シャドーIT、設定監査、情報漏えい対策――「クラウドセキュリティ」はどこまで見るべきか：CASBの視点から

注目が集まる「クラウドセキュリティ」、しかしその定義は人によって異なるため、「どこまで対応すべきかがよく分からない」という企業も少なくないだろう。マカフィーは報道関係者向けにクラウドセキュリティに関する勉強会を開催し、CASBの視点からクラウドセキュリティの現状を語った。

McAfee エンジニアリング担当バイスプレジデント スラウォミヤ・リジェ氏

　マカフィーは2019年9月13日、報道機関向けに「クラウドセキュリティ」に関する勉強会を開催。McAfeeのCASB（Cloud Access Security Broker）プラットフォーム「McAfee MVISION Cloud」の製品エンジニアリング、品質保証などの責任者を務めるスラウォミヤ・リジェ氏が来日し、クラウドセキュリティの現状を解説した。

　CASBとは、企業内で利用される“把握できていない”クラウドサービス利用を含め、社外クラウドサービスの利用状況を把握し、監査、検証を行うサービスだ。従業員が個人のクラウドストレージサービスなどを企業組織内で利用すると、これまで投資してきたセキュリティ機構をすり抜け、情報漏えいにつながる可能性がある。一方で、クラウドサービスの利用そのものを禁止すると、業務が遂行できない時代であるため、利用を認めつつガバナンスを利かせるためにCASBの仕組みが使われる。

CIOは「ノー」ではなく「イエス」と答えよ

　リジェ氏は「『自社内にシャドーITサービスがどのくらいあると思うか』とCIO（最高情報責任者）に聞くと、『100くらいだろう』と答える。しかし、実際は平均2600ものサービスが利用されている。日本はまだましだが、それでも1500程度は使われているだろう」と述べる。

　シャドーITの中には、例えばPDFコンバーターなども含まれる。PDFでもらった資料をWord文書として再利用したいとき、検索するとそういうサービスがWebに存在する。「もし、これが北朝鮮やロシアが運営するサービスだったとしたら？　これもシャドーITの一種で、利用者はシャドーITと認識せずに利用している場合もある」（リジェ氏）

　さらにリジェ氏によると、日本におけるCASB市場は米国と比べると1年ほど遅れているという印象だという。導入が遅れていることで今もシャドーITがはびこっている現状がある。

　リジェ氏は「シャドーITに対してCIOはノーではなく、イエスと答えるべきだ。クラウドサービスを企業で許可することで、データを守りつつコラボレーションも可能になる。CASBを使うことで、従業員は自由に、安全にサービスを活用できる。IT部門は『イエス』と言える部門になるべきだ」と提言した。

企業の機密データがどこにあるか。このグラフではシャドーITが10％程度と小さくなっているが、これはシャドーITを撲滅し、CASBにより管理が行われた後の状態だという

マカフィーが考える「クラウドセキュリティ」とは