シャドーITと安全のヒントを知っておきましょう
シャドーIT (shadow IT) はIT部門に準ずる知識や承認なく、企業環境内で社員がクラウドに接続するアプリやサービスを使用している、企業全般に見られる状況を指します。一部のシャドーITは無害であり役に立ちますが、同時に新たなサイバーセキュリティ上のリスクをもたらしています。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
シャドーITを安全に導入するためのヒント
誰がどのアプリを使用していて、どのようなリスクを企業に与える可能性があるのかを正しく判断するためには、次の質問について検討しましょう。
- どのクラウドアプリが企業内で使用されていますか?
- SaaSの採用と利用に見られる傾向は?どのSaaSアプリが複数使用されていますか?
- 誰がどのアプリケーションを使用していますか?
- シャドーITの用途は?アプリケーションの使用は企業の方針に反していませんか?
- シャドーITの使用は、セキュリティ(脆弱性や脅威)とコンプライアンスの観点から危険性がありますか?
- ファイルのアップロードやダウンロードが行われていることを示すSaaSアプリはありますか?SaaSアプリではどのファイルが、情報漏えい対策 (DLP) のルールに違反してアップロードまたはダウンロードされていますか?
- 誰が情報漏えい対策に違反してアップロードやダウンロードしていますか?
シャドーITのリスクと問題
多くの社員は良かれと思って企業環境でクラウドアプリを使用しています。使い勝手が良いアプリを見つけて使い始めます。そして同僚にも勧めて、共有します。ところが、アプリの使用について報告していないため、ITセキュリティ担当者からの承認を得てはいません。
ITセキュリティの部署では、シャドーITのアプリはせいぜい2、30個くらいだろうと予測し、管理が行き届いていると考えがちです。しかし、シャドーITを調査して発見されたものを見てみると、誰がどこで使っているかわからないアプリが1,300個もあるとわかればショックを受けるでしょう。ネットワーク上に未知のアプリが多いほど、シャドーITからのリスクは高まります。そして、把握していないものに対して安全を確保することはできません。
シャドーITの脅威
今日のクラウドファースト社会では、IT部門から承認されたアプリと未承認のアプリ(シャドーIT)への、社員のアクセスを管理することが今まで以上に重要になってきています。多くの企業では、推定平均1,000のクラウドアプリが利用されています。そのアプリのうち一部には、重大なセキュリティの穴が生じ、企業にリスクを与え、コンプライアンスの規則や義務に違反します。
一般的なシャドーITの一例には、社員がサードパーティアプリに広範なOAuthのアクセス許可を与えてしまうことがあります。EUにおいては、このような行為が意図せずしてGDPR(General Data Protection Regulation: 一般データ保護規則)などのデータ保管に関する規則に違反してしまいます。さらに、攻撃者は誰かをだまして広範なアクセス権限を得るために、標的が承認を得て使用しているSaaSアプリであり機密データを含むMicrosoft 365、Google Workspace、Boxに対して、サードパーティのアドオンやソーシャルエンジニアリングを使います。
シャドーITを保護するためのヒント
クラウドアプリケーションの保護対策 (CASB) は、クラウド環境を一か所に集めて可視化することで、社員が使用しているシャドーITのクラウドアプリやクラウドサービスを管理するときに役立ちます。クラウド内で誰がどのアプリやデータにアクセスしているか、どこから、どのデバイスを使ってアクセスしているのかなどが見抜けるようになります。
CASB のカタログクラウドサービス(サードパーティのOAuthアプリを含む)は、リスクレベルとクラウドサービスの全体的な信頼度を評価して、スコアをつけます。さらにCASBはクラウドサービスのリスクレベルやそのほかのパラメータ(アプリのカテゴリやデータアクセス制御)によってクラウドサービスとの間を行き来するアクセスを自動制御します。