シャドーITに思うこと

このエントリーをはてなブックマークに追加

久しぶりにセキュリティの話を探ってみた

■ 浦島太郎
もともと情報セキュリティはITの一分野なので興味というか仕事の一分野として認識していた。結局は返上したが「ISMSの審査員」の資格まで保有していた。
返上した理由は、それまで一部ホスティングサービスの利用はあったものの、オンプロミスが主流だったものが急激にクラウドに移行し始めたことがある。
情報セキュリティの原則としてCIAがある。
有名な基準なので引用しておく。

機密性 (confidentiality)
許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性

完全性(integrity)
資産の正確さおよび完全さを保護する特性

可用性 (availability)
許可されたエンティティが要求した時に、アクセスおよび使用が可能である特性

さて、クラウドサービスを使うと云うことはどういうことだろうか。昨今のいろいろな自己を見ていると漏洩リスクや第三者への公開事故がないとはとても云えない。また滅多にはないのだがデータの消失リスクも存在する。そんな中で、CIAの基準で見ると、他社が見れないとしてもクラウドサーバーの管理者は「する/しない」は別にしてもデータ操作が可能なことには変わりない。機密性が担保できているとは云えない。
そうした中で、こうした技術を背景としたISMSの構築はどうあるべきかの議論が難しく、自分自身が正解を持てないこともあり、審査の世界から離脱した。

今回、プライバシーマークの取得の支援を行うという宣言をしたものの、IT技術が大きく変貌を遂げており当時の知識ではカバーできないことも多いことに気がついた。

浦島太郎の気分だ。

■ 情報部門の憂鬱

聞き慣れない言葉「シャドーIT」という言葉を聞いた。

ウィキペディアによれば
「企業・組織側が把握せずに従業員または部門が業務に利用しているデバイスやクラウドサービスなどのITのこと」
とされている。

BYODとあまり区別はつかないが、スマホが普及し始めたあたりから問題視されてきている。
今でも状況は変わらないのかと思ったら、かえって悪化しているようだ。

https://cybersecurity-jp.com/security-measures/28258
シャドーITとは?企業におけるリスクの種類とその対策方法を徹底解説

・社員が会社のネットワークを無視してメールをする。
gmailなどはその代表だろう。
・組織のプラットフォーム以外でワークフローを展開する
FaceBook(コミュニケーション)、SanSan(名刺管理)、Googleグループ、インターネットの経理システムなどいろいろある。

かつてEUC(End User Computing)などとほざいていたのが幻かのように利用者は勝手にITの活用をしている。

情報システム部門はどんな逃げ道を用意すべきなのだろうか。
こうしたクラウドサービスを使うときのガイドライン(罰則も入れること)をつくる以外に手はないのだろうか。
組織の管理下に置くことを前提にいくらルールを設けようと、ユーザーが勝手に使うことを止める方法はない。

やっかいだろうなぁ・・・

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA