従業員数1,000名以上の企業の情シス担当に聞いた、2024年最新シャドーIT対策実態調査(Assured調べ)
〜6割以上が未対策、対策企業の9割が課題〜
Visionalグループの株式会社アシュアード(所在地:東京都渋谷区/代表取締役社長:大森 厚志)が運営するセキュリティ評価プラットフォーム「Assured(アシュアード)」(https://assured.jp/)は、従業員が会社の許可なく利用しているシャドーITへの対策実態について、従業員数1,000名以上の大手企業に所属する情報システム部門300人に調査した結果を発表します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
<結果サマリー>
・大手企業の半数以上が100以上のクラウドサービスを利用。1社あたり平均は207サービス利用
・膨大な数のサービスを利用しているなか、6割以上がシャドーIT対策未実施。約9割がシャドーIT対策に課題あり
クラウドサービスの利用数は、1社平均207サービス
従業員数1,000名以上の大手企業において、半数以上の52.3%が100以上のクラウドサービスを利用しており、19%で500サービス以上利用していることが分かりました。1社あたりの平均は207サービスで、クラウドサービスを全く利用していない企業はいませんでした。
総務省の調査(※)では、クラウドサービスを一部でも利用している企業の割合は68.7%であるのと比較すると、特に大手企業ではクラウドサービスの利用が浸透していることが伺えます。
※出典:総務省「情報通信白書」(令和3年版)
6割以上がシャドーIT対策未実施
情報システム部門が認識をしているクラウドサービスの利用数が100件以上の企業が52.3%に及ぶ一方で、クラウドサービスの利用に際しては会社に許可なく利用しているケース(シャドーIT)も大きな問題となっています。
65.6%の企業においてはシャドーIT対策が行われておらず、前述のサービス数以上の利用が水面下で行われている可能性があることが浮き彫りになりました。
シャドーIT対策実施企業でも、約9割が現行手段に課題を抱える
加えてシャドーIT対策を実施している企業のうち、約9割が課題を抱えていることが分かりました。具体的には、「利用サービスの可視化ができていない」(35.9%)「検出したサービスをどのように扱うかのポリシー、ルールが定められていない」(35%)「フィルタリングや制御対象に漏れがあると感じる」(35%)「検出サービスに漏れがあると感じる」(34%)などが挙げられています。検出後の対応が定まっていないケースや、検出対象の網羅性に懸念があることが多いようです。
【調査概要】
・調査方法:インターネット調査
・調査時期:2024年1月
・調査対象:全国、男女、20~60代、従業員数が1,000名以上の会社に勤める社内情報システム担当者、300名
(調査機関:株式会社クロス・マーケティング)
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
Assuredセキュリティ評価責任者 早崎 敏寛による考察
シャドーITのなかでも、会社が把握できていないクラウドサービスの利用には大きく2つのリスクがあります。
1つはセキュリティが脆弱なクラウドサービスを利用し、そのクラウドサービスがサイバー攻撃を受けて情報漏えいが発生したり、サービスが停止するリスクです。
もう1つは、従業員等が会社の機密情報や個人情報をクラウドサービスを介して社外に持ち出すリスクです。
クラウドサービスの利用時にセキュリティ評価を行いリスクを可視化しているのは87.7%と多くの企業が実施できているものの、シャドーIT対策まで実施できている企業は約3割にとどまりました。また、シャドーIT対策を実施している企業においても、シャドーIT対策製品を導入したにも関わらず、運用が回らなかったり、製品を十分に活用できていないといった課題があります。これらの課題は、シャドーIT対策の目的(利用サービスを可視化したいのか、制御・遮断までしたいのか、セキュリティ評価がしたいのか)があいまいであったり、運用体制を考慮せずにシャドーIT対策製品を導入してしまったことが原因に挙げられます。
製品の導入を目的にするのではなく、シャドーIT対策で達成したい目的の明確化や現実的な運用設計をし、目的に合致した自社で対応可能なシャドーIT対策を実施することが重要です。
AssuredのシャドーIT検知機能について
Assuredでは、クラウドサービスのセキュリティ評価に加えて、アクセス履歴から利用中のサービスを可視化する「シャドーIT検知」機能が利用できます。また、導入後のサービスの利用状況を一元管理できるサービス台帳機能を合わせて活用することで、社内で利用されているサービスの把握、検出したサービスのセキュリティ評価から利用状況の管理まで一気通貫で対応でき、精度の高いリスク管理が可能となります。
【セキュリティ評価プラットフォーム「Assured(アシュアード)」について】
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を
示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。
X(旧Twitter):https://twitter.com/AssuredJP
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティシステム・Webサイト・アプリ開発
- 関連リンク
- https://assured.jp/
- ダウンロード