シャドーITの概要シャドーITとは、情報システム部門が許可していないデバイス、ソフトウェア、アプリケーションおよびクラウドサービスの利用を情報システム部門の承認を受けることなく部門または個人が利用することです。これらの目的は特定の業務を容易にしたり、より効率的にしたりするもので、必ずしも悪意によって設置されるものではありません。一般的には社員や部門が、時間的な猶予が無い中で自身の生産性向上やビジネス要件等の課題に対応する際など、こうした障壁を解決するために結果として実施されます。しかし、シャドーITは社員、クライアント、ベンダーの生産性を向上させるかもしれませんが、同時にデータ漏洩、マルウェア感染、法令違反、管理不足などの深刻なセキュリティリスクを組織にもたらしかねません。シャドーITから約590万件の顧客情報流出:某情報通信会社の例実際に過去に発生した事例をもとに、シャドーITの危険性を探ります。2023年7月、某情報通信会社は「業務委託先の派遣社員が顧客情報を不正に外部に持ち出していた」と発表しました。会社から付与された業務用のPCから顧客情報の管理サーバにアクセスし、個人契約している外部ストレージ(”シャドーIT”)に情報をコピーしていたのです。情報システム部門がネットワークの監視で本件を検知し、フォレンジック調査や本人へのヒアリングを行ったところ、情報流出が発覚しました。持ち出されたのは、同社の提供サービスにおける約590万件の顧客情報(契約情報)です。ここには契約者の名前や住所、電話番号のほか、メールアドレスや生年月日などの個人情報が含まれていました。事例の考察この事案は、情報システム部門がネットワーク監視によって内部不正を検知しました。しかし、その間に約590万件もの顧客情報が流出し大きなインシデントとなりました。では、なぜ最も早く事態に気づけなかったのでしょうか?以下の三点が要因として挙げられます。今回悪用された外部ストレージサービスが個人契約(シャドーIT)だった。シャドーITが業務PCからアクセスできる状態になっていた。シャドーITの利用状況を事前に把握できていなかった。昨今はクラウドサービスの利用が一般化し、会社としてだけでなく、事業部門や部門ユーザが個別にクラウドサービスを利用するケースも増えています。事業部門や部門ユーザからすれば、業務に必要なサービスの利用は制限されたくないでしょう。一方で情報システム部門(管理者側)からすれば、管理の目が行き届かないITリソースの利用は好ましくありません。シャドーITはセキュリティ対策が社内ポリシーのレベルに達しておらずマルウェア感染のリスクを高め、今大きな課題となっている内部不正による情報漏えいのリスクを高めます。具体的なシャドーIT対策とは?では、シャドーITに起因するセキュリティリスクにはどのような対策を取ればいいんでしょうか?(1)実態の可視化まずは社内における”シャドーITの実態”を把握することが第一歩になります。資産管理ツールやMDM(Mobile Device Managemen)をセンサーとして、SIEMやUEBAで従業員の不審な振舞いを検知しシステム的に状況を可視化します。またシステムに100%依存せず、アンケートや聞き取りなどを通じて、人的にシャドーITの利用の有無を調査することも必要です。(2)制御(検知・遮断)クラウドサービスにおける”シャドーITの制御”には、特にCASB(Cloud Access Security Broker)による対策が有効です。CASBの導入により、社内でのクラウドサービスの利用状況を可視化したり、会社が許可していない(使用することを想定していない)クラウドサービスの利用を直接遮断することが可能です。(3)社内教育システム的な対処と合わせて、社内教育などを通して従業員のセキュリティに関する意識やリテラシーを高めることが重要です。3ヶ月に一回程度、テスト形式のチェックポイント(合格するまで何度でも受講するなど)を設けることを推奨します。また、クラウド利用、リモートワークを行う際のガイドラインやトラブル発生時の手順書を整備・周知しておくとさらに良いでしょう。まとめシャドーITによるリスクは「まず現状把握を正確に行いシステム的に制御(検知・遮断)」、併せて「社内教育を徹底」することで軽減できます。また、従業員のニーズに合わせたIT環境整備や、IT相談窓口の設置を行い“従業員がシャドーITを利用する動機をなくす”ことも重要な観点と言えます。スカイゲートテクノロジズでは、CASB機能を有した「Cygiene SecureAccess(SASE)」とSIEM/UEBAの機能をする『Cygiene Analytics』をワンパッケージで提供しています。最新のAIを使ったSASEとSIEM/UEBAのシームレスな連携によりシャドーIT対策を強力にサポートします。『Cygiene』について、ぜひお問合せください。