こんにちは!Nです。暑い日が続いておりますが、お変わりなくお過ごしでしょうか。
私は毎年この時期になるとダウン寸前です。今年の夏は、扇風機で乗り切ってやる!と意気込んでいましたが早々に冷房を付けました。
皆様も熱中症にはお気を付けください!
MylogStar Cloudコラムは、「シャドーITの対策を考える!」です。
昨今、システム部門を悩ませている問題である『シャドーIT』という言葉を聞いたことはありますか?シャドーITを放っておくと会社の重要な情報が漏えいするリスクがあります!
今回のコラムでは、シャドーITの効果的な対策について考えていきたいと思います。
シャドーITとは?
いくつかの事柄を一括りにしてシャドーITと言われていますが、大まかには「会社のシステム部門が把握していないデバイスやITサービスが使用すること」を指します。
システム部門が把握していないために発見することも難しく、システム部門を悩ませる種になっています。セキュリティリスクとは直接関係のないもの(業務に関係のないアプリケーションのインストールなど)もシャドーITに該当するため多くの社員が無意識にやってしまっているのではないでしょうか?
シャドーITに該当するものには、具体的に以下のような操作が該当します。
- 私用デバイスの使用
- 許可がないクラウドサービス(オンラインストレージ)の利用
- 社内ネットワーク以外の無線LANやWi-Fiの使用
- 許可のないアプリケーションのインストール
シャドーITを対策するためには?
先ほど挙げた4つの対策方法を考えています。
1. 私用デバイスの使用
私用のPCやスマートフォンが該当します。私用のスマートフォンに業務関連アプリを入れ、チャットやメールのやり取りをしている人は少なくないと思います。スマートフォンを狙う攻撃なども近年増えています。
万が一情報が漏えいした場合、システム部門がその事故を把握すること困難で調査に時間がかかります。私用デバイスの使用を是正するためにはどのような対策方法があるのでしょうか?
考えられる対策方法
- 自社のセキュリティポリシーの見直し
ITデバイス使用に関するセキュリティポリシーを見直すことが重要です。
- 業務アプリのライセンスを確認
業務アプリのライセンスを確認し、社用以外のデバイスにインストールされているか確認することで私用デバイスでの業務アプリの利用を減らすことが出来ます。
- MDM/MAM製品の利用
MDMは、モバイルデバイスの管理製品、MAMはモバイルデバイス内の業務アプリのデータ管理製品です。こういった製品を利用することで、モバイルデバイスを適切に管理することが出来ます。
2. クラウドサービスの利用
OneDriveやGoogle Driveの使用(会社で使用許可がない場合)などが該当します。
クラウドストレージ上にアップロードしたファイルが漏えいすることも十分考えられますので対策が必要です。クラウドストレージに対してどのような対策方法があるのでしょうか?
考えられる対策方法
- ログ管理製品
業務端末のログを管理することでクラウドストレージ上にアップロードした操作やダウンロードした操作、または、そのようなファイルを操作したか確認が可能。
- IT資産管理製品
端末にどのようなアプリケーションがインストールされているか確認可能。
業務に不必要なアプリケーションはインストールさせない。
3. 社内ネットワーク以外の無線LANやWi-Fiの使用
無線LANや電波傍受のリスクが高いfree Wi-Fiは、使用を避けたいところです。
カフェや出張先のホテルなどシステム部門の目が届かない場所で接続をするケースが多いため、物理的ではなく製品を導入しての対策が必要になります。
社内ネットワーク以外の無線LANやWi-Fiの使用に対してどのような対策方法があるのでしょうか?
考えられる対策方法
- DLP製品の利用
DLP製品とは、情報が漏えい防止を目的としたセキュリティ対策のことです。デバイスの制御などが主な機能となります。DLP製品を使い、Free Wi-Fiの接続などを制御することで情報漏えいのリスクを減らします。
4. 許可のないアプリケーションのインストール
会社が把握していないまたは、許可していないアプリケーションをインストールすることもシャドーITに該当します。業務PCに業務とは関係のないアプリケーションをインストールする行為は避けなければいけません。
許可のないアプリケーションのインストールに対してどのような対策方法があるのでしょうか?
考えられる対策方法
- IT資産管理製品の利用
業務PCにインストールされているアプリケーションを把握して、関係のないアプリケーションを使わせないようにすることが可能です。
4つそれぞれの対策方法をご紹介しました。4つとも対策方法は似ていることがお分かりいただけたかと思います。
物理的な監視では、シャドーITを是正することは出来ません。
ログ管理製品やIT資産管理製品などを利用することでシャドーITを是正し、自社のセキュリティリスクを低減させることがポイントになります。
MylogStar Cloudで出来ること
操作ログ管理製品であるMylogStar CloudでもシャドーITの是正をすることが可能です。IT資産管理製品やMDM/MAM製品などシャドーITの是正に有効な製品はありますが多くの製品がありどれを導入したらいいか迷うところかともいます。
まずは、安価で簡単に導入が可能なMylogStar Cloudを導入して業務PCの状況を把握することをお勧めします。
MylogStar Cloud 操作ログで出来ること
ウィンドウログ
ウィンドウログタイトルを証跡として残すことが可能。
業務と関係のないアプリケーションのダウンロードやクラウドストレージの利用を把握可能です。
navigate_next参考コラム:「ウィンドウログで業務分析をしよう」
シャドーITは、システム担当者が把握しにくいため是正が難しく頭を抱えている方も多くいらっしゃるかと思います。MylogStar Cloudは、上記でご紹介した通りシャドーITの是正という観点で活用することが出来ます。
60日間の無償トライアルもございますので、ぜひ一度自社でどのようなログが取得されるかお試しされてはいかがでしょうか。
今回は、シャドーITについてご紹介しました。このコラムが皆様のお役に立てれば幸いです。次回もためになる情報をコラムにしますのでお楽しみ!
ではさようなら~
この記事を書いた人
株式会社ラネクシー MylogStar担当者 "N"
MylogStarを担当して今年で3年目。毎日奮闘しています。 趣味は、NBAを見ることです。 最近は、仕事のモチベを上げるためにドラマ「半沢直樹」を無限ループしています。※弊社に大和田常務のような人はいません。
- « 前の記事へ
- マイログクラウドコラムTOP
- 次の記事へ »
MylogStar Cloud(マイログスタークラウド)とは?
MylogStar Cloudはクライアント操作ログ管理をクラウドサービスとしてご提供することで、 お客様の導入作業や運用管理の工数を大幅に削減を実現して、情報漏洩対策や業務改善をサポートします。 テレワーク環境など遠隔地における従業員の安全管理・状況把握、そろそろ始めませんか?
記事一覧
- 2021.09.21「Cloud版コラム始めます。」
- 2021.09.21「OSを確認してウイルスからPCを守ろう!」
- 2021.10.18「ユーザーログを活用し社員の業務時間を把握しよう」
- 2021.11.01「アプリケーションログで社員の実業務時間を確認しよう」
- 2021.11.09「機密ファイルの漏洩を防ごう」
- 2021.11.24「デバイス制御機能で情報漏洩を防ごう」
- 2021.12.16「プリンターログで印刷の監視」
- 2022.01.20「ウィンドウログで業務分析をしよう!」
- 2022.03.02「Webログで社員のWebサイト閲覧を可視化しよう!」
- 2022.04.12「Eメールログで社員のメール送信をログ管理!」
- 2022.05.23「FTPログでファイル転送を監視しよう!」
- 2022.07.12「串刺しログで業務の見える化!?」
- 2022.08.25「MylogStar CloudでUSBメモリ紛失事件を食い止める!」
- 2022.11.30「“ゼロトラスト”を実現するためには?」
- 2022.12.22「フォレンジック調査って聞いたことありますか?」
- 2023.02.06「ファイルサーバーへの操作を監視しよう」
- 2023.03.10「新入社員の業務を見える化しましょう!」
- 2023.05.08「MylogStar Cloud Plusで業務を見える化をしましょう」
- 2023.06.20「情報漏えい事故の件数が過去最多になった件について」
- 2023.08.14「シャドーITの対策を考える!」
- 2023.09.15「改正個人情報保護法から1年以上経過しました」
- 2023.11.02「退職者による情報漏えい対策は出来ていますか?」
