従業員は現在の技術やワークフローに不満を抱えている可能性があります。職場で差し迫った問題について懸念を表明していない従業員もいるでしょう。シャドーITのリスクは軽視できず、こうした感情から始まることが少なくありません。職場の風土を恐れるあまり不満を抱えた従業員は、仕事を遂行するためにシャドーITツールに頼る可能性があります。
その理由は?上司を怒らせたり、現在のプロセスが非効率だと他者に知られたくないからです。しかし本人が気づかないうちに、その小さな自主的な行動が新たなリスクを生み出す可能性があります。彼らが使用するソフトウェアには悪意のあるコードが含まれている可能性があり、あるいはシャドーITソフトウェア自体がプロトタイプやベータ段階にあるかもしれない。本ガイドでは、サイバーセキュリティにおけるシャドーITの定義を解説する。シャドーITセキュリティの仕組み、シャドーITツールに関する全て、そして以下でさらに詳しく理解できるだろう。
シャドーITとは何か?
従来のセキュリティツールやITシステムでは特定のタスクを達成できない場合があります。このような状況で、一部の従業員は中央IT部門の承認を得ていない専門的なソフトウェアやツールの使用を決断することがあります。シャドーITは制限を回避するだけでなく、複数のセキュリティリスクをもたらすため、企業にとって深刻な問題となりつつあります。ガートナーの調査によれば、将来においても従業員はIT部門の可視範囲を超えた技術の変更や作成を継続するでしょう。
シャドーITのセキュリティリスクの多くは、目に見えて隠れている。しかし、それらはしばしば見過ごされ、検出に非常に時間がかかることがある。オンプレミス、ハイブリッド、マルチクラウド環境におけるシャドーIT活動の例としては、未知のSaaSツール、廃止予定でありながら依然として使用されているレガシーシステム、冗長なデータベース、承認されていないプラットフォーム間でのファイル共有やコラボレーションなどが挙げられる。
シャドーITの発生要因
シャドーITの発生要因は、特定の従業員の業務ニーズを満たすことに起因する場合が多く、これらのツールは利便性のために使用されます。主な原因は以下の通りです。
- 使い慣れている – シャドー IT ツールを使用することで、従業員は職場での快適さや生産性が高まったと感じる場合があります。これらの技術がタスクをより迅速かつ円滑に完了させる助けになると感じている可能性があります。
- セキュリティ意識とリスクの欠如 –一部の従業員は純粋に騙されやすく、これらの非承認ツールが安全だと考えています。シャドーITツールにマルウェアが含まれている可能性があるという事実を認識していない場合があります。
- 承認プロセスの遅延– 従業員は、ソフトウェアや承認済みツールの新技術導入承認に長い待機期間がかかることに嫌気がさす可能性があります。その結果、組織内の他のメンバーの知らないところでシャドーITの作業慣行に頼るようになります。
- 予算制約 – 組織内で承認されたソフトウェアよりも、使用制限や上限のない手頃な代替手段として、一部のシャドーITツールが利用される場合があります。これが従業員の使用動機となります。
シャドーITの影響
シャドーITは、目に見える証拠なく背景で静かに進行する現実的なリスクと危険をもたらします。
シャドーITの脅威が及ぼす影響の一部を以下に示します:
- シャドーITは MFAや 役割ベースのアクセス制御を回避する可能性があります。そのシステムは、データ盗難、損失、アプリケーションの損傷、マルウェアなどの生産リスクの増加につながる可能性があります。
- 不正アクセス権を持つユーザーは、機密データや顧客データベースに重大な変更を加える可能性があります。彼らは、医療記録の変更、情報の改ざん、会社の日常業務への影響さえも行う可能性があります。
- シャドーIT活動は、意図的か意図的でないかにかかわらず、生産プロセスのあらゆる部分に悪意のあるコードを注入する可能性があります。組織をゼロデイ攻撃やランサムウェア攻撃に対してより脆弱にさせる可能性があります。また、ファイアウォールを突破し、侵入検知システムやウイルス対策システムを迂回する可能性もあります。
シャドーITを検出する方法とは?
定期的なネットワーク監視と検証を通じてシャドーITを検出できます。具体的な方法は以下の通りです:
- ネットワーク上で不正に稼働しているアプリケーションやサービスを特定するため、定期的なネットワーク監査を実施する
- 異常なデータ転送や不審な接続を検知するため、ネットワークトラフィック監視を導入する
- 経費報告書や調達データがあれば、それらを分析して不正なソフトウェア購入を発見できます
- Google WorkspaceやAzure Active DirectoryなどのSSOおよびIDプロバイダーと連携し、アプリユーザーを追跡する必要があります
- エンドポイントにインストールされたアプリを検出するためのディスカバリーエージェントやブラウザ拡張機能を導入できます
- 従業員に対し、承認されていない新規アプリケーションの使用を報告するよう教育すべきです
- 定期的なセキュリティ評価を実施しない場合、シャドーITは検知されずに拡大し続けます
- クラウド利用パターンを監視することで、不正アクセスされているクラウドサービスを特定できます
- ソリューションを導入する前に、承認済みアプリケーションの包括的なインベントリを作成してください
- 完全な可視性を得るには、これらの手法を組み合わせて使用する必要があります
シャドーITを防止・制御する方法とは?
シャドーITリスクを防止・制御する方法は以下の通りです:
- シャドーIT検出ツールの活用 — これらのツールは、シャドーIT技術を見つけ出し特定するのに役立ちます。すべてのシャドーITリスクの包括的な概要を提供し、リアルタイム監視機能を実現します。IT部門は必要な可視性を獲得し、シャドーIT問題に迅速に対応できるようになります。
- クラウドセキュリティアクセスブローカー(CASB)の導入を検討する– クラウドセキュリティアクセスブローカー(CASB)は、企業のネットワークと クラウドセキュリティ をゲートキーパーとして管理します。最適な暗号化プロトコル、アクセス制御、データ損失防止(DLP)対策の実施に活用できます。また、データ漏洩を防止し、機密データの保護を確保するとともに、SaaS セキュリティのベストプラクティスを適用することもできます。
- シャドー IT に関する認識とリスク管理トレーニングの導入 –言うまでもなく、シャドーITの実践に関する理解の有無にかかわらず、全従業員に対するトレーニングが必要です。全員が同じ認識を持ち、最新のシャドーITの動向を把握していれば、騙されたり不意を突かれたりする可能性が低くなります。定期的なトレーニングセッションを実施し、従業員の知識を随時テストすることが重要です。また、他のソリューションを好む場合に備え、どのシャドーIT代替手段を利用すべきか理解しておく必要があります。
シャドーITの利点
シャドーITツールにはユーザーにとって確かに利点があります:
- 必要なソフトウェアに直接アクセスできるため、従業員は業務をより効率的に遂行できる。
- シャドーITアプリケーションはファイル共有を大幅に簡素化し、メッセージングをより便利にする。従業員間の共同作業を加速させ、部門間のコミュニケーション効率を大幅に向上させることができる。
- シャドーIT技術は非常に柔軟で導入が容易です。迅速に展開でき、シームレスな統合を実現します。組織がパフォーマンスの非効率性やボトルネックに直面している場合、それらに対処することも可能です。
- シャドーITツールはカスタマイズ性も高く、自由に機能の追加・削除が可能です。市販ソフトウェアのような制約や、クラウドサービスのような組み込みルールに縛られません。完全にオープンソースで無料のシャドーIT技術も存在し、コスト削減にもつながります。
シャドーITのリスクと課題
シャドーITには以下のようなリスクと課題があります:
可視性の欠如
従業員が許可されていないツールやクラウドベースのアプリを使用している場合、IT部門はバックグラウンドで何が起きているのか把握できません。管理が難しくなり、セキュリティの管理が困難になります。企業は最新のセキュリティ更新を追跡する手段を失い、厳格なセキュリティ対策を効果的に実施できなくなります。
不十分なデータセキュリティ
シャドーITツールは、機密データの漏洩や安全でないファイル共有を引き起こす可能性があります。これらのツールは承認されていないベンダーによって作成されているため、それらによって保存・送信されるデータに何が起こるかは予測できません。組織の評判や財務に深刻な損害を与える可能性があります。
コンプライアンス上のギャップを生む
シャドーITは新たなコンプライアンス上のギャップを生み、CISベンチマーク、NIST、HIPAA、GDPRなどの既存のデータ保護規制に違反する可能性があります。承認されていないツールは必ずしも業界標準に準拠しておらず、企業を法的罰金、訴訟、その他の罰則の対象としやすくします。
非効率性と分断されたワークフロー
シャドーITアプリケーションはITシステムに円滑に統合されません。ワークフローの分断、データの不整合、業務の停滞を引き起こす可能性があります。最終的には、これらすべてが従業員の生産性に影響を与え、長期的には組織全体に悪影響を及ぼす可能性があります。
シャドーIT管理のベストプラクティス
組織内のシャドーITを管理するために実施できるベストプラクティスを以下に示します:
- 組織内の全ユーザーアカウントを監査し、SaaSアプリの利用状況も確認するとともに、それらが組織の利用要件やリスク許容度と整合しているか検証する。
- アクセス制御の見直しと法的・規制上のコンプライアンス義務の遵守も必要です。非承認アプリに関連する全トランザクションを調査し、トランザクションデータの比較分析を実施するとともに、各アプリにおけるダウンロード量とアップロード量を記録してください。
- セキュリティパラメータを確認し、組織が最新の暗号化標準を採用しているか検証してください。また、パッチ未適用システムや更新不足の兆候があれば、直ちに対処を開始してください。動的なポリシーを作成し、アプリとユーザー間のデータ転送を効果的に制御できるよう、細分化することを推奨します。
- 最小権限アクセス原則を採用し、ゼロトラストネットワークセキュリティアーキテクチャを構築してください。ポリシーを定期的に見直し、エンドユーザーのフィードバックを収集して、その有効性を確認してください。
- また、特定のポリシーや制御の適用を選択したくない場合に有用となる例外メカニズムも作成してください。これにより柔軟性が生まれ、シャドーIT技術やツールの使用を強制する必要がなくなります。
シャドーITの事例
以下にシャドーITの実際の事例を示します:
- Discord、Telegram、Signal、Slackなどのサードパーティ製アプリは、通信の暗号化や許可されていないファイル共有の拡散に使用される可能性があります。組織はこれらのサービス間での情報の流れを追跡したり監視したりできません。
- 組織の事前承認なしに専門ソフトウェアをダウンロードすると、社内ネットワークにシャドーITリスクをもたらす可能性があります。従業員がシャドーITの設計ツール、CRM、会計ソフト、その他のSaaSアプリを使用すると、コンプライアンス上の課題や管理不足が生じる可能性があります。
- 従業員は、取締役会や利害関係者の知らないところで、シャドーITのポリシー制御機能を活用し、組織の既存セキュリティポリシーをカスタマイズすることが可能です。BYOD(個人所有デバイスの持ち込み)ポリシーに関しては、IT 部門によって管理されていない個人のノートパソコン、携帯電話、タブレットを持ち込み、作業を行うことを選択し、いくつかのシャドー IT サイバーセキュリティリスクをもたらす可能性があります。
結論
以上が、組織内でシャドーITを防止し、こうしたツールや技術の使用を止める方法です。全てのシャドーITが悪いと言っているわけではありませんが、大半の場合、有害となる可能性があります。それは組織のニーズ、従業員の心理状態、そして全員のパフォーマンス次第です。
透明性のあるコミュニケーションは継続的な成功の鍵です。そのため、率直なフィードバックを奨励すべきです。懸念を表明したいが怖くてできない従業員のために、匿名での報告経路を設けることもできます。これにより、シャドーITに頼ることなく、彼らが考えていることを表現する手段を提供できるのです。
FAQs
シャドーITとは、IT部門の認識や承認なしに使用されるソフトウェア、ハードウェア、デジタルサービスを指します。従業員がクラウドアカウントを設定したり、アプリをダウンロードしたり、業務に個人用デバイスを使用したりする際に発生します。彼らは仕事をより迅速に遂行するため、公式の手段を迂回します。これにより、組織は企業データの行き先やアクセス方法に対する可視性と管理権限を失います。存在すら把握していないものを保護することは不可能です。
シャドーITポリシーとは、組織内での未承認技術の使用に関する明確なルールを定めるものです。従業員が使用できるツール、新規ソフトウェアの申請方法、ルール違反時の対応を規定します。リスクレベルに基づく段階的アプローチを採用できます——低リスクツールは迅速に承認、中リスクは修正が必要、高リスクは即時禁止となります。適切なポリシーを作成する際には、従業員が既存のシャドーITを罰則なしで申告できる猶予期間を設けるべきです。
シャドーITはネットワークに重大なセキュリティ上の穴を生じさせます。従業員が承認されていないツールを使用すると、機密データが潜在的な侵害に晒されることになります。存在すら把握していないものをパッチ適用したり監視したりすることは不可能です。シャドーITが存在する場合、データ侵害によるコスト増大(平均約424万ドル)に直面します。さらにGDPR、HIPAA、PCI-DSSなどの規制違反を引き起こし、重大な罰則や罰金につながる可能性があります。
従業員は公式ツールがニーズを満たさない場合にシャドーITに頼ります。承認されたソフトウェアが使いにくく感じられたり時代遅れに思えたりするとき、より迅速でシンプルな選択肢を探すのです。IT承認プロセスが厳格な場合、従業員は遅延を避けるためにそれを回避します。認可ツールでは業務を効率的に遂行できない場合、代替手段を探すのです。リモートワークで迅速な解決策が求められる時や、会社が承認したオプションに特定の機能が欠けている時に、この行動が増加します。
シャドーITは組織内で様々な形で現れます。従業員は個人用Google DriveやDropboxアカウントで業務ファイルを共有します。個人認証情報を使って許可されていないクラウドワークロードを設定します。端末を確認すると、WhatsAppのような未承認のメッセージングアプリや不正なZoomアカウントが見つかるかもしれません。IT購買基準額を下回るSaaSサブスクリプションを購入することもあります。また、IT承認なしにTrelloやAsanaなどの生産性ツールを使用している従業員も見受けられます。
ネットワークを定期的にスキャンする資産発見ツールを使用することでシャドーITを発見できます。これらは許可されていないアプリケーションやクラウドサービスを特定するのに役立ちます。ネットワークトラフィックを監視すれば、シャドーIT利用を示す異常なパターンを発見できるでしょう。従業員が承認されていないサービスにアクセスした際を検知する自動化されたクラウド検出ツールを導入すべきです。定期的なインベントリ監査は、会社のデータにアクセスする個人所有のデバイスを特定するのに役立ちます。アクセスパターンを追跡するため、高リスクなSaaSアプリケーションの継続的な監視を維持する必要があります。
新しいテクノロジーに対する明確でシンプルな承認プロセスを確立する必要があります。低リスクツール向けの迅速承認システムを導入すれば、従業員がIT部門を迂回することはなくなります。従業員が未承認ツールを使用する理由を話し合い、そのギャップを解消してください。彼らのニーズを満たす安全な代替手段を導入すべきです——未承認のメッセージングアプリを使用しているなら、Microsoft TeamsやSlackを提供しましょう。シャドーITを報告した従業員を罰することなく、セキュリティリスクについて教育することを確実に行ってください。
シャドーIT管理はIT部門が主導しますが、単独では対応できません。ポリシーを徹底させる部門責任者の支援が必要です。セキュリティ担当者はネットワーク監視と検知ツールの導入を担います。経営陣はリソースを割り当て、ポリシー策定を支援すべきです。従業員には、使用している無許可ツールを報告する責任が求められます。全員が協力することで、シャドーITが隠れたままではなく可視化される文化が生まれます。
シャドーITはコンプライアンスに重大なリスクをもたらします。データが許可されていない経路で移動すると、GDPR、HIPAA、SOXなどの規制要件を満たせなくなります。シャドーシステムに顧客情報が存在する場合、適切なアクセス制御や暗号化を適用できません。シャドーデータが中央管理の外に存在すると、データガバナンスの枠組みが崩壊します。特に懸念すべきは、開発環境や廃止済みアプリケーション内に残された機密情報を含むデータのコピーです。