シャドーITとは、IT部門が把握していない、組織内で独自に使用されているデジタル端末、ソフトウェア、アプリケーション、クラウドサービスです。
サイバー犯罪者によって仕掛けられたマルウェアやその他の悪意のあるIT資産は、シャドーITとはみなされません。シャドーITに含まれるのは、認証済みユーザーによって持ち込まれた、未認可の資産のみです。
シャドーITの急増は、モバイル端末とクラウドサービスの普及に起因すると考えられています。また、シャドーITは社員の生産性を向上させ、イノベーションの推進に寄与しますが、組織が関知していない攻撃対象領域を拡大し、サイバー攻撃やコンプライアンス違反の機会をもたらすため、深刻な脆弱性とセキュリティ リスクを生み出します。
シャドーITの原因
シャドーITの根本原因は、テクノロジーの大衆化によるものです。ITリソースに低コストで容易にアクセスできるようになり、シャドーITが爆発的に増加しました。
場合によっては、シャドーITを導入するという決定が意図的に行われることがあります。ユーザーはIT部門を明確に回避し、IT部門が許可していないソリューションを調達したり、認可されたリソースよりも優れているとみなされるソリューションにアクセスしたりします。また、承認、調達プロセスが煩雑であると考え、IT部門に知らせることなく、リソースを取得することもあります。
多くの場合、ユーザーは、故意にIT部門をリソースの査定から除外しているわけではありません。単に、パートナーや他の外部組織からの依頼でシステムを利用するか、自宅や他の組織で使用しているシステムを利用しているだけです。
また、ユーザーが開発または1回限りのプロジェクトのために、企業ドメインの外にWebサイトを作成する場合にも、シャドーITが発生する可能性があります。BYODや在宅勤務もシャドーITの原因となります。
シャドーITの例
以下の例が示すように、シャドーITは、リソースが本質的に安全でないということではありません。シャドーITの本質的な問題は、IT部門がリソースの存在を認識していないため、それらのリソースを保護できないことです。
IT部門が関与せずに、ビジネス目的で使用されるアプリケーションには、次のようなものがあります。
- クラウド ストレージ
- コラボレーションツール
- コミュニケーションソフト
- 文書校正ツール
- ファイル共有ソフト
- 生産性ツール
- プロジェクト管理ツール
- ソーシャルメディア管理ツール
社員の個人端末
- ノート パソコン
- スマートフォン
- ストレージ端末(USBドライブ、外付けハード ドライブなど)
- タブレット
シャドーITのリスク
シャドーITは、選択されたツールの提供するメリットを考慮して採用されます。しかし、シャドーIT資産は、セキュリティ システムの範囲外で脆弱性を生み出すことにより、次のようなサイバー リスクを増大させます。
非効率なコラボレーション
シャドーITによって導入されるシステムは、組織全体で使用されるわけではありません。シャドーITは、認可されたシステムやワークフローと連携されていないことが多いため、通信、データ共有に関するコラボレーションの問題が発生します。
コンプライアンス違反
シャドーITが、法規制(HIPAA法(米国における医療保険の相互運用性と説明責任に関する法令)、PCI DSS(ペイメント カード インダストリー データ セキュリティ基準)、GDPR(EU一般データ保護規則)などの厳格なコンプライアンス要件を満たしていることはほとんどありません。組織はただ、データ侵害、コンプライアンス違反による罰金や罰則のリスクを負うことになるだけです。これは組織をデータの漏洩だけでなく、コンプライアンス違反に関連する罰金や制裁のリスクにさらすことになります。
データの不整合
データがシャドーIT全体に分散すると、IT部門によって一元管理できなくなります。これにより、非公式、無効な、古い情報が作成、伝播され、バージョン管理の問題も発生します。
データのセキュリティ リスク
機密情報がシャドーITのシステム、アプリケーションに保存されたり、それらのシステム、アプリケーションを通じて送信されたりすると、データ侵害やデータ流出のリスクが大幅に増大します。さらに、認可されたITシステムの外部に保存されたデータはバックアップされないため、障害やサイバー攻撃にさらされた場合に取り返しのつかない損失が生じるリスクがあります。
ITの可視性と制御の欠如
シャドーITはセキュリティ チームによって検出されないことが多いため、サイバー犯罪者によって悪用されやすく、組織内で検知しない脆弱性が発生する恐れがあります。
非効率なオペレーション
多くの場合、シャドーITは、認可されたITインフラと容易に連携できません。そのため、ワークフローの進捗を妨げ、情報の共有や同期で問題が発生します。また、IT部門によって認可されたソリューションが、ユーザーが日常業務で使用しているシャドーITに干渉することで、コンフリクトが生じる可能性があります。
セキュリティの問題
シャドーITは、さまざまなリスクをもたらします。その一方で、シャドーITを使用するユーザーは、次のようなメリットを挙げています。
シャドーITのメリット
シャドーITは、さまざまなリスクをもたらします。その一方で、シャドーITユーザーは、シャドーITを使用する理由として、次のような利点を挙げています。
- 社員が業務に最適なツールを使用できる
- 新しいシステムについて、IT部門から承認を得るのに要する時間を省き、生産性の課題を解決
- チームがビジネスの変化により迅速に対応できる
- 新しいテクノロジーの迅速な導入を促進
- わずか数分で新しいシステムを容易に立ち上げ可能
- 社員が使い慣れているツールを使用できるようにすることで、生産性を向上
- 社員が任意のツールを使用できるようにすることで、社員の満足度を向上
シャドーITのよくある質問
社員がシャドーITを使用する理由は何ですか?
社員がシャドーITを使用する主な理由は、次の3つです。
- IT部門が新しいシステムを承認するのに時間がかかりすぎる。
- セキュリティ ポリシーが社員の業務遂行を妨げている。
- シャドーITによって業務効率を向上できる。
シャドーITとマルウェアは同じものですか?
シャドーITとマルウェアは同じものではありません。シャドーITはマルウェアの侵入経路になり得ますが、マルウェアそのものではありません。
人々がシャドーITとマルウェアを関連付けて扱う理由は、シャドーITは脆弱なアクセス ポイントであるとみなされており、サイバー犯罪者によるマルウェアやランサムウェアの標的になりやすいからです。これは、シャドーITには通常、認可されたITシステムを保護するセキュリティ制御が欠如しているためです。
組織はシャドーITリスクをどのように軽減すべきでしょうか?
シャドーITを根絶することはほぼ不可能ですが、シャドーITを軽減するためのベストプラクティスを実践できます。ベストプラクティスでは、次のような方法で、IT部門によって認可されたリソースの利便性を向上させます。
- シャドーITリスクに関する社員向け研修の実施
- リモートからリソースにアクセスする社員を含め、社員が必要とするリソースに容易にアクセスできるようにする
- 容易にアクセスできる、IT部門による承認済みベンダー、サービスのリストを作成
- SaaS評価プログラムを実行し、シャドーITを積極的に検出
- ユーザー エクスペリエンス(UX)を重視
- ツール連携サポートの提供
- ユーザー アカウントの簡素化
- 社員が使いやすいOSを使用
シャドーITリスクを最小化するには、歩み寄りも大切
IT部門は、社員が認可されたシステムを使用することを望んでいます。そうすることで、企業のセキュリティ制御によってシステムを保護し、包括的な運用、予算計画にシステムを組み込むことができるからです。しかし一部の部門は、どのシステムを認可し、またどのように認可するのかを厳密に管理することが、シャドーITの増加につながっていると判断しています。
そのため、一部の組織では、関係者全員にメリットをもたらすために、シャドーITシステムに対してよりオープンなアプローチを採用しています。例えばIT部門は、使用されているシステムは何かを把握し、それらのシステムを保護する最適な方法を決定して、ユーザーが必要なツールにアクセスできるようにしています。
このような譲歩は、容易なことではありません。しかし、ユーザーとIT部門が歩み寄り、協力し合うことは、シャドーITリスクの軽減方法を見つけるための一つの手段であると言えます。