おいっす!マーケの中野です。
先日、Oktaユーザー有志のコミュニティJOUG(Japan Okta User Group)のイベントに登壇させていただきましたー。
その中で、Oktaの概要とセキュリティと利便性についてお話させていただいたのですが、ちょっと伝えきれなかったなーっていう、シャドーITについて少し書いていきます!
セキュリティってなんだろう? 守りたいのはコンテンツ
セキュリティを高めて何がしたいのかというと、コンテンツ(データ)を守るためであって、パスワードやネットワークやデバイスを守ためにセキュリティがあるわけではなく、中身のコンテンツを守りたいんですよね。
みんな、みんなみーんな、それだけのためにいろーんなことやってます。弊社もそうですね。
しかし、コンテンツは原則として自分を含め誰かのために作っていて、共有しなければいけません。共有するためにプリントアウトしたり郵送したり、メールやチャット、会議なんかをしなきゃいけないですよね。必ず自分以外の人が見たり、活用したり、編集したり、っていうのがコンテンツなので、どうしても人の目に触れることになります。
インターネットによってどこでも誰でもアクセスできて便利になってしまったからこそ、適切な人に適切にアクセスしてもらう仕組みが必要で、そのためのIDやパスワードがあって、なんやかんやセキュリティ製品があったりします。
一方で、SaaSの台頭によって、ユーザー企業はコンテンツ以外の、アプリケーション以下のことについては明確にSaaS事業者の責任となり、、ユーザー、パスワード、コンテンツに注力することができるようになっています。だからこそ、OktaやBoxが注目されているんですね。
シャドーITとは?
シャドーITとは、勝手に従業員が会社で管理されていないアプリやSaaS、デバイスなどを使ってしまうようなことを指します。個人のクラウドストレージやデバイスにデータを保存して自宅で作業をしたり、個人のLineで業務連絡したりです。
これ自体はやっぱりよくないことで、コンテンツが管理者の把握していないところに散在しているので、統制できていないリスクの高い状態ということになります。そして、本人が勝手に無断でやっていることなので、会社としてもフォローも何もできないわけです。
しかし、本人が勝手にやったこと、で片付けられる問題なのかどうかは、一回考えないといけないですよね。
シャドーITは防げない? 利便性が上がるとセキュリティは上がる?
シャドーITを使っている本人は罪の意識(?)はなくて、仕方なくやっていたり、むしろ得意げに仕事効率化として楽しんでいたりします。
たとえば、FAXやメールでやりとりしていた作業を、Google DriveとかSpreadsheetなんかを使うことで、劇的に業務が改善したりします。
リンクを送るだけでリアルタイムに誰でも共同編集と閲覧ができて、転記も必要ないしどこからでもアクセスできる。これやばい、マジ便利、しかも無料!!!面倒くさい稟議を通さずすぐに使えるし、上司への許可や説明もいらない、今困ってるんだから、こりゃ使うしかない!
実際のところ全然笑えない話ですよね?悲しいことですが、これでたくさんの人が文字通り救われると思います。関係者の何人もの人の睡眠や家族との時間が1時間増えたかもしれないし、迅速な情報共有で対応が早くなったかもしれない。インターネットって便利なんです。そして無料。もうどうしようもないですよね。莫大な予算をかけたシステムより、そのへんに転がっている無料のSaaSの方が便利だったら使っちゃうんです。
そして、結果は…無料は怖いですね…
もし、管理者が把握できていれば。もし、環境が整っていれば。もし、社員の教育ができていれば。もし、ここまで社員が追い詰められていなければ。
もし、を、あげればきりがないですし、極端な例ですが、こういうことって表にはなかなか出てこないだけで、世界中のあらゆる企業や自治体でも毎日のように起きていることだと思います。
良い環境と納得感って大事
前回のJOUGユーザー会でOktaのAdaptive MFAについてお話したときに、納得感って連呼しちゃったのですが、毎日使うものでは特に、この納得感って大事だなって感じています。
(納得感….なにか他に良い言葉ないですかね…?)
Okta Adaptive MFAは、ユーザーの置かれている状況からリスクを判断して、適切な多要素認証をしてもらう機能です。雑な説明をすると、普段はパスワードレスでアクセスできるけど、今日は出張先で仕事しているから多要素認証させられる、みたいな感じです。毎回必ず多要素認証を強制するのではなくて、状況に応じた適切な制限をかけるっていうのがミソで、すごくすごく素敵な機能です!!
コンテンツの機密レベルの定義とも一緒で、全部機密レベルMaxで大事!!って定義しちゃうと、ガチガチで利便性も下がってしまい、シャドーITや誤操作などで本当に大事なところもリスクに晒されることになって、全部大事=全部大事じゃない、という結果になりがちです。
フォーカスすべきところとそうじゃないところでメリハリを付けて、これは機密情報だから、こういう認証がいるよ、社外には持ち出せないよ、という理由がきちんと説明されていて、なおかつITによる仕組みができていれば、人は納得すると思うんですよね。
PPAPと呼ばれているようなものや、VPNなんかもそうですけど、具体的な説明もなくルールだからと強制されて、不便なのにどうしてこんな無駄なことしないといけないの?と不満を感じながら毎日仕事をしていくと、徐々にセキュリティによる制限や施策に対して不信感が溜まってきて、セキュリティ制限=意味のないもの、回避すべきもの、という思考に陥ってしまいます。
不満というより、不信感に近いと私個人は考えていて、毎日毎日意味のない(と思ってしまう)ことを強制されていると、自尊心が少しづつ削られていくような気持ちになって、モチベーションが下がっていってしまいますよね。
さらに、割れ窓理論ではないですが、誰かが回避する手段を使っているのを見たら、回りもやりはじめてしまって、集団のモラルが一気に崩壊してしまうことも起きがちです。
シャドーITとセキュリティ制限による負の連鎖はなかなか止められなくなってしまいます。
シャドーITと付き合っていく
もちろん、ベストはシャドーITをする必要のない利便性の高く網羅的な環境が整っていることなのですが、やっぱり便利なものはどんどん世の中に、特にインターネットで生まれています。だからこそ、前向きに新しいものにチャレンジすることは会社としては極端に制限することはせずに、把握したうえで安全に「勝手に使い始める」環境を作ってあげたいですよね。
会社を守ることだけじゃなくて、きっと会社で働く人たちを守り、成長につながります。
把握や誘導という点で、CASB(Cloud Access Security Broker)が一番手っ取り早くて効果の出る手段ですが、さらにそうしたITによる直接的な仕組みだけでなく、教育や説明によるコミュニケーションや、チャレンジを迎合する文化も大事だなと日々感じます。
そして、ゼロトラストがすごく流行っているのは、図にあるような感じで、エンドポイントにセキュリティを寄せることで、場所や経路を問わず安全にインターネットを利用できることにあります。単純に利便性が高いですし、管理者も場所や経路を問わずインターネットの利用状況の把握と管理ができます。
こう考えると、ゼロトラストってユーザーにも管理者にも優しい考え方ですよね。
おわりに
なににおいてもリスクをゼロにすることはできないですが、リスクをコントロールしながらチャレンジしていく、シャドーIT上等!!で「攻めのIT」へと進んでいきましょう、そうしましょう!
IT業界で初の登壇だったので、えらく緊張してしまいましたが、JOUGのみなさま温かく見守っていただきありがとうございました。
