「シャドーIT」の現状:不正アプリをブロックするのは簡単ではなく、不可能かもしれない、と新たなクラウド調査が指摘
ダン・リッチマン著
インターネット上で利用できるサービスがますます増えるにつれ、いわゆるシャドーIT(組織内で承認されていないアプリケーションの使用)の管理はますます困難になっています。クラウドサービスはブラウザ経由で利用されるため、従業員はもはや自分の仕事用コンピュータに不正なソフトウェアをインストールして損害を与える必要がなくなりました。
確かに、組織は従業員による特定のサイトへのアクセスを禁止することができます。クラウドセキュリティ企業Skyhigh Networksの新たな調査によると、最も頻繁に禁止されているサービスには、3つのPDFコンバーター、1つの画像リサイズツール、2つのBitTorrentサービス(海賊版の映画、音楽、ソフトウェアの共有によく利用される)、そして匿名ファイル共有サービスが含まれています。
逆に、OneDrive、Salesforce、SharePoint Online は、企業の IT 部門によって最も頻繁に承認される 3 つのクラウドベースのサービスです。
アプリを禁止するのは一つの手段であり、使用をブロックするのはさらに一歩進んだ方法です。しかし、ファイアウォールやプロキシインフラを介してブロックしたとしても、確実に機能するとは限りません。クラウドサービスでは新しいURLやIPアドレスが頻繁に追加され、組織内でアクセスポリシーが一貫しておらず、例外が多すぎるためです。例えば、調査対象となったITセキュリティ担当者は、匿名コンテンツ共有サービス「Pastebin」のブロック率は66.7%だと思っていたものの、実際にはわずか7.1%でした。
組織で最も利用されているオンラインサービスは、OneDrive、Exchange Online、Salesforce、SharePoint Online、Yammerの5つでした。個人では、Facebook、Twitter、YouTube、LinkedIn、Pinterestでした。利用率が最も急上昇したのは、文法チェックツールのGrammarly、ビジネスソフトウェアガイドのCapterra、旅行サイトBoxeverでした。
クラウドサービスプロバイダーの半数未満が、顧客がアップロードしたデータの所有権を顧客に帰属させると明記しています。残りのプロバイダーは、アップロードされたすべてのデータの所有権を主張するか、利用規約でデータの所有権について言及していません。さらに少数のプロバイダーは、アカウントの解約時にデータを即時削除しますが、残りのプロバイダーは最大1年間データを保持するか、データのコピーを無期限に保持する権利を主張しています。法的命令がない限り、広告主や政府などの第三者とデータを共有しないことを約束しているクラウドサービスプロバイダーはごくわずかです。
スカイハイ社は、この調査を作成するにあたり、世界中の3,000万人以上のユーザーのクラウド使用状況を集約し、匿名化して分析したと述べている。
