公認ツールが不評でも「シャドーIT」を許してはいけない“7つの理由”:シャドーITのリスクと管理法【前編】
手軽に利用を開始し、直感的に使える個人向けITツールが広がる中、それらを会社で勝手に使う「シャドーIT」が広がりやすくなっている。IT部門は、なぜシャドーITを許してはいけないのか。
ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃が後を絶たない状況下で、攻撃を招きかねない「シャドーIT」(IT部門が関与しないIT活用)に関する注意がこれまで以上に重要になっている。「会社から支給されるツールが使いにくい」といった理由から生じるシャドーITを防ぐことは簡単ではないが、セキュリティの観点からシャドーITを決して許してはいけない。それはなぜなのか。シャドーITの「7つの危険性」を見てみよう。
「シャドーIT」を許してはいけない7つの理由
1.システムへの侵入
シャドーITを原因に攻撃者が組織のシステムに侵入できるようになることがある。シャドーITのツールはファイアウォールやマルウェア対策ソフトウェアなどセキュリティ製品の対象外となり、十分な保護ができないことがあるからだ。
2.データへの不正アクセス
不正アクセスを防ぐために、システムへのアクセス制御が重要だ。アクセス制御に際し、従業員の役割に基づいてアクセス権を付与することと、ユーザーの身元を確認するために多要素認証(MFA)を実施することが求められる。シャドーITの場合は、IT部門によるアクセス制御ができない。そのため、不正アクセスによるデータ損失やマルウェア感染のリスクがある。
3.データの不正変更
不正アクセスによるもう一つのリスクは、攻撃者によるデータの不正変更だ。データが変更されれば、ビジネスに大きな影響が及びかねない。例えば医療機関だと、患者の健康情報が変更されれば、誤診につながる恐れがある。データの不正変更はコンプライアンス(法令順守)の観点からも要注意だ。
4.不正コードの挿入
シャドーITが使われていると、意図的であるかどうかに関わらず、悪意のあるコードがシステムに挿入される可能性がある。その場合、攻撃リスクが生じる。
5.脆弱性の放置
攻撃を防ぐために、脆弱(ぜいじゃく)性のパッチ(修正プログラム)を適用しなければならない。シャドーITだと、IT部門がパッチを適用できないので、脆弱性が放置されることになる。従業員が自らパッチを適用しても、そのタイミングや方法が誤っていれば、セキュリティの問題を引き起こしかねない。
6.コンプライアンスの問題
金融機関や医療機関、政府機関などコンプライアンスが厳しい組織は特にシャドーITに注意する必要がある。シャドーITを起点としてセキュリティ事故が発生すれば、コンプライアンス違反になりかねない。コンプライアンス違反が発覚した場合、罰金や訴訟につながる恐れがある。
7.組織の評判低下
組織はシャドーITを原因に攻撃を受ければ、顧客や社会から信用を失ったり、ブランド価値が下がったりする可能性がある。しっかりしたIT管理こそ、組織の信用を高めるための重要な取り組みになる。
後編は、シャドーITのリスク管理法を紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.