シャドーITとは、企業・組織において、管理部門の許可なく使われる情報システムやソフトウェア、クラウドサービス利用のことです。
クラウドやテレワークの利用拡大によって、個人や事業部がオンラインのサービスを業務で利用するケースも増えています。企業として、「情報がどこでやり取りされているのか把握できていない」という状況は、情報漏えいやマルウェア流入などのセキュリティインシデント発生リスクを高めることになります。「シャドーIT」の対義語として、企業が自社で契約した、あるいは利用を許可したサービスを「サンクションド(Sanctioned;認可された)IT」と呼ばれます。
| シャドーIT | サンクションドIT | |
| 定義 | 管理部門の許可なく利用される外部ITサービス |
管理部門が利用を許可した外部ITサービス |
| 必要な対応 | サービスの利用実態を可視化し、利用認可/禁止の判断を行う |
想定どおりに利用されるよう管理する |
| 課題 | そもそも利用実態をどのように把握するか |
管理機能が扱いづらい場合や、機能的に不十分な場合がある 他社契約のクラウドサービスの場合、管理機能が使えない |
