2023年10月10日
米国で広がるTikTok利用制限。 日本企業における”シャドーIT”への対策とは?
TikTokは世界で月間10億人のアクティブユーザーを誇る人気のSNSです。日本では2017年にサービス提供がスタート。10代、20代を中心に流行し、現在では約1,700万人が利用しています。若年層にリーチできるメディアとして、TikTokをプロモーション戦略に活用している企業も多いでしょう。ところが、海外では公的端末によるTikTokの利用を禁止する動きが見られます。日本企業においても企業側が認知していないITツール、いわゆる「シャドーIT」への対策がより重要となってきています。本記事ではTikTokその他のシャドーIT利用について、日本企業がどのような対策をすべきか解説します。
ニューヨーク市支給端末でTikTok禁止
TikTokの利用制限は2023年から加速しています。顕著なのはアメリカです。ニューヨーク市は8月、「サイバーセキュリティ上のリスク」として市が支給した携帯電話などの端末での使用を禁止しました。アメリカではニューヨーク市だけでなく、半数以上の州で公的端末によるTikTokの利用が禁止されています。
政府支給端末や政府関連端末によるTikTokの利用はイギリスやカナダ、ベルギーでも禁止となりました。日本でも、機密情報を扱う官公庁の端末によるSNSの利用は禁止されています。また、アメリカ西部のモンタナ州では2023年5月に一般利用者も規制対象とした法律が成立。公的端末だけでなく一般利用者の端末に対しても、厳しいセキュリティ対策が進められており、日本においても更なる規制が懸念されます。
日本企業における”シャドーIT”のリスク
企業が認知している公式アカウントでのTikTokプロモーションは、適切なセキュリティ対策を施したうえでの利用だと考えられます。万が一インシデントが発生しても、対処する体制を整えているはずです。リスクとなるのは“シャドーIT”での使用です。シャドーITとは、セキュリティ部門が認知せず、その他の部署が独自で導入している機器やシステムのことを指します。
シャドーITでの利用はTikTokだけでなく、その他SNSやクラウドサービスなどでも多く見られます。「効果的な宣伝になるから」、「効率良く仕事が進められるから」と、許可されていないアプリをダウンロードしてしまう従業員は少なくありません。
リモートワークを導入する企業が増えたことにより、シャドーITも増加傾向にあります。これによって、セキュリティ部門で把握していないITサービスが日常的に利用されているケースも多いと考えられます。従来、企業が導入するITサービスは、セキュリティポリシー策定などを含め適切な手順で進められるでしょう。しかし、シャドーITはセキュリティ部門以外の部署や個人の判断で導入されるため、企業としての対処が遅れてしまいます。アカウントの乗っ取りや個人情報漏えいといったリスクの他、その後の対処の遅延も懸念されるポイントです。
では、アメリカや日本政府の公的端末のように制限をかけるべきなのでしょうか。確かにシャドーITはリスクを拡大させてしまうものですが、制限してしまうことでビジネスの発展に影響が出るのも事実です。企業は従業員の生産性や利便性も考慮すべきでしょう。
”制限”ではない視点の対策法
先述の通り、シャドーITが増加してしまう要因の一つに「リモートワーク」が挙げられます。企業はセキュアなリモート環境を実現させるため、「仮想デスクトップ(VDI)」や「リモートデスクトップ(RDS)」を構築します。ところが、VDI等は「ネットワーク依存」や「サーバーへの負荷」というデメリットもあり、従業員にとって使い勝手が悪化することも考えられます。
従業員は会社支給端末の使い勝手が悪くなると、自身のパソコンやスマートフォンなどで業務を進めてしまうこともしばしば。そこでシャドーITが発生するという事例は少なくありません。つまり、企業側は「ソフト」ではなく「ハード」に対策を講じることが重要です。
着目すべきソリューションは「セキュアFAT」。FAT端末はローカルディスクにデータやアプリケーションが存在するため、ネットワーク依存などのデメリットを解消することができます。一方、パソコンの紛失や盗難といったリスクが存在します。FAT端末に対してより強固なセキュリティ対策を行い、利便性を確保しつつセキュアな環境を実現させるのがセキュアFATとなります。
セキュアFATソリューションの中でも有効的な解決策が「秘密分散技術」です。秘密分散技術とは端末内のデータを無意味化して分割するもの。分割されたデータはパソコン、クラウド、スマートフォンなどの端末にそれぞれ保管されます。万が一、ある端末が攻撃されたとしても分散された全ての断片を揃えなければ、データは無意味なものとなります。つまり、攻撃者が一部を読み取っても流出することはありません。一方、従業員は通常の端末と同じように使用可能なため、利便性が下がらないところもポイントです。
VDIに変わる新たなソリューション
秘密分散技術を活用したソリューションはシャドーIT対策のみならず、セキュアなリモートワーク環境の構築にもつながります。リモートワークのセキュリティ対策として普及してきたVDIやRDPはネットワーク集中によるコストパフォーマンスの低下やサーバー依存性、オフライン制約などが課題でした。その理由は“仮想デスクトップは通常のパソコンとは異なる使い方になる”からです。
通常と同じようにパソコンが利用でき、かつセキュアな環境を実現させたソリューションの一つに「ZENMU Virtual Drive」が挙げられます。同ソリューションは秘密分散をコア技術とし、「ネットワークに依存しないパフォーマンス」、「オフライン使用可能」、「安易な導入と運用」などを実現させています。
サイバー攻撃は常に手法が変化しており、攻撃を防ぐことは限りなく0に近いものとなっています。重要なのは「防ぐ」のではなく、「実害を出さない」こと。秘密分散技術は現代のインターネット社会にマッチしている考え方でしょう。新時代のセキュリティ対策を施しつつ、従業員の生産性や利便性を確保する「ZENMU Virtual Drive」はポストVDIソリューションとして注目を集めています。