APIを監視することの重要性、APIパフォーマンスの監視システムを実装する際に検討すべき機能について紹介します。
公開日:2022年11月17日
情報技術(IT)分野においてシャドーITとは、組織のIT部門による承認を受けていないソフトウェア、アプリケーション、ハードウェア、デバイスなどのリソースを使用することを指します。シャドーITには、エンドユーザーが自分でインストールしたクラウドベースのSaaSアプリケーションが含まれることが多くあります。また、従業員が個人のノートPC、タブレット、スマートフォンなどの私物のデバイスを利用することもシャドーITに含まれます。
かなり以前から問題視されてきたシャドーITですが、新型コロナウイルスの感染拡大によって一気に蔓延しました。これは、多くの従業員が突然リモートワークを余儀なくされ、組織によって支給されたハードウェアやソフトウェアを必ずしも利用できない状況の中、生産性を維持することが求められたためです。また、在宅勤務による孤立もメッセージングアプリケーションやテレビ会議ソフトウェアの利用に拍車をかけました。このような動きはこれらのアプリケーションがIT部門によって承認される前であることも少なくありませんでした。
シャドーITがはびこる最大の要因の1つとして、個人使用においても仕事においても同等のIT体験が求められていることが挙げられます。また、最も効率的で効果的なツールを利用したいという欲求だけでなく、リアルタイムでのコラボレーションやデバイスをまたいだ作業を行えるなど、仕事に必要なツールを自ら選択し管理できるべきだという従業員の考えもシャドーITの蔓延を後押ししています。さらに、大企業では個々のチームや部門が、組織が提供するものとは異なるITソリューションを求めることも珍しくありません。
この現象は、多くのITリーダーが認識しているよりもはるかに広まっています。Everest Group社の2019年の調査によると、平均的な組織のIT予算の半分はシャドーITリソースに費やされています。つまり、経営陣はIT支出の50%を可視化できず、ITチームは従業員が使用するツールの多くを直接管理できていません。
この記事では、シャドーITの概要、従業員がシャドーITを選択する理由、シャドーITが組織にもたらす課題、およびそれらの課題に対処する方法について説明します。
一般的なIT環境では、従業員は承認されたデバイスやアプリケーションのみを使用し、安全なプロトコルを使用して会社のネットワークやリソースに接続し、仮想プライベートネットワーク(VPN)の使用を含めた所定のセキュリティ手順に従います。
シャドーIT環境では、従業員が公式のハードウェア、ソフトウェア、およびアプリケーションだけでなく、自分で見つけたり他の従業員から入手したりしたオープンソースソフトウェアやフリーウェアを使用することがあります。また、個人のノートPCやスマートフォンなど、私物のデバイスを使用して仕事をする場合もあります。
その主な理由の1つは、自身のコンピューティング環境を自ら管理しているという意識を持ち、自分にとって最適なアプリケーションを選択していると感じたいからです。Osterman Research社が実施し、Security誌で報告した調査によると、企業の従業員の大多数(92%)が、仕事に使用するソフトウェアアプリケーションを「完全に管理したい」と回答し、半数以上(51%)が、会社が明確に禁止しているアプリケーションであっても、自らが選択したアプリケーションを使用していると回答しています。多くの回答者がIT部門を邪魔者と見なしており、52%がIT部門に「邪魔されたくない」と回答しています。
従業員がIT部門の許可を得ずに仕事に使用するアプリケーションや個人デバイスをシャドーITとすると、シャドーITの例はたくさんあります。
一般的なシャドーITの用途には、メール、ファイルストレージ、ファイル共有、メッセージングなどがあります。
「シャドーデータ」に関してはさまざまな定義があり、そこにはダークデータも含まれますが、簡単に言えば、シャドーITアプリケーションを使用した結果として作成されるすべてのデータと定義できます。たとえば、次のようなものがあります。
シャドーデータは発見や特定ができないため、ITチームだけでなく、組織全体にとっても課題となっています。また、組織がアクセスできないビジネスクリティカルな情報がそこに含まれている場合もあり、規制コンプライアンス違反につながる可能性があります。
シャドーITアプリケーションの大半はクラウドアプリケーションであることから、シャドーITの増加はクラウドコンピューティングの台頭と密接に関係しています。パブリッククラウドやSoftware-as-a-Service (SaaS)アプリケーションによって、ソフトウェアの配布はほぼ瞬時に行われるようになりました。一般的に新しく革新的なアプリケーションはクラウドで実行され、インストール型のアプリケーションの多くがこれらのアプリケーションによって置き換えられています。
クラウドコンピューティングがシャドーIT増加の原因というわけではありませんが、シャドーITとしてリストアップされるアプリケーションの多くは圧倒的にクラウドサービスです。また、クラウドベースのアプリケーションは使いやすく簡単に実装できることから、試してみようとする従業員も増えているため、クラウドセキュリティの重要性が高まっています。
従業員がシャドーITに頼るのには、ITニーズがあるのにそのツールが組織から提供されない、そのニーズを満たすのに時間やコストがかかりすぎる、必要なツールの使用が禁止されている、といった理由があります。シャドーITには一連のリスクがありますが、従業員やチームがソフトウェアを独自に選択できるようにすることで、ユーザーには次のような潜在的なメリットがあります。
スピード:組織のIT部門にどれほど対応力があっても、新しいソフトウェアやハードウェアツールの提案、検証、選択、承認、および実装のプロセスには時間がかかります。シャドーITを利用すれば、ほとんどの場合はアプリケーションをダウンロードするよりも短時間で稼動できます。
柔軟性:組織には、競争力を維持するために、急速に変化するビジネスニーズや業界のトレンドに応じて、ツールやプロセスを適応させる俊敏性が求められます。そのためには、すばやく方向転換でき、直感的で使いやすく、あまり複雑でないツールを使用できるようにする必要があります。
コストの削減:エンタープライズクラスのアプリケーションには相応のコストがかかりますが、それでも組織はセキュリティ機能や拡張性といった一定の選択基準を満たしているという理由から、これらのアプリケーションを選択します。従業員のためにエンタープライズクラスのソリューションが提供されている場合でも、関連コストは各部門に請求される可能性が高いため、無料のソリューションの方が魅力的です。
効率:大規模な組織では、承認されたソフトウェアを従業員がダウンロードできる配布拠点があるかもしれませんが、承認されたソフトウェアであっても、インストールやライセンスの取得が必要であり、多くの組織の従業員にとってはセルフサービスのシャドーITソリューションの方が効率的で魅力的です。
ユーザーエクスペリエンス:たとえソフトウェアやクラウドサービスが組織の要件を十分に満たしていなくても、従業員は、魅力的なUXを備えたシャドーITソリューションを使いたいと考えるものです。DropboxやBoxのようなドラッグアンドドロップ方式の無料のファイル共有アプリケーションは、初期のシャドーITで最もよく見られた例です。これは、企業が承認したファイル転送プロトコル(FTP)ソフトウェアよりも使いやすいと人々が感じたためです。Gmail、インスタントメッセージングプラットフォームのSlack、ビデオ会議ツールのZoomは、まず非公式に採用され、最終的にはユーザーの要求に応える形で承認されるというのが一般的でした。
BYOD:シャドーITは、ソフトウェアだけでなく、従業員が自分のコンピューター、タブレット、スマートフォン、ストレージなどの個人用デバイスを仕事に使う「個人デバイスの持ち込み」(BYOD)現象にも及んでいます。大規模な組織では通常、会社のポリシーに従っていれば従業員が自分のデバイスを使用することが許されますが、従業員が同じデバイスをビジネスクリティカルな情報の作成、共有、保存に使用したり、適切な安全対策なしで会社のネットワークに接続したりすることは珍しくありません。
シャドーITは、効率低下、無駄なコスト、セキュリティの脆弱性の増加など、組織にとって重大な問題を引き起こします。主な課題は次のとおりです。
コンプライアンス:多くの連邦法や州法、ビジネスプロトコルは、組織がPCIやGDPRなどのコンプライアンス規制を遵守できることを求めています。しかし、組織がさまざまなツール、ソリューション、プラクティスを使用して、データが複数のアプリケーションや複数の場所で保持されるようになると、監査証跡を提供することはほぼ不可能となり、コンプライアンス違反のリスクが発生します。
セキュリティリスク:シャドーITは、セキュリティ態勢を損なう恐れのある重大なサイバーセキュリティリスクを生じさせます。これについては、あとで詳しく説明します。
作業とコストの重複:シャドーITでは、既存のソリューションですでに対応できるニーズを満たすためのソフトウェアにコストが費やされるため、時間、お金、労力の無駄につながります。また、IT担当者以外の従業員がシャドーITアプリケーションのインストールと保守に費やす時間と労力は、1人当たりではそれほど多くないかもしれませんが、積み重なると相当なものです。
一貫性の欠如:スプレッドシートやメールのフロントエンドなど、どのような種類のプログラムであっても、承認された単一のソリューションを使用することで一貫性を確保できます。このような一貫性は、異なるアプリケーションを使用することで失われます。一貫性とコンテキストの欠如によって生じるエラーは、多くの場合は検出されず、広まってしまうことさえあり、あとから修正するのは難しくなります。
効率の低下:個人やチームがITポリシーに反して独自のソリューションを使用すると、多くの場合は効率の低下につながります。これは一般的に、時々は公式なアプリケーションやITシステムを使用する必要があるためです。従業員はシャドーITソリューションと承認されたソリューションの両方を行き来することになり、一方からもう一方へと情報を転送することも少なくありません。
データの機会コスト:多くの組織で、データは最も価値ある資産と考えられています。その価値は特に高度なビジネス分析ソリューションやデータプラットフォームを使用してビジネス上の意思決定を支援する際に発揮されます。複数のソースからのデータが複数のシステムに分散していると、そのデータを集計してインサイトを得る機会が失われてしまいます。
シャドーITはネットワークの攻撃対象を拡大するため、組織のリスクが高まります。
攻撃対象の拡大:その性質上、シャドーITインスタンスの大部分を占めるクラウドベースアプリケーションは、組織のファイアウォールの外側にあり、IT部門が策定して適用するセキュリティプロトコルによって保護されません。従業員が許可されていないSaaSアプリケーションを使用すると、機密データやプロセスがデータ損失やデータ侵害などの潜在的な脅威にさらされるだけでなく、組織のネットワークへのアクセスにサイバー攻撃者が利用できる領域が大幅に増加します。
ポリシーとプロシージャに準拠していない:シャドーITアプリケーションは組織のポリシーとプロシージャに準拠しておらず、可視性を欠くうえにさまざまな課題をもたらします。たとえば、企業のIT部門はパスワードを定期的に変更し、パスワードルールに従うことを求めているはずです。シャドーITアプリケーションにパスワードガイドラインがある場合もありますが、組織で施行されるのと同じ厳しいルールが適用されることはほとんどありません。
安全でないデータの転送と保存:シャドーITアプリケーションは、エンタープライズアプリケーションと同レベルのデータ暗号化や認証を行っていない場合が多く、データ盗難のリスクが高くなります。さらに、シャドーITインスタンスを作成した従業員が組織を離れると、ワークフローが機能しなくなり、他の従業員がアクセスできないソフトウェアにデータが取り残される可能性があります。
ほとんどのITエキスパートの間では、組織がどのような対策を講じたとしてもシャドーITは常に存在するという点で、意見が一致しています。そのため最も賢明な方法は、リスクの軽減に集中し、同時にリスクについて従業員を教育することです。一方で、企業のネットワークで未承認のソフトウェアを検出する方法もいくつかあります。
従業員の声に耳を傾ける:すべての従業員がアプリケーションの組み合わせを選べるようにすることは現実的でないかもしれませんが、IT組織は従業員のニーズに注意を払い、ニーズを先取りし、新しいソフトウェアへの要望を真剣に受け止めるよう努めるべきです。従業員が何に対して最も不満に感じているかを見極め、新しいソリューションで対応すれば、従業員の不満を大いに軽減できます。
セキュリティポリシーを策定して伝える:ITセキュリティとクラウドセキュリティのポリシーを従業員ハンドブックに記載するだけでは不十分です(多くの規制機関は、コンプライアンスへのより積極的な取り組みを求めています)。IT部門は、シャドーITを考慮した理解しやすい現実的なセキュリティポリシーを策定し、それを定期的に伝えると同時に、従業員からのフィードバックに対応する必要があります。また、データ漏えいやコンプライアンスの欠如がもたらす結果についても、すべての従業員に明確に伝えるようにしましょう。
シャドーIT検出テクノロジーを使用する:テクノロジーを利用することで組織内のシャドーITアクティビティを検出できます。異常なネットワークアクティビティ(新しいIPアドレスとの双方向トラフィックやトラフィックの大幅な増加)は、シャドーITが使われている兆候かもしれません。また、IT部門はソフトウェアのダウンロードやインストール、データやワークロードの移行を監視するツールも利用できます。これは、未承認のSaaSソリューションにユーザーが情報を転送している可能性を示しています。
ファイアウォール:送受信両方のトラフィックに対してファイアウォールを最新の状態に保つことで、IT部門はシャドーITの使用を示す可能性のある異常なトラフィックを特定できます。
セキュリティソフトウェア:セキュリティソフトウェアで、シャドーITの可能性のある異常なアクティビティやその他の疑わしいアクティビティを特定できる場合もあります。
BYODポリシーを更新する:個人用機器やスマートフォンを仕事に使用する従業員はますます増えているため、BYODポリシーを最新の状態にしておくことは非常に重要です。
従業員がボタンを1つクリックすればソフトウェアを数秒でインストールできるため、IT部門はシャドーITを完全に防ぐことはできません。そのため、従業員がなぜそれを選ぶのかを理解し、効果的に管理する必要があります。多くの従業員がIT部門をビジネス推進の妨げと見なしているという点は、ぜひとも対処したい課題です。ITチームは、従業員の支援者となるべく対策を講じ、既存のポリシーを理解する手助けをすると同時に、より効果的で魅力的な新しいアプリケーションへと移行する道筋を作る必要があります。それがうまくいかなかったとしても、チームがシャドーITのインスタンスを特定し、問題になる前にリスクを軽減するのに役立つテクノロジーソリューションを利用できます。シャドーITは今後もなくなることはないでしょう。課題となるのは、IT部門がその現実にどのように対応し、従業員の生産性と能力を向上させていくかという点です。
Splunkによる2023年の予測
Splunkのリーダーが、企業が直面している最も重要なテクノロジートレンドについて考察します。
オブザーバビリティのリーダー的組織はMTTRを69%短縮していることがわかりました。組織のオブザーバビリティを担う1,250人の現場担当者、マネージャー、エキスパートを対象としたSplunkの調査結果をお読みください。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は850を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキスト(把握したい要素) に基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。
日本支社を2012年2月に開設し、東京の丸の内・大手町、大阪および名古屋にオフィスを構えており、すでに多くの日本企業にもご利用いただいています。
© 2005 - 2024 Splunk LLC 無断複写・転載を禁じます。
© 2005 - 2024 Splunk LLC 無断複写・転載を禁じます。