シャドウIT
クラウドコンピューティングの登場により、ITのエンドユーザーが従来の調達手続きを回避し、業務に必要なツールへアクセスしやすくなりました。情報技術の監視や厳格なガバナンス基準は、個々の利用者の要求よりも、企業自体のセキュリティを重視して策定されます。
その結果、公式のIT部門の管轄外で必要なITソリューションにアクセスする手段として「シャドウIT」が生まれました。本記事では、その概念とIT管理への影響について解説します。
シャドウITの定義
IT部門の許可なく企業ネットワーク上で利用されるシステムやIT資材全般を指します。通常、IT部門が認識しておらず、監視もされていません。作業ファイルの保存にDropboxやUSBメモリを使用したり、WebExの代わりにSkypeで会議を行ったり、IT部門の承認なしにSlackグループを作成したりするケースが含まれます。
ウイルスやハッカーが仕込んだ資産は除外され、ネットワークで認可されたエンドユーザーの非公式な資産のみが対象です。
エンドユーザーやチームは、IT部門の許可を得ずに利用できたり、自身のニーズに適していると考えたりするためにシャドウITを使用します。しかしながら、その利点にもかかわらず、大きなセキュリティリスクを伴います。チームはシャドウIT資産を把握せずリスクに対処できないため、ハッカーにとって格好の標的となります。RandoriのAttack Surface Management 2022レポートでは、昨年約7割の企業がシャドウITによる被害を受けたとされています。
従業員がシャドウITを利用する理由
効率向上が、従業員がシャドウITを使用する主な動機です。2012年のRSA調査では、35%の労働者が業務遂行のためにセキュリティ対策を回避せざるを得なかったと回答しています。たとえば、公式に認められたものよりも優れたファイル共有アプリを見つけた場合、その利用がグループ全体に広がる可能性があります。
このリスクの増加は、クラウドベースの一般向けアプリの普及に起因しています。既製ソフトの時代は終わり、SlackやDropboxのような業界標準サービスへの即時アクセスが可能な時代となりました。また、BYOD(私物端末持ち込み)の普及により、従業員が会社支給ではなく自分のスマートフォンやパソコンを仕事に用いるケースも増えています。
ITデバイスのセキュリティリスク
多くの利点がある一方で、未承認のソフト、ハード、ネットワークの利用はサイバー犯罪者に狙われる恐れがあるため、企業はこの脅威を軽視できません。シャドウITは企業にとって増大するリスクとなるため、対策が必要です。想定される危険は以下の通りです。
- 可視化と管理
「見えないものは守れない」という諺がある通りです。
シャドウITは本来、ITセキュリティの管理対象外であるため、脆弱性や設定不備、ポリシー違反が見過ごされやすくなります。
ユーザーが自由に資源を手配できると作業効率は上がりますが、安全性が損なわれるリスクも伴います。視認性を損なわずに機敏さを保つため、資源提供の権限を分散させる工夫が求められます。
- データの破損
シャドウITのもう一つの問題は、個人アカウントに保存されたデータや資産への全社的なアクセスが限定される点にあります。従業員が退職や解雇された場合、個人はクラウド資産へのアクセスを維持できても、企業側はアクセスを失う恐れがあります。
さらに、シャドウITは企業のポリシーや手順に沿って管理されていないため、クラウド上のデータがバックアップされたり保存・暗号化されたりしていない可能性もあります。
- 攻撃対象面の拡大
データ損失は重大な懸念事項ですが、データ窃盗のほうがさらに大きな脅威となりえます。
各々のシャドウITは組織全体の攻撃対象面を広げます。これらの資産は、EDR(エンドポイント検知と対応)や次世代アンチウイルス(NGAV)、脅威インテリジェンスといったセキュリティ対策で守られておらず、IT部門やサイバーセキュリティチームの視界に入っていません。
また、これらのサービスは弱いまたは初期設定の認証情報で構築されていることが多く、システム障害が起こりやすい状況にあります。そのため、攻撃者により企業ネットワーク全体への侵入手段として悪用されるリスクがあります。
- システムの欠陥
状況を一層複雑にします。企業が従業員に十分な資源を提供せず、自己調達に頼ると、インフラ整備や新たなスキル・手順への投資が控えられる可能性があります。
また、データの一元管理が行われないため、分析や報告に誤りや不整合、漏れが生じ、データ品質の低下やコンプライアンス上の問題につながる恐れがあります。
- コスト
シャドウITは短期的には従業員の経費削減につながる場合もありますが、長期的あるいは全社的に利用する場合、コスト効率が悪くなることがあります。個人向けクラウドストレージサービス(ヴァーチャルクラウドやハイブリッドクラウド)を企業向けに拡張すると、企業専用のサービスに比べて非常に高額となります。
さらに、コンプライアンス違反による罰金やペナルティ、情報漏洩による評判の低下、そしてサービス移行や廃止のための迅速かつ大規模なITサポートなど、間接的なコストも発生します。
シャドウITの例
未承認のサードパーティ製ソフト、アプリ、サービスが最も身近なシャドウITの例です。一般的な例は以下の通りです。
- TrelloやAsanaなどの生産性向上用アプリ
- Dropbox、Google Docs、Google Drive、Microsoft OneDriveなど、クラウドストレージやファイル共有、文書作成のためのサービス
- Skype、Slack、WhatsApp、Zoom、Signal、Telegramなどのコミュニケーション・ネットワーキングアプリおよび個人メールアカウント
これらのクラウドサービスやSaaSは使いやすく、無料または低価格なため、チーム内で急速に広がることがあります。従業員は自宅で利用しているアプリを業務にも持ち込み、顧客やパートナー、サービス提供者がプロジェクト協働のための生産性向上アプリの利用を促す場合もあります。
また、従業員のスマートフォン、ノートパソコン、USBメモリや外付けハードディスクなどもシャドウITに含まれます。BYODプログラムの下、従業員は私物端末を利用して企業資源にアクセス、保存、送信するため、従来の資産管理システムではこれらの検出や監視が困難です。
シャドウITの利点
生産性とチームワークは、シャドウITポリシーにより大いに向上します。企業のリーダーは、従業員の創造性が迅速で柔軟、かつ革新的な文化を育む上で欠かせないと認識しています。
このシャドウITの利点を活かし、ネットワーク管理者は以下の方法で企業資産を守ることが可能です。
- テクノロジー導入プロセスを効率化し、ボトルネックを解消
- セキュリティツールでシステムのアクセス権を管理
- 承認済み・非承認アプリへの全データ転送を監視する仕組みを整備
- 従業員にシャドウITに伴うサイバーセキュリティリスクの認識を促す
- リスク対応の効果的な手法を構築し、生産性と企業情報の守護を両立
シャドウITのリスク管理
このリスクの除去は従業員ではなく、企業自身が担うべき課題です。従業員の満足度を維持するため、企業は彼らの要求を把握し、承認および資源提供の手順を合理化する必要があります。
先進的な企業でもシャドウITは一定数存在するのは避けられません。したがって、これらの実態を確実に把握し、リスクに対処するための体制を整える必要があります。以下は、シャドウITの監視を実施して影響を軽減するための対策の例です。
- 企業全体の定期的かつ徹底した監査により、組織やチームのニーズを把握する
- 最新技術を用いてネットワークを途切れず監視し、全機器・アプリ・システムを可視化・管理する
- 全従業員と情報を共有し、連携および教育を行い、安全なツール利用と新サービスの提供を促進する
- セキュリティ体制、ポリシー、コンプライアンスを策定・実施する
- リスク評価と是正措置の優先順位付けのための戦略を確立する
FAQ
References
Subscribe for the latest news
.jpeg)
.jpeg)
