SBOMとは?
シャドーITは、次の場合に発生します 従業員はセキュリティ監視を回避して、未承認の未検証のテクノロジーを使用します. 調査によると、2022 年には従業員の 41% がシャドー IT を使用しており、この数は 2027 年までに 75% に増加すると予想されています。
いくつかの要因がシャドーITにつながります。 これには、IT調達プロセスの透明性の欠如、より迅速なソリューションの必要性、IT提供の不十分なツール、クラウドベースのサービスの広範な可用性が含まれます。
ザ シャドーITに関連するリスク これには、攻撃対象領域の拡大、データ侵害、潜在的なコンプライアンス違反、ITコストの増加などが含まれ、これらはすべて組織のセキュリティとリソースに負担をかける可能性があります。
シャドーITは、イノベーションを促進し、生産性を向上させ、チームが問題を迅速に解決できるようにする一方で、これらの 多くの場合、メリットはセキュリティとガバナンスを犠牲にして得られます。
組織はシャドーITに対抗できる 検出ツールの採用、可視性の向上、チーム間のコラボレーションの促進、厳格なアクセス制御の実施、潜在的なリスクに関する従業員の教育などを行います。
シャドーITとは?
シャドーITとは、組織のIT部門によって制御されていない、または認識されていないITサービス、アプリケーション、およびリソースを従業員が不正に使用することです。 シャドーITには、次のようなものがあります。
IaaS、PaaS、SaaS クラウド サービス
コンピューターや電話などのエンドポイント
APIの
サーバーとネットワーク、
未承認のOOTB製品
Chromeプラグイン
プラットフォームレベルのアプリ
聞いたところでは ガートナーでは、2022 年の従業員の 41% が、IT 部門の視界が及ばないアプリケーションをインストールして使用していました。 この数字は、2027年までに75%に上昇すると予測されています。
シャドーITの原因
シャドーITは、どこからともなく現れるのではなく、組織のダイナミクス、従業員のニーズ、技術トレンドの産物です。 主な推進要因は次のとおりです。
Lack of visibility into IT procurement
ワークフローを改善するための新しいツールが必要なチームを想像してみてください。 透明性がなければ、会社のクレジットカードを使用してソフトウェアを購入したり、無料トライアルにサインアップしたりして、ITを完全に回避する可能性があります。 問題を。 ITチームは気づいていないため、これらのツールは正式なセキュリティチェックやガバナンスの外部で運用することでセキュリティギャップを招くことができます。
より迅速なソリューションへの欲求
私たちは皆、承認を数週間、あるいは数か月も待つことのフラストレーションを経験した経験があります。 締め切りが迫ると、従業員は IT 部門から完全に離れて、仕事をより迅速に完了できると信じているツールにアクセスすることがあります。 このように「とにかく機能させる」という緊急性は、多くの場合、シャドーITのポップアップにつながります。
Insufficient IT-provided solutions
ITが提供するツールが役に立たない場合はどうなるでしょうか? 不格好すぎるか、特定の部門の主要な機能が不足している可能性があります'のワークフローです。 チームがサポートされていないと感じたとき、彼らはしばしば自分たちの要件により適した解決策を他の場所を探します。 この回避策は、最初は無害に見えるかもしれませんが、セキュリティの盲点やコンプライアンスの問題につながる可能性があります。
クラウドベースのサービスへのアクセスの増加
SaaS(Software as a Service)のようなクラウドベースのアプリケーションの台頭により、クレジットカードを持っている人なら誰でも、IT部門を介さずにツールを非常に簡単にデプロイできるようになりました。 その魅力は? 低コストでアクセス可能なソリューションで、最小限のセットアップ時間で問題を解決することを約束します。 リスクは? これらのツールは、組織のセキュリティ基準を満たしていない可能性があり、エコシステムに脆弱性をもたらす可能性があります。
シャドーITが成長トレンドになっているのはなぜか?
ますます 従業員は、ハイオクタン価の高い環境でパフォーマンスを発揮しなければならないというプレッシャーにさらされています. その結果、簡単に利用できるさまざまなクラウドサービスを利用して、プロジェクトの自己最適化と合理化が試みられます。
残念ながら、これらのクラウドサービスの不正使用は非常に一般的です。 ザ IT部門が無気力であるという認識 従業員に感じさせることができる お役所仕事や官僚的な手続きに不満を抱いている それらと重要なITリソースへのアクセスの間に立ちはだかります。 迅速なソリューションの開発とワークロードの迅速な処理の必要性が高まっていることと相まって、多くの従業員がITを自分の手に委ねているのは当然のことです。
シャドーITの利点
シャドーITはよく悪評を浴びますが、客観的に見てみましょう。 シャドーITを慎重に管理(または偶然)すると、シャドーITは予期しない利点をもたらす可能性があります。
ツールへの迅速なアクセス: チームは、長いIT承認プロセスを待つことなく、ニーズに合わせたソリューションを迅速に採用できます。
実験によるイノベーション: 従業員は最先端のツールやテクノロジーを探求し、時には広範な組織が考えもしなかったソリューションを導入することもあります。
従業員の生産性の向上: 従業員が自分のタスクにシームレスに機能するツールを見つけると、ワークフローが合理化され、アウトプットを増やすことができます。
権限を与えられた自給自足のチーム: シャドーITは、多くの場合、「やり遂げる」という姿勢を育み、チームが独立して問題を解決し、重要な期限を守ることを可能にします。
しかし、これらの利点には大きな注意点があり、シャドーITの潜在的な影響は決して小さな問題ではありません。 未審査のツールは、導入することができます セキュリティの脆弱性、コンプライアンス違反、非効率性により、長期的にはより多くのコストがかかります。
ビジネス固有のセキュリティポリシーを設計します。
シャドーITのリスクとは?
シャドーITの4大リスクは次のとおりです。
セキュリティのリスクと脆弱性: シャドーITを使用すると、マルウェア攻撃や、不正なITハードウェア、ソフトウェア、クラウドアプリケーションからのデータ流出のリスクが高まります。 無許可のITリソースは、組織によって強化されません'サイバーセキュリティ戦略、ツール、戦術が重要であり、機密情報や価値の高いデータ資産を盗むことを目的とした脅威アクターに対して脆弱になっています。
攻撃対象領域の拡大: シャドーITは、多くの場合、アプリケーションの無秩序な増加につながり、不正なアプリケーションが組織全体で増加します。 この急増により、監視されていないエンドポイントと保護されていない接続が作成されます。 攻撃対象領域の拡大 そして、脅威アクターが脆弱性を悪用する機会を増やします。
データの損失または漏洩: シャドーITは、多くの場合、 機密データ 保護されていないチャネルを介して保存または送信され、侵害にさらされる、または リーク. たとえば、チームは無料のファイル共有アプリを使用して共同作業を行い、暗号化やコンプライアンスの保護手段がないシステムに知らず知らずのうちに専有情報を配置している場合があります。
コンプライアンスと規制に関する懸念: シャドーITがコンプライアンスに及ぼす影響は、セキュリティ侵害と同様に損害を与える可能性があります。 企業は、カリフォルニア州消費者プライバシー法(CCPA)、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、連邦リスクおよび承認管理プログラム(FedRAMP)、ペイメントカード業界データセキュリティ基準(PCI DSS)など、地域および業界固有の規制の枠組みを遵守する必要があります。 コンプライアンス違反は、企業に数百万ドルの罰金や弁護士費用を負担させる可能性があります。
コントロールとガバナンスの欠如: IT環境とリソースの一元管理と可視性の不備は、組織にとって非常に有害です。 ほとんどの従業員は、非公式のIT資産を適切に管理するための技術的な洞察力と高レベルの視点を欠いています。 前述したように、シャドーITの調達は短期的な利益をもたらす可能性がありますが、監査証跡が弱いため、インシデント対応や修復の障害や事後分析の課題への水門を開く可能性もあります。
ITコストの増加と非効率性: シャドーITは、コラボレーションが最適でない、既存のリソースを不適切に使用し、不正なベンダーロックイン、無秩序で非効率的な運用、潜在的なダウンタイム、データ侵害など、コストに関連する大きな結果をもたらします。
シャドーITの例
企業は、リスクを軽減し、同様の将来の発生を防ぐために、シャドーITの特定のインスタンスを特定できる必要があります。
注意すべきシャドーITの顕著な例としては、次のようなものがあります。
Example | Description |
---|---|
Cloud storage and collaboration tools | Employees may utilize a range of unsanctioned applications from cloud storage and collaboration suites on a short-term or project-to-project basis or for interdepartmental collaboration. Even storage and collaboration tools from trusted providers can be vulnerable if they aren’t under the supervision of the IT department. |
SaaS | Shadow SaaS is a growing form of shadow IT. There are thousands of free or freemium SaaS solutions that attract employees who want to augment their work without undergoing permissions processes. A simple example of shadow SaaS can be an employee from an accounting department using an unsanctioned SaaS graphic design tool to create a report. |
Personal devices and applications | The rise in hybrid work-from-home models means that numerous employees access enterprise IT resources on personal devices. Employees working on personal smartphones and computers may tend to use non-approved applications for work, and this can introduce numerous vulnerabilities and risks. |
External software subscriptions | Employees may subscribe to a service or software for a particular project and then lose track of its status. These dormant, neglected, and hidden software subscriptions are capable of causing significant—and costly—problems for enterprises. |
Developer tools | Developers often leverage unauthorized programming libraries, frameworks, or open-source software to tackle the pressures and challenges of agile environments. Unauthorized developer tools may have powerful capabilities that empower employees and teams, but their hidden presence can create unforeseen complexities. |
シャドーITを防ぐための簡単なベストプラクティス
シャドーITは、組織全体のベストプラクティス、堅牢なツールとテクノロジー、プロアクティブな戦略を組み合わせることで防ぐことができます。
シャドーITを防ぐために、次のヒントに留意してください。
1. 可視性の最大化: 企業は、IT環境内のクラウドリソース、モバイルデバイスとエンドポイント、アプリケーション、オペレーティングシステム、コード、およびパッケージの使用を監視するメカニズムを実装する必要があります。 可視性は、セキュリティ体制の強化、コンプライアンスプロトコルの強化、経費の最適化、ワークロードのデプロイの合理化に役立ちます。
2. 検出を効率化する: 既存および新たに委託されたクラウドサービスの自動サブセカンド検出は、企業がIT環境をより効果的に監視および制御するのに役立ちます。 アクティビティを検出し、PaaS リソース、仮想マシン、コンテナー、パブリック バケット、データ ボリューム、データベースのグラフの視覚化とマッピングにアクセスする機能は、企業がシャドー IT を防ぎ、既存のインスタンスを修復するのに役立ちます。
3. ビジネス固有のセキュリティポリシーを設計します。 セキュリティポリシーは、組織に合わせて調整する必要があります'独自の要件と目的。 このアプローチは、急速に進化する脅威の状況におけるリスクを軽減するのに大いに役立ちます。
4. モバイルデバイス管理(MDM)を実装します。 堅牢なMDMソリューションは、シャドーITに対抗し、急増するエンドポイントを保護し、ハイブリッドワークモデルとリモートワークモデルを維持するために不可欠です。 MDM機能の例としては、公式のエンタープライズメールアカウントやシングルサインオン(SSO)スキームなしで従業員が外部アプリケーションをサブスクライブできないようにするメカニズムなどがあります。 企業は、導入できるアプリケーションを制御するために、会社とBYODデバイスの両方にIT拒否リストと許可リストを適用する必要があります。
5. シャドウ コードの削除: シャドウ コードとは、開発者が使用する未承認のコードを指します。 企業は統合する必要があります SAST (静的アプリケーション・セキュリティ・テスト)、DAST (Dynamic Security Testing)、および IAST (Interactive Application Security Testing) ツールで、開発者が使用するすべてのコードとオープンソース フレームワークをスキャンします。 これにより、企業はセキュリティ侵害、データ盗難、運用の非効率性などのリスクを回避できます。 また、徹底的に吟味され、承認されたコードのみがGitリポジトリに追加されることを保証します。
6. アクセス制御の活用: クラウド環境、エンドポイント、アプリケーション、プロセス全体でアクセス制御を確立、組み込み、実装することで、組織はどのIT資産が許容され、どこで統合でき、誰がそれらを委託できるかを判断し、監視することができます。 これらの管理は形式化され、組織の枠組みに組み込まれ、厳格に守られる必要があります。
7. アラートの自動化: 自動化されたメカニズムにより、セキュリティポリシー違反や異常な活動について、IT部門やサイバーセキュリティ部門にリアルタイムで警告することができます。 アラートは、組織がシャドーITの初期兆候に対処し、インシデントの被害を最小限に抑えるのに役立ちます。
8. トレーニングの開催: 従業員は、利便性や無知から、または承認されたツールが自分のニーズを満たさないと感じているため、シャドーITに頼ることがよくあります。 シャドーITのリスクに関する定期的なワークショップにより、従業員は不正なITの使用を思いとどまらせることができます。 また、トレーニング セッションは、従業員が IT 部門でテクノロジのニーズを安心して高められる環境を育むのにも役立ちます。
9. ITサービスカタログを提供します。 従業員の使用が承認されているソフトウェア、アプリケーション、サービスのカタログを提供することをお勧めします。 最新のカタログにより、従業員は許可されたチャネル以外でソリューションを探すのを防ぐことができます。
10. IT部門とビジネスユニット間のコラボレーションを促進する: ITチームが他の部門と緊密に連携すると、特定の部門のニーズをよりよく理解し、独自の要求に対応する適切なツールとサービスを提供できます。
11. 定期的な監査を完了します。 IT資産を監査することで、ビジネスは不正なソフトウェアやサービスを特定し、組織内で使用されるすべてのアプリケーションとサービスが会社および法的ポリシーに準拠していることを確認できます。
12. 迅速な対応を約束します。 ITチームは、シャドーITが発生した場合に対処するための計画を立てておく必要があります'が検出されました。 プロトコルには、承認されていないソフトウェアやサービスの削除や、適切で承認された代替手段の提供が含まれる場合があります。
環境内のシャドーITアプリケーションを発見
既存のIT環境の包括的なインベントリを作成することは、潜在的なシャドーITランドスケープに関する洞察を得るための最良の方法です。 これまでは、企業のIT環境で新しいクラウドサービスの正確な地形図を取得するのは、長くて骨の折れるプロセスでした。 Wizを使用すると、数回クリックするだけでクラウドサービスの完全なインベントリのマッピングを開始できます。
Wizのデモを申し込む 今こそ、開発チームとクラウドチームがITリスクを理解できるようにしましょう。 組織向けの堅牢なクラウドベースのエンジンを比類のない速度で保護し、最適化します。
Shine a Light on Shadow IT
Learn how Wiz offers visibility into what cloud resources, applications, operating systems, and packages exist in your environment in minutes.
シャドーITに関するFAQ