シャドーITとは？

シャドーITが発生するメカニズム

一般的なIT環境では、従業員は承認されたデバイスやアプリケーションのみを使用し、安全なプロトコルを使用して会社のネットワークやリソースに接続し、仮想プライベートネットワーク(VPN)の使用を含めた所定のセキュリティ手順に従います。

シャドーIT環境では、従業員が公式のハードウェア、ソフトウェア、およびアプリケーションだけでなく、自分で見つけたり他の従業員から入手したりしたオープンソースソフトウェアやフリーウェアを使用することがあります。また、個人のノートPCやスマートフォンなど、私物のデバイスを使用して仕事をする場合もあります。

その主な理由の1つは、自身のコンピューティング環境を自ら管理しているという意識を持ち、自分にとって最適なアプリケーションを選択していると感じたいからです。Osterman Research社が実施し、Security誌で報告した調査によると、企業の従業員の大多数(92%)が、仕事に使用するソフトウェアアプリケーションを「完全に管理したい」と回答し、半数以上(51%)が、会社が明確に禁止しているアプリケーションであっても、自らが選択したアプリケーションを使用していると回答しています。多くの回答者がIT部門を邪魔者と見なしており、52%がIT部門に「邪魔されたくない」と回答しています。

最も典型的なシャドーITの例

従業員がIT部門の許可を得ずに仕事に使用するアプリケーションや個人デバイスをシャドーITとすると、シャドーITの例はたくさんあります。

• 組織ではサーバーベースのメールプラットフォームを使用していても、ユーザーはメールインターフェイスとしてWebベースメールを使用する方法を知っており、それを使用している場合があります。
• 最新の共有ワークスペースソリューションを導入していない組織では、Google Docsなどのアプリケーションが正式な承認なしでドキュメントのコラボレーションや共有に使用されることがあります。
• Google Drive、Dropbox、Boxなどのファイルストレージアプリケーションやファイル共有アプリケーションは、会社が承認したサーバーよりも便利であるケースがあります。
• インスタントメッセージングプラットフォームであるSlackは、正式な認定アプリケーションとなる前に従業員の選択によって使用されることが多く、組織内でシャドーITの足掛かりとなることがあります。
• 従業員は、仕事関係のデータを簡単に保存したり転送したりするために、個人用のUSBフラッシュドライブを使用しています。
• TrelloやAsanaのような生産性向上、ToDoリスト、プロジェクト管理機能を備えたアプリケーションは、多くの場合、承認される前に個人またはチームで使用されます。
• 従業員は、基本的なテキストメッセージよりも多くの機能を提供するWhatsAppなどのメッセージングアプリケーションを使用する場合があります。
• 公認のカレンダーアプリケーションにはない機能を利用するために、カレンダーやスケジューリングのアプリケーションを組織のサーバーに接続する行為もシャドーITと見なされます。
• 組織専用の通信インフラを使用せず、SkypeやGoogle Meetなどのコミュニケーションツールを使用して迅速かつ簡単にチャットする場合があります。
• 個人のノートPC、タブレット、スマートフォンを使用すること(BYOD、または「個人デバイスの持ち込み」現象)もシャドーITに該当します。特にこれらのデバイスが会社のプロトコルに従わずに業務目的で使用される場合には注意が必要です。

シャドーデータとは？

「シャドーデータ」に関してはさまざまな定義があり、そこにはダークデータも含まれますが、簡単に言えば、シャドーITアプリケーションを使用した結果として作成されるすべてのデータと定義できます。たとえば、次のようなものがあります。

• 組織の大規模なデータストアとは別に保存される、Google Sheetsで作成されたデータベース。
• サードパーティのストレージや共有サイトで管理されるファイルストア。
• 公式のメールチャネル以外でやり取りされたメール。
• 非公式のアプリケーションでやり取りされたテキストメッセージ。
• 非公式のチャネルでやり取りされた、規制の対象となる可能性のある情報。

シャドーデータは発見や特定ができないため、ITチームだけでなく、組織全体にとっても課題となっています。また、組織がアクセスできないビジネスクリティカルな情報がそこに含まれている場合もあり、規制コンプライアンス違反につながる可能性があります。

シャドーITとクラウドコンピューティングの関係

シャドーITアプリケーションの大半はクラウドアプリケーションであることから、シャドーITの増加はクラウドコンピューティングの台頭と密接に関係しています。パブリッククラウドやSoftware-as-a-Service (SaaS)アプリケーションによって、ソフトウェアの配布はほぼ瞬時に行われるようになりました。一般的に新しく革新的なアプリケーションはクラウドで実行され、インストール型のアプリケーションの多くがこれらのアプリケーションによって置き換えられています。

クラウドコンピューティングがシャドーIT増加の原因というわけではありませんが、シャドーITとしてリストアップされるアプリケーションの多くは圧倒的にクラウドサービスです。また、クラウドベースのアプリケーションは使いやすく簡単に実装できることから、試してみようとする従業員も増えているため、クラウドセキュリティの重要性が高まっています。

シャドーITのメリットとそれを利用する理由

従業員がシャドーITに頼るのには、ITニーズがあるのにそのツールが組織から提供されない、そのニーズを満たすのに時間やコストがかかりすぎる、必要なツールの使用が禁止されている、といった理由があります。シャドーITには一連のリスクがありますが、従業員やチームがソフトウェアを独自に選択できるようにすることで、ユーザーには次のような潜在的なメリットがあります。

スピード：組織のIT部門にどれほど対応力があっても、新しいソフトウェアやハードウェアツールの提案、検証、選択、承認、および実装のプロセスには時間がかかります。シャドーITを利用すれば、ほとんどの場合はアプリケーションをダウンロードするよりも短時間で稼動できます。

柔軟性：組織には、競争力を維持するために、急速に変化するビジネスニーズや業界のトレンドに応じて、ツールやプロセスを適応させる俊敏性が求められます。そのためには、すばやく方向転換でき、直感的で使いやすく、あまり複雑でないツールを使用できるようにする必要があります。

コストの削減：エンタープライズクラスのアプリケーションには相応のコストがかかりますが、それでも組織はセキュリティ機能や拡張性といった一定の選択基準を満たしているという理由から、これらのアプリケーションを選択します。従業員のためにエンタープライズクラスのソリューションが提供されている場合でも、関連コストは各部門に請求される可能性が高いため、無料のソリューションの方が魅力的です。

効率：大規模な組織では、承認されたソフトウェアを従業員がダウンロードできる配布拠点があるかもしれませんが、承認されたソフトウェアであっても、インストールやライセンスの取得が必要であり、多くの組織の従業員にとってはセルフサービスのシャドーITソリューションの方が効率的で魅力的です。

ユーザーエクスペリエンス：たとえソフトウェアやクラウドサービスが組織の要件を十分に満たしていなくても、従業員は、魅力的なUXを備えたシャドーITソリューションを使いたいと考えるものです。DropboxやBoxのようなドラッグアンドドロップ方式の無料のファイル共有アプリケーションは、初期のシャドーITで最もよく見られた例です。これは、企業が承認したファイル転送プロトコル(FTP)ソフトウェアよりも使いやすいと人々が感じたためです。Gmail、インスタントメッセージングプラットフォームのSlack、ビデオ会議ツールのZoomは、まず非公式に採用され、最終的にはユーザーの要求に応える形で承認されるというのが一般的でした。

BYOD：シャドーITは、ソフトウェアだけでなく、従業員が自分のコンピューター、タブレット、スマートフォン、ストレージなどの個人用デバイスを仕事に使う「個人デバイスの持ち込み」(BYOD)現象にも及んでいます。大規模な組織では通常、会社のポリシーに従っていれば従業員が自分のデバイスを使用することが許されますが、従業員が同じデバイスをビジネスクリティカルな情報の作成、共有、保存に使用したり、適切な安全対策なしで会社のネットワークに接続したりすることは珍しくありません。

シャドーITが企業にとって問題である理由

シャドーITは、効率低下、無駄なコスト、セキュリティの脆弱性の増加など、組織にとって重大な問題を引き起こします。主な課題は次のとおりです。

コンプライアンス：多くの連邦法や州法、ビジネスプロトコルは、組織がPCIやGDPRなどのコンプライアンス規制を遵守できることを求めています。しかし、組織がさまざまなツール、ソリューション、プラクティスを使用して、データが複数のアプリケーションや複数の場所で保持されるようになると、監査証跡を提供することはほぼ不可能となり、コンプライアンス違反のリスクが発生します。

セキュリティリスク：シャドーITは、セキュリティ態勢を損なう恐れのある重大なサイバーセキュリティリスクを生じさせます。これについては、あとで詳しく説明します。

作業とコストの重複：シャドーITでは、既存のソリューションですでに対応できるニーズを満たすためのソフトウェアにコストが費やされるため、時間、お金、労力の無駄につながります。また、IT担当者以外の従業員がシャドーITアプリケーションのインストールと保守に費やす時間と労力は、1人当たりではそれほど多くないかもしれませんが、積み重なると相当なものです。

一貫性の欠如：スプレッドシートやメールのフロントエンドなど、どのような種類のプログラムであっても、承認された単一のソリューションを使用することで一貫性を確保できます。このような一貫性は、異なるアプリケーションを使用することで失われます。一貫性とコンテキストの欠如によって生じるエラーは、多くの場合は検出されず、広まってしまうことさえあり、あとから修正するのは難しくなります。

効率の低下：個人やチームがITポリシーに反して独自のソリューションを使用すると、多くの場合は効率の低下につながります。これは一般的に、時々は公式なアプリケーションやITシステムを使用する必要があるためです。従業員はシャドーITソリューションと承認されたソリューションの両方を行き来することになり、一方からもう一方へと情報を転送することも少なくありません。

データの機会コスト：多くの組織で、データは最も価値ある資産と考えられています。その価値は特に高度なビジネス分析ソリューションやデータプラットフォームを使用してビジネス上の意思決定を支援する際に発揮されます。複数のソースからのデータが複数のシステムに分散していると、そのデータを集計してインサイトを得る機会が失われてしまいます。

シャドーITのサイバーセキュリティリスク

攻撃対象の拡大：その性質上、シャドーITインスタンスの大部分を占めるクラウドベースアプリケーションは、組織のファイアウォールの外側にあり、IT部門が策定して適用するセキュリティプロトコルによって保護されません。従業員が許可されていないSaaSアプリケーションを使用すると、機密データやプロセスがデータ損失やデータ侵害などの潜在的な脅威にさらされるだけでなく、組織のネットワークへのアクセスにサイバー攻撃者が利用できる領域が大幅に増加します。

ポリシーとプロシージャに準拠していない：シャドーITアプリケーションは組織のポリシーとプロシージャに準拠しておらず、可視性を欠くうえにさまざまな課題をもたらします。たとえば、企業のIT部門はパスワードを定期的に変更し、パスワードルールに従うことを求めているはずです。シャドーITアプリケーションにパスワードガイドラインがある場合もありますが、組織で施行されるのと同じ厳しいルールが適用されることはほとんどありません。

安全でないデータの転送と保存：シャドーITアプリケーションは、エンタープライズアプリケーションと同レベルのデータ暗号化や認証を行っていない場合が多く、データ盗難のリスクが高くなります。さらに、シャドーITインスタンスを作成した従業員が組織を離れると、ワークフローが機能しなくなり、他の従業員がアクセスできないソフトウェアにデータが取り残される可能性があります。

シャドーITのリスクから身を守るための対策

ほとんどのITエキスパートの間では、組織がどのような対策を講じたとしてもシャドーITは常に存在するという点で、意見が一致しています。そのため最も賢明な方法は、リスクの軽減に集中し、同時にリスクについて従業員を教育することです。一方で、企業のネットワークで未承認のソフトウェアを検出する方法もいくつかあります。

従業員の声に耳を傾ける：すべての従業員がアプリケーションの組み合わせを選べるようにすることは現実的でないかもしれませんが、IT組織は従業員のニーズに注意を払い、ニーズを先取りし、新しいソフトウェアへの要望を真剣に受け止めるよう努めるべきです。従業員が何に対して最も不満に感じているかを見極め、新しいソリューションで対応すれば、従業員の不満を大いに軽減できます。

セキュリティポリシーを策定して伝える：ITセキュリティとクラウドセキュリティのポリシーを従業員ハンドブックに記載するだけでは不十分です(多くの規制機関は、コンプライアンスへのより積極的な取り組みを求めています)。IT部門は、シャドーITを考慮した理解しやすい現実的なセキュリティポリシーを策定し、それを定期的に伝えると同時に、従業員からのフィードバックに対応する必要があります。また、データ漏えいやコンプライアンスの欠如がもたらす結果についても、すべての従業員に明確に伝えるようにしましょう。

シャドーIT検出テクノロジーを使用する：テクノロジーを利用することで組織内のシャドーITアクティビティを検出できます。異常なネットワークアクティビティ(新しいIPアドレスとの双方向トラフィックやトラフィックの大幅な増加)は、シャドーITが使われている兆候かもしれません。また、IT部門はソフトウェアのダウンロードやインストール、データやワークロードの移行を監視するツールも利用できます。これは、未承認のSaaSソリューションにユーザーが情報を転送している可能性を示しています。

ファイアウォール：送受信両方のトラフィックに対してファイアウォールを最新の状態に保つことで、IT部門はシャドーITの使用を示す可能性のある異常なトラフィックを特定できます。

セキュリティソフトウェア：セキュリティソフトウェアで、シャドーITの可能性のある異常なアクティビティやその他の疑わしいアクティビティを特定できる場合もあります。

BYODポリシーを更新する：個人用機器やスマートフォンを仕事に使用する従業員はますます増えているため、BYODポリシーを最新の状態にしておくことは非常に重要です。

従業員がボタンを1つクリックすればソフトウェアを数秒でインストールできるため、IT部門はシャドーITを完全に防ぐことはできません。そのため、従業員がなぜそれを選ぶのかを理解し、効果的に管理する必要があります。多くの従業員がIT部門をビジネス推進の妨げと見なしているという点は、ぜひとも対処したい課題です。ITチームは、従業員の支援者となるべく対策を講じ、既存のポリシーを理解する手助けをすると同時に、より効果的で魅力的な新しいアプリケーションへと移行する道筋を作る必要があります。それがうまくいかなかったとしても、チームがシャドーITのインスタンスを特定し、問題になる前にリスクを軽減するのに役立つテクノロジーソリューションを利用できます。シャドーITは今後もなくなることはないでしょう。課題となるのは、IT部門がその現実にどのように対応し、従業員の生産性と能力を向上させていくかという点です。