機械制御/振動騒音
IR情報 会社情報

シャドーITなんてこわくない

投稿:Ed Fortune氏、2015年8月4日

 

ITの世界における最大の混乱の1つは、SaaSツールの量と質です。電子メール、オフィスアプリケーション、ストレージから、ソース制御、電話システム、インフラに至るまで、最良の製品を使用したり、ビジネス規模の変化に合わせてスケールしたりすることが、これまでにないくらい簡単になっています。SaaSツールは有益ではありますが、その採用にはリスクが伴います。そしてそのリスクは、すぐには現れないこともあるのです。シャドーITとは、明確な承認なく企業内で使用され、IT以外のリソースを使って導入されるシステムやサービスのことです。シャドーITは、迅速に変化に対応するというビジネスニーズから生まれました。今起きているシャドーITの動向は、すぐには終わりそうにありません。

 

どのようにしてこのような状況に至ったのか

SaaSツールは、専門性および信頼性を着実に高めてきました。通常、モバイルファーストのアプローチが取られ、電話、タブレットまたはラップトップで製品を使用できる、究極の柔軟性が提供されます。従業員が任意のデバイスで業務をこなすことができるBYODでビジネスはさらに快適になり、これが、シャドーITシステムの導入を加速しています。ITは「ブロッカー」であるという認識を受け入れれば、従業員がITを経由せず、ビジネスニーズを満たすサービスを簡単に利用してしまう理由が分かります。

 

シャドーITを検知する方法

シャドーITを検知するのは難しいことと言えましょう。しかし、従業員や部署にクラウド製品の無許可使用を自発的にやめさせるには、コミュニケーションが大きな役目を果たし得ます。ひとつの重要な鍵は、企業プロセスを理解することです。多くの場合、これにより、どんなクラウドサービスが使用されているのかが明らかになります。また、部署によっては、自分の行為にリスクが伴うことを理解していない可能性もあるので、社員教育や恩赦さえも必要になることがあります。
その他の技術を使ってシャドーIT問題の広がりを検知することは、基本的には専門的な性質の作業です。アプリ検知機能を提供するCloud Access Security Broker (CASB) を使用することで、クラウド自体からの検知に取り組むことができます。アプリ検知機能は、一部のレイヤ7対応ネットワーキング機器でも使用できる機能です。さらに、使用パターンに注目して、ntopのようなWebトラフィック分析ツールを実装することもできます。

 

検知は重要ですが、仮にユーザおよび部署を認定クラウドサービスに移行させることが実現できた場合でも、移行には時間がかかるかもしれません。しかし、どの製品が使用されているか理解することで、少なくともリスクを軽減するポリシーを実施することはできます。AdallomのようなCASBプロバイダは、異常動作検出や許諾管理などのツールによるビジネスSaaSアプリケーションの高精度な制御の提供を専門としています。リスクは、エンドポイントのセキュリティコンプライアンスの監視によっても、軽減できます。OPSWAT Gearsは、インストールされているウイルス対策製品の状態から、オペレーティングシステムへの完全なパッチ適用の有無まで、エンドポイントのすべてを監視または管理できます。Gearsは、エンドポイントの場所やその接続方法に関係なく機能するので、AdallomなどのCASBと統合してポリシーを適用することができます。これは、従来NACおよびSSL VPNを使用してイントラネットリソースのセキュリティが守られていたことに似ています。


ARBOR 

 

最適なクラウドテクノロジを見つける

OPSWATでは、クラウドテクノロジを慎重に使用しています。すべてのツールが同等に作られているわけではないので、通常は評価会議を行い、開発部門と運用部門がツールの価値について検討します。システム制御をやめて変化を受け入れることは難しいかもしれません。しかし、SaaS企業は、スケーリングに対応可能です。まさにそのサービスの専門家であり、自らのサービスについて最も先進的な考えを持っています。
クラウド運用ディレクタである私は、当社の開発担当マネージャと協力することがよくあります。私たちは、開発およびDevOpsチームに役立ちそうなソリューションを見つけるため、新しいクラウドサービスおよびツールについて定期的に話し合っています。あるスタンディングミーティングで、その開発担当マネージャから、フラットファイルログの合計が約1テラバイトになる数千のファイルを分析したい、という話が出ました。私は、Hadoopクラスタの設定と、自分のVMwareクラスタにインスタンスを作成して実験のための十分なストレージとレポーティングサーバーを提供することを、検討しました。これは、かなりの大仕事でしたが、一度限りの研究課題であったので、Amazon Elastic MapReduceを使用しました。約1日で、スクリプトを作成して概念実証を構築し、結果を確認して、これを取り除きました。このすべてにかかったコストはわずか$16でした。

 

人気のシャドーITツールの管理

ARBOR Dropboxのほかにも、ファイルの安全な転送方法を提供する製品があります。ファイル転送は、正しく扱う必要があります。特に、HIPAA、SECおよびFECによって執行されている規制要件など、特定の規制を満たす必要がある組織の場合は、注意が必要です。 

 

安全なSaaSプラクティスについて

すでに設定および保守済みのサービスに関しては、それによる企業ニーズへの対応についてあまり深く考えず、ニーズの変化の有無を結局は確認しない、ということが時々起こります。
SaaSにより、ビジネスの運用の仕方が変わりました。ビジネスプロセスによって遮断されることなく、必要なツールをより速くより簡単に利用できるようになりました。企業は、そのIT部門で管理または保守されていないサービスにより行われている意思決定を、把握しなければなりません。クラウドサービスの設定には間違いが生じる可能性があります。クラウドに挑戦する場合は、リスクとコンプライアンスを常に意識する必要があります。


安全なSaaSを実践するためのヒント

実稼働環境でクラウドサービスを使用する場合、必ず、社内データと顧客データを分けてください。常に、最小権限の特権の原則に従い、開発データと実稼働データが混在しないようにしてください。

  • 監査目的でクラウドにアクセスするITアカウントを作成します。
  • 設計の際には故障を考慮します。サービスが利用不可能になった場合、そのサービスなしでビジネスを継続できますか? 不測の事態への対策を計画してください。
  • クラウドを使用すると、リスクにさらされる機会が増えます。他の企業のデータとともに収容されている自身のデータが第三者によりどのように保護されているかを理解する必要があります。
  • 整理整頓します。クラウドサービスをビジネスに使用するということは、企業の空間がクラウドまで拡張されるということです。攻撃対象範囲を減らし、使用しなくなったデータやシステムを削除します。これにより、コスト節約ともに、セキュリティ侵害時のリスク軽減にも役立ちます。
  • SaaS製品には通常、ディザスタリカバリ計画が採用されていますが、それでもなお、データ整合性問題が生じた場合にどうなるかを調査する必要はあります。データの交換や復旧のために必要な手順を理解しておきましょう。
  • アカウントは必ず個別に作成し、権限をグループに割り当てるようにします。個別パスワードが選択できない場合には、必ずパスワードマネージャを使用してこれらのパスワードを共有してください。また、ドキュメントや電子メールでこれらのパスワードを共有しないようにしてください。
  • 利用規約を作成します。公正な利用および禁止事項を定義します。
  • BYODポリシーによりリスクが悪化することのないように、Gearsなどの製品を使用してコンプライアンスを監視します。
  • ネットワーク制限を設定して、非承認のSaaS製品をブロックします。
  • CASBを使用して、組織内で使用されているSaaS製品を検知します。

企業のIT部門のスタッフであれば、いくつかのビジネススポンサと協力し、SaaSによって彼らがどのような問題解決に取り組んでいるかを確認し、それに協力したい意思を示してください。シャドーIT検知は、従業員との対話がなければ、非常に困難です。SaaS革新は急激に進んでいます。シャドーITを利用しているユーザを迫害せず、なぜ彼らがその製品を必要とするのかを理解してください。また、そのリスクについて指導し、このようなリスクからビジネスを保護するためのコントロールを実施できるか確認してください。
ビジネスパートナであれば、解決に取り組んでいる問題にITチームを取り込み、決定プロセスへの参加を要請してください。自身の観点とITチーム独自の観点を融合することで、企業を正しい決定へと導くことができます。  

ARBOR Ed Fortune
クラウド運用部門ディレクター
Ed Fortune氏は、2015年1月、クラウド運用部門ディレクターとしてOPSWATに入社しました。Edは、成長を続けるOPSWAT SaaSポートフォリオにおける可用性、スケーリングおよびパフォーマンスを担当しています。OPSWAT入社前は、Paylocityで10年間IT部門のリーダーを務め、同社を小さな新興企業から上場企業へと成長させたITインフラストラクチャおよび技術チームを構築しました。また、General Dynamics、Google、IBMおよびVerizonなど、数多くのFortune 500企業でテクノロジに関する役職を経験しました。

 

原文はこちらです。

PAGE TOP