-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
シャドーITとは、企業や組織の承認を得ず、無断で業務に使われるITデバイスや外部ITサービスのことです。企業や組織の情報セキュリティ担当者が把握していないことから適切なセキュリティ対策が適用されない可能性が高いため、さまざまなセキュリティリスクを生じさせる恐れがあります。
最近では、無断で業務利用されるAIサービス「シャドーAI」のリスクも懸念されるようになってきました。一方で、企業/組織の承認を得た上で使用されるITデバイス/サービスは「サンクションIT」と呼ばれます。
シャドーITに該当するデバイスやサービスには、以下のようなものが含まれます:
<デバイス>
- 従業員の私物PCやスマートフォン
- USBメモリ
- ネットワークに接続されるデバイス(IoT製品全般)
など
<サービス>
- firestorageなどのファイル転送サービス
- GmailやGoogle ドライブなど、Googleスイート内のサービス
- LINEなどのメッセージアプリやチャットアプリ
- 情報を記録、保存できるSaaSサービス全般
- ChatGPTなどのAIサービス(シャドーAI)
など
上記のようなデバイス、サービスがシャドーITとして無断で業務に使われてしまう背景には、会社支給のものだけでは利便性・生産性が低い、データ保存場所(ストレージスペース)が不足している、公認のビデオ会議ツールやチャットツールなどが存在しない、などの問題・課題があります。
シャドーITは企業の資産管理の対象外となっていることから、セキュリティによる保護が不十分になっていたり、脆弱性へのパッチが適用されていなかったりする可能性があります。したがって会社支給の機器やサンクションITよりもサイバー攻撃に遭うリスクが高く、最悪の場合はマルウェアに感染してデータが盗み取られるなどの事態も起こり得ます。
また、シャドーITのアクセス権限や公開範囲などの設定は従業員自らが行うことになります。セキュリティの知識がない、または意識が低い従業員だった場合、例えば無許可のクラウドサービスの設定を誤って誰もがアクセス可能な設定にしてしまい、当該サービス内に保存していた情報へ第三者が不正にアクセスできる状態が作り出されるということも考えられます。
こうしたシャドーITのリスクを軽減するためには、企業/組織側で用意するITサービス/デバイスの数を必要以上に削減しないことや、シャドーITに関するルールを設けること、CASBやIT資産管理ツールなどを導入してシャドーITを検知できるようにすることなどの対策を講じる必要があります。
シャドーITと混同されやすい用語に、「BYOD」があります。BYOD(Bring Your Own Device)とは従業員が私物として保有している機器を業務でも使用する仕組み・体制のことです。BYODでは基本的に、企業や組織に申請・承認された私物機器が利用されるため、企業/組織側がその存在を把握/承認しているか否かという点がシャドーITと大きく異なります。
シャドーITやBYODについて、さらに詳しくは以下の記事をご覧ください:
とは?.jpg)
