「シャドーIT」を放置することはリスク！ 対応が進まない2つの理由：見えざる危険（3/4 ページ）

[横手絢一，ITmedia]

“見えざるリスク”となるシャドーIT

　次に、シャドーITの管理不全によって引き起こされたインシデントの具体例について、いくつか例示したいと思います。

　最初はストレージサービスについてです。クラウド上で画像やファイルを保存できるオンラインストレージは利便性に優れていて、導入している企業も多いでしょう。一方で、企業が公式に認めていないストレージサービスを従業員が個人で登録して利用するケースは、シャドーITリスクの代表例として挙げられます。

　また、会社で貸与されるスマートフォンで記録用に写真を撮影してストレージサービスにアップロードする場合がありますが、重要な機密資料のPDFなどを同時に上げてしまうこともあります。権限によっては外部からも閲覧可能な状態で放置される危険性もはらんでおり、実行者が無意識で悪意がなくても企業にとっては大きなリスクになり得ます。

　当該従業員が退職した後でも、外部からアクセスできる共有権限が残っていれば企業としても大きなセキュリティリスクに発展するわけです。これがIT部門が検知できないシャドーITならではの“見えざるリスク”の怖いところです。

　続いての例は、入退社に伴うアカウント管理不全です。

　これもIT部門のリソース不足が招く問題で、大きなセキュリティリスクにつながる例になります。前述の調査においても、約7割の企業が入退社に伴うアカウント管理について不安を感じており、そのうちの2割ほどが大小問わず情報漏洩リスクやヒヤリハットが発生したと回答しています。

約2割の企業で情報漏洩事故やヒヤリハットが発生（出典：ジョーシス）