クラウドサービスは場所を問わず利用できることもあり、在宅勤務や社外での空き時間を活用したテレワークなど、働き方改革を推進するインフラとして活用が広がりつつあります。また、社内にサーバーを設置する必要がなくなるので、運用管理の面からメリットを感じて導入する企業も少なくありません。
一方、このようなクラウドサービスは、部門や個人が簡単に使い始めることができてしまうため、「シャドーIT」が増える原因にもなっています。
一般的に、クラウドサービスはセキュリティに配慮された設計になっていますが、ユーザーの使い方によっては、情報漏洩が発生してしまうこともあります。例えばクラウドストレージサービスは社外にファイル共有する手段としてよく使われますが、適切なアクセス設定をしないと、意図せず社内情報が誰でもアクセスできる状態になってしまい、その結果、事業に大きな影響が出てしまった、ということも起こり始めています。
また、許可されていない私物デバイスから会社で契約しているクラウドサービスを利用することにより、私物デバイスへの重要情報持ち出しができてしまいます。万が一、その私物デバイスがマルウェアに感染していたりすると、情報が漏洩してしまうという危険性もあります。
クラウドサービスの普及とともに、「シャドーIT」は新しいセキュリティリスクとして見過ごせない状況になりつつあります。
見えにくいシャドーITを可視化するのが「CASB(キャスビー)」です。CASBはファイアウォールのログなどから、ネットワーク上を流れるクラウドサービスの通信を抽出、どのようなクラウドサービスがどのように使われているかを可視化することで、無断で使われているクラウドサービスを検知します。
このようにCASBは、これまで困難とされていたクラウドサービス利用の監視を強化し、管理の強化やセキュリティリスクの低減を実現できます。
クラウドサービスの可視化という点では大きな力を発揮するCASBですが、詳細な利用状況の把握や、クラウドサービスの制御を行うことができないものも多くあります。また、制御ができても、CASB単体ではなく、他のシステムと組み合わせることで実現するという形であり、特にリアルタイムでの制御は課題となっています。