手軽に利用を開始し、直感的に使える個人向けITツールが広がる中、それらを会社で勝手に使う「シャドーIT」が広がりやすくなっている。IT部門は、なぜシャドーITを許してはいけないのか。
ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃が後を絶たない状況下で、攻撃を招きかねない「シャドーIT」(IT部門が関与しないIT活用)に関する注意がこれまで以上に重要になっている。「会社から支給されるツールが使いにくい」といった理由から生じるシャドーITを防ぐことは簡単ではないが、セキュリティの観点からシャドーITを決して許してはいけない。それはなぜなのか。シャドーITの「7つの危険性」を見てみよう。
シャドーITを原因に攻撃者が組織のシステムに侵入できるようになることがある。シャドーITのツールはファイアウォールやマルウェア対策ソフトウェアなどセキュリティ製品の対象外となり、十分な保護ができないことがあるからだ。
不正アクセスを防ぐために、システムへのアクセス制御が重要だ。アクセス制御に際し、従業員の役割に基づいてアクセス権を付与することと、ユーザーの身元を確認するために多要素認証(MFA)を実施することが求められる。シャドーITの場合は、IT部門によるアクセス制御ができない。そのため、不正アクセスによるデータ損失やマルウェア感染のリスクがある。
不正アクセスによるもう一つのリスクは、攻撃者によるデータの不正変更だ。データが変更されれば、ビジネスに大きな影響が及びかねない。例えば医療機関だと、患者の健康情報が変更されれば、誤診につながる恐れがある。データの不正変更はコンプライアンス(法令順守)の観点からも要注意だ。
シャドーITが使われていると、意図的であるかどうかに関わらず、悪意のあるコードがシステムに挿入される可能性がある。その場合、攻撃リスクが生じる。
攻撃を防ぐために、脆弱(ぜいじゃく)性のパッチ(修正プログラム)を適用しなければならない。シャドーITだと、IT部門がパッチを適用できないので、脆弱性が放置されることになる。従業員が自らパッチを適用しても、そのタイミングや方法が誤っていれば、セキュリティの問題を引き起こしかねない。
金融機関や医療機関、政府機関などコンプライアンスが厳しい組織は特にシャドーITに注意する必要がある。シャドーITを起点としてセキュリティ事故が発生すれば、コンプライアンス違反になりかねない。コンプライアンス違反が発覚した場合、罰金や訴訟につながる恐れがある。
組織はシャドーITを原因に攻撃を受ければ、顧客や社会から信用を失ったり、ブランド価値が下がったりする可能性がある。しっかりしたIT管理こそ、組織の信用を高めるための重要な取り組みになる。
後編は、シャドーITのリスク管理法を紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
ピザハットが新展開 まさかのTikTok動画活用法とは?
Pizza HutがUAEを中心に「トレンド払い」キャンペーンを展開している。TikTokのトレンド...
「レシピチェック」「少額決済」はデジタルが多数派に 逆にアナログでないとだめな活動とは?
博報堂生活総合研究所は、直近1年間における暮らし全般のデジタル化の度合いを調べる「生...
ホワイトペーパー制作が続かない! 苦しまず量産するため、どうすればいい?
前編ではB2B企業にとって本来あるべきホワイトペーパーの役割と成果を出すための3つの使...