英国立サイバーセキュリティセンター(NCSC: National Cyber Security Centre)は2023年7月27日(英国時間)、「New guidance on shadow or grey IT in organisations - NCSC.GOV.UK」において、企業向けに不正なデバイスやサービスを管理するための新たなガイダンスを公開した。組織内のシャドーIT(グレーITとも呼ばれる)をより適切に特定および軽減する上で役立つノウハウが紹介されている。

シャドーITに関するガイダンスは、次のページに公開されている。

  • New guidance on shadow or grey IT in organisations - NCSC.GOV.UK

    New guidance on shadow or grey IT in organisations - NCSC.GOV.UK

シャドーITとは、組織内でビジネス目的で使用されている未知のIT資産。企業・組織において事前に承認されておらず、密かに利用されているデバイスやアプリケーションなどがシャドーITに該当する。クラウドサービスもその対象とされ、例えば、従業員が機密性の高い企業データを個人のクラウドアカウントに保存している場合、それもシャドーITとされる。多くの企業で、ある程度のシャドーITが存在すると考えられている。

組織内にシャドーITが蔓延している場合、保護対象を完全に把握できなくなり、リスク管理が非常に困難になるといわれている。そのような問題に対処するため、同ガイダンスが発行された。IT管理部門向けに、組織内に存在する未知のIT資産(管理されていないIT資産)をより適切に特定し、軽減できる手助けが示されている。

シャドーITに取り組む組織は技術的な管理だけでなく、従業員のニーズを特定し、シャドーITがなぜ発生するのかを理解することが求められている。ガイダンスに従って戦略的に対応するとともに、シャドーITを防止することが推奨されている。