以前は、リスクを嫌う組織が、ビジネス ユーザーがコストのかかる間違いを犯す可能性を厳しく制限できる時代がありました。 限られた技術的ノウハウ、厳格な権限、追い風がないため、ビジネス ユーザーが実行できる最悪のことは、マルウェアをダウンロードするか、フィッシング キャンペーンに引っかかることでした。 そんな日々はもう過ぎ去りました。
今日では、 すべての主要なサービスとしてのソフトウェア (SaaS) プラットフォームがバンドルされています ビジネス ユーザー向けに設計され、直接販売される自動化およびアプリケーション構築機能を備えています。 Microsoft 365、Salesforce、ServiceNow などの SaaS プラットフォームが組み込まれています。 ノーコード/ローコード プラットフォーム 企業の承認を求めることなく、ビジネス ユーザーの手に直接渡せます。 以前は IT チームと開発チームだけが利用できた機能が、組織全体で利用できるようになりました。
Microsoft のローコード プラットフォームである Power Platform は Office 365 に組み込まれており、企業における Microsoft の強力な足場と、ビジネス ユーザーによる採用率が高いことから、好例です。 おそらく気付かないうちに、企業はこれまで以上に多くの人々に開発者レベルの力を委ね、セキュリティや技術的な知識がはるかに不足しています。 何がうまくいかない可能性がありますか?
実際、かなり多いです。 私の経験からいくつかの実例を見てみましょう。 情報は匿名化され、ビジネス固有のプロセスは省略されました。
状況 1: 新しいベンダーですか? 早くやれよ
ある多国籍小売企業のカスタマー ケア チームは、消費者のインサイトで顧客データを充実させたいと考えていました。 特に、最初の購入時であっても、より良いサービスを提供できるように、新規顧客に関するより多くの情報を見つけたいと考えていました。 カスタマー ケア チームは、協力したいベンダーを決定しました。 ベンダーは、エンリッチメントのためにデータを送信することを要求しましたが、そのデータはベンダーのサービスによって引き戻されます。
通常、ここで IT の出番です。 IT 部門は、ベンダーとの間でデータをやり取りするために何らかの統合を構築する必要があります。 このベンダーが顧客データを信頼して購入を承認できるようにするために、IT セキュリティ チームも関与する必要があることは明らかです。 調達と法務も重要な役割を果たしていました。 ただし、この場合、事態は別の方向に進みました。
この特定のカスタマー ケア チームは、Microsoft Power Platform の専門家でした。 リソースや承認を待つ代わりに、彼らは先に進み、自分たちで統合を構築しました。本番環境の SQL サーバーから顧客データを収集し、そのすべてをベンダーが提供する FTP サーバーに転送し、強化されたデータを FTP サーバーから取得して本番データベース。 新しい顧客がデータベースに追加されるたびに、プロセス全体が自動的に実行されました。 これはすべて、Office 365 でホストされ、個人アカウントを使用して、ドラッグ アンド ドロップ インターフェイスを介して行われました。 ライセンスは自己負担で支払われたため、調達はループから外れていました。
顧客データを AWS のハードコードされた IP アドレスに移動する一連のビジネス自動化を発見したときの CISO の驚きを想像してみてください。 Azure のみの顧客であるため、これは非常に危険なフラグを立てました。 さらに、安全でない FTP 接続でデータが送受信されていたため、セキュリティとコンプライアンスのリスクが生じていました。 セキュリティ チームが専用のセキュリティ ツールを使用してこれを発見したとき、データはほぼ XNUMX 年間、組織の内外を移動していました。
状況 2: ああ、クレジット カードを収集するのは間違っていますか?
大規模な IT ベンダーの人事チームは、従業員がお気に入りの慈善団体に寄付することを奨励する年 XNUMX 回の「Give Away」キャンペーンの準備をしていました。会社は、従業員が寄付したすべてのドルを一致させることで売り込みを行います。 前年のキャンペーンは大成功だったので、期待は屋根を越えていました。 キャンペーンを強化し、手動プロセスを軽減するために、クリエイティブな HR 従業員が Microsoft の Power Platform を使用して、プロセス全体を容易にするアプリを作成しました。 登録するには、従業員は会社のアカウントでアプリケーションにログインし、寄付金額を送信し、慈善団体を選択し、支払いのためにクレジット カードの詳細を提供します。
キャンペーンは大成功を収め、従業員による記録破りの参加と、HR 従業員による手作業はほとんど必要ありませんでした。 しかし、何らかの理由で、セキュリティ チームはこの結果に満足していませんでした。 キャンペーンに登録しているときに、セキュリティ チームの従業員は、クレジット カードが収集されているように見えないアプリで収集されていることに気付きました。 調査の結果、これらのクレジット カードの詳細が実際に不適切に処理されていることがわかりました。 クレジット カードの詳細は、既定の Power Platform 環境に保存されていました。つまり、すべての従業員、ベンダー、請負業者を含む Azure AD テナント全体が利用できました。 さらに、それらは単純な平文の文字列フィールドとして格納されていました。
幸いなことに、データ処理違反は、悪意のあるアクター (またはコンプライアンス監査人) が発見する前に、セキュリティ チームによって発見されました。 データベースがクリーンアップされ、規制に従って財務情報を適切に処理するようにアプリケーションにパッチが適用されました。
状況 3: Gmail だけを使用できないのはなぜですか?
ユーザーとして、企業のデータ損失防止制御を好む人はいません。 必要な場合でも、日常業務に煩わしい摩擦が生じます。 その結果、ユーザーは常にそれらを回避しようとしてきました。 創造的なビジネス ユーザーとセキュリティ チームの間の長年の綱引きの XNUMX つは、企業の電子メールです。 企業の電子メールを個人の電子メール アカウントに、または企業の予定表を個人の予定表に同期する: セキュリティ チームには、そのためのソリューションがあります。 つまり、メール セキュリティと DLP ソリューションを導入して、メール転送をブロックし、データ ガバナンスを確保しています。 これで問題は解決しますよね?
うーん、ダメ。 繰り返される発見 大企業と中小企業の両方で、ユーザーが電子メール制御をバイパスして会社の電子メールとカレンダーを個人アカウントに転送する自動化を作成していることに気付きました。 メールを転送する代わりに、あるサービスから別のサービスにデータをコピー アンド ペーストします。 個別の ID で各サービスにログインし、コードなしでコピーと貼り付けのプロセスを自動化することで、ビジネス ユーザーはセキュリティ コントロールを簡単に回避できますが、セキュリティ チームが簡単に見つける方法はありません。
Power Platform コミュニティは、 テンプレート すべての Office 365 ユーザーが取得して使用できます。
大力で大いなる責任を果たす
ビジネス ユーザーのエンパワーメントは素晴らしいものです。 ビジネス ラインは、IT を待ったり、開発リソースを求めて戦ったりするべきではありません。 ただし、ガイダンスやガードレールなしでビジネス ユーザーに開発者レベルの権限を与えるだけで、すべてがうまくいくと期待することはできません。
セキュリティ チームは、ビジネス ユーザーを教育し、アプリケーション開発者としての新しい責任を認識させる必要があります。たとえそれらのアプリケーションが「コードなし」で構築されていたとしてもです。 また、セキュリティ チームはガードレールと監視を導入して、ビジネス ユーザーが間違いを犯したときに、本格的なデータ リークやコンプライアンス監査インシデントに発展しないようにする必要があります。
