担当者に知らせずに、社員が新しいソフトウェアソリューションや、クラウドサービスを使用する、ということは多くの企業で日常的に行われています。
しかし、その行動がどれほど危険であるかについて、社員が認識していないケースがほとんどです。
ここでは、そもそもシャドーITとは何か、いったい何が危険なのか、そしてその対策までわかりやすく説明します。
*この記事はEkran System 社の公式ブログを翻訳したものです。原文はこちら(内容を一部変更しています)。
シャドーITとは
シャドーITとは、社内で利用が把握されていない状態で、無断で使用されているITシステム、ソリューション、またはテクノロジーのことを指します。
シャドーITの最も一般的な例は、Dropboxのようなクラウドサービスです。
社員はなぜシャドーITを使うのか
そもそも、社員はなぜ、社内で承認されているサービスではなく、他のサービスを使うのでしょうか。その主な理由には以下のようなものがあります。
- 自分が使っている製品の方が効率よく作業ができる(またはそう思われる)
- 自分が使っている製品の方が使いやすい
- 社内で承認されているサービスは、自分が使っているモバイルデバイスと互換性がない
さらに、普通のユーザーはシャドーITのリスクについてよく知りません。
シャドーITはなぜ危険なのか
しかし、シャドーITはなぜそんなに危険なのでしょうか?
未承認のソフトウェアやクラウドソリューションを使用する際の、セキュリティリスクをご紹介します。
シャドーITのセキュリティリスク
シャドーITの使用には、以下のようなサイバーセキュリティリスクがあります。- データロスや情報漏洩
- パッチされていない脆弱性とエラー
- コンプライアンスの問題
● データロスや情報漏洩
ファイル共有やチャットアプリなど、コンシューマー向けサービスは無料であったり、企業向けのサービスよりも使いがってがよいものが多いのですが、セキュリティ面での不安が残ります。またバックアップ機能がないものも多く、運営元のトラブルなど、何らかの事態が発生した場合、重要なデータが失われ、復元できないことも起こりえます。
ちょっとした操作ミスで機密情報が漏洩してしまうリスクも常につきまといます。
さらに、未承認のソフトウェアは、管理者が、誰がアプリケーションにアクセスしているかを制御できないため、データへの不正アクセスのリスクが高まります。
● パッチされていない脆弱性とエラー
ソフトウェアベンダーは、脆弱性を解決し、自社製品で見つかったエラーを修正するために、常に新しいパッチをリリースしています。
通常、このようなアップデートに注意を払い、適用することはITチームに任されています。
しかし、シャドーITの場合、その存在を管理者が認識していないため、最新の状態に保てるかどうかは使用者次第です。
通常、このようなアップデートに注意を払い、適用することはITチームに任されています。
しかし、シャドーITの場合、その存在を管理者が認識していないため、最新の状態に保てるかどうかは使用者次第です。
● コンプライアンスの問題
法令遵守は企業にとって非常に重要です。ソフトウェア資産管理(SAM)から一般データ保護規制(GDPR)まで、企業が準拠しなければならない決まりごとはたくさんあります。
規制の厳しい業種では、シャドーITを使用すると、コンプライアンス要件に違反して多額の罰金が課される可能性もあります。
シャドーITの5つの防止策
それでは、シャドーITのリスクを軽減するには、どうしたらいいのでしょうか。ここではシャドーITの問題に対処するための5つの方法をご紹介します。
1. スマートな企業ポリシーを構築する
たとえば、個人デバイスの使用や、サードパーティのアプリケーション、クラウドサービスの使用に関する、効果的で分かりやすいガイドラインを確立します。これにより、企業ネットワークへの不正アクセスを防ぐことができます。
また、サードパーティアプリケーションへのアクセスを制限したり、IT部門の承認がある場合にのみ、クラウドサービスの使用を許可することで、情報漏洩のリスクを最小限に抑えることができます。
2. シャドーITを検出できるツールを使用する
ネットワーク監視ツールを使って、ネットワーク上に新しいデバイスと未知のデバイスがないかチェックしたり、社員が、未承認のSaaS製品や、クラウドサービスを使用しているかどうかがわかる、CASB(Cloud Access Security Broker)のようなツールを使って、シャドーITを検出するができます。シャドーITを検出することができれば、すぐに必要な対応を取ることができ、リスクを軽減することが可能です。
3. 社員を教育する
シャドーITのリスクを軽減するには、社員に未承認のソフトウェアを使用することの危険性を教えることが効果的です。シャドーIT禁止の背景にある理由を説明することで、未承認のソフトウェアのインストール数を大幅に減らすことができます。
4. 社員に必要なツールを提供する
禁止するだけではシャドーITをなくすことはできません。”社員がシャドーITを使う理由”を覚えていますか?
企業で承認されているツールでは効率的に、または快適に作業できないからこそ、社員はシャドーITを使うのです。
社員が本当に必要としていることを学び、そのニーズを満たすために最善を尽くすことでシャドーITを減らすことができます。
5. 社員の操作を見える化する
社員のコンピュータの操作を記録することは、社員が使用するソフトウェア、アプリケーション、およびWebリソースに関する情報を収集するのに効果的な方法です。このデータにより、社員が未承認のITソリューションを使い始めた理由を理解することができます。
Ekran は、企業規模を問わず使える、内部脅威検出ソフトウェアです。社員、リモートワーカー、サードパーティベンダーの従業員のいずれであるかに関わらず、「いつ」「誰が」「何を」したのか可視化します。
マウスクリックやキー入力など、ユーザーの画面上で起こるすべての操作を記録し、付随するメタデータを広範囲に取得するため、検索も簡単です。
Ekran を使ってシャドーITを検出する方法をご紹介します。
● ソフトウェア使用の監視
社員がどのようなソフトウェアを使用しているかだけでなく、どのように使用しているかまで、確認することができます。これにより、シャドーITを発見するだけでなく、なぜ使用しているのかについても理解することができます。
● インターネットの使用を監視する
社員が訪問したウェブサイトに関する情報と、それぞれに費やした時間がわかります。これにより、クラウドサービスの不正使用を発見することができます。
● USBデバイスの監視とブロック
接続されたUSBデバイスを検出し、オプションでブロックすることができます。企業のセキュリティポリシーによって、USBデバイスの使用が禁止されている場合に、特に有効な機能です。
● 画面録画で操作を見える化
Ekran は、操作画面をすべて録画するので、誰が、どのように機密データを扱っているか、正確に分かります。
これにより、重要なデータに直接影響を与えるシャドーITアプリケーションを検出するだけでなく、社員の利便性は確保しつつ、現行のデータ処理プロセスを改善し、シャドーITの必要性をなくすことができるようなソフトウェアを選択することができます。
ネットワークやユーザー操作監視ツールは、未承認のソフトウェアを検出し、シャドーITのリスクを軽減するのに役立ちます。
シャドーITは、すべての企業にとってセキュリティリスクであることは間違いないですが、非効率的なIT環境の兆候と見ることもできます。
むやみにシャドーITを禁止するだけでなく、社員のニーズを理解し、より効果的なツールを提供することで、シャドーITを排除し、生産性の向上を目指しましょう。
まとめ
シャドーITをなくすためには、まず個人デバイスやサードパーティのアプリケーション、サービスの使用に関する企業方針を構築する必要があります。ネットワークやユーザー操作監視ツールは、未承認のソフトウェアを検出し、シャドーITのリスクを軽減するのに役立ちます。
シャドーITは、すべての企業にとってセキュリティリスクであることは間違いないですが、非効率的なIT環境の兆候と見ることもできます。
むやみにシャドーITを禁止するだけでなく、社員のニーズを理解し、より効果的なツールを提供することで、シャドーITを排除し、生産性の向上を目指しましょう。
Ekran とは
Ekran は米国のEkran System 社の製品で、コンピュータやサーバー画面を画像で記録することで、一般ユーザーはもとより特権ユーザー操作の監視をリーズナブルな価格で実現します。
詳しくは製品紹介ページ・製品ガイドをご参照ください。
ダウンロード(評価版)
Ekranには評価版ソフトウェア(30日間)を用意しています。ぜひお試しください。
お問合せ
購入前のEkranについてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。
ご不明な点やお気づきの点がございましたらお問い合せください。
