平均的な企業でも900以上のクラウドサービスを利用

　シマンテックが発表した「2016年後期 シマンテック シャドーデータレポート」は、同社が運営する「Symantec CloudSOC」に集められるデータをもとに分析されている。Google Docs、Box、Office 365、Dropboxなど2万以上のクラウドアプリケーション、1億7,600万の文書、13億以上のメールを匿名化した状態で分析したという。作成はシマンテックのCloud Threat Labsが担当した。

■レポート全文のダウンロードはこちらから
※プロファイル情報の入力が必要
　2016年後期 シマンテック シャドーデータレポート

　レポートでは冒頭、企業で利用されているクラウドアプリケーションの数が平均で928にものぼると指摘している。この数は前回（2016年前期）の841より増えている。しかも、多くのCIOが自社のクラウドアプリケーションの利用数を30～40程度と思っており、現実にはその20倍以上のサービスが利用されていることになる。

　ユーザーから見るとクラウドベンダー1社のサービスでも、背後に複数のクラウドサービスが連携しているため、このような数字の乖離が生まれるのだろう。まさに「シャドーIT」と言われる所以でもある。

企業利用クラウドサービスのトップ5

　レポートでは、企業で利用されているクラウドアプリケーションのトップ5についても分析している。クラウドアプリケーションを「コラボレーション」「業務支援」「コンシューマ向け」の3つに分類し、それぞれ上位5つのアプリケーションを公表している。


　グローバルでの分析のため、業務クラウドサービスの一部は日本ではなじみのないものかもしれないが、レポートでも警告しているのはFacebookやTwitter、LinkedInなどは業務利用が進んでいるものの、どれもエンタープライズ対応したサービスではない。これらは、企業PRやカスタマーサポートに欠かせないクラウドサービスだが、オープンである特性を理解して、アカウントの管理や利用デバイスの制限などが必要な分野だ。

機密データを3つに分類して共有状況を調べる

　もちろん、クラウドにデータを置いたからといって直ちに危険というわけでもない。また、セキュリティの常として、どのデータが重要で守るべき情報資産なのかは、業種や企業ごとに異なる。このレポートでは、「個人の身元を特定する情報（PII）」「保護医療情報（PHI）」「クレジットカード情報（PCI）」の3つを機密データとして分類し、クラウドで共有されているデータのうち、どれくらいがこれら機密情報に該当するかも調べている。

　まず、調査対象の1億7,300万の文書のうち、クラウドに広範囲で共有されているファイルは25％を占めているという。ここでいう「広範囲の共有」は、企業内全従業員で共有、外部パートナーまで含む共有、あるいは一般にも公開されている状態までを含む（つまりアクセス制御がかかっていない状態）。


【次ページ】危険度の高い異常な活動の3パターンとは