シャドーITの脅威

シャドーITの脅威にどう対処するか

（@ITの記事より要点整理です）

セキュリティ企業大手ESETは、新型コロナウイルス感染症の流行を受けてテレワーク勤務や出社と在宅が混在するハイブリッドワークが進展している現在、「シャドーIT」の脅威が顕著になっているとして、対処方法をまとめた。

シャドーITとは

プライベートな携帯電話やパソコン（いわゆるBYOD;Bring Your Own Device）、あるいは個人向けのITサービスなどを、会社の許可を得ていないのに仕事で使うことを指している。
コロナ禍になる以前にも、テレワークを導入していた企業ではすでにシャドーIT問題が散見されていたようで、この状況は企業にとって重大な脅威となっている。

シャドーITの事例

・個人向けとして展開されているファイルストレージ
例）Google ドライブ、One Drive、Dropboxなど
・生産性ツールやプロジェクト管理ツール
※多岐にわたり、無料サービスの範囲で個人が利用している場合
・メッセージングツールや電子メール
例）同僚のIDを知っているので日常業務もLINEでやり取りしているなど
・クラウドを用いたIaaS（Infrastructure as a Service）やPaaS（Platform as a Service）

シャドーITが拡大した経緯

【これまで】
従業員から企業向けITツールでは不十分で、生産性を阻害していると認められた場合
→シャドーITの利用を企業側は容認
【現在】
・新型コロナウイルス感染症の感染拡大により在宅勤務の勤務形態が浸透
→これを機会に、企業が未承認のアプリケーションのダウンロードや利用が活発になる
・従業員が企業のセキュリティポリシーを無視したり、企業側が事業継続を最優先にして、この問題を棚上げしたため、事態が複雑化している

シャドーITの問題の大きさ

調査を発表しているESETは詳細な実態を把握することは難しいとしながらも、次のように述べている。

・米国の労働者の64％が過去1年以内に、IT部門を介さずに少なくとも1つのアカウントを作成した（1Passwordによる2019年の調査）
・パンデミック前からテレワークで働いていた従業員の65％が、IT部門に承認されていないツールを使っている。また、現在の従業員の40％が、IT部門に承認されていないコミュニケーションやコラボレーションツールを使っている（Beezyによる2021年の調査）
・会社で明示的に承認されていないコミュニケーションツールやコラボレーションツールを使っている従業員の割合は、ベビーブーム世代が15％にとどまるのに対し、ミレニアル世代では54％に上る（Beezyによる2021年の調査）

シャドーITの脅威

IT部門が未承認のデバイスやITサービスを利用しているため、定期的に実施しているソフトウェアパッチが適用されなかったり構成が適正に実施されないなどの可能性が残る。
またセキュリティ上、シャドーITはエンタープライズ製品のセキュリティ対策から抜け落ちているため保護されないことや、コンプライアンス監査の対象になっていないこと、またデータを消失する危険性や、セキュリティ侵害が発生した場合、企業の信用を落とす危険性など様々な脅威が考えられている。

シャドーITへの対策

ESETはシャドーITに対して、現状を把握したうえで対策を施すよう述べている。（以下引用）

・シャドーITに対処する包括的なポリシーを設計する。このポリシーには、承認済みや未承認のソフトウェアとハードウェアのリストを周知することや、承認申請プロセスなどが含まれる
・従業員間での透明性を促進する。この目的のために、シャドーITの潜在的影響を教育し、誠実な双方向の対話を開始する
・役に立つツールとそうでないツールに関する従業員からのフィードバックを基に、ポリシーを調整する。新しいハイブリッドワーク時代のセキュリティと利便性の両立に向けて、ポリシーを見直すべきときかもしれない
・モニタリングツールを使ってシャドーITの利用状況やリスキーな行動を追跡し、持続的な攻撃に対して適切な措置を講じる

企業としては、既成の企業向けITツールについてヒアリングをして、運用を見直す。そして、シャドーITに対処するための指針設計や従業員教育、定期観測を実施することになる。

いずれにしても、シャドーITが与える影響は大きいので、早めに対応することが求められそうだ。