JosysがシャドーITを発見した経緯

従業員が IT 部門の承認なしに SaaS アプリを使用していませんか?従業員はタスクを完了するためのツールを必要としているため、IT 部門の承認なしに SaaS アプリに登録してしまいます。別のチームは、コラボレーションを改善するソフトウェアを見つけても、そのソフトウェアがセキュリティ基準を満たしているかどうかは確認していません。時間が経つにつれて、その会社では未承認のアプリケーションや管理されていないアプリケーションが蓄積されていきます。

‍

これがシャドーIT、つまり組織内での不正なソフトウェアの使用です。セキュリティリスク、コンプライアンス違反、IT 支出の浪費につながります。機密データはセキュリティで保護されていない場所に保存されている可能性があり、複数のチームが同じアプリや重複するアプリにお金を払う可能性があります。可視性がなければ、IT チームはリスク管理に苦労します。

Josysは、すべてのSaaSアプリケーションを明確に把握できるようにすることで、ITチームがシャドーITを特定、管理、削減するのに役立ちます。

‍

IT部門がシャドーITの特定に苦労する理由

従業員が IT 部門の承認なしに SaaS ツールにアクセスできるので、シャドー IT は成長します。適切な監視がなければ、ITチームはどのソフトウェアが使用されているのか、データがどこに保存されているのか、誰がアクセスできるのかを知ることができません。

‍

元従業員や契約社員は、退職後も会社のアプリにアクセスし続けることがあります。このような不正使用はセキュリティ上のリスクをもたらします。IT 部門がアクセスを追跡していないと、これらのアカウントは必要以上に長くアクティブなままになります。

‍

シャドーITはコストも増加させます。チームが異なれば、同じアプリに対して別々のサブスクリプションを購入することがあり、不必要な出費につながります。監視がなければIT支出は非効率的になり、ソフトウェアの急増は制御不能になります。

‍

Josys が組織全体のシャドウ IT を検出する方法

Josysは既存のITシステムと連携して、許可されていないアプリと会社のツールにアクセスする未承認ユーザーの両方を検出します。Google Workspace、Microsoft Entra ID (Azure AD)、Okta、Josys ブラウザエクステンションと統合することで、SaaS スタックにアクセスしている未知のアプリやユーザーを発見し、SaaS の全体像を把握できます。

複数のソースからの発見

Josysは、さまざまなソースを使用して不正なアプリケーションを検出します。Josys ブラウザ拡張機能は、ログインとブラウジングアクティビティを監視することで、Chrome と Edge でのアプリの使用状況を追跡します。Google Workspace と Microsoft Entra ID は監査ログを分析して、従業員が企業アカウントを通じてアクセスするアプリを特定します。Okta は IT チームがログインアクティビティを追跡し、IT 部門の管理下にないアプリにサインインしているユーザーを見つけるのに役立ちます。

Josysは、これらのソースからデータを引き出すことで、承認の有無にかかわらず、使用されているすべてのアプリをリアルタイムでITチームに提供します。

検出されたアプリとユーザーについて

Josysは、検出されたアプリとユーザーをダッシュボードに整理して管理しやすくします。

検出されたアプリセクションには、発見されたものの、現在ITチームが管理していないすべてのSaaSツールが一覧表示されます。ダッシュボードには、リスクレベル、コンプライアンス証明書、およびこれらのツールにアクセスしているユーザーが表示されます。これにより、IT 部門はアプリを監視、承認、削除すべきかどうかをすばやく判断できます。

‍

ユーザープロファイルセクションは、統合された IdP ユーザーのリストです。Microsoft Azure AD または Google Workspace を統合すると、既知のユーザーのリストが表示されます。Josys は、IT 部門によるプロビジョニングの有無にかかわらず、このユーザー情報をユーザーがアクセスできるアプリと統合します。IT チームはこの情報に基づいて不正アクセスを制限し、会社のポリシーを適用できます。

‍

管理対象アプリセクションでは、公式に承認されたソフトウェアを追跡し、アカウント数、コスト、ライセンス数を表示します。これにより、IT チームはライセンスを効率的に管理し、使用頻度の低いアプリに多額の支払いをしないようにすることができます。

‍

リスクインテリジェンスによるシャドーITの管理

すべての SaaS アプリケーションに同じリスクがあるわけではありません。無害なツールもあれば、セキュリティ上の脅威となるツールもあります。Josys は Netskope と連携して、検出された各アプリを分析し、リスクスコアを割り当てます。

‍

リスクの高いアプリケーションにはフラグが付けられるため、ITチームは迅速に行動できます。セキュリティチームは、アクセスを制限したり、セキュリティ制御を実施したり、特定のツールについて承認を要求したりするポリシーを定義できます。これにより、IT 部門はシャドー IT を特定できるだけでなく、セキュリティ上の脅威が被害をもたらす前に防ぐことができます。

行動を起こす:IT チームがコントロールを取り戻す方法

シャドーITが特定されたら、ITチームは組織の安全を確保し、コンプライアンスを実施し、コストを削減するために行動する必要があります。Josys では、権限のないユーザーや SaaS アプリケーションを単一のプラットフォームから簡単に管理できます。

権限のないシャドウユーザーの処理

Josysは、ITチームがシャドーユーザーを適切なガバナンスの下に置くのに役立ちます。IT部門は、権限のないユーザーを管理対象アカウントに変換して、確実に会社のポリシーに従うようにすることができます。IT 部門は、セキュリティ上のリスクを防ぐために、元従業員や契約社員の認証情報をすぐに取り消すことができます。

アクセスレビュー調査の実施

新しいアプリやシャドーユーザーが発見されると、IT部門はユーザーにアンケートを送信して、ユーザーのニーズをよりよく理解することができます。たとえば、ユーザーがアプリに登録したのに忘れてしまい、簡単に削除されてしまったり、IT 部門が積極的に管理や保護を始める必要のある重要なアプリだったりするかもしれません。SaaS 監査とフィードバック調査を定期的に実施することで、シャドー IT 部門のクリーンアップが簡単になります。

SaaS アプリケーションへの IT ポリシーの適用

ITチームはJosysを使用して、重要なアプリケーションを承認したり、リスクの高いアプリを制限またはブロックしたり、新しいSaaSアクティビティを監視したりできます。これにより、リスクの高いシャドー IT が根付くのを防ぎながら、従業員が安全で規制に準拠したツールにアクセスできるようになります。

これらの措置を講じることで、組織は事業運営を中断することなく、セキュリティリスクを軽減し、IT支出を最適化し、ポリシーを適用することができます。

結論:すべてのシャドウ IT が悪いわけではない

シャドーITは、企業のデータ、セキュリティ、予算を危険にさらす可能性があります。可視性がなければ、IT チームは機密情報を保護したり、ポリシーを適用したりすることができません。一方で、従業員は生産性を維持するために必要なツールにアクセスする必要があります。IT部門は、アクセスを完全に遮断する前に、SaaS環境を積極的に監視し、ユーザーと提携し、ユーザーのニーズを理解する必要があります。

‍

Josysを使用すると、不正なアプリの検出とアクセスの管理が容易になります。ITチームは完全な監視体制を整えることで、統制の確保、コンプライアンスの確保、ソフトウェアの使用の最適化が可能になります。

SaaS 環境の保護を今すぐ始めましょう。 JosyのシャドーITディスカバリーダッシュボードを見学しましょう。

‍