シャドーITとは

シャドーITの定義

シャドーITとは、IT部門によって正式に承認およびサポートされていないデジタルサービスやデバイスの不正使用です。

一般的にユーザーは業務遂行速度を向上させるためにシャドーITを利用しますが、そのようなサービスの利用はITチームには知られていないため、組織のサイバーセキュリティソリューションやプロトコルによって保護されていません。開発者が使用するクラウドワークロードやその他のサービスの場合、アセットには、デフォルトのパスワードの使用や設定ミスなど、深刻な脆弱性が含まれている可能性があります。これにより、データ漏えい、コンプライアンス違反、その他の責任のリスクが飛躍的に増加します。

シャドーITの例

シャドーITの例として、次のものがあります。

• 個人アカウントまたは認証情報を使用したクラウドワークロードの作成
• SaaS（サービスとしてのソフトウェア）アプリケーションまたはその他のクラウドサービスサブスクリプションのうち、IT部門が定める購入基準を下回るものの購入
• TrelloやAsanaなどのワークフローアプリケーションや生産性向上アプリケーションの使用
• Googleドライブやボックスなどのパブリッククラウドサービスを利用したデータやその他のアセットの保存、アクセス、共有
• WhatsAppやZoomなどのメッセージングプラットフォームまたは通信アプリケーションを使用した仕事関連の連絡

シャドーITの問題が大きくなっている理由

シャドーITの利用は、ビジネストランスフォーメーションの取り組みにより、近年ますます普及しています。エベレストグループの2019年の調査では、IT支出全体の約半分が「影に隠れている」と推定されています。注目すべきは、これらの数字がパンデミック前のものであるということです。新型コロナによる規制でリモートワーカーが急激に増えたことにより、リソースが限られている新しい環境で生産性を維持するのに苦労した労働者が、シャドーITの使用をさらに増加させたと考えられます。

シャドーITが悪意を持って使用されることは滅多にありません。むしろ、日常的な役割としては、さまざまなツールやアプリケーションへ迅速で柔軟かつシームレスにアクセスできるため、従業員に受け入れられているプラクティスと言えます。

DevOpsの導入は、シャドーITの普及の主な要因の1つです。クラウドチームとDevOpsチームは、シームレスで高速な実行を希望します。しかし、セキュリティチームが必要とする可視性と管理レベルを確立すると、開発サイクルにおける後退や遅延につながる場合が多くなります。開発者が個人の認証情報を使用してクラウドワークロードを生成するのは、好みや悪意からではなく、適切な内部チャネルを経由すると作業が遅れ、チーム全体が期限に間に合わなくなる可能性があるためです。

したがって、シャドーITに対する答えは、シャドーITの利用をなくす方法を見つけることではなく、ビジネス目標をより速く大きな規模で達成するために必要なリソースを従業員に提供する方法を見つけることです。

シャドーITのリスクと利点

ITとサイバーセキュリティの観点から見ると、シャドーITは、ネットワークの可視性を維持し、そのセキュリティを確保するために管理しなければならない問題です。しかし、これらのアセットに頼って仕事をしている従業員や、そのような方法を見て見ぬふりをする管理者はいかがなものでしょうか？確かに、彼らはシャドーITに何らかのメリットがあると考えています。しかし、その利点はリスクを上回っているのでしょうか？

このセクションでは、シャドーITが組織にもたらす利点とリスクを詳しく見ていくことで、問題点とはなにか、そして、なぜITチームは過度のリスクを発生させることなくシャドーITの使いやすさとスピードを実現するプロセスと手順を向上させなければならないのかを解説します。

シャドーITの利点

シャドーITがもたらす利点には、次のようなものがあります。

• 必要なリソースへのアクセスが迅速化されることによる、効率の向上とイノベーションの促進
• 無料または手頃な価格のクラウドベースのサービスを使用することによるコスト削減
• 基本的なリクエストをセルフサービスで実施することによる、スタッフを含む限られたITリソースの最適化
• 直感的でアクセスしやすいアプリケーションとプラットフォームによるコミュニケーションとコラボレーションの改善
• 管理と事務処理の削減による操作性の向上

シャドーITのリスク

シャドーITには多くの利点がありますが、企業は、サイバー犯罪者のエントリポイントとなる可能性のある不正なツール、アプリケーション、デバイスなどの使用によって生じるリスクのレベルを過小評価することはできません。深刻さが増す脅威の状況に組織が直面する中、シャドーITによってもたらされるリスクを抑えることが重要です。これらのリスクには、次のものが含まれます。

1. 可視性と管理

「見えないものは保護できない」ということわざは真実です。

定義によれば、シャドーITはITセキュリティの保護範囲ではないため、脆弱性、設定ミス、ポリシー違反が検出されない可能性が高くなります。

ユーザーのセルフプロビジョニングの増加は、速度の面では良いことかもしれませんが、セキュリティに関しては欠点がないわけではありません。リソースをプロビジョニングする権限を分散化することで、組織は高い俊敏性を持ちながら可視性を損なわない環境を構築できます。

2. データ損失

シャドーITのもう一つの課題は、個人アカウントに保存されているデータやその他のアセットには、社内の他の従業員がアクセスできないということです。従業員は退職したり解雇されたりしても、クラウドに保存されているアセットへアクセスできますが、企業はこれらのアセットにアクセスできなくなる可能性があります。

もう一つの考慮すべき重要な点は、シャドーITは企業のポリシーや手順の対象ではないことです。これはつまり、クラウドサーバーに保存されているデータは、会社のポリシーに従ってバックアップ、アーカイブ、または暗号化されていない場合があることを意味します。

3. 攻撃対象領域の拡大

データ損失は組織にとって重要な懸念事項ですが、データの盗難はおそらくさらに大きなリスクです。

シャドーITの発生ごとに、組織の攻撃対象領域は拡大します。シャドーITはITチームやサイバーセキュリティチームからは見えないため、これらのアセットは、EDR（エンドポイント検知・対応）、次世代アンチウイルス (NGAV)、脅威インテリジェンスサービスなどの組織のサイバーセキュリティソリューションでは保護できません。

さらに、シャドーITサービスは、脆弱な認証情報やデフォルトの認証情報を使用して作成されることが多く、設定ミスの可能性があります。これが攻撃者によって悪用され、組織のより広範な企業ネットワークへの侵入経路として使用される恐れがあります。

4. システムの非効率性

シャドーITは複合的な問題になる傾向があります。組織が従業員に対して仕事を完了するための十分なリソースを提供しておらず、従業員が欠点に対処するための準備を自分で行っている場合、企業はインフラストラクチャへの投資、新しいスキル、または手順の必要性を認識しづらくなります。

さらに、シャドーITの場合、組織はデータに関して信頼できる情報源を一つも持っていません。これは、データ分析や報告が不正確であったり、一貫性がなかったり、不完全であったりすることを意味しています。これにより、このデータから生成されるインサイトの品質が損なわれ、コンプライアンスの問題が発生する恐れがあります。

5. コスト

多くの場合、従業員はコスト削減の方法としてシャドーITに目を向けます。しかしながら、このようなサービスの長期的な使用、すなわちビジネス全体への拡張は、費用対効果が低い可能性があります。例えば、企業アカウント向けに拡張された個人向けクラウドストレージサービスは、企業クライアントをサポートするために特別に開発されたサービスと比較すると、非常にコストがかかります。

また、シャドーITは、コンプライアンス違反の罰金や違約金、違反した場合の風評被害、サービスの移行やプロビジョニング解除が必要な場合のタイムリーで集中的なITサポートなどに対して、間接的なコストを発生させます。

シャドーITのリスクを管理する方法

シャドーITの発生を減らすという課題は、従業員ではなく企業が負うものです。組織は従業員のニーズを理解し満たすための措置を講じる必要があります — そして、承認とプロビジョニングのプロセスを迅速かつシームレスな操作性で実現する必要があります。

最も先進的な組織においても、シャドーITの発生は避けられません。したがって、企業はこれらのケースを効果的に特定し、リスクを管理する方法を見つける必要があります。企業は、次の手順を実行することでシャドーITの使用を減らし、そのリスクを抑えることができます。

1. ビジネス全体の包括的かつ定期的な監査を通じて、組織とチームのニーズを理解する。
2. 高度なテクノロジーを使用してネットワークを継続的に監視し、すべてのデバイス、アプリケーション、システムの可視性と制御を確保する。
3. すべてのツールとテクノロジーの安全で確実な使用、および新しいサービスをプロビジョニングするための適切なプロトコルについて、すべての従業員とコミュニケーションを取って協力し合い、すべての従業員を訓練する。
4. セキュリティポスチャ、ポリシー、コンプライアンスを確立し、実行する。
5. リスクを評価し、修復作業に優先順位を付けるフレームワークを作成する。

CrowdStrike Falcon Cloud SecurityによるシャドーITリスクの排除

CrowdStrike Falcon® Cloud Securityは、AWS、Azure、Google Cloudを含むすべてのクラウドプラットフォームにおいて、設定ミスやコントロールプレーンの脅威を検出および防御し、盲点を排除し、コンプライアンスを確保する、CSPM（クラウドセキュリティポスチャ管理）ツールです。

CrowdStrike Falcon® クラウドセキュリティは、クラウドリソースの信頼できる唯一の情報源を通じて、マルチクラウド環境の完全な可視化を実現します。

CrowdStrike Falcon Cloud Securityは、以下を提供します：

• シャドーITの発生を特定し、設定ミスや脅威をプロアクティブに検出するためのクラウドリソースの継続的なインテリジェント監視
• クラウドにおける、高速かつ効率的なアプリケーション展開
• マルチクラウド環境全体での可視性と制御の統合
• セキュリティリスクを解決するためのガイド付き修復
• 開発者がコストのかかるミスを回避することに役立つガードレール
• アラート疲れを軽減するための標的型脅威検出
• SIEM（セキュリティ情報およびイベント管理）ソリューションとのシームレスな統合

Falcon Cloud Securityによって組織内のシャドーITのリスクを軽減する詳細な方法については、当社のデータシートをダウンロードするか、今すぐデモをスケジュールしてください。