「シャドーIT」は“あれ”を見れば簡単に検出できるって本当?シャドーITのリスクと管理法【後編】

猛威を振るっている攻撃の入り口の一つに「シャドーIT」がある。シャドーITによるリスクを確実に減らすためには、どうすればいいのか。対策のポイントを紹介する。

2024年06月06日 07時15分 公開
[Paul KirvanTechTarget]

 IT部門が関与しないIT活用「シャドーIT」は組織にさまざまなリスクをもたらす。セキュリティを強化して攻撃を防ぐには、IT部門が使われている全てのデバイスやソフトウェアを把握する必要がある。シャドーITのリスクを管理するために、組織には何ができるのか。シャドーITの兆候を見つけ、「技術」と「ルール」の両側面から対策するためのチップスを集めた。

「シャドーIT」は“あれ”を見れば検出できる?

 組織はシャドーITに対抗するために、まずシャドーITがあることを意識しなければならない。従業員が勝手にツールの利用を開始する背景には、会社から支給されたツールに不満があることがある。組織は会社支給のツールが「古い」「使いにくい」といった不満の声を聞いた場合、それをシャドーITの兆候として捉えることが重要だ。予算の可能な範囲で会社として新しいツールを導入すれば、シャドーITの温床をなくし、セキュリティの向上につなげることができる。

 自社でシャドーITがあるかどうかを確認するためのヒントとして、以下の変化が挙げられる。組織はこれらの変化があったら「シャドーITの影響ではないか」と考え、迅速に原因を調査する必要がある。

  • アプリケーション実行時間の遅延
  • ネットワーク速度の低下
  • 10分未満の短期間のシステム停止

 シャドーITのよるリスクを低減するために、次の対策が有効だ。

技術面での対策

  • ネットワーク監視ツールを用いて、IT部門から許可されているIPアドレスのリストにないIPアドレスを検知する
  • 全ITインフラを可視化する
  • システム構成が変更されれば、侵入防止システムといったセキュリティ製品のルールを新しいシステム構成に合わせる
  • ファイアウォールのルール設定によってアクセスを制御する
  • システムにつながっているデバイスを把握するために、定期的にアセット管理ツールを利用する
  • メールの疑わしい添付ファイルを特定する
  • 自社だけではなく、可能な限り、クラウドベンダーをはじめとした外部パートナーのシステムも監視する
  • シャドーIT検知に特化したツールの導入を検討する

ルールによる対策

  • IT利用(シャドーIT禁止)について明確なルールを設ける
  • 人事部門や法務部門と連携し、シャドーITが発見された場合の罰則を決める
  • 全社会議でシャドーITの危険性を伝え、シャドーIT撲滅への協力を求める
  • 広く信頼されているベテラン従業員を通じてシャドーITの有無を探る
  • シャドーITを巡り、不審な動きに気付いたらIT部門に報告するよう従業員に奨励する
  • シャドーIT撲滅の進捗状況をIT部門が定期的に経営幹部に報告する
  • シャドーIT対策に詳しい、社外セキュリティ専門家の力を借りる

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

事例 HENNGE株式会社

脱PPAPやパスワードレスの実現でDXを加速、事例に学ぶセキュリティ戦略の勘所

レストランチェーンとして国内外で事業を展開するGenki Global Dining Concepts(旧:元気寿司)。同社の情報システム部門は、PPAPの利用やパスワードの問い合わせ増加などさまざまな問題を抱えていた。同社の解決方法を紹介する。

製品レビュー HENNGE株式会社

企業の防御力は万全? ペネトレーションテストで見直すセキュリティ戦略

企業のセキュリティ対策において重要なのは、組織やシステムのセキュリティが「総合的」に機能しているかどうかだ。この総合力を確かめる方法が「ペネトレーションテスト」だ。本動画では、専門家がこのテストの重要性について解説する。

製品資料 LRM株式会社

セキュリティ教育のマンネリ化を防ぎ、従業員の意識向上を図るには?

サイバー攻撃が高度化する中、従業員のセキュリティ意識を高めるための教育や訓練の重要性が高まっている。しかし、訓練するだけで終わってしまっている企業も少なくない。効果的なセキュリティ教育を実施するにはどうすればよいのか。

製品資料 LRM株式会社

基礎から分かる「セキュリティ教育」、4つのアプローチはどれが最適か?

ISMSやPマークといった認証を取得している企業はもちろん、取得していない企業にとっても情報セキュリティ教育が重要であることは変わらない。その方法には、eラーニングや外部セミナー、集合研修などがあるが、どう選べばよいのか。

製品資料 INFINIDAT JAPAN合同会社

ストレージ×バックアップソフトでランサムウェア対策、事例で学ぶ効果の実態

ランサムウェアの脅威に対処するには、攻撃を受けた際、信頼できるバックアップデータを迅速にリストアできる環境が不可欠だ。定番バックアップソフトとあるストレージの組み合わせに注目し、その導入事例を紹介する。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

「シャドーIT」は“あれ”を見れば簡単に検出できるって本当?:シャドーITのリスクと管理法【後編】 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。