多様化するIT環境
残念ながら2021年に入ってもコロナ禍は続いており、国や自治体から企業に対してテレワークなどの在宅勤務に対する協力要請も出されました。多くの企業で当面リモートワークを継続する必要がある中、これまでに顕在化したいくつかの課題の解決に取り組んでいる組織も多くあります。弊社が昨年国内企業の意思決定者に対して調査を行った「テレワークジャパンサーベイ2020年版」でもテレワーク実施を阻害する主要因として「ITインフラとセキュリティ」があがっており、業務遂行と生産性をあげるための環境づくりが必要との結果が出ていました。
均質でセキュリティが確保されていたオフィス環境とは異なり、リモートワークでは各個人が身を置く環境は様々です。組織のITチームが管理していないデバイスやサービス、すなわちシャドーITが業務で利用される可能性はリモートワーク環境下では飛躍的に高まります。そのためリモートワークを行う企業ではシャドーITに関してこれまで以上に慎重に方針を定める必要があります。
シャドーITの功罪
Gartner社によればシャドーITとは、「IT組織の所有権もしくは管理外にあるITデバイス、ソフトウェア、サービス」と定義されています。これには、個人が所有するものだけでなく、IT部門を通さず部署単位で導入・利用しているものも含まれます。各項目の具体例は示されていないため、相当すると考えられる一般的な例を以下に挙げます。
デバイス | パソコンやスマートフォン、周辺機器やIoT機器など |
ソフトウェア | パソコンやスマートフォン上で利用するソフトウェアやアプリなど |
サービス | インターネットアクセスやリモートアクセスなどのネットワークサービス SaaSやPaaSなどクラウドサービス |
一般的にシャドーITはガバナンスやセキュリティリスクの観点から忌避すべきものとして扱われてきました。実際、これまでシャドーITに関連して以下のようなインシデントが発生しています。
データ漏洩 | 個人所有のUSB機器やクラウドサービスに保管したデータが流出 |
脆弱性の悪用 | 管理されていない脆弱な IoT 機器を踏み台に外部の攻撃者が侵入 |
資格情報の窃取 | セキュアでないネットワーク上でクラウドサービスにログインしようとしたところフィッシングサイトだったため資格情報が窃取 |
サプライチェーン攻撃 | インストールしていたフリーソフトのアップデートサーバが攻撃者に侵害され、バージョンアップの際にマルウェアが配布され感染 |
様々な犯罪や事故が発生していますが、大半は悪事を行うためではなく、生産性を高めたり、手慣れたツールを利用するためにシャドーITを業務に持ち込んでいると考えられます。例えば、NTTセキュアプラットフォーム研究所の2017年の研究論文のデータによれば、個人所有デバイスを業務で利用する人の半数以上は、所属組織のルールや規制の有無に関係なく自身で利用を決定していることが示されています。
規制産業のように強力なガバナンスが求められる業種以外は、すべてのシャドーITに対して厳格に排除したり定期的なポリシーの見直しを行っている組織はごくわずかにとどまると思います。これは対応するためのIT部門のリソースが足りないという理由だけでなく、生産性の向上や従業員の満足度の向上というメリットが認められるためシャドーITの利用を黙認している面もあるようです。KPMG社が行った2019年の調査によれば、IT部門が関与していない事業部門主導のテクノロジ支出を認める会社は64%にものぼっており、こうした組織は競合企業に対する競争優位性が認められると結論づけられています。
まとめ
クラウドやIoT、モバイルデバイス、リモートワークなど利便性が高い技術が日々登場するなか、硬直的なポリシーの作成と運用を行ってシャドーITを規制してしまうのは有益ではありません。しかしIT部門の目が届かないところでセキュリティリスクが高まることを無視することもできないため、組織はメリットとデメリットを見極めたシャドーITのリスクマネージメントを行う必要があります。
注意する点は、組織におけるITリソース利用のポリシーを作成したとしても制御する仕組みを持たないと絵に描いた餅になってしまうおそれがあることです。ブラウザのプラグインや個人用ウェブメールなど、利用して良いかどうかを意識するユーザーはあまり多くないためです。教育も必要ですが、定めたポリシーを技術的に制御する手段を持つことでリスクマネージメントが可能になります。その際に必要なステップは以下の3つです。
1 | 可視化 | シャドーITを含む組織内で利用するすべてのITデバイス、ソフトウェア、サービスを可視化します。事故が発生してから情報収集していては被害が拡大するため、事前に把握することでリスクや損害を抑えることが可能です。 |
2 | 自動化 | 可視化されるデータは自動的に収集し必要な際に閲覧できる必要があります。 |
3 | 制御 | リスクが高い、もしくは有効性が高いと判断されたITリソースは組織内でのポリシーを作成し制御を行います。可視化と制御を一元管理されたシステムで行うことで作業負担を抑えることができます。 |
パロアルトネットワークスではシャドーITの可視化や制御を行う製品やサービスを提供しています。
- ITデバイス
- 次世代ファイアウォール IoTサブスクリプションはネットワーク上に接続されている IT, IoT, OTデバイスを可視化します
- ソフトウェア
- Cortex XDR が提供するアドオン Host Insights はエンドポイントにインストールされているソフトウェアや接続されたドライブなどを可視化します
- サービス
- 次世代ファイアウォールで利用する Global Protect や SASEソリューション Prisma Access は場所にかかわらずセキュアなネットワークアクセスを提供し、組織で利用されているクラウドサービスを可視化・制御可能です
- セキュリティライフサイクルレビューでは使用中のアプリケーションや潜在的なリスクを含めたネットワークの詳細状況を明らかにします