企業の管理下にないツールやサービスが、現場の独断で業務に利用されている「シャドーIT」。IT管理者にとって長年の頭痛の種となっているこの問題は、コロナ禍での在宅勤務の拡大によってさらに深刻さを増した。しかし、シャドーITに手を出す社員のほとんどは、悪意ではなく生産性を向上させたいがためにそれを使っているはずだ。ハイブリッドワークの世界を迎えようとしている今、企業はシャドーITとどう付き合えばいいのか。対策に向けた考え方とソリューションを追う。
（取材・文／岩田晃久、日高 彰、齋藤秀平）

NRIセキュアテクノロジーズ
現場を交えたルール作りが肝要

　セキュリティ専門サービス事業者のNRIセキュアテクノロジーズには、シャドーIT対応の引き合いが継続的に寄せられている。同社クラウドセキュリティ事業部の境文也・シニアセキュリティコンサルタントは、リモートワークの普及や、データのやりとりにおいてクラウドストレージが主流になってきたこと、各クラウドサービスの接続が容易になったことなど、IT環境の変化がシャドーIT増加の要因として挙げる。
 
　境シニアセキュリティコンサルタントは、シャドーITが生まれる理由として、機密情報の持ち出しといった内部不正の手段として使われるケースと、社員が業務効率化を図るために使用するケースを挙げる。「後者の場合は、社員に悪意があるわけではなく、生産性の向上などビジネスを推進する手段として利用している。企業側はシャドーIT対策をする際、どういった目的で社員が利用しているのか知ることが重要だ」と語る。

　企業側は、業務利用を認めるクラウドサービスやデバイスを明確にして、社員に周知するのが重要となる。その際、厳格なルールにし過ぎると、社員から不満が出たり、情報システム部門の運用負荷が増えるといった課題も生まれる。そのため「各部門のニーズをヒアリングするなどして、ルール作りをするのが大切」（境シニアセキュリティコンサルタント）。「例えば、データをクラウドでやり取りする際に、取引先との関係もありダウンロード先のクラウドサービスを限定するのは難しいが、アップロード先は社内で一つのサービスに限定する。これだけでも（情シス部門の）運用負荷の軽減になる」（同）。最近では、このように社員の要望を取り入れて、従来よりも柔軟なルール作りをする企業が増えているとしている。

　シャドーITで多いのは、許可されていないSaaSを利用するケースだ。そのセキュリティ対策としては、CASB（Cloud Access Security Broker、キャスビー）が有効だとされる。CASBには、利用しているサービスとAPI連携して操作やログインの情報を集約して検知する「API型」▽通信経路上で検知する「プロキシ型」▽集約したログをもとに検知する「ログ分析型」といった種類があるが、境シニアセキュリティコンサルタントは「CASBは製品により対応できるSaaSの種類が異なるため、対応できるSaaSがどれだけあるのかを把握するのが重要となる。加えて、可視化をメインにする場合はAPI型やログ型を、よりクラウドに寄せた対策を施したい場合はプロキシ型といったように、目的を明確にして選定する必要がある」とアドバイスする。

　企業の各部門がパブリッククラウドを許可なく使用するケースもシャドーITの一つだとされる。パブリッククラウドの場合、設定ミスによる情報漏えいが多いため、CSPM（Cloud Security Posture Management）を活用し、設定ミスがないかを速やかに把握し、その後、利用されているパブリッククラウドの利用の許可などを含めた取り扱いを検討するべきだとしている。

　個人のデバイスから企業の契約するクラウドサービスに接続する際は、IDaaSを用いてクラウドサービスへの入り口を一つにし、接続元のデバイスの条件を把握することで対策できる。また、情報の搾取を目的としたシャドーITには、ユーザーの行動を分析し、異常行動が起きた際に検知するUEBA（User and Entity Behavior Analytics）が有効だという。

　これからシャドーIT対策をする企業には「社内でどういったクラウドサービスやデバイスが利用されているのか、CASBで調べたり、社員へのヒアリングを行うなどして、現状把握をするのが先決だ。その上で、社内のルール作りやセキュリティ製品の導入、社員への教育を、段階を踏んで施していく必要がある」と境シニアセキュリティコンサルタントは見解を述べた。

フォースポイント（Bitglass）
CASBの目的は“野良SaaS”探しだけではない

　シャドーITの中でもとくに多くの企業が頭を悩ませているのが、組織としての管理の範囲外にあるSaaSの利用だ。この、いわゆる“野良SaaS”の利用は以前から問題視されていたが、オフィスで仕事をするのが前提の時代には、ネットワークのゲートウェイ部分で容易に検知・制限することが可能だった。社外で業務を行うときも、VPNでいったん社内ネットワークに接続する運用とすることで、オフィスにいるときと同じポリシーを適用できた。

　しかし、社員の自宅や外出先などでのリモートワークが普及する一方、ネットワーク性能などの問題でVPNの使用を徹底できず、社外のインターネット回線からSaaSへ直接のアクセスを許してしまっているというケースが、現実には少なくない。このため、企業が社員に貸与している端末であっても、管理外のSaaSの利用を抑制しきれないという問題が発生する。

　前述の通り、このような課題に対応するソリューションが、クラウドサービスへアクセスする際のセキュリティポリシーを管理するCASBである。中でも、端末とクラウドの間の通信経路上でアクセスを可視化するプロキシ型のCASBは、リアルタイムでのアクセスコントロールが可能なのが特徴で、クラウドサービスの利用を細かく制御したい企業に適している。

　米フォースポイントが提供し、国内では日立ソリューションズがディストリビューターとなっている「Bitglass（ビットグラス）」は、プロキシ型CASBの一つである。主な機能としては、社員が使用しているクラウドサービスの可視化、トラフィック量のモニタリング、データ漏えい防止、ふるまい検知による脅威からの防御などがある。Bitglass自体もクラウドサービスとして提供されており、ユーザー企業が新たにネットワーク機器を設置する必要はない。

　CASBの導入目的が今回のテーマであるシャドーIT対策であれば、一台一台の端末にエージェントソフトをインストールする形態での導入が標準的だ。エージェントの制御により、端末はプロキシサーバーであるBitglassを経由してクラウドサービスにアクセスするので、企業が管理していないサービスも含め、幅広いSaaSの利用を可視化し、管理できる。

　ただ、Bitglass導入の意義は“野良SaaS”の洗い出しだけにあるわけではない。例えば、在宅勤務時に社員の私用端末から企業のSaaSにアクセスする際、どのようにセキュリティを担保するべきかといった問題があるが、このような課題に対しても解決策を提供できるのが大きな特徴となっている。

　Bitglassは、「リバースプロキシ」と呼ばれる技術を用いて、エージェントソフトを導入しなくても一定の範囲で端末の制御が可能だ。例としては、「社員が私用のスマートフォンを利用してMicrosoft 365にアクセスする際には、ファイルのダウンロードを禁止する」といったポリシーを、エージェントレスで適用することができる。

　日本市場ではシャドーITの「抜け道つぶし」を目的に導入が先行したCASBだが、本来の役割は、クラウドサービスを安全に活用するための環境を整えることで、新たなアプリケーションを柔軟に導入できるようにし、企業の生産性や競争力を高める点にある。シャドーITを封じ込めるためにCASBを導入する以前に、企業としてクラウドサービスをどのように活用していくのかという戦略が求められると言えるだろう。

メタップス
国内初の機能で対策を強化

　メタップスは6月14日、SaaS一元管理ツール「メタップスクラウド」で、シャドーITに関する新機能（β版）の提供を開始した。メールの受信ログからSaaSの利用を検知できるのが特徴で、同様の仕組みは国内初という。従来のCASBで対応しきれなかった部分をカバーでき、対策の強化につなげられる。

　新機能は、SaaSの利用開始時に送られてくるアクティベートメールのほか、請求時やユーザー追加時、機能改修時などのメールの件名や受信者の情報と、会社で把握しているリストを照らし合わせることで、無許可での利用が疑われるSaaSを検知する。検知の核となる機械学習技術は、別の事業で培ったノウハウを生かして自社開発した。検知に当たり、メールの本文は不要だ。
 
　クラウド推進事業部事業開発グループの古川和芳・マネジャーは「メタップスクラウドを利用しているお客様からは『社内でどのようなSaaSを使っているか分からないので、そこをなんとかしたい』との要望が非常に多く寄せられていた」と開発の背景を説明する。とくにテレワークを導入する企業が増え、新たな課題としてシャドーITを挙げるケースが目立つという。

　シャドーIT対策ではこれまでCASBが中心だったが、古川マネジャーは「CASBの多くは、出社や貸与端末を前提にした通信の管理やログ収集を行っているため、リモート環境や、業務へのスマートフォンの利用が進む中では、高い投資に対して効果が見えにくい状況がある」と指摘する。

　ただ、同社のシャドーIT機能も万全ではない。対象とするメールアドレスは会社ドメインに限る。個人で取得したフリーメールなどでSaaSの利用を開始した場合は検知できない。

　現在、同社に対しては、幅広い規模の企業からの問い合わせが寄せられており、中には数千人規模の企業もあるという。ユーザーのニーズは高いと判断しており、β版をリリース後の1年間で、直販とパートナー数十社経由の販売を合わせて100社への導入を目標に掲げる。正式版のリリースに向けては、協力してくれる企業を募って検証を進め、充実した分析環境の提供や機械学習の精度向上などを目指す方針だ。

　古川マネジャーは「シャドーIT対策では、CASBを導入すれば万事解決と思っている企業は多いが、それだけでは足りない場合もある。何を防ぎたいのか、どのような事象があるのかといった社内の状況を把握した上で、選択肢の一つとしてとして、われわれの機能も検討していただきたい」と語る。