セキュリティ3要素も理解しないで「セキュリティは大事」とか言ってるIT部門のブチョーさんとかよくいるが、多くの場合怖がるのは情報漏洩。そこで大事なのが、シャドーITとシャドーデータの存在;

シャドーITとシャドーデータとは?

ITのセキュリティに責任を持つ部門、大抵はIT部門になるわけだが、IT部門が把握していないITだったりデータをシャドーITとかシャドーデータとよぶことが多い。

導入が簡単なSaaSなんかは、まさにシャドーIT。無料だからって、Google Driveなんかを使って、外部とやりとりするのもシャドーIT、そのGoogle Driveの中身がシャドーデータ。

シャドーITやシャドーデータの何が問題なのか?

自宅の、どこに、いくらの現金があるか把握しているか?って考えてみるべし。仮に把握していない現金がどこかに存在していて、それが盗まれて気が付くか?!といわれたら気が付くわけがない。

シャドーITやシャドーデータも同様。把握していないITやデータが漏洩しても、漏洩したことすら気が付かず、世間で騒がれてはじめて、漏洩に気が付くなんてこもある。

ITセキュリティが大事なら、セキュリティ責任部門で、すべてのITやデータを把握しておく必要があること。

投稿者 shimakawa