シャドーITとは
シャドーITとは、IT部門の承認や監視なしに従業員またはエンド・ユーザーによって使用されるすべてのITリソースを指します。
Young student in eyeglasses typing information for course work on keyboard of modern laptop device using wireless internet in stylish flat
シャドーITとは

シャドーITとは、IT部門の承認なしに、また多くの場合、IT部門がその存在を知らないために監視していない状況で、エンタープライズ・ネットワーク上で使用されるすべてのソフトウェア、ハードウェア、ITリソースを指します。 シャドーITの例には、個人所有のDropboxアカウントやサム・ドライブで作業ファイルを共有する、会社ではWebExが使用されているにもかかわらずSkypeでミーティングを行う、IT部門の承認なしにSlackのグループを立ち上げるなどがあります。

シャドーITには、ハッカーによって植え付けられた マルウェア などの悪意のある資産は含まれません。 シャドーITと呼ばれるのは、ネットワークの許可エンド・ユーザーによってデプロイされた未承認の資産のみです。

一般的に、エンド・ユーザーやチームがシャドーITを導入するのは、IT部門の承認を待つ必要なしに使用を開始できる、あるいはIT部門の代替案よりシャドーITが自分たちの目的に対してより優れた機能を提供するように思われるからです。 しかし、これらの利点にもかかわらず、シャドーITは重大なセキュリティー・リスクをもたらす可能性があります。 シャドーITの存在に気付いていないため、ITチームはこのような資産を監視することも、その脆弱性に対処することもできません。 シャドーITは、特にハッカーに悪用されやすい傾向があります。 Randori社の 2022年の攻撃対象領域管理に関する 調査によると、過去1年間で、10社中ほぼ7社の組織がシャドーITによる不正アクセスを受けました。

シャドーITの原因

Cisco社によると 、企業の従業員の80%がシャドーITを使用しています。 個々の従業員が、利便性と生産性のためにシャドーITを利用するのはよくあることです。これらの従業員は、会社で承認されたITリソースの代わりに、自分が所有するデバイスや好みのソフトウェアを使用する方がより効率的または効果的に作業できると思っています。

この傾向は、ITの普及と、より最近ではリモートワークの台頭によって増加しています。 Software as a Service(SaaS)を利用すると、クレジット・カードと必要最小限の技術的な知識さえあれば、誰でも洗練されたITシステムを導入して、コラボレーション、プロジェクト管理、コンテンツ作成などを実現できます。 組織の個人所有デバイスの業務利用(BYOD)ポリシーにより、従業員は個人所有のコンピューターやモバイル・デバイスを企業のネットワーク上で使用することが許されています。 しかし、正式なBYODプログラムが整備されていても、ITチームには、BYODハードウェア上で従業員が使用するソフトウェアやサービスに対する可視性が欠如していることが多いため、従業員の個人所有のデバイス上でITセキュリティー・ポリシーを適切に適用することは困難です。

ただし、シャドーITは必ずしも従業員が個人的に勝手に導入したものであるとは限りません。シャドーITアプリケーションはチームによって採用されることもあります。 Gartner社によると、テクノロジー購入の38%は、IT部門ではなく、ビジネス部門の責任者によって管理、決定、統制されています。 チームが新しいクラウド・サービス、SaaSアプリケーションなどの情報技術を導入したいと考えているとします。しかし、これらのチームは、IT部門やCIOによって実施される調達プロセスが非常に面倒であったり、遅いと感じがちです。 そのため、チームはIT部門を回避して、必要な新しいテクノロジーを手に入れるのです。 例えば、正式な承認プロセスを経ると開発が遅れ、会社が市場機会を逃す恐れがあるという理由で、ソフトウェア開発チームがIT部門に相談せずに、新しい統合開発環境(IDE)を導入するような場合があります。

シャドーITの例

未承認のサード・パーティー製のソフトウェア、アプリケーション、サービスは、おそらく最もまん延しているシャドーITの形態でしょう。 一般的な例には以下があります。

  • TrelloやAsanaなどの、生産性向上アプリ

  • Dropbox、Google Docs、Google Drive、Microsoft OneDriveなどの、クラウド・ストレージ、ファイル共有、ドキュメント編集用のアプリケーション

  • Skype、Slack、WhatsApp、Zoom、Signal、Telegram、個人のメール・アカウントなどの、通信アプリやメッセージング・アプリ

多くの場合、これらのクラウド・サービスやSaaSオファリングは簡単にアクセスし、直感的に使用できる上に、無料または非常に低コストで利用できるため、チームは必要に応じて素早くデプロイできます。 また、既に個人的に使用しているために、従業員がこのようなシャドーITアプリケーションを職場に持って来ることもよくあります。 さらに、従業員が、顧客、パートナー、サービス・プロバイダーなどからこれらのサービスを使用するように勧められることもあります。例えば、従業員がクライアントの生産性向上アプリに登録してプロジェクトでコラボレーションを行うことも珍しくありません。

従業員の個人所有デバイス(スマートフォン、ノートPC、USBドライブや外付けハード・ディスクなどのストレージ・デバイス)は、もう1つの一般的なシャドーITの形態です。 従業員が、自分のデバイスを使用してリモートでネットワーク・リソースにアクセスし、このようなリソースを保存または転送している可能性があります。また、このようなデバイスを、正式なBYODプログラムの一部としてオンプレミスで使用している可能性もあります。 いずれにしても、多くの場合、IT部門が従来型の資産管理システムを搭載したこれらのデバイスを検知、監視、管理することは困難です。

シャドーITのリスク

従業員は通常、利点を利用するためにシャドーITを導入するのですが、その結果、シャドーIT資産は潜在的なセキュリティー・リスクを組織にもたらします。 このようなリスクには以下があります。

  • IT部門の可視性と制御の喪失:ITチームは通常、具体的なシャドーIT資産を認識していないため、これらの資産のセキュリティーの脆弱性への対処は行われません。 Randori社の2022年の攻撃対象領域管理に関する調査によると、平均的な組織では、その資産管理プログラムで特定されたより30%多くの資産が危険にさらされていました。 エンド・ユーザーや部門チームはこれらの資産の更新、パッチ適用、構成、アクセス権、不可欠なセキュリティーや規制の制御の重要性を十分に理解していない可能性があるため、組織をさらに危険にさらすことになります。
  • データの安全性:機密データは、セキュリティー対策が施されていないシャドーITデバイスやアプリケーションによって保存、アクセス、送信される可能性があり、その結果会社はデータの侵害や漏えいの危険にさらされます。 シャドーITアプリケーションに保存されたデータは、正式に承認されたITリソースのバックアップ中に見つけられることはないため、データ損失後の情報のリカバリーが困難になります。 また、シャドーITはデータ不整合の一因にもなります。一元管理されずにデータが複数のシャドーIT資産間に分散された状態では、従業員が作業中に非公式な、無効な、あるいは古い情報を使用してしまう可能性があります。
  • コンプライアンスの問題:医療保険の相互運用性と説明責任に関する法令(HIPAA)、Payment Card Industry Data Security Standard(PCI DSS)、一般データ保護規則(GDPR)などの規制には、個人を特定できる情報(PII)の処理に関する厳しい要件が含まれています。 コンプライアンスに関する専門知識のない従業員や部門によって作成されたITソリューションは、これらのデータ・セキュリティー標準の要件を満たせないために、組織に対して罰金の支払いが命じられたり、訴訟が起こされる可能性があります。

  • ビジネスの非効率性:シャドーITアプリケーションは承認済みのITインフラストラクチャーと容易に統合できないため、共用情報や共有資産に依存するワークフローを妨害する可能性があります。 新しい承認済みの資産を導入する、または特定の部門向けにITインフラストラクチャーをプロビジョニングする際に、ITチームがシャドーITリソースの存在を把握している可能性はありません。 その結果、チームが依存しているシャドーIT資産の機能を妨げるような方法で、IT部門がネットワークまたはネットワーク・リソースに変更を加える可能性があります。

シャドーITの利点

従来、組織はしばしば、シャドーITを完全に禁止することでこれらのリスクを軽減しようとしてきました。 しかし、ITリーダーは次第にシャドーITを避けられないものとして受け入れるようになってきており、また多くがシャドーITのビジネス上の利点を進んで利用するようになってきています。 このような利点には以下があります。

  • ビジネス環境や新しいテクノロジーの進化における変化に対応する際に、チームがより高い俊敏性を発揮できる

  • 従業員が自分の仕事に最適なツールを使用できる

  • 新しいIT資産の調達に必要なコストとリソースを削減することで、 ITの運用を合理化できる

これらの利点を犠牲にしないでシャドーITのリスクを軽減するために、多くの組織では今や、シャドーITを全面的に禁止するのではなく、シャドーITを標準のITセキュリティー・プロトコルに合わせようとしています。 その目的に向けて、ITチームはしばしば、攻撃対象領域管理(ASM)ツールなどのサイバーセキュリティー・テクノロジーを実装しています。攻撃対象領域管理ツールとは、組織のインターネットに接続されているIT資産を継続的に監視して、シャドーITが導入されるとこれを検知および特定するためのツールです。 こうすることで、これらのシャドー資産の脆弱性を評価し、修復することができます。 

また、クラウド・アクセス・セキュリティー・ブローカー(CASB)ソフトウェアを使用する場合もあります。これは、従業員と従業員が使用するすべてのクラウド資産(既知と未知の両方の資産を含む)の間のセキュアな接続を確立するソフトウェアです。 CASBは、シャドー・クラウド・サービスを見つけ、これらのサービスを暗号化、アクセス制御ポリシー、マルウェア検知などのセキュリティー対策の支配下に置きます。 

IBMソリューション
サイバーセキュリティー・ソリューション

IBM Security®は、不確実性に満ちた今日の社会での成功を支援するエンタープライズ向けサイバーセキュリティー・ソリューションを提供します。

サイバーセキュリティー・ソリューションの詳細はこちら
データ・セキュリティー・ソリューション

複数の環境にわたって企業データを保護し、プライバシー規制を満たし、運用の複雑さを簡素化します。

データ・セキュリティーの詳細はこちら
クラウド・セキュリティー・ソリューション

まとまりのあるハイブリッド・マルチクラウド・セキュリティー・プログラムを管理するには、可視性とコントロールを確立する必要があります。 IBM Securityの製品と専門家は、適切な制御の統合、ワークロード・デプロイメントの調整、効果的な脅威管理の確立を支援します。

クラウド・セキュリティー・ソリューションの詳細はこちら
参考情報 サイバーセキュリティーとは

サイバーセキュリティー・テクノロジーとベスト・プラクティスにより、絶えず進化し、増加の一途をたどる脅威から、重要なシステムと機密情報が保護されます。

攻撃対象領域管理とは

攻撃対象領域管理は、組織がサイバー攻撃に対する脆弱性を検出、優先順位付け、評価、修正するのに役立ちます。

IT資産管理(ITAM)とは

ITAMは、すべての資産が適切に使用、維持、アップグレードされ、そのライフサイクルの終了時に適切に廃棄されるようにします。