「シャドーIT」は“あれ”を見れば簡単に検出できるって本当?シャドーITのリスクと管理法【後編】

猛威を振るっている攻撃の入り口の一つに「シャドーIT」がある。シャドーITによるリスクを確実に減らすためには、どうすればいいのか。対策のポイントを紹介する。

2024年06月06日 07時15分 公開
[Paul KirvanTechTarget]

 IT部門が関与しないIT活用「シャドーIT」は組織にさまざまなリスクをもたらす。セキュリティを強化して攻撃を防ぐには、IT部門が使われている全てのデバイスやソフトウェアを把握する必要がある。シャドーITのリスクを管理するために、組織には何ができるのか。シャドーITの兆候を見つけ、「技術」と「ルール」の両側面から対策するためのチップスを集めた。

「シャドーIT」は“あれ”を見れば検出できる?

 組織はシャドーITに対抗するために、まずシャドーITがあることを意識しなければならない。従業員が勝手にツールの利用を開始する背景には、会社から支給されたツールに不満があることがある。組織は会社支給のツールが「古い」「使いにくい」といった不満の声を聞いた場合、それをシャドーITの兆候として捉えることが重要だ。予算の可能な範囲で会社として新しいツールを導入すれば、シャドーITの温床をなくし、セキュリティの向上につなげることができる。

 自社でシャドーITがあるかどうかを確認するためのヒントとして、以下の変化が挙げられる。組織はこれらの変化があったら「シャドーITの影響ではないか」と考え、迅速に原因を調査する必要がある。

  • アプリケーション実行時間の遅延
  • ネットワーク速度の低下
  • 10分未満の短期間のシステム停止

 シャドーITのよるリスクを低減するために、次の対策が有効だ。

技術面での対策

  • ネットワーク監視ツールを用いて、IT部門から許可されているIPアドレスのリストにないIPアドレスを検知する
  • 全ITインフラを可視化する
  • システム構成が変更されれば、侵入防止システムといったセキュリティ製品のルールを新しいシステム構成に合わせる
  • ファイアウォールのルール設定によってアクセスを制御する
  • システムにつながっているデバイスを把握するために、定期的にアセット管理ツールを利用する
  • メールの疑わしい添付ファイルを特定する
  • 自社だけではなく、可能な限り、クラウドベンダーをはじめとした外部パートナーのシステムも監視する
  • シャドーIT検知に特化したツールの導入を検討する

ルールによる対策

  • IT利用(シャドーIT禁止)について明確なルールを設ける
  • 人事部門や法務部門と連携し、シャドーITが発見された場合の罰則を決める
  • 全社会議でシャドーITの危険性を伝え、シャドーIT撲滅への協力を求める
  • 広く信頼されているベテラン従業員を通じてシャドーITの有無を探る
  • シャドーITを巡り、不審な動きに気付いたらIT部門に報告するよう従業員に奨励する
  • シャドーIT撲滅の進捗状況をIT部門が定期的に経営幹部に報告する
  • シャドーIT対策に詳しい、社外セキュリティ専門家の力を借りる

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news191.jpg

Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...

news110.jpg

インテントデータ×キーエンス出身者のノウハウで実現 ABMを先に進める最先端の営業手法とは?
ユーソナーとGrand Centralは提携し、営業売り上げ拡大のためのBPOパッケージを提供開始...

news061.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年12月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...