「シャドーIT」の実態を把握するために、何が重要になるのか：それはリスクです（3/4 ページ）

[横手絢一，ITmedia]

従業員1000人以上の企業は「グループセキュリティ」が課題

　次に従業員規模におけるIT資産と経営管理課題の具体例について説明していきます。

（1）1000人以上規模の企業の場合

　エンタープライズ企業においては、一定レベルのSaaSのツール管理やセキュリティ対策を取っている企業が多いと思います。例えば退職が発生した際、一定期間経過後に自動でアカウント削除する仕組みを導入して対策している場合があります。

　ただし、自動化は諸刃の剣にもなり得ることがあります。例えば、退職者のアカウントを2週間後に削除するというルールを設定しておいても、アプリケーション側のメンテナンス期間と被ってしまうと削除が完了しないケースが発生します。これにIT部門が気付かずに退職者アカウントが残ったままになっていることがあるのです。

　自動で削除されなかったという通知は管理者側に飛ぶものの、そのケースがあることを認識していなかったり、その場合のオペレーションが組まれていないケースがあります。自動化に依存しすぎるのもよくないということを認識しておくべきでしょう。

　また、本社は情報セキュリティ対策がしっかりとできていても、子会社やM＆Aした企業などグループ会社や取引先・業務委託先などが十分なセキュリティ対策をとっておらず、セキュリティ事故が起きてしまうことがあります。2022年2月にトヨタ車の部品をつくるサプライヤーがサイバー攻撃を受け、国内の14工場すべてで生産を止めるというインシデントがありました。このようなサプライチェーンを狙った攻撃への対策など、今後重要になってくるのが「グループセキュリティ」です。

　本社以外の企業を含めたグループ全体、さらにはサプライチェーンまで含めた関係先全体で同レベルのセキュリティ対策を行い、あらゆるリスクを回避することが重要になってくると考えています。