部門ごとにバラバラなクラウドサービスのセキュリティ設定を全社ポリシーに統一して情報漏洩リスクを防ぐ方法
クラウドサービスの導入が各部門の裁量で進んだ結果、アクセス権限の設定やデータ保存先のルールが部門ごとにバラバラになっている企業が増えています。IT部門が全社のセキュリティポリシーを一元的に適用できず、退職者のアカウントが残ったまま、あるいは社外共有リンクが制限なく発行されているといった状態が放置されると、顧客情報の漏洩や法令違反につながります。
この記事は、従業員100〜1,000名規模の企業で、情報システム部門を少人数で兼務している担当者や管理部門のマネージャーを想定しています。読み終えると、散在するクラウドサービスの設定状況を可視化し、ポリシー違反を検知して是正するまでの一連のワークフローを自社に導入できるようになります。大規模エンタープライズ向けのゼロトラストアーキテクチャ全体設計や、個別クラウドサービスの詳細な設定手順書は扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、クラウドサービスの棚卸しからポリシー違反の自動検知・是正依頼までを週次で回せる運用サイクルの設計図が手に入ります。
Workflow at a glance: 部門ごとにバラバラなクラウドサービスのセキュリティ設定を全社ポリシーに統一して情報漏洩リスクを防ぐ方法
- Step 1: クラウドサービスの利用状況を自動収集する (ジョーシス) (IT資産管理ツール)
- Step 2: セキュリティポリシーとの差分を検知する (Admina)
- Step 3: 是正依頼を発行し対応完了まで追跡する (ServiceNow) (ワークフローシステム)
なぜクラウドサービスが増えるほどセキュリティの穴が見えなくなるのか
部門ごとの導入がIT部門の把握を超える
営業部がCRMを、マーケティング部がMAツールを、開発部がクラウドインフラをそれぞれ独自に契約するのは今や珍しくありません。問題は、各サービスのアカウント管理画面やセキュリティ設定項目がサービスごとに異なるため、IT部門が全体を横断的に確認する手段がないことです。結果として、あるサービスでは多要素認証が有効なのに別のサービスでは無効、あるサービスではデータが国内リージョンに保存されているのに別のサービスでは海外リージョンに保存されている、といった不整合が生まれます。
監査ログとポリシー文書が別々に存在する
多くの企業では、セキュリティポリシーはWordやPDFで管理され、各クラウドサービスの監査ログはそれぞれの管理画面に散在しています。ポリシーに書かれたルールと実際の設定を突き合わせるには、担当者が手作業で各サービスにログインして目視確認するしかありません。この作業は膨大な時間がかかるうえ、確認頻度が四半期に一度程度になりがちで、その間にポリシー違反が放置されます。
放置した場合のビジネスリスク
退職者アカウントの削除漏れ、過剰なアクセス権限の付与、外部共有設定の不備は、いずれも情報漏洩の直接的な原因になります。個人情報保護法や業界固有の規制に違反した場合、行政処分だけでなく取引先からの信用失墜にもつながります。問題が発覚してから対処するのでは遅く、日常的に検知と是正を回す仕組みが必要です。
重要な考え方:まず全社のクラウド利用状況を1か所に集め、ポリシーとの差分を自動で検知する
セキュリティ設定の統一というと、すべてのクラウドサービスを一括管理する高額なツールを導入するイメージがあるかもしれません。しかし、最初に必要なのはもっとシンプルなことです。どの部門がどのクラウドサービスをどんな設定で使っているかを1か所に集約し、自社のセキュリティポリシーとの差分を見える化することです。
棚卸しなくして管理なし
IT資産管理ツールを使って、社内で利用されているクラウドサービスの一覧を自動的に収集します。手作業のアンケートでは漏れが出るため、ネットワークトラフィックやシングルサインオンのログから実際に利用されているサービスを検出する方法が確実です。
ポリシーは機械が読める形にする
Wordファイルに書かれたポリシーは人間には読めても、自動チェックには使えません。ポリシーの各項目を、チェック可能なルールとして定義し直す必要があります。たとえば、多要素認証は全サービスで必須、データ保存先は東京リージョンのみ許可、外部共有リンクは有効期限30日以内、といった具体的な条件です。このルール定義をIT資産管理やセキュリティ監視の仕組みに組み込むことで、違反の自動検知が可能になります。
検知と是正をセットで回す
違反を検知しても、是正が手動のメール連絡では対応が遅れます。検知した違反を自動的にチケット化し、担当部門に是正を依頼し、対応完了まで追跡する仕組みが必要です。ワークフローシステムを使えば、是正依頼の発行から完了確認までを一貫して管理できます。
週次で回すクラウドセキュリティ統制ワークフロー
ステップ 1:クラウドサービスの利用状況を自動収集する(ジョーシス)
IT資産管理ツールであるジョーシスを使い、社内で利用されているSaaS(クラウド上で提供されるソフトウェアサービス)の一覧を自動収集します。ジョーシスはGoogle WorkspaceやMicrosoft 365などの主要サービスと連携し、各サービスのアカウント数、利用者、最終ログイン日時を一覧化します。
担当者はIT部門の担当者1名です。初回はジョーシスに各クラウドサービスの管理者アカウントを連携する設定が必要ですが、一度設定すれば以降は自動で情報が更新されます。週次の月曜朝に、ジョーシスのダッシュボードで新規に検出されたサービスや、退職者のアカウントが残っていないかを確認します。所要時間は週15分程度です。
ここで重要なのは、ジョーシスで検出されたサービスのうち、IT部門が把握していなかったもの、いわゆるシャドーIT(部門が独自に導入し、IT部門が認知していないサービス)を洗い出すことです。新規検出されたサービスはリストに追加し、次のステップでセキュリティ設定の確認対象に含めます。
ステップ 2:セキュリティポリシーとの差分を検知する(Admina)
Adminaは、複数のSaaSのセキュリティ設定を横断的にチェックできるツールです。ジョーシスで把握したクラウドサービスの一覧をもとに、Adminaで各サービスのセキュリティ設定状況を確認します。
具体的には、多要素認証の有効/無効、外部共有設定の状態、管理者権限を持つアカウントの数、90日以上ログインのない休眠アカウントの有無などを一括でチェックします。自社のセキュリティポリシーに照らして、違反している項目をAdminaが自動的にリストアップします。
担当者はIT部門の担当者1名で、週次の火曜日にAdminaのアラート画面を確認します。所要時間は週20〜30分です。違反が検出された場合は、違反内容、対象サービス名、対象部門、推奨される是正アクションをまとめ、次のステップに引き渡します。
ステップ 3:是正依頼を発行し対応完了まで追跡する(ServiceNow)
ステップ2で検出されたポリシー違反を、ServiceNowでチケットとして起票します。ServiceNowはITサービス管理の基盤として広く使われており、是正依頼の発行、担当部門への通知、対応期限の管理、完了確認までを一元的に追跡できます。
Adminaで検出された違反情報をもとに、IT部門の担当者がServiceNowにチケットを作成します。チケットには、違反内容の概要、対象サービス名、対象部門、是正期限(検知から5営業日以内を推奨)、具体的な是正手順を記載します。チケットは自動的に対象部門の管理者に通知されます。
対象部門の管理者は、チケットの内容に従って設定を修正し、ServiceNow上で完了報告を行います。IT部門の担当者は週次の金曜日に未完了チケットの棚卸しを行い、期限超過のチケットについてはエスカレーション(上位者への報告と対応催促)を実施します。所要時間は週30分程度です。
月次で、ServiceNowのレポート機能を使い、違反件数の推移、是正完了率、平均是正日数をまとめた報告書を経営層に提出します。この報告書がセキュリティ統制の実効性を証明する根拠になります。
この組み合わせが機能する理由
ジョーシス:SaaSの利用実態を自動で可視化できる
ジョーシスの最大の強みは、日本企業で一般的に使われているSaaSとの連携カバー範囲が広い点です。Google Workspace、Microsoft 365、Salesforce、Slackなど主要サービスのアカウント情報を自動収集でき、手作業の棚卸しが不要になります。退職者アカウントの検出機能もあるため、アカウント削除漏れの発見に直結します。
一方で、ジョーシスはあくまでIT資産の可視化が主目的であり、各サービスのセキュリティ設定の詳細チェックまでは得意ではありません。そのため、セキュリティ設定の監査にはAdminaを組み合わせる必要があります。また、連携対象外のニッチなサービスについては手動での登録が必要になる点も留意してください。
Admina:セキュリティ設定の横断チェックに特化している
Adminaは、複数SaaSのセキュリティ設定を横断的に可視化し、ポリシー違反を検知することに特化しています。多要素認証の状態、外部共有設定、管理者権限の棚卸しなど、セキュリティ監査で確認すべき項目を一括でチェックできるため、IT部門の工数を大幅に削減します。
トレードオフとして、Adminaが対応しているSaaSの範囲には限りがあります。自社で利用しているサービスがAdminaの対応範囲に含まれているかを事前に確認する必要があります。対応範囲外のサービスについては、各サービスの管理画面で手動確認するか、APIを使った独自のチェックスクリプトを用意する必要があります。
ServiceNow:是正プロセスを確実に完了させる追跡力
違反を検知しても、是正が完了しなければ意味がありません。ServiceNowはチケットの起票から完了までのライフサイクル管理に優れており、対応期限の自動通知、エスカレーションルールの設定、対応履歴の記録が標準機能で備わっています。監査対応時にも、いつ・誰が・何を是正したかの証跡をすぐに提示できます。
ServiceNowは高機能である反面、初期設定やカスタマイズにはある程度の学習コストがかかります。すでにServiceNowを導入している企業であれば追加モジュールとして活用できますが、未導入の場合は導入コストと運用体制の確保が必要です。中小規模の企業でServiceNowの導入が重い場合は、同様のチケット管理ができるより軽量なITサービス管理ツールで代替することも選択肢になります。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| ジョーシス | SaaS利用状況の自動収集とIT資産の可視化 | 無料枠あり | 1〜2週間 | Google WorkspaceやMicrosoft 365など主要SaaSとのAPI連携設定が必要。初回の棚卸し完了後は自動更新されるため運用負荷は低い。 |
| Admina | 複数SaaSのセキュリティ設定の横断チェックとポリシー違反検知 | 公式サイト参照 | 1〜2週間 | 対象SaaSの管理者権限での連携が必要。自社利用サービスがAdminaの対応範囲に含まれるか事前確認を推奨。 |
| ServiceNow | 是正依頼のチケット管理と対応完了までの追跡 | 要問い合わせ | 2〜4週間 | 既存導入済みの場合はインシデント管理モジュールの拡張で対応可能。未導入の場合は初期設定とワークフロー定義に時間を要する。 |
結論:クラウドの棚卸し・違反検知・是正追跡の3ステップを週次で回すことがセキュリティ統制の基盤になる
クラウドサービスのセキュリティ設定を全社で統一するには、高額なツールを一括導入するよりも、まず利用実態の可視化、ポリシーとの差分検知、是正の追跡という3つのステップを確実に回す運用サイクルを作ることが先決です。ジョーシスで棚卸し、Adminaで違反検知、ServiceNowで是正追跡という組み合わせは、IT部門が少人数でも週1〜2時間の運用で全社のセキュリティ統制を維持できる現実的な方法です。
最初の一歩として、ジョーシスの無料トライアルで自社のSaaS利用状況を可視化し、IT部門が把握していないサービスが何件あるかを確認してください。その数字が、全社セキュリティ統制の必要性を経営層に説明する最も説得力のある材料になります。
Mentioned apps: ジョーシス, ServiceNow
Related categories: IT資産管理ツール, ワークフローシステム
Related stack guides: 輸出管理教育の受講完了と実務権限を自動連動させ未受講者による誤申請を防ぐ方法, 該非判定の根拠資料が散逸して再現できない問題を解消し監査対応を万全にする方法, 補助金の変更申請と実績報告の整合性を保ち事後監査での指摘と返還リスクを防ぐ方法, パートナーへの変更依頼が社内承認後に正しく伝わらない問題を解消し手戻りとプロジェクト遅延を防ぐ方法, 付議基準の属人判断による上程漏れをなくし取締役会のガバナンスと議論の質を守る方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
