1. HOME
  2. Blog
  3. Blog
  4. 2つのタイプのシャドーITに対処する

Info.

お知らせ

Blog

2つのタイプのシャドーITに対処する

2019年10月18日、Mike Vizard

通常、シャドーITには2つのタイプがあります。1つは社内の部門が資金提供しているにもかかわらずIT部門に伝えることを適切と考えていないプロジェクトです。幸いにも、このようなプロジェクトが企業データにアクセスするようになるとすぐに、サイバーセキュリティ部門は不正行為が行われているという情報を入手します。

もう1つはネットワークに接続するパーソナルデバイスが関係しているという点で上記のタイプより巧妙です。多くのIT部門が直面している課題は、パーソナルデバイスがいつどのように、信頼されていないネットワークを悪用して、企業データに突然アクセスするようになる可能性があるかを誰も知らないということです。理想的には、ほとんどのIT部門が企業ネットワークに接続できるエンドポイントのタイプを完全に管理したいと考えています。問題は、エンドユーザが「独裁的」なITポリシーに抵抗する傾向があるということです。実際、エンドユーザの役職が上位であればあるほど、問題は解決しにくくなる可能性があります。現役のすべてのサイバーセキュリティプロフェッショナルに役員がどれほど頑固かを尋ねてみるとよいでしょう。

しかし、問題の本質はエンドユーザの頑固さではありません。単純な事実は、エンドユーザが実際に使用したいエンドポイントデバイスの選定について、IT部門には優れた実績がないということです。ID管理ツールのプロバイダであるEntrust Datacardが1,000人のITプロフェッショナルを対象に実施した調査によると、ほとんどのITプロフェッショナルは、この事実を認識しています。また、従業員が自分の好きなデバイスを社内で使用できる場合は、従業員の生産性(97%)、エンゲージメント(96%)、および忠誠心(93%)が向上すると回答しています。

シャドーITにつながる課題

この調査からは、IT部門がエンドユーザにとっての最大の敵になる可能性があることも判明しています。ITプロフェッショナルの約半数(46%)は、デバイスの依頼プロセスが不適切な場合は、IT部門と他の部門の間に対立が生じると回答しています。従業員からの新しいデバイスの依頼のすべてに対処しているITプロフェッショナルは、わずか12%です。ITプロフェッショナルの40%は半数にしか対処していません。IT部門の対処が不十分なことを考えると、機会があるたびに、エンドユーザが生産性という名目でIT部門による管理を回避していることは意外ではありません。

さらに厄介なことに、ITプロフェッショナルの3分の1をはるかに上回る37%は、従業員がIT部門の承認なしに新しいデバイスを持ち込んだ場合に、自社がどのような影響を受けるかを明確に説明していないと回答しています。従業員が2度目の違反で解雇されると回答しているITプロフェッショナルは、わずか40%です。

シャドーITに対処する方法

当然、問題は、パーソナルデバイスの使用が特にセキュアなわけではないということです。データ侵害の検出には、数か月かかる可能性がありますが、侵害を受けたデバイスが企業のものではない場合は、さらに時間がかかる可能性があります。

すべての「優しい独裁者」が知っているとおり、「支配」を維持するための秘訣は抵抗したいという欲求を最初にそぐことです。シャドーITに対処する最適な方法はエンドユーザがデバイスの選定プロセスに定期的に関与することです。通常は、エンドユーザが関与すると、ITポリシーに抵抗したいという欲求だけでなく、IT部門を敵と見なす傾向も低下します。ほとんどのサイバーセキュリティプロフェッショナルが知っているとおり、見えないものを管理することはできず、まして保護することはできません。IT部門にとっての現在の課題とチャンスは、エンドユーザが熱望するサイバーセキュリティと生産性のバランスをとる方法を見出すことです。

原文はこちら:

Dealing with two types of shadow IT

October 18, 2019 Mike Vizard

https://blog.barracuda.com/2019/10/18/dealing-with-two-types-of-shadow-it/

Related posts