Shadow IT: make it easy for users to follow the rules

SaaSアプリケーションの利用は、この10年で爆発的に増加しました。Gartnerによると、2021年の世界のSaaSへの支出は1,450億ドルで、2022年には1,710億ドルに達すると予測されています。SaaSアプリケーションの主な利点は、簡単に始めることができ、無料または低コストであることです。これは、ユーザーとリーダーの両方にとって素晴らしいことです。コミットメントや調達プロセスなしに、新しいツールを簡単に試すことができます。しかし、この利便性は、CIOやセキュリティチームにとっては課題でもあります。多くのSaaSアプリケーションは、特定のタスクに最適ですが、必要なセキュリティ管理や可視性が欠けています。ITチームに気付かれることなく、日々の仕事のためにSaaSアプリケーションを使い始めることは従業員にとって簡単なことかもしれませんが、このような「未承認」アプリケーションは、一般にシャドーITと呼ばれています。

CIOは、多くの場合、SaaSの従業員がどのようなアプリケーションを使用しているか可視化できません。できたとしても、ユーザーが未承認のアプリケーションを使用できないようにしたり、逆に承認済みのアプリケーションに簡単にアクセスできるようにしたりすることは容易ではありません。

アプリケーションの使用状況の可視化

オフィスでは、CIOとそのチームが組織内のアプリケーションの使用状況を監視することは容易でした。オフィスのWi-Fi機器を経由したDNSやHTTPのアウトバウンドトラフィックを検査し、未承認のアプリケーションを検出するメカニズムが存在していたのです。オフィス環境では、ITチームは同僚が新しいSaaSアプリケーションを使用していることに気づいたり、新しいアプリケーションについて話しているのを聞いたりすることもできました。新型コロナウイルス感染症やその他の要因でユーザーがリモートワークに移行した場合、これはもはや不可能であり、ネットワーク主導のロギングは効果的ではなくなりました。中央のネットワークがないため、アプリケーション監視の焦点はユーザーのデバイスに移行する必要がありました。

シャドーITの課題に対応するCloudflare for Teamsに新機能が導入されます。CloudflareのZero Trustプラットフォームが新しいアプリケーションの特定、アプリケーションのブロックを実行し、承認されたアプリケーションを一元的に管理できるロケーションを提供します。Cloudflare Gatewayにより、管理者はユーザーのトラフィックを監視し、新しいアプリケーションの利用を検出することができます。シャドーITレポートは、新しいアプリケーションのリストを表示し、各アプリケーションの承認または拒否を可能にします。

これにより、CIOはビジネス全体でどのようなアプリケーションが使用されているかを深く理解し、組織内の承認状況に基づいてアプリケーションの許可とブロックを行う計画を立てることができます。

適切なアプリケーションのブロック

「シャドー」アプリケーションのリストが判明したら、次のステップとして、これらのアプリケーションを意味のあるエラーメッセージでブロックし、ユーザーを承認されたアプリケーションに誘導する必要があります。重要なのは、ユーザーに何か悪いことをしたように感じさせることではなく、活用するための正しいアプリケーションを奨励し提供することです。

Cloudflare Gatewayは、チームが未承認のアプリケーションをブロックするポリシーを設定し、そのアプリケーションの代替となるものをユーザーに明確に指示できるようにします。Gatewayでは、管理者は「Google Drive以外のすべてのファイル共有アプリケーションをブロックする」といったアプリケーション固有のポリシーを設定することができます。 テナント制御を利用して、特定のアプリケーションの固有インスタンスへのアクセスを制限し、個人アカウントによるこれらのツールの利用を防止することが可能です。

承認されたアプリケーションの保護

次のステップは、ユーザーに使ってもらいたいアプリケーションを保護することです。SaaSアプリケーションを完全に保護するためには、初期認可を確保し、ユーザーアクティビティの明確な監査証跡を維持することが重要です。Cloudflare Access for SaaSは、管理者がSaaSアプリケーションのフロントドアを保護し、アクセスを許可する前にユーザーID、多要素認証、デバイスポスチャーおよびロケーションを確認することを可能にします。その後、Gatewayはアプリケーション内のすべてのユーザーアクティビティの明確な監査証跡を提供し、侵害やその他のセキュリティ事象が発生した場合に明確な状況を提供します。

これにより、CIOとそのチームは、特定のアプリケーションにアクセスできるユーザーとできないユーザーを定義することができます。幅広いアクセスリストを作成する代わりに、仕事を終えるためにはどのユーザーが特定のツールを必要とするかを正確に定義することができます。これは、セキュリティとライセンスコストの両面でメリットがあります。

ユーザーが必要とするアプリケーションの表示

最後の課題は、どのアプリケーションにアクセスできて、どのアプリケーションにアクセスできないかをユーザーに明確にすることです。新入社員が、もっと早くスピードを上げるのに役立ったであろう新しいアプリケーションを発見するのに、最初の数週間を費やしてしまう場合が多々あります。

当社は、ユーザーが承認されたすべてのアプリケーションにアクセスするための単一の場所を提供しやすくしたいと考えました。そこで、Accessアプリケーションランチャーにブックマークとアプリケーションの可視性制御を追加し、これをさらに容易にしました。

アプリケーションランチャーですべてのアプリケーションが利用できるようになると、これらのアプリケーションに関わるすべてのユーザーアクティビティを記録します。さらに、これらのアプリケーションの多くはCloudflareでホストされており、全体的なパフォーマンスの向上にもつながっています。

Accessアプリケーションランチャーの利用を開始するのは簡単で、最初の50人のユーザーは無料です!Cloudflare for Teamsダッシュボードより、今日から始めましょう。