「シャドーIT」は“あれ”を見れば簡単に検出できるって本当？：シャドーITのリスクと管理法【後編】

猛威を振るっている攻撃の入り口の一つに「シャドーIT」がある。シャドーITによるリスクを確実に減らすためには、どうすればいいのか。対策のポイントを紹介する。

[Paul Kirvan，TechTarget]

　IT部門が関与しないIT活用「シャドーIT」は組織にさまざまなリスクをもたらす。セキュリティを強化して攻撃を防ぐには、IT部門が使われている全てのデバイスやソフトウェアを把握する必要がある。シャドーITのリスクを管理するために、組織には何ができるのか。シャドーITの兆候を見つけ、「技術」と「ルール」の両側面から対策するためのチップスを集めた。

「シャドーIT」は“あれ”を見れば検出できる？

併せて読みたいお薦め記事

連載：シャドーITのリスクと管理法

• 前編：公認ツールが不評でも「シャドーIT」を許してはいけない“7つの理由”

シャドーITはなぜ危険なのか

• 「シャドーIT」のリスクは“セキュリティだけ”だと考えていないか？
• データ活用に本気の企業ほど「シャドーIT」を放置してはいけない理由

　組織はシャドーITに対抗するために、まずシャドーITがあることを意識しなければならない。従業員が勝手にツールの利用を開始する背景には、会社から支給されたツールに不満があることがある。組織は会社支給のツールが「古い」「使いにくい」といった不満の声を聞いた場合、それをシャドーITの兆候として捉えることが重要だ。予算の可能な範囲で会社として新しいツールを導入すれば、シャドーITの温床をなくし、セキュリティの向上につなげることができる。

　自社でシャドーITがあるかどうかを確認するためのヒントとして、以下の変化が挙げられる。組織はこれらの変化があったら「シャドーITの影響ではないか」と考え、迅速に原因を調査する必要がある。

• アプリケーション実行時間の遅延
• ネットワーク速度の低下
• 10分未満の短期間のシステム停止

　シャドーITのよるリスクを低減するために、次の対策が有効だ。

技術面での対策

• ネットワーク監視ツールを用いて、IT部門から許可されているIPアドレスのリストにないIPアドレスを検知する
• 全ITインフラを可視化する
• システム構成が変更されれば、侵入防止システムといったセキュリティ製品のルールを新しいシステム構成に合わせる
• ファイアウォールのルール設定によってアクセスを制御する
• システムにつながっているデバイスを把握するために、定期的にアセット管理ツールを利用する
• メールの疑わしい添付ファイルを特定する
• 自社だけではなく、可能な限り、クラウドベンダーをはじめとした外部パートナーのシステムも監視する
• シャドーIT検知に特化したツールの導入を検討する

ルールによる対策

• IT利用（シャドーIT禁止）について明確なルールを設ける
• 人事部門や法務部門と連携し、シャドーITが発見された場合の罰則を決める
• 全社会議でシャドーITの危険性を伝え、シャドーIT撲滅への協力を求める
• 広く信頼されているベテラン従業員を通じてシャドーITの有無を探る
• シャドーITを巡り、不審な動きに気付いたらIT部門に報告するよう従業員に奨励する
• シャドーIT撲滅の進捗状況をIT部門が定期的に経営幹部に報告する
• シャドーIT対策に詳しい、社外セキュリティ専門家の力を借りる

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。