「シャドーIT」という言葉をご存知でしょうか?
シャドーITとは私物のモバイル機器やITサービスを、秘密裏に業務に利用する事です。
シャドーITは会社がそのセキュリティ対策を管理できていない分、情報漏えい等の危険が潜んでいます。
今回は、シャドーITの危険性と、その防ぎ方についてご紹介していきます。
個人で使用しているクラウドストレージサービスなどに社内の情報を保存していた場合、不正アクセスや機能の設定間違いによって、保存していた情報が外部へ漏えいしてしまう恐れがあります。
私物のIT機器は、どうしても会社のものよりセキュリティ対策が甘くなりがちです。
そのため知らない内にウイルスに感染してしまい、それに気づかず社内ネットワークに接続・感染してしまったケースがあります。
私物のIT機器に業務用のデータを保存していた場合、情報紛失の可能性が高まります。
社外での利用が主なため、電車での置き忘れなどによって紛失してしまうケースは、ニュースなどで耳にされた事があるかと思います。
会社がIT機器やサービスの利用を把握・管理していないために、上記の様な問題が起こる恐れがあります。
では、シャドーITを防止するにはどうすればいいのでしょうか。
社内の情報セキュリティルールを整備・徹底していく事はもちろん重要です。しかし私物のIT機器や利用サービスまで会社が把握するのは困難なので、使用を続ける社員がいるかもしれません。
そのため規制以外の方法を選ぶ会社もあります。
BYODは、Bring your own deviceの略称です。意味はそのままで、業務に私物のIT機器を利用する事を認める考え方になります。
ただシャドーITの利用を認めればいい、というわけではもちろん無く、BYODを実施する時気をつけなければいけない事はいくつもあります。
たとえば、私物のIT機器の利用を認める場合は、社用と同様のセキュリティ対策を行わなければいけません。
また私物のIT機器に保存しても良いデータの範囲を定めるなど社内の利用ルールを、BYODの実施に合わせ新たに作成しなければ、情報漏えいなどの問題が起きるリスクは高いままです。
そのためBYODを実施される際は、まず社内の利用ルールをしっかりと定めることをおすすめします。
BYODを実施し、シャドーITを認めるのか、それとも規制していくのか。どちらにせよ情報セキュリティルールの再構成・徹底、またそれに加え、業務に使用している情報機器の見直しや、定期的なセキュリティチェックなどを実施していく必要があります。
こうしたセキュリティチェックなど、人的な対策以外ではセキュログの様なPCのログを取得できるソフトウェアを導入し、利用を監視する方法も有効です。
セキュログにはキーワードアラームとソフトウェアアラームという機能があります。
名前の通り、特定のキーワードやソフトウェアを検知し、それを管理者に知らせる機能になっています。
この2つを利用すれば、PC上のシャドーITを防いでいけます。
特定のキーワードを設定すれば、そのキーワードを含んだログを収集した時、アラームで通知してくれます。
端末・ユーザごとに設定も可能なので、業務内容や利用者に合わせた細かい設定も行えます。
まずTOP画面から「キーワードアラーム」をクリックします。
設定閲覧の画面が表示されるので、最下部の「設定を追加・変更する」をクリックします。
この画面にて、各種設定を行っていけます。
各操作(ファイル操作・印刷・Webアクセス・デバイス書込)の際に、それぞれの操作や印刷、書き込みを行うファイル名、もしくは閲覧するWeb ページ名にキーワードが含まれているか検知します。
また各端末・ユーザごとに、監視時間帯を決め、特定の時間帯のみキーワードアラームが通知される様に設定する事も可能です。
設定を完了されたら、「次へ」をクリックください。
追加登録された設定は、下記画像の様にオレンジで示されます。
この設定で良い場合は、「登録」を、違う設定にしたい場合は「戻る」をクリックしてください。
「登録」を押された場合、設定が登録されますので、以後登録した設定が行われた際はアラームが通知されます。
登録するキーワードは、できるだけ汎用性の高いものをお勧めいたします。汎用性が高ければ、そのワード1つでカバーできる範囲が広く、検知の可能性が高いためです。
検知された場合は、TOP画面の「アラーム情報」でその月・どの操作でアラーム設定している操作が行われたのか知らせてくれます。
「ホワイトリスト(許可ソフトウェアリスト)」と「ブラックリスト(不許可ソフトウェアリスト)」を作成できます。
PCで利用されているソフトウェアから自動でリストを作成されるので、そこからホワイトリスト・ブラックリストに振り分けを行っていただきます。
ホワイトリストに登録されていないソフトウェア、もしくはブラックリストに登録されているソフトウェアがインストールされた場合、アラームで通知してくれます。
TOP画面から「ソフトウェアアラーム」をクリックしてください。
下記画像と同じ画面が表示されます。
「自動取得ソフトウェア」には、PCにインストールされているソフトウェア名を取得し、自動で作成されます。
この「自動取得ソフトウェア」から、ホワイトリスト・ブラックリストに振り分ける作業を行っていきます。
それぞれの表から移動させたい場合は、チェックマークをつけていき、赤枠で囲った矢印をクリックしてください。
移動させれば、その時点で設定が反映されるので、振り分けの終了後はそのままページを閉じていただいても問題ありません。