シャドー IT とは、組織内の部門や個人が、IT 部門の明示的な許可や認識を得ることなく、IT ソフトウェア、デバイス、システム、アプリケーションを使用することです。シャドー IT アプリケーションの使用は、主にリモートワークの普及とクラウドベースのサービスやアプリケーションの使用により、近年大幅に増加しています。シャドー IT は生産性とイノベーションを加速しますが、特に IT 部門が気付いていない場所にデータを保存する場合は、セキュリティ上の重大なリスクやコンプライアンスの問題も引き起こします。
シャドー IT アプリケーションとアクティビティの例
組織の IT 部門を関与させることなく、ビジネス目的で使用されるアプリケーションは、シャドー IT アプリケーションとみなされます。
シャドー IT アプリケーションは、次の 4 つの主要なカテゴリに分類されます。
- ユーザーが企業ネットワークから直接アクセスするクラウドベースのアプリケーション。
- Microsoft Office 365 や Google Workspace などの SaaS アプリケーションを介してユーザーがアクセスするクラウドベースのアプリケーション。
- 部門またはエンドユーザーが購入し、システムにロードされた既製のソフトウェア(現在はあまり一般的ではありません)。
- 個人の会社のノートパソコン上で実行されるカスタム開発のソフトウェア。
シャドー IT 活動の例:
- Trello や Asana などのワークフローや生産性アプリケーションのダウンロードや不正使用。
- 個人または部署のアカウントや認証情報を通じて設定されるクラウド・ワークロードの作成と使用。
- 組織の IT 部門が監視していないサードパーティのSaaS アプリケーションやその他のクラウド・サービスのサブスクリプションの不正な購入および/または使用。
- WhatsApp や Signal などのパーソナル・メッセージング・プラットフォームや通信アプリケーションを使用して、業務関連のコミュニケーションを行う。
- 個人の電子メール・アカウントを使用してビジネスを行う。
- BYOD(Unauthorized Bring Your Own Device)とは
シャドー IT によるリスク
従業員が会社の管理外の場所にデータを保存している場合、データを保護することはほぼ不可能です。また、IT 部門は、データが存在する場所がわからない場合、顧客のデータのどれがどの程度危険にさらされているかも把握できません。
したがって、シャドー IT の主なセキュリティリスクは、以下のとおりです。
データ損失
個人アカウントや個人のノートパソコンに保存されているデータにはアクセスできないため、従業員が退社したり、退社したりすると、データが失われます。また、これらの個人アカウントのデータは、会社のポリシーや手順の対象とならないため、会社のポリシーに従って適切にバックアップ、アーカイブ、暗号化されない場合があります。
可視性と制御性の低下
シャドー IT は、データ損失に深刻な問題をもたらすのと同じ理由で、可視性と制御に深刻な問題をもたらします。見えないものは保護できません。自己プロビジョニングの利用が増えると、生産性とオンボーディングが加速しますが、リソースのプロビジョニングも分散されるため、IT 部門が状況、担当者、場所を把握しづらくなります。また、データの信頼できる情報源が 1 つもないことや、データの信頼できる情報源が損なわれたり不完全であったりすることにもつながります。
サイバー攻撃に対する脆弱性の増大
シャドー IT は、組織の攻撃対象領域を拡張します。シャドー IT アプリケーションは IT 部門には見えないため、サイバーセキュリティ・ソリューションによっても保護されません。さらに、シャドー IT アプリケーションのユーザーは、サイバー犯罪者が容易に悪用して企業ネットワークにアクセスできるよう、脆弱な認証情報やパスワードを頻繁に使用します。
コンプライアンス違反によるコスト増加
シャドー IT は、データ侵害の場合の評判の低下に加えて、規制上の罰金や罰則の形で間接的なコストを組織に与えることがよくあります。また、一部の従業員は、コストを削減する方法としてシャドー IT を利用するかもしれませんが、データ・ストレージなどのシャドー IT アプリケーションやサービスの長期的な使用は、大規模なコスト効果が高くありません。
シャドー IT リスクの管理と軽減
シャドー IT の主な原因
従業員が、自分の仕事を最大限にこなすために必要なものを持っていない。
したがって、シャドー IT インスタンスが拡大するにつれ、シャドー IT インスタンスの管理と軽減の責任は、従業員が業務上必要な全てのツール、リソース、サービスにアクセスできるようにすることにあります。
シャドー IT によるリスクを軽減するために、組織は以下を行うことができます。
- 全てのツールとテクノロジーの安全かつ適切な使用法について、従業員をトレーニングする
- 新しいサービスのプロビジョニングに関するルールとプロトコルを強制する
- セキュリティとコンプライアンスに関する企業ポリシーを(動画、トレーニングなどを通じて)強調し、常に強化する
しかし、上記の全てに加えて、シャドー IT によるリスクを軽減するために企業ができる最善のことは、ピュア・ストレージの FlashArray や Snapshots などの高度な技術を使用することです。これらの技術を組み合わせることで、データのアクセシビリティと可視性が向上し、複数のデータソースを分析しながら、ローカルなデータを維持できます。FlashBlade オブジェクト・ストレージやクラウドの Pure Cloud Block Storeに直接保存されたデータを操作することで、他のツールやワークフローと共有されるデータの個別のコピーを作成する必要がなくなります。
FlashBlade//Sについて詳しく見る。
データ保護に関する詳細なガイドをダウンロードしてください。