はじめまして!ビデオリサーチのオオニシです。
皆さんの会社では、新しいクラウドサービスを導入する際、どのような手続きを踏んでいますか?「これ便利そうだな」と思ってすぐに使い始めることもあるかもしれませんが、その背後にはセキュリティリスクが潜んでいることも…。
会社の承認を得ずにクラウドサービスを利用する「シャドーIT」は企業のセキュリティに大きなリスクをもたらすため、適切な対策が必要になります。
今回はビデオリサーチのシャドーIT対策の取り組みについてご紹介します!
1. シャドーITとは?
シャドーITとは、企業の管理部門の承認や管理を受けずに、独自に導入されたデバイスやクラウドサービスのことです。 シャドーITについて検索すると、「従業員」という個人についての記載も多いですが、本記事では個人だけでなく「プロジェクト」や「部門」単位におけるシャドーITも想定しています。
2. シャドーITの問題点
シャドーITの代表的な問題点として、下記が挙げられます。
- セキュリティリスク
- セキュリティの評価が不十分となり、データ漏洩の発生や企業としてのセキュリティポリシーに違反している場合もあります。また、インシデントが発生した際、管理外のため検知することもできず、インシデント対応も遅れます。
- コンプライアンス違反
- 取り扱う情報の評価が行われないことにより、個人情報保護法やGDPRなどのデータ保護規制に違反するリスクがあります。
- コスト増加
- 導入済みサービスと重複する機能を持つサービスへの投資をすることで、無駄なコストが発生します。
これらのリスクを最小限に抑えるために、ビデオリサーチでは具体的なシャドーIT対策を講じています。
3.ビデオリサーチのシャドーIT対策
ビデオリサーチでは、シャドーIT対策としてセキュリティチェックシートレビューのプロセスを導入しています。 下記の通り、CSIRTで記録と管理、CCoEで申請内容のレビューと役割を分けて運用しています。
- セキュリティチェックシートの記入 ・・・ 利用者
- 記録と管理 ・・・ CSIRT
- セキュリティチェックシートのレビュー ・・・ CCoE
- 導入可否の判断 ・・・ CSIRT
※CSIRT・・・Computer Security Incident Response Teamの略
セキュリティインシデント対応チーム(ビデオリサーチではVR-CSIRT)
- a.セキュリティチェックシートの記入
- クラウドサービスを導入する際には、まずセキュリティチェックシートを記入してもらいます。このチェックシートには、サービスのセキュリティ要件だけでなく、取り扱う情報(個人情報/機密情報)や運用方法に関する確認項目もあります。
記入が完了すれば、セキュリティチェックシートをCSIRTに提出します。 - b.記録と管理
- セキュリティチェックシートを受け付け、申請内容を記録・管理します。記録が完了すれば、チェックシートのレビューに移りますが、レビューはCCoEのアーキテクチャ・セキュリティチェックシートレビューの専門チームで実施します。
CSIRTではCCoEのレビューと並行して、既に導入済みの類似サービスがあればお知らせしています。
導入済みのサービスを使用することで、
・コスト効率の向上:既存サービス利用によりコストの無駄を防ぐことができる
・コンプライアンスの確保:基準を満たしており、法令/内部規定の遵守が確実にできる
・運用の一貫性と効率化:管理の複雑さやトレーニング/サポートの負担が軽減できる
・ユーザーエクスペリエンスの向上:慣れないサービスによる混乱を抑制できる
が期待できます。ただし、導入済みだからといって即OKというわけではなく、取り扱う情報や運用によってはセキュリティリスクがあるため、 導入済みであってもセキュリティチェックシートの提出は必要になります。
⇩CCoEの取り組みについてはこちら⇩
CCoEとは?から実際の活動内容まで紹介しています
ビデオリサーチのクラウド利用推進活動(CCoE)を紹介! - c.セキュリティチェックシートのレビュー
- レビューでは、事前に評価分類を定めており、その分類に沿ってレビューします。レビュー結果ではOK、NGだけでなく、こういう設定や運用方法であればOKといった条件付きのケースもあります。 サービスとしてはOKでも、取り扱う情報や運用方法がNGの場合もあるため、総合的なレビューが必要になります。
- d.導入可否の判断
- CCoEのレビューを基に、最終的にCSIRTで導入可否の判断を行い、申請者に結果を返します。また、結果を記録し、次回以降の申請時に参考情報とします。
本プロセスにより、
・議事録サービスAでは、社内機密情報が海外リージョンに保存されるためNG
・社外向けサイトBでは、機密情報を扱わないという運用ルールを前提にOK
・「ログの保持期間は○年必要」「定期的なユーザや接続元許可設定の棚卸しするならOK」
というケースもあり、セキュリティインシデントの発生抑止の効果も実感しています。
4.最後に
シャドーITは企業のセキュリティにとって大きなリスクとなり得ますが、適切な対策を講じることでそのリスクを最小限に抑えることができます。 ビデオリサーチの取り組みを、その一例として参考にしていただければ幸いです。
皆さんの会社で取り組んでいるシャドーIT対策について、コメントをお待ちしています!