約9割の企業がシャドーIT対策に課題 専門家が指摘する“まずやるべきこと”:セキュリティニュースアラート
アシュアードはシャドーITの対策実態調査結果を発表した。多くの企業がシャドーIT対策を十分に講じられておらず、対策を講じている企業でも課題が多いことが明らかになった。
アシュアードは2024年2月29日、会社の許可なく従業員が使用しているシャドーITへの対策実態に関する調査結果を発表した。この調査によって多数の企業がシャドーITの利用に対する具体的な対策を講じられていない現状が浮き彫りになった。
約9割の企業がシャドーIT対策に課題 専門家が指摘する“まずやるべきこと”
同調査は2024年1月に実施され、従業員数1000人以上の大手企業の情報システム部門300人(男女、20〜60代)が対象とされている。
主な調査結果は以下の通りだ。
- 調査対象企業の52.3%が100以上のクラウドサービスを利用している。19%は500以上のクラウドサービスを利用している。クラウドサービスを全く利用していない企業はなく、1社当たりのクラウドサービス数の平均値は207だった。総務省の調査「令和3年 情報通信白書」と比較して大企業はクラウドサービスの利用が進んでいることが明らかになった
- 調査対象企業の65.6%でシャドーIT対策が講じられていなかった。そのため実際には、上記の調査結果以上のクラウドサービスが企業の間で使われている可能性がある
- シャドーIT対策を講じた企業の約9割が対策に課題を抱えていた。主な課題として「利用サービスが可視化できていない」(35.9%)、「検出したサービスをどのように扱うかのポリシーやルールが定められていない」(35%)、「フィルタリングや制御対象に漏れがあると感じる」(35%)、「検出サービスに漏れがあると感じる」(34%)などが挙がった
アシュアードでセキュリティ評価責任者を務める早崎敏寛氏は「シャドーITの中でも、会社が把握できていないクラウドサービスの利用には2つのリスクがあります。一つはセキュリティが脆弱(ぜいじゃく)なクラウドサービスを利用し、そのクラウドサービスがサイバー攻撃を受けて情報漏えいが発生したり、サービスが停止したりするリスクです。もう一つは、従業員などが会社の機密情報や個人情報をクラウドサービスを介して社外に持ち出すリスクです」と述べた。
早崎氏はシャドーIT対策を実施している企業についても以下の課題を指摘した。
「シャドーIT対策を講じている企業においても、製品を導入したにもかかわらず、運用が回らなかったり、製品を十分に活用できていなかったりといった課題があります。これらの課題は『利用サービスを可視化したいのか』『制御・遮断まで実施したいのか』『セキュリティ評価を実施したいのか』など、シャドーIT対策の目的が曖昧であり、運用体制を考慮せずに製品を導入したことに起因します。製品導入を目的にするのではなく、シャドーIT対策で達成したい目的の明確化や現実的な運用設計をし、目的に合致した自社で対応可能な対策を講じることが重要です」
関連記事
- 「情報セキュリティ10大脅威 2024」の追加資料をIPAが公開
IPAは、情報セキュリティ10大脅威 2024に関連した3つの解説書を追加公開した。脅威の詳細と具体的な対策、ドキュメントの活用法などがまとめられている。 - Oktaが従業員の約400人を解雇 度重なるサイバー攻撃との関係は?
Oktaは全従業員の7%に相当する約400人を解雇する旨を発表した。「世界で最も頻繁に狙われている企業の一つ」とも言われる同社は、度重なるサイバー攻撃に悩まされている。今回の大規模なレイオフとサイバー攻撃との関係はあるのだろうか。 - BroadcomがVMwareの新ポートフォリオを発表 買収で何を目指すつもりか
BroadcomがついにVMwareの今後を示す新ポートフォリオを発表した。VMware製品群の今後はどうなるのだろうか。 - 上野 宣氏が力説する“ペネトレーションテストの意義” 内製する際の注意事項
上野 宣氏が、エンドポイントセキュリティ対策の勘所やペネトレーションテストの意義、ペネトレーションテストを内製するかどうかを考える際に重要なポイントを語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.