情報漏洩対策

シャドーITのリスクと対策│クラウドサービスの個人利用による情報漏洩事例

はじめに

「シャドーIT」とは、企業が利用を把握していない従業員が独自に利用しているデバイスやサービスを指します。シャドーITの多くはセキュリティ対策が不十分であったり設定に不備があるなどの理由から、情報漏洩や不正アクセスを引き起こすリスクが潜んでいます。そのため、隠れて利用されているデバイスやサービスを把握し、許可していないソフトウェアやクラウドサービス等の利用を制御するなど、必要に応じて制御する対策が必要です。

これらの対策は国内の支店や拠点だけではなく、海外拠点で利用されているデバイスやサービスも含まれます。
今回のコラムでは事例を交えながらシャドーITのリスクを振り返り、それに対する解決策をお話いたします。

1:シャドーITのリスクをおさらい!

シャドーITが組織内で発生し、気づかぬまま利用し続けた場合、会社に大きなセキュリティリスクをもたらす可能性があります。
特に、シャドーITの中でも近年急増しているクラウドサービスには、手軽に利用でき、多くの企業が利用している反面、適切に管理をしていないとサイバー攻撃などによる情報漏洩リスクが発生してしまいます。
実際に2021年8月、某大学病院は患者約270人分の個人情報が漏洩したことを明らかにしました。
今回の情報漏洩事例は、医師が個人で使用していたクラウドサービスに患者情報を保存しており、ID及びパスワードがフィッシング詐欺により窃取されたことが原因でした。仮に組織がクラウドサービスにおけるシャドーITのリスクを理解し、適切な管理をおこなっていれば、こういった事件は防ぐことができたかもしれません。

万が一情報漏えいしてしまったら・・・
日本の場合、個人情報が漏洩した際は個人情報保護委員会からの措置命令違反として1億円を要求されたり、個人情報保護委員会への虚偽報告では50万円を要求される可能性もあります。また、万が一個人情報が漏洩した際には、営業停止に伴う利益喪失や人件費などの支出、ブランドイメージ低下による株価下落など、会社の信頼や今後の事業にも影響がでてしまう恐れがあるのです。

2:シャドーITへの対策

こういった情報漏洩を未然に防ぐためにも、従業員の端末やクラウドサービスなどのソフトウェアの利用を把握し、IT資産管理を適切に行うことが必要です。具体的には以下の対策をおこなう必要があると考えられます。

-1:利用状況を正確に把握

シャドーITを防ぐためには、デバイス(ハードウェア)やサービス(ソフトウェア)の利用状況を正確に把握する必要があります。OS情報などのハードウェア情報に加え、インストールされているソフトウェア情報やファイル共有やSNSサイト等のクラウドサービスの利用状況まで把握することが求められます。

-2:セキュリティに問題があるPCをなくす

そもそも脆弱性のある端末を利用していた場合、情報漏洩につながるリスクが高まります。脆弱性のある端末を可視化し、OSやインストールしているウイルス対策ソフト等の情報を最新の状態にしておくことが必要です。

-3:利用を許可していないシャドーITを制御する

    • 許可していないソフトウェアの利用を禁止させる
      ファイル転送やファイルストレージなどのソフトウェア利用には情報漏洩リスクがあります。利用を許可していないソフトウェアが利用されている場合は、ソフトウェアの起動を制御することで情報漏洩を未然に防ぐことができます。

 

    • WEBサイトやクラウドサービスのアクセスを制御
      クラウドストレージやSNSなどのクラウドサービス利用にも情報漏洩リスクがあります。利用を許可していないクラウドサービスへのアクセスを制御してクラウドストレージへのアップロードを規制したり、SNSなどへの書き込みを制御することで、クラウドサービス利用に起因する情報漏洩を未然に防ぐことができます。

 

  • 外部デバイスの利用を制御
    USBメモリやSDカードなどの外部デバイス利用には、不正に情報を持ち出されるリスクがあります。そのため、私物の外部デバイスの利用を制限し、特定のデバイスのみ利用できる状態にすることで、重要データが不正に持ち出されることを防ぐことができます。

シャドーITへの対策
ISM CloudOneであれば、遠隔地にある端末を含めたハードウェア/ソフトウェアのIT資産管理からセキュリティ対策まで一元で対策を実施することができるため、シャドーITへの対策にも有効です。

お役立ち資料やISM Cloudの資料はこちら>>

3:まとめ

冒頭でお伝えした通り、シャドーITを防ぐためには、端末の脆弱性をなくし、利用状況を可視化して適切にIT資産を管理し、必要に応じてクラウドサービスを含めたソフトウェアなどの利用やアクセスを制御するといったセキュリティ対策が必要不可欠です。
しかし、このような管理や対策を行うといっても人力での対応は、離れた場所にある端末の状況を正しく把握できなかったり、運用工数が大幅にかかるため大変です。
そんなお悩みをまとめて対策することのできるISM CloudOneで、シャドーITの対策をしてみてはいかがでしょうか。

<関連記事>
■クラウド利用によるシャドーITが急増!?原因や情報漏洩リスクをわかりやすく解説

 

RECOMMENDこちらの記事も人気です。