シャドー IT の説明: 総合ガイド [統計付き]

シャドー IT (または企業の明示的な承認を得ずにソフトウェア、システム、デバイスを使用すること) は一部の従業員の仕事を楽にするかもしれませんが、この慣行には組織が対処する必要がある重大な欠点もあります。 この記事では、シャドー IT とは何か、データ侵害やデータ漏洩に関してシャドー IT が重要である理由、 など、シャドー IT の影響を最小限に抑えるために IT チームが実行できるすべての手順について説明します。最後に、シャドー IT はある程度避けられないため、完全に排除するのではなく、その可能性を活用する可能性を評価します。 シャドー IT 検出および監視ツールの使用 シャドーITとは何ですか? 従業員または部門がニーズを満たすためにテクノロジーを採用または展開しているにもかかわらず、そのことを IT チームに通知していない場合に発生します。 シャドー IT は、 次のような不正なものが含まれます。 シャドー IT の一般的な例には、 ソフトウェアアプリケーション クラウドサービス（Dropboxなど） コミュニケーション ツール (WhatsApp や Trello など) 仕事関連のタスク用の個人用デバイス。 たとえば、個人の Dropbox アカウントにアクセスしたり、Skype (会社に WebEx がある場合) を使用したり、サム ドライブとの間でファイルをコピーしたりすることを考えてください。 これらはすべて、デジタル ツールが不正に使用された例であり、侵害された場合に組織を危険にさらす可能性があります。 なぜ企業内でシャドーITが発生するのでしょうか? クラウド テクノロジーと Software-as-a-Service (SaaS) の急速な進化により、近年、シャドー IT が普及し、複雑化しています。 多くの場合、ビジネスユニットはデジタル変革を推進するために独自に新しいアプリケーションを採用し始めました。たとえば、ファイル共有プログラム、プロジェクト管理ツール、上記のようなクラウドベースのサービスなどです。 結果？大企業の IT 支出の シャドー IT であり、企業は不要な SaaS ライセンスやツールに 以上を無駄にしています。さらに、2023 年のレポートでは、すべての SaaS アプリの 未承認のアプリ (または IT 部門が承認していないアプリ) であることが示されました。 30% ～ 40% は 年間 135,000 ドル 65% が シャドーITの例 説明したように、シャドー IT とは、IT 部門の明示的な承認なしに IT システム、デバイス、ソフトウェア、アプリケーション、およびサービスを使用することを指します。その柔軟性と利便性により、多くの組織で広く採用されています。ただし、一定のリスクを伴う一方で、適切に管理すれば利益も得られます。 シャドー IT がどのように活用されているかを理解するために、いくつかの例を見てみましょう。 : クラウド コンピューティングの出現により、従業員はファイル共有やコラボレーションに Google Drive、Dropbox、OneDrive などのサードパーティ クラウド サービスを使用することが増えています。これらのツールは、どこからでもデータに簡単にアクセスでき、コラボレーションを促進しますが、多くの場合、IT 部門の監督なしで使用されます。 クラウド サービス : Slack、WhatsApp、Microsoft Teams などのツールは、迅速で非公式なコミュニケーションのために従業員によってよく使用されます。これらのプラットフォームでは、即時のコミュニケーションが可能になるため、生産性が向上します。ただし、適切な暗号化やセキュリティ プロトコルを使用せずに機密情報を共有すると、セキュリティ リスクが生じる可能性もあります。 コミュニケーション ツール : 従業員は多くの場合、Bring Your Own Device (BYOD) として知られる個人用デバイスを仕事に使用します。これにより、柔軟性とワークライフ バランスが向上しますが、これらのデバイスが紛失、盗難された場合、またはマルウェアに感染した場合に脆弱性が生じる可能性もあります。 個人用デバイス : 従業員は、IT 部門が承認していないソフトウェアをダウンロードしてインストールする可能性があります。これは、プロジェクト管理ツールからグラフィック デザイン ソフトウェアまで多岐にわたります。これらのツールは生産性の向上に役立ちますが、互換性の問題やセキュリティの脆弱性を引き起こす可能性もあります。 非承認ソフトウェア : ソフトウェアを超えて、シャドー IT は個人用ルーター、ストレージ デバイス、さらには従業員がワークスペースを改善するためにインストールするサーバーなどのハードウェアにも拡張できます。このようなデバイスは、適切に構成または保守されていない場合、重大なセキュリティ リスクを引き起こす可能性があります。 ハードウェア シャドーITセキュリティのリスクと課題 シャドー IT は組織に目に見えない深刻なセキュリティ リスクをもたらします。これは、従業員が不正なツール、アプリケーション、クラウド サービス、またはデバイスを使用すると、セキュリティ侵害の可能性が高まるためです (実際、IBM の調査によると、回答者の が次のような被害を受けたことがあります)。機密データが漏洩した企業データ侵害が少なくとも 1 件発生)。 83% これらのツールの多くは、強力な暗号化や弱い認証情報やデフォルトの認証情報への依存など、堅牢なセキュリティ対策も欠いています。 組織が CCPA や GDPR などの特定の規制やデータ保護法に基づいて作業する必要がある場合、特に IT 部門が保存または共有されているデータを確認または制御できない場合、シャドー IT はコンプライアンス違反につながる可能性があります。たとえば、成功したサイバー攻撃の シャドー IT に保存されたデータから来ていることがわかっています。 3 分の 1 は、 最後に、シャドー IT は既存のインフラストラクチャとの統合が難しいことが多く、互換性の問題、データ サイロ、断片化したシステム、非効率なリソースの使用、管理されていないコスト、冗長性を容易に引き起こす可能性があります。 最新のシャドー IT 統計 以下に、 をいくつか示します。 シャドー IT に関する最近の関連統計 従業員の 80% が、IT 部門の承認を得ずに SaaS アプリケーションを使用していることを認めています。 シャドー IT クラウドの使用量は、既知のクラウド使用 であると推定されています。 量の 10 倍 平均的な企業には クラウド サービスがあります。 975 の未知の ほとんどの企業は クラウド サービスを持っています。 108 を超える既知の IT リーダーの 37% は、従業員の効果的なデジタル エクスペリエンスに対する 述べています。 最大の課題はセキュリティ ポリシーであると シャドー IT は大企業の を占めています。 IT 支出の 30 ～ 40% IT リーダーの 82% は、経営陣が使用すべきツールを指示しようとしたときにユーザーが しています。 反発したと回答 独自のツールを組織に導入しています。 従業員の 67% が Fortune 1000 企業の 1 人は、IT 部門が承認していないクラウド サービスを使用しています。 従業員の 3 人に チームの 53% は、IT 部門が承認したツールのみを使用することを 。 拒否しています 出典: 2023 年に IT リーダーが知っておくべき 124 以上のサイバーセキュリティ統計 これらの統計は、シャドー IT の蔓延、リスク、課題を深く理解するのに役立ちます。 シャドーITのさまざまな要素 シャドー IT は多面的な概念であり、使用されるテクノロジーの種類、使用方法、使用理由に基づいてさまざまな要素に分類できます。シャドー IT の重要な要素の一部を次に示します。 : SaaS アプリケーションはシャドウ IT の一般的な形式です。これらはアクセスが簡単で、多くの場合、無料または低コストで利用できます。例としては、Dropbox などのファイル共有アプリケーション、Google ドキュメントなどの生産性向上ツール、Slack などのコミュニケーション プラットフォームなどが挙げられます。従業員は、多くの場合、IT 部門の知識や承認なしに、利便性と使いやすさを目的としてこれらのツールを使用することがあります。 Software as a Service (SaaS) : これには、仕事目的で使用される個人のラップトップ、スマートフォン、タブレットなど、IT 部門の同意なしに使用される物理デバイスが含まれます。また、従業員がワークスペースを強化するためにセットアップしたルーター、サーバー、ストレージ デバイスも含まれる場合があります。 ハードウェア : これらは、ユーザーが基礎となるインフラストラクチャを扱うことなくアプリケーションを開発、実行、管理できるようにするプラットフォームです。例には、Microsoft Azure、Google Cloud、AWS が含まれます。これらは、多くの場合 IT プロトコルをバイパスして、特定のビジネス ニーズを満たすカスタム アプリケーションを作成するために使用できます。 サービスとしてのプラットフォーム (PaaS) : これには、仮想マシン、ストレージ、ネットワークなど、インターネット上で仮想化されたコンピューティング リソースの使用が含まれます。例としては、AWS、Google Cloud、Microsoft Azure などが挙げられます。これらのサービスは柔軟性と拡張性を提供しますが、適切に管理しないとセキュリティの脆弱性が発生する可能性もあります。 サービスとしてのインフラストラクチャー (IaaS) : これは、従業員が仕事目的で個人のデバイスを使用する行為を指します。これにより利便性と生産性が向上しますが、これらのデバイスの紛失、盗難、またはマルウェアに感染した場合にはセキュリティ上のリスクが生じる可能性もあります。 Bring Your Own Device (BYOD) : 仕事関連のコミュニケーションに個人の電子メール アカウントを使用することも、シャドー IT の一種です。無害に見えるかもしれませんが、この行為はデータ漏洩につながる可能性があり、組織による情報フローの制御が困難になります。 個人の電子メールとアカウント : これは、IT 部門の明示的な承認または知識なしに、IT サービス プロバイダーまたはコンサルタントを使用することを指します。これらのプロバイダーは会社の IT ポリシーに従っていない可能性があり、潜在的なセキュリティ リスクやコンプライアンス問題につながります。 未承認の IT プロバイダー これらの各要素は、組織にさまざまな課題とリスクをもたらします。ただし、これらは生産性、コラボレーション、イノベーションの機会の向上も意味します。これらの要素を理解することは、組織がシャドウ IT を効果的に管理し、潜在的なリスクを軽減しながらその利点を活用するのに役立ちます。 シャドーITを発見して管理する方法 これらの問題を防ぐ最善の方法は、組織がシャドー IT を使用していないかどうかを確認することです。そのために考慮すべき 3 つのベスト プラクティスは、ガバナンス ポリシー、IT 部門の関与、および従業員教育です。それぞれをもう少し詳しく見てみましょう。 : 社内のテクノロジー リソースの使用に関するポリシーとガイドラインを常に確立し、その結果を明確に伝えるようにしてください。 ガバナンス ポリシー : 従業員と IT 部門間のオープンなコミュニケーションとコラボレーションを促進するように努めてください。これを実現するには、従業員がテクノロジーのニーズや課題に安心して IT にアプローチできる環境を醸成する必要があります。 IT 部門の関与 : シャドー IT に関連するリスクについて従業員を教育するために、定期的なトレーニング セッションと意識向上キャンペーンを実施することを忘れないでください。 従業員の教育と意識向上 最高情報責任者 (CIO) と IT チームは、シャドー IT の管理において重要な役割を果たします。 1 つは、CIO が戦略的なリーダーシップを発揮し、ポリシー、手順、フレームワークを定義できることです。 IT チームと協力して、テクノロジー リソースが管理された準拠した方法で使用されるようにすることができます。 シャドー IT のコストとその結果 シャドー IT のコストは非常に多額になる可能性があり、そのコストは財務面だけではありません。長年にわたる最新化への取り組みにも関わらず、 依然としてこの昔ながらの問題に取り組んでいます。精査されていないソフトウェア、サービス、および機器は、潜在的に多数の脆弱性、悪意のある攻撃者の侵入ポイント、およびマルウェアを導入する可能性があり、それによって重大なセキュリティ リスクを引き起こす可能性があります。 CISO は Gartner の数値を考慮してください。2022 年には従業員の 41% が IT 部門の目に見えないところでテクノロジーを取得、変更、作成したことがわかり、この数字は 2027 年までに 75% に上昇すると予想されています。一方、Capterra の 2023 年のシャドー IT およびプロジェクト管理調査では、中小企業の 57% が、IT 部門の管轄外で大きな影響を与えるシャドー IT の取り組みを行っていることが判明しました。 シャドー IT は柔軟性とユーザーの利便性という利点を提供する一方で、組織が認識しなければならない多大なコストも伴います。これらのコストは、直接コストと間接コストに大別できます。 直接費： : 適切な監視と制御がなければ、従業員が余分なサービスに加入したり、必要以上に多くのライセンスを購入したりして、無駄な支出につながる可能性があります。たとえば、異なるチームが同様のプロジェクト管理ツールを購読し、不必要なコストが発生する可能性があります。 不必要な支出 : シャドー IT は互換性の問題やサポート リクエストの増加につながることがよくあります。 IT 部門は、未承認のソフトウェアまたはハードウェアに関連する問題のトラブルシューティングに時間とリソースを費やす必要があります。 IT サポートの増加 : シャドー IT により、サイバー犯罪者が悪用できるセキュリティ上の脆弱性が発生する可能性があります。データ侵害のコストは、金銭的な罰金、顧客の信頼の喪失、会社の評判の低下を考慮すると、莫大なものになる可能性があります。 セキュリティ侵害 間接コスト: : 未承認またはサポートされていないツールを使用する従業員は、互換性の問題や予期しないソフトウェア障害に直面する可能性があります。これにより、従業員は本来の業務に集中する代わりに、これらの問題を解決するのに苦労するため、生産性の低下につながる可能性があります。 生産性の損失 : 多くの業界では、データ管理とプライバシーに関して厳しい規制が設けられています。シャドー IT の使用はコンプライアンス違反につながり、高額な罰金や法的問題につながる可能性があります。 コンプライアンス リスク : シャドー IT では、データが安全でない場所に保存される可能性があり、データ損失のリスクが高まります。失われたデータを回復するコストは高額になる可能性があり、場合によってはデータを回復できない可能性があります。 データ損失 シャドウ IT のコストは多額になる可能性がありますが、シャドウ IT は多くの場合、より優れたツールやより効率的なプロセスの必要性から生まれるということを覚えておくことが重要です。組織はシャドー IT とするのではなく、シャドー IT を効果的に管理することに重点を置く必要があります。 を排除しよう シャドウ IT 保護のヒント 私たちは、シャドー IT がセキュリティとコンプライアンスの重要な課題を引き起こすことを確認しました。したがって、効果的な対策を実行することが重要です。 シャドー IT リスクから保護するための実践的なヒントをいくつか紹介します。 新しいソフトウェアまたはテクノロジーの承認およびプロビジョニングのプロセスを作成します。 従業員を教育するために定期的な研修セッションと意識向上プログラムを実施します。 厳格なソフトウェア調達手順と定期的なネットワーク監査を実施します。 包括的なテクノロジーポリシーとガイドラインを策定します。 IT が制御できる方法でシャドー IT を管理し、従業員が引き続き新しいツールを自由に導入できるようにします。 組織のサイバーセキュリティ ソリューションを最新の状態に保ちます。 重要なシステム、アプリケーション、データに対してアクセス制御が実施されていることを確認します。 シャドーITのメリット シャドー IT は多くのセキュリティ リスクへの扉を開く可能性がありますが、潜在的に組織に利益をもたらす可能性があることを覚えておくことが重要です。重要なのは、その力を完全に排除するのではなく、その力を活用することです。 シャドー IT によって、従業員は特定のニーズに合ったツールやテクノロジーを迅速に導入して利用できるようになることを忘れないでください。たとえば、組織の当初のロードマップにはなかった革新的なツールを試すことができます。 部門ごとに固有の要件があり、一元化された IT システムでは完全には対応できない場合があります。シャドー IT を使用すると、これらの部門は専門的なサービスを見つけて実装できるようになります。では、セキュリティを犠牲にしないようにするには、これらのアプリケーションをどのように監視すればよいでしょうか? シャドーITを監視するシンプルなツール これらの使用を制限する代わりに、 を導入して、アプリケーションとそれに関連するリスクを検出および管理することもできます。 シャドウ IT ソリューション これ以外にもさまざまなことができます。 Uniqkey では シャドー IT の力を活用する鍵は、それを明るみに出すことです。ビジネス パスワード管理ソリューションの一部として、Uniqkey はすべての企業サービスの詳細な概要を提供し、組織が次のことを行えるようにします。 従業員がどのようなサービスを使用しているかを把握します。組織内のシャドー IT を監視し、発見します。 潜在的なセキュリティの弱点を特定し、脆弱性とそのビジネス活動への潜在的な影響を特定します。 非アクティブなライセンスの費用を節約します。 Uniqkey のような を実装すると、進化するテクノロジー要件に適応して対処できるようになり、すべての新しいアプリケーションと既存のインフラストラクチャとの互換性を確実に評価できるようになります。 シャドウ IT ツール でも公開されています。 ここ