シャドーITの検知と管理
2025.04.23
概要
シャドーITとは、正式なITガバナンスの枠外で運用されている未承認または把握されていないITシステムや外部向けサービスを指し、重大なセキュリティおよびコンプライアンスリスクをもたらします。
特に日本企業は、クラウドの導入拡大、レガシーインフラの存在、複雑なベンダーエコシステムといった背景から、デジタル境界の管理においてますます大きな課題に直面しています。
リスキャナの自律型サードパーティリスク管理(TPRM)および外部攻撃面管理(EASM)プラットフォームは、これらの課題に対応するための強力かつAI駆動のソリューションを提供します。
本ソリューションは、シャドーITの検知、分類、対処を可能にし、組織がその脅威を効果的に管理できるよう支援します。
日本におけるシャドーITの課題
日本においては、デジタルトランスフォーメーション(DX)とリモートワークの普及が進む中、管理されていない、または把握されていない外部IT資産の増加が加速しています。
最近の調査では、次のような事実が明らかになっています:
● 日本の大企業は、平均で207種類のクラウドサービスを利用しており、その多くが一元的な管理なしに使われています。
● 65%以上の企業が、管理されていない資産を制御・監視するための正式な対策がありません。
● 日本で報告された侵害の 41% は、外部に公開されたシステムを介した第三者による攻撃です。
一般的に見落とされやすい、または管理されていない資産には以下のようなものがあります:
● 放置されたサブドメインやレガシーサブドメイン
● パブリッククラウドのストレージバケットや公開されたデータベース
● セキュリティが不十分なAPIや開発環境
● 忘れ去られたウェブインフラや公開されたテストサーバー
これらの資産は、しばしばインベントリや監視の範囲外となり、攻撃者の主要な標的となります。
リスクには以下が含まれます:
● 保護されていないストレージからのデータ漏えい
● 重要なサービスを公開する誤設定
● APPI、ISO27001、および業界特有の規制に対するコンプライアンス違反
● サービスのダウンタイムや違反によるロックアウトによる運用の中断
ご興味をお持ちのお客様へはシステムのデモやサンプルレポートのご提供等のご相談も承っておりますので、ご遠慮無くお申し付けください。
お問い合わせはこちらまで。