シャドー管理者をあぶり出す

Share with your network!

2025年3月04日 Matthew Gardiner

今日の急速に進化する状況において、多くの組織がITに大きく依存し、業務の効率化と競争力を維持しようとしています。これらのシステムの中には、IT部門やセキュリティ部門により管理・保護されているものもありますが、正式に承認されていない影の資産がどんどん増えてきています。これらは多くの場合、シャドーIT、シャドークラウド、シャドーVPN、シャドーパスワードマネージャーなどと呼ばれます。

この「シャドー」リストに、シャドー管理者（Shadow Admin）も忘れてはなりません。シャドー管理者とは、特定のITシステムにおいて、正式に承認されることなく管理権あるいは特権のある役割を持つ人のことです。このブログ記事では、シャドー管理者が多大なリスクを持つ理由と、こうした管理者への対策について説明します。

シャドーIT管理者とは

シャドーIT管理者は一般的に、技術的または機能的な専門知識をもっています。そのため、特定のサービスのセットアップ、構成、管理を行うことができます。こうした管理者は多くの場合、緊急のビジネスニーズに対処したいという思いから行動しています。しかし、長期的な管理の観点から見ると、多くの場合計画的とは言えません。大抵は、組織のガバナンス、リスク、コンプライアンス（GRC）の要件を考慮していません。そのため、こうした管理者の行動によって、組織に重大なリスクをもたらす可能性があります。セキュリティベストプラクティスや組織のGRCポリシーを熟知していなければなおさらです。もしシャドーIT管理者が管理するシステムが機密データを使用していたり、重要なビジネスプロセスをサポートしていたらどうでしょうか？

シャドーIT管理者が生まれる理由

ITの取得や管理において正式のプロセスや優先事項に不満を感じた従業員がシャドーIT管理者になることがあります。一般的に、以下のような問題があります。

ITの対応が迅速でない：組織内の各部門のチームは、ITソリューションを必要としているが、承認や導入に時間がかかるため、IT部門はスムーズでないと考えている場合があります。
リソース不足：IT部門は、すべての要求に対処できる余裕がなく、従業員や部門は各自で対処するしかない場合があります。
ニーズに合っていない：事業部門とこれに関連したシャドー管理者は多くの場合、承認された、サポートされているシステム経由でアクセスできるものよりも、より効率的であると考えるサービスまたはシステムを導入しています。
イノベーションやアジリティ：シャドーIT管理者の中には、イノベーションに関心の高い者もいます。新しいツールまたはテクノロジーを導入し、業務を進めることができるかもしれませんが、正式なIT構造には沿っていません。そして、こうした行動において、シャドーIT管理者は未承認のシステムの管理者となります。

シャドーIT管理者のリスク

シャドーIT管理者は多くの場合、良かれと思って行動しているのですが、意図せず組織をさまざまなリスクにさらしてしまう可能性があります。攻撃者がこうしたアカウントを悪用すれば、バックドアの作成、セキュリティ設定の変更、機密データの抜き出し、システムの全停止など、権限が必要なアクションを実行できるようになります。攻撃者はまた、これらのアカウントを使用して痕跡を隠すこともできます。こうして検知を回避できるため、侵害したシステムをコントロールし続けることができます。

Active Directoryに関連したシャドー管理者リスクもあります。攻撃者は、Active Directoryでシャドー管理者アカウントを使用してディレクトリサービスの操作、パスワードのリセット、権限昇格を行うことができます。さらに、これらのアカウントを特定することで、攻撃者はアクセスレベルを上げることができます。多くの場合は他に何のエクスプロイトも必要ありません。シャドー管理者アカウントがこれほど重大なリスクである一つの理由は、多くの場合、悪用されてからしばらくしても気づかないことです。

シャドーITやシャドー管理者アカウントに関連した侵害として、広く知れ渡っている最近の例として、「Midnight BlizzardによるMicrosoftへの攻撃」の記事をご覧ください。

シャドー管理者が組織にリスクをもたらす6つの側面

シャドー管理者が影響を及ぼすエリアは6つあります。

1：セキュリティの脆弱性

シャドーIT管理者は多くの場合、IT部門によって設定された、重要なセキュリティプロセスを回避します。これは、以下のようなさまざまな重大なセキュリティリスクにつながる可能性があります。

アクセス制御の弱体化：シャドーIT管理者は、アプリケーションまたはデータへの過度な権限を自身または他の人に付与する場合があります。これにより、重要なシステムへの許可されていないアクセスやバックドアを作成される可能性があります。これは、適切な監視ができないばかりか、攻撃者は、ユーザーアカウントをコントロールすることを好むため、問題となります。
システムの構成ミス：シャドーIT管理者が、適切なセキュリティ構成を使用していなければ、正しく構成されていないシステムを構築してしまうおそれがあります。そうすれば、攻撃者がこのようなシステムを悪用するリスクはさらに高まります。

2：データの侵害と損失

多くのシャドーITサービスには、機密データの処理が関わります。例えば、財務記録、知的財産、顧客情報などです。シャドーIT管理者が適切な監視なくこのデータを管理すれば、以下のようなリスクを招く可能性が高まります。

情報漏えい：シャドーIT管理者によって構成されたシステムまたはアプリケーションは、適切に暗号化されていない、適切なアクセス制御が設定されていない、または十分に監視されていない可能性があります。これは、情報漏えいや、機密情報が許可されていない方法で共有されるといった問題を招きます。
データ損失：シャドーIT管理者がシステムを適切にバックアップしていない、または個人のクラウドサービスなど、セキュアでない環境でデータを保存している場合、システム障害が発生したり、ランサムウェアなどのサイバー攻撃を受けたりすれば、組織の重要なデータが失われるリスクが生じます。

3：規制の非遵守

GDPR（EU一般データ保護規則）、HIPAA（米国医療保険の相互運用性と説明責任に関する法律）、SOC 2といった、規制上の要件を遵守する必要がある組織にとって、シャドーIT管理者は、重大なコンプライアンスリスクをもたらす可能性があります。シャドーシステムやシャドーアカウントは多くの場合、正式なITシステムと同様の厳格なチェックや監査が行われないため、規制に対応するために必要なセキュリティまたはプライバシー要件に適合できない可能性があります。これは、以下を招くおそれがあります。

法的処分や罰金：組織が規制を遵守していない場合、罰金や法的問題、風評被害を招くことが予想されます。
監査証跡の欠如：シャドーITシステムは、必要なロギングや監視を導入していない可能性があります。そのため、データの動きや変更を追跡することは難しく、監査やフォレンジック調査の際に問題となりえます。

4：非効率なオペレーション

シャドーIT管理者アカウントは、問題を即座に解決できるかもしれません。しかし、そのまま放置されていれば、長期的に見ればオペレーションの非効率を招くおそれがあります。

データのサイロ化：シャドーIT管理者は多くの場合、中央のITインフラとうまく統合していないシステムを導入しています。その結果、データストレージは、フラグメント化されているため、さまざまな部門でデータを使用するのが簡単ではありません。
一貫性のないプロセス：複数のチームがそれぞれ異なるツールや承認されていないツールを使用していれば、多くの場合ワークフローに一貫性がなくなります。組織にとって、プロセスを効率化したり、業務について統一されたビューを得たりすることが難しくなります。

5：インシデントレスポンスへの影響

サイバー攻撃またはデータ侵害が発生した場合、シャドーIT管理者の情報が必要な場合、IT部門による特定と対応にかなりの時間がかかる可能性があります。シャドーITサービスやシャドーITアカウントは一般的に文書化や監視が行われていないため、ITチームは、影響を受けたシステムをすべて検知することができなかったり、対応に参加してもらう従業員がわからなかったりする可能性があります。こうした可視性の欠如により、インシデントレスポンスや封じ込めに遅れが生じる可能性があります。その結果、セキュリティインシデントによる被害が大きくなります。

6：増えるITの負担

シャドーITやこれに関連したシャドー管理者が確認されれば、ITチームには、時間のかかるオンボーディングプロセスが待っています。これらのシステムの監査や保護を行い、組織の正式なITシステムやプロセスに統合しなければなりません。ITチームにとっては計画外の負担がのしかかることになります。さらに、より重要なプロジェクトからリソースを割り当てなければならず、オペレーションコストもかさみます。