USB型LANアダプターが管理しきれない!複雑化するシャドーITの対策とは?



管理者が把握していないIT機器やクラウドサービスを使用する「シャドーIT」の問題は、多くの企業で発生していると言われています。誰でも簡単にITを活用できる時代になり、シャドーITがさらに増加していることは、管理者にとっては頭の痛い問題です。
中でも機器のシャドーITはすぐにでも取り組むべき問題ですが、社内の全ての拠点においてネットワークに接続する機器を常に把握するのは、管理者にとって大変手間のかかる作業です。このような問題を解決するために多くのツールが誕生しましたが、複雑なシャドーITに対応しきれなくなっているケースも見受けられます。そこで今回の記事では、シャドーITが複雑化する要因とその対策についてご紹介します。





シャドーITとは?放置すると危険な理由


IT活用により新たな価値を生み出す取り組みとして「DX(デジタルトランスフォーメーション)」が推進され、どの企業・組織においてもIT活用は不可欠なものとなっています。あらゆる事業活動にITが活用されることで、ネットワークにはPCだけでなくスマートフォンやIoT機器等、多種多様な機器が接続されるようになりました。BYOD(Bring Your Own Device)を導入し、私物のスマートフォンが接続されているケースも少なくありません。

こうした流れの中で発生しているのが、許可されていないIT機器やクラウドサービスを使用する「シャドーIT」の問題です。シャドーITを放置すると、不正アクセスや情報漏えいのリスクが高まり非常に危険です。特に機器のシャドーITについては最優先で対応する必要があります。


アメリカのセキュリティ非営利団体であるCISでは「CIS Controls」というセキュリティ対策のガイドラインを公開しています。「CIS Controls」では「18のコントロール」が定義されていますが、その中で最初に挙げられているのが「組織の資産のインベントリと管理」、つまりIT資産管理です。※

なぜIT資産管理が優先されるかというと、管理されていない機器は守ることができないからです。攻撃者は様々な手口でネットワークに侵入しますが、その入り口となるのがネットワークに接続されている機器です。攻撃者は機器にマルウェアを感染させ、他の機器に拡散させていくことで、情報を窃取したり暗号化して復号するための身代金を請求したりします。

このような被害を防ぐには機器の脆弱性をなくし、感染をいち早く検知して被害を局所化する必要がありますが、シャドーITを防いでこそ実現できることです。


※出典:CIS|CIS Controls(外部リンク)



接続機器の多様化でシャドーITが増加!IT資産管理が困難に




機器のシャドーITを防ぐには、現状でネットワークにどのような機器が接続されているかを把握し、新たに接続する機器を日々チェックする必要があります。しかし多くの企業では拠点の追加や移転、組織再編、工場のライン変更によるレイアウトの変更、といったことが日々発生し、ネットワーク構成が頻繁に変更されています。この状況の中でネットワークに接続されている機器を全て把握するのは、管理者にとって至難の業です。

煩雑な管理の問題を解決するために誕生したのが、ネットワークに接続されている機器を自動で検知し不正接続を防止するツールです。機器にエージェントを常駐させる必要がないため、プリンターやルーターといった端末以外の機器も漏れなく管理できます。

このようなツールでは、機器を識別する手段としてMACアドレスを使用しています。MACアドレスはネットワークインターフェースが持つハードウェア固有の番号で、本来は通信主体を識別するためのものです。このMACアドレスの特性を活用してネットワークに接続する機器を識別し、機器を漏れなく検出する仕組みになっています。

しかし最近では、接続機器がさらに多様化したことで、MACアドレスだけでは全ての機器を識別できないという問題が発生しています。正確なIT資産管理を行うことがますます困難になり、さらなる対策が必要になりました。



シャドーITが複雑化した要因とは




シャドーITを複雑化させる要因のひとつが、MACアドレスで機器を識別できないケースの発生です。MACアドレスで機器を識別できない理由として、次の2つがあります。


ランダム化されたMACアドレスの使用
従来のMACアドレスは固有の番号が割り振られていましたが、セキュリティやプライバシーの観点から、端末にランダム化されたMACアドレスが搭載されるようになりました。
MACアドレス自体は使用するネットワーク機器につけられた一意の番号なので、MACアドレスが知られたからといって個人を特定できるものではありません。しかし、最近では外出先の施設にある公衆Wi-Fiからインターネットに接続する機会も増えました。Wi-Fiスポットに接続すると、端末のMACアドレスがWi-Fiサービスを提供する事業者に観測されます。そのため、固定のMACアドレスを使用していると、利用者を識別して追跡できてしまいます。このような問題を解決するためにMACアドレスをランダムに変化させる機能が搭載されるようになりました。
ランダム化すると、機器の特定が困難となり、公衆Wi-Fiからインターネット接続をしてもユーザー情報や追跡を防ぐことができます。iOS 14以降や、Android 10以降のバージョンにおいては、初期設定でMACアドレスがランダム化される仕様が採用されています。

USB型LANアダプター・Dockコネクターの共有利用
機器の識別ができなくなるもうひとつの要因が、USBやDockコネクターでLANアダプターに接続するケースが増えてきたことです。Wi-Fiでの接続が普及したため、最近発売されるPCの多くはLANポートがついていません。LANポートのないPCを社内ネットワークに接続するために、やむなくLANアダプターを使用しているケースも増えています。LANアダプターは複数の機器で共有できるため、MACアドレスでは機器の識別ができません。
このケースでは、許可されていない機器をネットワークに接続できてしまいます。脆弱性の残る端末を接続されたとしても管理者が把握することができません。

今後も接続する機器は多様化していくことが予想されます。変化の激しいIT環境で機器を正確に管理するためには、ツールの対応力も重要なポイントになると言えるでしょう。



iNetSec SFの機能「シャドーITデバイス検知機能」


「社内のネットワークに許可されていない端末がどんどん増えているのではないか」という不安をお持ちの方も多いのではないでしょうか。そこで複雑化するシャドーITへの対策として、手軽に導入できるiNetSec SFをご紹介したいと思います。

iNetSec SFは、ネットワークに接続するあらゆるIT機器を「検知・遮断・管理」する不正接続防止ツールです。社内ネットワークに接続される様々な機器を検知し、接続が許可されていない不正な端末を遮断します。また、機器の利用申請・承認を電子化することで、管理者の運用負荷を削減できます。

iNetSecシリーズでは基本的にMACアドレスをもとに機器を識別しますが、今回ご紹介したようなMACアドレスでは識別できないケースにも対応しています。


ランダム化されたMACアドレスの検知
ランダム化されたMACアドレスで機器が接続されたことを把握し、遮断することができます。さらにユーザーへのアラートメッセージの中で機器固有のMACアドレス(グローバルアドレス)での接続を促すことができます。

シャドーITデバイス検知機能
MACアドレス、NetBIOS名など複数の要素で機器個体を識別し、複数人でLANアダプターを共有していた場合は管理者に通知します。サービスによっては検知するために専用ソフトが必要な場合がありますが、iNetSec SFでは専用ソフトを導入する手間がありません。

接続機器が多様化する中、iNetSec SFは運用者がIT環境を容易に把握ができるよう、常に新しい機器の識別に取り組んできました。ダッシュボードやレポートなど、管理者が簡単にネットワークの全容を把握できる機能も充実しています。
シャドーITを防ぎ安全なネットワーク環境を保つために、iNetSec SFをぜひご検討ください。





商標について
iOSは、Apple Inc.の商標です。
Androidは、Google LLC.の商標または登録商標です。

前の記事へ