シャドーIT - セキュリティの解説書

2019/03/12のキヤノンITソリューションズ株式会社のマルウェア情報局の記事で、「シャドーIT」について取り上げられていました。

この記事では、わかりやすくシャドーITとは何か、シャドーITのリスクについて説明されています。

シャドーITとは、所属している組織のルール（セキュリティポリシー）を違反して、ITを使うことです。

例えば、個人のクラウドサービスの利用です。

個人のGmailやGoogle Drive等のクラウドサービスを使用して、業務に関するデータを送信したり、保存したりすることで、業務データの持ち出しを行なっている場合があります。

もちろん、組織のセキュリティポリシーとしてOKを出していればいいのですが、業務多忙により持ち帰ってしまうケースが考えられます。

USBメモリ等の媒体管理であれば、資産管理ソフトを使用したり、

クラウドの管理であれば、以前紹介したCASBを使用するのも有効です。

何より、なぜセキュリティポリシーでOKを出していないのか、業務効率よりリスクがこれだけあるから、と社員へ説明して教育をしっかりすることが大切です。

ただし、何でも禁止にするのは良くないと思っています。

というのも、シャドーITにせざるを得ない理由が社員にもある場合が多いためです。

何でもダメというのではなく、社員の声をしっかり聞いて、必要なものであればリスクと業務でのメリットと比較し、業務でのメリットの方が大きいのであれば、クラウドサービスの導入やIT機器の導入を行う方が、シャドーITを使うこともなくなると思います。

BYOD（Bring Your Own Device）禁止とかUSBメモリ使用禁止になっている組織は、きちんとリスクを把握して検討し直すことで、使用できる可能性もあるかと思います。

是非、この機会に検討していただけたらと思います。