近年、個人用端末のビジネス利用やコンシューマー向け無料サービスの発展により、従業員一人ひとりの業務効率や働き方の柔軟性は格段に高まりました。しかし、そのメリットの裏に大きなリスクが潜んでいることを忘れてはいけません。
とくに昨今では、勤務先の会社に許可なく自分のスマートフォンなどのデバイスを持ち込み、仕事で利用する「シャドーIT」が問題視されています。セキュリティの観点から何らかの対策が急務となっているケースも多いことでしょう。
本稿では、社内の情報システムを内側から脅かす「シャドーIT」の脅威を説明したうえで、その対策を紹介していきます。
シャドーITによって起こり得るセキュリティトラブル
そもそも「シャドーIT」とは、企業の管轄外で従業員がIT機器やサービスを利用すること。具体的には、許可されていない自身のデバイスで社内システムにアクセスしたり、外部サービスで重要な業務データをやり取りすることを指します。シャドーITが横行してしまうと、従業員一人ひとりのちょっとした油断が大きなセキュリティトラブルにつながります。では具体的に、どのようなトラブルが起こるのでしょうか。以下、シャドーITによって引き起こされるセキュリティトラブルについて見ていきましょう。
1.コンシューマー向けサービス利用による情報漏えい
ファイル共有やチャットアプリなど、コンシューマー向けのサービスは無料で、使い勝手の良いものが多く、プライベートで使う分には申し分ありません。しかしビジネスで業務データを扱う場合には、そのセキュリティに不安が残ります。
たとえばオンラインストレージサービスを利用して顧客とやり取りをする際、その運営元にトラブルがあったらデータがすべて消えてしまう恐れがあります。また、何かの間違いで第三者でも閲覧・編集ができるよう公開設定が変更になった場合は、情報漏えいやデータ改ざんのリスクも高くなるでしょう。
また、コンシューマー向けのチャットアプリでは「なりすまし」のリスクも。何らかの方法でログイン権限を得た第三者が同僚や上司になりすまし、社外秘の情報を聞き出そうとする危険性があるのです。また、退職した社員がチャット上のログを参照してデータを外部に持ち出そうとするかもしれません。
2.個人端末の利用による、情報持ち出し・ウイルス感染
個人端末を業務に持ち込んで利用する(BYOD)は、端末コストの削減や従業員の業務効率向上につながります。一方で、端末に残っている業務データの管理には注意しなければなりません。
仮に従業員が盗難・紛失により端末を失った場合、顧客データが流出し会社の信用を大きく損なってしまいます。また、退職時に端末を返却することもないため、業務データが社外、それも競合他社に渡ってしまうリスクも大いにあります。
また、ウイルス感染した自分のPCやタブレットで社内ネットワークにつないでしまい、気付かないうちに会社全体にウイルス・マルウエアを広げてしまう恐れも。従業員が自身の端末を持ち込んで業務を行う場合は、セキュリティに細心の注意を払ってください。
3.外部ネットワーク接続による、ウイルス感染
近年はPCを持ち歩きながら働けるフリーアドレスやリモートワークを導入する会社も増えてきました。しかし、業務内容によってはそれも大きなリスクとなります。公共の無線LANなどセキュリティが万全でないネットワークで顧客と連絡すれば、業務データが漏えいする恐れがあります。
では、こうしたリスクを回避するにはどうしたらいいのでしょうか。以下では、具体的な対策についてご紹介します。
【対策1】従業員の要望をヒアリングする
そもそもなぜ企業の管轄外で個人端末を使用する従業員が増えてしまうのでしょうか。従業員も情報漏えいやウイルス感染を広めたくて、個人の端末を持ち込んでいるわけではありません。会社が用意しているIT環境では非効率なことが多いために、自身の端末を無断で使用しているケースが多いようです。こうした現場と管理側のギャップを埋めなければ、いくら個人端末の禁止を呼びかけても、シャドーITがなくなることはないでしょう。
ギャップを埋めるためには、「アクセスしたいシステム」、「社用デバイスを外部に持ち出す頻度」などを社内アンケートでヒアリングし、現行のシステムやルールで従業員にどのような不便が生じているかを把握する必要があります。その結果、管理側から見て問題がなければ、一部ルールを変更するような柔軟な対応が求められるでしょう。
また、システムへのアクセス状況やクラウドの利用状況などをヒアリングし、把握することで、従業員が普段どのようにオンラインサービスを利用しているか可視化することができます。それにより得たデータは、その後のセキュリティ対策にも活かせるでしょう。
【対策2】Webフィルタリングソフトを導入する
Webフィルタリングソフトを使い、有害サイトへのアクセスを未然に防げば、シャドーITによるリスクを低減することができます。
フィルタリングソフトを選ぶ際は、フィルタリングするURL(ブラックリスト)のデータベースが最新かどうか、精度が高いかどうかに注意を払いましょう。稀にブラックリストのデータベースが古いフィルタリングソフトも出回っています。そういったソフトでフィルタリングを行なっても、意味をなさないので十分に気をつけましょう。
また、フィルタリング機能の柔軟性も重要なチェックポイント。業務上、規制されたURLにどうしてもアクセスしなければいけないこともあると思います。
そんなとき、部分的な機能や、限られた社員にのみアクセスを許可できるような設定ができるソフトかどうかを導入前にしっかり見極めましょう。
【対策3】社内クラウドによる管理
近年、「Dropbox」「Googleドライブ」などクラウド化が進む一方、それに伴うトラブルも増えています。では、どのようにこうしたトラブルを回避すればいいのでしょうか。対策は2つ考えられます。一つは、法人向けのクラウド型サーバーの導入。
この際、「セキュリティ」と「使いやすさ」の2点に気をつけましょう。セキュリティ面では、情報をSSL通信によって暗号化するとよいでしょう。社外のデバイスからのアクセスを防ぐために、IPアドレスによるアクセス制限も必要です。また、利便性の高い「Dropbox」「Googleドライブ」のような一般のクラウドサービス(パブリック・クラウド)にも引けを取らない使いやすさも重要。ここを妥協してしまうと、従業員はパブリック・クラウドを使ってしまうでしょう。
近年はファイル共有だけでなく、メール、 CRMなど複数のクラウドサービスを利用する企業に向けてCASB(Cloud Application Security Broker)のような製品も出ています。 CASBは、企業が利用する複数のクラウドサービスに対して、一貫してアクセス制御やログ取得などのセキュリティ対策を行います。これによって、企業は、一括してセキュリティを管理できるようになるのです。
【対策4】MDMツール導入
私用端末の業務利用(BYOD)も情シス担当にとっては悩ましい問題。仮に営業担当が私用のスマートフォンを紛失したり、盗難にあったりしたら、その端末内の顧客情報が流出するリスクが高まります。
こうしたリスクを低減させるために、BYODを採用する場合には、 MDM(モバイル管理)ツールを利用しましょう。MDMは業務期間中、業務用途以外の使用を禁止したり、業務用途で使う場合のみ利用に制限をかけたりと、段階に分けてセキュリティレベルを調整できます。
ただし、従業員の合意を得にくいというデメリットもあります。そのため、紛失したり盗難された際に端末のデータを消去したりロックをかけたりする、低レベルのセキュリティ対策を設定する必要もあるでしょう。
このようなMDMツールの利用に加えて、閲覧したサイト情報を端末に残さない「セキュアブラウザ」という手法もあります。社内システムにアクセスするときのみ、このセキュアブラウザを利用するようにすれば、MDMによる高レベルのセキュリティを利用しなくとも情報の安全性は担保できるでしょう。
参考ツールのご紹介:Workspace MDM
うまく「管理」できるかどうかが、腕の見せ所
単に私用端末の使用を禁止したり、最新ツールの活用を押し付けるだけではシャドーITを完全に防ぐことはできません。なぜシャドーITが蔓延しているのか、その原因を突き詰め、従業員の声をヒアリングし、本質的な対策を講じる必要があるでしょう。何もかも禁止するのではなく、適切に「管理」できるかどうかが、情シス担当者の腕の見せ所と言えるでしょう。
