検索
ニュース

シャドーITの脅威にどう対処するか従業員からのフィードバックが必要

セキュリティ企業ESETは、「新型コロナウイルス感染症の大流行(パンデミック)を経てテレワークやハイブリッドワークが一般化する中、シャドーITがますます深刻な問題となっている」との認識から、その脅威に対処する方法を概説した。

Share
Tweet
LINE
Hatena

 セキュリティ企業ESETは、2021年10月22日(英国時間)、シャドーITの脅威に対処する方法を紹介した。

 「新型コロナウイルス感染症(COVID-19)の世界的な感染拡大を経て、テレワークやハイブリッドワークが一般化する中、シャドーITがますます深刻な問題となっている」との認識に基づく。

 シャドーITとは、企業従業員がIT部門の承認や管理を受けずに使用するアプリケーションやソリューション、ハードウェアを指す用語だ。放置すると、企業にとって重大な脅威となりかねない。これにどのように対処するかが課題となっているという。

どのようなシャドーITが存在するのか

 シャドーITは数十年前から存在しており、エンタープライズグレードの技術である場合もあるが、大抵は消費者向け技術だ。ESETは主なシャドーITとして以下のような分類を挙げている。

消費者グレードのファイルストレージ

生産性ツールやプロジェクト管理ツール

メッセージングツールや電子メール

クラウドを用いたIaaS(Infrastructure as a Service)やPaaS(Platform as a Service)。これらは認められていないリソースをホストするために使われる場合がある

パンデミックを経て拡大してきたシャドーIT問題

 これまでは「企業ITツールは不十分で、生産性を阻害している」という不満を従業員が抱えている場合に、シャドーITが使われてきた。だが、パンデミックの到来で多くの企業は、従業員が個人デバイスを使って在宅で勤務することを許容せざるを得なくなった。これをきっかけに、未承認のアプリケーションのダウンロードや利用が活発になったと、ESETは指摘する。

 さらにそうした中で、多くの従業員が企業セキュリティポリシーを無視したり、ITリーダーがパンデミック下で事業継続を優先して、こうしたポリシーの一時棚上げを余儀なくされたりしたことで、事態が複雑化したという。

 ESETによると、パンデミックに伴う勤務形態変更により、従業員にとってIT部門が目に入りにくくなったことも、シャドーITの利用や企業ポリシーの軽視を促進した可能性があるとしている。

問題の規模はどの程度なのか

 シャドーITの最近の顕著なリスクは、パンデミックに関連するBYOD(私物デバイスの業務利用)に起因するものだけではないとESETは指摘する。

 特定のビジネス部門が独自にIaaSやPaaSクラウドでリソースをホストし、IT部門の管理が及ばないことも脅威となっているからだ。多くの人が、クラウドの責任共有モデルを誤解し、クラウドサービスプロバイダーがセキュリティを管理すると思い込んでいる。実際には、アプリケーションとデータの保護は、クラウドを利用する組織の責任だ。

 シャドーITの性質上、シャドーIT問題の本当の規模を把握するのは難しいとESETは述べ、次の調査結果を引用している。

米国の労働者の64%が過去1年以内に、IT部門を介さずに少なくとも1つのアカウントを作成した(1Passwordによる2019年の調査)

パンデミック前からテレワークで働いていた従業員の65%が、IT部門に承認されていないツールを使っている。また、現在の従業員の40%が、IT部門に承認されていないコミュニケーションやコラボレーションツールを使っている(Beezyによる2021年の調査)

会社で明示的に承認されていないコミュニケーションツールやコラボレーションツールを使っている従業員の割合は、ベビーブーム世代が15%にとどまるのに対し、ミレニアル世代では54%に上る(Beezyによる2021年の調査)

シャドーITは企業にとってどのような脅威となるのか

 ESETは企業にとって、シャドーITがどのような潜在的リスクとなるのか、複数の課題を挙げている。

IT部門が管理していないため、ソフトウェアにパッチが適用されないままになったり、構成の誤りが残ったりする可能性がある

シャドーIT資産や企業ネットワークが、エンタープライズグレードのマルウェア対策ソリューションなどのセキュリティソリューションで保護されない

過失による、または意図的なデータ漏えいや共有を管理できない

コンプライアンスと監査の対象となっていない

シャドーITやアプリケーションは、企業のバックアッププロセスでカバーされていないため、データが失われる恐れがある

重大なセキュリティ侵害が発生し、財務と企業の評判に打撃を与える可能性がある

シャドーITに対処するには

 まず、脅威の潜在的規模を把握する。シャドーITの拡大状況や、重大なリスクになる可能性を、客観的に認識する必要がある。その上で、以下の方策により、脅威の軽減を図れると、ESETは述べている。

シャドーITに対処する包括的なポリシーを設計する。このポリシーには、承認済みや未承認のソフトウェアとハードウェアのリストを周知することや、承認申請プロセスなどが含まれる

従業員間での透明性を促進する。この目的のために、シャドーITの潜在的影響を教育し、誠実な双方向の対話を開始する

役に立つツールとそうでないツールに関する従業員からのフィードバックを基に、ポリシーを調整する。新しいハイブリッドワーク時代のセキュリティと利便性の両立に向けて、ポリシーを見直すべきときかもしれない

モニタリングツールを使ってシャドーITの利用状況やリスキーな行動を追跡し、持続的な攻撃に対して適切な措置を講じる

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  2. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  3. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  4. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  5. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  6. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  7. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  8. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  9. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  10. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
ページトップに戻る