シャドーITとは?
「シャドーIT」とは、組織の情報技術(IT)部門が把握することなく、組織内で許可されていないソフトウェア、ハードウェア、その他のシステムやサービスを使用することを指します。標準的なITインフラストラクチャとは異なり、シャドーITは組織内で管理されていません。
シャドーITは、さまざまな方法で組織に入り込みますが、通常、次の2つの行為のいずれかによって発生します。
- 企業データにアクセス、保存、共有するために承認されていないツールを使用する。 例えば、組織がファイル共有にGoogle Workspaceに限定して承認している場合、従業員がMicrosoft 365を介したファイル共有を選択することで、会社にシャドーITが入り込む可能性があります。
- 承認されたツールに不正な方法でアクセスする。 例を続けると、IT 部門が企業で管理されたアカウントでのGoogle Workspace の使用を承認している場合、従業員が代わりに管理されていない個人アカウントで Google Workspace にアクセスすることを選択することで、会社にシャドー IT を招き入れることになります。
シャドー ITを採択することが意図的なものであるか否かにかかわらず、深刻なセキュリティ上の問題とコストが発生します。データ漏えい 、窃盗、その他のサイバー攻撃のリスクを増大させる一方で、ITチームがこれらの被害を最小限に抑えるための重要な措置を講じることができなくなります。
ユーザーがシャドーITを採択する理由は?
シャドーITがもたらす無数のセキュリティリスクを考えると、従業員が新しいツールを採択する際にIT部門の承認を回避する選択をすることは意外に思えるかもしれません。その理由としては、次のようなことが考えられます。
- 従業員がシャドーITが抱えるセキュリティリスクに気づいていない。 従業員は、IT部門が設置した管理を意図的に回避するつもりはないかもしれないが、自分の行動が企業の機密データを危険にさらし、データ漏えいや攻撃のリスクを高める可能性があることを単に知らないだけである。
- 従業員が承認されていないツールを使用した際のメリットの方を重視している。 組織のIT部門によって明示的に承認されたものは、仕事に最適なツールではないかもしれません。そのため、従業員は、特定のビジネスニーズを満たしたり、市場での競争力を獲得したり、より効率的なコラボレーションを行うために、追加のサービスを採択することは、よくあります。
- 従業員が、悪意のある活動を行うために、承認されていないツールを使用する。 ほとんどの場合、シャドーITが悪意のある目的のために採択されていることはありません。しかし、従業員の一部には、データの盗用、機密情報へのアクセス、または組織にその他のリスクをもたらすために、承認されていないアプリケーションやツールを採択することがあります。
シャドーITのリスクとは?
シャドー ITは、一部の従業員にとっては仕事のやりやすさを生み出すかもしれませんが、そのメリットよりもデメリットの方がはるかに大きいと言えます。ツールやサービスが組織全体でどのように使用されているかをITチームが把握できない場合、シャドーITがどの程度組織に浸透しているか(企業データがどのようにアクセス、保存、転送されているか)を把握できない可能性があります。
シャドーITの利用は、ITチームがデータの管理や移動をコントロールできなくなる原因にもなります。従業員が承認されていないサービスを導入したり、承認されているサービスを承認されていない方法で操作すると、IT部門の適切な監督を受けることなく機密データを閲覧したり移動したりすることができてしまいます。このように可視性と制御性が欠如した結果、シャドーITは次のような追加のリスクを引き起こす可能性があります。
- 機密データの漏えいや盗難の可能性。 攻撃者は、クラウドで提供されているサービスの設定ミスや脆弱性を悪用し、その結果データ漏洩やその他のサイバー攻撃につながる可能性があります。これらの攻撃対象が、特に認可されていない(おそらく安全ではない)アプリケーションやツールである場合、IT部門の知らないうちに実行される可能性があります。また、これらの攻撃を修復するにはコストがかかります。IBMは、2020年の調査でクラウドの設定ミスが原因のデータ侵害にかかるコストは平均441万ドルであると推定しています。
- 組織が認識の無いままデータコンプライアンス法に違反する可能性。データ保護規制(例:GDPR)に準拠する必要がある組織にとって、データがどのように処理され、共有されているかを追跡し、管理する能力を有することは不可欠です。従業員が未承認のツールを使用して機密データを処理した場合、組織は気付かないままこれらの法律に違反する危険性があり、高額な罰則や罰金が科せられる可能性があります。
組織がシャドーITを検出、是正するには?
組織内のシャドーITの影響を最小限に抑えるために、ITチームがとれる手段はいくつかあります。
- シャドー IT検出機能を導入する。 シャドー IT発見ツールを使用すると、IT チームは、従業員が現在使用しているすべてのシステムやサービス — 承認済み・未承認も含む — を発見、追跡、分析することができます。その後、IT チームは、必要に応じてそれらのツールの使用を許可、制限、またはブロックするためのポリシーを作成することができます。
- クラウド・アクセス・セキュリティ・ブローカー(CASB)を使用する。 CASBは、シャドーITの発見、アクセス制御、データ損失防止データ(DLP)、ブラウザの分離などを含むバンドルされたセキュリティ技術によって、クラウドで提供されているアプリケーションとサービスを保護するのに役立ちます。
- 従業員向けのリスクマネジメント研修を充実させる。 従業員は、シャドーITのセキュリティリスクを認識していない可能性があります。ベストプラクティスに関するユーザのトレーニング(個人の電子メールを使って企業のリソースにアクセスしない、許可されていないハードウェアやソフトウェアの使用があれば開示する、データ漏えいを報告するなど)は、データの安全性が損なわれることや盗難の可能性を回避するのに役立ちます。
- 従業員が必要とするツールについてコミュニケーションをとる。 従業員は、どのツールが自分の仕事に最適かを知っていることが多いにもかかわらず、予算の制約やその他の懸念から、IT部門に明確な承認を求めることに抵抗を感じることがあります。これらについて対話を始め、(すでにシャドーITを採択している場合は)「咎めない」文化を取り入れることで、よりオープンで安全な職場環境を促進することができます。
シャドーITポリシーとは?
シャドーITポリシーとは、組織内で新しいハードウェアやソフトウェアを採択、承認、管理するための規約を確立するためのものです。IT部門はこれらのポリシーを作成し、進化するセキュリティリスクや企業のニーズに応じて適応させることができます。
シャドー IT ポリシーは、承認されていないツールが導入されることを回避しながら、組織内のシステムおよびサービスを制御・管理するために必要なステップのうちの 1 つです。しかし、多くの組織では未だにシャドーITポリシーが標準化されていません。Entrustは、米国のIT専門家1,000人を対象とした調査で回答者の37%が、シャドーITを使用した場合の明確な対応が組織にないと回答していることを明らかにしました。
CloudflareはシャドーITからどのように保護するのか?
CloudflareのZero Trust セキュリティスイートは、IT部門が組織全体で認可されていないツールを簡単に発見、カタログ化、管理するのに役立ちます。CloudflareがシャドーITを検出する方法についてご覧ください。