シャドーITのリスク増大 SaaSアプリ使用が原因か

Wing Securityが、SaaSアプリケーションの利用増加に伴い、シャドーITのリスクが高まっていると報告した。ただし、状況を把握し適切な対策を採ることでリスク軽減は可能だ。

[後藤大地，有限会社オングス]

　Wing SecurityはSaaSアプリケーションの利用増加でシャドーITが企業において重大な懸念を生み出していると指摘した。同社の調査によれば、多くの企業で従業員が制御外のSaaSアプリケーションを利用しており、セキュリティリスクが高まっている。ただし、適切な対策を講じることでリスクは軽減可能であると説明されている。

Key Findings And Insights From Over 550 Companies Using SaaS Discovery - Wing Security（出典：Wing SecurityのWebサイト）

SaaS利用拡大に伴うシャドーITの問題が深刻化　対応策は

　Wing Securityが報告している主な内容は以下の通りだ。

• 84％の企業において、従業員が過去3カ月間で侵害された平均5.3個のSaaSアプリケーションを使用していた。従業員は迅速に仕事を進めるために、「Google」で無料のWebアプリケーションを見つけて利用している。こうしたサービスの利用は典型的なシャドーITであり、多くの場合は会社で順守すべき手順を無視して行われる
• ユーザーによってSaaSアプリケーションに与えられたアクセス許可の76％は30日以上使われていない。従業員は必要に迫られてSaaSアプリケーションを探して使用する。全ての従業員にこうしたアプリケーションが生み出す利用リスクについて教育し、慎重に行動するように強制することは難しい
• データにアクティブに接続して使われているSaaSアプリケーションの55％はたった1人の従業員によって使われている
• SaaSアプリケーションのユーザーの20％が組織外の人材だと分かった。従業員に対してはセキュリティ教育を通じてある程度のコントロールが可能だが、外部ユーザーには通用しない

　企業はポリシーを策定したりIT部門などを通じて従業員が使用するソフトウェアや情報技術に関して一定の制限を設けたりしている。シャドーITはこうした組織の設ける制限を回避して従業員が自主的に導入したり利用するソフトウェア技術を指しており、仕事の効率化という利点がある一方、企業の管理を外れるためセキュリティリスクが高くなるという問題があるという。

　Wing SecurityはSaaSアプリケーションの普及によってシャドーITのリスクが高まっている実態を指摘している。ただし、こうしたリスクは適切な対策を講じることで軽減でき、多くの場合は完全に回避することが可能だと説明している。