シャドーIT
2019/03/12のキヤノンITソリューションズ株式会社のマルウェア情報局の記事で、「シャドーIT」について取り上げられていました。
この記事では、わかりやすくシャドーITとは何か、シャドーITのリスクについて説明されています。
シャドーITとは、所属している組織のルール(セキュリティポリシー)を違反して、ITを使うことです。
例えば、個人のクラウドサービスの利用です。
個人のGmailやGoogle Drive等のクラウドサービスを使用して、業務に関するデータを送信したり、保存したりすることで、業務データの持ち出しを行なっている場合があります。
もちろん、組織のセキュリティポリシーとしてOKを出していればいいのですが、業務多忙により持ち帰ってしまうケースが考えられます。
USBメモリ等の媒体管理であれば、資産管理ソフトを使用したり、
クラウドの管理であれば、以前紹介したCASBを使用するのも有効です。
何より、なぜセキュリティポリシーでOKを出していないのか、業務効率よりリスクがこれだけあるから、と社員へ説明して教育をしっかりすることが大切です。
ただし、何でも禁止にするのは良くないと思っています。
というのも、シャドーITにせざるを得ない理由が社員にもある場合が多いためです。
何でもダメというのではなく、社員の声をしっかり聞いて、必要なものであればリスクと業務でのメリットと比較し、業務でのメリットの方が大きいのであれば、クラウドサービスの導入やIT機器の導入を行う方が、シャドーITを使うこともなくなると思います。
BYOD(Bring Your Own Device)禁止とかUSBメモリ使用禁止になっている組織は、きちんとリスクを把握して検討し直すことで、使用できる可能性もあるかと思います。
是非、この機会に検討していただけたらと思います。