多様化するデジタル資産によってもたらされる最大のシャドーITリスク

多様化するデジタル資産によってもたらされる最大のシャドーITリスク

企業が競争力を維持するためにソリューションやデバイス、その他のデジタルツールを導入し続ける中で、デジタル ダイバーシティ マネジメント(多様化するデジタル資産の管理)は必要不可欠なものとなっています。デジタル ダイバーシティ マネジメントには、ネットワークやビジネス ライン全体に展開されている膨大な数のデジタル資産やテクノロジーなどを管理することが含まれています。このように突発的に流入してくる資産を管理することは、安全性とコンプライアンスを維持するためには不可欠です。
「デジタル ダイバーシティ マネジメント」という概念は大雑把に見えるかもしれませんが、それはデジタル ダイバーシティ マネジメントが広範囲に及ぶ問題だからに他なりません。IT資産管理は、SaaS(Software as a Service)からマルチクラウドに至るまで、あらゆるものの可視性とコントロールを確立することを意味します。しかし、デジタル ダイバーシティ マネジメントの最大の課題の一つが「シャドーIT」です。シャドーITとは、正式な調達ルートではなく、各部門が独自に購入したITアプリケーションやインフラストラクチャのすべてを指します。そのため、これらのツールは組織のIT部門の知らないところで管理・活用されています。
デジタル資産の多様性に関していえば、シャドーIT関連のリスクが数多く出てくる可能性があります。ここでは、注意すべき潜在的な問題と、その回避方法について見ていきましょう。


顕在化するシャドーITのリスク

ガートナーによると、今後5年間はデジタル・ダイバーシティ・マネジメントを理解する上で非常に重要になるとのことです。あなたの組織は、安全性とコンプライアンスを維持するためにこのトレンドの先頭に立っていなければなりません。残念ながら、シャドーITは、多くの組織がまだ予想していないような方法でその姿を現すことがあります。そのため、組織の中に存在するウィークポイントを特定する方法を学ぶことが重要になります。その一例として、自社開発のアプリケーションが挙げられます。誰かがアプリケーションを作成した後に会社を辞めてしまい、その作成者以外にアプリの使用方法や安全性を誰も把握していなかったがために管理が非常に困難になってしまう、というケースがあります。

成功しているサイバー攻撃のうち33%は、シャドーITアプリケーションによって達成されていると推定されており、これは可視性とセキュリティに対する組織の取り組みを見直す必要があるかもしれないことを意味しています。他のすべてのシャドーITの問題やリスクは、何らかの形で企業のセキュリティに起因しているため、ギャップを見つけることができなければなりません。

シャドーITはSaaSアプリケーションを通じて生じることがあります。まず最初に、すべてのSaaSアプリケーションがどこで利用されているかを把握していないことは危険です。どこで、誰によって、どのようなデータが保存されているのかを思い起こせないのであれば、IT部門は組織を完全に保護することができません。忘れてはいけないのは、「見えなければ保護されない」ということです。第二に、サポートが終了したソフトウェアに注意してください。時代遅れのソフトウェアは最大効率で実行されないため、組織は深刻な危険にさらされる可能性があります。

もちろん、多様化するデジタル資産がもたらすシャドー IT のリスク要因は他にもあり、コンプライアンス違反もその 1 つです。例えば、一般データ保護規則(GDPR)を考えてみましょう。GDPRのコンプライアンスを維持するためには、追加のマンパワーと細心の注意が必要であり、それ自体が手違いや不手際を招く原因になりがちです。また、非営利目的の無料ソフトウェアにも注意しましょう。無料であることを売りにしているソフトウェアには、独自の契約や要件が含まれていることがよくあります。あなたの組織の中には、このタイプのソフトウェアのエンドユーザーライセンス契約(EULA)をきちんと理解せずにインストールしている人間がいないようにすることが必要です。


シャドーITのリスクに取り組むにあたり、あなたの組織が考慮すべきこと

組織内のシャドーITリスクに取り組む方法はいくつかありますが、それはすべて先手を打って行動することから始まります。すべてのSaaSアプリケーションがどこで実行されているかを把握することは非常に有益です。そのために、組織が所有しているものの概要を明らかにし、まとめるために役立つソリューションを探してください。リスク分析を行うことで、各アプリに関連する使用状況やリスクを理解することができます。

その他の要因としては、稼働環境の種類に起因することがあります。オンプレミス環境の場合、「非営利目的で無料で使用できる」ソフトウェアや、使用を終了しアプリケーションを閉じた後も稼働しているソフトウェアの検出と削除に取り組んでいるかどうかを確認することが重要です。クラウドに関しては、利用状況をリアルタイムで追跡・監視するために、集中管理ツールの使用を検討しなければなりません。

もちろん、環境に入ってくるすべてのモバイルデバイスを制御することは不可能なので、完全なモバイルデバイス管理を実現しようとはしないでください。ただし、必要に応じてモバイルデバイスの特定のアクションをブロックしたり、許可したりすることはできるかもしれません。

シャドーITの影響を軽減する方法

シャドー IT のリスクについての基本的な知識と、そのリスクを認識しておく方法を理解したところで、組織がその影響を軽減する方法について説明しましょう。シャドー IT に取り組むために、ソフトウェアライフサイクル管理(SLM)ソリューションを使用して、所有しているソフトウェア資産のインベントリを作成することを検討してください。これは、結局のところ、正確なインベントリを作成して維持することなくして、シャドー IT の影響の大きさを理解することはできないからです。

その次に、組織のリスクを評価します。当社のマネージドセキュリティサービスによるリスクアセスメントを通じて、お客様のリスクを特定し、適格性を確認するお手伝いをすることができます。アセスメントによって基礎を固めた上で、a)計画を策定し、b)関係する各部門にタスクを割り当てます。当社のSLMとマネージドセキュリティサービスの両方の相乗効果を活用することで、長続きする行動計画を構築することができます。


今後を見据えたデジタル ダイバーシティ マネジメント戦略を構築する

最終的には、シャドーITがもたらすリスクを防ぎ続けるための最善の方法は、自社とともに進化できるデジタル ダイバーシティ マネジメント戦略を構築することです。常に新しい資産が登場するため、デジタル ダイバーシティ マネジメントは常に必要です。コンプライアンスから外れたり、組織が脆弱になったりすることのないように、容易に行動計画のモニタリングとメンテナンスができるようにする必要があります。

デジタル資産の多様性をコントロールする

これまでの話より、デジタル ダイバーシティ マネジメント戦略の策定には途方もない労力がかかるように思えるかもしれませんが、そのように感じる必要はありません。当社のソフトウェア ライフサイクル管理(SLM)ソリューションで、シャドーITのリスクを克服するための第一歩を踏み出しましょう。

今すぐ始める

この記事に関するコメント

お客様のご意見をぜひお聞かせください

コメントを残す

Author

Bala Sathunathan

Bala Sethunathan

Director, Security Practice & CISO

Cybersecurity

Related Articles

Reviewing & Amending Your SAM Process Via a Third Party

SAMプロセスレビューおよび修正をサードパーティに任せるメリット

SAMプロセスを簡単に見直し、修正できる機能は必須です。サードパーティを介して開始する方法についての詳細はこちらをご覧ください。

SAP監査とコンプライアンスのリスクを管理する方法

交渉を成功に導き、SAP監査を乗り切るためには、しっかりした準備が鍵となります。よくあるコンプライアンス上の問題点を学び、環境を最適化して全体的なリスクを低減することができます。

itam-forum

ITAMフォーラム

ITAMフォーラムの後援者として、ITAMフォーラムの作成者であるMartin Thompson氏に、ITAMフォーラムの組織とITAM業界の目標についてお話を伺いました。