クラウドサービスのセキュリティ評価プラットフォームを提供するAssuredは2月29日、「2024年最新シャドーIT対策実態調査レポート」の結果を公開した。
従業員が会社の許可なく利用しているシャドーITへの対策実態について、従業員数1000名以上の大手企業に所属する情報システム部門300人に調査した結果である。
クラウドサービスの利用数は
1社平均207サービス
従業員数1000名以上の大手企業では、半数以上の52.3%が100以上のクラウドサービスを利用しており、19%で500サービス以上利用していることが判明した。1社あたりの平均は207サービスで、クラウドサービスをまったく利用していない企業はない。
総務省「情報通信白書」(令和3年版)では、クラウドサービスを一部でも利用している企業の割合は68.7%であるとしているのと比較すると、特に大手企業ではクラウドサービスの利用が浸透していることが伺える。
6割以上がシャドーIT対策を未実施
情報システム部門が認識しているクラウドサービスの利用数が100件以上の企業は52.3%である一方、クラウドサービスの利用に際しては会社に許可なく利用しているケース(シャドーIT)も大きな問題となっている。
65.6%の企業ではシャドーIT対策が実施されておらず、前述のサービス数以上の利用が水面下で行われている可能性があることが浮き彫りになった。
シャドーIT対策実施企業でも
約9割が現行手段に課題を抱える
加えてシャドーIT対策を実施している企業のうち、約9割が課題を抱えていることが分かった。
具体的には、以下が挙げられる。
「利用サービスの可視化ができていない」(35.9%)
「検出したサービスをどのように扱うかのポリシー、ルールが定められていない」(35%)「フィルタリングや制御対象に漏れがあると感じる」(35%)
「検出サービスに漏れがあると感じる」(34%)
検出後の対応が定まっていないケースや、検出対象の網羅性に懸念があることが多いと指摘している。
解説・考察
シャドーITのなかでも、会社が把握できていないクラウドサービスの利用には大きく2つのリスクがある。
1つはセキュリティが脆弱なクラウドサービスを利用し、そのクラウドサービスがサイバー攻撃を受けて情報漏えいが発生したり、サービスが停止するリスクである。
もう1つは、従業員等が会社の機密情報や個人情報をクラウドサービス経由で社外に持ち出すリスクである。
クラウドサービスの利用時にセキュリティを評価し、リスクを可視化しているのは87.7%と多くの企業が実施できているものの、シャドーIT対策まで実施できている企業は約3割にとどまった。
またシャドーIT対策を実施している企業でも、シャドーIT対策製品を導入したにも関わらず、運用が回らなかったり、製品を十分に活用できていないといった課題がある。これらの課題は、シャドーIT対策の目的(利用サービスを可視化したいのか、制御・遮断までしたいのか、セキュリティ評価がしたいのか)が曖昧であったり、運用体制を考慮せずにシャドーIT対策製品を導入したことが原因に挙げられる。
製品の導入を目的にするのではなく、シャドーIT対策で達成したい目的の明確化や現実的な運用設計をし、目的に合致した自社で対応可能なシャドーIT対策を実施することが重要であると指摘している。
[i Magazine・IS magazine]
