シャドー IT は長い間、セキュリティとコンプライアンスに対する脅威と見なされてきましたが、最近では、より多くの企業がその利点を認識しています。多くの IT ソフトウェア エグゼクティブは、「柔軟性を高めながらセキュリティを維持する方法はないか」と疑問を呈しています。クラウド コンピューティングが企業の IT 予算の一部を消費し続けているためです。シャドー IT ポリシーを適切に実施すれば、IT とビジネスの両方が快適に過ごせる可能性があります。ただし、そのためには、その意味、考えられる欠点、および考えられる利点に精通している必要があります。
シャドー IT とは何ですか? その理由は?
「シャドー IT」という用語は、IT またはセキュリティ チームのサポートなしに、ビジネスで情報技術リソース、ソフトウェア、またはアプリケーションを使用する慣行を指します。これには、ソフトウェアとハードウェアの両方、およびクラウドベースのリソースが含まれる場合があります。現在、クラウドベースのサービスの急速な普及が最大の問題です。クラウドベースのサービスを利用する人が増えるにつれて、「シャドー IT」の現象が増加しています。ツール。組織へのシャドー IT の導入にはさまざまな形態がありますが、通常は次の 2 つの方法のいずれかで行われます。
- 会社情報にアクセス、保存、または配布するためのサードパーティ プログラムの採用。企業がファイル共有のために Google Workspace を正式に認可したとしても、従業員は代わりに Microsoft 365 を使用することを選択してシャドー IT を導入する可能性があります。
- 認可されたリソースを違法に使用する。同様に、IT 部門が企業が管理するアカウントを通じて Google Workspace の使用を承認したとしても、従業員は監視されていない自分のアカウントを使用して Google Workspace にアクセスし、シャドー IT を導入する可能性があります。
シャドー IT の例は何ですか?
会社のビジネスのための個人の電子メール アカウントの使用、未承認の個人所有デバイス (BYOD) の使用、または会社の IT チームによって管理されていない SaaS (サービスとしてのソフトウェア) サービスの展開はすべて、シャドー IT の一般的な例です。以下は、シャドー IT のより具体的な例です。
- Trello や Asana などのソフトウェアを含む、生産性を向上させるためのアプリケーションまたはツール。
- Microsoft Teams、Slack、Google Chat は、メッセージングおよびコラボレーション アプリの例です。
- 携帯電話のアプリケーションまたはツール、タブレット、およびその他のモノのインターネット (IoT) デバイス。
- Google ドライブ、Dropbox、Box、OneDrive ソフトウェアなど、クラウドにデータを保存したり、ファイルを転送したりするためのサービスとアプリケーション。
- Zoom、Skype、WebEx、GoToMeeting などのオンライン会議用のアプリケーションまたはツール
- Calendly、ScheduleOnce、Bookafy などの予定のスケジューリングおよび管理ソフトウェアまたはツール。
シャドー IT を使用するリスクは何ですか?
シャドー IT に関連するリスクもシャドーに隠れています。従業員は、シャドー IT ソフトウェア ツールまたはアプリケーションの助けを借りて、より迅速かつ簡単に作業を完了できますが、このソフトウェアまたはアプリケーションには、さまざまな新しい危険性、非効率性、およびビジネスの費用が伴います。
可視性と制御の喪失
データが非公式のシステムやアプリケーションに移動すると、監視や管理ができなくなります。シャドー IT システムは、セキュリティや規制への違反、データ侵害、およびそのデータに関して必要な災害復旧措置を講じることができないなどの危険をもたらします。
ソフトウェア統合
システム統合は、IT 部門の一般的な機能です。シャドー IT ソフトウェアは、統合の一部が侵害された場合にデータ侵害のリスクをもたらします。ユーザーが重要なソフトウェア アップグレードをインストールしない場合、この違反の重大度は大幅に増加します。従業員は、ツールをアップグレードする方法さえ知らない可能性があります。
IT 部門が統合システムのアップグレードを実行すると、未知のアプリケーションやソフトウェアが、攻撃者がデータベース全体にアクセスするためのバックドアを提供する可能性があります。大規模な混乱から最高情報責任者の刑事告発まで、あらゆる場所でこのような違反が発生する可能性があります。
失われたデータ
シャドウ クラウド データは、特にデータを作成した個人が退職した場合に、企業がアクセスできなくなる可能性があります。ユーザー契約、設計文書、およびその他のプロジェクト アプリケーションまたはツールは、ユーザーの個人的な Dropbox アカウントに保存される場合があります。ユーザーが解雇された場合、会社は個人の個人アカウントから重要な顧客データを回復できなくなる可能性があります。ユーザーが終了し、シャドー IT ソフトウェア クラウド サービスの料金を支払わなくなった場合、そのようなサービスやアプリケーションをすぐに非アクティブ化するのは簡単です。
料金
ある推定によると、すべての SaaS サブスクリプションまたはアプリケーションのほぼ 3 分の 1 は、使用されていないか十分に活用されておらず、非効率性と無駄なお金につながっています。シャドー IT ソフトウェアを強化したい一部の企業は、長いスプレッドシートを使用して SaaS サービスを追跡するなど、非効率的な手動の方法を使用していますが、これは時間とお金の無駄です。
未知の攻撃対象領域の拡大
シャドー IT が増えると、組織が攻撃される可能性が高くなります。組織化されていないデータベース システムは、既知のセキュリティ プロトコルの範囲内にはありません。脆弱な資格情報またはデフォルトの資格情報は、管理されていない資産をインターネットに公開するリスクがあります。脅威ログ管理、セキュリティ情報、イベント管理 (SIEM) システム ソフトウェア、および侵入テストでは、シャドー IT はカバーされません。
シャドー IT の利点
ただし、シャドー IT にも利点があります。シャドー IT を使用する主な利点は次のとおりです。
より高いレベルの生産性
Entrust Datacard が実施した世論調査の調査結果によると、ほとんどすべての労働者は、選択したテクノロジを利用する機会が与えられると、生産量が増加します。さらに、同じ世論調査では、IT ソフトウェア プロフェッショナルの 77% が、経営陣がアプリを使用して問題の解決策を特定する際により協力的であれば、自社が競争力を獲得できると感じていることがわかりました。目の前の問題を注意深く検討すると、これらの結論がそれほど衝撃的ではないことがわかります。たとえば、美容師が通常のはさみを使って、プロ用の理髪用はさみを使った場合と同じ量の作業を行えるとは予想できません。
イノベーションのトリガーまたはカタリスト
見ている人が多いほど、目の前のタスクにより適したツールを簡単に特定できます。従業員自身が、どのソフトウェアおよびハードウェア ソリューションが自分にとって最も役立つかを判断する最大の判断者です。したがって、シャドー IT は、事前に誰からも許可を得る必要なく、好きなものを何でも使用できるようにするのに完全に理にかなっています。したがって、従業員が自発的に使い始めた情報技術ソフトウェアまたはアプリを経営陣が徹底的に研究し、会社全体で正式に採用する可能性を探ることは、より理にかなっています。このプロセスを通じて到達したソリューションは、経営陣が直接選択したソリューションよりも、当初のビジネス デマンドと密接に関連している可能性がかなり高くなります。
最高で最も明るいものをもたらす
シャドー IT は、企業、特に情報技術ソフトウェアに大きく依存している業界で活動している企業が、最高の従業員を採用して維持するのに役立つ情報技術の一形態です。豊富な経験を持つ求職者は、時代遅れであるかどうかにかかわらず、まったく異なる一連のツールの使用方法を強制的に学ぶよりも、自分に最適なツールを使用することが許可されている場合、常に感謝しています。 、単に彼らの前に来た誰かがそれらを使うのが好きだったからです.同様に、パフォーマンスの高い個人は、利用可能な最新の IT ソフトウェアにアクセスできれば、はるかに積極的で生産的です。また、職場環境が自分に適していない競合他社からのより高い報酬の申し出を断ることさえあります。
シャドー IT の需要と露出を最小限に抑える
上記のいくつかのことを実行することで、シャドー IT の必要性とそれに伴うリスクを軽減できます。
コミュニケーションと協力
IT のユーザーが実際に求めているものを見つけます。サイロを解体します。 IT 部門と IT ユーザーがシンプルで快適、かつ効率的な方法でコミュニケーションできるようにするローコード/ノーコード プラットフォーム。
トレーニングと教育
シャドー IT ソフトウェアに関連する危険性と、通常のガバナンス規則を回避することなく技術要件を満たすために企業がどのように支援できるかをユーザーに通知することは、これらのリスクを軽減するための非常に重要なステップです。セキュリティに精通し、情報技術ソフトウェア セキュリティに対する組織のビジョンを共有する従業員は、シャドー IT に関連するリスクを把握する可能性が高く、技術的要求を満たすための許容可能なソリューションを見つけるよう奨励されます。
最終的な考え
通常のオフィス構造は、より柔軟で、リモートで、ハイブリッドなオプションに取って代わられています。クラウドはこの変化を助けますが、それでもいくつかの重大な結果に対処する必要があります。 SaaS サービスがイノベーションを推進している限り、シャドー IT の脅威は引き続き問題となります。
しかし、 ローコード/ノーコード プラットフォームを使用することで、シャドー IT のすべてのリスクを解決できると言ったらどうでしょうか?これらのプラットフォームは IT 部門が管理できますが、従業員に必要なビジネス ツールの作成にも役立ちます。たとえば、会社のニーズに完全に適合する予定スケジューリング アプリケーションを作成できるとします。また、シャドー IT のこれらすべてのリスクを恐れることはありません。それは、IT 部門によって開発および制御されるためです。 AppMaster.io は最先端のノーコード プラットフォームの 1 つであり、コードを記述する必要なく、ビジネスに最適な Web およびモバイル アプリケーションを作成するのに喜んで役立ちます。