サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

シャドーⅠTに気を付けて

シャドーⅠTに気を付けて
目次
  • シャドーITとは?
  • シャドーITのもたらすリスク
  • シャドーITを防ぐには

シャドーITとは?

「組織が把握せずに組織内で利用されているIT(情報サービス や 情報機器)」をシャドーITと呼びます。 例えば、以下のようなものがシャドーITとして挙げられます。

会社の許可を得ず、

・クラウドストレージサービスを部署内のファイル共有に利用する
・会社のメールやスケジュールを個人の携帯電話で利用できるようにする
・在宅勤務で個人のPCから業務を行う

「普段使いなれた情報サービスを使いたい」や「会社貸与と個人のスマートフォンの両方を携帯するのは面倒」といった考えからシャドーITが発生することが多々あります。 実際、個人のスマートフォンを 会社が認めた範囲で 業務利用できるようにするBYOD(Bring Your Own Device)も広く活用されています。このように、「シャドーITを防ぎつつ、ITを管理・活用する」事が近年求められています。

シャドーITのもたらすリスク

シャドーITは「組織で管理されていない」ため、以下のような問題があります

1 データ損失や漏洩のリスクが高い

一般的に、組織のITシステムは機密性、完全性、可用性が保たれるよう構築されます。 このようなプロセスを得ずに構築されたITシステムではデータ喪失や漏洩等のリスクが高くなります

例)
・組織の許可を得ずに部署内にファイルサーバを構築したが、機材の故障で重要なデータを喪失した
・在宅勤務で個人のPCで業務を行ったが、組織で導入したマルウェア対策で保護されておらず、業務データが漏洩した
・組織の許可を得ずデータの持ち出しやクラウドサービスの利用が可能であったため、従業員による機密データの持ち出しが発生した

近年も「開発者がWeb上のスキル評価サービスを利用するために業務で作成したソフトウェアのソースコードを公開リポジトリにアップロードした」等の事例が見られます。

2 組織が従うコンプライアンスから逸脱する

組織によっては PCI-DSS (クレジットカードを扱う際の規定) や GDPR(欧州のデータ保護に関する規定) のようなコンプライアンスに従うことを定めているかと思います。 シャドーITの存在はコンプライアンスへの準拠を困難にします。

3 コスト上のデメリット

シャドーITはセキュリティ上の問題だけでなく、コスト的なデメリットにもなりえます。 組織でITシステムを構築する際にはデータ連携等を効率的にできるよう、システムに一貫性を持たせます。 一方で、シャドーITにより複数のグループウェアやファイル形式が混在する場合、このようなデータ連携が困難になり、コスト的にもデメリットになる場合があります。

シャドーITを防ぐには

シャドーITを防ぐ第一歩としては情報資産の把握が挙げられます。ISMS等のコンプライアンスでは情報資産を台帳等で管理することを定めています。 情報サービスや情報機器などのIT資産を組織として把握し、管理することが「組織が把握していないIT = シャドーIT」を防ぐ第一歩になります。

また、シャドーITを防止するための仕組としてCASB(キャスビー)が挙げられます。 CASBは端末やネットワークを監視することで組織内で利用されるクラウドサービス等のITを監視し、シャドーITを可視化します。

在宅勤務の普及に伴い、シャドーITの問題はこれまで以上に大きな問題となっています。 IT自体は組織の発展に欠かせない要素であり、在宅勤務の実現においても重要な役割を果たします。 今後はシャドーITを防ぎつつ、ITを活用することが求められていくと考えられます。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号を取得。 2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。 SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。 2018年よりSHIFT SECURITY 執行役員に就任。 現在に至る。

\ 記事をシェアする /

サービスに関する
お問い合わせ