Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。
OneLoginとOne Identityが協力してIAMを提供。詳細はこちら

シャドーITとは

シャドーITは、組織のIT部門が認証または追跡していないデバイス、ソフトウェア、アプリケーション、またはサービスなどの情報技術資産を使用することです。

ここ数年、多くの組織はクラウドベースのアプリケーションとサービスを採用してきました。また、一部の企業では、個人所有のデバイス、つまりBYOD(個人所有のデバイスの活用)と呼ばれるシステムを業務で使用することも許可しています。個別の部署や事業部門が、IT部門では把握していなかったり十分に迅速に対応できなかったりする固有のニーズを満たすために、独自のクラウドアプリケーションを設定することもあります。このような経緯によってシャドーITは指数関数的に増加しています。

シャドーITにより、従業員は業務の効率化に必要なツールやアプリを活用し、生産性や効率を向上させることができます。特にクラウドアプリケーションでは、IT部門に承認された多くのレガシーシステムやアプリケーションでは��られない、高度なユーザエクスペリエンスやパフォーマンス、使いやすさが実現されます。そのような機敏性のあるクラウドネイティブのサービスをチームが利用できれば、チームはより戦略的なタスクにエネルギーを集中させることができ、その結果、企業内での技術革新が進み、競争力が向上します。これらのアプリケーションの多くはモバイルワークやリモートワークもサポートしており、パンデミック後の世界におけるビジネスクリティカルな要件となります。ただし、シャドーITはセキュリティの重大な盲点も作り出します。シャドーITのリソースは、ITチームによって追跡、管理、または保護されないため、組織がサイバー攻撃、データ漏洩、潜在的なコンプライアンス違反に対して脆弱になります。

シャドーITのさまざまな要素

多くの場合、IT部門は従業員がシャドーITリソースを使用していることにさえ気付いていません。以下のようなプロトコルを使用します。

  • ハードウェア: 許可のないPC、ノートパソコン、モバイルデバイスなど。
  • ソフトウェア: 市販のパッケージソフトウェア、違法ダウンロード、不正なアップグレードまたはパッチなど。
  • クラウドサービス: SaaS(Software as a Service)、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)
  • アプリケーション(オンプレミスまたはクラウドベース): ExcelまたはWordマクロ、Skype、Googleドキュメントなど。
  • クラウドストレージ: Dropbox、Googleドライブなど。
  • 業務目的に使用する個人的なEメールアカウント
シャドーIT

従業員がシャドーITを使用する理由

ある調査では、従業員の80 %が、IT部門から承認されていないアプリケーションを使用していると回答しています。この選択は、必ずしも悪意があったり、組織に害を及ぼすことを意図したりしているものではありません。場合によっては、ユーザの業務遂行に必要な技術を組織が提供していないことがあります。または、従業員が特定のアプリケーションを必要としているにもかかわらず、承認やプロビジョニングプロセスが長すぎたり時間がかかりすぎたりするため、業務を容易にする目的で従業員がシャドーITを使用し始めることもあります。

これは、特に迅速なソフトウェアの開発、継続的な技術革新、短いリリースサイクルを重視する企業では大きな問題になります。従業員は新しいツールをすぐに必要とし、IT部門による審査や承認プロセスが完了するまで待つことを望んでいません。その結果、IT部門の承認がない場合でも、シャドーITアプリケーションをダウンロードし、インストールし、使用することになります。

シャドーITの利点

シャドーITリソースにより、従業員は作業の生産性を上げ、同僚と協力し、業務の重要な成果物を素早く仕上げることができます。組織もシャドーITのメリットを活用することができます。ユーザが必要なツールを選択できれば、通常、そのソリューションは業務の目標とより合致するものとなります。

さらに、必要なツールが手に入れば、従業員はより多くの時間を業務の遂行にあてることができ、回避策を探したり承認を待ったりするために費やす時間を短縮できます。これは従業員の能力、業務への関わり、満足度、定着率にプラスの影響を与えることもあります。

シャドーITはITチームのワークロードも減らすことができます。ヘルプ・デスク・チケットやユーザからのリクエストの対応に追われることなく、他のミッションクリティカルなタスクや、より大きな事業価値をもたらす革新的なプロジェクトに集中することができます。

シャドーITのセキュリティリスク

従業員が未承認のアプリケーションやデバイスを使用すると、企業に多くのリスクがもたらされます。以下のようなプロトコルを使用します。

可視性の不足によるサイバー攻撃対象領域の拡大

シャドーITのリソースはエンタープライズセキュリティの境界の外にあります。つまり、犯罪者を排除する十分なセキュリティを持たない状態で、頻繁にインターネットに曝されるということです。この結果、攻撃対象領域が広がり、サイバー攻撃、アカウントの不正使用、ラテラルムーブメント、サイバーハッキング、その他の重大なセキュリティイベントのリスクが高まります。

データ漏洩とデータ損失のリスク

すべての組織には保護する必要のある情報があります。企業の管理が及ばない場所に置かれていれば、外部の悪意ある行為者からこの情報を保護することは困難になります。

シャドーITリソースを使用していた従業員がある時点で離職するような場合にも問題が発生します。その従業員が、IT部門やチームのメンバーが把握していないアプリケーションやサービスを使用していた可能性もあります。このため、その従業員の離職後に、同僚がそのシャドーITリソースや、そこに保存されていた重要なデータにアクセスできないことがあります。

アプリの無秩序な増加とシステムの非効率性

シャドーITエコシステムに含まれるアプリケーションの数が増えるにつれて、コストが上昇し、システムが非効率的になり、IT部門の管理上の負荷が増加します。さらに、そのようなアプリケーションはセキュリティのアップデートや監視についての優先順位が高くないため、企業内でセキュリティリスクが発生し、ITスタックに対するハッカーの侵入を許すことになります。アプリの急増によって徐々に技術革新が遅れ、混乱が生じ、組織全体の効率と生産性が影響を受けます。

ファイルの共有によるデータの流出

一部のファイル共有ツールではユーザが通常のセキュリティポリシーをオーバーライドできることがあり、そのためにデータ流出やデータ漏洩のリスクが高まります。情報が漏洩、不正使用、盗難のリスクに曝されていることに気付かずに、ユーザが誤って機密ファイルやデータをEメールで送信したり、偶発的にソーシャルメディアで共有したりすることがあります。

ここで強調したセキュリティリスクに加え、シャドーITによりコンプライアンス違反のリスクも高まります。これは、医療機関や金融サービスなど、規制対象の業界では特に大きな問題となります。このような業界の組織は、追加の監査を実施してコンプライアンスの維持を確認する必要があります。これは、コンプライアンス違反によって多額の罰金が発生し、企業の評判が損なわれ、財務状況が影響を受ける可能性があるからです。

シャドーITを管理する方法

シャドーITを効果的に管理してリスクを抑制するためにすべての企業が採用できる、以下のような戦略があります。

リスクの評価

すべてのシャドーIT技術およびデバイスが企業のセキュリティに同じ脅威を与えるわけではありません。職場で使用されているシャドーITリソースを定期的に評価することにより、組織が直面しているリスクの理解を深め、それらのリスクを緩和または除去するために適切な措置をとることができます。

強力なセキュリティの実装

OneLoginシングルサインオン(SSO)などのセキュリティソリューションは、シャドーITにより生じるセキュリティギャップを埋めるために役立ちます。SSOでは、クラウド内かファイアウォールの内側かを問わず、ワンクリックアクセスを使用してすべてのアプリにアクセスすることができます。SSOポータルに対するシャドーITアプリケーションの追加を希望する場合は、IT部門を通じて行う必要があります。このようにすることで、IT部門がこれらのアプリケーションを把握し、より適切に監視できるようになります。また、IT部門はセキュリティソリューションを活用してIT使用率のパターンを監視し、異常な、または疑わしいネットワークアクティビティを識別することもできます。さらに、予期しない、または潜在的に疑わしいIT関連の購入や、予定外の、または不正なワークロードの移行を注視することも可能です。シャドーITが組織の資産やデータを危険に曝す場合は、セキュリティを強化してシャドーITの使用を中止することができます。

シャドーITリソースのインベントリと分類

シャドーITの可視性を高めるために、ITチームは組織内で使用されているさまざまなリソースを検出しなければなりません。これらの資産を以下のように分類することも重要です。

  • 認可済み: 組織に害を与えずに使用できる資産
  • 認証済み: IT部門による認可を受けていない資産。ただし、リスクが見えないか存在しないため、ユーザはこの資産を使用できます
  • 禁止: 組織にとって潜在的な危険性を持ち、使用してはならない資産

このリストを作成すれば、さまざまなシャドーITリソースへの対応を簡単に決定できるようになります。例えば、IT部門が特定のデバイスを組織に有害ではないと判断し、そのデバイスを認可済みリストに移動することがあります。しかし、別のサービスについてはリスクが高すぎると判断し、禁止リストに追加することもあります。ITチームによるセキュリティリスクの軽減に役立つように、これらのリストに関する情報を従業員に伝えることが非常に重要です。また、シャドーITに含まれるリソースがますます増えているため、これらのリストを定期的に見直し、更新することも重要です。

ITガバナンスの合理化

ガバナンス構造によって、IT部門はセキュリティを低下させずに、技術革新の促進をサポートする新たなツールを迅速に点検し、プロビジョニングして、ユーザの要件を満たせるようになるはずです。ビジネスユーザに新たなツールの事例を構築するよう促すことで、ITチームは要件の可視性を高め、その潜在的なセキュリティリスクを評価することもできます。新しいツールを承認した後、ITチームはユーザと協力し、適切なアクセスレベルや安全に使用するためのベストプラクティスなどを決定できます。

ユーザの教育

従業員は、シャドーITによってリスクを招いていることに必ずしも気付いていません。このため、リスクについて、またリスクを最小限に抑える方法についての従業員教育が重要です。ITチームは禁止事項を明確に示し、確立されたガバナンスプロトコルを回避せずにユーザが技術要件を満たすことのできる方法を説明しなければなりません。従業員とIT部門とのオープンなコミュニケーションによって、組織のセキュリティを損なわずに、ユーザの技術的なニーズを確実に満たすことができるようになります。

まとめ

シャドーITはすべてが悪いわけではありません。従業員の生産性と効率を向上させ、破壊的技術革新の有益な文化を生み出すために役立つことがあります。しかし、チェックしないでおくと、サイバー攻撃やデータハッキングにつながる重大なセキュリティギャップを招くこともあります。シャドーITがリスクを抑えて多くの機会をもたらすことができるように、組織は適切に管理しなければなりません。シャドーITの存在を把握することで、セキュリティやコンプライアンスを犠牲にすることなくユーザのニーズを満たし、士気を高め、改善を促進することができます。