“The Most Common & Most Dangerous Types of Shadow IT” January 12, 2023 by Morey J. Haber より
シャドーITとは?
シャドーITとは、情報テクノロジーシステム、デバイス、ソフトウェア、アプリケーションおよびサービスの利用をIT部門の明確な承認なしで行うものです。個人あるいは部門として正式に認証されていないシステムやアプリケーション、インフラなどを業務目的で利用することがあるかもしれません。これらの目的は特定の業務を容易にしたり、より効率的にしたり、あるいは資産調達や管理で情報システム部門が正規の業務フロー外で行うようなものを含みます。
シャドーITは、通常は悪意によって設置されるものではありません。一般的には社員や部門が、時間的な猶予が無い中で自身の生産性向上やビジネス要件等の課題に対応する際など、こうした障壁を解決するために結果として実施されます。
シャドーITは社員、クライアント、ベンダーの生産性を向上させるかもしれませんが、同時にデータ漏洩、法令違反、管理不足などの深刻なセキュリティリスクを組織にもたらしかねません。
なぜシャドーITが増加しているのか?
なぜシャドーITが増加して組織に危険をもたらしているのか、いくつかの理由を挙げます。
- クラウド採用 シャドーITは近年クラウドベースのアプリケーションやサービスの採用にともない倍増しました。2021年度版のDigital workplace trends & insights(業務環境の傾向と考察)レポートによると、平均的な企業のクラウドのアプリケーション環境は、使用されているもののうち、97%がシャドーITであったと報告されています。これは多くがその設定、構成および使用が社内プロセスや制御をバイパスしているからです。
- リモートの採用 2021年度版 HP Wolf Securityのレポートによると、ITチームの91%はリモートや自宅での業務対応環境では、それぞれの事業の業務継続のためにはセキュリティを妥協しなくてはならないというプレッシャーを感じていると報告しています。またITチームの80%は、リモート社員向けにセキュリティポリシーの更新をしようとしたところ、反対に遭ったと報告しています。
- 社員の効率 シャドーITを使用してしまう主な要因は、仕事をより効率よくこなしたい、ということに起因します。担当業務をこなすためには、会社のセキュリティ方針を回避してでもやらなくてはならないと感じられていることが、多数の調査で判明しています。
- コラボレーション クラウドアプリケーション、例えばファイル共有/保存などはデータガバナンスが不適切であり、機密データが漏洩する結果になりかねません。
- 個人の電子メール 多くの社員は仕事上の文書を個人メールあてに送り、家庭で仕事ができるようにします。安全ではない家庭のネットワーク経由はIT部門では監視できずデータを外部にさらすことになります。Work from Home Office Networkの調査では、リモートオフィスネットワーク上の91%のデバイスは1つ以上のサービスがインターネットに開示されており、リモートネットワークIPアドレスの15%はケーブルモデム制御インターフェースをさらけ出していると報告されています。結果、いったん組織のドメインを離れた情報は、管理から外れてしまっているということです。
- シャドーIoT シャドーIoTはシャドーITの延長で、企業環境下でIT部門が把握していないIoTデバイスやセンサーが利用されていることを指します。シャドーIoTの問題はネットワークに追加される、その数だけにとどまりません。それが何ができるかです。例えば
カメラ、Wifi、コーヒーメーカーまでです。これらデバイスは企業レベルのセキュリティ制御が組み込まれておらず、すぐに判明されるデフォルトのIDとパスワードが利用されていることが一般です。これらデバイスが企業のメインのWi-FiネットワークにIT部門の承認なしに追加されると、将来的な攻撃の侵入口になりかねません。
シャドーITのリスクとは?
- マルウェアの侵入 ー シャドーITの全てのインスタンスは組織への攻撃対象領域を拡大させます。シャドーITデバイスとアプリケーションは、組織のサイバーセキュリティソリューションの保護管轄の外になり、また一般的にそこで使用されるクレデンシャル(資格情報=ID、パスワード等)は脆弱であるため、セキュリティの健全性が無くランサムウェアなどのマルウェアに攻撃される機会を生み出してしまいます。
- 攻撃者のバックドア ー シャドーITおよびシャドーIoTは、ITセキュリティの監視の範囲外にあります。つまり構成の間違いや脆弱性などは検知されず、攻撃者が使う工程が監視されずに保護されていない状態を作り出します。
- サービスデスクへのチケット発行や負荷の増加 ー シャドーITはワークステーションに障害を起こしたり、システムの互換性問題を起こしがちで、結局はパフォーマンスや互換性の問題の対処のためにITサポートチームの負荷を増大させることに繋がります。
- 互換性とサイバー保険保全問題 ー シャドーITが原因の侵入があると法令や規制遵守上の課題としてみなされ、罰則や罰金につながります。さらに、もし侵入がシャドーITを起因していると判断されればサイバー保険ポリシーの観点で、補償金の支払い拒否や契約破棄、サイバー保険加入の拒否という結果になりかねません。
- 予測していないコスト ー 侵害によるコストに限らずダウンタイムなど、予測して
いなかった追加費用が懸念されます。例えばシャドーITは、購入されても実際使用されず、仮に使用者が退職しても費用は継続して支払われ続けている、などが起こります。 - データロスおよびデータ搾取 ー 個人メールや個人ストレージアカウントはデータやその他の資産がIT部門の管轄外に保管される可能性を生み出します。従って、バックアップされない、災害復旧目的やランサムウェア攻撃に備えたプロビジョニングが出来ない可能性もあります。社員が退職したり、その個人アカウントが侵害されるとデータは回復不能になり、サポートによる処理も修復不可能になります。
最も一般的なシャドーIT
最も一般的に見られるシャドーITは、皆さんを驚かせるかもしれません、あるいはご自身の環境に存在する課題について再認識するかもしれません。
ビジネスの病巣になりえる以下のトップ5のシャドーITタイプを考察してみましょう。
1. シャドーIoTデバイス
シャドーIoTデバイスはフィットネス記録、ワイヤレス温度器、カメラ、ワイヤレス
プリンター、スマートTV、その他の医療機器などのようなスマートコネクテッドデバイ
スを含みます。これらは社員により利用され、あまり注意も払われません。また機器の機
能が高度になるに従い、コーヒーメーカーや冷蔵庫などのように以前は危害を及ぼさなかったものが、攻撃者による企業環境ネットワークへの道筋にもなりかねません。
2. SaaS アプリケーション
既定の調達プロセスを経ずに導入されるクラウドベースのアプリケーションのことです。SaaSアプリケーションはアクセス、多要素認証、不適切な振る舞い関してIT部門によって管理されていないローカルアカウントが使用される可能性があります。またこれらのアプリケーションは、ベンダーによる導入、内部に含まれるデータ、セキュリティベストプラクティスや基本的な健全性(データのバックアップなど)に満たない行為など、リスクを招くこともあります。
3. 仮想マシン
多くの組織はデスクトップ、サーバー、およびクラウド上にハイパーバイザーを搭載してい
ます。シャドーIT仮想マシンはユーザがソフトウェアのテスト、ソリューションのデモ、特定アプリケーションの運用などで使用され、あらゆる所に存在します。マウスのクリックのみで仮想マシンを作成したり削除できることは、こうした資産が管理されていないという、無視できないシャドーITリスクを表します。これは脆弱性、デフォルトのアカウント、構成の不健全さ等の問題を招き入れることになります。企業内で利用される全ての仮想マシンは管理されたテンプレートやスナップショットから配備されるべきで、その作成やランタイムは適切に管理されるべきです。
4. サブネット
企業は支店の追加、買収合併などを機にネットワークを拡張します。これは多くの場合、未
知のルーティング可能なサブネットを作り出し、管理不能な状態に陥ります。ログ内の詳細な検知やIPアドレス(資産)の確認でしか、これらのシャドーITサブネットを検知して管理することは出来ません。
5. ネットワークハードウェア
多くの企業ではデバイスをネットワークに追加するには、ネットワークのジャックに差し込むか、WiFiにユーザネームとパスワードで接続するだけのシンプルな作業です。これらデバイスは、一般ユーザー向けのWiFiアクセスポイントから管理されていないプリンター、カメラ、TVなどに渡ります。脆弱性や不適切なアクセスを誰も監視していなければ、管理されていないデバイスが追加される都度リスクが生じます。ネットワークハードウェアは「シャドーIT」としては早期から存在し、シャドーITサブネット、仮想化、アプリケーションなどと合わさると事業にとってはアキレス腱になりかねません。
6. ローカルアプリケーション
すべてのビジネスにはいくつかの「不定期使用」アプリケーションがサーバーやエンド
ユーザワークステーション上に存在します。使用されるソフトウェアのインベントリは資産検知エンジン等のソリューションで検知できますが、アプリケーションによっては見過ごせないリスクをもたらすものもあります。例えば、KVM(Keyboard, Video,Mouse)ソフトをエンドユーザが複数の資産管理のために、共有のキーボードやマウスの使用のためにインストールしたとしましょう。これは、もし脆弱性があればリスクが高くなります。ユーザネームとパスワードを必要とする管理外のベンダー監視ソリューションが展開されているサーバは、もし監視ツール利用のためのクレデンシャルが安全に保護されていないと、攻撃者のバックドアになりえます。言い換えれば、全てのアプリケーションはIT部門によって確認され、記録されるべきです。「時々しか利用しない」アプリケーションであっても検知して、シャドーITアプリケーションの存在を無くすべきです。
最も危険なタイプのシャドーIT
最も危険なタイプのシャドーITは基本的にリスクベースで判断します。これらは管理されていないアプリケーションであり、ライセンス付与が不適切であり、監視されていないものです。セキュリティガイドラインに沿ってブレークダウンすると、これらのアプリケーションの査定すべきは以下の観点になります。
- 脆弱性管理 ー 脆弱性を評価して是正対応の優先度をつけて対処
- パッチ管理 ー 脆弱性情報あるいはベンダー開示情報に基づいたパッチやセキュリティ更新による是正が計画されていないシャドーIT
- 構成管理 ー アプリケーションへの不適切なアクセスを予防するための構成や保全がなされていないシャドーIT
- アイデンティティ管理 ー IT部門によって管理されていない不明なユーザアカウントを含むシャドーIT。これには過去に所属していた社員が保持していた、みなしごアカウント、業務権限外のユーザー向けのアクセスなどを含みます
- 特権アクセス管理(PAM) ー 管理されていない特権アカウントや最小権限方針に従っていないシャドーIT
- ログ管理 ー 不適切な行動を監視するためのアクセス、運用、セキュリティログを出力していないシャドーIT
どのような組織内でも、これらのセキュリティ指針は認可された資産に対してでも取り組むべきものです。シャドーITが存在すると、上記の複数の観点で課題が存在し、問題をさらに複雑にします。これがシャドーITとして最も危険な状態になります。シャドーITの展開が複数の攻撃面を増加するリスクを招き、課題に対応するソリューション担当のみでは解決できません。
PAMがどのようにシャドーITを照らし出しリスクを回避するか
適切に適用された特権アクセス管理(PAM)ソリューションは、シャドーITのリスクをネットワーク環境の可視化によって回避します。
1. ネットワークへの可視性を提供する
存在が知られないものは保護できません。どのデバイスがネットワークにアクセスが有るか、どのユーザが特権アカウントにアクセスを持つかを把握することは、シャドーITからの脅威を防御する、まずは最初の一歩です。企業はPAM検知ツールを利用して、ネットワークにアクセスあるデバイス、アプリケーション、サブネット、ユーザーアカウントを検知できます。資産が検知できれば、PAMツールは権限の登録、管理、監視、監査の支援もできます。
2. 最小権限の適用を実現、執行する
PAMはマルウェアやランサムウェアの攻撃を最小権限の適用の執行で防止できます。PAM
ソリューションは、Windows、Mac、Unix、Linux、ネットワークデバイス上のアプリケーションを詳細レベルまで制御可能で、これをユーザの生産性を妨げずに実現できます。PAMソリューションはまた、Active Directory(AD)ブリッジテクノロジーも提供できます。このテクノロジーでWindows、Unix/Linux OS間のギャップをADケルベロス認証とSSOを拡張することで埋められます。アイデンティティ管理を一本化して簡素にします。シャドーITが展開されることによる問題から、認可された本番用の資産が影響を受けることを、特権アクセスフローで防御します。
3. サービスデスクおよびベンダー向けのリモートアクセスを安全にする
RDPやVPN、レガシーデスクトップツールなど、従来のリモートアクセス手法は詳細レベルのアクセス制御が不足しています。これらのサービスは盗用されたアカウント情報やセッションハイジャックなどによる侵害を容易にしています。PAMソリューションは、安全でVPN不使用のリモート特権アクセスを、ベンダーや社員、サービスデスク、インフラ担当者向けに提供できます。PAMにより、企業は最小権限の適用の執行や、監査制御をリモートアクセスを対象に実現できます。これにより、シャドーITによる未認可のリモートアクセスによる、あるいは危ないSaaSアプリケーションがネットワークにつながり、企業のネットワークや環境にもたらすリスクを削減できます。
まとめるとPAMソリューションは、シャドーITを検知、登録、行動管理、監査するだけでなく、横展開を防ぎ、最小権限の適用の執行によりシャドーITによる影響を限定します。
その他のシャドーIT対応に関するヒント
以下のようなITポリシーによりシャドーIT課題に対応しましょう。
1. 適切な管理ポリシーの確立
シャドーIT管理に関しては、利用者がオンプレミス、リモート、ハイブリッド環境であっても一貫して従えるポリシーを設定する
2. シャドーITが存在することを認識する
シャドーITの存在を踏まえた計画をして、IT部門管理下に置くための猶予期間を提供する。適切な管理の上で承認がなされれば、組織に積極的に貢献できるいくつかの優れたITやセキュリティソリューションがこの中にある可能性もあります。
3. オープンドアITポリシーのサポート
新しいプロジェクト、アイデア、アドバイスなどに対してオープンでありながら、それらを設計したり導入するガイドを提供すること。IT部門は「はい支援できます」方針を採用すべきです。シャドーITは面倒な反対に遭うことで作成されがちです。IT部門の理解のもとでITが活かされるとなれば、自然にシャドーITは少なくなります。
4. シャドーITを検知するポリシーを採用
検知テクノロジーを利用してシャドーITを検知して、事業上のリスクを判断します。例えばそのシステムはPII(個人判断情報)を扱っているか?未認可のユーザ化、対応されていない脆弱性を包含しているか?等です。もし事業上の判断で重要であれば、IT部門が経営判断で対象のシャドーITを排除できます。
5. セキュリティと要求のバランスをとる
これは非常に重要です。何かが素晴らしいアイデアのように聞こえ、導入が簡単であるという理由だけで、それが組織にとって最善の利益にならない場合もあります。 バランスをとるとは、ニーズに同意して、事業を改善し、安全なモデルを採用して機能させることです。これには、双方からのギブアンドテイクが少し必要ですが、すべての部署の目的を達成できる、サポート可能で安全なソリューションが得られます。
シャドー IT で安全に前進する
どのようなシャドーITが存在して、それが持つリスクを理解することが、問題を認識して管理するための鍵になります。シャドーITとそれを作成する不正な従業員は、ほぼ常に存在します。これらの存在を否定することは、最終的にビジネスを傷つけるだけです。シャドーITが存在する理由、目的、および事業でサポートできるようにする方法を理解することが重要です。「使用禁止」だけで終わる応答が肯定的な結果をもたらすことはめったにありません。前向きな意図を持って、一緒に問題を解決しようと努力してください。
Morey J. Haber、BeyondTrust社 最高情報セキュリティ責任者
Morey J. Haberは、BeyondTrustの最高情報セキュリティ責任者です。IT業界での経験は25年以上に及び、Apress社から『Privileged Attack Vectors (2版)、『 Asset Attack Vectors』、『Identity Attack Vectors』という本を3冊【原文は「4冊」とありますが、見つかった限りでは3冊でした】出版しています。2018年、BeyondTrustはBomgarに買収されましたが名前はそのまま残りました。彼はもともと2012年、eEye Digital Securityの買収の際にBeyondTrustに加わりました。現在は特権アクセス管理やリモートアクセスソリューションに関するBeyondTrustの戦略を統括しています。2004年、セキュリティエンジニアリングの統括長としてeEyeに加わり、フォーチュン500掲載企業である顧客の戦略的業務に関する協議や脆弱性管理アーキテクチャを担当しました。eEye入社前は、Computer Associates, Inc. (CA)の開発マネージャーとして、新製品のベータサイクルや指定されたカスタマーアカウントなどの業務を担っていました。またその経歴は、飛行訓練シミュレータを構築する政府の委託先における信頼性と保全性に関するエンジニアとして築かれました。ストーニーブルックにあるニューヨーク州立大学の電子エンジニアリング科で理学士の学位を取得しています。