「シャドーIT」を放置することはリスク！ 対応が進まない2つの理由：見えざる危険（2/4 ページ）

[横手絢一，ITmedia]

シャドーITへの対応が進まない2つの理由

　クラウドサービスを利用している企業は、どのくらい存在しているのでしょうか。ジョーシスが行った調査によると、全社利用46.9％と、一部の部門・事業所での利用29.5％を合わせると、76.4％がクラウドサービスを利用しているようです。2019年度の総務省実施の調査に比べ、10ポイント以上も増加しています。（参照リンク）

クラウドサービスを利用する企業が増えている（出典：ジョーシス）

　「コロナ以降クラウドサービス利用に変化はありましたか」という質問に対し、約半数の49.6％が利用が増えた、利用が始まったという回答になりました。このように増加したクラウドサービスに対して、セキュリティ対策が取られているかというと、実態はそうではないようです。「シャドーITの検知・対応ができていますか」という質問に対し、「検知対応が完璧にできている」と回答したのは19.4％と2割以下でした。

コロナ以降、約半数が「クラウドサービス利用に変化はあった」と回答（出典：ジョーシス）

　このように、コロナ禍を経て企業内でのクラウドサービス利用増に伴うセキュリティリスクが高まっているにもかかわらず、対策が打てない現状があります。その背景には、大きく以下のような問題があると考えられます。

　1つめは、IT部門の業務が逼迫しているため、シャドーITのリスクと対策について向き合えていないことです。リソース不足ゆえに可視化はもちろんのこと、対策を取るためにどのような手段を用いるかまでを調査・決定できないことが課題として挙げられるでしょう。

　この背景には、シャドーITのようなさまざまな環境変化に対応できるリテラシーを持った人材が少ないことがあります。日本では、ケイパビリティ（能力や力量など）を持って全社の情報セキュリティ戦略を推進できるIT人材が海外に比べて圧倒的に少ないため、次々と出現する新たなリスクへの対応方針や手法を策定することが難しい状況があると捉えています。

　2つめは、企業の情報セキュリティ領域はベストプラクティス（「最も優れている」と評価される手法）をオープンにする文化があまりないことも、情報収集や手段を講じるスピードに悪影響を与えています。セキュリティへの取り組みにおいて情報を対外的に公開することは、サイバー攻撃を仕掛けるハッカーにも情報を与えることにもなるため、ベストプラクティスのシェアについては慎重にならざるを得ないのが実態であり、「お手本」にすべき事例を取得しづらい環境があると言えます。