企業にとってITインフラが担う領域は日々増し、業種によって差違はあれども業務はPC・ITが主軸となっている。逆にITインフラが確保でき基幹システムと繋がりさえすれば、業務の大半は遂行できるといっても過言ではないだろう。
千変万化のITトレンドにおいて、クラウドはまちがいなくビッグワードであり、DX(デジタルトランスフォーメーション)や働き方改革などの起爆剤といえる。企業成長戦略に欠かせないファクターではあるが、セキュリティリスクについて警鐘を鳴らし、対策を提言する文献は後を絶たない。クラウド活用黎明期から過渡期にあたる今日、オンプレミス環境にて構築してきた業務基盤をSaaSをはじめとしたクラウドアプリケーションに移行する企業も増えている。また、新型コロナウイルス感染症が世界的な猛威を振るい、多数の企業組織はテレワーク推進に舵を切っている。国内では2020年の緊急事態宣言発出前後から急増したテレワークにおいて、親和性の高いクラウドアプリケーションの活用も発展をとげている。しかし以前より活用の慎重さが指摘されるクラウドに加え、テレワークというロケーションを問わない新たな業務形態は、新たなセキュリティリスクの温床となる可能性を秘めている。堅牢なオンプレミス環境下とは異なる自宅からの業務常態化ゆえに、BYOD(個人端末の社内業務持ち込み)のリスクとは比較にならぬほど、複雑かつ潜在するリスクが存在する。対策として、VPN接続やEPP(エンドポイント保護プラットフォーム)、EDR(エンドポイントでの検出と対応)、利用端末の支給など多くの施策が実施されているが、それでもテレワークにおける脅威には十分とは言い難い。
本書は、急速なSaaS活用に潜むリスクと対策をレポートする。SaaSをはじめとしたクラウドアプリケーションにおいては、リスクのあるサービスに社員をアクセスさせないよう、企業ではファイアウォールやプロキシをはじめとしたゲートウェイ型の仕組みでセキュリティ対策を行っているだろう。プロキシはオンプレミス環境に設置されたものが中心だが、サブスクリプション型のMicrosoft 365登場によって派生するセッション数の消費に対応するべく、クラウドプロキシなどの活用も進んでいる。危険なSaaSをプロキシでブロックする精度も向上しているが、多様化するユーザー体験に呼応し、CDNを経由したサービスや短縮型のURLに変更するなどのケースも多い。そのため、トップレベルドメインだけでは制御が難しく、企業側での判断は困難を極める。ユーザー調査からプロキシでアクセスを遮断しているクラウドアプリケーションはわずか10%程度であると本書は指摘する。本書は、テレワークの増加や許可されていないSaaS の利用によって、目下増産されている「ShadowIT」のリスクと実践的な対処法をわかりやすく展開する内容となっている。各所でニューノーマル時代と表現される今日、企業は先が読めぬなかでもリスクは最小限に留めつつ、具体的な施策をもってビジネスを切り開かねばならない。情報システム部門だけでなく、経営層も含め、今を生きる企業人ならば本書のご一読を強くおすすめする。