KnowBe4リサーチ:半数の従業員が、業務目的に未承認のファイルサービスを利用している
ノウ・ビフォー
シャドーITの実態に関するKnowBe4の最新調査レポート: 問題視すべき衝撃的な結果が判明
東京(2022年3月9日発)– セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、このたび、シャドーITの実態に関するKnowBe4の最新調査レポート(英語)を公開したことを発表します。この調査レポートは、半数の従業員が業務目的に未承認のファイルサービスを利用していることなど、シャドーITの危険性についての警鐘を鳴らしました。
本プレスリリースは、この最新調査レポート(英語)の要点を日本語に翻訳して、シャドーITの現状と危険性を理解していだたくために発信しています。
まず、シャドーITとは、何でしょうか? シャドーITとは 、承認されていない私物のパソコン・スマートフォンや会社契約外のクラウドサービスなど、会社が許可していない未承認ITデバイスやサービスを指していますが、最近ではそれらを利用して業務をおこなう行為全般を指すように広義化されています。コロナ禍の中、リモートワークや在宅勤務が増えていますが、このレポートによると日本を含むアジア地域ではシャドーITの意識レベルが低いことが明らかになっています。
この調査レポートは、世界の地域と業種を問わず43万5千人を超える回答者からの調査回答をもとに、シャドーITとして常態化しつつある2つの危険な行為について分析したものです。1つ目の危険な行為として、「業務目的での情報のやり取りや保管に未承認のクラウドサービスを利用しているか」が、分析対象となりした。2つ目は、「業務用のコンピューターを使って未承認のファイル共有ネットワークをアクセスして、ファイルのダウンロードしていないか」が、分析対象になりました。
集計/分析結果の注目ポイントは、次の通りです。
まず、地域別の比較をしてみると、アジア(日本を含む)とオセアニアは、両地域とも、分析対象となった2つの行為ともに警戒すべき高い違反レベルにあります。それに対して、アフリカは押しなべて違反は少なく、最も良好なレベルにあります。
次に、業界別の比較をしてみると、金融とテクノロジーは、他の業界に比べて違反レベルは低い結果でした。これに反して、建設、製造、教育、官公庁は、注意すべき違反レベルにあります。
KnowBe4のリサーチ部門を統括するチーフリサーチオフィサーのKai Roer(カイ・ロアー)は、この結果について次のようにコメントしています。
「この集計/分析結果で判明したことは、多くの従業員がシャドーITを許可なしに使用しているという危険な行動を取っている衝撃の実態です。危険なシャドーITが使われるか否かは、組織におけるセキュリティカルチャーの成熟度レベルに関連性があります。つまり、セキュリティカルチャーの成熟度レベルが高ければ、危険なシャドーITの利用度は低くなります。このシャドーITに戦うためには、組織としてのセキュリティカルチャーの醸成と従業員各自のセキュリティ意識の向上に挑むことが必要になるのです。ここで重要なことは、従業員一人ひとりが、シャドーITの利用が極めて危険であり、このような行為が大きな惨事に発展する可能性があることを理解することです。そして、従業員一人ひとりに、シャドーITを使わない責任を自覚してもらうことです。」
KnowBe4の最新調査レポート「Shadow IT Is Real (シャドーITの実態)」(英語)をご希望の方は、 https://www.knowbe4.com/hubfs/Quarterly_Report_Q1_2022%20(2).pdfをアクセスしてください。
<KnowBe4について>
KnowBe4(NASDAQ: KNBE)は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 月に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年2月現在、 4万7千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。 https://www.knowbe4.jp/