フォーム読み込み中
業務効率化の観点から、Google Workspace やMicrosoft 365などSaaS(Software as a Service)の利用が企業には欠かせません。ChatGPTなどに代表されるようなAIが次々と登場していることもあり、今後はさらにその利用が加速していくでしょう。
しかしその一方で、企業での活用にそぐわないセキュリティリスクの高いSaaSが勝手に利用されてしまっていたり、プライベートアカウントへのデータアップロードを許可している状態になっているといった問題も散見していて、機密情報の漏えいが懸念されます。
このブログでは、そうしたリスクへの対策方法をご紹介します。
クラウドサービスを始めとしたクラウド利用におけるセキュリティインシデントの原因として主に、許可されていないサービスをあえて利用する「シャドーIT」が挙げられます。
シャドーITとは、企業や組織が許可していない端末やWebサービスを業務で利用している状態のことです。チャットアプリやオンラインストレージ、タスク管理ツールに代表されるような利便性の高いWebサービスが増えつつありますが、セキュリティ観点からIT部門が利用を許可していないケースも多くあります。
IT部門の許可を受けないまま、従業員が企業や組織へ報告せずに個人アカウントでサービスに登録した場合、アカウントへの不正アクセスによってインシデントが起こり得るリスクがあります。
個人が勝手にサービス契約しているため、プライベートの個人情報や企業の機密情報などが流出した場合に大きな被害を被ることになります。
事例1
あるオンラインストレージのサーバが、悪意のある攻撃者による不正アクセスを受け、利用者の個人情報が流出。流出した情報の一部には、居住地の都道府県名や職業・業種・職種の情報も含まれていた。
事例2
無料翻訳サービスに入力された情報が、誰でも閲覧できる状態になっていた。デフォルトの状態で入力された情報がサーバー側に保存される仕様となっており、誰でも閲覧できる状態になっていた情報の中には、個人情報や企業の機密情報を含むものもあった。
従業員への教育を行っていても「これくらいなら大丈夫」と利用されるリスクは拭えず、セキュリティ意識の向上だけでは阻止することは困難です。そのため、仕組みで防ぐ必要があります。
そこで有効な機能が「CASB(キャスビー)」です。
CASB(Cloud Access Security Broker)とは、2012年にアメリカのガートナー社が提唱したクラウドサービスに対するセキュリティの考え方です。
クラウドサービスとその利用者の間にCASBを配置することで、クラウドサービスの利用状況の可視化や制御を一元で管理することが可能で、複数のクラウドサービスに対してユーザごとの細かいアクセス制御や認証、マルウェアの検知、ログ取得・分析を行うことができます。
CASBが持つ機能には「利用状況の可視化」、「セキュリティポリシーの準拠監査と利用制御」、「データ持ち出しのチェック・保護」、「脅威の検出・防御」の4つがあります。
従業員が利用しているクラウドサービスを検出します。シャドーITの発見と承認されたアプリケーション管理、さらに企業のクラウドサービスの利用状況と、任意のデバイスまたは場所からデータにアクセスす るユーザーを整理して表示します。
許可されていないクラウドサービスの利用検知も可能であり、シャドーIT対策にも有効です。
情報漏えいや改ざんは外部からのサイバー攻撃によるものだけではなく、従業員による故意または過失に起因するものもあります。
事前に会社が保有している機密情報を定義することで、キーワードや様々な識別方法で、アクセス権限の逸脱や機密情報の持ち出し、改ざん等の内部不正を検知、ブロックしてくれます。ファイルデータを暗号化することも可能です。
アクティビティやロケーションなどの情報を詳細に解析し、通常とは異なるアクセスを検知した場合は、ブロックやアラートなどの制御が実行されます。
また自社で管理しているクラウドサービスへのアクセスは、ユーザ単位でどの権限でどの操作まで許可するか、細かく制御・監視して望ましくない活動を予防します。
各クラウドサービスに潜むセキュリティ脅威、たとえばマルウェアやランサムウェアなどの検出や防御を行います。
望ましくないデバイス、ユーザー、アプリケーション・バージョンがクラウドサービスにアクセスすることを防ぎます。
ソフトバンクでは、シャドーIT制御で約40,000種類のクラウドサービス利用状況を可視化・リスク評価が可能な「Netskope(ネットスコープ)」を提供しています。
Netskopeでは、DLPポリシーベースでChatGPTに入力した文字内容を識別して、企業ポリシーに違反したときはChatGPTへの入力を制御することができます。
お客さまの環境に合っているかどうか、「Netskopeサービスご紹介資料」にてご確認ください。
また、料金のご相談や正式導入前のPoC実施のご相談も可能です。お気軽にこちらよりご連絡ください。
条件に該当するページがございません