シャドーITとは？リスクと対策

シャドー ITは、組織とそのIT部門にとって重大な課題をもたらします。シャドー ITに伴うセキュリティ リスクやコンプライアンス リスクに対処するには、戦略的なアプローチが必要であり、同時に、従業員に適切なツールやテクノロジーを提供して能力を強化する必要性とのバランスを取る必要があります。

シャドーITとは？

シャドー IT（シャドウIT）とは、組織内でIT部門の認識や承認なしに、ハードウェア、ソフトウェア、またはクラウドサービスが使用されることを指します。シャドーITは通常、従業員が公式のIT調達および承認プロセスを経ずに、より効率的または便利に業務を行うために、承認されていないアプリケーション、デバイス、またはクラウド サービスを使用する場合に発生します。

シャドー ITには、個人用デバイス、ファイル共有ツール、メッセージング アプリ、生産性向上ソフトウェア、その他組織のITチームが管理またはサポートしていないクラウドサービスの使用が含まれます。

クラウド コンピューティングの台頭とITのコンシューマライゼーションは、シャドー ITの急増に寄与しています。なぜなら、従業員が特定のニーズを満たすために、幅広いセルフサービス テクノロジーに容易にアクセスできるようになったためです。シャドー ITは従業員の生産性やイノベーションを向上させる可能性がある一方で、承認されていないテクノロジーは承認済みのITシステムと同じセキュリティ対策や管理下にない可能性があるため、組織にとって重大なセキュリティ リスクやコンプライアンス リスクももたらします。

シャドーITの例

シャドー ITは、従業員が生産性や効率を向上させるために承認されていないテクノロジーを探し求める中で、組織内にさまざまな形で現れる可能性があります。シャドー ITの一般的な例としては、次のようなものがあります。

承認されていないクラウド アプリケーションとサービス

従業員は、IT部門の認識や承認なしに、Slack、Trello、Dropbox、Google Driveなどのクラウド ベースの生産性向上ツール、コラボレーション ツール、またはファイル共有ツールに個人アカウントを使用する可能性があります。これは、機密性の高い企業データが組織の安全な環境外で保存および共有される可能性があることを意味します。

BYODの慣行

従業員は、組織のデバイス管理およびセキュリティポリシーを回避して、個人のノートPC、タブレット、スマートフォン、その他のデバイスを使用して企業リソースにアクセスし、業務関連タスクを実行する可能性があります。BYODにより、脆弱性がもたらされ、ITチームがテクノロジー環境全体を管理することがより困難になる可能性があります。

承認されていないソフトウェアのインストール

従業員は、ワークフローを効率化するために、会社支給または個人のデバイスに、メッセージングアプリ（WhatsAppなど）、生成AIツール、その他の生産性向上 アプリケーションなど、承認されていないソフトウェアをインストールする可能性があります。これらの承認されていないアプリケーションは、組織の承認済みソフトウェアと同じセキュリティ管理やパッチ管理 プロセスの対象とならない場合があります。

不正なITプロジェクト

場合によっては、従業員または部門全体が、ITチームの認識や承認なしに独自のITプロジェクトを開始したり、新しいテクノロジーを取得したりすることがあります。これにより、組織の既存インフラストラクチャと統合されていないシステムやアプリケーションが導入され、運用上の非効率性やセキュリティ リスクが生じる可能性があります。

承認されていないデータの保存と共有

従業員は、組織のデータガバナンスおよびセキュリティポリシーを回避して、個人のメール アカウント、USBドライブ、またはその他の承認されていないファイル共有方法を使用して企業データを保存および送信する可能性があります。これにより、機密情報に対する管理が失われ、データ侵害やコンプライアンス違反のリスクが高まる可能性があります。

シャドー ITは、多くの場合、従業員の生産性と効率性を向上させたいという願望によって、組織内にさまざまな形で出現する可能性があります。しかし、これらの承認されていないテクノロジーを使用すると、組織は重大なセキュリティ、コンプライアンス、および運用上のリスクにさらされる可能性があるため、包括的なシャドー IT 管理戦略を通じて対処する必要があります。

シャドーITの種類

組織内には、複数の種類のシャドー ITが出現する可能性があります。

• SaaSアプリケーション: 従業員はITチームの認識や承認なしに、生産性向上ツール、コラボレーション プラットフォーム、ファイル共有 サービスなどのクラウドベースのSaaS（Software-as-a-Service）アプリケーションを導入することがあります。これらの承認されていないSaaSアプリは、適切なアクセス制御、セキュリティ対策、データ ガバナンス ポリシーが欠けている可能性があります。
• 個人用デバイスとメールアカウント: 従業員は組織のセキュリティポリシーと管理を回避して、個人のノートPC、タブレット、スマートフォン、またはメールアカウントを使用して企業データにアクセス、保存、または共有する場合があります。これはデータ漏洩やコンプライアンス問題につながる可能性があります。
• 仮想マシン: 従業員がIT部門の認識や監督なしに、デスクトップ、サーバー、またはクラウド上に仮想マシンを作成して使用するかもしれません。仮想マシンの使用により、脆弱性、デフォルト アカウント、不適切な設定管理が生じる可能性があります。
• シャドー IoTデバイス: シャドーIoTデバイスには、フィットネストラッカー、カメラ、プリンター、さらには一部の医療機器など、従業員がIT部門の認識や承認なしに職場に持ち込むスマートデバイスが含まれます。これらのデバイスは脆弱性をもたらし、脅威アクターが企業ネットワークにアクセスするための潜在的な経路を提供する可能性があります。
• 不正なネットワーク サブネット: 多くの場合、オフィスの拡張や企業買収によって、組織全体のネットワーク インフラストラクチャに適切に管理または統合されていない新しいネットワーク サブネットが追加されることがあります。これらのシャドーサブネットは、死角やセキュリティ リスクを生み出す可能性があります。
• 承認されていないネットワーク ハードウェア: 従業員がITチームの認識や承認なしに、コンシューマー グレードのWi-Fiアクセス ポイント、プリンター、カメラ、その他のハードウェアなどのデバイスを企業ネットワークに接続するかもしれません。これらの管理されていないデバイスは、組織を潜在的な脆弱性やセキュリティ侵害にさらす可能性があります。

さまざまな種類のシャドー ITを理解することで、組織は関連するリスクを特定、管理、軽減するための、より的を絞った戦略を策定できます。

シャドーITの管理

次に、シャドー ITを効果的に管理し、そのリスクを軽減するためのベスト プラクティスをお伝えします。

可視性の確保

最初のステップは、組織におけるシャドー ITの利用状況に対する可視性を確保することです。専用ツールを使用してネットワークおよびクラウド環境を継続的に監視し、承認されていないアプリケーション、デバイス、サービスを特定できます。シャドー IT資産の包括的なリストを持つことで、組織は問題の範囲をよりよく理解し、軽減策に優先順位を付けることができます。

明確なポリシーと ガイドラインの確立

組織は、職場でのテクノロジー利用に関する明確なポリシーとガイドラインを策定し、伝達する必要があります。これらのポリシーでは、従業員が使用できる承認済みのソフトウェア、ハードウェア、クラウド サービス、および新しいテクノロジーを要求して承認を得るプロセスを概説する必要があります。

承認済みツールによる従業員の支援

従業員がシャドー ITに頼る必要性を減らすために、組織は、従業員が生産性やコラボレーションのニーズを満たす、承認およびサポートされたツールの包括的な一連のツールにアクセスできるようにする必要があります。従業員に適切なツールとリソースを積極的に提供することで、組織は従業員が承認されていない代替手段を探す動機を最小限に抑えることができます。

セキュリティ管理の導入

組織は、承認済みおよび承認されていない両方のテクノロジーを保護するために、多要素認証、暗号化、アクセス管理などの堅牢なセキュリティ管理を導入する必要があります。さらに、既知の脆弱性を軽減するために、すべてのデバイスとアプリケーションに適切にパッチが適用され、更新されていることを確認する必要があります。

従業員の教育とトレーニング

継続的な従業員教育とセキュリティ意識向上 トレーニングは、シャドー ITを管理するために不可欠です。従業員には、シャドー ITに関連する潜在的なリスク、および新しいテクノロジーを要求して使用するための承認されたプロセスを認識させる必要があります。定期的なセキュリティ意識向上トレーニングは、フィッシング攻撃やデータ侵害などの潜在的な脅威を従業員が認識し、回避するのにも役立ちます。

従業員との連携

高圧的なアプローチを取るのではなく、組織は従業員と協力して、彼らのテクノロジーニーズを理解し、要件を満たす承認済みソリューションを見つける必要があります。協力的なアプローチは、信頼と透明性の文化を育むのに役立ち、従業員がIT部門と協力して自らのテクノロジーニーズに対処できると感じられるようになります。

これらのベストプラクティスを実践することで、組織はシャドー IT活動に対する管理を強化し、関連するリスクを軽減し、従業員がより効率的かつ安全に業務を行えるよう支援することができます。

シャドー itのリスクと問題点

組織におけるシャドー ITの蔓延は、対処すべきさまざまな重大なリスクや問題を引き起こす可能性があります。

セキュリティリスク

IT部門の管理外にある承認されていないアプリケーションやデバイスを使用すると、重大なセキュリティ脆弱性が生じる可能性があります。これらの不正なテクノロジーは、承認された企業システムと同じセキュリティ管理、暗号化、またはアクセス管理 プロトコルを備えていない可能性があり、組織を潜在的なデータ侵害、マルウェア感染、その他のサイバー脅威にさらす可能性があります。シャドー ITの利用状況に対する可視性がなければ、組織のアタックサーフェスは拡大し、セキュリティ インシデントの検出と対応がより困難になります。

コンプライアンス違反

多くの業界では、機密データの取り扱いと保存に関して厳しい規制要件が課せられています。従業員が承認されていないアプリケーションやクラウド サービスを使用して企業データを保存または共有する場合、組織はHIPAA、GDPR、PCI-DSSなどの関連法規へのコンプライアンス違反のリスクにさらされる可能性があります。シャドー ITの使用は、組織がこれらのコンプライアンス基準に違反した場合、高額な罰金、法的罰則、風評被害につながる可能性があります。

データガバナンス

従業員が個人用デバイスや承認されていないクラウド ストレージに機密情報を保存する可能性があるため、シャドー ITは企業データに対する管理の喪失につながる可能性があります。これにより、組織が適切なデータガバナンス、バックアップ、ディザスタリカバリ手順を維持することが困難になり、データ損失や漏洩につながる可能性があります。さらに、複数の調整されていないアプリケーションを使用すると「データのサイロ化」が生じ、組織の情報資産の包括的なビューを得ることが困難になります。

管理上の問題

多くの従業員は、善意から企業環境にクラウド アプリを導入します。彼らは優れたアプリを発見し、それを使用して同僚と共有します。しかし、IT部門はその存在を知らないため、承認していません。

ITチームは、ネットワーク上に管理可能かもしれない20または30程度のシャドー アプリが存在すると考えているかもしれません。しかし、シャドー IT検出チェックを実行すると、存在すら知らなかったそのようなアプリケーションが1,300個も見つかり、衝撃を受けます。ネットワーク上の未知のアプリが多ければ多いほど、シャドー ITによるリスクは増大します。そして、知らないものを保護することはできません。

運用上の非効率性

シャドー ITの蔓延は「アプリスプロール」につながる可能性があり、異なる部門や個人が知らずに重複または類似のソフトウェア ソリューションを取得してしまいます。その結果、組織がこれらの異種システムを管理および維持するのに苦労するため、時間、費用、リソースが無駄になります。さらに、シャドー ITアプリケーションと承認された企業システム間の統合の欠如は、コラボレーションと生産性を妨げる可能性があります。

人材管理の課題

従業員が承認されていないテクノロジーを使用すると、組織のテクノロジー 環境の管理とサポートにおいて困難が生じる可能性があります。ITチームは、これらの承認されていないアプリケーションに対して適切なサポートとトレーニングを提供するのに苦労する可能性があります。シャドー ITソリューションを担当していた従業員を失うと、組織に知識のギャップと運用上の混乱が残される可能性があります。

シャドーITの利点

シャドー ITは組織に重大なリスクをもたらしますが、考慮すべき利点もあります。

• 好みのツールやアプリケーションの使用を許可することで、従業員の生産性と効率が向上する
• 中央のIT部門の関与なしに、無料または低コストのクラウドサービスを活用することで、ITコストが削減される
• 従業員が革新し、業務上の課題に対する創造的な解決策を見つけることができるようになる
• 従業員が基本的なサービスをセルフ プロビジョニングできるようにすることで、限られたITリソースを最適化できる
• クラウドツールの使用を通じて、コミュニケーションとコラボレーションが改善される

これらの利点は魅力的かもしれませんが、組織はシャドー ITに関連する重大なセキュリティ、コンプライアンス、および運用上のリスクと比較検討する必要があります。従業員の能力強化とテクノロジー環境の管理維持との間で適切なバランスを取るには、包括的なシャドー IT 管理戦略が必要です。

シャドーITの脅威

今日のクラウドファースト社会では、IT部門から承認されたアプリと未承認のアプリ（シャドーIT）への、社員のアクセスを管理することが今まで以上に重要になってきています。多くの企業では、推定平均1,000のクラウドアプリが利用されています。そのアプリのうち一部には、重大なセキュリティの穴が生じ、企業にリスクを与え、コンプライアンスの規則や義務に違反します。シャドー ITの広範な使用は、多くのサイバーセキュリティ上の脅威をもたらします。以下にその脅威を示します。

• 組織のIT環境におけるアタックサーフェスの拡大と可視性の低下による、サイバー犯罪者による脆弱性の悪用と不正アクセスの容易化
• 安全でないクラウド アプリケーションやファイル共有ツールの使用による、個人を特定できる情報（PII）、財務記録、知的財産などの機密性の高い企業データの侵害と漏洩
• 承認されていないデバイスやアプリケーションは、承認されたITシステムと同じセキュリティ プロトコルやウイルス対策保護の対象とならない可能性があるため、マルウェア感染や組織ネットワーク全体へのサイバー脅威の拡散の可能性
• 従業員がシャドー ITアプリケーションのログイン資格情報を安全でない場所に保存することによる、資格情報の盗難と企業システムおよびリソースへの不正アクセス
• 不満を抱いた、または不注意な従業員がシャドー ITを使用してセキュリティ管理を回避し、機密情報を盗む可能性があるため、内部脅威と情報漏洩の可能性
• IT部門がこれらの承認されていないアプリケーションに対して適切なサポートとメンテナンスを提供するのに苦労する可能性があるため、サポートされていないテクノロジーの使用による運用の混乱と生産性の損失

一般的なシャドーITの一例には、社員がサードパーティアプリに広範なOAuthのアクセス許可を与えてしまうことがあります。EUにおいては、このような行為が意図せずしてGDPR(General Data Protection Regulation: 一般データ保護規則)などのデータ保管に関する規則に違反してしまいます。さらに、攻撃者は誰かをだまして広範なアクセス権限を得るために、標的が承認を得て使用しているSaaSアプリであり機密データを含むMicrosoft 365、Google Workspace、Boxに対して、サードパーティのアドオンやソーシャルエンジニアリングを使います。

シャドーITの増加要因

いくつかの主要なトレンドと統計は、組織内でシャドー ITが増加していることを示しています。以下は、シャドー ITが増加している最も説得力のある要因です。

• リモートワークと ハイブリッドワークへの移行: COVID-19パンデミック中のリモートワークおよびハイブリッドワークへの世界的な移行は、シャドー IT増加の主な要因となっています。従業員が在宅勤務する中で、生産性とコラボレーションを維持するために、しばしばIT部門の認識や承認なしに、新しいクラウドベースのツールやアプリケーションを探し求めてきました。
• 経験豊富なリモートワーカーの65%がシャドー ITを使用: データによると、パンデミック以前からリモートワークをしていた従業員の65%が現在何らかの形のシャドー ITを使用しているのに対し、パンデミック後にリモートワークを始めた従業員ではわずか31%です。これは、従業員がリモートワークに慣れるほど、承認されていないテクノロジーを採用する可能性が高くなることを示唆しています。
• デジタル トランスフォーメーションの加速: リモートワークやオンラインビジネス運営をサポートするための急速なデジタル トランスフォーメーションの必要性により、多くの組織が新しいクラウドベースのツールやサービスを迅速に導入するようになりました。しかし、これは多くの場合、ITチームがこれらのテクノロジーを適切に審査し承認する能力を上回っており、シャドー ITの蔓延につながっています。
• 平均的な企業で使用されるクラウド アプリの97%がシャドー IT: Netskopeの調査によると、平均的な企業内で使用されるクラウド アプリケーションの97%が、中央のIT部門によって承認されていないシャドー ITであると見なされています。この結果は、多くの組織が直面しているシャドー ITの課題の規模を浮き彫りにしています。
• 生産性と効率性への欲求: 従業員は、承認された企業のツールよりもユーザー フレンドリーで効率的、または特定のニーズにより適していると認識するため、しばしばシャドー ITソリューションに頼ります。
• オフィスワーカーの60%が、IT部門とのやり取りよりも簡単だからという理由でシャドー ITを使用: 統計によると、オフィスワーカーの約60%は、会社のITチームと連携するよりも簡単だと感じるため、シャドー ITを使用しています。これは、IT部門に関連する認識されている摩擦や官僚主義が、シャドー ITの増加における重要な要因となり得ることを示唆しています。

これらの調査結果は、組織がシャドー ITの根本的な推進要因により適切に対処し、関連するリスクを管理および軽減するためのより効果的な戦略を策定する必要性が高まっていることを強調しています。

シャドー it 対策

データ侵害やマルウェア感染から、コンプライアンス違反や運用上の混乱に至るまで、承認されていないアプリケーションやデバイスの普及は、企業資産を広範なサイバー脅威に対して脆弱な状態にする可能性があります。これらのシャドー ITリスクを効果的に軽減するために、組織はプルーフポイントが提供するような包括的なソリューションの導入を検討する必要があります。

プルーフポイントのShadowソリューションは、エンドポイントを「欺瞞の網」に変え、攻撃者がネットワーク内でラテラルムーブメントを行い、重要な資産へのアクセスを獲得することを困難にします。75を超えるアクティブな欺瞞技術を使用することで、Shadowは脅威アクターにとって価値があるように見える資格情報、接続、データ、その他の要素を模倣し、セキュリティ チームがその活動を検出および追跡できるようにします。さらに、Proofpoint Identity Threat Defense Platformは、アイデンティティ ベースの脅威に対するエンドツーエンドの保護を提供し、組織が脆弱なアイデンティティを発見して修復し、アクティブな脅威を検出して対応するのに役立ちます。

プルーフポイントのCASBソリューションは、クラウド環境の一元的なビューを提供することで、シャドー ITのクラウド アプリやサービスの利用を管理するのにさらに役立ちます。これにより、誰が、どこから、どのデバイスを使用して、クラウド内のどのアプリやデータにアクセスしているかについてのインサイトが得られます。CASBは、（サードパーティのOAuthアプリを含む）クラウド サービスをカタログ化し、クラウドサービスのリスクレベルと全体的な信頼性を評価し、スコアを割り当てます。CASBは、クラウドサービスのリスクスコアや、アプリのカテゴリやデータ権限などの他のパラメーターに基づいて、クラウドサービスへの自動アクセス制御も提供します。

これらの高度なセキュリティ ソリューションを活用することで、組織はシャドー IT環境への可視性を獲得し、攻撃者を阻止するための欺瞞技術を展開し、全体的なセキュリティ体制を強化できます。脅威環境が進化し続ける中、企業はシャドー ITによってもたらされるリスクに積極的に対処し、貴重なデータとリソースを保護することが不可欠です。プルーフポイントと提携することで、組織は時代の先を行き、増大するシャドー ITの脅威から業務を守ることができます。詳細については、プルーフポイントにお問い合わせください。