シャドーIT対策の第一歩:未承認SaaSを見える化しアクセス制御を強化する方法
企業内で従業員が個人的に、または部門単位で、IT部門に無断でSaaSサービスを利用する現象が深刻化しています。 これは「シャドーIT」と呼ばれ、セキュリティリスク・コンプライアンス違反・ライセンス管理の混乱などを引き起こします。
「すべてのSaaSを把握しているはずなのに、知らないサービスへのアクセスが検出された」というお悩みを抱える企業は少なくありません。 シャドーITは防ぎきることは難しいですが、「見える化」と「アクセス制御」を組み合わせることで、リスクを大幅に低減できます。
本記事では、シャドーIT対策の実装方法、特に未承認SaaSの検出とアクセス制御の強化について解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
シャドーIT問題がもたらす3つのリスク
1. セキュリティリスク
未承認のSaaSは、IT部門によるセキュリティ監査や更新が行われません。 脆弱性を抱えたまま放置され、データ流出やマルウェア感染の原因になる可能性があります。
また、認証情報の管理も不正規になりやすく、退職時のアカウント削除漏れによる情報漏洩も報告されています。
2. コンプライアンス・法的リスク
GDPR、HIPAA、PCI DSSなどの規制要件では、個人情報や機密情報を取り扱うシステムの把握が義務付けられています。 シャドーITの存在によって、規制要件への適合状況が不透明になります。
監査や規制当局からの指摘を受けた際、「どのデータがどのSaaSに保存されているのか」に答えられないことは、重大なコンプライアンス違反です。
3. ライセンス・コスト管理の混乱
未承認SaaSの利用が拡大すると、組織全体のSaaS費用が不透明になります。 同じ機能を持つ複数のSaaSに重複投資していることに気付かず、無駄なコストが発生し続けるリスクもあります。
⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!
シャドーIT対策の第一歩:未承認SaaSの見える化
シャドーIT対策を成功させるには、まずは「何が起きているのか」を正確に把握することが不可欠です。
1. ネットワークトラフィック分析
自社ネットワークを経由する通信ログを分析し、未承認SaaSへのアクセスを検出します。
実装方法
- ネットワークファイアウォールのログを分析し、外部SaaS(Slack、Dropbox、ChatGPTなど)へのアクセスを追跡
- DNS クエリログから、従業員が訪問しているWebサイトを特定
- クラウドゲートウェイ(CASB:Cloud Access Security Broker)ツールを導入し、リアルタイム検出
検出すべきSaaS例
- チャットツール:Slack、Discord、Telegram など
- ストレージ:Dropbox、OneDrive個人用、Google Drive個人用
- 生成AI:ChatGPT、Gemini、Claude など
- プロジェクト管理:Asana、Monday.com、Notion など
2. エンドポイント監視
従業員が利用するPC・スマートフォンにエージェントソフトウェアをインストールし、直接監視します。
検出方法
- ブラウザ拡張機能を使用したアクセス監視
- デバイス管理ツール(MDM)による通信ログ分析
- アプリケーション実行ログの収集・分析
3. ID・アクセス管理(IAM)ログの監視
組織内で利用が認知されているSaaSであっても、IAMログを監視することで、以下を検出できます。
- 想定外のアカウント作成
- 異常なアクセス頻度・時間帯
- 権限外のリソースへのアクセス試行
4. 従業員ヒアリング・アンケート
テクノロジーのみならず、人的な方法も重要です。
実施方法
- 各部門への対面ヒアリング:「業務で使っているWebサービス、SaaSはありますか?」
- 定期的なアンケート調査
- 心理的安全性を高め、「申告しても罰しない」という姿勢を示す
検出後のアクセス制御:段階的なアプローチ
未承認SaaSを見つけた後、全て禁止するのではなく、段階的にアクセス制御を実施することが現実的です。
ステップ1:リスク評価
見つかった未承認SaaSについて、以下の観点からリスクを評価します。
評価項目
- データ分類 個人情報や機密データを保存しているか、それとも一般的な情報か
- 利用部門・人数 個人の試験的利用か、部門単位の利用か
- セキュリティ機能 暗号化、アクセス制御、監査ログなどのセキュリティ機能の有無
- ベンダー信頼性 大手ベンダーか、スタートアップか
- 代替サービス 公式に承認されている代替サービスがあるか
ステップ2:カテゴリ分類
リスク評価に基づいて、以下の3カテゴリに分類します。
カテゴリA:高リスク(即時禁止)
- 金融情報・健康情報など、極度に機密性の高いデータを取り扱っている
- セキュリティ機能が著しく低い
- ベンダーの信頼性が低い
- 例:個人用ファイル転送サービス、無名のストレージサービス
カテゴリB:中程度リスク(段階的制御)
- 一般的な情報を取り扱っている
- セキュリティ機能が標準的
- 複数部門で利用されている
- 例:Slack、Dropbox、Asana など
- 対応:将来的に公式サービスへの移行を検討、当面はアクセス制限・ログ監視
カテゴリC:低リスク(監視継続)
- 公開情報のみを扱っている
- セキュリティ機能が充実
- 業務効率向上に直結している
- 例:公開されているプロジェクト情報サイト、一般向けリサーチツール
- 対応:禁止せず、監視・ログ収集を継続
ステップ3:アクセス制御の実装
カテゴリごとに、異なるアクセス制御を実施します。
カテゴリA向けの制御
ファイアウォールレベルでのブロック
- 該当SaaSのドメインへのアクセスを全面禁止
- VPN経由であってもブロック
- 検出した場合は自動的にセキュリティチームに通知
カテゴリB向けの制御
ホワイトリスト方式のアクセス制限
- 利用が認められた従業員のみアクセス許可
- IPアドレス制限を有効化
- 固定IP(ロリポップ固定IPアクセス等)経由のアクセスのみ許可
- 月次でアクセスログを監査
カテゴリC向けの制御
監視・ログ記録のみ
- アクセスは許可するが、ログを記録
- 異常なアクセスパターンが検出された場合、調査を実施 ⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!
ゼロトラスト原則に基づいたシャドーIT対策
ゼロトラスト セキュリティの「信頼しない、常に検証する」という原則は、シャドーIT対策にも適用できます。
1. 全トラフィックの検証
未承認SaaSへのアクセスを「例外」ではなく、「すべてのアクセス」の一部として捉え、検証します。
- ネットワークレベルでのログ記録:すべてのDNSクエリ、HTTP/Hトラフィックを記録
- ユーザーレベルでの認証:SaaSアクセス時に多要素認証を強制
- デバイスレベルでの確認:アクセス元デバイスの状態(マルウェア有無、パッチ状態)を検証
2. 最小権限原則の徹底
未承認SaaSが検出された場合、その従業員には必要最小限の権限のみを付与するアプローチを取ります。
- 管理者権限を制限
- データアクセス範囲を限定
- データのダウンロード・共有機能を制限
3. 継続的な監視と改善
一度アクセス制御を実装したら、その効果を継続的に監視し、改善を図ります。
- 月次のシャドーIT検出状況レポート
- 制御規則の見直し(新しいSaaS、新しい脅威への対応)
- 従業員ヒアリングに基づく改善
固定IP・IP制限を活用したシャドーIT対策
シャドーIT対策において、「未承認SaaSへのアクセス」は「許可されていないIPアドレスからのアクセス」として解釈することができます。
ロリポップ固定IPアクセスのような固定IP対応VPNを導入し、以下のルールを設定することで、より堅牢なアクセス制御が実現できます。
IP制限ルールの例
- 承認されたSaaS:社内ネットワークまたは固定IP経由のみアクセス許可
- 未承認SaaS:あらゆるIPアドレスからのアクセスを検出・ブロック
- 個人用SaaS(Gmail、Dropbox個人用など):特定の固定IPアドレスからのアクセスは許可、その他は禁止
従業員教育とコミュニケーション
シャドーIT対策の成功には、経営層・IT部門・従業員の間での良好なコミュニケーションが不可欠です。
1. セキュリティポリシーの周知
- 承認されたSaaSと未承認SaaSの区別
- シャドーITがもたらすリスク
- 新しいSaaS利用時の申請プロセス
2. 利用申請プロセスの簡略化
従業員が「申請手続きが面倒」と感じると、シャドーITは増加します。 以下のような簡潔なプロセスを構築しましょう。
- オンラインフォームでの申請(5分以内に完結)
- 1営業日以内の承認・却下判定
- 却下の場合は、代替案の提示
3. 許可されたSaaSの充実
シャドーITを減らすには、公式に認可されたSaaSの選択肢を十分に用意することが重要です。
- チャットツール:Slack、Microsoft Teams など
- ストレージ:Microsoft OneDrive、Google Drive など
- プロジェクト管理:Jira、Asana など
- 生成AI:ChatGPT Business、Microsoft Copilot Pro など
シャドーIT対策の成功事例
ある製造業企業では、以下のアプローチでシャドーITを大幅に削減しました。
実装内容
- CASB導入によるシャドーIT検出:初期調査で60を超える未承認SaaSを発見
- リスク評価・カテゴリ分類:優先度に基づいて段階的に制御
- IP制限ルール設定:固定IP対応VPN経由のみアクセス許可
- 従業員教育と申請プロセス改善:新規SaaS申請が容易に
- 定期監視と改善:月次でシャドーIT検出状況を報告
結果として、検出から1年で未承認SaaSは95%削減、新規SaaS申請件数は月10件以上に増加し、「報告すれば快く検討してもらえる」という信頼関係が構築されました。
ロリポップ!固定IPアクセスで安全なアクセス管理を
シャドーIT対策は、企業のセキュリティ体制を大幅に強化する重要なイニシアティブです。 見える化、リスク評価、段階的なアクセス制御、そして固定IP・IP制限を組み合わせることで、効果的な対策が実現できます。
ロリポップ!固定IPアクセスは、GMOペパボ株式会社が提供する固定IPアドレス対応のVPNサービスです。 月額490円(税込539円)〜という国内最安級の価格で、VPN経由でどこからでも常に同じ固定IPアドレスを使ってインターネットにアクセスできます。 高速かつ安全なVPNプロトコル「WireGuard」を採用しており、オンライン申し込み後すぐに利用を開始できます。 最大2ヶ月間の無料お試し期間も用意されているため、まずは気軽に導入テストが可能です。 固定IPを活用したシャドーIT対策を実装し、組織全体のセキュリティを高めましょう。
