シャドーITとは
シャドーITとは、企業内で利用が把握されていない状態で、企業のIT部門のチェックや承認なしに使用されているITシステム、ソリューション、デバイス、またはテクノロジーのことを指します。
最も一般的な例は、組織の規則、ガイドラインで許可されていないクラウドサービス、ファイル共有アプリケーション、メッセージツールが挙げられます(例:Dropbox)。
このようなソフトウェアを使用するリスクは、機密データの漏えいなど、様々なインシデントにつながる可能性があります。
シャドーITはどこから生まれるのか
クラウドストレージ
仕事をする上で、ファイルやフォルダ、スクリーンショットなどを共有することはよくありますが、その際にデータのセキュリティが重要な問題となります。
個人のDropboxやGoogle Driveのアカウントを使用することも、安全でないデータ共有につながります。これらのアカウントを使用する場合、共有されたファイルやフォルダにアクセスできる全員が、そのアカウントにアクセスできるためです。
セキュリティに対する十分な配慮を行った安全なデータ共有のソリューションを選択することが大切です。
プロジェクト管理ツール
チームワークや生産性の向上を目指して、社員がオンラインサービスを試したくなることはよくあります。しかし、許可されていないツールを業務の情報共有に使用すると、意図しない情報漏えいの原因になる可能性があります。
チャットツール
チャットツールは便利ですが、企業で承認されていないLineやWhatsApp、Telegramなどのアプリを使用して、業務上でのファイルやデータ、認証情報を共有すると、サイバーセキュリティ上の深刻な問題を引き起こす可能性があります。
こうした問題を避けるためには、社員が使用するコミュニケーションツールを把握し、企業で利用できるチャットツールの導入を検討する必要があります。
メールサービス
社員の大半は、少なくとも個人用と職場用の2つの電子メールアドレスを持っています。
職場用のメールアドレスには、1日平均121通のビジネスメールが送受信されていると言われています。しかし、社員はメールアカウントを混同してしまい、意図せず機密データを第三者に漏らしてしまう可能性があります。
これを避けるためには、メールアカウントの適切な使い分けの重要性を教育し、ビジネス上の重要な情報を共有する際には、暗号化やセキュリティ対策を施した適切なメールサービスを使用することが必要です。
シャドーITのリスクを効率的に対処するためには、未承認のITソリューションに手を出す理由を理解することが必要です。以下のセクションでその理由を探ってみましょう。
なぜシャドーITを使うのか
そもそもなぜ、企業内で承認済みのサービスではなく、他のサービスを使うのでしょうか。その主な理由には以下のようなものがあります。
- 自分がいつも使っている製品の方が効率よく作業ができる(またはそう思っている)
- 推奨されたソリューションが使いにくい
- 個人所有のデバイスと互換性がない
- シャドーITによるセキュリティリスクを十分に理解していない
企業側は、社員が必要とする機能を満たすようなITソリューションを提供し、セキュリティ上の問題を回避することが必要です。
シャドーITによる情報漏えいの一例
組織内に未承認のソフトウェアやデバイスが存在することは、サイバーセキュリティ部門にとって大きな問題を引き起こします。
一例を挙げると、2021年4月、アメリカのコンサルティング企業であるI社は、ペンシルバニア州民の個人情報の一部が第三者に漏洩したことを認めました。このデータ漏洩は、従業員がGoogleアカウントを無許可で使用し、機密情報を共有したことが原因でした。このデータには、COVID-19に感染した可能性のある人々の名前、電子メールアドレス、社会保障番号などの個人情報が含まれていました。
さらに、シャドーITを利用することで、ハッカーに侵入のチャンスを与える可能性があります。ハッカーは、企業ネットワークに接続された脆弱なデバイス(個人のノートパソコンやスマートフォンなど)を乗っ取り、データの漏洩やDDoS攻撃に利用することができます。
シャドーITがもたらすセキュリティリスク
以下では、シャドーITがもたらす最も重要な6つのリスクや課題について紹介します。
企業の管理不全
IT管理部門は、社員が企業に報告せずに未承認のツールを使用するため、シャドーITの存在を知ることができません。
そのため、安全性をチェックすることができず、企業資産の安全性を確保することができなくなります。
IT部門がコントロールできないソリューションが増えれば、攻撃対象が拡大する可能性が高まります。
データ損失・データ漏えい
シャドーITを利用すると、アクセス権限を与えられていない社員がデータにアクセスしてしまう可能性があります。これにより、重要なデータを紛失するリスクが生じます。
また、未承認のツールにはデータのバックアップ機能が備わっていない場合があります。
何らかの理由でデータが失われた場合、それを復旧することができず、企業にとって重大な問題となる可能性があります。
パッチ未適用による脆弱性とエラー
企業のIT管理部門がシャドーITを把握できていないと、未承認のソフトウェアやデバイスがアップデートされていない場合があります。
既知の脆弱性に対処するために提供された最新のパッチが適用されないと、セキュリティリスクは高まります。
攻撃者は、企業ネットワークに接続されている未更新のデバイスやソフトウェアに侵入し、企業データを盗み出したり、ネットワークに損害を与えます。
コンプライアンス上の問題
シャドーITは、様々な規則や法律に違反するリスクがあるため、企業は罰金や訴訟、風評被害などのリスクを負うことになります。
例えば、一般データ保護規則(GDPR)の下では、企業は個人データを適法かつ公正かつ透明性を持って処理することが義務付けられています。
しかしシャドーITが存在すると、企業は許可された従業員のみが機密データにアクセスできることを保証できません。
非効率性
シャドーITを導入する理由は効率化のためですが、その結果は正反対になることがあります。
通常であれば新しいツールを導入する際には、IT管理部門によるチェックとテストが行われています。これは、新しいソフトウェアが正しく動作し、ソフトウェアとハードウェアの競合や深刻な障害が発生しないことを確認するために行われています。
しかし、シャドーITはそのテストが行われていないため、結果的に非効率になることがあります。
財務リスク
未承認のソフトウェアやサービスは、承認されたものと機能が重複していることが多く、企業の経費が非効率的になってしまいます。
さらに、セキュリティインシデントを引き起こした場合、企業は損害管理のための費用、サイバーセキュリティ要件への非適合に対する罰金、および訴訟費用が発生するリスクがあります。
シャドーIT対策
安全性と利便性を兼ねそろえたソリューションを検討する
社員がシャドーITを使うのは、システム管理者がセキュリティにばかり気を取られ、社員にとっての利便性を無視している可能性があります。社員とIT部門の間でコミュニケーションを図り、セキュリティと利便性を両立させるソリューションを選定することが大切です。
シャドーITの問題に慎重に取り組むことで、サイバーセキュリティのリスクを検出できるだけでなく、さまざまな技術をテストし、組織にとってより効率的なツールを選択することができます。そうすることで、経費を最適化したり、現在の業務プロセスの弱点を見つけたりできる可能性もあります。
社員の教育
日々の業務に追われる中で、社員は企業が推奨するツールを忘れ、未承認のソフトウェアを使用したくなることがあります。
しかし、未承認のツールを使用することで引き起こされる問題とリスクを明確に理解すれば、新しいツールを試す前にIT管理部門に相談することを検討するでしょう。
信頼できないソフトウェアが企業のデータを危険にさらし、不正アクセスやマルウェア感染、データ漏洩などのセキュリティ上のリスクを引き起こす可能性があることを社員に理解してもらう必要があります。
企業は定期的なトレーニングや教育を提供することで、シャドーITのリスクを軽減することができます。
柔軟なポリシーの構築
企業には、サイバーセキュリティの問題に対処するために、柔軟な企業ポリシーが必要です。
柔軟なポリシーを構築するためには、個人所有のデバイスやサードパーティ製アプリケーション、およびクラウドサービスの使用に関する理解しやすいガイドラインを確立することから始めると良いでしょう。手始めに、ソフトウェアを以下のようなカテゴリーに分類することで、シャドーITの使用によるリスクをより理解し、代替手段を提示できるようになります。
以下は、シャドーITリソースを分類するためのカテゴリー例です。
- 推奨 組織のIT部門によって承認され、企業ネットワーク内での使用が推奨されているツール
- 許可 追加して使用することが許可されているツール
- 禁止 脆弱性があったり、データが安全にやり取りできない可能性がある危険なツール
推奨や許可のリストにないツールを使用したい場合は、まずIT管理部門にセキュリティチェックを依頼します。管理部門はセキュリティなどを確認した後、そのツールを推奨、許可、禁止のカテゴリーに分類します。
「クラウド」に目を光らせる
すべてのクラウドサービスが基準を超えるデータセキュリティを提供しているわけではありません。SalesforceやDropboxなど、さまざまなSaaS製品やクラウドサービスは、シャドーITの中でも特別な位置を占めています。
2021年の調査によると、回答した企業の86%において、クラウドアカウントの年間コストは50万ドル(約6000万~6500万円)以上となっています。その状況下で、無料トライアルを利用して機密データを危険にさらしている場合、データ漏えいのリスクが特に高くなると言えます。
したがって、組織内で承認されたクラウドベースのソリューションが、安全で一貫性のあるものであることを確認することが非常に重要です。
シャドーIT対策にも使える証跡管理ツールEkran
ネットワークと社員の行動を監視する
企業ネットワーク上の社員の活動を監視することは、使用しているソフトウェア、アプリケーション、Webリソースに関する情報を収集する効果的な方法です。これによって、企業内で誰がいつ未承認のITソリューションを使い始めたかを検出することができます。
さらに、ユーザーアクティビティーモニタリングを適用することで、インサイダー脅威を検知し、対処することができます。社員をモニタリングすることは、さまざまなサイバーセキュリティの法律や規制を遵守する上でも役立ちます。
Ekranを使って、効率的で堅牢な監視を実現する
Ekranは、内部不正リスクを検知するプラットフォームで、社員やリモートワーカー、下請け業者など、どのユーザーでもその行動に関する証跡記録を提供します。
起動したアプリケーション、キーストローク、訪問したWebサイトなど、多岐にわたるメタデータを取得し、社員の行動を記録します。
セッションの記録を確認する際、わずか数クリックで簡単にパラメータを検索し、禁止されているソフトウェアの使用を検出することができます。
EkranがどのようにシャドーIT対策に役立つのかご紹介します。
ソフトウェアの使用を監視
社員がどのようなソフトウェアをどのように使用しているかを確認することで、シャドーITの発生源を発見するだけでなく、なぜそれを使い続けているかを確認することもできます。
この情報に基づいて、シャドーITの使用に関するポリシーを更新し、社員に正式に承認されたツールを使うよう促すことができます。
インターネットの利用を監視
社員が閲覧したWebサイトとその閲覧時間に関する情報を入手できます。これにより、クラウドサービスの不正利用を発見することができます。
USBデバイスの監視とブロック
接続されたUSBデバイスを自動または手動で検出し、ブロックすることは、特に企業のセキュリティポリシーでUSBデバイスの使用が禁止されている場合に有効です。これにより、シャドーITを阻止することができます。
まとめ
シャドーITは、サイバーセキュリティ上の問題だけでなく、効率的でないIT戦略が招いた問題である可能性があります。社員のニーズに耳を傾け、安全かつ効果的なツールを提供することで、シャドーIT関連のリスクを大幅に削減し、生産性を向上させることができます。
組織の重要な資産を保護するためには、シャドーITがもたらす危険性を明確に理解することが重要です。シャドーITのリスクを定義することで、安全でないソフトウェアの使用を適切に検出し、ユーザーの行動を継続的に監視し、社員に対するサイバーセキュリティ教育を計画することが可能になります。
*この記事はEkran System 社の公式ブログを翻訳したものです。原文はこちら
(一部内容を変えています)
効率的なユーザー監視ソリューションでサイバーセキュリティ戦略を強化する際は、Ekranをお試しください。30日間の無料トライアルで、お客様のニーズを満たすことができるかをご確認ください。
