catch-img

【2024年】最新シャドーIT対策実態調査レポート

従業員が会社の許可なく利用しているシャドーITへの対策実態について、従業員数1,000名以上の大手企業に所属する情報システム部門300人に調査した結果を発表します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

<結果サマリー>
・大手企業の半数以上が100以上のクラウドサービスを利用。1社あたり平均207サービス利用
・膨大な数のサービスを利用しているなか、6割以上がシャドーIT対策未実施。約9割がシャドーIT対策に課題あり


クラウドサービスの利用数は、1社平均207サービス

従業員数1,000名以上の大手企業において、半数以上の52.3%が100以上のクラウドサービスを利用しており、19%で500サービス以上利用していることが分かりました。1社あたりの平均は207サービスで、クラウドサービスを全く利用していない企業はいませんでした。

総務省の調査(※)では、クラウドサービスを一部でも利用している企業の割合は68.7%であるのと比較すると、特に大手企業ではクラウドサービスの利用が浸透していることが伺えます。
※出典:総務省「情報通信白書」(令和3年版)


6割以上がシャドーIT対策未実施

情報システム部門が認識をしているクラウドサービスの利用数が100件以上の企業が52.3%に及ぶ一方で、クラウドサービスの利用に際しては会社に許可なく利用しているケース(シャドーIT)も大きな問題となっています。

65.6%の企業においてはシャドーIT対策が行われておらず、前述のサービス数以上の利用が水面下で行われている可能性があることが浮き彫りになりました。


シャドーIT対策実施企業でも、約9割が現行手段に課題を抱える

加えてシャドーIT対策を実施している企業のうち、約9割が課題を抱えていることが分かりました。

具体的には、「利用サービスの可視化ができていない」(35.9%)「検出したサービスをどのように扱うかのポリシー、ルールが定められていない」(35%)「フィルタリングや制御対象に漏れがあると感じる」(35%)「検出サービスに漏れがあると感じる」(34%)などが挙げられています。

検出後の対応が定まっていないケースや、検出対象の網羅性に懸念があることが多いようです。


解説・考察

シャドーITのなかでも、会社が把握できていないクラウドサービスの利用には大きく2つのリスクがあります。


1つはセキュリティが脆弱なクラウドサービスを利用し、そのクラウドサービスがサイバー攻撃を受けて情報漏えいが発生したり、サービスが停止するリスクです。
もう1つは、従業員等が会社の機密情報や個人情報をクラウドサービスを介して社外に持ち出すリスクです。

クラウドサービスの利用時にセキュリティ評価を行いリスクを可視化しているのは87.7%と多くの企業が実施できているものの、シャドーIT対策まで実施できている企業は約3割にとどまりました。また、シャドーIT対策を実施している企業においても、シャドーIT対策製品を導入したにも関わらず、運用が回らなかったり、製品を十分に活用できていないといった課題があります。

これらの課題は、シャドーIT対策の目的(利用サービスを可視化したいのか、制御・遮断までしたいのか、セキュリティ評価がしたいのか)があいまいであったり、運用体制を考慮せずにシャドーIT対策製品を導入してしまったことが原因に挙げられます。


製品の導入を目的にするのではなく、シャドーIT対策で達成したい目的の明確化や現実的な運用設計をし、目的に合致した自社で対応可能なシャドーIT対策を実施することが重要です。

早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。ドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム