こんにちは〜!セキュリティチームの佐藤です。
「社員が勝手に使っているSaaSが把握できない」
「シャドーITの可視化を、毎回のヒアリングなどの手間をかけずに実現したい」
こんなお悩みを抱える情シス担当者の方、いらっしゃるのではないでしょうか?
シャドーITとは、会社の許可を得ずに、従業員や部署が独自で利用しているIT機器やサービスのことです。
企業が把握・管理できていないIT機器やサービスは、情報漏えいリスクやコンプライアンス違反などの要因になりますよね。
今回は、SaaSからITデバイスまでの管理業務をシンプルにする「マネーフォワードAdmina(以下、Admina)のSMP機能の中から、このシャドーITの検出ができる機能を試してみました。
企業内のSaaS利用状況を可視化し、アカウントの管理(発行・削除)やライセンス管理を一元化する製品です。
参考:https://admina.moneyforward.com/jp/blog/smp
3行まとめ
- IdP連携とブラウザ拡張により、ユーザーへのヒアリングなど手間をかけずにSaaS利用の実態を可視化できる。
- IdP連携とブラウザ拡張以外のデスクトップアプリ等は検知対象外であり、網羅的な「検知」は行えない。
- 管理画面で手軽に調査のきっかけを掴める一方、詳細な分析や台帳管理にはシートへの書き出し作業が必要。
はじめに
Adminaってどんな製品?
Adminaは、SaaSやデバイスの情報、ライセンスの割り当て状況などを集約する管理プラットフォームです。 SaaSアカウントの作成・削除を管理画面上で行えるほか、従業員マスターと連携して未削除のアカウントを検知し、削除漏れ防止の機能があります。
また、Adminaと未連携のサービスの可視化(シャドーIT検知)や、MDMとの同期によるデバイスの在庫管理、ストレージの外部公開設定の監視など、IT資産管理に関わる複数の業務を効率化する機能を備えています。
そもそも「シャドーIT」はなぜ問題なのか?
ユーザーは「便利だから」、「使い慣れているサービスだから作業が楽」などという理由で、会社から許可されたサービスではなく許可されていないサービスを使うことがあります。
しかしユーザーから見て便利である反面、企業にとっては大きなリスクとなる場合があります。
- 情報漏えい: 私用アカウントが乗っ取られたり、スマホを紛失したりした際に、会社がデータを制御できなくなります。
- マルウェア感染: セキュリティ対策が不十分な端末やソフトから、社内ネットワークにマルウェアなど悪意のあるプログラムが広がる恐れがあります。
- 契約・法令違反: 顧客から預かったデータが許可外のクラウドサービスに保存され、NDA(秘密保持契約)や個人情報保護法に抵触するリスクがあります。
そのためシャドーITを可視化してリスクとなる要因を特定し、改善していくことが大切です。
AdminaのシャドーIT検出の仕組み
IdP連携やブラウザ拡張を通じて取得したSaaSサービスのアクセス状況とAdminaと連携したSaaSのログイン状況をAdmina側のSaaSリストと突合し、シャドーITを検出します。
Adminaでは、このシャドーITを検出した場合には、管理画面のインテグレーションを開くと大きく「Discoveryからのおすすめ(◯件のシャドーITを検出しました)」として表示されます。
ブラウザを経由しないデスクトップアプリ等はシャドーIT検知機能の検出対象外となるため、注意が必要です。
参考:https://support.itmc.i.moneyforward.com/l/ja/article/pz89ebygib-discovery
シャドーITを検出するための連携方法
連携方法としては、以下の2つがありますが、併用により検出の抜け漏れを抑えられ、組織内のSaaS利用状況をより正確に把握できます。
| 連携方法 | 特徴 | 検知できる範囲 |
|---|---|---|
| IdP連携 | Google/Microsoftのログインログを取得 | SSO経由でログインしたSaaS |
| ブラウザ拡張機能 | ブラウザのアクセスURLを取得 | SSOを経由しない利用、サイト閲覧、SNS等 |
1.Google WorkspaceやMicrosoft 365などのIDプロバイダ(IdP)とAdminaを連携する
ログインしたユーザーのアカウントのログ履歴から利用しているSaaSを取得しAdminaのSaaSカタログのデータベースと突合し検出させる際に使用する方法です。
例えば、Google Workspaceであれば連携後に監査ログAPIを定期的に呼び出して検知し、各ユーザーのログイン履歴データを取得します。
2.ChromeとEdgeのブラウザで専用の拡張機能を有効化して検知する
拡張機能を使い、ChromeもしくはEdgeでアクセスしたページのURLやドメインなどの情報を取得して、検出したSaaSをAdminaのSaaSカタログデータベースと突合し、未連携のSaaSがあればDiscoveryからのおすすめとして表示させます。
Adminaのブラウザ拡張機能をインストールすると、APIから直接最終利用日を取得できないSaaSの最終利用日を取得できます。(約30分間隔でデータが取得されます。)
ちなみに、拡張機能の配布にはMDMの配布やGoogle Workspaceからの配布など複数の配布方法があります。
参考:https://support.itmc.i.moneyforward.com/l/ja/category/ahbb4rzb4s-shadow-it
インテグレーションタブでシャドーITの利用状態を把握可能!
管理画面でたくさんタブを移動してシャドーITを確認するのではなく「インテグレーション」のワンクリックで自社のユーザーが現在ブラウザ上で使っているSaaSが可視化されます。
シャドーITとして検出されたアプリケーションが大きく見やすいのが良いポイントですね。
もちろん、「誰がそのSaaSを使っているの?」「最後にいつ使ったの?」「どこから検出されたの?」などの情報もインテグレーション内のアプリケーションを押せばユーザーリストとしてすぐに可視化できます。
複数日確認してみたのですが、上部に表示されているユーザーや、最終アクセスは前日分までのデータが反映されるようです。
ユーザーリストの最終アクセスは定期的に更新される様子でした。
何回アクセスしているの?などの情報をもっと詳しく確認したい場合は、上に表示されているタブのイベントログからユーザー名やサービスで検索することで表示ができます。ちなみにイベントログでの出力結果を見ると、YouTubeやX(旧Twitter)などのアクセスについても検出できていました。
未連携のSaaSやサービスでもこのイベントログを確認することで可視化することができます。
SaaS管理に留まらず、SNSや動画視聴サービスの利用実態についても把握可能なのは良いポイントですよね。
特に「いずれは制限したいと思っているけれど、先に業務利用しないサイトへのアクセスがどれぐらいあるかを可視化させたい」と思っている方におすすめの機能です。
「会社のネットが特定の時間に繋がりにくいんだけど、誰かその時間に動画サイトを見たりしていない?」と帯域負荷を切り分けたい時などにも使えますね。
また、デバイス機能(※要Deviceプラン)を使用すると、どのPCから検出されたか?についても追加でイベントログより確認が可能です。
こういったログを開くときに「デバイスから対象のユーザーを選択して〜」や「ログはログ一覧から取得して〜」といったたくさん管理画面上を移動するサービスもありますが、上に表示されているタブを1クリックするだけで移動ができるので「あの機能はどこだったかな?」といったこともなく運用初心者にも優しい設計になっています。
さらに、「未連携のSaaSをAdminaに繋ぎ込んだ日時はいつか」、「誰がやったのか」などもインテグレーションログを見ると確認できます。本当は許可されていないSaaSをAdminaで検出されないように意図的に連携した、というような事態が発生した時にも、このログをチェックすることで原因究明のヒントを掴める可能性があります。
AdminaシャドーIT検出機能を活用するためのTips
Tips1:シャドーITとして検出されたSaaSを自社管理にらくらく登録できます
シャドーITとしてリストアップされたSaaSの中で、まだ連携設定をしていないものについては、その画面内に「連携ボタン」が表示されますので、そのまま連携しちゃえます。迷わず直感的に操作できる作りになっている点もいいポイントだなと感じました。
また、それぞれの連携を行う場所には連携ガイドのURLが載っているのですぐに連携方法を確認できます。ヘルプページに移動して、SaaS検索して、ドキュメントを出すといった煩雑さがなく作業者に優しい作りになっているなと思っています。
Tips2:Adminaで対応していないSaaSもカスタムアプリを作成して管理ができる
通常、「Discoveryからのおすすめ」機能では、Adminaが公式に連携(認識)していないSaaSは表示されません。
しかし、「カスタムアプリ作成機能」を利用し、特定のURLへのアクセスをトリガーとして設定することで、これらも管理することが可能になります。自社特有の利用ツールがある場合でも対応できるため、管理しやすくなりますね。
今回はNetskopeの管理コンソールへのアクセスをトリガーに設定してみました。
ただし、このカスタムアプリはSaaS連携に対応していないものということもあり、ユーザーの追加や削除などは手動(csvでのインポートなど)になります。
Tips3:管理サイト上で表示されない利用状況の確認はシャドーIT管理台帳で確認しよう
「1ヶ月でアプリケーションが何人のユーザーにどれだけ利用されたかの集計を確認したい」
「Adminaで対応していないアプリケーションも含めたシャドーITの一覧が欲しい」
など、シャドーITを管理・制限していく上で、より詳細な利用状況の把握が必要になりますよね。
これらの項目は管理サイト上では表示されていませんが、Adminaと連携していないSaaSも含め、利用状況をシャドーIT管理台帳としてスプレッドシート形式もしくはExcel形式で出力できます。
利用方法はこちらをご覧ください:シャドーIT管理台帳の使用方法
Adminaと連携しているSaaSについても、この管理台帳上でイベントカウントとして利用状況が計測されるため、1ヶ月間での「さまざまなアプリケーションの使用状況」を可視化できます。
事前に自社内のSaaSをAdminaと連携しておくことで、1つのシート内で連携済みSaaS(使用が認められているサービス)と未連携SaaS(許可されていないシャドーIT)を区別して確認できます。
シャドーIT検知機能を使う場合にはSaaSとAdminaを先に連携して利用した方がより機能を活かせます。
このシャドーIT管理台帳は、シャドーITの検出としての使用用途以外でも、イベントカウントの集計値を確認してコスト管理機能を組み合わせることで、「コストがかかっているのに利用されていないSaaS」などの特定に利用することもできそうです。
もちろんリアルタイムで全記録を集計するわけではないので、30分に一回ぐらいでの利用目安のカウントにはなりますが、プラン変更したり解約したりといった運用を見直すなどの判断材料の1つとして利用できそうですね。
こちらも連携後は「データ取得」のボタンを押すだけで抽出できますので毎回の操作は簡単ですし、ITに不慣れな方でも使いやすい機能だなと感じました。
実践:シャドーITが発見された後の調査の流れ
実際にAdminaを使って、どうやって未管理のSaaS(シャドーIT)をゼロに近づけていくのか。具体的な手順を追記します。
1. 「Discovery」で未連携(会社で未認可)のアプリを見つける
管理画面の「インテグレーション」を開き、「Discoveryからのおすすめ」をチェックします。会社が許可していて未連携のSaaSが含まれていた場合は連携しましょう。
連携方法:SaaS連携ガイド
2. 「ユーザーリスト」で利用規模を特定する
そのアプリをクリックし、「誰が使っているか」を確認します。
- 1人の場合:個人の趣味、あるいはその人にしかできない業務で使っている可能性。
- 特定部署で複数人の場合:部署単位で勝手に導入している(=組織的なシャドーIT)可能性。
3. 「イベントログ」で実際に使用したのかを測る
タブを「イベントログ」に切り替え、特定のサービスを検索しアクセス頻度を見ます。
- アクセス1〜2回:サービスの紹介サイトにアクセスしただけかもしれません。
- 毎日数回以上アクセスがある:業務フローに組み込まれているシャドーITと判断しても良いかと判断できます。どういった経緯で使用しているのかをヒアリングして会社として認可するのか、または使用しないよう是正するなどすると良いでしょう。
4.認可するSaaSは連携し、使用不可にする場合はブラックリストで管理する
この検出されたSaaSを会社として認可する場合は検出された該当のSaaSを連携しましょう。使用しないよう是正する場合は、シャドーIT管理台帳のブラックリストに記載して確認すると良いと思われます。
利用方法はこちらをご覧ください:シャドーIT管理台帳の使用方法
なお、 Admina上の画面は「今の状況」を見るのには適していますが、「先月と比べてシャドーITは減ったか?」といった管理には、スプレッドシートのシャドーIT管理台帳出力が適しています。
検証:YouTubeの利用をどこまで把握できるか?
YouTubeの利用をどこまで把握できるかについて検証しました。URLが変化したタイミング(動画の検索や動画の切り替わりのタイミング)がある場合はその時間が30分に1回を目安に記録されていました。
- 長時間流しっぱなしの場合はどうなる?
- 長時間再生の動画などURLが変化しない場合も45分に1回ぐらいを目安にログが取れていました。
- 放置していても記録されるため「実際に見ていたか?」の判断はできませんが、YouTubeを使っていた(利用しようとしていたか)は確認できます。
- 埋め込まれている場合
- 11時ごろに埋め込まれているYouTube動画をサイトで閲覧していますが、検証した環境ではYouTubeとして検出されませんでした。
検出後の「仕分け」—ノイズとどう向き合うか?—
Adminaのブラウザ拡張機能を有効にすると、理論上はあらゆるアクセスドメインのログが収集されます。ここで避けて通れないのが、業務に関係のない「ノイズ」との戦いです。
運用において、Adminaで「どこまで深追いするか」によって2つの管理レベルに分かれます。
1. 主要SaaSのみの利用状況を「Discoveryのおすすめ」で確認する
Adminaの管理画面にある「Discoveryからのおすすめ」には、Admina側で判別済みの主要なSaaSが自動でリストアップされます。
- メリット: ノイズが最初から排除されており、情シスが「これは何?」と調べる手間が最小限。
- デメリット: Adminaが認識していない未連携のSaaSはここには表示されません。
2. 「シャドーIT管理台帳」で追求:未連携サービスまで追う管理
「Discovery」に表示されない細かなツールまで把握したい場合は、「イベントログ」の抽出や「シャドーIT管理台帳(スプレッドシート)」の出力が必要になります。しかし、ここにはノイズが含まれます。
例えば、製品のサポートサイト(Zendesk等)や製品サイト。これらもURL単位では「アプリケーションの可能性あり」として台帳に載ってきます。
出力した台帳を1つずつ確認し、「これはSalesforceのヘルプサイトだからOK」「これは広告だから無視」といった具合に、台帳内でホワイトリスト(容認するサービス)を明示していく作業が発生します。
究極の選択:どこで「管理の線引き」をするか?
ここで担当者に求められるのは、「運用ポリシーの決定」です。どこまで容認するか、どこまで追求するかの線引きが必要ですよね。
- 「Discovery」中心の運用: 「Adminaが検知できるメジャーなSaaSさえ押さえておけば、大きなリスクは防げる」と割り切り、運用コストを下げる。生成AIなど特定のサービスのみを確認するなどでも良いかと思われる。
- 「台帳」ベースの徹底管理: 「未知のSaaSの使用も許さない」というスタンスで、定期的に台帳を更新し、ノイズを仕分けし続ける。
全てを完璧に可視化しようとすると、サイト内で完結できず、スプレッドシートと行ったり来たりしながら作業する必要があります。個人的には、まずは「Discovery(おすすめ)」に出るSaaSから着手し、余力に合わせて「台帳」で出力された中から気になるアプリケーションに対しての調査を行う、といった流れが現実的かと感じました。
AdminaのシャドーIT検知機能でできること・できないこと
AdminaのシャドーIT検知機能でできること、できないことをまとめました。
- 個人所有のスマートフォン、タブレット、USBメモリなどを業務利用した場合に検出できるか
→Admina連携(拡張機能の導入)が前提となるため、連携されていない個人端末やデバイスそのものは検出対象外です。 - 認可外のSaaS(無料のオンラインストレージやチャットツールなど)を利用した場合に検知できるか
→ブラウザ経由でのアクセスであれば検出が可能です。ブラウザ外で動作するアプリケーションの検知は対象外です。 - フリーソフトやオンラインツールを業務に使った場合に検知できるか
→ブラウザ経由でのアクセスであれば検出が可能です。ブラウザ外で動作するアプリケーションの検知は対象外です。 - フリーWi-Fiなど、管理外のネットワークに接続した場合に検知できるか
→ネットワーク接続に関するような検知機能はありません。 - シークレットウィンドウでも検知できるか
→拡張機能の設定で「シークレットウィンドウでも許可」とする事で可能ですが、ユーザーごと/ブラウザごとに設定する必要があります。
シャドーITの検知といってもいろいろありますが、全てを網羅した機能というわけではなくAdminaと連携したデバイスかつブラウザで操作されたアプリケーションに限り、検出ができるような機能です。
Admina、ここが良い・ここが惜しい
〇 良いところ:調査の「初動」が簡単
一番のメリットは、シャドーITの検出から「詳細を確認する」までの動線が短い点です。膨大なログデータからフィルタリングして……という作業が不要で、「Discovery(発見)」から「ユーザーリスト」へ1クリックで飛べます。
このUIは、多忙な情シスやこのようなサービスの操作に不慣れな担当者にとっては非常に使いやすいポイントと感じました。
また、「コスト管理とSaaSの利用状況確認をAdminaという1つの製品で確認できること」に加えて動画サイトやSNSなどのブラウザ上でのサービス・アプリケーションの利用状況の可視化ができるということは、とても良い機能だと思います。
× 惜しいところ:検知できる範囲が狭い、サイト内で完結しない
やはり「デスクトップ版アプリ」を検知できない点は、担当者としては足りないと感じてしまうポイントです。
例えば、ブラウザ版のSlackは検知できても、アプリ版でこっそり私用ワークスペースに入っている場合は見抜けません。また、シークレットブラウザでの可視化はユーザー側でオフにすることができるのでこっそりオフにすることもできます。こういった部分は見逃してしまうのは惜しいポイントだと思います。
また、一元管理をしたいのにスプレッドシートで結局抽出して管理しなければならないのも残念です。こちらは管理サイト内の機能として今後組み込まれることを期待します。
【検証結果】結局、このシャドーIT検知機能は実務で「使える」のか?
結論:シャドーITの検知としては弱いがSaaSの棚卸しと、実態把握と是正(証拠集め)には有用
「実態把握と是正(是正勧告)」を目的とするなら、この機能は活かせると考えています。
今回の検証で特に感じたのは、「そのサービスに対してのユーザーログ」が簡単に取得できることです。 単に「使ってました?」と確認するのと、「〇月〇日の〇時、認可されていない生成AIサービスにアクセスしていました?」とデータを提示するのでは違います。それらがタブでワンクリックで可視化できるのは運用しやすいと感じました。
なので、以下のような企業は特にAdminaのシャドーIT検知機能を使ってハッピーになれるのでは?と感じました。
- 担当者が1〜2名の「一人情シス」体制で、調査に時間をかけられない企業
- 「社員が勝手に何を使っているかわからない」という問題に対し、実態を把握したいという課題感を持っている企業
- 現場のSaaS利用をまずは「ゆるやかに可視化」することから始めたい企業
AdminaのシャドーITの検知機能について気になっている方にこのブログが参考になると幸いです。
参考資料
- マネーフォワードAdminaホームページ
- Adminaヘルプセンター:シャドーITを検知する
- Adminaヘルプセンター:シャドーIT管理台帳の使用方法
- Adminaヘルプセンター:SaaS(シャドーIT)を検出する -Disocveryからのおすすめ
- Adminaヘルプセンター:ご利用開始からシャドーIT検知までの流れ
- Adminaブログ:SMP(SaaS Management Platform)とは?機能から導入するメリット、選び方まで徹底解説
