次のような状況を想像してみてください。あなたは、展示会に持ち込むパンフレットの作成を手伝ってくれる代理店と仕事をしています。印刷会社が明日ファイルを必要としているのですが、あなたが代理店に渡したセキュアなアップロードエリアへのリンクが機能していません。デザイナーは、大きなファイルを簡単に共有できるアプリケーションをダウンロードするよう提案する。管理職からのプレッシャーのため、あなたはそのアプリをダウンロードする。 マスト 印刷の締め切りに間に合うように。
聞き覚えがあるだろうか?この状況を想像するのが難しくないとしたら、それはどこの企業でもよくあることだからだ。ほとんどの人は、企業のIT部門を横取りしてマルウェアをインストールすることを認めることはほとんどないだろうが、実際には行われているのだ。統計的には 違反の82% には人的要素が含まれます。危険なソフトウェアをダウンロードしたり、フィッシング・リンクをクリックしたり、単純な人為的ミスがサイバーセキュリティ事件や侵害において大きな役割を果たしています。
厄介なのは、従業員が不正を働いても何も起こらないことが多いことだ。パンフレットを共有するために使用したソフトウェアは正規のものであり、ベンダーが印刷を行い、新たなリスクは発生しない。心配はいりません。
しかし、そうでない場合もある。用語 シャドーIT, 企業のIT部門がサポートしていないハードウェアやソフトウェアは、セキュリティ・リスクをもたらす可能性がある。
マルウェアが仕込まれたソフトウェアをダウンロードしたり、クラウドのセキュリティが不十分なSaaSアプリにアクセスしたりするだけで、重要なシステムが感染してしまう。しかし、こうしたリスクの機会が常に存在するにもかかわらず、ほとんどの組織では、セキュリティ戦略を策定する際にシャドーITを考慮していません。
リスクを軽減するには、そもそもなぜ従業員がシャドーITに頼るのかを考えることが重要です。シャドーITは多くの場合、ITが承認したハードウェアやソフトウェアでは対応できない、あるいは特にうまく機能しないギャップを埋めるものです。あるいは、承認を得るのに時間がかかりすぎるため、その場しのぎのソリューションに頼ることもある。従業員の立場からすれば、お役所仕事と格闘したり、調達や予算についてIT部門と議論したりするよりも、ソフトウェアをロードするだけで、締め切りに間に合わずに怒鳴られるのを避ける方がずっと簡単だ。
ITの問題に対して従業員が独自の解決策を見つけざるを得ない場合、それは個々のシャドーITアプリやリソースよりも大きな問題を示している。むしろそれは、IT部門と組織内の他のチームとの間のコミュニケーション不全を示している。
IT部門は敵であってはならない。管理職はボトルネックを調査し、IT部門とユーザーとのコミュニケーションを奨励すべきである。経営幹部レベルでは、シャドーITに関連するリスクについてユーザーを教育することも優先される必要がある。ユーザーにとっては、業務に必要なツールの入手はシームレスであるべきで、回避策を探さざるを得ないと感じることはない。最高のセキュリティとは、人々が使うものである」という格言を常に忘れないことだ。また、組織は、セキュリティ・レビューや新しいテクノロジー・ソリューションの迅速なプロビジョニングのプロセスを合理化する手順を確立する必要がある。
誰が何にアクセスできるかを理解することは非常に重要であるため、組織はガバナンスを確保する必要がある。セキュリティはアイデンティティから始まり、最新の認証とパスワードレス・オプションを使えば、自分が誰であるかを証明するのに手間がかからないはずだ。アイデンティティ・ソリューションは、FIDO2標準、リスクベースの認証、継続的にリスクを軽減するインテリジェントなリアルタイム・インサイトなど、クラス最高のセキュリティ慣行を中心に据える必要がある。
また、セルフサービス機能とシングル・サインオンは、ユーザーが業務を中断することなく利用できるようにする。IT側では、管理者もアイデンティティ・ガバナンスと管理ツールを含むシームレスなソリューションを必要としている。
当社のガバナンス&ライフサイクル・データアクセス・ガバナンス・アーキテクチャは、企業全体の可視性を提供するため、誰が企業データを所有しているのか、誰がデータリソースにアクセスできるのか、どのようにしてアクセスできるようになったのか、ファイル共有全体でアクセスできるようにする必要があるのかを把握することができます。自動化された認証プロセスにより、ビジネスユーザーにとってシンプルで直感的、かつ効果的な実用的レビューが生成され、監査チームに証拠を提供します。
すべての脅威が外部からのものであるとは限らず、ITチームは、ユーザーのテクノロジー・ニーズをサポートし続けながら、アクセスを確実に保護し、コンプライアンスを確保する新しい方法を見つける必要がある。ITオペレーションを合理化し、ユーザーを教育し、アイデンティティとアクセス・ガバナンスを導入することで、組織はシャドーITのリスクを軽減することができる。
