セキュリティチームの ぐっちー です。先日、IT資産管理ツールのジョーシスが「シャドーIT検知機能」という新機能をリリースしました。シャドーIT検知と聞くと、CASB製品が脳裏をよぎりますが、CASB/SWG製品とは似て非なるものだと思ったので、ユースケースの違いをまとめました。
3行サマリー
- IT資産管理ツールのジョーシスが「シャドーIT検知機能」を提供開始したので、CASB/SWG製品のシャドーIT検知と比べて見ました。
- 本格的に内部不正対策・情報の持ち出し対策を行いたい場合は、ジョーシスではなくCASB/SWG製品が適しています。
- 一方で、事業部が勝手にSaaSを契約して使っている等でそもそも組織で利用しているSaaSを把握できていない状況で台帳をクイックに作成したいケースでは、ジョーシスの「シャドーIT検知機能」が一翼を担ってくれると思います。
- ジョーシスの全体的な話については、別ブログを参照ください。
- CASB/SWGといっても様々なCASB/SWGがありますが、ここでは筆者がよく利用しており、業会のトップランナーであるNetskopeを題材としたいと思います。尚、CASB/SWG製品の中には違う仕組みで動いている製品もあるかと思いますので、その点はご注意ください。
- 比較の観点は、筆者目線のものになっており、実際に導入検討する際には、自社の要件に基づいて比較・検討いただけたら幸いです。
- 本ブログの内容は、2023年10月4日時点までの情報を元に作成しております。
仕組みと特徴の違い
ジョーシスの仕組みと特徴
まず、ジョーシスの説明です。ジョーシスのシャドーIT検知機能では、「Google Workspaceの監査ログ」と「ブラウザ拡張」という2つの情報ソースをインプットにシャドーITを検知します。
「Google Workspaceの監査ログ」に関しては、Google Workspaceとジョーシスを連携するだけで、「管理アプリ(SaaS)」以外のSaaSの情報を取得します。他方、「ブラウザ拡張」では専用のブラウザ拡張をインストールし、アクセス先のWebサイトの情報を取得することで、「管理アプリ(SaaS)」以外のSaaSの情報を取得します。取得結果を一覧として表示します。
原則、ジョーシスのクラウドサービス/SaaSデータベースに登録されているアプリケーション(Salesforce、Slack、法人向けの各種Google製品、Adobe、Zoom など)へのアクセスのみが収集・分析対象となります。Facebook、Twitter、YouTubeなど、SNS・動画視聴サービス・ブログなどの閲覧履歴は収集しません。1
ちなみに、ブラウザ拡張の導入手順としては、ブラウザ拡張をインストールし、ユーザー固有の認証コードを入力するだけです。ユーザー固有の認証コードは、管理コンソールでユーザーを指定して配布することができます。
Netskopeの仕組みと特徴
続いて、Netskopeの仕組みについて解説します。Netskope Clientを導入している場合、クライアントから発生した通信はNetskopeのデータセンター(Netskope Cloud)で一度通信を終端させ、HTTPSの通信はここで一度復号します。そして、通信の中身をチェックし、ポリシーに違反していない場合は、Netskopeのデータセンターで再暗号化し、アプリケーションに対して新しく通信を発生させます。もし、事前に定義しているポリシーに違反している通信出会った場合はNetskope Cloudで通信を遮断したり、アラートを上げることもできます。
Netskope はこの仕組みをベースとしつつ様々な制御を行うことができますが、その辺については説明しだすとキリがないので、他のブログを読んでいただけたら幸いです。
メリット比較
上記のどちらのサービスも情シスが把握できていなかったSaaSを発見できるというメリットがありますが、ここではそれぞれのメリットの違いを筆者視点で説明します。
ジョーシス
■ 細かい設定が不要
第一に、ジョーシスの「シャドーIT検知機能」は細かい設定がないため、手軽に始められる点があります。GWSの監査ログをインプットとする場合には、GWSとジョーシスを連携するだけで設定が完了します。
また、ブラウザ拡張においても、有効にするユーザーを指定するだけです。その後、メールを受けたユーザーがブラウザ拡張をインストールして、メールに入っているコードを入力するだけで準備は完了となります。
特にベンチャーの情シスは人手が足りず、忙しかったりするかと思いますが、比較的情シスの労力をかけずに、成果を上げることができるポテンシャルがあると思いました。
■ ユーザー影響が少ない
「Netskopeの仕組みと特徴」で紹介したように、NetskopeはSSLの通信を復号して再暗号化するというダイナミックな仕組みを持っています。これはセキュリティ的に様々な恩恵をもたらす一方で、少なからずユーザー影響がでます。これはNetskopeに限った話ではなく Zscaler 等の他のSSL復号を行う製品でも同様のことが言えます。
一方、ジョーシスはブラウザ拡張を使ってWebのアクセス記録を収集しているだけなので、仕組み上、SSL復号を行う製品よりはユーザー影響が出にくいという特徴があります。気軽に始める上での利点になるかと思います。
■ 台帳にシームレスに登録
ジョーシスはIT資産管理の製品であり、SaaSの台帳と統合されているため、発見したSaaS台帳への登録がシームレスに行えるというのが嬉しい良いポイントです。発見したSaaSが台帳への登録漏れであった場合、シャドーIT検知画面から台帳に登録することができます。
Netskope
■ きめ細かいログと制御
ジョーシスで取得できるログは誰が何回そのSaaSにアクセスしたかというレベルでしかありません。一方で、Netskopeでは誰がどのSaaSにアクセスしたかの記録の他、そのSaaSに対しての操作(閲覧、ファイルアップロード、ダウンロード)や、IPアドレス、アップロードしたファイルの名前 等の情報まで取得できます。
さらに、SaaSに対しての制御に関しては、単にアクセスを許可/ブロックするだけではなく、閲覧は許可するけど、ファイルアップロードは禁止する等のきめ細かい制御を実施できます。例えば、取引先がOneDriveで資料を送ってくるのでそこにアクセス自体はさせたいけど、自社のデータはOneDriveにはアップロードして欲しくないという場合などに重宝すると思います。
■ テナント識別
また、Netskopeにはテナント識別という機能があり、例えば同じGmail( https://mail.google.com/ )であっても、個人で契約しているGmailと、企業で利用しているGmailを識別できます。
シャドーITを使った内部不正の文脈では、自社が利用しているツールと同じものを個人契約して利用されるとURLベースの検知では発見が難しいので、このような仕組みが必要となるケースがあります。
■ 網羅性が高い
ジョーシスの「シャドーIT検知機能」のスコープはGWSの監査ログとブラウザ拡張から取得するログだけでしたが、Netskopeの場合はより網羅的に検知することが可能です。Netskope Clientを使うことで、ブラウザ拡張が入っていないブラウザを含むすべてのWeb通信(80/443)を対象にすることができます。また、CFWのオプションをつけると、Web通信(80/443)とは制御レベルがことなるものの、全てのポートのアクセスコントロールが可能です。
また、ジョーシスはPC(Windows/macOS)のみの対応ですが、Netskopeは加えてモバイルにも対応しており、その観点からも網羅的な対応が可能です。
ユースケースの比較(まとめ)
最後にこれらを踏まえて、筆者視点でユースケースを比較します。まず、内部不正対策(情報の持ち出し防止)を主眼とする場合は、間違いなくCASB/SWG製品の出番です。持ち出されたら株価に関わるような重要情報を取り扱っていたりするケースにおいては、そのようなケースに対応することを目的としたCASB/SWG製品を使いましょう。
一方、以下のようなケースにおいては、ジョーシスの「シャドーIT検知機能」が情シス部門を助けてくれると感じました。
- 今まで情シス部門がなくて、そもそもSaaSの台帳なんてない
- 事業部で個別にSaaSを契約して使っており、情シスから状況がわからない
- 機微な情報の持ち出しを防ぎたいというよりは、まずはカオスになっている現状を棚卸ししたい
おわりに
ジョーシス「シャドーIT検知機能」とCASB/SWG製品(Netskope)を比べるのは、自転車と車を比べるもので、apple-to-appleの比較ではないと思います。近所のコンビニに行くには自転車がいい。家族旅行に行くには車がいい。そんなように、目的地に沿ったツール選定の一助になれば幸いです。
