なぜ重要か?
- 昨今の企業活動では、部門や個人が勝手にSaas(例:Slack, Trello, Zoom, Dropbox)やクラウドサービス(例:AWS, Azure, GCPの特定サービス)を契約・利用するケースが爆発的に増えています。これが「シャドーIT」です
- シャドーITは、セキュリティ部門の管理下にないため、設定ミスによる情報漏洩、不正アクセス、脆弱性の放置など、重大なセキュリティリスクの温床になります
- 従来の境界型セキュリティ(ファイアウォールなど)では検知・防御が困難です
実務でのポイント:
- 現状把握の難しさ:まず、組織内でどんなSaaSやクラウドサービスが利用されているかを把握すること自体が非常に難しい。これはネットワークトラフィックの監視、従業員へのヒアリング、IT資産管理ツールの活用などが求められます
- CSPM(Cloud Security Posture Management):AWS, Azure, GCPといったIaaS/PaaS環境の設定ミスや脆弱性を自動的に検出し、修正を推奨するツール。クラウド環境の「設定ミス」に起因するインシデントが増加している中で、必須のツールになりつつあります
- SSPM(SaaS Security Posture Management):Salesforce, Microsoft365, SlackなどのSaaSアプリケーションの設定不備やセキュリティリスクを検出し、管理するツール。SaaS側のセキュリティ設定は多岐にわたり、専門知識がないと適切な設定が難しいため、SSPMの導入が有効です
- 従業員への啓発:SaaS利用に関するガイドライン策定やセキュリティ意識向上トレーニング(シャドーITのリスク説明など)が重要です
問答集
-
新しく導入されたクラウドサービスAについて、セキュリティ部門がその利用状況を把握できていないことが判明した。情報漏洩リスクを低減するため、どのような提案が必要か?
A. シャドーITの特定 -
ネットワークトラフィックの監視と分析
- プロキシログ/ファイアウォールログの分析
- 具体的なアクション:組織内のユーザーがアクセスしている外部SaaSやクラウドサービスのURL、ドメイン名を定期的にチェックします。特に、普段利用が承認されていないはずのビジネス系SaaS(例:聞いたことのないオンラインストレージ、プロジェクト管理ツール、コミュニケーションツール)へのアクセスがないか、異常な通信量がないかを確認します
- ポイント:特定のSaaSサービスは、標準的なポート(HTTP/HTTPS)以外を使う場合もありますが、多くはウェブベースなので、プロキシやファイアウォールログで発見しやすいです
- プロキシログ/ファイアウォールログの分析
-
DNSログの分析
- 具体的なアクション:社内のDNSサーバーが解決しているドメイン名を監視します。不審なSaaSのドメイン名や、個人利用が疑われるクラウドサービスのドメイン名が見つかる可能性があります
- ポイント:暗号化された通信(HTTPS)の中身までは見えなくても、どのドメインにアクセスしようとしているかはDNSログで確認できます
-
CASB(Cloud Access Security Broker)の導入:
- 具体的なアクション:CASBは、クラウドの利用状況を可視化し、制御するための専門ツールです。誰が、いつ、どのクラウドサービスに、どのようなデータをアップロードしたかなどを詳細に監視・制御できます
- ポイント:未認証のSaaS利用の検知(ディスカバリー機能)に非常に強力です。利用ルールからの逸脱をリアルタイムで検知し、ブロックすることも可能です
B. エンドポイントの監視:
- EDR/ERPログ分析:PCにどんなアプリがインストールされているか、どんな通信をしているか把握
- IT資産ツール:定期的にPCのソフトウェアインベントリ(アプリ一覧)を収集
C. 従業員へのヒアリング:
- アンケート/ヒアリング:「どんなサービス使ってる?」と正直に聞く。禁止ではなく「安全利用のために知りたい」スタンスで
- 申請フローの周知:新規サービス利用時は必ず申請するルールを徹底