「シャドーIT」は“あれ”を見れば簡単に検出できるって本当?シャドーITのリスクと管理法【後編】

猛威を振るっている攻撃の入り口の一つに「シャドーIT」がある。シャドーITによるリスクを確実に減らすためには、どうすればいいのか。対策のポイントを紹介する。

2024年06月06日 07時15分 公開
[Paul KirvanTechTarget]

 IT部門が関与しないIT活用「シャドーIT」は組織にさまざまなリスクをもたらす。セキュリティを強化して攻撃を防ぐには、IT部門が使われている全てのデバイスやソフトウェアを把握する必要がある。シャドーITのリスクを管理するために、組織には何ができるのか。シャドーITの兆候を見つけ、「技術」と「ルール」の両側面から対策するためのチップスを集めた。

「シャドーIT」は“あれ”を見れば検出できる?

 組織はシャドーITに対抗するために、まずシャドーITがあることを意識しなければならない。従業員が勝手にツールの利用を開始する背景には、会社から支給されたツールに不満があることがある。組織は会社支給のツールが「古い」「使いにくい」といった不満の声を聞いた場合、それをシャドーITの兆候として捉えることが重要だ。予算の可能な範囲で会社として新しいツールを導入すれば、シャドーITの温床をなくし、セキュリティの向上につなげることができる。

 自社でシャドーITがあるかどうかを確認するためのヒントとして、以下の変化が挙げられる。組織はこれらの変化があったら「シャドーITの影響ではないか」と考え、迅速に原因を調査する必要がある。

  • アプリケーション実行時間の遅延
  • ネットワーク速度の低下
  • 10分未満の短期間のシステム停止

 シャドーITのよるリスクを低減するために、次の対策が有効だ。

技術面での対策

  • ネットワーク監視ツールを用いて、IT部門から許可されているIPアドレスのリストにないIPアドレスを検知する
  • 全ITインフラを可視化する
  • システム構成が変更されれば、侵入防止システムといったセキュリティ製品のルールを新しいシステム構成に合わせる
  • ファイアウォールのルール設定によってアクセスを制御する
  • システムにつながっているデバイスを把握するために、定期的にアセット管理ツールを利用する
  • メールの疑わしい添付ファイルを特定する
  • 自社だけではなく、可能な限り、クラウドベンダーをはじめとした外部パートナーのシステムも監視する
  • シャドーIT検知に特化したツールの導入を検討する

ルールによる対策

  • IT利用(シャドーIT禁止)について明確なルールを設ける
  • 人事部門や法務部門と連携し、シャドーITが発見された場合の罰則を決める
  • 全社会議でシャドーITの危険性を伝え、シャドーIT撲滅への協力を求める
  • 広く信頼されているベテラン従業員を通じてシャドーITの有無を探る
  • シャドーITを巡り、不審な動きに気付いたらIT部門に報告するよう従業員に奨励する
  • シャドーIT撲滅の進捗状況をIT部門が定期的に経営幹部に報告する
  • シャドーIT対策に詳しい、社外セキュリティ専門家の力を借りる

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

ITmedia マーケティング新着記事

news004.jpg

ブランドセーフティー(安全性)とブランドスータビリティー(適合性)はリーチと両立できる
そもそも広告は表示されなければ始まりません。だからこそ「ビューアビリティー」が重要...

news186.jpg

B2Bサイトランキング2024、三菱電機が2年連続トップ――トライベック・ブランド戦略研究所調べ
トライベック・ブランド戦略研究所は、B2Bサイトのビジネス貢献度を評価する調査の結果を...

news114.jpg

Googleも認める“TikTok検索”のとてつもない影響力
ユーザーが製品を発見するプロセスにおいてTikTokが果たす超強力な役割についてのインサ...