HC
橋爪兼続
2023/07/21
テレワークやクラウドサービスの流行に伴い、シャドーITという問題が顕著になってきました。今回は、シャドーITとは何なのかということについてわかりやすく解説します。
シャドーITとは
シャドーITとは、従業員が組織の情報 システム 管理 部門が認証または追跡していないデバイス、ソフトウェア、アプリケーション、またはクラウドサービスなどの情報技術資産を使用することです。
最近はテレワーク等が浸透するに伴い、企業では新たなセキュリティ対策に取り組むようになりました。テレワークで、モバイルデバイスを利用する場合、事前に社内に申請し、承認された機器の利用に限定する、などです。しかし、従業員が様々な環境で働くため、従業員各々の使用環境を細かくコントロールすることは事実上不可能です。そのため、セキュリティ上の問題が散見されます。
具体的には、企業が承認していないPCやスマートフォン、タブレット等を業務に利用していたり、会社が許可をしていないクラウドサービスやアプリケーションを業務で使用していたりします。このように、会社が利用実態を把握していないデバイスやクラウドサービスのことをシャドーITと言います。殆どの場合は、個人が無許可で利用しているものなので、企業は対応を迫られています。
シャドーITの具体例は?
例えば、次のような事例がシャドーITに該当します。
個人のPCやスマートフォンを業務に使う
個人のUSBメモリに業務データをコピーして社外に持ち出す
シャドー IT と BYOD との違い
BYODとは、Bring Your Own Deviceの略で、業務への個人端末の持ち込みのことを指します。個人のPCやスマートフォンなどを業務に使用するという点ではシャドーITと同様です。しかしながら、BYODは会社が承認しているものに対して、シャドーITは、会社の承認がされていません。BYODの場合は、会社が利用を承認するにあたって、一定の基準に則って安全面の把握を管理しています。一方でシャドーITは、無秩序となります。 シャドーITを制限する方法としては、会社からパソコンやスマートフォンを支給する方法や、BYODとして個人の端末を使用し、それに対し対価を支給するという方法があります。
また、クラウドサービスでは、無料版を使用せずに会社で法人向けを契約して従業員に使用させるという手段があります。法人向けでは、無料版ではできないルールを設けることもあります。
シャドー IT が発生する場面とその問題点
シャドーITが発生する具体的な場面やその問題点として次のようなものがあります。
①SaaS(*1)の利用
基本的には従来、IT部門がシステムを選定/導入してきましたが、部門での導入や個人での利用により、適切なセキュリティ運用が担保されないまま、利用がされている可能性があります。この場合、それらのクラウドサービスを通して、社内のデータが漏洩するリスクがあります。また、この漏洩したデータにより、不正アクセスをされるなど二次的な危険性もあります。
*1 SaaS:Software as a Service
②無線LAN 無線LANにはパスワードがあればアクセス可能となります。パスワードは強度の弱い暗号方式を利用している場合があります。また、現在接続されているパソコンの設定を見ればパスワードを見ることができます。そのため、無線LANを使用していると、承認していない端末を接続することが可能となります。 また、無線LANには、敷地外からの不正アクセスを受ける可能性も残っており、ルーターの設置場所などを十分検討する必要があります。
③個人端末をパソコンへ接続
スマートフォンなどの個人端末を会社のパソコンにつなげば、外部ストレージとして利用することができます。そのため、会社の重要なデータも持ち出すことが可能となります。 また、スマートフォンがウイルスに感染していた場合、接続がきっかけとなり、社内のパソコンがウイルスに感染するセキュリティ リスクがあります。
④クラウド型のストレージサービス
DropboxやGoogleDrive等を業務で使用している場合もあります。業務のみならず個人でも大容量が保存が可能なため、個人での利用するケースも多くなっています。社員が業務用のストレージから個人用のストレージにデータを移行すると、データ漏洩に繋がります。
⑤チャットサービス
法人契約しているチャットサービスであれば内容を管理できますが、個人契約したものは会社が内容を把握することができません。そこで重要なデータのやりとりを行えば、重大なセキュリティ事案に繋がりかねません。
シャドーITとして利用されやすいもの
シャドーITは一般的に、個人のスマートフォンやタブレット、無料のオンラインサービスといったものに見られます。
個々人のデバイス
業務用デバイスが企業から提供されていない場合、従業員は自分のスマートフォン、タブレット、家庭のパソコンなどを使用する傾向があります。これらの個人デバイスは、シャドーITとなり得る要素であり、その管理は困難を伴うため、企業からデバイスを提供するなどの予防策が求められます。
メッセージングツール
個人的なメッセージングツールを、短い業務連絡に利用するケースもあります。特に、LINEなどの広く普及したSNSは便利なので、「ささいな連絡」に使われがちです。管理者としては、個人のSNSを監視することはできませんので、法人向けのメッセージングツールの導入を考えるべきです。
フリーメールサービス
フリーメールサービスも、個々人が簡単に利用でき、無料であるため、GmailやYahoo!メールなどはシャドーITとして使われる可能性があります。アカウントは手軽に作成でき、スマートフォンのアプリも完全に機能していて使いやすいです。
クラウドストレージサービス
個人でも無料で利用できるクラウドストレージは、DropboxやBoxなどが代表的ですが、これらのクラウドストレージもシャドーITとして利用されやすいです。ファイルのやりとりには便利で、スマートフォンやタブレットのアプリも完備されていて使いやすいです。
例えば、テレワークを行っているときに、急にファイルの共有が必要になることがあります。事前にファイル共有の手順が決まっていない場合、従業員は「どのようにファイルを共有するか」を個々に判断しなければなりません。その際、手軽に利用でき、効率的な無料のクラウドストレージが選ばれやすいです。
シャドー IT が起きやすい理由
主な理由としては、2点あります。
①利便性が高いサービスが増えた
インターネットを介したサービス(クラウドサービス)が増えたことにより非常に便利になりました。オンプレミスのサービスと比較して、簡単に利用することができるようになったため、特に利用影響やセキュリティを考慮することなく、個人で無許可でクラウドサービスを使用するケースが増えました。
②仕事の効率化
オンプレミスのサービスでは、社内からのアクセスに限定されていました。そのため、例えば資料を閲覧するためには、会社のオフィスに移動してサービスにアクセスする必要がありました。クラウドサービスを利用すれば、移動時間も無駄にせずに効率的に仕事を行うことができます。こうして様々な場所で業務を行うことができるようになった結果、自宅のPCやネットカフェの端末を使ってアクセスする=シャドーIT化するという状況をもたらしました。これらは悪意を持って行っているわけではありませんので、防止することは容易ではありません。
シャドー IT を防止するための対策
シャドーITを完全になくすことは事実上不可能です。しかしながら、次のような対策を行うことで、シャドーITを防ぐことができる可能性があります。
①必要なクラウドサービス・ツールを法人契約する。
規制するだけではシャドーITを防げません。社員の利用実態を把握することが重要です。社員がシャドーITを使用する原因としては、会社に必要なクラウドサービスやツールが不足していることが考えられます。 したがって、社員の利用状況を把握し、、利用クラウドサービスを法人契約することにより、確実に管理することができます。
②利用状況を把握する。
会社の情報の流れがどうなっているのか把握することが重要です。例えば、会社のパソコンから個人のクラウドサービスにアクセスしていないか、パソコンに個人端末を接続していないか等を把握することで、情報漏洩するリスクを軽減することが可能です。
③社員教育
一番重要なのは社員がルールを遵守することです。そのためには、なぜシャドーITを使用してはいけないのか十分理解させることが重要です。外部講師などを招聘して社員にセキュリティ教育を行うことも重要です。
シャドーITへの対策一覧
①シャドーITの必要性を排除する環境を構築
業務におけるITデバイスやサービスの利用について、社内での作業やリモートワークに関わらず、使い勝手がよく効率的な環境を提供することが重要です。
たとえば、メッセージングツールが使いやすい場合、業務に適したチャットサービスを提供したり、ファイル共有が必要な場合はビジネスプランのクラウドストレージを提供したりと、従業員が利便性を感じるような環境を整えることが求められます。
②ガイドラインを作成する
業務環境を整備したうえで、個人のデバイスや無料サービスの業務利用についてのガイドラインを策定することが有効です。
絶対に個人のデバイスやサービスを使用しなければならない状況などがある場合、システム管理者の承認を必要とするワークフローを作成すると良いでしょう。
これにより、シャドーITを抑制し、BYOD(自分のデバイスを持ち込む)に対する認識を持った管理を可能にします。
③ツールの使用禁止・許可に対して柔軟に対応する
全ての個人のデバイスやサービスを禁止するのではなく、従業員が使いやすいもの(操作性やスマホアプリに対応したサービスなど)を考慮し、従業員のニーズと企業の管理能力をバランス良く満たす解決策を提供することも重要です。
つまり、要望に柔軟に対応する管理体制を整えることが解決策の一つと言えます。
④アクセスを監視する
デバイスやツールの利用に対して柔軟に対応するためにも、アクセスを監視する体制を整えておくことが重要です。
シャドーIT とCASBの関係とは?
CASB(Cloud Access Security Broker)は、企業 側 がクラウドサービスを安全に利用するためのセキュリティツールです。CASBは企業のネットワークとクラウドサービスプロバイダーとの間に位置し、データの移動を監視・管理する役割を果たします。CASBは、不正アクセスの防止、データの暗号化、データ漏洩防止(DLP)、アクセスポリシーの適用、ユーザー行動の監視などの機能を提供します。
シャドーITとCASBの関係は以下のようになります:
シャドーITにより、企業内部でのデータ管理やセキュリティ状況が不透明になる可能性があります。特に、クラウドベースのアプリケーションやサービスが増加している現在、従業員が自己判断でこれらのサービスを利用すると、企業の重要な情報がリスクにさらされることがあります。
CASBは、シャドーITのリスクを軽減するのに役立つツールです。CASBを使用すると、企業は従業員が利用するクラウドサービスの可視性を高め、データの移動を制御し、不正アクセスを防止することができます。これにより、企業はシャドーITのリスクを管理し、セキュリティポリシーの遵守を確保することができます。
つまり、CASBはシャドーITがもたらす可能性のあるセキュリティリスクとデータ漏洩リスクを管理し、軽減するための重要なIT ツールと言えます。
CASBガイドはこちら
ダウンロード
まとめ
シャドーITは、会社が必要十分なシステムを提供し、社員がルールを守らないと発生します。システムも何でも導入すれば良いのではなく、セキュリティ面やコストなど多々検討するポイントがあります。 会社として何が最適なのかを検討し、シャドーITが発生しないようにしましょう。
シャドーITとは
テレワークやクラウドサービスの流行に伴い、シャドーITという問題が顕著になってきました。今回は、シャドーITとは何なのかということについてわかりやすく解説します。
シャドーITとは、従業員が組織の情報 システム 管理 部門が認証または追跡していないデバイス、ソフトウェア、アプリケーション、またはクラウドサービスなどの情報技術資産を使用することです。
最近はテレワーク等が浸透するに伴い、企業では新たなセキュリティ対策に取り組むようになりました。テレワークで、モバイルデバイスを利用する場合、事前に社内に申請し、承認された機器の利用に限定する、などです。しかし、従業員が様々な環境で働くため、従業員各々の使用環境を細かくコントロールすることは事実上不可能です。そのため、セキュリティ上の問題が散見されます。
具体的には、企業が承認していないPCやスマートフォン、タブレット等を業務に利用していたり、会社が許可をしていないクラウドサービスやアプリケーションを業務で使用していたりします。このように、会社が利用実態を把握していないデバイスやクラウドサービスのことをシャドーITと言います。殆どの場合は、個人が無許可で利用しているものなので、企業は対応を迫られています。
シャドーITの具体例は?
例えば、次のような事例がシャドーITに該当します。
個人のPCやスマートフォンを業務に使う
個人のUSBメモリに業務データをコピーして社外に持ち出す
シャドー IT と BYOD との違い
BYODとは、Bring Your Own Deviceの略で、業務への個人端末の持ち込みのことを指します。個人のPCやスマートフォンなどを業務に使用するという点ではシャドーITと同様です。しかしながら、BYODは会社が承認しているものに対して、シャドーITは、会社の承認がされていません。BYODの場合は、会社が利用を承認するにあたって、一定の基準に則って安全面の把握を管理しています。一方でシャドーITは、無秩序となります。 シャドーITを制限する方法としては、会社からパソコンやスマートフォンを支給する方法や、BYODとして個人の端末を使用し、それに対し対価を支給するという方法があります。
また、クラウドサービスでは、無料版を使用せずに会社で法人向けを契約して従業員に使用させるという手段があります。法人向けでは、無料版ではできないルールを設けることもあります。
シャドー IT が発生する場面とその問題点
シャドーITが発生する具体的な場面やその問題点として次のようなものがあります。
①SaaS(*1)の利用
基本的には従来、IT部門がシステムを選定/導入してきましたが、部門での導入や個人での利用により、適切なセキュリティ運用が担保されないまま、利用がされている可能性があります。この場合、それらのクラウドサービスを通して、社内のデータが漏洩するリスクがあります。また、この漏洩したデータにより、不正アクセスをされるなど二次的な危険性もあります。
*1 SaaS:Software as a Service
②無線LAN 無線LANにはパスワードがあればアクセス可能となります。パスワードは強度の弱い暗号方式を利用している場合があります。また、現在接続されているパソコンの設定を見ればパスワードを見ることができます。そのため、無線LANを使用していると、承認していない端末を接続することが可能となります。 また、無線LANには、敷地外からの不正アクセスを受ける可能性も残っており、ルーターの設置場所などを十分検討する必要があります。
③個人端末をパソコンへ接続
スマートフォンなどの個人端末を会社のパソコンにつなげば、外部ストレージとして利用することができます。そのため、会社の重要なデータも持ち出すことが可能となります。 また、スマートフォンがウイルスに感染していた場合、接続がきっかけとなり、社内のパソコンがウイルスに感染するセキュリティ リスクがあります。
④クラウド型のストレージサービス
DropboxやGoogleDrive等を業務で使用している場合もあります。業務のみならず個人でも大容量が保存が可能なため、個人での利用するケースも多くなっています。社員が業務用のストレージから個人用のストレージにデータを移行すると、データ漏洩に繋がります。
⑤チャットサービス
法人契約しているチャットサービスであれば内容を管理できますが、個人契約したものは会社が内容を把握することができません。そこで重要なデータのやりとりを行えば、重大なセキュリティ事案に繋がりかねません。
シャドーITとして利用されやすいもの
シャドーITは一般的に、個人のスマートフォンやタブレット、無料のオンラインサービスといったものに見られます。
個々人のデバイス
業務用デバイスが企業から提供されていない場合、従業員は自分のスマートフォン、タブレット、家庭のパソコンなどを使用する傾向があります。これらの個人デバイスは、シャドーITとなり得る要素であり、その管理は困難を伴うため、企業からデバイスを提供するなどの予防策が求められます。
メッセージングツール
個人的なメッセージングツールを、短い業務連絡に利用するケースもあります。特に、LINEなどの広く普及したSNSは便利なので、「ささいな連絡」に使われがちです。管理者としては、個人のSNSを監視することはできませんので、法人向けのメッセージングツールの導入を考えるべきです。
フリーメールサービス
フリーメールサービスも、個々人が簡単に利用でき、無料であるため、GmailやYahoo!メールなどはシャドーITとして使われる可能性があります。アカウントは手軽に作成でき、スマートフォンのアプリも完全に機能していて使いやすいです。
クラウドストレージサービス
個人でも無料で利用できるクラウドストレージは、DropboxやBoxなどが代表的ですが、これらのクラウドストレージもシャドーITとして利用されやすいです。ファイルのやりとりには便利で、スマートフォンやタブレットのアプリも完備されていて使いやすいです。
例えば、テレワークを行っているときに、急にファイルの共有が必要になることがあります。事前にファイル共有の手順が決まっていない場合、従業員は「どのようにファイルを共有するか」を個々に判断しなければなりません。その際、手軽に利用でき、効率的な無料のクラウドストレージが選ばれやすいです。
シャドー IT が起きやすい理由
主な理由としては、2点あります。
①利便性が高いサービスが増えた
インターネットを介したサービス(クラウドサービス)が増えたことにより非常に便利になりました。オンプレミスのサービスと比較して、簡単に利用することができるようになったため、特に利用影響やセキュリティを考慮することなく、個人で無許可でクラウドサービスを使用するケースが増えました。
②仕事の効率化
オンプレミスのサービスでは、社内からのアクセスに限定されていました。そのため、例えば資料を閲覧するためには、会社のオフィスに移動してサービスにアクセスする必要がありました。クラウドサービスを利用すれば、移動時間も無駄にせずに効率的に仕事を行うことができます。こうして様々な場所で業務を行うことができるようになった結果、自宅のPCやネットカフェの端末を使ってアクセスする=シャドーIT化するという状況をもたらしました。これらは悪意を持って行っているわけではありませんので、防止することは容易ではありません。
シャドー IT を防止するための対策
シャドーITを完全になくすことは事実上不可能です。しかしながら、次のような対策を行うことで、シャドーITを防ぐことができる可能性があります。
①必要なクラウドサービス・ツールを法人契約する。
規制するだけではシャドーITを防げません。社員の利用実態を把握することが重要です。社員がシャドーITを使用する原因としては、会社に必要なクラウドサービスやツールが不足していることが考えられます。 したがって、社員の利用状況を把握し、、利用クラウドサービスを法人契約することにより、確実に管理することができます。
②利用状況を把握する。
会社の情報の流れがどうなっているのか把握することが重要です。例えば、会社のパソコンから個人のクラウドサービスにアクセスしていないか、パソコンに個人端末を接続していないか等を把握することで、情報漏洩するリスクを軽減することが可能です。
③社員教育
一番重要なのは社員がルールを遵守することです。そのためには、なぜシャドーITを使用してはいけないのか十分理解させることが重要です。外部講師などを招聘して社員にセキュリティ教育を行うことも重要です。
シャドーITへの対策一覧
①シャドーITの必要性を排除する環境を構築
業務におけるITデバイスやサービスの利用について、社内での作業やリモートワークに関わらず、使い勝手がよく効率的な環境を提供することが重要です。
たとえば、メッセージングツールが使いやすい場合、業務に適したチャットサービスを提供したり、ファイル共有が必要な場合はビジネスプランのクラウドストレージを提供したりと、従業員が利便性を感じるような環境を整えることが求められます。
②ガイドラインを作成する
業務環境を整備したうえで、個人のデバイスや無料サービスの業務利用についてのガイドラインを策定することが有効です。
絶対に個人のデバイスやサービスを使用しなければならない状況などがある場合、システム管理者の承認を必要とするワークフローを作成すると良いでしょう。
これにより、シャドーITを抑制し、BYOD(自分のデバイスを持ち込む)に対する認識を持った管理を可能にします。
③ツールの使用禁止・許可に対して柔軟に対応する
全ての個人のデバイスやサービスを禁止するのではなく、従業員が使いやすいもの(操作性やスマホアプリに対応したサービスなど)を考慮し、従業員のニーズと企業の管理能力をバランス良く満たす解決策を提供することも重要です。
つまり、要望に柔軟に対応する管理体制を整えることが解決策の一つと言えます。
④アクセスを監視する
デバイスやツールの利用に対して柔軟に対応するためにも、アクセスを監視する体制を整えておくことが重要です。
シャドーIT とCASBの関係とは?
CASB(Cloud Access Security Broker)は、企業 側 がクラウドサービスを安全に利用するためのセキュリティツールです。CASBは企業のネットワークとクラウドサービスプロバイダーとの間に位置し、データの移動を監視・管理する役割を果たします。CASBは、不正アクセスの防止、データの暗号化、データ漏洩防止(DLP)、アクセスポリシーの適用、ユーザー行動の監視などの機能を提供します。
シャドーITとCASBの関係は以下のようになります:
シャドーITにより、企業内部でのデータ管理やセキュリティ状況が不透明になる可能性があります。特に、クラウドベースのアプリケーションやサービスが増加している現在、従業員が自己判断でこれらのサービスを利用すると、企業の重要な情報がリスクにさらされることがあります。
CASBは、シャドーITのリスクを軽減するのに役立つツールです。CASBを使用すると、企業は従業員が利用するクラウドサービスの可視性を高め、データの移動を制御し、不正アクセスを防止することができます。これにより、企業はシャドーITのリスクを管理し、セキュリティポリシーの遵守を確保することができます。
つまり、CASBはシャドーITがもたらす可能性のあるセキュリティリスクとデータ漏洩リスクを管理し、軽減するための重要なIT ツールと言えます。
CASBガイドはこちら
ダウンロード
まとめ
シャドーITは、会社が必要十分なシステムを提供し、社員がルールを守らないと発生します。システムも何でも導入すれば良いのではなく、セキュリティ面やコストなど多々検討するポイントがあります。 会社として何が最適なのかを検討し、シャドーITが発生しないようにしましょう。
よくある質問
シャドーITとはどういう意味ですか?
シャドーITは、情報システム部門などが関与せず、ユーザー部門が独自に導入したIT機器やシステム、クラウドサービスなどを指します。
シャドーITの具体例は?
シャドーITの具体例は、組織のシステム管理部門が把握していない(無許可の)、個人が独自に業務利用するIT資産(PCやスマートフォン・クラウドサービスなど)を指します。具体的な例としては、個人所有のデバイスやフリーメール、未承認のチャットサービスやクラウドストレージ、フリーWi-Fiの利用などが該当します。
シャドーITの問題点は何ですか?
シャドーITの問題点の一つは、セキュリティ面です。シャドーITはセキュリティが不十分なケースが多く、社員が重要情報を外部に漏らす危険性があります。これが重大なコンプライアンス違反に発展すると、企業の信頼失墜や売上減少につながる可能性があります。
シャドーITに該当するものはどれか?
シャドーITに該当するものは以下です。
従業員が許可なく所有し、業務に使用する個人のパソコン、スマートフォン、タブレット。
組織の承認を経ずに利用されている外部のサービスやアプリケーション。
IT製品やITの活用を通じて、地球環境への負荷を低減する取り組みは、環境に配慮したIT活用の一環として、グリーンITとして知られています。
攻撃対象者のディスプレイやキータイプを物陰から盗み見て情報を盗み出す行為は、ショルダーハッキングに該当します。これは、肩越しに他人の情報を盗む手法です。
ネットワーク上のコンピュータに侵入する準備として、侵入対象の弱点を探るために組織や所属する従業員などの情報を収集する行為は、フットプリンティングに該当します。これは、侵入の際に有用な情報を把握するための事前調査です。
シャドーITのセキュリティ対策の必要性とは?
シャドーITを無視することは、情報漏洩、不正アクセス、マルウェア感染などのセキュリティリスクを招く可能性があります。将来的に、BYOD(自分のデバイスを持ち込んで使用する)、リモートワークなど、働き方の変化に伴い、シャドーITの使用機会は増加するでしょう。したがって、シャドーITを防ぐ必要性は高まっています。
シャドーITリスクとは何ですか?
シャドーITは、企業の管理部門の許可なしに従業員が独自に導入するIT機器やソフトウェアなどを指します。シャドーITは適切に管理されないため、潜在的な脆弱性が存在し、情報漏えいやマルウェア感染などのリスクが高まる可能性があります。
BYODとはどういう意味ですか?
BYOD(Bring Your Own Device)は、個人が所有するPCやスマートフォンなどの私物を業務で使用する形態を指します。この利用形態により、従業員は自分の使い慣れたデバイスを仕事に活用できるため、その利点があります。
シャドーITとBYODの違いは何ですか?
BYOD(Bring Your Own Device)は、個人のデバイスを企業が許可して業務で使用することを指します。対照的に、シャドーITは企業が認識しておらず、許可を得ていないデバイスやツールを使用することを指します。要するに、両者の主要な違いは、企業が個人デバイスの使用を許可し、管理しているかどうかです。
シャドーITが発生する原因は?
シャドーITが発生する原因はいくつかありますが、その一因として挙げられるのは、社員が必要なクラウドサービスやツールが企業内で提供されておらず、不足していることです。このため、社員は必要な業務を遂行するために自己裁量でクラウドサービスを利用し、シャドーITが形成されることがあります。シャドーITの発生を防ぐためには、社員の利用状況を正確に把握し、必要なクラウドサービスを法人契約するなど、きめ細かな管理が求められます。
情報セキュリティとは何ですか?
情報セキュリティは、私たちがデバイスやインターネットを使う際に、大切な情報が漏れたり、損傷したりしないように保護することです。情報セキュリティを脅かす不正アクセスやウイルス攻撃などは「セキュリティインシデント」と呼ばれます。これを防ぐために、情報セキュリティではCIA(機密性、完全性、可用性)と呼ばれる3つの要素が重要視されます。
シャドーITの対義語は?
シャドーITの対義語は、「サンクションドIT(Sanctioned IT)」です。サンクションドITは、企業が自社で契約したか、利用を許可した正規のサービスを指します。
シャドーITのインシデント事例は?
シャドーITに関連するインシデント事例の一例として、個人が無許可でサービス契約を行った結果、オンラインストレージのサーバが悪意のある攻撃者に不正アクセスを受け、利用者の個人情報が流出するケースが挙げられます。
サンクションITとは何ですか?
サンクションITは、企業が承認し把握しているIT機器やアプリケーションを指します。これには、会社支給の端末や、メーラーやスケジューラー、ファイルサーバーなど、企業が業務上で必要としているツールが含まれます。
シャドーITを防ぐにはどうすればいいですか?
シャドーITを防ぐためには、デバイスやサービスの利用に柔軟に対応しつつ、サービスへのアクセス状況を監視・検知できるツールを導入することが効果的です。その中でも、クラウドサービスの利用状況を可視化できる「CASB(キャスビー)」が代表的なツールの一つです。
シャドーITの現状の課題は?
シャドーITの主な課題は、セキュリティ面での問題です。シャドーITはセキュリティが不十分なケースが多く、社員が重要な情報を外部に漏らす危険性があります。これが重大なコンプライアンス違反に発展すると、企業の信頼失墜や売上減少といった悪影響をもたらす可能性があります。
シャドーITの対策は?
シャドーITへの対策には以下のアプローチがあります。
ポリシーの策定とコミュニケーション: 企業はIT利用のポリシーを策定し、社員に明確に伝える必要があります。これには許可されているツールやサービス、セキュリティ規定などが含まれます。
教育とトレーニング: 従業員に対して、セキュリティリスクやコンプライアンスに関するトレーニングを行うことが重要です。従業員がリスクを理解し、適切に対処できるようになることが期待されます。
セキュリティツールの導入: クラウドアクセスセキュリティブローカー(CASB)やエンドポイントセキュリティツールなど、シャドーITを検知し、管理するための専門ツールの導入が有効です。
適切なクラウドサービスの提供: セキュリティ対策の整った公認のクラウドサービスを提供し、従業員がこれを利用するよう奨励することで、セキュリティ上のリスクを低減できます。
監査とモニタリング: シャドーITの利用状況を定期的に監査し、モニタリングすることで、標準ポリシーに違反する活動を検知しやすくなります。
これらの対策を組み合わせることで、シャドーITによるセキュリティリスクを最小限に抑えつつ、組織内のIT環境を適切に管理できます。
BYODが禁止されている理由は何ですか?
BYODが禁止される主な理由は、セキュリティリスクです。個人端末ではさまざまなWebサイトやアプリケーションを利用することがあり、それが原因でウイルス感染や不正アクセスなどの被害に遭う可能性があります。また、個人端末は外部に持ち出す機会が多いため、盗難や紛失による情報漏えいのリスクもゼロではありません。
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。