大企業のシャドーIT実態判明
株式会社ボスコ・テクノロジーズは、「大企業のシャドーITに関する実態調査」を発表した。対象は従業員数1,000名以上の大企業の情報システム担当者108名、2025年3月10日〜3月11日に、IDEATECHの「リサピー®」企画によるインターネット調査で実施したものである。
約3割が未承認ツールの利用を把握
自社で承認されていないツールの利用が見受けられるかとの設問に対し、「はい」29.6%/「いいえ」55.6%/「把握していない」14.8%となった。リリースは、大企業の約3割でシャドーITが把握されている実態を示している。
使われやすい未承認ITツール
未承認利用があると回答した層(n=32)で多かった種類は、無料クラウドストレージ59.4%、オンライン会議ツール50.0%、チャット/コミュニケーション46.9%、ファイル共有サービス43.8%、プロジェクト管理・コラボレーション31.2%であった。
自由記述ではフリーウェア等の例も挙がった。
企業の対応とその理由
未承認ツールへの現在の対応は、「原則禁止だが例外的に認めている」43.8%、「条件付きで公認」40.6%、「黙認」9.4%であった。
理由(複数回答、n=30)では、代替となる社内システムの提供が間に合っていない53.3%、業務効率の低下を避けたい50.0%、部門ごとで必要なツールが異なる36.7%、承認プロセスの負担33.3%、従業員からの要望26.7%などが挙がった。
自由回答には「利用部門の業務効率化につながる」「社員からの要望が強い」等が記載されている。
リスク認識:9割超が危険を実感
未承認ツールの業務利用にセキュリティリスクを感じるかでは、「非常に感じる」34.4%+「やや感じる」59.4%=計93.8%となった。
懸念するリスク(n=30)の上位は、不正アクセス73.3%、機密情報の外部流出70.0%、マルウェア感染53.3%、アカウント乗っ取り40.0%、データ消失・破損36.7%、システム間連携による脆弱性36.7%である。
なぜ生じるか:機能不足が約7割
未承認ツールが生じる主な原因(n=32)は、承認済みツールの機能不足68.8%が最多。次いで使いづらさ37.5%、アクセス権限の管理コスト37.5%、ITリテラシーの個人差37.5%、新しいツールへの対応遅れ37.5%、セキュリティポリシーの形骸化31.2%、特権ID・パスワード管理負担28.1%などが続く。
抑制に有効と考えられる取り組み
抑制策(n=31)として挙がったのは、シングルサインオン(SSO)導入51.6%が最多で、セキュリティレベルに応じた制限48.4%、従業員向け教育プログラム48.4%、パスワードレス認証38.7%、URLアクセス制御35.5%、アクセスログ管理35.5%、特権ID・パスワードの集中管理32.3%、定期的なセキュリティ診断32.3%、承認プロセスの簡素化32.3%、データ暗号化29.0%が続く。
リリースは、大企業におけるシャドーITの実態と課題が浮き彫りになったとし、情報漏洩やマルウェア感染などのリスク認識が高い一方で、業務効率の観点から容認が生じている現状を整理している。特権ID・パスワードの統合管理やSSO等の技術的対策と従業員教育の両面からの取り組みが挙げられている。
