2024年最新シャドーIT対策実態調査レポート

従業員が会社の許可なく利用しているシャドーITへの対策実態について、従業員数1,000名以上の大手企業に所属する情報システム部門300人に調査した結果を発表します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

クラウドサービスの利用数は、1社平均207サービス

従業員数1,000名以上の大手企業において、半数以上の52.3%が100以上のクラウドサービスを利用しており、19％で500サービス以上利用していることが分かりました。1社あたりの平均は207サービスで、クラウドサービスを全く利用していない企業はいませんでした。

総務省の調査（※）では、クラウドサービスを一部でも利用している企業の割合は68.7％であるのと比較すると、特に大手企業ではクラウドサービスの利用が浸透していることが伺えます。
※出典：総務省「情報通信白書」（令和3年版）

6割以上がシャドーIT対策未実施

情報システム部門が認識をしているクラウドサービスの利用数が100件以上の企業が52.3%に及ぶ一方で、クラウドサービスの利用に際しては会社に許可なく利用しているケース（シャドーIT）も大きな問題となっています。

65.6%の企業においてはシャドーIT対策が行われておらず、前述のサービス数以上の利用が水面下で行われている可能性があることが浮き彫りになりました。

シャドーIT対策実施企業でも、約9割が現行手段に課題を抱える

加えてシャドーIT対策を実施している企業のうち、約9割が課題を抱えていることが分かりました。具体的には、「利用サービスの可視化ができていない」（35.9％）「検出したサービスをどのように扱うかのポリシー、ルールが定められていない」（35%）「フィルタリングや制御対象に漏れがあると感じる」（35％）「検出サービスに漏れがあると感じる」（34%）などが挙げられています。検出後の対応が定まっていないケースや、検出対象の網羅性に懸念があることが多いようです。

解説・考察

シャドーITのなかでも、会社が把握できていないクラウドサービスの利用には大きく2つのリスクがあります。
1つはセキュリティが脆弱なクラウドサービスを利用し、そのクラウドサービスがサイバー攻撃を受けて情報漏えいが発生したり、サービスが停止するリスクです。
もう1つは、従業員等が会社の機密情報や個人情報をクラウドサービスを介して社外に持ち出すリスクです。

クラウドサービスの利用時にセキュリティ評価を行いリスクを可視化しているのは87.7％と多くの企業が実施できているものの、シャドーIT対策まで実施できている企業は約3割にとどまりました。また、シャドーIT対策を実施している企業においても、シャドーIT対策製品を導入したにも関わらず、運用が回らなかったり、製品を十分に活用できていないといった課題があります。これらの課題は、シャドーIT対策の目的（利用サービスを可視化したいのか、制御・遮断までしたいのか、セキュリティ評価がしたいのか）があいまいであったり、運用体制を考慮せずにシャドーIT対策製品を導入してしまったことが原因に挙げられます。
製品の導入を目的にするのではなく、シャドーIT対策で達成したい目的の明確化や現実的な運用設計をし、目的に合致した自社で対応可能なシャドーIT対策を実施することが重要です。