月別アーカイブ: 2018年4月

CASBWGリレーコラム(第4回)「アンケート調査で明らかになった、日本のシャドーIT意識の実態」

コメントをどうぞ

アンケート調査で明らかになった、日本のシャドーIT意識の実態

NTTテクノクロス株式会社
井上 淳

 今回は、先日NTTテクノクロスが実施した、企業におけるクラウドセキュリティに関するアンケートの結果を紹介していく。

■調査の背景

2020年までに、大企業の60%がCASBを使用※1」「クラウドセキュリティ市場は2021年に208億円に※2」など、クラウドセキュリティ分野では、これまで数多くのポジティブな市場予測が発表されてきた。また、実際にグローバル企業などのクラウドセキュリティについての意識が高いアーリーアダプターを中心に、日本でもCASB市場が大きく成長してきている。

しかし、マジョリティに当たる一般的な日本の企業におけるクラウドサービス利用の実態についての統計的な情報としては、総務省が毎年発表している情報通信白書以外にほとんど存在しないという状況であった。

日本の企業が実際にどのようなクラウドサービスを使っているのか、マルチクラウド利用は進んでいるのか、クラウドセキュリティに対する意識はどうなっているか、大企業と中小企業ではどのような違いが生じているのか。そういった生の情報が不足していたことから、今回、NTTテクノクロスではクラウドサービス利用状況の実態を調査するに至った。

1Gartner,Inc. Magic Quadrant for Cloud Access Security Brokers (2017)
2IDC Japan株式会社 国内クラウドセキュリティ市場予測、2017年~2021(2017) 

■調査結果について

回答者の属性や調査結果について、詳細についてはZDNet Japanで公開されているホワイトペーパー(URLhttps://japan.zdnet.com/paper/30001048/30002673/)を参考にされたい。本コラムでは、特徴的なポイントのみ紹介する。

■大企業と中小企業で異なる、利用しているサービスの傾向

設問2『選択肢の中にご利用中のクラウドサービス名(SaaS)があれば、教えてください』に対する回答は、1000名以上の企業と1000名未満の企業で回答の傾向に大きな差が生じた。

例えば、1,000 名未満では「GmailG Suite)」を挙げた回答者が最多であったのに対し、1,000 名以上では「Exchange OnlineOffice 365)」首位を逆転するといった具合だ。同様に、「OneDrive」「Dropbox」「Google Drive」は1,000名以下の企業での利用が多く、1,000 名以上では「Box」の回答割合が多くなるなど、類似サービスの中でも企業規模による利用傾向の違いが見える結果となった。

コスト面やセキュリティ面など、クラウドサービスの評価基準が企業規模によって異なるであろうことは予想できたものの、これほど如実に数字として表れたことは非常に興味深い結果となった。

 

 ■リスクは認識されつつも「自己責任」派が多数

設問6は、「利用が認められていない」クラウドサービスを、実際に社員が利用している、いわゆる「シャドーIT」が自社で発生しているという状況を認識している回答者に対して、『どうお考えですか』と質問した結果だが、「セキュリティのリスクがある」という認識を持つ回答が8割程度ではあったものの、そのうちの半分強にあたる42%の回答が「セキュリティリスクはあるが、自己責任の範囲で注意して利用すれば問題ないと考えている」と考える自己責任派であった。

CASBによるシャドーIT対策の必要性について重要なポイントの一つとして、「会社のルールでクラウドサービスの利用を禁止すると、従業員は代替のサービスや手段を探して利用する可能性があるため、さらにセキュリティリスクが増す(そのため、禁止するのではなく可視化して統制すべきである)」という考え方があるが、まさにそのような人間心理を裏付けるような結果となり、CASBが実現する「シャドーITは、可視化して統制すべきである」といった対策が有効であることが伺える結果となった。

■『CASB』の認知度はまだまだ

設問12では、直球で『クラウドセキュリティ対策の考え方の1 つである「CASB」をご存知ですか?』という質問を投げ掛けたが、63%が「知らない」という回答であり、認知している回答者は37%という結果であった。

セキュリティ分野における専門用語の一般的な認知度としてはまずまずである、と評価する見方もあるが、職種として「情報システム関連職」が5割を超えているという回答者の属性を踏まえると、CASBというクラウドセキュリティ対策はもっと認知されるべき存在である。今後も、WGの活動等を通じてCASBを啓蒙していくことの必要性を感じる結果となった。

■終わりに

セキュリティ分野のもう一つのトピックとして、NTTテクノクロスでは、昨年に引き続き「サイバーセキュリティトレンド2018」(URLhttps://www.ntt-tx.co.jp/products/cs-trend/)を公開した。

変化し続けるサイバーセキュリティの「今」を知ることができる資料となっている。こちらも無料でダウンロード可能となっているので、是非ご一読願いたい。