ブログ記事

シャドーITとは?SaaS利用時に企業が抱える潜在リスクと社内向け対応策

目次

  1. シャドーITの定義

  2. シャドーITの理解

  3. 認可されたITと認可されていないITの違い

  4. シャドーITの一般的な例

  5. シャドーITに関連するリスク

  6. シャドーITの利点

  7. シャドーITの管理戦略

シャドーITの急増は、モバイル端末とクラウドベースのアプリケーションやサービスの普及に起因すると考えられています。シャドーITは社員の生産性を向上させ、イノベーションを推進させることができますが、組織内の未知の攻撃対象領域(アタックサーフェス)を拡大し、サイバー攻撃やコンプライアンス違反の機会をもたらすため、深刻な脆弱性とセキュリティ リスクを生み出します。

サイバー犯罪者によって仕掛けられたマルウェアやその他の悪意のある資産は、シャドーITとはみなされません。シャドーITに含まれるのは、認証済みユーザーによって持ち込まれた、未認可の資産のみです。

シャドーITの定義

シャドーITとは、IT部門が把握していない、組織内で使用されているデジタル システム、端末(PC、ノート パソコン、タブレット、スマートフォンなど)、ソフトウェア・アプリケーション(通常は既製のパッケージ ソフトウェア)、サービス(主にSaaS、PaaS、IaaS)を指します。

シャドーITの理解

シャドーITの根本原因は、テクノロジーの大衆化です。ITリソースに低コストで容易にアクセスできるようになり、シャドーITが爆発的に増加しました。

場合によっては、シャドーITを導入するという決定が意図的に行われることがあります。ユーザーはIT部門を明確に回避し、IT部門が許可していないソリューションを調達したり、認可されたリソースよりも優れているとみなされるソリューションにアクセスしたりします。また、承認・調達プロセスが煩雑であると考え、IT部門に知らせることなく、リソースを取得することもあります。

多くの場合ユーザーは、IT部門によるリソースの評価を意図的に避けているわけではありません。単に、取引先やその他の外部組織の要請に応じてシステムの利用にサインアップしたり、自宅で使用しているシステムや他の組織で使用したことのあるシステムを利用したりしているだけです。

また、ユーザーが開発または1回限りのプロジェクトのために、企業ドメインの外にウェブサイトを作成する場合にも、シャドーITが発生する可能性があります。BYODや在宅勤務もシャドーITの原因となります。

認可されたITと認可されていないITの違い

シャドーITの中核には、許可されたITと許可されていないITがあります(デバイス、アプリケーション、サービスなど)。その違いは単純です。

認可されたITソリューションは、精査され、承認され、多くの場合脆弱性を排除するために強化されています。一方、認可されていないITソリューション(シャドーITなど)はそうではありません。

認可されていないITは、サイバー犯罪者、脆弱性を悪用する悪意ある内部関係者、または意図せず脆弱性を生み出してしまう偶発的な内部関係者によってネットワークに持ち込まれる可能性のある脅威(マルウェアやデータ損失など)に組織をさらすことになります。

シャドーITの一般的な例

以下の例が示すように、シャドーITは、リソースが本質的に安全でないことを意味するものではありません。その使用においての問題は、IT部門がその存在を認識していないため、それらのリソースから組織を保護できないことです。シャドーITの一般的な例としては以下が挙げられます。

IT部門が関与せずに、ビジネス目的で使用されるアプリケーション。次のようなものがあります。

  • クラウド ストレージ
  • コラボレーション
  • コミュニケーションとメッセージング
  • 文書校正
  • ファイル共有
  • 生産性向上
  • プロジェクト管理
  • ソーシャル メディア管理

社員の個人端末

  • ノート パソコン
  • スマートフォン
  • ストレージ端末(USBドライブ、外付けハード ドライブなど)
  • タブレット

シャドーITに関連するリスク

シャドーITは、選択したツールがもたらす利点を考慮して導入されることがあります。しかし、シャドーIT資産は、セキュリティ システムの範囲外で脆弱性を生み出すことにより、次のようなサイバー リスクを増大させます。

Dimensional Research社が実施した最新の調査レポートでは、調査対象企業の66%が依然としてマシン アイデンティティを煩雑な手作業で管理しており、リアルタイムでアクティブなマシン アイデンティティを把握できている企業は、わずか38%にとどまることが明らかになりました。

マシン アイデンティティの危機:手作業によるプロセスと隠れたリスク

セキュリティの脆弱性

シャドーITには多くの脆弱性が伴います。シャドーITに通常関連付けられるセキュリティ上の問題は、セキュリティに関する制御やプロセスの欠如に起因します。たとえば、シャドーITの要素はIT監視やメンテナンス プログラムに含まれておらず、ソフトウェアのアップデートやセキュリティ パッチが遅れていることが多く、またウイルスやその他のマルウェアが潜んでいることもあります。

さらに、シャドーITソリューションには、認可されたソリューションには求められる認証やその他のアクセス制御を欠いていることがよくあります。このため、シャドーITは不正アクセスの影響を受けやすくなり、機密情報の漏洩や、無自覚のうちにセキュアなネットワークへの侵入ポイントを提供してしまうこともあります。

非効率なコラボレーション

シャドーITによって導入されるシステムは、組織全体で使用されるわけではありません。シャドーITは、認可されたシステムやワークフローと連携されていないことが多いため、通信やデータ共有に関するコラボレーションの問題が発生します。

コンプライアンスの問題

シャドーITが、法規制(HIPAA法(米国における医療保険の相互運用性と説明責任に関する法令)、PCI DSS(ペイメント カード インダストリー データ セキュリティ基準)、GDPR(EU一般データ保護規則)など)の厳格なコンプライアンス要件を満たしていることはほとんどありません。これは情報漏洩のリスクをもたらすだけでなく、組織がコンプライアンス違反による罰金や罰則のリスクを負うことになります。

データ損失の可能性

機密情報がシャドーITのシステム・アプリケーションに保存されたり、それらのシステム・アプリケーションを通じてアクセスまたは送信されたりすると、データ侵害やデータ流出のリスクが大幅に増大します。さらに、認可されたITシステムの外部に保存されたデータはバックアップされないため、不具合や攻撃が発生した場合に取り返しのつかない損失が生じるリスクがあります。

データの不整合

データがシャドーIT全体に分散すると、IT部門によって一元化できなくなります。これにより、非公式な情報、無効な情報、陳腐化した情報が作成および伝播され、バージョン管理の問題も発生します。

ITの可視性・制御の欠如

シャドーITはセキュリティ チームによって検出されないことが多いため、サイバー犯罪者によって悪用されやすい、未知の脆弱性が組織内で発生する恐れがあります。

非効率なオペレーション

多くの場合、シャドーITは、認可されたITインフラと容易に連携できません。そのため、ワークフローの進捗を妨げ、情報の共有や同期で問題が発生します。また、IT部門によって認可され導入されたソリューションが、ユーザーが日常業務で使用しているシャドーITを妨害または中断させる場合、競合が生じる可能性があります。

シャドーITの利点

シャドーITは、さまざまなリスクをもたらします。その一方で、シャドーITユーザーは、シャドーITを使用する理由として、次のような利点を挙げています。

柔軟性と革新性の向上

シャドーITは、迅速にアクセスでき、利用可能なソリューションの選択肢が事実上無限にあるため、本質的に柔軟性があります。この柔軟性により、ユーザーがさまざまなシステムを試すことができるため、業務のやり方に革新をもたらします。また、コミュニケーションや製品設計など、他の分野にも革新をもたらす可能性があります。シャドーITを賢く利用すれば、日常業務やプロセスにより多くのテクノロジーを取り入れることで、組織のデジタル トランスフォーメーションを促進することもできます。

即時のニーズへの対応

ハードウェアやソフトウェアのソリューション、特にクラウド サービスとして利用できるものへのアクセス性は、膨大な数のITリソースへの扉を開きます。従業員がIT部門から提供されたツールではタスクを達成できない場合、またはより効率的と思われるものを見つけた場合、注文またはアカウントに登録して、ほぼリアルタイムで新しいツールを使用し始めることができます。

生産性の向上

シャドーITを使用すると、従業員の生産性は向上します。これは、従業員が最も使いやすいツールを使用できることが理由です。場合によっては、ITシステムやツールの取得やアクセスに関連する煩雑なプロセスを回避できるため、生産性が向上します。さらに、従業員が適切なシステムやツールを持っていない場合、独自に入手するほうが、IT調達プロセスを経るよりも迅速に手に入れることができます。

シャドーITの追加の利点

  • 社員が自身の業務に最適なツールを使用できる
  • 新しいシステムについてIT部門から承認を得ることに関するボトルネックを解消
  • チームがビジネスの変化により迅速に対応できる
  • 新しいテクノロジーの迅速な導入を促進
  • わずか数分で新しいシステムを容易に立ち上げ可能
  • 社員が任意のツールを使用できるようにすることで、社員の満足度を向上

シャドーITの管理戦略

シャドーITを管理することで、そのリスクを大幅に軽減することができます。組織はシャドーITを許可し、管理策を採用および実施することで、その恩恵を受けることができます。以下は、シャドーITのリスク管理に成功したいくつかの戦術です。

SailPointでは、新たにマシンIDに関する分析を加え、人間のアイデンティティをはるかに上回る数に達したマシンIDの現状や、それが企業のセキュリティとアイデンティティ ガバナンスにどのような影響を与えているかを詳しく調査しました。

アイデンティティに対する取り組み状況調査レポート2024

明確なITポリシーの確立

シャドーITの効果的な管理は、包括的な利用ポリシーを策定し、実施することから始まります。シャドーITポリシーでは、承認されていない技術の許容される利用についての詳細を規定し、ソリューションの承認プロセスを確立し、承認された利用に必要なセキュリティ対策を指示する必要があります。シャドーITポリシーは従業員ハンドブックの一部とし、遵守されない場合の罰則を明確に規定し、実施する必要があります。

シャドーITポリシーには、セキュリティ チームとITチームに対する指示も含まれます。これらのセクションには承認プロセスについて記載するとともに、シャドーITの管理と監視にどのようなツールを使用すべきかを詳細に規定する必要があります。

従業員の研修と意識向上の実施

シャドーITの管理には、教育と明確なコミュニケーションが不可欠です。従業員には、シャドーITのリスクと、IT部門が提供していない個人所有のデバイスやサービスを使用する際のセキュリティ ポリシーの順守方法について教育する必要があります。トレーニングと継続的なコミュニケーションには、認可されていないツールを使用する際のIT部門との協力のプロセスを明確に説明し、コンプライアンス違反の罰則について従業員に注意喚起する必要があります。

監視およびレポート ツールの実装

監視システムを使用してITリソースの未認証の使用を検出することで、シャドーITの事例を特定することができます。これは、シャドーIT発見専用ツールを使用して行うことも、ファイアウォールのログや侵入検知・防止システムの活動を監視して異常を特定することもできます。加えて、クラウド アクセス セキュリティ ブローカー(CASB)も未認証のシステムを検出することができます。シャドーITが大きな懸念事項である場合は、侵入テストやその他の倫理的ハッキング対策を使用して、その事例を特定することができます。

シャドーITリスクを最小化するには、歩み寄りも大切

IT部門は、社員が認可されたシステムを使用することを望んでいます。そうすることで、企業のセキュリティ制御によってシステムを保護し、包括的な運用・予算計画にシステムを組み込むことができるからです。しかし、一部の部門は、どのシステムを認可し、またどのように認可するのかを厳密に管理することが、シャドーITの増加につながっていると判断しています。

そのため一部の組織では、シャドーITシステムに対してよりオープンなアプローチを採用しています。IT部門は、使用されているシステムは何かを把握し、それらのシステムを保護する最適な方法を決定して、ユーザーが必要なツールにアクセスできるようにしています。

このような譲歩は、容易なことではありません。しかし、ユーザーとIT部門が歩み寄り、協力し合うことは、シャドーITリスクの軽減方法を見つけるための一つの手段であると言えます。

FAQ

シャドーITに関するFAQ

シャドーITの例としては何がありますか?

シャドーITの例としては、以下などが挙げられます。

  • 承認されていないソフトウェアのダウンロード
  • アクセス クレデンシャルの共有
  • 個人のデバイスへの機密情報の保存
  • 個人のデバイスやサービス(個人用メールアカウントなど)を仕事に使用
  • 未認証のクラウド サービスの使用(ストレージやファイル共有など)
  • 未認証のコミュニケーション ツール(ソーシャル メディア アカウントやインスタント メッセージング プラットフォームなど)の利用
シャドーITは脅威ですか?

シャドーITは、管理を怠れば間違いなく脅威となります。IT部門が未認可のシステムやソフトウェアの使用についてまったく把握していない場合、組織のセキュリティ体制は著しく損なわれ、コンプライアンス違反につながる可能性まであります。

最も一般的なシャドーITの活用法のひとつにファイル共有があり、これにより組織はデータの外部流出や機密情報漏洩のリスクにさらされます。また攻撃者は、IT部門が管理するシステムやアプリケーションよりもセキュリティ対策が不足しているシャドーITのシステムやアプリケーションを、不正アクセスを試みる標的にします。さらに、シャドーITシステムは、未認可のシステムやソフトウェアが認可されたシステムやソフトウェアと干渉しあうことによって生じるユーザーの問題に対処しなければならないヘルプデスク チームに頭痛の種をもたらします。

シャドーITは良いことでしょうか?

シャドーITは脅威となる可能性がある一方で、適切に管理されている場合にはメリットもあります。シャドーITは生産性と効率性を向上させる場合があります。認可されたITツールのポートフォリオを改善することさえ可能です。

ほとんどの場合、ユーザーは仕事を楽にこなすために、またトラブルを避けるためにシャドーITに頼る傾向があります。使い慣れたツールに頼ることで、新しいテクノロジーの習得や試行錯誤に煩わされることなく、自分の仕事に集中できるからです。

ユーザーが好むツールについてユーザーと対話するITチームは、組織の技術ポートフォリオに追加できる新しいソリューションについての知見を得ることができます。多くの場合、これらはITチームが存在すら知らなかった特定の機能に特化したツールであり、それがユーザーにもたらすプラスの影響についてはなおさら知りません。


社員がシャドーITを使用する理由は何ですか?

社員がシャドーITを使用する主な理由は、次の3つです。

1. IT部門が新しいシステムを承認するのに時間がかかりすぎる。

2. セキュリティ ポリシーが社員の業務遂行を妨げている。

3. シャドーITによって業務効率を向上できる。

シャドーITとマルウェアは同じものですか?

シャドーITとマルウェアは同じものではありません。シャドーITはマルウェアの侵入経路になり得ますが、マルウェアそのものではありません。

人々がシャドーITとマルウェアを関連付けて扱う理由は、シャドーITは脆弱なアクセス ポイントであるとみなされており、サイバー犯罪者によるマルウェアやランサムウェアの標的になりやすいからです。これは、シャドーITには通常、認可されたITシステムを保護するセキュリティ制御が欠如しているためです。

組織はシャドーITリスクをどのように軽減すべきでしょうか?

シャドーITを根絶することはほぼ不可能ですが、シャドーITを軽減するためのベスト プラクティスを実践できます。ベスト プラクティスでは、次のような方法で、IT部門によって認可されたリソースの利便性を向上させます。

  • シャドーITリスクに関する社員向け研修の実施
  • リモートからリソースにアクセスする社員を含め、社員が必要とするリソースに容易にアクセスできるようにする
  • 容易にアクセスできる、IT部門による承認済みベンダーおよびサービスのリストを作成
  • SaaS評価を実行し、シャドーITをプロアクティブに検出
  • ユーザー エクスペリエンス(UX)を重視
  • ツール連携サポートの提供
  • ユーザー アカウントの簡素化
  • 社員が使いやすいOSを使用
公開日: 2025年4月30日読了目安時間: 5 分
セキュリティ

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ