企業向けツールの使いづらさが招く「シャドーIT」のリスク

企業向けコンテンツ管理ツールの多くは、使いづらく、フラストレーションの原因になるため、従業員が自ら、ファイル同期・共有サービス(File Sync and Share: FSS)を利用するケースが増えています。これに伴う大きな問題は、ファイルが見境なく共有されてしまうとことです。次に、従業員がファイルを共有する際に、企業に認可されたアプリケーションを使用していないため、IT部門は、誰がどのようにファイルを使用しているのかを知る術がありません。したがって、IT部門として、悪用を防ぐためにできる対策が全くないということになります。

従業員の退職に伴い、ワークフローには混乱が生じますが、これらのワークフローが企業の管理するデータリポジトリに保存されていない場合、事態はさらに悪化する可能性があります。たとえ不注意であっても、コンシューマー向けFSSからファイルを復旧できない、あるいは復旧が遅れることは、プロジェクトの日程や顧客満足度に多大な影響を及ぼしかねません。

このような場当たり的なファイルの同期・共有アプローチは、ファイルのバージョン管理の面でも混乱を招きます。同一ファイルの複数のバージョンが社内に散在し、どれが最新版か分からないという事態は、珍しくありません。

こうしたツールはビジネス向けに作られていないため、エンタープライズレベルのツールの基礎となる、セキュリティ対策が組み込まれていません。そのため、こうしたツールは企業にとってセキュリティのリスクとなります。

さらに、コンシューマー向けのFSSは「FIPS 140-2(米国連邦情報処理規格)」などの重要なセキュリティ証明書を取得しておらず、規制が厳しい業界での利用には不適切です。こうしたFSSのベンダーには、エンタープライズ・ソフトウェア・プロバイダーに求められるセキュリティ中心のアプローチが欠けています。

ファイル共有ツールの脆弱性の実例

これを裏付ける事実として、過去数年間で浮き彫りになった、多数の脆弱性の実例を以下に紹介します。

富士通では2021年、プロジェクトの開発や運用に関する情報を社内外で共有する、自社のクラウド型ツール「ProjectWeb」が、第三者からの不正アクセスを受け、顧客情報が外部に漏洩したことを発表しました。

また2021年は、内閣府や内閣官房職員が外部とのファイル送受信に使用していたソリトンシステムズのファイル共有ストレージ機器「File Zen」が不正アクセスを受けたことを発表しました。

ニュージーランド準備銀行(中央銀行)は2021年、機密情報の保管と共有のために利用していた外部のAcellion社が提供するファイル共有サービスが不正アクセスを受けたことを発表しました。

少し古い話になりますが、2015年の「Black Hat Conference」にて、Impervaが主要なコンシューマー向け共有アプリの大半に、ファイルの窃盗やユーザーのマルウェア感染の原因となる脆弱性が存在することを発表しました。これらの脆弱性を突いた攻撃では、標的のユーザーが異常に気付かないことも多く、仮に発見されたとしても、ユーザーがパスワードを変更してさらなるデータ損失を防ぐことは不可能です。

規制産業特有の課題

エンターテインメント業界や製造業において起きるデータ漏洩は多大なコストを伴いますが、規制産業に比べると、その影響はわずかです。法律データの保護に失敗した金融企業は、評判や売上の損失、規制当局による厳格な罰金、場合によっては、情報が漏洩した顧客から訴訟を起こされる可能性があります。多くの企業・団体は、適切なセキュリティ対策を講じてない法律事務所とのビジネスは行いません。

さらに悪いことに、規制産業は機密性の高い情報を扱うため、デジタル犯罪の格好の標的となっています。例えば、医療データは、闇市場で高い価値があるので、医療業界を標的とした攻撃が年々増えています。2020年には600件近くの医療データ侵害があり、2019年から55%増加しました。同様に、弁護士・クライアント間の内部情報も、しかるべき相手にとっては価値があるため、大規模な法律事務所の大部分(80%)がデータ漏えいの被害を受けています。

コンシューマー向けのFSSツールでは、こうした困難なセキュリティ環境を悪化させるだけであり、攻撃者が悪用可能な企業の問題点は増加し、高度なロギングや監視など、コンプライアンスに必要なメカニズムは担保されません。