約9割の企業がシャドーIT対策に課題 専門家が指摘する“まずやるべきこと”：セキュリティニュースアラート

アシュアードはシャドーITの対策実態調査結果を発表した。多くの企業がシャドーIT対策を十分に講じられておらず、対策を講じている企業でも課題が多いことが明らかになった。

[後藤大地，有限会社オングス]

　アシュアードは2024年2月29日、会社の許可なく従業員が使用しているシャドーITへの対策実態に関する調査結果を発表した。この調査によって多数の企業がシャドーITの利用に対する具体的な対策を講じられていない現状が浮き彫りになった。

約9割の企業がシャドーIT対策に課題　専門家が指摘する“まずやるべきこと”

　同調査は2024年1月に実施され、従業員数1000人以上の大手企業の情報システム部門300人（男女、20〜60代）が対象とされている。

　主な調査結果は以下の通りだ。

• 調査対象企業の52.3％が100以上のクラウドサービスを利用している。19％は500以上のクラウドサービスを利用している。クラウドサービスを全く利用していない企業はなく、1社当たりのクラウドサービス数の平均値は207だった。総務省の調査「令和3年　情報通信白書」と比較して大企業はクラウドサービスの利用が進んでいることが明らかになった
• 調査対象企業の65.6％でシャドーIT対策が講じられていなかった。そのため実際には、上記の調査結果以上のクラウドサービスが企業の間で使われている可能性がある
• シャドーIT対策を講じた企業の約9割が対策に課題を抱えていた。主な課題として「利用サービスが可視化できていない」（35.9％）、「検出したサービスをどのように扱うかのポリシーやルールが定められていない」（35％）、「フィルタリングや制御対象に漏れがあると感じる」（35％）、「検出サービスに漏れがあると感じる」（34％）などが挙がった

　アシュアードでセキュリティ評価責任者を務める早崎敏寛氏は「シャドーITの中でも、会社が把握できていないクラウドサービスの利用には2つのリスクがあります。一つはセキュリティが脆弱（ぜいじゃく）なクラウドサービスを利用し、そのクラウドサービスがサイバー攻撃を受けて情報漏えいが発生したり、サービスが停止したりするリスクです。もう一つは、従業員などが会社の機密情報や個人情報をクラウドサービスを介して社外に持ち出すリスクです」と述べた。

　早崎氏はシャドーIT対策を実施している企業についても以下の課題を指摘した。

　「シャドーIT対策を講じている企業においても、製品を導入したにもかかわらず、運用が回らなかったり、製品を十分に活用できていなかったりといった課題があります。これらの課題は『利用サービスを可視化したいのか』『制御・遮断まで実施したいのか』『セキュリティ評価を実施したいのか』など、シャドーIT対策の目的が曖昧であり、運用体制を考慮せずに製品を導入したことに起因します。製品導入を目的にするのではなく、シャドーIT対策で達成したい目的の明確化や現実的な運用設計をし、目的に合致した自社で対応可能な対策を講じることが重要です」