シャドーIT

シャドーIT (shadow IT) はIT部門に準ずる知識や承認なく、企業環境内で社員がクラウドに接続するアプリやサービスを使用している、企業全般に見られる状況を指します。一部のシャドーITは無害であり役に立ちますが、同時に新たなサイバーセキュリティ上のリスクをもたらしています。

多くの社員は良かれと思って企業環境でクラウドアプリを使用しています。使い勝手が良いアプリを見つけて使い始めます。そして同僚にも勧めて、共有します。ところが、アプリの使用について報告していないため、ITセキュリティ担当者からの承認を得てはいません。

ITセキュリティの部署では、シャドーITのアプリはせいぜい2、30個くらいだろうと予測し、管理が行き届いていると考えがちです。しかし、シャドーITを調査して発見されたものを見てみると、誰がどこで使っているかわからないアプリが1,300個もあるとわかればショックを受けるでしょう。ネットワーク上に未知のアプリが多いほど、シャドーITからのリスクは高まります。そして、把握していないものに対して安全を確保することはできません。

今日のクラウドファースト社会では、IT部門から承認されたアプリと未承認のアプリ（シャドーIT）への、社員のアクセスを管理することが今まで以上に重要になってきています。多くの企業では、推定平均1,000のクラウドアプリが利用されています。そのアプリのうち一部には、重大なセキュリティの穴が生じ、企業にリスクを与え、コンプライアンスの規則や義務に違反します。

一般的なシャドーITの一例には、社員がサードパーティアプリに広範なOAuthのアクセス許可を与えてしまうことがあります。EUにおいては、このような行為が意図せずしてGDPR(General Data Protection Regulation: 一般データ保護規則)などのデータ保管に関する規則に違反してしまいます。さらに、攻撃者は誰かをだまして広範なアクセス権限を得るために、標的が承認を得て使用しているSaaSアプリであり機密データを含むMicrosoft 365、Google Workspace、Boxに対して、サードパーティのアドオンやソーシャルエンジニアリングを使います。

クラウドアプリケーションの保護対策 (CASB) は、クラウド環境を一か所に集めて可視化することで、社員が使用しているシャドーITのクラウドアプリやクラウドサービスを管理するときに役立ちます。クラウド内で誰がどのアプリやデータにアクセスしているか、どこから、どのデバイスを使ってアクセスしているのかなどが見抜けるようになります。

CASB のカタログクラウドサービス（サードパーティのOAuthアプリを含む）は、リスクレベルとクラウドサービスの全体的な信頼度を評価して、スコアをつけます。さらにCASBはクラウドサービスのリスクレベルやそのほかのパラメータ（アプリのカテゴリやデータアクセス制御）によってクラウドサービスとの間を行き来するアクセスを自動制御します。