シャドー IT (または企業の明示的な承認を得ずにソフトウェア、システム、デバイスを使用すること) は一部の従業員の仕事を楽にするかもしれませんが、この慣行には組織が対処する必要がある重大な欠点もあります。
この記事では、シャドー IT とは何か、データ侵害やデータ漏洩に関してシャドー IT が重要である理由、シャドー IT 検出および監視ツールの使用など、シャドー IT の影響を最小限に抑えるために IT チームが実行できるすべての手順について説明します。最後に、シャドー IT はある程度避けられないため、完全に排除するのではなく、その可能性を活用する可能性を評価します。
シャドー IT は、従業員または部門がニーズを満たすためにテクノロジーを採用または展開しているにもかかわらず、そのことを IT チームに通知していない場合に発生します。
シャドー IT の一般的な例には、次のような不正なものが含まれます。
たとえば、個人の Dropbox アカウントにアクセスしたり、Skype (会社に WebEx がある場合) を使用したり、サム ドライブとの間でファイルをコピーしたりすることを考えてください。
これらはすべて、デジタル ツールが不正に使用された例であり、侵害された場合に組織を危険にさらす可能性があります。
クラウド テクノロジーと Software-as-a-Service (SaaS) の急速な進化により、近年、シャドー IT が普及し、複雑化しています。
多くの場合、ビジネスユニットはデジタル変革を推進するために独自に新しいアプリケーションを採用し始めました。たとえば、ファイル共有プログラム、プロジェクト管理ツール、上記のようなクラウドベースのサービスなどです。
結果?大企業の IT 支出の30% ~ 40% はシャドー IT であり、企業は不要な SaaS ライセンスやツールに年間 135,000 ドル以上を無駄にしています。さらに、2023 年のレポートでは、すべての SaaS アプリの65% が未承認のアプリ (または IT 部門が承認していないアプリ) であることが示されました。
説明したように、シャドー IT とは、IT 部門の明示的な承認なしに IT システム、デバイス、ソフトウェア、アプリケーション、およびサービスを使用することを指します。その柔軟性と利便性により、多くの組織で広く採用されています。ただし、一定のリスクを伴う一方で、適切に管理すれば利益も得られます。
シャドー IT がどのように活用されているかを理解するために、いくつかの例を見てみましょう。
クラウド サービス: クラウド コンピューティングの出現により、従業員はファイル共有やコラボレーションに Google Drive、Dropbox、OneDrive などのサードパーティ クラウド サービスを使用することが増えています。これらのツールは、どこからでもデータに簡単にアクセスでき、コラボレーションを促進しますが、多くの場合、IT 部門の監督なしで使用されます。
コミュニケーション ツール: Slack、WhatsApp、Microsoft Teams などのツールは、迅速で非公式なコミュニケーションのために従業員によってよく使用されます。これらのプラットフォームでは、即時のコミュニケーションが可能になるため、生産性が向上します。ただし、適切な暗号化やセキュリティ プロトコルを使用せずに機密情報を共有すると、セキュリティ リスクが生じる可能性もあります。
個人用デバイス: 従業員は多くの場合、Bring Your Own Device (BYOD) として知られる個人用デバイスを仕事に使用します。これにより、柔軟性とワークライフ バランスが向上しますが、これらのデバイスが紛失、盗難された場合、またはマルウェアに感染した場合に脆弱性が生じる可能性もあります。
非承認ソフトウェア: 従業員は、IT 部門が承認していないソフトウェアをダウンロードしてインストールする可能性があります。これは、プロジェクト管理ツールからグラフィック デザイン ソフトウェアまで多岐にわたります。これらのツールは生産性の向上に役立ちますが、互換性の問題やセキュリティの脆弱性を引き起こす可能性もあります。
ハードウェア: ソフトウェアを超えて、シャドー IT は個人用ルーター、ストレージ デバイス、さらには従業員がワークスペースを改善するためにインストールするサーバーなどのハードウェアにも拡張できます。このようなデバイスは、適切に構成または保守されていない場合、重大なセキュリティ リスクを引き起こす可能性があります。
シャドー IT は組織に目に見えない深刻なセキュリティ リスクをもたらします。これは、従業員が不正なツール、アプリケーション、クラウド サービス、またはデバイスを使用すると、セキュリティ侵害の可能性が高まるためです (実際、IBM の調査によると、回答者の83%が次のような被害を受けたことがあります)。機密データが漏洩した企業データ侵害が少なくとも 1 件発生)。
これらのツールの多くは、強力な暗号化や弱い認証情報やデフォルトの認証情報への依存など、堅牢なセキュリティ対策も欠いています。
組織が CCPA や GDPR などの特定の規制やデータ保護法に基づいて作業する必要がある場合、特に IT 部門が保存または共有されているデータを確認または制御できない場合、シャドー IT はコンプライアンス違反につながる可能性があります。たとえば、成功したサイバー攻撃の3 分の 1 は、シャドー IT に保存されたデータから来ていることがわかっています。
最後に、シャドー IT は既存のインフラストラクチャとの統合が難しいことが多く、互換性の問題、データ サイロ、断片化したシステム、非効率なリソースの使用、管理されていないコスト、冗長性を容易に引き起こす可能性があります。
以下に、シャドー IT に関する最近の関連統計をいくつか示します。
出典: 2023 年に IT リーダーが知っておくべき 124 以上のサイバーセキュリティ統計
これらの統計は、シャドー IT の蔓延、リスク、課題を深く理解するのに役立ちます。
シャドー IT は多面的な概念であり、使用されるテクノロジーの種類、使用方法、使用理由に基づいてさまざまな要素に分類できます。シャドー IT の重要な要素の一部を次に示します。
これらの各要素は、組織にさまざまな課題とリスクをもたらします。ただし、これらは生産性、コラボレーション、イノベーションの機会の向上も意味します。これらの要素を理解することは、組織がシャドウ IT を効果的に管理し、潜在的なリスクを軽減しながらその利点を活用するのに役立ちます。
これらの問題を防ぐ最善の方法は、組織がシャドー IT を使用していないかどうかを確認することです。そのために考慮すべき 3 つのベスト プラクティスは、ガバナンス ポリシー、IT 部門の関与、および従業員教育です。それぞれをもう少し詳しく見てみましょう。
最高情報責任者 (CIO) と IT チームは、シャドー IT の管理において重要な役割を果たします。 1 つは、CIO が戦略的なリーダーシップを発揮し、ポリシー、手順、フレームワークを定義できることです。 IT チームと協力して、テクノロジー リソースが管理された準拠した方法で使用されるようにすることができます。
シャドー IT のコストは非常に多額になる可能性があり、そのコストは財務面だけではありません。長年にわたる最新化への取り組みにも関わらず、 CISO は依然としてこの昔ながらの問題に取り組んでいます。精査されていないソフトウェア、サービス、および機器は、潜在的に多数の脆弱性、悪意のある攻撃者の侵入ポイント、およびマルウェアを導入する可能性があり、それによって重大なセキュリティ リスクを引き起こす可能性があります。
Gartner の数値を考慮してください。2022 年には従業員の 41% が IT 部門の目に見えないところでテクノロジーを取得、変更、作成したことがわかり、この数字は 2027 年までに 75% に上昇すると予想されています。一方、Capterra の 2023 年のシャドー IT およびプロジェクト管理調査では、中小企業の 57% が、IT 部門の管轄外で大きな影響を与えるシャドー IT の取り組みを行っていることが判明しました。
シャドー IT は柔軟性とユーザーの利便性という利点を提供する一方で、組織が認識しなければならない多大なコストも伴います。これらのコストは、直接コストと間接コストに大別できます。
シャドウ IT のコストは多額になる可能性がありますが、シャドウ IT は多くの場合、より優れたツールやより効率的なプロセスの必要性から生まれるということを覚えておくことが重要です。組織はシャドー ITを排除しようとするのではなく、シャドー IT を効果的に管理することに重点を置く必要があります。
私たちは、シャドー IT がセキュリティとコンプライアンスの重要な課題を引き起こすことを確認しました。したがって、効果的な対策を実行することが重要です。
シャドー IT リスクから保護するための実践的なヒントをいくつか紹介します。
シャドー IT は多くのセキュリティ リスクへの扉を開く可能性がありますが、潜在的に組織に利益をもたらす可能性があることを覚えておくことが重要です。重要なのは、その力を完全に排除するのではなく、その力を活用することです。
シャドー IT によって、従業員は特定のニーズに合ったツールやテクノロジーを迅速に導入して利用できるようになることを忘れないでください。たとえば、組織の当初のロードマップにはなかった革新的なツールを試すことができます。
部門ごとに固有の要件があり、一元化された IT システムでは完全には対応できない場合があります。シャドー IT を使用すると、これらの部門は専門的なサービスを見つけて実装できるようになります。では、セキュリティを犠牲にしないようにするには、これらのアプリケーションをどのように監視すればよいでしょうか?
これらの使用を制限する代わりに、シャドウ IT ソリューションを導入して、アプリケーションとそれに関連するリスクを検出および管理することもできます。
Uniqkey ではこれ以外にもさまざまなことができます。
シャドー IT の力を活用する鍵は、それを明るみに出すことです。ビジネス パスワード管理ソリューションの一部として、Uniqkey はすべての企業サービスの詳細な概要を提供し、組織が次のことを行えるようにします。
Uniqkey のようなシャドウ IT ツールを実装すると、進化するテクノロジー要件に適応して対処できるようになり、すべての新しいアプリケーションと既存のインフラストラクチャとの互換性を確実に評価できるようになります。
ここでも公開されています。