ホーム

Topics

シャドーIT

シャドーITとは
IBMのシャドーITソリューションの詳細はこちら セキュリティーの最新情報を購読する
クラウド、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト
シャドーITとは

シャドーITとは、IT部門の承認・知識・監督なしに企業ネットワーク上で使用されるソフトウェアやハードウェアまたは情報技術(IT)リソースのことです。

シャドーITの例としては、個人のクラウド・ストレージ・アカウントで仕事用ファイルを共有したり、会社が別の承認済みサービスを利用しているときに無許可のビデオ会議プラットフォームを介して会議を開いたり、IT部門の承認なしに非公式のグループ・チャットを作成したりなどが挙げられます。

シャドーITには、ハッカーによって仕掛けられたマルウェアやその他の悪意のある資産は含まれません。これは、ネットワークの承認されたエンドユーザーによって展開された未承認の資産のみを指します。

エンドユーザーやチームがシャドーITを採用する主な理由は、IT部門の承認を待たずに使用を開始できるため、または他のIT部門が提供する機能よりもシャドーITのほうが目的に適した機能を備えていると感じるためです。しかし、こうしたメリットがあるとはいえ、シャドーIT は重大なセキュリティー・リスクをもたらす可能性があります。IT チームがシャドーITを認識していないため、それらの資産の監視や脆弱性の対処もありません。シャドーITは、特にハッカーに容易に悪用されます。ESGの「State of Attack Surface Management 2022 report(2022年攻撃対象領域管理の現状報告書)」によると、2021年から2022年にかけて、10社中7社近くの組織がシャドーIT によって侵害されています。

データ侵害のコスト

最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。

関連コンテンツ X-Force Threat Intelligenceインデックスに登録する
シャドーITの原因

CISCO社によると(ibm.com外部へのリンク)、企業の従業員の80%がシャドーITを利用しています。個々の従業員は、利便性と生産性のためにシャドーITを採用することが多く、会社が認可したITではなく、個人のデバイスと好みのソフトウェアを使用した方が効率的または効果的に作業できると感じています。

これは、ITの消費者化と、最近ではリモートワークの増加によってさらに増加しています。SaaS(サービスとしてのソフトウェア)を使用すると、クレジットカードと最低限の技術的知識があれば、誰でもコラボレーションやプロジェクト管理、コンテンツ作成などのための高度なITシステムを導入できます。組織の個人所有デバイスの業務使用(BYOD)により、従業員は企業ネットワーク上で自分のコンピューターやモバイル・デバイスを使用できます。しかし、正式なBYODプログラムが導入されている場合でも、ITチームは従業員がBYODハードウェアで使用するソフトウェアやサービスを把握できないことが多く、従業員の個人用デバイスにITセキュリティー・ポリシーを適用することが困難な場合があります。

しかし、シャドーITは必ずしも従業員が単独で行動した結果とは限りません。シャドーITアプリケーションはチームでも採用されています。Gartner社(ibm.com外部へのリンク)によると、テクノロジー関連の購入の38%は、IT部門ではなくビジネス・リーダーによって管理・定義・制御されています。チームは新しいクラウド・サービスやSaaSアプリケーション、その他の情報テクノロジーを導入したいと考えていますが、IT部門やCIOが実施する調達プロセスは負担が大きすぎるか、または時間がかかると感じることがよくあります。そのため、欲しい新しいテクノロジーを手に入れるためにIT部門を避けてしまうのです。例えば、ソフトウェア開発チームは、正式な承認プロセスにより開発が遅れ、市場機会を逃してしまう可能性があるため、IT部門に相談せずに新しい統合開発環境を導入することがあり得ます。

シャドーITの例

認可されていないサードパーティーのソフトウェアやアプリ、サービスは、おそらくシャドーITの最も蔓延した形態です。一般的な例は次のとおりです。

  • TrelloやAsanaなどの生産性向上アプリ

  • ・Dropbox、Google Docs、Google Drive、Microsoft OneDrive などのクラウド・ストレージやファイル共有、ドキュメント編集アプリケーション

  • Skype、Slack、WhatsApp、Zoom、Signal、Telegram、個人のEメール・アカウントなどの通信およびメッセージング・アプリ

これらのクラウド・サービスやSaaS製品は、多くの場合、アクセスが簡単で直感的に使用でき、無料または非常に低コストで利用できるため、チームが必要に応じて迅速に導入できます。多くの場合、従業員はこれらのシャドーITアプリケーションを私生活ですでに使用しているため、職場に持ち込みます。従業員は、顧客やパートナーまたはサービス・プロバイダーからこれらのサービスの使用を招待される場合もあります。例えば、従業員がクライアントの生産性向上アプリに参加してプロジェクトで共同作業することは珍しいことではありません。

従業員の個人用デバイス(スマートフォン、ノートPC、USBドライブや外付けハードドライブなどのストレージ・デバイス)も、シャドーITの一般的なものです。従業員は、デバイスを使用してネットワーク・リソースにリモートでアクセスし、保存または送信することも、正式なBYODプログラムの一部としてオンプレミスで使用することもできます。いずれにせよ、IT部門が従来の資産管理システムでこれらのデバイスを検出・監視・管理することは困難なことがよくあります。

シャドーITのリスク

従業員は通常、メリットがあると判断してシャドーITを導入しますが、シャドーIT資産は組織に潜在的なセキュリティー・リスクをもたらします。それらのリスクには次のようなものがあります。

ITの可視性とコントロールの喪失

ITチームは一般に特定のシャドーIT資産を認識していないため、これらの資産のセキュリティーの脆弱性には対処できません。IBM Security Randoriの「State of Attack Surface Management 2022 report(2022年攻撃対象領域管理の現状報告書)」よると、平均的な組織では資産管理プログラムによって特定されたよりも30%多くの資産が露出しています。エンドユーザーや部門チームは、これらの資産に対する更新・パッチ適用・構成・権限および重要なセキュリティーと規制管理の重要性を理解していない可能性があり、組織の危険に対する曝露状況がさらに悪化します。

データのセキュリティー不足

機微データは、セキュリティーで保護されていないシャドーITデバイスやアプリに保管されたり、これらのデバイスやアプリを介してアクセスされたり、送信されたりする可能性があり、企業はデータ侵害や漏洩のリスクにさらされます。シャドーITアプリケーションに保管されたデータは、公式に認可されたITリソースのバックアップ中に捕捉されないため、データが損失した場合、情報の回復が困難になります。また、シャドーITはデータの不整合を引き起こす可能性もあります。一元管理が行われずにデータが複数のシャドーIT資産に分散している場合、従業員は非公式な情報や無効になったまたは古い情報を使用して作業する可能性があります。

コンプライアンスの問題

医療保険の相互運用性と説明責任に関する法律を始め、ペイメントカード業界のデータセキュリティー基準や一般データ保護規則などの規制には、個人を特定できる情報の処理に関する厳しい要件があります。コンプライアンスの専門知識を持たない従業員や部門によって立ち上げられたシャドーITソリューションは、これらのデータ・セキュリティー基準を満たさず、罰金や組織に対する法的措置につながるおそれがあります。

ビジネスの非効率性

シャドーITアプリケーションは、認可されたITインフラと簡単に統合できないことがあり、共有情報や資産に依拠するワークフローを妨げるおそれがあります。ITチームが新しい認可対象資産を導入する際や、特定の部門にITインフラをプロビジョニングする際に、シャドーITリソースを考慮する可能性は低いです。その結果、IT部門は、ネットワークまたはネットワーク・リソースに変更を加え、チームが頼りにしているシャドーITの機能を中断しかねません。

シャドーITのメリット

以前は、組織がシャドーITを完全に禁止することでこれらのリスクを軽減しようとすることがよくありました。しかし、ITリーダーはシャドーITを必然的なものとして受け入れることが増え、シャドーITのビジネス上のメリットを重視する人も多くなりました。そのメリットは以下のとおりです。

  • ビジネス環境の変化や新しいテクノロジーの進化にチームがより機敏に対応できるようにする

  • 従業員が自分の仕事に最適なツールを使用できるようになる

  • 新たなIT資産の調達に必要なコストとリソースを削減し、ITオペレーションを合理化する

これらのメリットを犠牲にすることなくシャドーITのリスクを軽減するために、多くの組織は現在、シャドーITを完全に禁止するのではなく、標準的なITセキュリティー・プロトコルに合わせることを目指しています。そのために、ITチームは、組織のインターネットに接続されたIT資産を継続的に監視し、採用されたシャドーITを検出して特定する攻撃対象領域管理ツールなどのサイバーセキュリティー・テクノロジーを実装することがよくあります。こうすることで、これらのシャドー資産の脆弱性を評価して修正できるようになります。

組織は、クラウド資産セキュリティー・ブローカー(CASB)ソフトウェアを使用することもできます。これにより、従業員と従業員が使用するクラウド資産(既知の資産と未知の資産を含む)との間の安全な接続が保証されます。CASBはシャドウー・クラウド・サービスを検出し、暗号化やアクセス・コントロール・ポリシー、マルウェア検知などのセキュリティー対策の対象にすることができます。

IBMソリューション
サイバーセキュリティー・ソリューション

IBM Securityの包括的なサイバー・セキュリティー・ソフトウェアを使用して、不確実性に対する企業のレジリエンスを強化しましょう。

サイバーセキュリティー・ソリューションの詳細
データ・セキュリティー・ソリューション

企業データを複数の環境にわたって保護し、プライバシー規制を満たし、複雑な運用を簡素化します。

データ・セキュリティーの詳細を見る
クラウド・セキュリティー・ソリューション

IBM Securityの製品と専門知識により、ハイブリッドクラウドやマルチクラウドのセキュリティー・プログラムにおいて、制御を統合し、ワークロードの展開をオーケストレーションし、脅威を効果的に管理しましょう。

クラウドセキュリティソリューションの詳細を見る
参考情報 サイバーセキュリティーとは何か

サイバーセキュリティー・テクノロジーとベスト・プラクティスは、絶えず増大して進化し続ける脅威から、重要なシステムと機密情報を保護します。

攻撃領域管理とは

攻撃対象領域管理は、サイバー攻撃に対する脆弱性を組織が検出し、優先順位を付け、修復する支援を行うものです。

IT資産管理(ITAM)とは

ITAMは、すべての資産が適切に使用・保守およびアップグレードされ、ライフサイクル終了時に廃棄されることを保証します。

次のステップ

ハイブリッドクラウドの普及と永続的なリモートワークフォースのサポートにより、企業の攻撃対象領域を管理することが不可能になりました。IBM Security Randri Reconは、継続的で正確な検出プロセスを使用してシャドー ITを発見します。Randriは、誤検知を減らして目標を達成し続け、合理化されたワークフローと既存のセキュリティー・エコシステムとの統合を通じて全体的な回復力を向上させます。

Randori Reconの詳細はこちら デモの予約