シャドーITとは？

シャドーITとは？

シャドー IT はあらゆる組織に存在し、その定義上、特定することが困難です。IT 部門の承認を受けていない正規のソフトウェアやハードウェアの利用（つまり「影」の中に存在するもの）は、セキュリティやコンプライアンス上の問題について精査や監視ができません。把握していないウェブサイト、アプリケーション、プラットフォームへのアクセスや利用を管理することは不可能だからです。

なお、シャドー IT はモバイル端末やワークステーション、ワークロードやその依存関係に入り込むマルウェアを指すものではありません。マルウェアは IT インフラ上で実行される不正なソフトウェアですが、正当な用途はなく、意図的に有害な脅威としてシャドー IT とは区別されます。

シャドー IT が生まれる理由：なぜ従業員は独自にツールを導入するのか

一般的に、従業員は業務目的で承認されていないシステムを使用することで意図的に損害を与えようとしているわけではありません。自分のツールチェーンに欠けているものを補うためにツールを使ったり、効率を高めようとしているだけです。多くの場合、自分の行為が問題であることすら認識していません。

シャドー IT は、新しいシステムを明示的に導入しなくても発生することがあります。たとえば、生産性向上ソフトウェアが新しい機能（クラウドストレージなど）をデフォルトで有効にし、従業員が意図せず機密文書の保存に利用してしまうことで、コンプライアンス違反の可能性が生じる場合があります。

また、シャドー IT はソフトウェア開発ライフサイクルにも及びます。開発者が、意図的または無意識に未検証のパッケージを取得したり、問題を迅速に解決するために組織の管理範囲外のクラウド環境にデプロイしたりするケースです。

シャドー IT の例

シャドー IT には、ユーザーに利便性をもたらすいくつかの一般的な例があります：

• クラウドストレージ：従業員は、ファイルをより簡単に共有し、組織内外の他者とコラボレーションできるように、承認されていないクラウドストレージを頻繁に使用します。
• コミュニケーションツール：インスタントメッセージングやビデオ会議ソフトウェアは、組織ごとに一貫していないことが多く、そのためユーザーは顧客とやり取りするために別のプラットフォームを利用します。
• 生産性向上ツールやサービス：画像変換や PDF 編集といった特定の目的で使われるアプリやオンラインツールは、承認済みツールでは利用できない重要な機能を提供します。
• AI と自動化ツール：ほぼあらゆるユースケースにおいて、AI と自動化ツールは手作業を減らして効率を大幅に向上させるため、シャドー IT の原因として増加しています。
• クラウドコンピューティングプラットフォーム：開発者は納期を守るために、自身でインフラを立ち上げることなく、組織外のクラウドコンピューティングプラットフォームを利用して迅速にワークロードやアプリをデプロイする場合があります。

また、個人デバイスの利用もシャドー IT の脅威です。管理されていないデバイスは最新状態やセキュリティが確保されていない可能性があり、見えないサイバー攻撃の経路を生み出します。

シャドー IT のリスク

シャドー IT の利便性は多くの場合、インフラやデータに対する危険によって相殺されます。代表的なリスクには以下が含まれます：

• データ侵害とコンプライアンス問題：承認されていないクラウドストレージやコミュニケーションプラットフォームの使用は、データを管理の及ばない場所に置き、無断アクセスや紛失に対して脆弱にします。これは GDPR、CCPA、HIPAA といったプライバシー規制への準拠にも影響します。クラウドストレージサービスが誤ってユーザー情報を共有してしまった事例も過去にあり、2020 年には Google フォトがデータをエクスポートしようとした際に、誤って他人の写真や動画を見知らぬ人に送信する事態が発生しました。
• 未知の攻撃ベクトル：IT 部門によって評価されていないソフトウェアやオンラインサービスの利用は、脆弱性を持ち込む可能性があります。多くのオンラインツールは便利ですが、そのデータプライバシーやセキュリティ慣行が堅牢であるとは限らず、ユーザーの利益を十分に考慮していない場合があります（特に無料ツールの場合）。例として、2019 年の Canva の侵害では、ユーザー認証情報が流出し、復号化され、オンラインで共有されました。
• サプライチェーン攻撃：開発者が自らのパッケージや依存関係を慎重に検証せず、また最新の状態に維持しない場合、脆弱性の数を増やすことでインフラやデータを危険にさらします。この問題は人気の高い公開パッケージリポジトリで顕著であり、オープンソースライブラリに依存するすべての開発チームにとって今後も続く課題です。
• クラウドプラットフォームの設定ミス：クラウドプラットフォームは複雑で、適切な計画や構成がなければ、資産が侵害にさらされる可能性があります。有名な事例として、LastPass がサイバーセキュリティインシデントに巻き込まれた際、ハッカーがクラウド環境にアクセスし、その情報を利用してサービスのインフラをさらに侵害しました。

シャドー IT は通常、従業員が効率を向上させようとする試みによって発生しますが、逆の効果をもたらすこともあります。ツールの不一致、AI プラットフォームによって提供される不正確な情報、可視性と制御の低下に対処するための負担は、チーム全体の運用効率を低下させる可能性があります。さらに、サイバーセキュリティインシデントの修復は、組織にとってコスト増加や評判の損失にもつながり得ます。

新しいツールを安全に導入できるようにすることでシャドー IT を減らす

シャドー IT を減らすことは、可視性と教育に尽きます。従業員が使用しているデバイス、デスクトップアプリケーション、モバイルアプリ、オンラインプラットフォームを含め、それらの利用状況を常に把握しておく必要があります。加えて、ユーザーは自分がどのツールを使用できるのか、また自社において奨励されるセルフサービスとシャドー IT の境界がどこにあるのかを理解していなければなりません。

複雑な調達プロセスは従業員をそれに関与させる意欲を失わせ、結果として「仕事を片付ける」ために承認されていないシステムを使ってしまうことにつながります。ユーザーのニーズを定期的に評価し、利用中のツールで正式に承認・採用できるものがないかを確認し、さらにシャドー IT を利用することのリスクと影響について教育することが、その発生を減らすための重要な方法です。

エンドポイント保護は不審な挙動やパッケージのインストールを検出でき、ネットワーク監視ソリューションは承認されていないウェブアプリケーションやクラウドストレージサービスへのアクセスを制限することができます。

特にソフトウェア開発者は自分で問題を解決するセルフサービスを強く望みます。問題解決は彼らの主要なスキルの 1 つであり、これを妨げることは開発の遅延や調達プロセスそのものの拒否につながります。脆弱性管理や、各プロジェクトに対するソフトウェア部品表（SBOM）の自動作成は、開発者が仕事を進めながら、取り込んだ依存関係を本番導入前に精査・検知できるようにする手段となります。

本番環境では、クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）が、ワークロード内の不審な挙動や不正なコードを検知し、それを評価できるようにすることで、シャドー IT に関する懸念を軽減し、特定された問題を迅速に修復することができます。

Sysdig を用いたクラウドネイティブなシャドー IT リスクの軽減

シャドー IT は、ソフトウェアを開発しクラウド上でワークロードを実行する組織にとって重大なリスクとなります。これは、分散型の労働環境や境界が不明確なクラウドアーキテクチャにおいて特に顕著です。

Sysdig Secure は、クラウド環境とコンテナ化されたワークロードを一元的に監視し、不正なソフトウェアや依存関係、侵害につながる可能性のある誤設定や不審な挙動を検出します。ランタイムのアクティビティ、サプライチェーンの脆弱性、誤設定からリアルタイムで脅威を優先順位付けし、情報に基づいた戦略的な意思決定を可能にします。

Sysdig は、クラウド環境全体のインベントリを自動的に作成し、不正なソフトウェアの使用、サプライチェーンの脆弱性、コンプライアンス問題をエージェントをインストールすることなく通知できます。エージェントは複雑性を増し、パフォーマンスを低下させる可能性があるためです。さらに Sysdig は、複雑なスケーリング環境における予期しない利用状況やコストも監視し、不正なソフトウェアやリソースの利用を特定するのに役立ちます。

マルチクラウド環境をシャドー IT などの脅威から保護するために必要な対策については、当社の 「マルチクラウド
インフラストラクチャーを保護するための5つのステップ」をご覧ください。また、データを保護しコンプライアンスを維持するために必要なクラウドサイバーセキュリティツールの概要については、クラウドセキュリティ入門 をダウンロードいただけます。

FAQs