シャドーITの脅威を探る

サイバーセキュリティ脅威の多くは、 組織外の悪意のある人物から もたらされますが、 シャドーITは、組織内からもたらされます。 悪意のない場合がほとんどですが、 深刻な問題であることに変わりありません。 シャドーITとは何か、なぜ サイバーセキュリティ脅威になるのかを 解説します。 シャドーITとは、従業員が会社のシステムや ソフトウェア、個人のデバイス、 クラウドサービスなどを 不正に使用することです。 ITシステムを適切に管理して保護するには、 組織のIT部門から予算と承認を得て ITを購入するようにします。 しかし、ユーザー部門が独自に ITを購入する場合もありえます。 セキュリティ対策が不十分なまま 許可なく導入されたITは シャドーITとみなせます。 IT部門はこれらのITが導入されたあとで 気付くか、下手をすると気付きません。 シャドーITの増加には さまざまな理由がありますが、 中でもよくある理由に、人手不足により IT部門が従業員のITニーズに 対応しきれていないこと、 IT部門は対応が遅く、ITの導入に 抑制的だと従業員が感じていること、 Dropbox、Salesforce、AWSなどの SaaSソリューションを簡単に 利用できること、などが挙げられます。 シャドーITは、組織内で多額の支出と なっている可能性があり、 ガートナーは、大企業のIT支出の 30から40％はシャドーITが占めると 推定しています。 しかし、組織のリーダーの多くは、 シャドーITの問題を認識していないか、 軽視しています。 シャドーITに関するこうした認識は 手痛いミスになりえます。 なぜなら、IT部門が関知していない システムは保護のしようがないからです。 シャドーITのリスクをいくつか挙げると、 まずはデータの損失です。 シャドーITシステムで重要な情報を 処理または保管していた場合、 組織のバックアップソリューションに 含まれないため、 データが失われても復旧できません。 データが機密情報だった場合は、 データ侵害につながる可能性さえあります。 次に、パッチが適用されていない 脆弱性です。 シャドーITシステムは脆弱性スキャンや 定期的なパッチサイクルに含まれないので、 攻撃やデータ侵害に対する脆弱性が 無防備なままになる可能性があります。 最後に、セキュリティコンプライアンスの 欠如です。 認可されたITソリューションであれば、 アンチマルウェア、暗号化、 セキュリティ監視などの 標準セキュリティ対策が 導入されるはずですが、 シャドーITシステムには導入されません。 組織または標準のセキュリティ対策に 従わないシャドーITシステムで データ侵害が起きた場合、企業には多額の 罰金が科せられる可能性があります。 IT部門は今後も、必要な手続きを取らずに ITソリューションを導入するユーザーに 手を焼くことが予想されます。 そのため、シャドーITも サイバーセキュリティ脅威で あり続けるでしょう。