2024 年 8 月 29 日 Kirk Jensen 著

SaaS アプリケーションやソリューションの台頭は、私たちの働き方に革命をもたらしました。しかし、シャドー IT およびシャドーSaaS と呼ばれる、ツールの無許可利用は、企業ネットワークに重大なリスクをもたらします。

最近の研究によると、これらの行為に関するリスクのトップは、データ損失（65％）、可視性と制御の欠如（62％）、データ侵害（52％）であることが明らかになっています。実際、調査対象となった企業の 10 社に 1 社は、IT チームの同意なしにツールを使用したことがデータ漏洩につながったのではないかと疑っています。

シャドー IT とシャドー SaaS の 4 大リスク

サイバーセキュリティの観点から見ると、SaaS アプリケーションとライセンスの無差別な使用は、組織のセキュリティ態勢を著しく損なうことがあります。導入されているツールの管理が不十分な場合、企業は以下のようなさまざまな脅威にさらされます。

1. データ漏洩やアカウントの乗っ取り：
   会社のセキュリティポリシーの対象外であるため、無許可のアプリケーションには、サイバー犯罪者が機密情報にアクセスするために悪用できる脆弱性が含まれている可能性があります。また、無許可のツールを導入した従業員が機密データを不用意に共有したり、ソーシャルエンジニアリング攻撃の対象になったりする可能性もあり、データ漏洩やアカウントの乗っ取りが起きやすくなります。
2. シャドー IT に特有の管理体制の欠如によるシステムへの悪意あるコードの侵入：
   これは意図的な行動や不注意によって発生するもので、企業がランサムウェア攻撃を受けやすくなります。
3. 未知の脆弱性：
   無許可のソフトウェアを使用した場合、企業はシステムを制御できなくなり、セキュリティパッチをタイムリーに適用することが困難になります。その結果、サイバー攻撃に対する脆弱性が増大します。
4. 規制の違反：
   規制対象となっている組織は特に、シャドー IT に細心の注意を払う必要があります。未承認の IT 活動は規制の不遵守につながり、企業の評判を危険にさらし、また法的制裁を受ける可能性も高めます。

シャドー IT とシャドー SaaS が企業にもたらす脅威を軽減するためには、適切なツールとスキャン方法を導入する必要があります。企業のシステムを保護するために IT 管理者が取るべき最初のステップは、従業員が所有するデバイスを含む、企業のすべてのテクノロジインフラストラクチャリソースの最新カタログを作成し、それを定期的に見直すことです。また、企業ネットワーク上の未承認のアプリケーション、機器、サービスを検出する、プロアクティブなアプローチを採用することも不可欠です。

そのためには、高度なソリューションを導入することも重要です。それにより、ネットワークの完全な可視性を入手し、接続されているすべてのデバイスの自動検出、ネットワーク構造のマッピング、各デバイスのリスクレベルによる分類を行うことが可能です。以上のような要素を検出・監視することで、脆弱性にさらされる機会を大幅に減らし、組織のセキュリティを強化することができます。また企業は情報を保護し、規制のコンプライアンスを確保し、システムの完全性を維持することができます。