アシュアードは2月29日、同社が運営するセキュリティ評価プラットフォーム「Assured」が、大手企業に所属する情報システム部門300人を対象に実施した「従業員が会社の許可なく利用しているシャドーITへの対策実態」の調査結果を公表した。シャドーITとは、従業員が業務に使用するIT機器・サービスのうち、企業が把握していないものを指す。
6割以上の企業がシャドーIT対策を講じていない
従業員数1000人以上の大手企業において52.3%が100以上のクラウドサービスを利用しており、19%で500サービス以上利用していることが分かった。1社あたりの平均は207サービスで、クラウドサービスをまったく利用していない企業はなかった。総務省の調査によれば、企業の68.7%がクラウドサービスを少なくとも一部利用しており、特に大手企業ではその利用が浸透していることが示されている。
情報システム部門が認識しているクラウドサービスの利用数が100件以上の企業が52.3%におよぶ一方で、クラウドサービスの利用に際しては会社の許可なく利用しているケース(シャドーIT)も深刻な問題となっている。65.6%の企業がシャドーIT対策を講じておらず、実際の利用数が公式の統計よりも多い可能性が浮き彫りになった。
加えて、シャドーIT対策を実施している企業の約9割が課題を抱えていることも分かった。
具体的には、「利用サービスの可視化ができていない」(35.9%)、「検出したサービスをどのように扱うかのポリシー、ルールが定められていない」(35%)、「フィルタリングや制御対象に漏れがあると感じる」(35%)、「検出サービスに漏れがあると感じる」(34%)などがあり、検出後の対応が定まっていないケースや検出対象の網羅性に懸念があることが多いと見られる。