザ(SPAN)ポートまたはファイアウォールからのデータを見て、侵入やレイテンシなしでリアルタイムにトラフィックを分析する機能を提供します。このパッシブな監視は、本番環境でもオフラインでも安全に行うことができ、「企業がクラウドに情報を公開している場所はどこか」という質問に明確な答えを提供します。

CABSにより、企業がどのようなクラウドアプリケーションを誰が、いつ、どのくらいの頻度で使用しているかを知ることができます。今日の労働者は仕事のために複数のデバイスを使用してアプリケーションにアクセスしていると想定されるため、ユーザーだけでなく、すべてのクライアント・デバイスを監視します。

CABSの監視が深まる

ユニークで重要な特徴は、ディープ・パケット・インスペクション(DPI)技術を適用してクラウド・アクティビティ・データを分析することです。DPIは、ログ・エントリだけでなく、クラウド・アプリケーションとの間を行き来するすべての情報を見ることができ、さらに発見を深め、ログだけで行うことができるよりもはるかに深い粒度の分析を行うことができます。DPIが提供するすべてのメリットのためにDPIを利用しています。

視認性の向上

ログデータが送信元と送信先の詳細を提供するだけなのに対し、ネットワークトラフィックの実際のペイロードを可視化することができます。これにより、組織は、クラウド・アプリケーションに入る情報を保護するために、より意味のあるポリシーを作成することができます。例えば、あるワーカー・グループがEvernoteを使用していて、このクラウド・サービスに機密情報を入れることに懸念があるとします。クラウド・アクセス・モニターは、このアプリケーションにアップロードされるコンテンツを見て、ソーシャル・セキュリティ番号マイナンバー、その他のPIIなどの特定の情報の存在をチェックすることができます。低オーバーヘッド

SPANポートからパケット情報を収集するプロセスは、ロギングをオンにする場合と比較して、オーバーヘッドが低い。エンドユーザーのパフォーマンスに影響を与えることなく、24時間365日データを収集することができます。比較すると、ログファイルをキャプチャするプロセスは、あまりにも長い期間行われた場合、旧世代のファイアウォールを窒息させる可能性があるため、非重要な時間帯に1時間ほどファイルをログしてからログをオフにすることをお勧めします。これにより、アプリケーション監視用のデータに隙間ができてしまうことがあります。また、ファイアウォールを用いた境界型セキュリティ対策ではなく、ゼロトラストなセキュリティ対策を実現することも選択肢として持つべきでしょう。

データの利用可能性

パケット・データの収集は、ネットワーク・オペレーションを妨げるものではなく、ネットワーク・データはすぐに分析に利用できます。これにより、SaaSアプリケーションに送信されるメッセージのサイズなど、特定の懸念事項をほぼリアルタイムで監視することができます。対照的に、ログ・ファイルをサードパーティ・ベンダーの場所にアップロードして分析する必要がありますが、これほどタイムリーではありません。

互換性と使いやすさ

パケット・キャプチャー・テクニックは、どのようなファイアウォールやネットワーク・スイッチでも動作し、追加のログ・プロセッサを必要としません。さらに、SPANポートは他の多くの製品で使用されているため、このプロセスはネットワーク管理者によく理解されています。クラウド・アプリケーションがビジネスにもたらすリスクをご覧ください。

このようなデータを収集・分析する理由は、さまざまなクラウドアプリケーションがビジネスにもたらすリスクを把握するためです。ダッシュボードには、どのようなクラウドアプリケーションが使用されているか、既知の脆弱性を持つものはどれか、そのアプリケーションがビジネスユーザーにとってどの程度のリスクがあるかなどの情報が表示されています。

ダッシュボード上の脆弱性情報は、サードパーティの脆弱性サイトのデータベースから取得しています。このデータベースを利用して、アプリケーションやWebサイトごとの問題や既知の問題を探します。リスク評価情報は、マネージドメソッド独自のリスク分析チームからのデータと、顧客のセキュリティ・チームから提供された情報を組み合わせたものです。マネージドメソッドは、クラウド・アプリケーションの基本的なリスク分析を行っており、顧客がアプリケーションをどのように認識しているかを基に、リスク態勢を修正することを可能にしています。例えば、クラウド・ストレージ・サービスは、一般的な企業利用には十分なコントロールがなされており、低リスクであると判断されるかもしれませんが、機密性の高い知的財産を持つ製薬会社では、このサービスは非常にリスクが高いと判断されるかもしれません。このカスタマイズ可能なリスクスコアは、企業にとって最もリスクの高いクラウドアプリケーションを一目で把握することを可能にします。

クラウド・アクセス・モニターはまた、利用データの異常を探して、例えばSaaSの利用が急増したり、データが流出したりしていることを浮き彫りにします。これにより、アラートを起動して、異常な動作の詳細を調べるように企業に指示することができます。

CABSの特徴・機能・メリット

クラウドアクセスモニターを利用して影のITに終止符を打つことの主な特徴とメリットを以下の表にまとめました。

特徴・機能 ベネフィット
クラウドアプリケーションの監視:企業資産とデータを交換するサービスを分類することに焦点を当てて、アウトバウンドとインバウンドのクラウドトラフィックを識別します。 実際に使用されているクラウドサービスの可視化を実現
アプリケーションリスク評価:各SaaSアプリのセキュリティリスクプロファイルを特定し、定量化する SaaSアプリが組織にもたらすリスクのレベルを迅速に評価する
特定の懸念事項を監視:SaaSへのメッセージのサイズ、メッセージの内容などのカスタム監視 悪質な行為や禁止行為の前兆となりうる行為を素早くキャッチします。
異常検出:観測されたベースラインに基づいて、使用状況やデータ交換の異常を検出します。 悪質な行為や禁止行為の前兆となりうる行為を素早くキャッチします。
スケジュールおよびオンデマンドのレポート:ユーザーのアクティビティとSaaSの使用状況のレポートを取得します。 クラウド活動のレベルを見る必要がある人にレポートを配布する
対策を講じる:認可されていないアプリケーションを使用しているユーザーに連絡するか、特定のSaaSアプリケーションをブロックするためにファイアウォールにコマンドを送信します。 会社の方針に反する危険な行為をシャットアウトする
オフプレミスでの使用状況を監視:軽量クライアント拡張機能を使ってSaaSアプリのオフプレミスでの使用状況を監視 従業員が社内ネットワークにいなくても、利用中のクラウドサービスの可視化を実現
クラウドトラフィックのアーカイブ :クラウドサービスとの間を行き来するトラフィックの記録をアーカイブします。 規制遵守とフォレンジック分析の促進

まとめ

クラウド上に展開されたアプリケーションを活用することで、企業が多くの価値を得ていることは間違いありません。SaaSアプリケーションを数時間、アプリケーションによっては数分でフル稼働させることが可能です。ビジネス部門、コラボレーション・ワークグループ、個人は、企業のクレジットカードを引き出してすぐに開始したいと考えていますが、多くの場合、事前にITや情報セキュリティ・チームに相談することなく、すぐに開始することができます。生産性を向上させようとする善意にもかかわらず、これらの労働者は、知らず知らずのうちにシャドーITの利用によってさまざまな問題を生み出しています。

シャドーITに光を当て、企業がデータとアプリケーションを再びコントロールできるように支援します。クラウド・アクセス・モニターは、どのようなアプリケーションが使用されているかを発見し、継続的に監視し、分類し、リスクを評価します。さらに重要なことは、ITチームは、適切なポリシーを開発し、承認されたアプリケーションの全社的な基準を設定し、データを保護し、リスクを軽減するために必要なコントロールを適用するために必要な情報を得ることができるということです。

企業にこのソリューションをどのように展開するかの選択肢と柔軟性を独自に提供します。顧客は完全にオンプレミス、ハイブリッド・オンプレミス/クラウド、または完全にクラウド・ホスト型で展開するかどうかを選択できます。この柔軟性により、企業は必要に応じて CASB を展開し、プライベート ログとアクティビティ データをオンプレミスに保持することができます。

シャドーITの問題を抱えていると思われる場合は、マネージドメソッドにご連絡の上、クラウド・アクセス・モニターの無料トライアルをご利用ください。クラウドの利用状況とコントロールの問題を可視化し、リスクを軽減するお手伝いをさせていただきます。

SNSでもご購読できます。