サンクションITとは

「シャドーIT」は、近年問題となっており、耳にしたこともあるかもしれません。一方、サンクションITという言葉は初めて聞く人もいるでしょう。ここでは、サンクションITの概要について説明します。

• サンクションITとは
• シャドーITとの違い
• BYODとの違い

それぞれ、詳しくみてみましょう。

（１）サンクションITとは

サンクションITの「サンクション」とは、「承認」「認可」を意味します。

「サンクションIT」は企業で正式に契約し、使用が許可されているクラウドサービス・アプリケーション・パソコンなどのIT機器のことです。

たとえば、クラウドサービスではMicrosoft365・box・Google Driveなど、IT機器ではパソコンやスマートフォンが該当します。

（２）シャドーITとの違い

サンクションITとシャドーITの違いは、「企業に使用が許可されているかどうか」です。

シャドーITとは、企業が利用を許可していないクラウドサービスやアプリケーション・IT機器のことです。

また、それらを知らないうちに導入や利用されている状態のことも指します。マルウェア感染や情報漏洩の原因となり、近年リモートワークの増加などにより急速に増えて問題視されています。

サンクションITは、会社に公式で利用が許可されたものを指すので、サンクションITとシャドーITは対義語となります。

（３）BYODとの違い

サンクションITとBYODは、「個人の所有する端末か企業が用意した端末か」が違います。両方とも企業に承認されたIT機器であることには変わりありません。

BYODとは、「Bring Your Own Device」の略で、自分のデバイスを持ち込むという意味です。従業員の私物のパソコンやスマートホンを会社に持ち込んで業務に使用するケースが該当します。

BYODにより、コスト削減やリモートワークへの対応、生産性の向上など、メリットは多くあります。一方、情報漏洩のリスクや従業員の負担の増加などが懸念されています。

サンクションIT管理の必要性

企業が利用を承認したクラウドサービスですが、従業員が適切に利用しているかまでは把握できません。企業が管理しなければ、思わぬところで情報漏洩のリスクもあります。サンクションIT管理の必要性は以下の2つがあります。

• サンクションITの利用拡大
• テレワークの広がりに伴うセキュリティ強化

それぞれ、詳しく説明します。

（１）サンクションITの利用拡大

クラウドサービスの増加により利用が許可されたクラウドサービスも増え、サンクションITは急速に増加しています。総務省が2021年9月に行った調査では、70.4％の企業がクラウドサービスを利用しているという結果が公表されています。

 

引用：令和３年通信利用動向調査

今後も企業が契約し、使用を許可するクラウドサービスは増え続けると考えられます。一方で、クラウドサービスによる情報漏洩のリスクも懸念されています。

日本の大手電気メーカーでは、2020年11月、利用していたMicrosoft社のクラウドサービスに不正アクセスを検出しました。従業員のアカウントを不正入手されて攻撃され、取引先の情報が流出したとのことです。

参考：不正アクセスによる情報流出について（調査結果）

会社が許可したサービスを従業員が適切に利用していても、情報漏洩のリスクは生じます。

このような背景から、サンクションITの企業での管理が重要になっているのです。

（２）テレワークの広がりに伴うセキュリティ強化

コロナ禍により、テレワークを導入する会社が急増しました。それに伴い、セキュリティ対策の整備も重要になります。

リモートワーク下では、作業場所に関係なく、どの端末からでも社内の情報資産やクラウドサービスにアクセスできます。

それにより、マルウェアの感染やパスワード情報の流出による不正アクセスのリスクが生まれます。

2021年に⼀般財団法⼈⽇本情報経済社会推進協会（JIPEDC）がテレワークなどのワークスタイルに関連するセキュリティ対策の状況について981社に質問しました。結果、51.3％の企業がサンクションIT対策（クラウドサービス等の通信データ内容のチェックと制御など）を「現在実施している」あるいは「今後実施したい」と回答しています。

参考：「企業IT利活⽤動向調査2021」 集計結果（詳細版）

テレワークに伴い、企業のサンクションIT対策の実施も広がっていることが分かります。

サンクションITの管理には、ソリューションを導入することで、クラウドサービスの可視化、利用状況の把握、マルウェアや不正アクセスの検知などの対策が可能です。

サンクションITのリスク

サンクションITの増加やテレワークの広がりに伴い、セキュリティリスクにも対処しなければいけません。ここでは、サンクションITのリスクを2つ説明します。

• ID•パスワードの流出による不正アクセス
• メールなどからのマルウェア感染

それぞれ、詳しくみてみましょう。

（１）ID・パスワードの流出による不正アクセス

従業員のクラウドサービスのID・パスワードが流出することによる不正アクセスのリスクがあるでしょう。

近年のクラウドサービスの利用増加で、利用者の複数サービスの「パスワードの使い回し」が増えています。

使い回しにより、サイバー攻撃を受けてパスワード情報が流出すると他のクラウドサービスへログインされ、不正アクセスを受けるという被害が増加しています。

不正アクセスを受けると顧客情報の流出の恐れもあります。多要素認証での認証の強化、不正アクセス検知ツールなどの対策が必要になります。

（２）メールなどからのマルウェア感染

メールや共有ファイルからのマルウェア感染のリスクもあります。

クラウドのファイル管理サービスは、ファイルのURLを発行してアクセスした人と共有できる仕組みです。

たとえば知り合いを装ったメールに記載されている共有URLをクリックしてマルウェアに感染したり、発行した共有ファイルURLが流出して外部の人にアクセスされたりするリスクもあります。

近年は、「Emotet」と呼ばれるメールを利用したマルウェア感染も急増しています。マルウェアを検知するツールの導入や従業員のセキュリティ教育の実施などの対策が必要です。

サンクションITを利用する前に確認しておく3つのこと

では上記のようなリスクに対応するために、どのような準備をしておくべきなのでしょうか。ここでは、サンクションITを利用する前の確認項目を3つ紹介します。

• SaaSサービスの安全性
• 許可した端末・アプリケーションの制御
• セキュリティ教育の実施やルールの作成

（１）SaaSサービスの安全性

クラウドサービスをサンクションITとする前に、そのサービスの安全性について確認しておきましょう。具体的には以下のような点を確認しておくと良いでしょう。

• 通信が暗号化されているか
• データはバックアップされるか
• 2段階認証や多要素認証があるか
• アクセスログは管理されているか
• 障害発生の頻度
• セキュリティ認証は取得しているか

また、信頼できるベンダーであっても自社のセキュリティ対策がされていなければ意味がありません。同時に自社でできる対策についても検討しておきましょう。

（２）許可した端末・アプリケーションの制御

サンクションITとして許可したクラウドサービスや端末を制御する方法を検討しておきましょう。

SaaSの利用状況の可視化やマルウェア検知、アクセス制御をするツールや、端末のセキュリティ状態の監視、機能制御をするツールなど、サンクションITを制御するソリューションは多数あります。

自社のサンクションITにはどのツールが有効か検討しておきましょう。

（３）セキュリティ教育の実施やルールの作成

自社のセキュリティ環境を整備し、安全なクラウドサービスを導入しても、実際に使用する従業員にセキュリティリテラシーがなければトラブルを起こしてしまうこともあります。

クラウドサービスを利用するリスクや、及ぼす影響などセキュリティについての教育を実施しましょう。

クラウドサービスを利用するにあたって、ルールを作成しておくのも良いでしょう。私物のデバイスから接続しない、業務の持ち出しを禁止するなど社内ルールとして徹底しましょう。

サンクションITを管理する5種のセキュリティソリューション

ここでは、実際にサンクションITを管理するセキュリティソリューションを紹介します。

サンクションITといっても、クラウドサービスやデバイス、IaaSやPaaSなどさまざまです。自社に合ったソリューションを選びましょう。

代表的なものは、次の5つです。

• CASB
• SSPM
• CSPM
• EDR
• MDM

（１）CASB

CASB（キャスビー）とはCloud Access Security Brokerの略で、クラウドサービスの利用状況の可視化や制御を行います。具体的には、以下の4つの機能があります。

• 可視化：従業員のクラウドサービスの利用状況を把握し、不自然な大量データの送信や禁止しているサービスへのアクセスなどを見つけます
• 脅威制御：マルウェアなどの脅威を検知・隔離し、サイバー攻撃や情報漏洩を防ぎます
• コンプライアンス：会社が設定しているセキュリティポリシーを準拠させ、守っていない場合は通知したり使用を停止させたりします
• データ保護：データの暗号化やデータ改ざんの検知などを行いデータのセキュリティを強固にします

CASBは、シャドーIT対策としてもよく知られています。

 

（２）SSPM

SSPMとはSaaS Security Posture Managementの略で、SaaSアプリケーションの設定不備を検出し、不正アクセスや情報漏洩を防止するソリューションです。

SaaSの機能追加や変更に合わせたアクセス権限などのSaaS設定が追いつかず、設定不備が原因の情報漏洩が多くなっています。

SSPMでは現在のSaaS設定のリスクを可視化し、分析結果の表示、改善方法の提示を行います。

（３）CSPM

CSPMはCloud Security Posture Managementの略で、IaaSやPaaSの設定ミスがないかをチェックし、情報漏洩を防ぐソリューションです。

クラウド上のシステムでは、自社のセキュリティポリシーを完璧に設定するのは難しいという課題があります。

また、Amazon Web ServicesやMicrosoft Azureなど、1つのプラットフォームで複数のクラウドサービスが提供されていて、それぞれの設定が難しくなっていることもあります。

CSPMを導入することで、クラウドの設定を自動的にチェックし、セキュリティリスクを自社のセキュリティポリシーに基づいて可視化や一元管理ができます。

（４）EDR

EDRは​​Endpoint Detection and Responseの略で、パソコンやスマートホンといったエンドポイントの不審な動きを検知し、セキュリティを守るソリューションです。

サイバー攻撃を未然に防ぐ方法では対処できなくなってきたため、端末内に脅威が侵入することを前提として早急に検知・対処することができるソリューションとして注目されています。

具体的には、以下のような機能があります。

• 端末の監視：端末の操作ログなど各種ログの監視
• 異常箇所の検知・分析：マルウェアの検知と挙動の時系列での分析
• 脅威への対策：ネットワークからの遮断や危険なファイルの削除

（５）MDM

MDMはMobile Device Managementの略で、ビジネスで利用するスマートホンやタブレットなどの端末を一元的に管理・監視するツールのことです。具体的には以下のような機能があります。

デバイスの一括管理：機能制限や端末設定を一括で管理でき、個人の位置情報や利用コンテンツ、デバイスの異常検知などの情報も取得できます。

・紛失•盗難時の情報漏洩対策：端末の紛失時や盗難時にリモートでロックをかける機能、データの暗号化機能やパスワードを間違えた際にデータを消去する機能などがあります
・使用アプリの制御：業務上使用しないアプリケーションを制限します
・セキュリティ対策：全端末に対して一括でセキュリティ対策を実行でき、管理もできます

まとめ

クラウドサービスの利用は企業にとって便利で効率化につながる一方、利用するサービスが増えすぎると管理が煩雑になりセキュリティリスクが生じます。

だからと言ってクラウドサービスを制限するのは時代に即しておらず、非効率になります。適切なセキュリティソリューションを導入することで安全なクラウド環境を整備しましょう。

弊社でも、複数クラウドサービスの利用に最適なSaaS管理ツールを提供しております。主な機能は以下の通りです。

• SaaS一元管理
• SaaSアカウント管理や利用状況分析
• シングルサインオン
• 端末制御・IP制限などのアクセスコントロール

クラウドサービスの利用に際してセキュリティ対策を検討している企業の担当者の方は、お気軽にご相談ください。