英国国立サイバーセキュリティセンターの新しい出版物は、ほとんどの場合、従業員の悪意のない意図から生じるシャドー IT を懸念する組織にガイダンスを提供しています。
ジャンプ先:
- シャドー IT とは何ですか? また、なぜ懸念が高まっているのですか?
- シャドー IT につながるものは何ですか?
- シャドー IT にはどのような種類がありますか?
- シャドー IT を軽減するにはどうすればよいでしょうか?
シャドー IT とは何ですか? また、なぜ懸念が高まっているのですか?
シャドーITとは、IT部門または組織の正式なITポリシーによる明確な承認、知識、監督なしに、組織内でテクノロジーシステム、ソフトウェア、アプリケーション、サービスを使用することです。これは「グレーIT」と呼ばれることもあります。
シャドーITはここ数年で増加傾向にあり、その理由はいくつかあります。まず、英国のマネージドサービス企業Coreは、COVID-19の影響でシャドーITが59%急増したと報告しています。さらに、クラウド利用の増加もシャドーITを大幅に増加させています。Ciscoによると、従業員がIT部門に報告することなく、様々なクラウドアプリケーションをインストール・使用することに抵抗を感じなくなったため、クラウドサービスがシャドーITの最大のカテゴリーとなっているとのことです。
資産インテリジェンス プラットフォーム Sevco Security のレポートによると、IT 資産の約 20% は組織のセキュリティ チームには見えません。
シャドーITに関連するリスクは、主に企業の機密データの流出や、データ窃盗やサイバースパイ活動につながる可能性のあるマルウェア感染の可能性です。シャドーITコンポーネントの感染は、認証情報の漏洩や企業全体のセキュリティ侵害につながる可能性があります。
シャドー IT につながるものは何ですか?
NCSCの報告書によると、シャドーITは悪意から生じることはほとんどなく、「従業員が特定のタスクを完了するために承認されたツールやプロセスを使いこなすのに苦労している」ことが原因です。また、デバイスや個人管理のSaaS(Software as a Service)ツールの使用が組織にリスクをもたらす可能性があることに気づいていないユーザーもいます。
シャドー IT につながる最も一般的な理由としては、ストレージ スペースの不足、第三者とデータを効率的に共有できないこと、必要なサービスや専門的なタスクを容易にするサービスにアクセスできないことが挙げられます。
シャドー IT のさまざまな例にはどのようなものがありますか?
シャドーITの一部は、IT部門の承認なしに企業環境に導入されることが多い、管理されていないデバイスに存在します。これには、従業員の個人用デバイス(デジタルアシスタントやIoTデバイスなど)や、請負業者の仮想マシンが含まれる場合があります。
NCSC が述べているように、組織によって構成されていないデバイスやサービスは、必要なセキュリティ基準を満たしていない可能性が高く、そのためネットワークに損害を与えるリスク (マルウェアの侵入など) をもたらすことになります。
クラウドから提供される管理されていないサービスもシャドーITの一部です。これらのサービスには次のようなものがあります。
- 監視やメッセージング アプリケーションのないビデオ会議サービス。
- 第三者とファイルを共有したり、許可されていないデバイスを使用して自宅で作業できるようにするために使用される外部クラウド ストレージ施設。
- 企業ツールの代替として使用されるプロジェクト管理または計画サービス。
- サードパーティのリポジトリに保存されたソースコード。
シャドー IT を軽減するにはどうすればよいでしょうか?
NCSC は、「既存のインスタンスに対処するだけでなく、シャドー IT が将来作成される可能性を制限するよう常に積極的に努めるべきである」と述べています。
シャドー IT のほとんどは、仕事を効率的に進めたい従業員の悪意のない意図から生じるため、組織はシャドー IT を防ぐためにスタッフのニーズを予測するように努める必要があります。
従業員が必要とするデバイス、ツール、サービスに関するあらゆる要望に対応するプロセスを導入し、従業員が独自のソリューションを導入することを促さないようにしましょう。従業員は、雇用主が自分たちの業務上のニーズに応え、支援しようとしてくれていると実感できるべきです。
企業は、通常の使用範囲外となる可能性のあるサービスへの迅速なアクセスを、制御された方法で従業員に提供する必要があります。
組織内で良好なサイバーセキュリティ文化を育むことが強く推奨されます。従業員の効率的な業務を妨げる組織のポリシーやプロセスに関連する問題は、オープンに報告されるべきです。
参照: TechRepublic Premium のシャドー IT ポリシー
技術的な緩和策に関しては、大規模な組織では資産管理システムを活用するべきです。これらのシステムは、デバイスの物理的な詳細、位置情報、ソフトウェアのバージョン、所有権、接続情報といった重要な情報を処理できるのが理想的です。さらに、脆弱性管理プラットフォームは、企業環境に接続する新たな資産の検出に役立ちます。
統合エンドポイント管理ツールは、適切に導入されていれば、組織が所有していないデバイスがネットワークに接続しているのを検出するために活用できます。ただし、大規模な組織では、多種多様なデバイスをオンボーディングするために膨大なリソースを消費する可能性があることが弱点です。
ネットワークスキャナーはネットワーク上の未知のホストを発見するために使用される場合がありますが、その使用は注意深く監視する必要があります。これらのツールはネットワーク全体をスキャンするための特権アクセスを持つため、企業はスキャナーに誰がどのようにアクセスできるかを詳細に規定するプロセスを構築する必要があります。脅威アクターがネットワークの一部を侵害した場合、彼らは新たなホストを見つけることで侵害の範囲を拡大しようとするでしょう。
クラウドアクセスセキュリティブローカーは、企業がネットワークトラフィックを監視することで従業員が使用しているクラウドサービスを発見するための重要なツールです。これらのツールは、セキュアアクセスサービスエッジソリューションの一部となることがよくあります。
開示: 私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
