特集

最新のIT技術情報や旬な話題をお届けいたします

CASBs のマーケットリーダーSkyhigh Networksのキーマンが語る、シャドーITを解決しクラウドを積極的に利用する方法

Skyhigh Networks, Inc. Shah氏、Cesio氏が語る

CIOやCSOが考えるクラウド利用拡大における課題の1つに、シャドーITへの対策があります。IT部門の許可を受けずに社員が独自にパブリックなクラウドサービスを利用するシャドーITは、業務効率化に寄与している半面、データが社外に流出するリスクが高く、IT部門としては無許可クラウドの利用を禁止したいと考えます。しかし、従業員はクラウドサービスを必要としているため、サービスがブロックされれば他のサービスを探して再び利用するというイタチごっこに陥るケースが多いといいます。

そこで登場したのが、クラウドプロバイダのセキュリティ対策を補完し、利用企業が必要とするクラウドセキュリティ対策を代行して行う、ソリューションプロバイダーです。2015年4月、マクニカネットワークスはシャドーIT対策ソリューションを提供するSkyhigh Networks, Inc.と販売代理店契約を締結したことを発表しました。今回は、Skyhigh Networks社が考える安全なパブリッククラウドサービスの利用方法と、有効なソリューションの概要について、来日したキーマンへのインタビューから解き明かしたいと思います。

クラウドのリスクを分析し安全な利用環境を提供するCASBsとは?

Q:Skyhigh Networks, Inc.(以下、Skyhigh)の概要と、設立経緯について教えてください。

Shah氏: 当社は、企業が自社のセキュリティ、コンプライアンス、ガバナンス要件を満たしながらクラウドを安全に活用できるサービスを提供しています。創業は2011年。米国カリフォルニア州キャンベルに本社を構えています。

会社設立にあたり、現CEOであるRajiv Guptaは110人以上のグローバル企業のCIOやCSOに面会し、クラウドを利用する上で最もチャレンジなことや、問題点、課題などを詳しくインタビューしました。その共通のコメントとして、クラウドに関しては多くのメリットがあるという意見が多く、スピードアップが図れるとか、柔軟性に富んでいる、コストが下がるという効果を感じている半面、重要なデータをクラウドに預けることに関してはセキュリティの確保を非常に心配していました。また、許可したクラウドサービスに対するセキュリティの強化についても大きな課題のひとつでした。

そこで、この調査結果を元に、クラウド利用のリスク分析を可能にし、クラウドをより安全に利用できるソリューションを提供しようと考えたのです。丁度その頃、ICTのアドバイザリ企業のGartnerが「CASBs」(Cloud Access Security Brokers:キャスビー)というカテゴリを定義し、業界での認知度も高まったこともあって、現在400以上の企業が当社の顧客となっています。

Q:CASBsは日本ではまだあまり馴染みのない分野です。CASBsのマーケットについて詳しく教えていただけませんか?

Shah氏: CASBsは、ユーザ側でクラウドを利用する際にセキュリティを高めることが可能なソリューションを提供するサービス事業者を意味します。企業のクラウド利用の急激な増加に伴い、クラウド事業者は顧客の重要なデータやプログラムを守るために高度なセキュリティ環境を提供しています。しかしサイバー犯罪の高度化や悪質化に伴い、クラウドサービスを利用する企業が重大で深刻な被害にあう可能性も高まっており、より高度なセキュリティを望む声が増加しています。

そのため、CASBsはクラウドプロバイダのセキュリティ対策を補完し、利用企業が必要とするクラウドセキュリティ対策を代行して行うことで、非常に有効なクラウドセキュリティ対策を実現します。

Gartnerは、CASBsが2015年に最も急速に伸びるマーケットだと明言しています。事実、2年前にはCASBsの認知度は20%以下でしたが、今年は既に80%の企業に認知されるようになるなど、米国での市場が急速に広まっています。今後日本でもそうなると思います。

SkyhighはCASBsカテゴリの製品を2013年2月のRSAカンファレンスで世界に先駆けて発表しました。その後、15社ほどの企業が市場に参入していますが、Skyhighは顧客数で他社と5~10倍もの差を広げるなど、事実上のマーケットリーダーとして知られています。

発想の転換でやっかいなシャドーIT問題を解消するSkyhigh

Q:Skyhighが提供するソリューションのコンセプトとはどのようなものでしょうか?

Shah氏:CIOやCSOが考えるクラウド利用拡大における課題の1つに、シャドーITへの対策があります。一般的にシャドーITとは、IT部門の許可を受けないで社員が独自に使用しているパブリックなクラウドサービスのことをいいます。当社の顧客企業400社、2000万人の利用者を分析してみると、1企業あたりの平均クラウドサービスの利用数が923個にもおよぶことがわかりました(※)。その中にはシャドーITも含まれます。

シャドーIT自体は業務効率化に寄与している面もありますが、ポピュラーなクラウドであってもデータが社外に流出するリスクを持ったものもあり、IT部門としては知的財産の確保や、規則違反の防止、顧客や従業員データの漏えい防止に向けて、無許可クラウドの利用をブロックしたいと考えます。

しかしそれには限界があります。従業員はクラウドサービスを必要としているため、サービスがブロックされれば他のサービスを探して再び利用することになります。しかもその多くはリスクの高いものです。そうであるならば、反対にクラウドを全面的に受け入れてみたらどうか、という考えがSkyhighのソリューション開発の原点にありました。

(※)Skyhigh社Cloud Adoption and Risk Report -Q1 2015 の調査結果より。

12,000のサーベイ情報(2015年6月現在)と
11種類の個別機能でクラウド利用リスクを分析

Q:では、Skyhighの製品概要を具体的に教えてください。

Shah氏:当社の製品メインストリームである「Skyhigh Cloud Security Platform」は、企業のクラウド利用状況のすべての可視化を行うと共に、クラウドサービスの実際の使用状況をもとに、クラウド自体のリスクやユーザのアクティビティのリスクを判定し、企業のクラウド利用リスク状況を把握することができます。

リスクの判定は、クラウドのセキュリティを分析している米国の非営利団体「Cloud Security Alliance」(CSA)が作成した、クラウド事業者が提供するクラウドサービスのセキュリティを評価し保障するためのフレームワーク「Cloud Controls Matrix」(CCM)に基づくチェックリストで格付けしています。CCMは、クラウドサービスに必要なコントロールや管理策とその実装方針の提示、適用対象の明示、既存の国際標準・業界標準・政府標準におけるコントロールとの対応付けなどをリスト化しています。

Skyhigh Cloud Security Platformは大きく2つの製品群で構成されています。1つはクラウドサービスの可視化・リスク分析を行う「Skyhigh for Shadow IT」です。これは、企業のクラウド利用状況のモニタリングを行うと共に、約12,000(2015年6月現在)のクラウドサービスのサーベイ情報と、CASBs企業で最大となる11種類の個別機能をもとに、クラウド自体のリスクやアノマリー(異常)行動の特定、ユーザのアクティビティリスクを判定し、企業のクラウド利用リスクの分析とリスクが高いクラウドサービスへの対処、安全なサービスへの標準化などを実施します。

そしてもう1つは、企業が公式に認めているクラウドサービスをさらに安全に利用できるようにセキュリティを強化する「サンクションズクラウド」製品群です。これは、Office 365やSalesforce、Box(オンラインクラウドストレージ)、Jive(企業向けソーシャルプラットフォーム)、ServiceNow(クラウド型ITサービスマネジメント)Dropbox(オンラインストレージサービス)Google Driveなど、個別SaaSごとに特化した製品となっています。

Skyhighのソリューションは、企業で活用中の既存のファイアウォールやプロキシなどをそのまま活かしながら連携できるので、クラウドセキュリティのために新たにコストをかけることなく運用できる点も高く評価されています。

PoC(概念実証)を行う際にもSkyhighのソリューションは簡単に実行でき、最低2週間分のログさえあればある程度の結果を導き出すことが可能なので、IT部門の負担削減に大きく貢献できると思います。ぜひ、無料の試用版でクラウドディスカバリーとリスク評価を試してみてください。

Skyhighを活用する有名グローバル企業の事例

Q:現在、Skyhighのソリューションを利用している顧客の事例を教えてください。

Cesio氏:海外では、Cisco Systems、DIRECTV、Hewlett-Packard Company、健康保険のAetna、通信会社のComcast Corporation、国際データセンターのEquinixなど多くの有名企業への導入実績があります。例えば、Cisco Systemsではクラウドサービスの利用状況が可視化されておらず、同じカテゴリのクラウドサービスが重複して利用され、無駄なコストが発生していたほか、リスクの高いシャドーITを使用するユーザの行動を検知できる包括的なツールがありませんでした。Skyhigh for ShadowITを導入することで、1,000以上ものクラウドサービスの利用状況を完全に可視化するとともに、例えば、クラウドストレージのカテゴリで27つのサービスを利用していたところを、企業向けファイル共有サービスのBoxへの統合によって、他の有償利用サービスのコスト削減とリスクの低減、全員でBoxを利用することでコラボレーションの改善を実現し、DLP(データ漏えい防止)機能を拡張してクラウド上の企業データを保護する運用を行っています。

また、Equinixは会社で許可するクラウドサービスの安全性をIT部門の担当者が調査していたため、膨大な時間と手間、そしてコストがかかっていましたが、Skyhigh for ShadowITにはほぼ全てのクラウドサービスの情報が網羅されているため、調査負担が大幅に軽減し、コストも大きく削減できました。Equinix のCIOは当初クラウドサービスに否定的でしたが、Skyhighの導入を境に一転してクラウド推進者に変わったといいます。

パブリッククラウド利用に消極的で実態を可視化しない日本が危険?

Q:貴社の世界展開と日本市場での戦略について。日本市場への期待とは何でしょうか?

Shah氏:当社は2013年に米国で足固めをし、2014年には欧州へ展開してきました。そして2015年はオーストラリア、ニュージーランド、シンガポール、香港、日本に展開する計画です。特に日本は世界で3番目に大きな経済圏であり、当社の世界戦略の中でも重要な位置を占めるマーケットです。今後マクニカネットワークスという優れたパートナーと一緒に日本市場を拡大できることは非常に頼もしく、心強く思っています。

日本市場には、Skyhigh for ShadowITを最初にリリースしました。サンクションズクラウドの7つの製品については今後順次提供していく予定です。

Q:日本は欧米と異なり、企業で利用できるパブリッククラウドの数はさほど多くないと思うのですが?

Shah氏:以前に、日本のとある企業でPoCを行ったことがありましたが、利用しているクラウドサービスの数は500以上存在することがわかり、欧米企業と大きな違いはないと判断しています。

Cesio氏:日本では基本的にパブリックのクラウドサービスを使わないことをポリシーとしている企業が多いため、実態を正しく可視化できていない原因ともなり、シャドーITの横行を許している可能性があります。それをSkyhigh for ShadowITで可視化することによって潜在的なリスクを排除することにつながると考えています。日本の企業にこそSkyhighは効果的なソリューションになると確信しているのです。

動き出したCASBs市場に絶え間ない技術革新で挑むSkyhigh

Q:今後のソリューション展開や製品のロードマップを教えてください。

Shah氏:これからもマーケットの要望に応じて機能や製品の追加を行っていく予定です。しかし、CASBsの市場は野球で表現するとまだ1回の表を戦っているところ。今後マーケットの拡大とともに9回を戦っていく戦略が必要です。幸いなことにSkyhighはワールドワイドで400社を超える顧客企業と2,000万人のユーザという財産を抱え、さまざまな情報を収集できる基盤が備わっているので、今後も絶え間ない技術革新によって成長できる可能性があります。

Q:最後に、LANch BOX Online Magazineの読者にメッセージをお願いします。

Shah氏:パブリッククラウドの活用が広がる中、Skyhighのソリューションを活用することで、CIOはクラウドの利用状況を完全に把握することができます。誰がどのクラウドサービスを、どのように使用しているのか。広く利用され、最大の価値をもたらしているサービスはどれか。リスクが高いもの、また使われていないクラウドサービスはどれか、といったことを可視化する手段を持てるのです。

また、CSOは利用状況の分析を通じて異常を特定し、企業をシャドーITの危険から守ります。例えば、セキュリティやコンプライアンス面の違反、データ漏えいなどを防止し、幅広いデータプライバシー、セキュリティ、コンプライアンスの強化が可能になります。

そして何より、従業員はモバイル機器を含むあらゆるデバイスからクラウドサービスにアクセスすることが可能になります。好きなサービスを使用することができ、結果的に生産性もアップします。一方、会社にはデータを安全に保護して、最終的に顧客、社員、株主を守ります。

そうした自由で安全なクラウド時代の到来を、Skyhighとマクニカネットワークスのパートナーシップが実現することをお約束します。

――本日はありがとうございました。

いつか見た景色 from Staff's Albums