New Report: 85% Firms Face Cyber Incidents, 11% From Shadow IT
2023/12/20 InfoSecurity — これまでの2年間で、世界の企業の 85% がサイバー・インシデントを経験しており、そのうちの 11% は Shadow IT が原因となっている。この数字は、サイバー・セキュリティ企業 Kaspersky が、先日に実施した調査に基づくものであり、企業において懸念すべき脅威のパターンを露呈している。Kaspersky によると、分散型ワークフォースが拡大する中、従業員による Shadow IT の利用が深刻化しているため、企業におけるセキュリティが危殆性しているという。
Kaspersky の情報セキュリティ責任者、Alexey Vovk は、「IT 部門が承認していないアプリケーション/デバイス/クラウドサービスを使用する従業員は、それらの IT 製品が信頼できるプロバイダーから提供されていれば、保護され安全であるはずだと考えている」と語っている。
彼は、「しかし、サードパーティのプロバイダーは利用規約の中で、いわゆる責任共有モデルを採用している。そこでは、”同意する” を選択することで、対象となるソフトウェアの定期的なアップデートが実行され、さらに、ソフトウェアの使用に関連するインシデントの責任を負うことになっている」と付け加えている。
今回の調査結果では、機密データの漏洩から企業にとっての具体的な被害にいたるまで、Shadow IT の利用がもたらす影響が明示されている。特に、2022年と2023年には、IT 業界の 16% が影響を受け、また、重要インフラと物流部門の 13% が影響を受けたとされる。
この調査では、Shadow IT に関連するリスクの実例も強調されており、Okta に関連する最近の事例が挙げられている。この侵害は20日間も続き、134社の顧客に影響を与えた。
Vovk は、「結局のところ、従業員が Shadow IT を使い続けるなら、それをコントロールするツールが企業にとって必要になる。情報セキュリティ部門は、管理されず安全が確保されないハードウェア/サービス/ソフトウェア・アプリケーションの不正使用を避けるために、社内ネットワークの定期的なスキャンを実施する必要がある」と述べている。
Kaspersky は、組織が Shadow IT の課題に取り組む際に、リスクを軽減するための積極的な対策を推奨している。
そこに含まれるのは、ビジネス部門と IT 部門が協力して、新たなビジネス・ニーズを理解し対処することである。さらに、IT 資産の定期的な棚卸の実施/従業員個人のデバイスに対するアクセス制御の導入/従業員と IT 専門家を対象とするトレーニング・プログラムへの投資も重要である。
このブログの中を Shadow IT で検索してみたら、Shadow API というのも出てきて、この傾向は単にアプリだけのものではないのだと思えてきました。他に、どんな Shadow があるのだろうかと、想像し始めると切りがないので、適当なところで止めにしておきます。
IoT OT Security News 
You must be logged in to post a comment.