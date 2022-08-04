従業員は通常、メリットがあると判断してシャドーITを導入しますが、シャドーIT資産は組織に潜在的なセキュリティー・リスクをもたらします。それらのリスクには次のようなものがあります。

ITの可視性とコントロールの喪失

ITチームは一般に特定のシャドーIT資産を認識していないため、これらの資産のセキュリティーの脆弱性には対処できません。IBM Security Randoriの「State of Attack Surface Management 2022 report（2022年攻撃対象領域管理の現状報告書）」よると、平均的な組織では資産管理プログラムによって特定されたよりも30％多くの資産が露出しています。エンドユーザーや部門チームは、これらの資産に対する更新・パッチ適用・構成・権限および重要なセキュリティーと規制管理の重要性を理解していない可能性があり、組織の危険に対する曝露状況がさらに悪化します。

データのセキュリティー不足

機微データは、セキュリティーで保護されていないシャドーITデバイスやアプリに保管されたり、これらのデバイスやアプリを介してアクセスされたり、送信されたりする可能性があり、企業はデータ侵害や漏洩のリスクにさらされます。シャドーITアプリケーションに保管されたデータは、公式に認可されたITリソースのバックアップ中に捕捉されないため、データが損失した場合、情報の回復が困難になります。また、シャドーITはデータの不整合を引き起こす可能性もあります。一元管理が行われずにデータが複数のシャドーIT資産に分散している場合、従業員は非公式な情報や無効になったまたは古い情報を使用して作業する可能性があります。

コンプライアンスの問題

医療保険の相互運用性と説明責任に関する法律を始め、ペイメントカード業界のデータセキュリティー基準や一般データ保護規則などの規制には、個人を特定できる情報の処理に関する厳しい要件があります。コンプライアンスの専門知識を持たない従業員や部門によって立ち上げられたシャドーITソリューションは、これらのデータ・セキュリティー基準を満たさず、罰金や組織に対する法的措置につながるおそれがあります。

ビジネスの非効率性

シャドーITアプリケーションは、認可されたITインフラと簡単に統合できないことがあり、共有情報や資産に依拠するワークフローを妨げるおそれがあります。ITチームが新しい認可対象資産を導入する際や、特定の部門にITインフラをプロビジョニングする際に、シャドーITリソースを考慮する可能性は低いです。その結果、IT部門は、ネットワークまたはネットワーク・リソースに変更を加え、チームが頼りにしているシャドーITの機能を中断しかねません。