前回の「『シャドーIT』を放置することはリスク! 対応が進まない2つの理由」では、シャドーITが見過ごされてしまっている理由やインシデント(重大な事件が起こりやすい状況)事例についてお伝えしました。
今回は、経営管理の観点からシャドーITを野放しにすることのリスクについて説明していきます。まず、“見えざるリスク”であるシャドーITを放置することで、企業経営にどのような影響を与えるのでしょうか。
この点については、2つ挙げられます。
1つめは「リスクアセスメント(リスクの分析や評価)」のやりづらさです。
シャドーITとは、言ってしまえば「どこに漏洩リスクがあるのか、把握できていない」ということ。通常、情報セキュリティの観点からリスクアセスメントを定める際には「起きる頻度」と「会社に与えるインパクト」で評価していきますが、シャドーITはリスクの存在自体を把握していないゆえに厄介です。
年々SaaSの需要が拡大し、従業員一人当たりが使用するツールの数は増えています。時間が経過するにつれて、可視化できていないリスクが膨れ上がるのがシャドーITを放置したことで生じる大きな問題だと言えます。
2つめはコストの面です。
一般的には、SaaSの利用料は経理部門が経費申請データをもとに管理していますが、どのアカウントが「アクティブではないのに課金されて続けている」のか「IT部門に許可されていないのに使用されている」ツールなのか、までは判断できません。ゆえに金額は把握できても、セキュリティリスクまでは検知できないのが現実です。
このように企業の経費でSaaSが利用されていたとしても、実はそれが「シャドーIT」でコスト増加要因になっていると把握できていないケースが多く見られます。
加えて、よくあるのが従業員個人が年間数千円ならと申請せずに自費でSaaSツールの月額課金を支払っているケースです。年間数千円という低コストで面倒な利用申請を行わずに業務効率化ができる、というようなメリットから個人単位でSaaSツールを使っている場合があります。
これは、企業のコスト負担にはなっていなくても「セキュリティが安全ではないSaaSの利用」「適切な方法でアカウント管理がされていない状態で利用」などの潜在的なリスクにつながります。
このようにシャドーITを放置することは、サイバー攻撃や不正アクセスを受ける原因になってしまうばかりか、個人利用のSaaSアカウントで資料保存などが行われるうちに「情報漏えい」や「重要なデータの消失」などの重大なセキュリティインシデントが発生することが考えられます。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアクセスランキング