シャドーITとは?見えないリスクを可視化する方法
目次
シャドーITとは
シャドーITとは、企業のIT部門が認知・管理していないITサービスやデバイスの利用を指します。部門ごとに独自に契約したSaaSサービス、開発チームが作成したテスト用サブドメイン、元従業員が残したクラウドリソースなどが代表的な例です。
Gartnerの調査によると、企業が把握しているIT資産は全体の**わずか30-40%**にすぎず、残りの60-70%はシャドーITとして管理の外にあります。
シャドーITが生まれる原因
業務効率化の追求
従業員が「公式ツールでは不便」と感じ、独自にクラウドサービスを契約するケースが最も一般的です。承認プロセスの煩雑さがこの傾向を加速させます。
M&A・組織再編
企業の合併や買収により、旧組織のドメインやサーバーが引き継がれないまま放置されるケースは少なくありません。管理者不在のまま稼働し続けるこれらの資産は、攻撃者の格好のターゲットです。
開発チームの迅速なデプロイ
DevOpsの浸透により、開発チームが独自にクラウドリソースを作成する速度がIT部門の管理速度を上回っています。テスト環境やステージング環境が本番のセキュリティポリシーを適用されないまま公開されるケースも珍しくありません。
リモートワークの普及
在宅勤務の広がりにより、従業員が個人デバイスや非公認のクラウドストレージを業務に使用するケースが増加しています。
シャドーITのリスク
データ漏洩
管理されていない SaaS サービスに業務データを置くと、機密情報の漏洩リスクが生じます。アクセス制御の設定が不十分なまま運用されるためです。
コンプライアンス違反
個人情報や機密データが非認可のサービスに保存されることで、個人情報保護法やISMS等の規制に違反するリスクがあります。
攻撃面の拡大
攻撃者は組織が認識していない資産を標的にします。パッチが適用されていない古いサーバーや、デフォルト設定のまま放置されたサービスは、侵入の入り口になります。
インシデント対応の遅れ
資産が把握されていないため、セキュリティインシデントが発生しても検知・対応が遅れます。影響範囲の特定にも時間がかかります。
ASM によるシャドー IT 対策
ASM(Attack Surface Management) は、シャドー IT の可視化に最も効果的なアプローチです。CTEM フレームワーク全体での位置付けは CTEM とは を参照してください。
1. 外部からの資産探索
組織のドメイン名を起点に、関連するサブドメイン・IPアドレス・ポート・使用技術を自動的に探索します。IT部門が把握していない資産も、攻撃者と同じ視点で発見できます。
2. 継続的な監視
一度きりのスキャンでは不十分です。新しいシャドーITは日々生まれています。継続的な監視により、新たに出現した資産をリアルタイムに検知します。
3. リスクの自動評価
発見した資産に対して、脆弱性の有無やセキュリティ設定の不備を自動的に評価します。優先順位付けには TER バンド(S/A/B/C/D)が有効で、限られたリソースを効果的に配分できます。
4. 変更の追跡
資産の追加・削除・変更を時系列で追跡することで、いつ・何が変わったかを把握できます。未承認の変更を早期に検知し、対応できます。
まとめ
シャドーITは現代の企業にとって避けられない課題です。しかし、ASMを活用することで「見えないリスク」を可視化し、管理下に置くことが可能です。
PentaTrail/CTEM は外部攻撃面の継続的な監視を通じてシャドー IT の発見と管理を支援します。実際の検出を試すには 14日間無料で始める。