シャドウ IT を管理するための 4 つのステップ
2017 年 4 月 24 日 - Microsoft Secure Blog スタッフ - マイクロソフト
このポストは「4 steps to managing shadow IT」の翻訳です。
シャドウ IT は増加の一途をたどっています。従業員の 80% 以上が、IT 部門の承認を受けていないアプリを使用していると答えています。シャドウ IT には未承認のあらゆるハードウェアやソフトウェアが含まれますが、その急速な拡大の主な原因は SaaS です。もはや、シャドウ IT を阻止しようとするやり方は時代遅れで効果がありません。従業員が IT 部門の管理を逃れる方法を見つけるからです。
では、従業員にパワーをもたらしながら可視性と保護を維持するにはどうすればいいでしょうか。 以下に、SaaS アプリとシャドウ IT の管理に役立つ 4 つのステップをご紹介します。
ステップ 1: 実際にどのようにユーザーが使用しているかを把握する
最初のステップでは、従業員がどのようにクラウドを使用しているかを詳細に把握します。どのようなアプリケーションが使用されているでしょうか。どのようなデータがアップロードまたはダウンロードされているでしょうか。最も頻繁に使用しているのは誰でしょうか。非常にリスクが高いアプリはあるでしょうか。これらの洞察から、組織内でのクラウド アプリの使用について戦略を立てるときに役立つ情報を得られるほか、特定のアカウントが侵害されているどうか、従業員が許可されていない行動をとっているかどうかといったことがわかります。
ステップ 2: きめ細かなポリシーでデータを制御する
組織内で使用されているアプリについて全体的に可視化して把握することができたら、ユーザーのアクティビティを監視して、組織のセキュリティ ニーズに合わせて調整したカスタム ポリシーを実装することができるようになります。ポリシーは、アクティビティの発生率が予想外に高い場合にアラートを出したり特定のデータの種類を制限するのに適しています。これにより、ポリシーに対して違反があった場合に措置を講じることが可能になります。たとえば、公開リンクの取得とプライベートへの変更、またはユーザー検疫の作成などを行うことができます。
ステップ 3: ファイル レベルでデータを保護する
ファイル レベルでデータを保護することは、特に不明なアプリケーションからデータへのアクセスがある場合に重要になります。データ損失防止 (DLP) ポリシーを使用すると、従業員が誤って機密情報 (個人を特定できる情報 (PII)、クレジット カード番号、決算結果など) を企業ネットワークの外部に送信しないようにすることができます。現在、その作業をさらに容易にするための各種ソリューションも提供されています。
ステップ 4: 行動分析を使用してアプリやデータを保護する
革新的な脅威検出テクノロジでは、機械学習や行動分析によって、各ユーザーが SaaS アプリケーションを操作する方法を分析し、詳細分析によってリスクを評価します。これにより、データ侵害を示している可能性のある異常を特定できます。たとえば、2 か国からの同時ログイン、テラバイト単位のデータの突然のダウンロード、またはブルート フォース攻撃を示している可能性のある複数回のログイン試行の失敗などです。
どこから始めることができるか
クラウド アクセス セキュリティ ブローカー (CASB) を検討してください。これらのソリューションは、管理可能な簡単な方法でこれらの各ステップを達成できるように設計されています。承認済みか未承認かにかかわらず、従業員が使用するクラウド アプリケーションに対して可視性を高め、包括的に制御し、保護を強化できるようになります。
CASB の必要性が高まっている理由については、マイクロソフトの新しい電子書籍をご覧ください。シャドウ IT に関する共通の問題と、CASB がお客様のエンタープライズ セキュリティ戦略において役立つツールとなる理由を説明しています。