増大するシャドーITのコスト

無許可アプリケーションが収益に与える影響

シャドーITの蔓延とそれに伴うリスクの増大

シャドーIT（無許可のハードウェア、ソフトウェア、アプリケーション、サービスを組織内で使用すること）は、長らくIT担当者を悩ませてきました。COREの最近の調査レポートによれば、企業がリモートワークモデルを広く採用するようになってからシャドーITの使用が59%増と爆発的に増えており、ITチームの54％が、それに伴って自社の「データ漏えいリスクが大幅に高まった」と回答しています。

シャドーITの使用が増えている原因は何なのでしょうか。また、組織はどうすればシャドーITが持ち込むリスクから従業員とネットワークを保護できるのでしょうか。

シャドーITが増えた原因は、クラウドの採用が進んだことと、リモートワークが増えたことの2つです。今日の労働者は俊敏性が高く、分散していて、ITチームの監視や制御が完全には行き届かないロケーションやデバイスで稼働しています。オフィスワーカーでもリモートワーカーでも、従業員は仕事がしやすいツールを好むものです。そのツールが、ITチームの既承認アプリケーションリストと一致しない場合や、提供ツールのないギャップを埋めるために使われる場合は、トラブルが起こり勝ちです。

StratecastとFrost & Sullivanが実施した調査によると、従業員の80%がITチームの承認なくSaaSアプリケーションを使用し、企業ネットワークをさまざまなセキュリティ脅威や脆弱性に露出したといいます。

しかし、企業がシャドーITの蔓延を阻止するには、まず a）それによる損害、b）従業員がその使用を続ける理由、c）どういった検出ツールや回復ツールが役立つかを理解しなければなりません。

シャドーITの真のコスト

2021年に、IT管理会社のInsight Global でデータ漏えいがあり、ペンシルバニアの住民約7万人の個人情報が露出しました。この会社は同州の保健局から新型コロナウィルス感染症の接触追跡業務を受託しましたが、従業員が「『無許可の協働チャンネル』の一環として情報共有用のGoogleアカウントをいくつか開設」した際に、収集した情報の安全性が損なわれました。

ペンシルバニア州保健局は、漏れたデータが深刻な不正利用につながった事実は確認できなかったとしていますが、それでも、シャドーITで組織のセキュリティ体制がいかに簡単に弱体化するかを改めて浮き彫りにした事件でした。

ITチームは、従業員が使っているツールやアカウントを把握していなければ、機密データやリソースが企業の境界内に止まっているか確認しようもありません。ツールを評価してセキュリティ上問題があるかどうかを見極められず、適切なセキュリティ制御も、データ移動の監視と制限もできず、コンプライアンス要件を充たすことも、管理されていないアプリケーションやサービスに内在する脆弱性が引き起こすデータ漏えいや攻撃を想定して手を打つこともできません。

Insight Global のデータ漏えいは別としても、攻撃は回復に多くのコストと時間がかかるのが通常です（IBMによれば、データ漏えい1件あたりの平均コストは424万ドル）。安全性が損なわれたアプリやアカウントのことをITが知らない場合はなおさらです。Forbes Insightsの調査によると、調査対象企業の5分の1がシャドーITに起因するサイバー攻撃を受けており、ビジネスに大した影響なくサイバーインシデントから回復できる自信があると答えたのは回答者の半数以下でした。

シャドーITを野放しにすれば、サイバー攻撃のリスクが高まるだけでなく、その他のコストも上がります。リモートワークが拡大し、クラウドベースのツールやサービスが普及して、シャドーITの使用に関わる支出は大企業のIT支出の大きな割合を占めるようになっています。NetEnrichの調査では、IT意思決定者の59%が、ITの支出と予算超過が今後の大きな懸念だと答えています。

無許可のアプリケーションを使う理由

シャドーITの制御は、極めて勤勉なIT部門にとってさえ骨の折れるプロセスです。Productivによれば、企業は平均で270から364のSaaSアプリケーションを使用しており、その52%は無許可アプリだといいます。

シャドーITがもたらすリスクを特定して是正措置を講じるには、それでも従業員が使い続ける理由を企業がまず理解する必要があります。多くの場合、管理されていないツールやデバイス、アカウントの使用が大きなセキュリティギャップを生じさせることを、従業員は知りません。従業員がシャドーITを使う理由は通常、以下の3つのカテゴリーのいずれかです。

• 従業員は、便利かつ効果的で、業務上の特定目的を果たせるツールを使いがちで、必要なツールやリソースが企業から支給されなければ、従業員は自分で探し出します。IBMによると、Fortune1000企業の従業員の67%が、社内部門の明示的許可を得ていないSaaSアプリを使っています。

• 従業員は、シャドーITがもたらすサイバーセキュリティ上のリスクについて理解していないかもしれません。新しいツールにはITの承認が必要だということや、未承認のアプリやサービスをネットワーク内に持ち込むことのリスクがいかに大きいかを、従業員が知らない場合があります。

• ITの方針や承認プロセスが明確でないか、存在しない場合があります。IT部門の承認が、予算上、セキュリティ上、その他の理由で得にくかったり、時間がかかったり、無理だったりすることがあります。中には、アプリケーションの採用に関する方針が確立されておらず、従業員が事前にITへ届け出ずに新しいツールを使うことをうっかり勧めている企業があるかもしれません。

シャドーITのリスク軽減

シャドーITが蔓延し、しかも変化し続けているため、管理されていないツールやサービスの脆弱性を検出して対処する万能ソリューションはありません。しかし、蔓延とその影響を最小限に抑えるために企業が採用できる主要な戦略はいくつかあります。たとえば：

1. シャドーIT検出ソリューションの採用　Shadow IT Discoveryにより、IT部門は、ネットワーク上で使われているアプリケーションを、従業員が開示していないものも含めてすべて検出し、ログに記録できます。ITで承認済みのツールと未承認のツールをすべてカタログ化すれば、セキュリティ上の問題や設定ミスがないか評価でき、アクセスとデータ保護に関するポリシーをその前面に配置して、従業員のアクセスをより効果的に管理することができます。

2. サイバーセキュリティに関する従業員教育　未承認のツールやアカウントのリスクについて従業員を教育すれば、シャドーIT使用防止に大いに役立ちます。

3. シャドーITに関する社内方針の確立　新テクノロジーの使用に関する方針を策定して、それを全社に常に周知することにより、IT部門は新たなアプリやサービスを使用前に徹底検証し、シャドーITの拡大を効果的に鈍化ないしは阻止できます。また、企業が新たなアプリやツールの採用と管理について具体的な手順を確立することによって、従業員の不満は和らぎ、業務遂行に必要なツールをより効率的に使用できるようになります。

Cloudflareを使ったシャドーIT対策

シャドーITに対する効果的な防御は、Zero Trustから始まります。Zero Trustは、企業リソースへのアクセスを本質的に信頼して認められるユーザーもデバイスも存在しないという原則に立ったセキュリティモデルです。企業は、Zero Trustの制御を企業リソースの前に配置することにより、従業員が許可されたアプリケーションに許可されたアカウントからのみアクセスできるようにし、ユーザーが無許可アプリでデータを表示、共有、移動しにくくなります。

Cloudflare Zero Trustを使えば、IT部門が承認済みと未承認のアプリケーションについて完全な可視性を得て制御できるようになり、シャドーITのリスクやその他のセキュリティ上の懸念を最小限にすることができます。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事を読めば、以下が理解できます。

• シャドーITが59%増と爆発的に増えた理由

• 従業員の80%が無許可のSaaSアプリを使う理由

• 5社に1社がシャドーITに起因するサイバー攻撃を受けている状況

• シャドーITの使用を最小化するための3大戦略

関連リソース

• ソリューション概要：SaaSアプリケーションのためのZero Trust

• ブログ：Shadow IT Discoveryのご紹介

• Cloudflare Zero Trust

• ブログ：シャドーIT：ユーザーがルールに従いやすくする